Comretix Blog

Deutschland hat bei der European Cybersecurity Challenge (ECSC) 2025 den dritten Platz belegt. Der Wettbewerb, der vom 6. bis 9. Oktober in Warschau stattfand, versammelte 39 Teams aus EU-Staaten, EFTA-Ländern, EU-Beitrittskandidaten sowie internationalen Gastnationen. Den ersten Platz sicherte sich Italien, gefolgt von Dänemark auf Rang zwei. Dies teilte am Donnerstag die EU-Agentur für Cybersicherheit ENISA mit. Die Agentur hat ihren Sitz in Griechenland.

Die ECSC gilt als wichtigstes Nachwuchsformat für Cybersicherheit in Europa und wurde in diesem Jahr bereits zum elften Mal ausgetragen. Ziel ist es, junge Talente zu fördern und den Fachkräftebedarf in der IT-Sicherheit langfristig zu decken.

Die Teilnehmenden mussten sich über zwei Tage hinweg in sogenannten Capture-the-Flag-Aufgaben beweisen. Dabei ging es unter anderem um Kryptoanalyse, Reverse Engineering, Hardwaresicherheit und forensische Analyse. Neben technischem Know-how waren auch Teamarbeit und schnelle Entscheidungsfindung gefragt. Der Wettbewerb endete mit der feierlichen Preisvergabe an die drei Siegerteams.

Im Anschluss an die Hauptveranstaltung findet am 10. und 11. Oktober ein spezielles "Female + Bootcamp" für Teilnehmerinnen statt. Ziel ist es, mehr Frauen für den Bereich Cybersicherheit zu gewinnen.

In Ivantis Endpoint Manager (EPM) steckten schwere Sicherheitslücken, die das Unternehmen seit Monaten kennt – und dennoch erst in einem halben Jahr beheben wollte. Das war Trend Micros Zero Day Initiative (ZDI) zu lang – sie veröffentlicht die Lücken nun als "Zero Days". Im Fehlerkatalog tummeln sich elf SQL Injections, eine Pfadlücke und einmal Deserialisierung nicht vertrauenswürdiger Daten.

Bemerkenswert ist, wie die Veröffentlichung durch die ZDI zustande kam. Die Zero-Day-Initiative ist üblicherweise doch eher dafür bekannt, mit Herstellern zusammenzuarbeiten und diese nicht durch Zero-Day-Veröffentlichungen unter Druck zu setzen. Im aktuellen Fall hingegen hat ZDI offenkundig schlicht die Geduld mit Ivanti verloren.

Die hatten nämlich bereits im Mai respektive Juni dieses Jahres von den Sicherheitslücken erfahren. ZDI meldet diese üblicherweise nebst detaillierter Anleitungen (Proof of Concept) zunächst an die Hersteller. Ivanti hingegen tat anfänglich offenkundig wenig, um die Probleme zu beheben. In einigen Fällen meldeten sie ZDI ihre Absicht, im September Aktualisierungen zu veröffentlichen, zogen diese dann aber wenige Tage später zurück. In anderen Fällen reagierte das Unternehmen zunächst überhaupt nicht.

Ende Juli bat Ivanti die ZDI dann um eine Verlängerung der Frist zur Behebung der dreizehn Sicherheitslücken. Und nicht um ein paar Tage oder Wochen – nein, man wollte nun erst im März 2026 für Abhilfe sorgen. Angesichts der Auswirkungen der Fehler eine wenig nachvollziehbare Entscheidung. Die sind zwar allesamt nur durch angemeldete Nutzer ausnutzbar, entfalten aber als Teil einer Exploit-Kette hohes Gefahrenpotential.

ZDI entschied sich dann Ende September, alle Lücken als "Zero Days" zu veröffentlichen und hat dieser Entscheidung Taten folgen lassen. Wer Ivanti Endpoint Manager einsetzt, sollte also wachsam sein: Zwar enthalten die knappen Sicherheitsmeldungen auf der ZDI-Seite keine Details, doch dürften Exploit-Schreiber weltweit jetzt zumindest recht genau wissen, wo sie zu suchen haben. Ob Ivanti sich der Fehler doch kurzfristig, etwa im in den nächsten Tagen erwarteten monatlichen Sicherheitsupdate, annehmen wird, ist bis dato unklar.

Die kürzlich bekannt gewordenen Erpressungsversuche nach einer Sicherheitslücke in der E-Business-Suite von Oracle betrifft Dutzende, wenn nicht sogar Hunderte Unternehmen. Das schätzen Googles Sicherheitsexperten nach einer Untersuchung dieser Kampagne. Dahinter steckt eine Gruppe Cyberkrimineller namens Clop, die in der Vergangenheit bereits als Ransomware-Gang aufgefallen ist und mehrere Organisationen nach der Ausnutzung von Systemlücken erpresst hat.

