Comretix Blog

Nachdem das Bundesamt für Sicherheit in der Informationstechnik auf Mastodon vor Fake-Captcha gewarnt hat, sind die lästigen Dinger überall Thema. Jeder ist bereits mit verschiedenen Captcha, meist von Google, in Berührung gekommen – denn Captchas müssen eingebunden werden, um Websites vor automatisierten Angriffen oder Spam zu schützen. Es gibt sie von verschiedenen Anbietern wie hCaptcha und MTCaptcha.

Benedict Padberg ist Mitgründer von Friendly Captcha.

(Bild: Friendly Captcha)

Warum Captcha nicht gleich Captcha ist, erklärt Benedict Padberg Mitgründer des Cybersecurity-Anbieters "Friendly Captcha" aus Wörthsee bei München. Das Unternehmen hat sich zum Ziel gesetzt, Bilder-Captcha-Aufgaben durch nutzerfreundliche Captchas zu ersetzen. Zu Kunden gehören unter anderem die Europäische Union, die Bundesliga und Zalando.

heise online: Was ist ein Captcha und warum ist Captcha nicht gleich Captcha?

Das auf Software Supply Chain Security ausgerichtete Unternehmen ReversingLabs hat zwei Extensions mit Schadcode im offiziellen Marktplatz von Visual Studio Code entdeckt. Offenbar konnten die Erweiterungen die automatischen Sicherheitschecks von Microsoft umgehen.

Beide fanden sich einige Zeit im Marktplatz, kommen aber nur auf Downloadzahlen im einstelligen Bereich. Die Erweiterungen stammen vom ahban und heißen shiba und cychelloworld.

Die Extension zielt vielleicht auf Hundefans, ist aber kaum darauf ausgelegt, häufig heruntergeladen zu werden.

(Bild: ReversingLabs)

Die schädlichen Erweiterungen prüfen zunächst, ob sie unter Windows laufen und führen dort einen PowerShell-Befehl aus, der ein PowerShell-Skript mit dem eigentlichen Schadcode von einem Command-and-Control-Server (C2) nachlädt und ausführt.

Wenn Systeme mit der Backuplösung Veeam Backup & Replication Teil einer Domäne sind, können Angreifer an einer kritischen Sicherheitslücke ansetzen und Computer kompromittieren. Eine dagegen abgesicherte Version steht zum Download.

In einer Warnmeldung geben die Entwickler an, dass davon alle Ausgaben bis einschließlich 12.3.0.310 betroffen sind. Die Version 12.3.1 (build 12.3.1.1139) soll geschützt sein. Können Admins das Update nicht umgehend installieren, müssen sie Systeme temporär mit einem Hotfix gegen Attacken rüsten. Das funktioniert aber nur, wenn keine anderen Hotfixes installiert sind. Bislang gibt es keine Berichte zu Attacken.

Die nun geschlossene Sicherheitslücke (CVE-2025-23120) ist als „kritisch“ eingestuft. Dabei handelt es sich um eine Deserialisierungs-Schwachstelle im Kontext der Veeam.Backup.EsxManager.xmlFrameworkDs- und Veeam.Backup.Core.BackupSummary-Klassen. Bei derartigen Schwachstellen kommt es bei der Deserialisierung von Daten zu Fehlern, sodass Angreifer Schadcode einschleusen können. In diesem Fall ist das sogar aus der Ferne möglich, was die Situation verschärft.

Im September 2024 haben die Entwickler eine ähnliche Schwachstelle in Veeam Backup & Replication geschlossen. Dafür haben sie eine Blacklist mit möglichen Angriffspunkten, bestehend aus verschiedenen Klassen und Objekten, eingeführt. Offensichtlich ist diese Liste aber unvollständig, wie Sicherheitsforscher in einem Bericht zur aktuellen Schwachstelle jetzt ausführen.

Dabei zeigen sie auf, wie eine Attacke ablaufen könnte. Bevor sich Angreifer davon inspirieren lassen, sollten Admins ihre Systeme zeitnah absichern. Veeams Backuplösung ist ein beliebtes Ziel für Ransomwarebanden.

