Comretix Blog

Einmal im Monat veröffentlicht Google eine neue Version des System-Updates für Android. Die Aktualisierung bringt neue Funktionen auf Smartphones und weitere Produkte des Google-Ökosystems wie Tablets, Uhren, Smart-TVs, Android Auto und Chromebooks, ohne dass ein regelrechtes Android-Update vonseiten der Gerätehersteller erforderlich ist.

Sie werden über die Play-Dienste, den Play-Store und Play-System-Updates auf genannte Gerätekategorien direkt von Google verteilt. Einige Funktionen richten sich an Endnutzer, andere an Entwickler. Laut den Versionshinweisen für das Oktober-Update bringt die am 6. Oktober veröffentlichte Version 25.39 der Google-Play-Dienste Neues für die Kontoverwaltung sowie Sicherheitsfunktionen.

Die neue Play-Dienste-Version erweitert außerdem die optionale Funktion "Warnungen zu sensiblen Inhalten" in der Google-Nachrichten-App auf Geräten mit Android 9 und neuer. Bislang konnte die App nur Fotos auf Nacktheit scannen und eine entsprechende Warnung ausspielen. Nun kann Google Messages auch explizite Nacktbilder in geteilten Videos erkennen. Google betont, dass keine Inhalte hochgeladen würden; die notwendige Bilderkennung erfolgt laut Google ausschließlich auf dem jeweiligen Gerät selbst über den Dienst "Android System SafetyCore".

Die seit August verfügbare Nacktscan-Option in Google Messages ist um Videos erweitert worden.

(Bild: heise medien)

Eigentlich unscheinbare Grafiken im Format SVG (Scalable Vector Graphics) dienen bösartigen Akteuren als Einfallstor für Schadsoftware. Die kommen etwa als E-Mail-Anhang an Phishing-Mails auf den Rechner. Microsoft schließt die potenzielle Lücke, indem das Unternehmen Outlook und Outlook for Web nun einfach keine SVG-Grafiken mehr anzeigen lässt.

Das hat Microsoft im MS365-Admin-Center bekannt gegeben. Der weltweite Roll-out dieser Änderung soll bereits Anfang September gestartet und Mitte des Monats beendet worden sein. Für "GCC, GCC-H, DoD, Gallatin" soll die Verteilung Mitte Oktober abschließen. "Inline-SVG-Bilder werden von Outlook for Web und dem neuen Outlook für Windows nicht länger angezeigt. Stattdessen bekommen Nutzerinnen und Nutzer einen leeren Platz zu Gesicht, wo diese Bilder angezeigt werden sollten", erklärt Microsoft.

Das betreffe lediglich weniger als 0,1 Prozent aller Bilder, die in Outlook genutzt würden, daher sollen die Auswirkungen minimal sein. Als klassisch als Anhänge gesendete SVG-Bilder werden hingegen weiter unterstützt und lassen sich als Anhang anzeigen. Diese Änderung soll mögliche Sicherheitsrisiken wie Cross-Site-Scripting-Angriffe abwehren. Admins müssen nichts machen, Microsoft empfiehlt jedoch, die interne Dokumentation um diese Information zu ergänzen sowie Nutzer zu informieren, die auf Inline-SVG-Grafiken in E-Mails setzen.

Mitte des Jahres hatte das österreichische CERT eine Warnung vor bösartigen SVG-Dateien herausgegeben. SVG-Dateien bestehen aus Beschreibungen im XML-Format, können jedoch auch JavaScript-Code enthalten, den die anzeigende Komponente ausführt. Das können Phisher etwa missbrauchen, um Empfänger auf gefälschte Anmeldeseiten zu leiten, direkt falsche Anmeldungen anzuzeigen oder gar Schadsoftware zu installieren.

Das zu Google gehörende Virustotal hat zudem kürzlich eine kolumbianische Malware-Kampagne basierend auf bösartigen SVGs entdeckt. Von Anfang August bis Anfang September seien bei dem Malware-Prüfdienst mehr als 140.000 einzigartige SVG-Dateien eingegangen, von denen 1442 von mindestens einer Antivirensoftware als bösartig erkannt wurden, mithin grob ein Prozent der geprüften Dateien. Allerdings waren unter den 140.000 Bildern auch bösartige SVG-Dateien, die von keinem Malware-Scanner identifiziert wurden. Mit einer KI-Erweiterung "Code Insight" hat Virustotal 44 weitere bösartige SVGs aus dem Fundus gefischt. Diese nutzten Techniken zur Code-Verschleierung, Polymorphismus, sodass jede Datei leichte Änderungen aufwies, sowie große Mengen an nutzlosem Dummy-Code, um statische Erkennung zu erschweren. Bei genauerer Untersuchung entpuppten sich mehrere Dateien als Teil einer Kampagne, deren Mails vorgeben, von der kolumbianischen Generalstaatsanwältin zu stammen. Eine einfache Suche nach Textstellen aus den bösartigen SVGs lieferte 523 weitere Treffer in den vergangenen 365 Tagen.