Erst vor wenigen Tagen hat Oracle zur dringenden Installation von Sicherheitsupdates gemahnt, nachdem Angreifer Kunden der E-Business-Suite erpresst haben. Zunächst ging der Hersteller von bereits seit Juli geschlossenen Lücken aus, reichte kurz darauf aber ein Emergency-Update nach. Die entsprechende Lücke ermöglicht Remote Code Execution ohne Authentifizierung (CVSS 9.8) in Oracle 12.2.3 bis 12.2.14. Da der Exploit-Code mittlerweile im Untergrund kursiert, sollten Nutzer dieser Versionen umgehend patchen.

Die Sicherheitsexperten der Google Threat Intelligence Group (GTIG) und Mandiant schreiben nach einer Untersuchung der Sicherheitslücke und der Erpressungskampagne in einem Bericht, dass die Angreifer Hunderte, wenn nicht Tausende kompromittierte E-Mail-Konten angeschrieben haben. Darin drohen sie, interne Dokumente zu veröffentlichen, sollte das betroffene Unternehmen nicht bezahlen. Konkrete Geldforderungen gibt es beim ersten Kontakt keine, das wird üblicherweise erst nach Beantwortung verhandelt.

Die erbeuteten Daten sollen nach Veröffentlichung aber große finanzielle Verluste der Firmen nach sich ziehen, etwa Bußgelder von Aufsichtsbehörden und Umsatzrückgang nach Ansehensverlust. Die E-Business-Suite wird von Oracle-Kunden zur Verwaltung von Kunden, Lieferanten, Herstellung, Logistik und anderen Geschäftsprozessen verwendet, sodass der Zugriff darauf auch Geschäftsgeheimnisse preisgeben könnte.

Auf Nachfrage von Reuters erklärte einer der Autoren des Google-Berichts, Austin Larsen, dass sie von Dutzenden Opfern wissen, aber von noch viel mehr ausgehen. "Angesichts des Ausmaßes früherer Clop-Kampagnen dürften es über hundert sein", so Larsen weiter. Die Ransomware-Gang selbst hat zuvor nur erklärt, dass sich bald herausstellen wird, dass Oracle "sein Kernprodukt verwanzt" habe.

Mitte September meldete Firewallhersteller Sonicwall einen Einbruch in seine Cloud, bei dem Konfigurations-Backups von Sonicwall-Kunden kopiert worden seien. Das beträfe jedoch nur fünf Prozent der Kunden, hieß es damals in einer ersten Einschätzung des Unternehmens. Diese revidiert Sonicwall nun: Alle Kunden sind betroffen und sollten handeln.

Wie Sonicwall bereits in der ersten Warnmeldung erläuterte, sind Kunden betroffen, die eine optionale Sicherung ihrer Firewall-Konfigurationsdaten in der Cloud des Herstellers aktiviert haben. Gemeinsam mit dem Incident-Response-Experten Mandiant, einer Google-Tochter, untersuchte Sonicwall den Vorfall genauer und fand heraus: Es hat alle Kunden erwischt.

Alle Kunden und Partner sind jetzt dringend aufgerufen, sich um eine Milderung der möglichen Folgen des Lecks zu bemühen. Dazu sollen sie sich im Sonicwall-Portal anmelden und alle Geräte – nach ihrer Wichtigkeit sortiert – unter die Lupe nehmen. Dafür gibt es ein ausführliches Playbook, an dem sich Admins entlang hangeln sollten, um es Angreifern nicht zu leicht zu machen.

Die haben bereits erste Attacken gestartet: Es steht zu vermuten, dass die Ransomware-Gruppe Akira und andere Cyberkriminelle über Kopien der Sicherungsdateien verfügen und diese in ihren laufenden Angriffskampagnen schon nutzen.

Trend Micro untersucht derzeit Probleme mit der Sicherheitssoftware Apex One. Nach den jüngsten Aktualisierungen starten auf betroffenen Rechnern keine ausführbaren Dateien mehr. Die Verteilung des fehlerhaften Updates konnte der Hersteller bereits abstellen.

Der Apex One Agent von Trend Micro legt nach einem Update Endpunkte lahm.

(Bild: heise medien)

Das weckt Erinnerungen an das CrowdStrike-Desaster aus dem vergangenen Jahr. Auf der Status-Seite der Trend-Micro-Services meldet der Hersteller, dass der Apex-One-Agent nach einem Update eine Fehlermeldung erzeugt, die die Nachricht "Bad Image" enthält und dafür sorgt, dass keine ausführbaren Dateien auf den Rechnern mehr gestartet werden. In einem Support-Dokument erörtert Trend Micro die konkret auftretende Fehlermeldung.