Die Datenschutz-Grundverordnung (DSGVO) könnte bald erstmals seit ihrer Einführung 2018 grundlegend überarbeitet werden. Anlass sind zunehmende Klagen über übermäßige Bürokratie, vor allem für kleine und mittlere Unternehmen sowie Vereine. Axel Voss, rechtspolitischer Sprecher der konservativen EVP-Fraktion im Europaparlament, hat dazu in einem LinkedIn-Posting ein dreistufiges Modell vorgeschlagen: eine abgespeckte "Mini-DSGVO" für kleinere Organisationen, eine normale DSGVO für mittelgroße Unternehmen und eine strengere "DSGVO Plus" für Unternehmen, deren Geschäftsmodell wesentlich auf der Verarbeitung personenbezogener Daten beruht. Überraschend: Der Datenschutzaktivist Max Schrems unterstützt diese Idee grundsätzlich.

(Bild: Prof. Rolf Schwartmann zu Gast im c't-Podcast Auslegungssache)

In der neuen Episode des c't-Datenschutz-Podcasts "Auslegungssache" sprechen Redakteur Holger Bleich und Justiziar Joerg Heidrich mit Prof. Dr. Rolf Schwartmann über die Vorschläge. Schwartmann ist Professor an der Technischen Hochschule Köln, Leiter der Kölner Forschungsstelle für Medienrecht, Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) und außerdem Host des Podcasts "DataAgenda".

Alle drei Diskutanten begrüßen eine mögliche Entlastung kleiner Unternehmen und Vereine ausdrücklich. Gleichzeitig warnen sie jedoch davor, die Datenschutzpflichten allein an der Größe festzumachen. Gerade bei sensiblen Daten müssten auch kleinere Organisationen weiterhin hohe Standards erfüllen, so Schwartmann. Die genaue Ausgestaltung könnte komplex werden. Es gelte, Erleichterungen zu schaffen, ohne das Schutzniveau insgesamt abzusenken.

Ein weiteres Problem sieht Heidrich in der mangelnden Einheitlichkeit der europäischen Datenschutzaufsicht. Die nationalen Behörden wenden die DSGVO sehr unterschiedlich an, was zu Rechtsunsicherheit führt. Eine stärkere Harmonisierung erscheint nötig, aber die Idee, Aufsichtskompetenz etwa an die EU-Kommission zu übertragen, stößt in der Episode auf Skepsis. Die Experten bevorzugen weiterhin unabhängige Datenschutzbehörden, mahnen aber eine bessere Abstimmung an.

Setzen Angreifer erfolgreich an einer jüngst geschlossenen Sicherheitslücke in Kemp LoadMaster von Progress Software an, können sie Systeme nach der Ausführung von Schadcode kompromittieren. Eine dagegen gerüstete Version steht zum Download bereit.

Weil bestimmte eingehende Anfragen nicht ausreichend überprüft werden, können Angreifer ohne Authentifizierung mit präparierten HTTP-Anfragen an einer "kritischen" Sicherheitslücke (CVE-2025-1758 "kritisch") ansetzen. Das kann zu Speicherfehlern führen und Angreifer können eigenen Code ausführen. Danach gelten Systeme in der Regel als vollständig kompromittiert.

In den Release Notes führen die Entwickler aus, dass sie den Fehler in LoadMaster 7.2.61.1 ausgebessert haben. Auch wenn es noch keine Berichte zu laufenden Angriffen gibt, sollten Admins das Sicherheitsupdate zeitnah installieren.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

IBM AIX und License Metric Tool v9 sind verwundbar. Es sind Schadcode-Attacken auf Server vorstellbar. Sicherheitsupdates stehen zum Download.

In einer Warnmeldung führen IBMs Entwickler aus, dass sie im Serverbetriebssystem AIX zwei "kritische" Sicherheitslücken (CVE-202456346, CVE-2024-56347) geschlossen haben. An beiden Lücken können Angreifer für Schadcode-Attacken ansetzen. Bislang gibt es noch keine Berichte über Attacken, Admins sollten aber mit der Installation der Patches nicht zu lange zögern. Konkret betroffen sind die AIX-Ausgaben 7.2 und 7.3. Die Sicherheitspatches listen die Entwickler in der Warnmeldung auf.

Eine dieser Lücken ist mit der Höchstwertung 10 von 10 auf Basis des CVSS Scores eingestuft. Aufgrund unzureichender Überprüfungen im Kontext des NIM-Master-Service können Angreifer aus der Ferne auf einem nicht näher beschriebenen Weg Schadcode auf Server schieben und ausführen, um so Systeme unter ihre Kontrolle zu bringen. Im zweiten Fall findet sich das mögliche Einfallstor im nimsh-Service-SSL/TLS-Protection-Mechanismus.