Zwei Jahre nach der Erweiterung des Bug-Bounty-Programms um KI-Produkte führt nun Google ein eigenes Belohnungsprogramm ein, das speziell darauf ausgerichtet ist, Fehler in KI-Produkten zu finden. Besonders gefährliche Exploits können den Findern bis zu 30.000 Dollar einbringen.

Wie Google in seiner Ankündigung zum neuen KI-Bug-Bounty-Programm schreibt, war die Integration von KI-Themen in das "Abuse Vulnerability Reward Program" (VRP) "ein großer Erfolg für die Zusammenarbeit von Google mit KI-Forschern". Die am "VRP" beteiligten Forscher hätten "einige großartige Entdeckungen gemacht". Externe Forscher hätten für ihre Entdeckungen seit Beginn des KI-Programms über 430.000 US-Dollar an Prämien eingesammelt.

Mit dem am Montag eingeführten KI-Bug-Bounty-Programm hat Google die Anforderungen klarer formuliert: So genüge es nicht, die KI einfach halluzinieren oder Gemini dumm aussehen zu lassen. Die Liste der seitens Google qualifizierten Fehler umfasst etwa Prompt-Injektionen, die für die Angegriffenen unsichtbar sind und den Status des Kontos des Opfers oder eines der verbundenen Produkte verändern.

Zu weiteren unzulässigen Aktionen gehören etwa die Änderung des Kontos oder der Daten einer Person, um deren Sicherheit zu beeinträchtigen oder etwas Unerwünschtes zu tun; beispielsweise, wenn ein Angreifer mithilfe eines manipulierten Google-Kalender-Eintrags intelligente Rollläden öffnet und das Licht ein- oder ausschaltet.

Google bietet Forschern, denen es gelingt, folgenschwere Sicherheitslücken aufzudecken, bis zu 20.000 US-Dollar für gut gemachte Fehlerberichte. Dazu müssen diese die Flaggschiff-KI-Produkte des Unternehmens betreffen, also die Suche, die Gemini-App oder wichtige Workspace-Apps wie Gmail und Drive.

Ein Konglomerat von kriminellen Cybergangs hat eine Leaksite im Darknet veröffentlicht. Dort erpresst es 39 namhafte Unternehmen und droht, aus Salesforce-Systemen kopierte Daten zu veröffentlichen, sollten die Unternehmen kein Lösegeld aushandeln. Zudem droht die Erpressergruppe damit, mit Anwaltskanzleien zusammenzuarbeiten, die zivil- und wirtschaftsrechtliche Ansprüche gegen die Opfer geltend machen sollen.

Auf der Liste der Unternehmen finden sich unter anderem Adidas, ASICS, Cartier, Chanel, Cisco, Disney/Hulu, FedEx, Fujifilm, Google Adsense, HBO Max, Home Depot, IKEA, KFC, Marriott, McDonalds, Puma, Toyota, Stellantis und UPS, aber auch einige Fluglinien sind darunter. Die kriminellen Gruppen arbeiten offenbar unter der Federführung von ShinyHunters zusammen, die Leaksite nennt noch die Cybergang-Namen "Scattered Laspsu$ Hunters", was neben ShinyHunters auf die Cyberbanden Scattered Spider und Lapsus$ hinweist. Google führt sie unter dem Kürzel UNC6040.

Die einzelnen Einträge zu den Opfern listen auf, welche sensiblen Daten entwendet wurden. Außerdem findet sich dort jeweils ein Beispieldatensatz. Als Frist für die Aufnahme von Verhandlungen haben die Kriminellen Freitag, den 10. Oktober, gesetzt. Ein übergeordneter Eintrag – der vierzigste – wendet sich direkt an Salesforce. Die insgesamt rund eine Milliarde Einträge würden die Täter nicht veröffentlichen, sollte das Unternehmen die Cybergangs kontaktieren und Verhandlungen aufnehmen. Dann müssten auch die einzelnen erpressten Unternehmen nicht mehr zahlen.

Bereits im Juni hat Google von der kriminellen Gruppe UNC6040 berichtet, die die Google Threat Intelligence Group (GTIG) beobachtet hat. Die kriminelle Vereinigung greift Unternehmen mit Voice-Phishing-Anrufen an und versucht dabei Zugang zu deren Salesforce-Umgebungen zu erlangen. Im Anschluss stiehlt sie dort Daten und erpresst die Unternehmen damit.