Die angezeigte Fehlermeldung lautet demnach "regsvr32.exe - Bad Image". In den Details geht sie weiter mit: "C:\WINDOWS\System32\tmmh\20019\AddOn\8.55.0.1399\TmUmEvt.dll is either not designed to run on Windows or it contains an error. Try installing the program again using the original installation media or contact your system administrator or the software vendor for support. Error status 0xc000012f." Betroffene sollen also die Datei "TmUmEvt.dll" mit ihrer Vorgängerversion ersetzen, um das System wieder vollständig in Funktion zu setzen.

Apples Chip-Abteilung hat Hardware-Verbesserungen in die neuen iPhones des Jahrgangs 2025 integriert, die auch komplexe Angriffe auf die Speicherverwaltung der Geräte unterbinden sollen. Das sogenannte Memory Integrity Enforcement (MIE) sei "der Höhepunkt einer bislang beispiellosen Design- und Entwicklungsarbeit, die sich über ein halbes Jahrzehnt erstreckte und die besonderen Stärken der Apple-Silicon-Hardware mit der fortgeschrittenen Sicherheit unseres Betriebssystems kombiniert", schreibt der Konzern dazu in einem bislang wenig beachteten Blog-Beitrag, der im September veröffentlicht wurde.

Es sei gelungen, branchenweit erstmals einen permanenten Schutz der Speichersicherheit auf den Geräten zu bieten, ohne dabei Leistungseinschränkungen hinnehmen zu müssen. Das Problem: Die Technik ist teilweise in die Hardware gegossen, läuft also nur mit A19 und A19 Pro in iPhone 17, 17 Pro, 17 Pro Max sowie Air. Zwar wurden auch Verbesserungen in iOS 26 vorgenommen, doch eine Übertragung auf ältere SoCs scheidet bei Schutzmaßnahmen, die Anpassungen an der Hardware erfordern, offenbar aus.

Apple betont, dass es bislang noch keine erfolgreiche, weit verbreitete Malware-Attacke gegen iPhones gegeben habe. "Die einzigen iOS-Angriffe auf Systemebene, die wir in der Praxis beobachten, stammen von sogenannter Söldner-Spyware, die weitaus komplexer ist als normale Cyberkriminalität und Malware, die sich gegen Endverbraucher richtet." Söldner- oder auch Mercenary-Spyware wird normalerweise aufgrund des hohen Aufwandes samt hohen Kosten vor allem von Staaten und Geheimdiensten verwendet. Sie betrifft laut Apple nur "eine sehr kleine Anzahl bestimmter Personen". Doch wirklich so selten kommt dies nicht vor, was sich anhand der Warnmeldungen, die Apple oft selbst an Betroffene herausgibt, feststellen lässt.

MIE kombiniert verschiedene Ansätze, um zu unterbinden, dass Schädlinge in Speicherbereiche vordringen können, auf die sie nicht zugreifen dürfen. Dazu gehört die 2019 von ARM publizierte Memory Tagging Extension (MTE), die Apple 2022 zusammen mit der Chip-Firma zur Enhanced Memory Tagging Extension (EMTE) erweiterte. Zusätzliche Maßnahmen im MIE-Paket sollen unter anderem Angriffe über die spekulative CPU-Befehlsausführung wie Spectre V1 aufhalten, ohne dass es zu enormen Leistungseinbrüchen kommt. An der Entwicklung von MIE war laut Apple auch ein Offensive-Research-Team beteiligt, welches das System über fünf Jahre auch praktisch angegriffen und gegen gefundene Angriffe gehärtet hat.

Dabei gelang es den Forschern laut dem Konzern, MIE so im A19 und A19 Pro zu implementieren, dass ein synchrones Tag-Checking auch für schwere Workloads mit "minimalen Performance-Einflüssen" umgesetzt werden konnte. Wie genau das möglich war, verrät der Konzern bislang allerdings nicht. Funktionieren soll es aber: So brachten auch A19 und A19 Pro wieder Performance-Gewinne. Verschiedene Real-World-Angriffsszenarien, die Apple schildert – über iMessage, Safari sowie Kernel-Exploits – ließen sich durch MIE unterbinden, was die Hoffnung schürt, dass Lücken damit sehr früh in der Exploit-Chain abgefangen werden können.

Seit Mai 2023 arbeitet Meta in WhatsApp an einer Funktion zum Schutz der Privatsphäre: Anstatt der Telefonnummer können Nutzerinnen und Nutzer einen Nutzernamen als Kontaktinformation verwenden. In einer aktuellen Beta-Version ist nun die Möglichkeit der Reservierung von Nutzernamen aufgetaucht.

WhatsApp bringt eine Funktion zur Reservierung eines Nutzernamens in der aktuellen Beta-Version.

(Bild: wabetainfo.com)

Dem Portal wabetainfo.com ist diese Änderung jüngst aufgefallen. Im Google Play Beta-Programm bringt WhatsApp ab Version 2.25.28.12 die Funktion mit, mit der Interessierte schon vor Verfügbarkeit der vollen Funktion einen Wunschnamen reservieren können.