Wie aus einem Beitrag hervorgeht, ist IBM License Metric Tool v9 über mehrere Sicherheitslücken angreifbar. Hier können Angreifer unter anderem Computer über DoS-Attacken lahmlegen (CVE-2024-45296 "hoch") oder unberechtigt Daten einsehen und manipulieren (CVE-2024-21235 "mittel"). Insgesamt haben die Entwickler zwölf Lücken geschlossen.

Um Systeme abzusichern, müssen Admins IBM License Metric Tool 9.2.39 nach dieser Anleitung installieren. Auch in diesem Fall gibt es bislang keine Hinweise auf Attacken.

Am Mittwochabend dieser Woche hat Google dem Webbrowser Chrome eine Aktualisierung verpasst. Nutzerinnen und Nutzer von Chrome sollten rasch sicherstellen, das Update installiert zu haben.

In der Versionsankündigung von Google finden sich Informationen zu den geschlossenen Lücken nur in homöopathischen Dosen. Demnach schließt die neue Fassung des Browsers zwei Sicherheitslücken. Nur zu solchen, die von externen IT-Forschern gemeldet wurden, liefert Google überhaupt Hinweise. In diesem Fall wurde offenbar eine Lücke intern entdeckt, bei der anderen handelt es sich hingegen um eine als kritisches Risiko eingestufte.

Die Beschreibung der Schwachstelle ist äußerst knapp: "Use-after-free in Lens", schreiben die Entwickler (CVE-2025-2476, Risiko laut Google "kritisch"). Bei einer Use-after-free-Lücke greift der Programmcode auf Ressourcen zu, die bereits freigegeben wurden und daher keinen definierten Zustand haben. Oftmals lassen sich derartige Lecks zum Einschleusen und Ausführen von Schadcode missbrauchen. Das scheint in diesem Fall recht einfach möglich zu sein, weshalb die Bedrohungseinschätzung derart hoch ausfällt – es genügt vermutlich der Besuch einer sorgsam präparierten Webseite zum Ausnutzen der Sicherheitslücke.

Angriffe auf die Lücke sind bislang nicht bekannt. Dennoch sollten Nutzer Chromium-basierter Webbrowser prüfen, ob sie bereits die aktuelle Browser-Version einsetzen.

Dies lässt sich im Versionsdialog von Chrome erledigen. Der verbirgt sich im Browser-Menü, das sich nach Klick auf das Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adressleiste öffnet, und dort dann weiter über "Hilfe" – "Über Google Chrome".

In der vergangenen Woche warnten mehrere Online-Casinos der Merkur-Gruppe ihre Nutzer vor unbefugtem Zugriff auf die Daten der Spieler. Kurz danach ging die Softwareentwicklerin und Sicherheitsforscherin Lilith Wittmann mit einem umfangreichen Blogbeitrag an die Öffentlichkeit: Sie hat die Lücken entdeckt und dadurch Zugang zu den kompletten Datensätzen von knapp einer Million Spieler.

Im Interview mit heise online erklärt sie nicht nur, wie einfach die Lücken zu finden waren, sondern auch, wie der gesetzlich geforderte Spielerschutz eigentlich funktionieren sollte. Es geht um die gemeinsame Glücksspielbehörde der Länder (GGL) und das länderübergreifende Glücksspielaufsichtssystem (LUGAS). Auch die sogenannten KYC-Verfahren (know your customer) privater Unternehmen spielen dabei eine Rolle – all diese Parteien sind von den inzwischen behobenen Sicherheitslücken direkt oder indirekt betroffen.

Wie haben sie die Lücke ursprünglich entdeckt?

Ich habe mich vor zwei Monaten erstmals bei in Deutschland legalen Online-Casinos angemeldet, weil ich mir die staatliche Infrastruktur dahinter ansehen wollte. Es gibt da zum Beispiel die zentrale LUGAS-Datei, in der Spielerdaten gespeichert werden. Auch die KYC-Prozesse wollte ich ausprobieren. Aber soweit bin ich gar nicht gekommen, weil ich schon auf der Startseite in der Browser-Konsole die erste Sicherheitslücke gesehen habe.

Worin bestand die Lücke, und wie konnten dadurch Daten von Spielern abgerufen werden?

Volle zehn Punkte im Common Vulnerability Scoring System (CVSS) muss man erst mal schaffen. Das gelang nun der Fernwartungsfirmware AMI MegaRAC, die auf Baseboard Management Controllern (BMCs) von Servern unter anderem von Asus, Asrock Rack, HPE und Lenovo läuft.

Sicherheitsexperten von Eclypsium haben in AMI MegaRAC die Schwachstelle CVE-2024-54085 mit dem CVSS-Score von 10.0 (kritisch) entdeckt. Sie heißt auch "Redfish Authentication Bypass", weil sie in einem Codemodul für die Fernwartungs-API Redfish steckt. Letztere soll eigentlich deutlich sicherer sein als das als ältere und als unsicher bekannte Intelligent Platform Management Interface (IPMI).

AMI stellt Informationen zu CVE-2024-54085 bereit sowie auch Patches, die allerdings die Hersteller der eigentlichen Fernwartungssysteme erst noch in ihre jeweiligen Firmwares einbauen müssen.

Unter anderem stellen HPE (Cray XD670 Server) und Lenovo bereits gepatchte Firmware-Versionen bereit. Laut Eclypsium sind aber auch Server von Asus und Asrock Rack betroffen.

Grundsätzlich sollten Server aber so konfiguriert sein, dass die Fernwartung entweder abgeschaltet ist oder die dafür vorgesehenen Ports nur aus einem besonders geschützten Netz erreichbar sind.

Das auf Security für die CI/CD-Pipelines (Continuous Integration/Continuous Delivery) spezialisierte Unternehmen StepSecurity hat einen Angriff auf das Open-Source-Tool tj-actions/changed-files für GitHub Actions entdeckt. Unbekannte haben Schadcode in das Tool eingeschleust, der sensible Informationen wie AWS Keys, GitHub Zugriffstoken (Personal Access Tokens, PAT) und private RSA-Schlüssel aus dem Projekt in einer Logdatei ablegt.

Der CVE-Eintrag (Common Vulnerabilities and Exposures) CVE-2025-30066 ist mit einem Score von 8.6 als hoch eingestuft. StepSecurity hat den Angriff am 14. März entdeckt. Die Maintainer von tj-actions/changed-files haben den Schadcode inzwischen aus dem Projekt entfernt. Es besteht jedoch nach wie vor die Gefahr, dass Build-Logs mit den sensiblen Informationen in öffentlichen GitHub-Repositories einsehbar sind.

tj-actions/changed-files lässt sich in den Workflow mit GitHub Actions einbinden. Das Tool trackt im CI/CD-Prozess, welche Dateien geändert wurden.

Die Angreifer haben sich offenbar über ein persönliches Zugriffstoken zum @tj-actions-bot Zugang zum Repository verschafft. Laut dem Issue im Repository lässt sich nicht nachvollziehen, wie das PAT kompromittiert wurde. GitHub hat das Token inzwischen zurückgezogen. Die Maintainer des Projekts haben das Passwort geändert und als Schutz vor künftigen Attacken Passkey-Authentifizierung aktiviert.

Für den Angriff landete zunächst ein Base64-kodierter Codeabschnitt im Repository, der dekodiert ein Python-Skript von einem GitHub-Gist aufruft:

Google hat die zweite Version seines Schwachstellen-Scanners für Open-Source-Projekte veröffentlicht, der nun tiefergehende Analysen in komplexen Projekten und Containern durchführt. Außerdem unterstützt er Java-Projekte via Maven und wirft die Ergebnisse als interaktiv filterbares HTML aus.

Mit dieser Version verbindet Google das 2022 vorgestellte Konsolen-Tool Open-Source-Vulnerability-Scanner (OSV-Scanner) mit der Analyse-Bibliothek OSV-Scalibr (Software Composition Analysis LIBRary), die verzweigte Projekt- und Abhängigkeitsstrukturen in Repositories und Containern untersucht.