Die Reservierung kommt vor dem schrittweisen Ausrollen der Nutzernamen-Funktion, damit sie allen Nutzerinnen und Nutzern die gleiche Chance gibt, an populäre Nutzernamen zu gelangen, mutmaßt das Portal. Die Funktion landet jetzt im Test, um ihre Stabilität zu gewährleisten, und soll dann in der finalen Fassung verhindern, dass diejenigen mit frühzeitigem Zugriff auf das Privatsphären-Feature einen unfairen Vorteil erlangen.

Unter bestimmten Bedingungen sind Attacken auf IBM Data Replication VSAM for z/OS Remote Source möglich. Im schlimmsten Fall kann Schadcode Systeme kompromittieren. Ein Sicherheitsupdate schafft Abhilfe.

IBM Data Replication VSAM for z/OS Remote Source sorgt primär für den Abgleich von Änderungen zwischen Datenbanken.

Wie die Entwickler in einer Warnmeldung beschreiben, können lokale Angreifer aufgrund von unzureichenden Überprüfungen Speicherfehler auslösen, um so Schadcode auf Systemen auszuführen. Davon sollen alle Versionen bedroht sein. Die Entwickler versichern, die Schwachstelle (CVE-2025-36156 "hoch") in der Ausgabe APAR PH67757 (v11.4.0.22 for VSAM Remote source x86 container on fix central und VSAM_Remote_Source_114_Linux_x86.tar) geschlossen zu haben.

Bislang gibt es keine Berichte zu Attacken. Unklar bleibt auch, woran Admins bereits attackierte Systeme erkennen können.

Erst kürzlich haben die IBM-Entwickler Lücken in Security Verify Access und AIX/VIOS geschlossen.

Thüringens Verfassungsschutzchef Stephan Kramer hat vor Anwerbungen von Low-Level-Agenten gewarnt, die auch mit Drohnen Informationen sammeln könnten. "Teil der hybriden Kriegsführung ist eben auch, nicht unbedingt bewaffnete Soldaten quasi ins Feindgebiet zu schicken, sondern psychologisch, aber auch analog und im Cyberbereich zu stören, zu verwirren, Chaos und Angst zu schüren", sagte Kramer der Deutschen Presse-Agentur in Erfurt.

Dafür würden auch sogenannte Low-Level-Agenten genutzt. Diese Handlanger, die auch als "Wegwerfagenten" bezeichnet werden, sind keine offiziellen Geheimdienstmitarbeiter und werden für Sabotage, Propaganda oder Ausspähung eingesetzt. "Man wirbt Jugendliche in sozialen Netzwerken an oder Kleinkriminelle zum Beispiel oder man nutzt Strukturen der Organisierten Kriminalität", sagte Kramer.

Gegen kleines Geld, Gegenleistungen oder mittels Erpressung würden diese Leute dazu gebracht, Informationen zu sammeln, ohne dass sie wüssten, für wen sie am Ende arbeiteten. "Das haben wir schon an verschiedenen Stellen erlebt, da gibt es genügend Fälle", sagte Kramer. Es sei denkbar, dass dabei auch Drohnen eingesetzt werden. "Das sind durchaus realistische Szenarien, mit denen wir uns auch beschäftigen."

Kramer forderte eine Strategie gegen Drohnenüberflüge. Er begrüßte den Vorschlag von Verteidigungsminister Boris Pistorius (SPD), dass sich der neu geschaffene Nationale Sicherheitsrat mit dem Thema befassen soll. Seiner Einschätzung nach fehlen derzeit noch die technischen Voraussetzungen in der Fläche, um schnell und angemessen auf Drohnenüberflüge zu reagieren.

In der vergangenen Woche hatten erste Windows-10-Rechner bei der Update-Suche angezeigt, dass in Kürze eine Registrierung für erweiterte Sicherheitsupdates verfügbar werden soll. Nun ist es offenbar so weit. Uns liegt ein Leserhinweis vor, dass dort nun ein Link auf die Registrierung erschienen ist.

Es handelt sich um Windows 10 in der Home-Edition, die Anmeldung erfolgte mit einem Admin-Konto. Damit setzt Microsoft das Versprechen um, erstmals auch Privatkunden-PCs mit erweiterten Sicherheitsupdates zu versorgen.

Die Update-Suche in Windows 10 liefert nun auf ersten PCs einen Registrierungslink.

(Bild: Screenshot / R. Börner)

Die "Extended Security Updates" (ESU) sind im Europäischen Wirtschaftsraum (EWU) entgegen erster Ankündigungen jetzt sogar kostenlos – wenn auch eine Registrierung mit einem Microsoft-Konto nötig ist, was einer Zahlung mit Daten entspricht. Der offizielle Support für Windows 10 endet mit dem Patchday am 14. Oktober.