Der Scanner analysiert damit nun die Ebenen von Container-Images und kann Aussagen treffen, in welchem Layer ein Paket zugefügt wurde, wie das Basis-Image gestaltet ist, welche Befehle ausgeführt wurden und welches Betriebssystem zugrunde liegt. Dabei filtert es Schwachstellen heraus, die das Image wahrscheinlich nicht beeinträchtigen. Die Layer-Analyse funktioniert mit Images von Alpine OS, Debian und Ubuntu sowie Code in den Sprachumgebungen Go, Java, Node.js und Python. Der Scan-Befehl lautet:

osv-scanner scan image <image-name>:<tag>

Außerdem entdeckt der Scanner jetzt Schwachstellen in weiteren Formaten von Abhängigkeiten von Projekten und Containern: Node-Module, Python-Wheels, Java-Uber-Jars und Go-Binaries sowie Lock- und Manifest-Dateien wie .NET deps.json, Python uv.lock, JavaScript bun.lock und Haskell cabal.project.freeze und stack.yaml.lock.

Die US-Cybersicherheitsbehörde CISA sorgt durch Kündigungen, Vertragsauflösungen und eine hastige Rückholaktion für Verwirrung unter ihren Mitarbeitern, aber auch der IT-Sicherheitsgemeinschaft. In einer Meldung direkt auf der Startseite ihres Webauftritts wendet sich die Agentur nun an gekündigte Mitarbeiter, um diese zurückzuholen. Doch scheint die Behörde nicht genau zu wissen, wen sie entlassen hat, Betroffene sollen sich daher per E-Mail melden.

Aufgrund einer einstweiligen Verfügung des Bezirksgerichts Maryland sind verschiedene Bundesbehörden, darunter auch die CISA, verpflichtet, durch das DOGE (Department of Government Efficiency) vorgenommene Entlassungen rückgängig zu machen. Das macht die Behörde jetzt – oder versucht es. Denn offenbar fehlen Kontaktdaten einiger Ex-Mitarbeiter, die sich an eine Kontakt-Mailadresse der Behörde wenden sollen. Offenbar hat die CISA nicht alle notwendigen Informationen über Mitarbeiter in der Probezeit. Die englische Formulierung "probationary period" kann jedoch auch "Bewährungsfrist" bedeuten, etwa eine Frist zur Leistungsverbesserung.

Doch auch wer zur CISA zurückkehrt, darf nicht wieder dort arbeiten: Alle Rückkehrer werden unmittelbar nach Wiederantritt ihrer Stelle bei vollen Bezügen freigestellt, so die Behörde auf ihrer Website. Wer das nicht wolle, möge sich schriftlich äußern – natürlich könne man auch jederzeit freiwillig kündigen.

Zu ihrer Identifikation sollen die Entlassenen einen passwortgeschützten Anhang mit personenbezogenen Informationen zusammenstellen – etwa ihren Namen, Anstellungs- und Kündigungsdatum sowie Geburtsdatum oder Sozialversicherungsnummer. Auch ein etwaiges Kündigungsschreiben erbittet die CISA per E-Mail.

Wie der Sicherheitsforscher Kevin Beaumont auf Mastodon schreibt, erwartet die Cybersicherheitsbehörde das Passwort für den Anhang in einer separaten E-Mail an dieselbe Adresse – eine unsichere Praxis, die Angreifer mit Zugriff auf den CISA-Mailverkehr die Einsicht in die sensiblen Daten ermöglicht. Derlei Attacken sind dabei nicht bloße Theorie: Die CISA nutzt mutmaßlich die Microsoft-Cloud und könnte daher von einem Datenleck wie dem im Jahr 2024 betroffen sein. Damals hatte die CISA per Notfall-Dekret andere Bundesbehörden zu umfangreichen Aufräumaktionen verdonnert.

Die Low-Coding-Plattform Flowise zum Erstellen von AI-Agents und LLMs ist verwundbar. In der aktuellen Version haben die Entwickler eine Schwachstelle geschlossen.

Setzen Angreifer erfolgreich an der "kritischen" Lücke (CVE-2025-26319) an, können sie einem Bericht der Entdecker der Schwachstelle zufolge Fehler im Whitelist-Ansatz der Uploadfunktion ausnutzen, um Dateien auf Flowise-Servern zu überschreiben. So können sie unter anderem eigenen Code ausführen und die volle Kontrolle über Server erlangen.

Die Sicherheitsforscher geben an, die Lücke im Januar dieses Jahres an die Entwickler gemeldet zu haben. Mittlerweile soll es erste Attacken geben. Wie und in welchem Umfang diese ablaufen, ist derzeit unklar.

Im Changelog der aktuellen Flowise-Ausgabe 2.2.7-patch.1 geben die Entwickler an, die Schwachstelle geschlossen zu haben.

Online-Dateikonverter sind praktisch und wandeln etwa eine .doc-Datei in ein PDF-Dokument um. Dafür gibt es viele Gratisangebote. Wie das Federal Bureau of Investigation (FBI) Denver nun warnt, sind darunter aber auch schwarze Schafe, die Opfern Malware unterschieben wollen.

Weitere Hintergründe dazu führt die US-Sicherheitsbehörde in einem aktuellen Beitrag auf. Sie geben an, Services dokumentiert zu haben, die zwar Dokumente umwandeln, sie im gleichen Zuge aber auch mit Malware verseuchen. Davon bekommt ein Opfer erst mal nichts mit. Wenn die Datei aber heruntergeladen wird, stehen die Chancen gut, dass ein Virenscanner Alarm schlägt. Es kann aber auch sein, dass der Schadcode noch so neu ist, dass kein Scanner darauf anschlägt.

In einigen Fällen wollen Cyberkriminelle dem FBI zufolge Opfer auch dazu bringen, Dateikonvertertools herunterzuladen, um Dokumente lokal auf einem PC umzuwandeln. In einigen Fällen sind diese Tools aber mit einem Trojaner versehen, der Systeme infiziert.

Ist die Malware einmal auf Computern installiert, operiert so in der Regel von Opfern unbemerkt im Verborgenen und kopiert Daten. Angreifer sind vor allem auf persönliche Daten, Log-in-Zugänge und Kryptowährungs-Wallets aus. Diese Daten leitet der Trojaner dann an die Kriminellen.

Diesen Umstand haben auch Sicherheitsforscher von Malwarebytes in einem Beitrag aufgegriffen. Darin ergänzen sie die Problematik um konkrete Webadressen von betrügerischen Online-Dateikonvertern. Das ist natürlich nur ein Ausschnitt und eine Bestandsaufnahme. Mittlerweile sind mehrere der aufgelisteten Services offline. Sie tauchen aber mit hoher Wahrscheinlichkeit unter einer anderen URL wieder auf.

Die Sozial-Holding der Stadt Mönchengladbach GmbH ist Opfer eines Cyberangriffs geworden, teilte die Stadtverwaltung gegenüber dpa mit. In der Folge sind die IT-Systeme der städtischen Altenheime in Mönchengladbach lahmgelegt, wie auch aus einem Hinweis auf der Website der Sozial-Holding hervorgeht. Demnach sind die Einrichtungen sowie die Zentrale der Sozial-Holding telefonisch und per E-Mail nicht erreichbar. Auf der Website wird auf technische Störungen hingewiesen. Die Verwaltung von Mönchengladbach ist nach Angaben eines Sprechers nicht betroffen. Gegenüber dpa erklärte die Sozial-Holding, dass die Versorgung der Bürger sichergestellt ist. Wann die IT-Systeme wieder funktionieren, ist noch unklar. Das Unternehmen betreibt unter anderem sechs Seniorenheime.

Nach einem Cyberangriff auf Europas größten Flug-Ticket-Händler "Aerticket", am 9. März, kam es zu technischen Ausfällen, die auch das Buchungssystem "Cockpit" betreffen. In der Folge stellte das Unternehmen aus Berlin laut Mitteilung rund eine Woche später die Zwischenlösung "Cockpit Light" bereit – eine abgespeckte Version von Cockpit. Ein Krisenstab analysiere derzeit die Situation und der Wiederaufbau laufe, heißt es von Aerticket. Daten seien nur wenige abgeflossen, die Ermittlungen laufen noch. Vor rund zehn Jahren hatte es bei Aerticket bereits eine Sicherheitslücke gegeben. In der Folge waren Millionen Fluggastdaten ungeschützt im Netz abrufbar.

Die Schweizer Supermarktkette Spar hat derzeit noch mit den Nachwirkungen eines Cyberangriffs zu tun. Die weltweit größte Handelskette mit Franchise-Unternehmen und hat ihre Wurzeln in den Niederlanden. Betroffen waren EC-Geräte und das Warenbestellsystem, gezahlt werden konnte in den Schweizer Supermärkten zeitweise nur mit Bargeld. Inzwischen informiert die Schweizer Spar Gruppe darüber, dass der "Betrieb trotz des aktuellen Cyberangriffs so gut wie möglich aufrecht erhalten werden kann". Seit Samstag funktioniere die Bezahlung mit EC-Karte "in fast allen" Märkten wieder.