Das Unternehmen Docker hat angekündigt, den Zugriff auf sichere Software-Pakete für alle Entwicklungsteams – insbesondere auch in kleinen und mittleren Unternehmen – erschwinglicher machen zu wollen. Laut offizieller Verlautbarung öffnet die Firma dazu team-übergreifend unbegrenzten Zugang auf ihre Docker Hardened Images über ein neues Abonnement-Modell, das sich 30 Tage lang kostenlos testen lässt.

Von herkömmlichen Container-Images sollen sich Hardened Images vor allem dadurch abheben, dass sie Entwicklungsteams einen nahezu CVE-freien Ansatz (near-zero CVE – Common Vulnerabilities and Exposures) ermöglichen. Jedes Image werde direkt aus dem Quellcode erstellt, kontinuierlich mit Upstream-Patches versorgt und durch das Entfernen unnötiger Komponenten gehärtet. Die minimalistische Herangehensweise reduziere nicht nur die Angriffsfläche, sondern liefert auch einige der kleinsten verfügbaren Images – laut Docker bis zu 95 Prozent kleiner als Alternativen.

Die gehärteten Images erfüllen SLSA-Level 3 und Compliance-Tools wie VEX (Vulnerability Exploitability eXchange) stellen den Teams weitergehende Informationen zu potenziellen Schwachstellen rund um die Images zur Verfügung, die dabei helfen können, sich nur auf die tatsächlich relevanten Sicherheitslücken zu konzentrieren. Docker gibt außerdem ein 7-Tage-Patch-Service-Level-Agreement ab, was bedeutet, dass bei einer neuen CVE, die eine Komponente des Images betrifft, binnen einer Woche eine gepatchte Version veröffentlicht werden muss.

Die Qualität der Hardened Images lässt Docker zudem durch die unabhängige Cybersecurity-Beratung SRLabs validieren. Die Prüfung bestätigt, dass die Images signiert sind, standardmäßig rootless laufen und mit SBOM plus VEX ausgeliefert werden.

Die Hardened Images sind mit weit verbreiteten Linux-Distributionen wie Alpine und Debian kompatibel. Laut Docker gelingt die Migration durch das Ändern einer einzigen Zeile im Dockerfile. Teams können die gehärteten Images individuell anpassen und sofort einsatzbereite Systempakete, Zertifizierungen, Skripte und Tools hinzufügen, ohne die gehärtete Basis zu verlieren.

Die Sicherheitssoftware IBM Security Verify Access und IBM Verify Identity Access zur Identitäts- und Zugangsverwaltung (IAM) ist für Angriffe anfällig. Vor drei Sicherheitslücken darin warnt IBM aktuell, von denen eine sogar als kritisches Risiko gilt.

IBM erörtert in der Sicherheitsmitteilung, dass lokale angemeldete Nutzerinnen und Nutzer ihre Rechte zu "root" ausweiten können, da die Software mit höheren Rechten als nötig ausgeführt wird (CVE-2025-36356 / EUVD-2025-32573, CVSS 9.3, Risiko "kritisch"). Außerdem können angemeldete Nutzer bösartige Skripte von außerhalb ihres Kontrollbereichs ausführen (CVE-2025-36355 / EUVD-2025-32575, CVSS 8.5, Risiko "hoch"). Die dritte Schwachstelle ermöglicht nicht angemeldeten Nutzern, beliebige Befehle mit niedrigeren Nutzerrechten auszuführen, da die Software benutzerübergebene Daten nicht hinreichend prüft (CVE-2025-36354 / EUVD-2025-32574, CVSS 7.3, Risiko "hoch").

Die Schwachstellen bessert IBM mit den Versionen IBM Security Verify Access 10.0.9.0-IF3 und IBM Verify Identity Access 11.0.1.0-IF1 aus. Betroffen sind die Appliances sowie die Docker-Container der Sicherheitslösung. IT-Verantwortliche sollten die Updates auf diese Fassungen zeitnah anwenden. IBM rät dazu, das so schnell wie möglich zu erledigen.

Der Aufruf des Befehls docker pull icr.io/isva/verify-access:[tag] bringt IBM Security Verify Access auf den aktuellen Stand, für IBM Verify Identity Access erledigt das der Aufruf von docker pull icr.io/ivia/verify-access:[tag]. Die korrekten Tags dafür listet IBM auf einer eigenen Webseite auf.

Ende vergangenen Jahres hatte IBM vier Sicherheitslücken in Security Verify Access schließen müssen. Drei davon galten als kritisches Risiko. Zwei Lücken hatten hartkodierte Zugangsdaten zum Gegenstand – die ließen sich quasi als Backdoor zur unbefugten Anmeldung missbrauchen.