"Die Warenauslieferung in die Märkte wurde unter grossem Einsatz der Spar Mitarbeitenden manuell erfasst, gerüstet und ausgeliefert". Die Spar Gruppe arbeite noch daran, ein komplettes Sortiment anbieten zu können, bittet aber um Verständnis dafür, wenn nicht überall alles verfügbar ist. Details zum Angriff nennt die Gruppe nicht.

Eine kürzlich veröffentlichte Studie zeigt, dass die Cybersicherheit Kommunen in Deutschland vor große Herausforderungen stellt. Grund für Unsicherheiten sind vorwiegend eine voreilige Digitalisierung, fehlende einheitliche Standards zur Cybersicherheit und ein langsames Handeln der Politik. Insbesondere fehlt es den Kommunen an finanziellen und personellen Ressourcen, um notwendige Sicherheitsmaßnahmen umzusetzen.

Ein britischer Geheimbefehl schreibt Apple vor, eine Hintertür in starke Verschlüsselung von Backups und weiteren Daten einzubauen. Nun deutet sich an, dass Apple nicht alleine ist und auch Google eine vergleichbare geheime Anordnung zugestellt worden ist. Die Geheimbefehle heißen in Großbritannien Technical Capability Notice (TCN).

Der Autor dieser Zeilen hat keine TCN erhalten. Das darf ich öffentlich mitteilen, weil und solange ich keine erhalten habe. Hätte ich eine erhalten, dürfte ich das von Rechts wegen weder verneinen noch bejahen. Und weil Apple sich auch an britisches Recht hält, hat es gegenüber dem US-Parlament nur mitgeteilt, dass es im Falle des Falles nicht sagen dürfte, ob es eine TCN erhalten hat oder nicht.

Auffallend ist, dass Google dem Büro des US-Senators Ron Wyden ebenfalls mitgeteilt hat, im Falle des Falles nichts darüber sagen zu dürfen. Ein Dementi ist das gerade nicht.

Apple versucht, sich durch Abschaltung des Zusatzdienstes Advanced Data Protection (ADP) im Vereinigten Königreich aus der Affäre zu ziehen. Das schwächt zwar die Verschlüsselung, doch meint Apple in einen im Land gar nicht angebotenen Dienst auch keine Hintertür einbauen zu müssen. Das aber stellt die königlichen Geheimdienste, die weltweit spionieren wollen, nicht zufrieden.

Daher wehrt sich Apple juristisch gegen die geheime Anordnung Londons. Es hat beim Investigatory Powers Tribunal eine Beschwerde gegen den Geheimbefehl eingereicht. Das beim britischen Innenministerium angesiedelte Gremium bezeichnet sich als unabhängige Einrichtung. Es entscheidet im Geheimen über Beschwerden über womögliche Rechtsverstöße beim Einsatz heimlicher Untersuchungs- oder Überwachungsmethoden durch Behörden des Vereinigten Königreichs.

Die Google-Mutter Alphabet unternimmt einen neuen Anlauf zur Übernahme des auf IT-Sicherheit spezialisierten Startups Wiz. Voriges Jahr hat Wiz ein Angebot Alphabets über 23 Milliarden US-Dollar ausgeschlagen und sich stattdessen auf einen Börsengang vorbereitet. Dabei wäre Wiz die größte Übernahme in der Geschichte des Google-Konzerns gewesen. Vielleicht hat es sich ausgezahlt für die Wiz-Aktionäre, denn jetzt bietet Alphabet 30 Prozent mehr, nämlich 30 Milliarden Dollar (27,6 Milliarden Euro).

Das berichtet das Wall Street Journal unter Berufung auf Eingeweihte. Demnach sind die Verhandlungen weit fortgeschritten. Google bemüht sich vermehrt im Bereich Cloud Computing. Wiz bietet genau dafür Sicherheitssoftware an, unter Zuhilfenahme Künstlicher Intelligenz. Diese soll Bedrohungen in Echtzeit erkennen und verhindern. Das 2020 in Israel gegründete Unternehmen Wiz soll bereits Amazon, Microsoft und Google als Kunden gewonnen haben. Die Unternehmensgründer haben Erfahrung: 2015 verkauften sie das ebenfalls von ihnen gegründete IT-Sicherheitsunternehmen Adallom an Microsoft.