Nachdem eine Cyberattacke auf den größten japanischen Brauereikonzern zu einem mehrtägigen Produktionsstopp geführt hat, gibt es bei der Konkurrenz Probleme, den zusätzlichen Bedarf zu decken. Das berichtet die japanische Tageszeitung Yomiuri Shinbun, nachdem die betroffene Brauerei Asahi ihre Produktion Anfang der Woche wieder aufgenommen hat. Der Konzern hatte die Cyberattacke am 29. September eingestanden und laut Medienberichten später die Produktion in sechs japanischen Brauereien gestoppt. Zu dem Angriff hat sich inzwischen die Ransomware-as-a-Service-Gruppe "Qilin" bekannt. Angeblich hat sie 27 Gigabyte an Daten entwendet. Was die Kriminellen verlangen und ob Asahi darauf eingegangen ist, ist unklar.

Botschaft von "Qilin" im Darknet

(Bild: Screenshot/heise medien)

Der Brauereikonzern hat den Angriff am 29. September publik gemacht und die Folgen für die Produktion eingestanden. Nachdem die Produktion an mehreren japanischen Standorten gestoppt werden musste, wird sie inzwischen wieder hochgefahren. Einen Zeitplan dafür gibt es aber nicht. Die Folgen sind bereits landesweit zu spüren. Laut Yomiuri Shinbun sind die Vorräte von Restaurants und Lebensmittelläden teilweise zur Neige gegangen und die Konkurrenten konnten den gestiegenen Bedarf nicht decken. So hat die Brauerei Sapporo erklärt, dass zuerst die bestehende Kundschaft beliefert werden soll. "Wenn das so weiter geht, könnte es darin gipfeln, dass die Menschen kein Bier mehr bekommen", zitiert die Zeitung den Chef einer Bar in Tokio.

Asahi ist vor allem für das japanische Bier Asahi Super Dry bekannt, die Brauerei vertreibt aber unter anderem auch die europäischen Biere Pilsner Urquell aus Tschechien, Grolsch aus den Niederlanden, Tyskie aus Polen und Peroni aus Italien. Von der Cyberattacke waren jetzt aber nur Produktionsstätten in Japan betroffen. Laut Asahi ging es dabei nicht nur um Bier, sondern auch um Softdrinks und Lebensmittel. Wann die Produktion wieder normal laufen soll und die Lieferschwierigkeiten behoben sein dürften, teilte Asahi nicht mit. Der Vorfall erinnert an die Geschehnisse bei dem britischen Automobilkonzern Jaguar Land Rover. Dort lag die Produktion aber sogar wochenlang still und zwischenzeitlich musste sogar die dortige Regierung mit einer Finanzhilfe einspringen.

IBM warnt vor einer kritischen Sicherheitslücke in den Betriebssystemen AIX und VIOS. Die Schwachstelle ermöglicht Angreifern, die Speicherordnung durcheinanderzubringen, und aufgrund des Schweregrads so wahrscheinlich Schadcode einzuschleusen und auszuführen. IT-Verantwortliche sollen jetzt die bereitstehenden Aktualisierungen installieren, rät der Hersteller dringend.

In der Sicherheitsmitteilung von IBM erläutern die Entwickler, dass AIX und VIOS auf den Paketmanager RPM setzen. Das wiederum setzt auf SQLite und bringt verwundbare Versionen vor 3.50.2 mit. Darin steckt eine Sicherheitslücke, die zu willkürlichen Speicherzugriffen führen können (CVE-2025-6965 / EUVD-2025-21441, CVSS 7.2, Risiko "hoch").

Abweichend von der Einstufung der SQLite-Lücke wertet IBM den Schweregrad mit einem CVSS-Wert von 9.8 als Risiko "kritisch". Betroffen sind AIX 7.2 und 7.3 sowie VIOS 3.1 und 4.1.

IBM veröffentlicht aktualisierte RPM-Filesets, die die verwundbaren Fassungen von "rpm.rte" von 4.15.1.1000 bis 4.15.1.1016, 4.15.1.2000 bis 4.15.1.2024 sowie 4.18.1.2000 bis 4.18.1.2006 ersetzen. Sie sind für Admins nach einem Log-in auf IBMs Webseite zum Herunterladen verfügbar. Ob anfällige Filesets auf dem System installiert sind, lässt sich mit dem Aufruf von lslpp -L | grep -i rpm.rte herausfinden.

Außerdem stellt IBM ein tar-Archiv bereit, in dem die Korrekturen für RPM stecken. Vor dem Einspielen der aktualisierten Fassungen rät IBM dazu, mittels mksysb ein Systembackup zu erstellen und sicherzustellen, dass es startet und lesbar ist. Anschließend entpackt der Befehl tar xvf rpm_fix4.tar die Updates.

Der Podcast feiert den phierzigsten Geburtstag des Hackermagazins Phrack und blickt zunächst auf die Geschichte des altehrwürdigen e-zines, wie sich das Magazin verändert hat und wie es produziert wird. Dabei bekommen sie ganz besondere Hilfe: Skyper aus dem Phrack-Team ist im Podcast zu Gast und erzählt von damals und heute.

Der von einem Cyberangriff lahmgelegte britische Autobauer Jaguar Land Rover will die Produktion ab dem heutigen Mittwoch schrittweise wiederaufnehmen. Den Anfang machen laut einer Mitteilung des Unternehmens das Motorenwerk in Wolverhampton sowie mehrere Presswerke, die Karosseriewerkstatt, die Lackiererei und das Logistikzentrum an verschiedenen Standorten in Großbritannien. Ebenfalls noch in dieser Woche soll das Werk in der slowakischen Stadt Nitra die Fahrzeugproduktion wiederaufnehmen. Über weitere Schritte will das Unternehmen zeitnah informieren.

Der Autobauer war am 31. August Ziel einer Cyberattacke geworden, die Produktion stand danach zunächst still. Die britische Regierung half dem angeschlagenen Unternehmen Ende September mit einer Garantie für einen Milliardenkredit zur Absicherung der Lieferkette. Der Kredit kommt von einer Geschäftsbank.

Das Wiederanfahren der Produktion war zunächst für den 24. September geplant, daraus wurde jedoch nichts. Der nächste anvisierte Termin für den Neustart war zu dem Zeitpunkt der 1. Oktober. Offensichtlich ließ sich aber auch dieser Termin nicht halten.

Der Chef von Jaguar Land Rover (JLR), Adrian Mardell, bezeichnete die Wiederaufnahme der Produktion nun als "wichtigen Moment für JLR und all unsere Stakeholder".

In die Debatte um die Chatkontrolle kommt kurz vor der entscheidenden EU-Ratssitzung Bewegung. Am Dienstagnachmittag erteilte Unionsfraktionschef Jens Spahn (CDU) der umstrittenen Maßnahme eine Absage. "Wir als CDU/CSU-Bundestagsfraktion sind gegen die anlasslose Kontrolle von Chats", sagte Spahn am Nachmittag vor Journalisten in Berlin. Wie heise online aus Fraktionskreisen erfuhr, soll die Chatkontrolle vorerst nicht im Rat zur Abstimmung kommen.

"Das wäre so, als würde man vorsorglich mal alle Briefe öffnen und schauen, ob da etwas Verbotenes drin ist", so Spahn. "Das geht nicht, das wird es mit uns nicht geben." Zugleich sei aber klar, dass Kindesmissbrauch bekämpft werden können müsse, betonte der Fraktionschef, und lobte die EU-Initiative. Eine Verordnung müsse Kinder wirksam schützen, "ohne dabei die Sicherheit und Vertraulichkeit individueller Kommunikation zu gefährden".

Knackpunkt ist das Wort "anlasslos". Die Union erteilt damit einer generellen Massenüberwachung eine Absage. Doch auch für eine anlassbezogene Überwachung von verschlüsselten Chats müsste die Technik massiv geschwächt werden, um Dritten Zugang zu den Inhalten zu ermöglichen. Damit wäre die Ende-zu-Ende-Verschlüsselung zwischen den Clients gebrochen.

Der erneute Vorstoß für eine Chatkontrolle wird von der dänischen Ratspräsidentschaft unter dem Banner der Bekämpfung des Kindesmissbrauchs geführt. Das EU-Parlament ist entschieden dagegen, das Grundrecht auf vor staatlichem Zugriff geschützte Kommunikation drastisch einzuschränken. Der EU-Rat der Mitgliedsstaaten sollte ursprünglich in der kommenden Woche darüber abstimmen.

Im Rat hatte bisher eine Minderheit mit Deutschland, Polen, Österreich und den Niederlanden eine Entscheidung verhindert. Sollte einer von den vier umfallen, wäre die Sperrminorität dahin.

Die Bundesregierung hat entschieden: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll die Einhaltung des Cyber Resilience Acts (CRA) kontrollieren. Dieser führt für alle möglichen Kategorien vernetzter Geräte Mindestvorschriften für die IT-Sicherheit ein – inklusive Mindest-Updatezeiträumen. Wer die jeweiligen Vorschriften nicht erfüllt, darf seine Geräte in den kommenden Jahren schrittweise nicht mehr in der EU auf den Markt bringen. Damit das funktionieren kann, soll das BSI nun überwachen, ob Hersteller und Importeure die Regeln einhalten. Dass das BSI zuständig sein soll, meldete die Bundesregierung jetzt an die europaweit zuständige EU-Kommission.

Die Behörde werde ihre "Rolle sehr gewissenhaft ausfüllen und darauf achten, dass die Bürgerinnen und Bürger ihre IT-Produkte mit einem sicheren Gefühl nutzen können", kündigte Präsidentin Claudia Plattner an. Der CRA sei ein "Gamechanger für die Sicherheit digitaler Produkte", da damit in der Breite das Cybersicherheitsniveau gesteigert werde, so Plattner. Eine Komplettüberwachung aller vernetzten Geräte ist dabei aber weder praktisch möglich noch gesetzlich vorgesehen. Wie bei der behördlichen Marktüberwachung üblich, will das BSI stattdessen stichprobenartig oder in gezielten Aktionen IT-Produkte auf Cybersicherheit überprüfen.