Im Sommer sollen sie mit Google bereits fast handelseins gewesen sein; laut Medienberichten sind Wiz' Wagniskapitalgeber allerdings scheu geworden, weil sie lange Prüfungen der Übernahme durch Wettbewerbsbehörden fürchteten. US-Präsident Donald Trump legt allerdings deutlich weniger Wert auf Wettbewerb als Joe Biden. Angesichts radikaler Kahlschläge bei US-Bundesbehörden ist unklar, wie viel Know-how und Personal für eine vertiefte Prüfung im Bereich KI/IT-Sicherheit überhaupt noch vorhanden wäre.

Das erleichtert kapitalstarken Großkonzernen wie Alphabet, durch Übernahmen noch größer zu werden. Für Alphabet wäre es der mit Abstand größte Zukauf der Geschichte. Bisheriger Rekordhalter ist die Übernahme Motorola Mobilities durch 2012. Damals zahlte Google 12,5 Milliarden Dollar (inflationsbereinigt etwa 17 Milliarden Dollar), nur um den Großteil davon zwei Jahre später um lediglich drei Milliarden Dollar an Lenovo abzustoßen.

2022 stieß die IT-Sicherheitsfirma Mandiant zu Google Cloud. 5,4 Milliarden Dollar (entsprechend etwa 5,8 Milliarden heute) bedeuten den bis dahin zweitgrößten Zukauf Alphabets. Googles ersten Kauf im Milliardenwert gab es 2006: Die damals als erstaunlich hoch eingeschätzten 1,65 Milliarden Dollar in Google-Aktien für Youtube nehmen sich heute vergleichsweise bescheiden aus. Inflationsbereinigt wären das heute ungefähr 2,6 Milliarden Dollar. Anders ausgedrückt wäre Wiz Alphabet bei einer Bewertung von 30 Milliarden Dollar größenordnungsmäßig so viel wert wie ein Dutzend Youtubes zum Zeitpunkt dessen Übernahme.

Derzeit haben es Betrüger auf Github-Repositories abgesehen. Auf Basis einer gefälschten Sicherheitswarnung wollen sie Konten kompromittieren. Die Drahtzieher dieser Phishing-Kampagne sollen es auf rund 12.000 Github-Projekte abgesehen haben.

Davor warnt unter anderem ein Sicherheitsforscher mit dem Pseudonym "lc4m" auf X. Um Projektinhaber aufs Glatteis zu führen, veröffentlichen die Betrüger eine Fake-Sicherheitswarnung im Issues-Reiter von Repositories. An dieser Stelle legen eigentlich Nutzer von über Github angebotene Tools Meldungen über Bugs an, damit Entwickler diese ausbessern. Solche Einträge kann in der Regel jeder mit einem Github-Account anlegen.

In der gefälschten Warnung im Namen des Github Security Teams steht, dass es "ungewöhnliche Zugriffsversuche" (Security Alert: Unusual Access Attempt) gegeben hat. Danach folgt der Hinweis, dass Betroffene zügig handeln müssen, um ihren Account abzusichern. Dafür gibt es mehrere Links, um etwa das Passwort zu ändern. Mit dem alleinigen Empfang der Fake-Sicherheitswarnung passiert erst mal nichts Schlimmes. Damit die Angreifer weiter vorankommen können, müssen Opfer mitspielen.

Die Links führen alle zu einer OAuth-App mit der Bezeichnung "gitsecurityapp". Vorsicht: Dabei handelt es sich um eine Hintertür, die Angreifern vollen Zugriff auf Github-Konten ermöglicht. Vor der Installation fordert die App umfangreiche Berechtigungen ein, unter anderem den vollen Zugriff auf Repositories und die Bearbeitung von Nutzerprofilen. Wer dem zustimmt, verliert die Kontrolle über sein Github-Konto.

Wer das bereits gemacht hat, muss, solange der Zugriff noch gegeben ist, schleunigst in die Github-Einstellungen und die Berechtigungen von gitsecurityapp widerrufen. Aus Sicherheitsgründen sollte zudem die Zugangsdaten geändert werden. Inwiefern derartige Attacken bereits erfolgreich waren, ist bislang nicht bekannt. Wer eine solche Fake-Warnung bekommen hat, sollte sie direkt löschen.