Bislang war das BSI keine Marktüberwachungsbehörde, auch wenn es mit dem IT-Sicherheitskennzeichen und der Befugnis für Produktwarnungen aus dem BSI-Gesetz schon verwandte Kompetenzen hatte. Im Rahmen des CRA darf die Behörde künftig bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes eines Anbieters als Strafe verhängen, je nachdem, welche Summe höher ist. So wie auch bei anderen Marktüberwachungs-Regimen darf das BSI künftig dann auch bei regelwidrigen Produkten ein Vertriebsverbot aussprechen. Zugleich ist das BSI als Konformitätsbewertungsstelle künftig für die Kriterien zuständig, nach denen Dritte die Einhaltung von Sicherheitsvorgaben für die unterschiedlichen Produktkategorien des CRA vergeben. Schnittstellen wird es auch weiterhin zur Bundesnetzagentur geben: Diese ist für einige verwandte Marktüberwachungsaufgaben zuständig, etwa im Bereich der sogenannten Funkanlagen-Richtlinie.

Für die Elektro- und Digitalindustrie sei es eine gute Nachricht, dass die Zuständigkeit nun klar benannt sei, sagt Lennard Kreißl vom ZVEI, der die Unternehmen im Verband bei der Cybersicherheit auf Produktebene gut aufgestellt sieht. "Eben deshalb wünschen wir uns eine starke und umfassende Marktüberwachung, die dazu aber mit genügend Ressourcen und Kapazitäten ausgestattet werden muss", sagt Kreißl auf Anfrage von heise online. Hier müsse das BSI in der Fläche noch aufgestockt werden, fordert der für Cybersicherheit zuständige Manager des ZVEI.

In der Datenbank Redis haben die Entwickler mit einer aktualisierten Softwareversion vier Sicherheitslücken geschlossen. Eine davon erreicht mit einem CVSS-Wert von 10 die maximale Risikobewertung. IT-Verantwortliche sollten ihre Installationen umgehend auf den neuen Stand bringen.

In den Release-Notizen zur Version 8.2.2 nennt das Redis-Projekt die vier Schwachstellen. Angemeldete Nutzer können mit speziell präparierten LUA-Scripten den Garbage Collector manipulieren, eine Use-after-Free-Situation provozieren und so Schadcode aus dem Netz zur Ausführung bringen (CVE-2025-49844 / EUVD-2025-32326, CVSS 10, Risiko "kritisch"). Außerdem können solche LUA-Scripte einein Integer-Überlauf provozieren, was ebenfalls die Ausführung von aus dem Internet eingeschleustem Code erlaubt (CVE-2025-46817 / EUVD-2025-32363, CVSS 7.0, Risiko "hoch").

Die weiteren Lücken sind weniger gravierend. Präparierte LUA-Skripte können außerhalb vorgesehener Speicherbereiche lesend zugreifen oder den Server zum Absturz bringen und so einen Denial of Service verursachen (CVE-2025-46819 / EUVD-2025-32327, CVSS 6.3, Risiko "mittel"). Außerdem können LUA-Skripte andere LUA-Objekte manipulieren und so ihren eigenen Code im Kontext anderer Nutzer ausführen (CVE-2025-46818 / EUVD-2025-32328, CVSS 6, Risiko "mittel").

Die IT-Sicherheitsforscher von Wiz haben zudem eine detaillierte Analyse der gravierendsten Lücken verfügbar gemacht. Da mindestens eine der Schwachstellen als kritisch gilt, sollten Admins umgehend ihre Redis-Instanzen auf den nun aktuellen Stand 8.2.2 oder neuer bringen. Die quelloffene Software steht in aktueller Fassung im Quelltext auf Github bereit.

Die Linux-Distributionen sollten in Kürze aktualisierte Pakete bereitstellen, sodass die Softwareverwaltung der eingesetzten Distribution die Updates ausliefern kann. [Link auf https://access.redhat.com/security/cve/cve-2025-49844]Redhat empfiehlt mangels aktualisiertem Paket derzeit beispielsweise, den Zugriff auf den Server auf vertrauenswürdige Maschinen zu beschränken. Etwa auf der Pwn2Own-Veranstaltung in Berlin hatten die IT-Sicherheitsforscher Sicherheitslücken in Redis ausgemacht und vorgeführt.

Von großen Datenabflüssen im Zusammenhang mit KI liest man aktuell ständig. Doch dieser ist anders; keine Prompt Injection, kein Jailbreak, sondern sträflich vernachlässigte Security-Basics bei der Infrastruktur eines KI-Betreibers – zumindest, wenn man den uns vorliegenden Informationen Glauben schenken darf. Und dafür spricht einiges.