Die Angreifer geben sich bei den betrügerischen Telefonanrufen als IT-Support aus und versuchen, Mitarbeiter mittels Social Engineering zu überzeugen, ihnen Zugriff zu gewähren oder sensible Zugangsdaten zu überlassen. In den beobachteten Fällen haben die Angreifer stets die Endnutzer manipuliert, es kam zu keinem Missbrauch von eventuellen Sicherheitslücken in Salesforce. Im Visier stehen demnach meist Mitarbeiter englischsprachiger Zweige von multinationalen Unternehmen.

Der Messenger Signal hat ein neues Schlüsselaustauschprotokoll für seinen Kommunikationsdienst vorgestellt. "SPQR" soll Nachrichten auch vor Angreifern mit Quantencomputern schützen und ergänzt das von Signal etablierte Double-Ratchet-Verfahren um eine dritte Komponente, weshalb die Entwickler nun von "Triple Ratchet" sprechen.

SPQR steht nicht für den Senat und das Volk von Rom, sondern für "Sparse Post-Quantum Ratchet". Als Post-Quanten-Verfahren bezeichnet man kryptografische Protokolle, die herkömmliche Computer ausführen können, die aber – nach aktuellem Stand der Wissenschaft – auch von Quantencomputern nicht zu knacken sind. Aktuell gibt es zwar keine Quantencomputer, die ansatzweise das Potenzial hätten, übliche Verschlüsselungs- und Signaturverfahren zu attackieren. Aber man fürchtet sich von "Harvest now, decrypt later"-Angriffen. Verschlüsselte Daten könnten heutzutage mitgeschnitten werden, um sie in Zukunft, wenn (und falls) Quantencomputer zur Verfügung stehen, zu entschlüsseln.

Signal nutzt schon seit Längerem das Post-Quanten-Protokoll PQXDH (Post-Quantum Extended Diffie-Hellman), doch dieses dient nur dem initialen Schlüsselaustausch beim Start einer Konversation. SPQR erzeugt dagegen neue Schlüssel in laufender Kommunikation, ähnlich den beiden existierenden "Ratchets", die jedoch nicht sicher vor Quantencomputern sind.

Diese "Ratschen" sind Komponenten des Protokolls, die sich sinnbildlich nur in eine Richtung drehen lassen: Chatteilnehmer können damit laufend neue Schlüssel erzeugen, aus denen sich jedoch keine Rückschlüsse auf ältere Schlüssel ziehen lassen. Dadurch können Angreifer in der Vergangenheit aufgezeichnetes Chiffrat nicht entschlüsseln, selbst wenn sie einen (oder beide) Chatpartner kompromittieren und die aktuellen geheimen Schlüssel erbeuten; eine Eigenschaft, die man "Forward Secrecy" nennt.

Die Laufzeitumgebung für die Spiele-Engine Unity steckt in diversen populären Spielen. Microsoft meldet nun eine schwerwiegende Sicherheitslücke darin, die Angreifern das Ausführen von Schadcode erlaubt. Bis zur Verfügbarkeit von Updates sollen Nutzerinnen und Nutzer betroffene Software deinstallieren, rät der Hersteller.

Microsoft beschreibt die Schwachstelle als "nicht vertrauenswürdigen Suchpfad", was sich mit der Beschreibung des Herstellers Unity zwar deckt, jedoch laut Fehlerbericht des Schwachstellenentdeckers mit dem Handle RyotaK zu kurz greift. Die Unity-Laufzeitumgebung nutzt demnach Intents zur Kommunikation zwischen Komponenten von Apps, und das anscheinend nicht nur unter Android. Angreifer können bösartige Intents nutzen, um Kommandozeilen-Parameter zu kontrollieren, die an Unity-Apps durchgereicht werden. Dadurch können sie beispielsweise beliebige Bibliotheken laden und Schadcode ausführen. Bösartige Apps auf demselben Gerät wie die Unity-Apps können dadurch die Rechte davon erlangen. Dies sei in manchen Fällen sogar aus dem Internet ausnutzbar (CVE-2025-59489 / EUVD-2025-32292, CVSS 8.4, Risko "hoch").

Betroffen sind Apps und Spiele, die mit dem Unity Gaming Engine Editor in Version 2017.1 oder neuer erstellt wurden. Allerdings nicht auf allen Plattformen: Während Nutzerinnen und Nutzer unter Android, Linux, macOS und Windows aktiv werden müssen, können sich jene mit Hololens, iOS, Xbox-Cloud-Gaming und XBox-Konsolen entspannt zurücklehnen; letztere sind nicht anfällig.

Exploit-Code ist laut Microsoft verfügbar. Daher sollten potenziell betroffene Nutzer aktiv werden. Wer verwundbare Microsoft-Apps oder -Spiele einsetzt, sollte diese bis zur Verfügbarkeit eines Updates deinstallieren, empfiehlt der Hersteller. Der arbeitet an Aktualisierungen, nennt jedoch kein geplantes Datum für deren Verfügbarkeit. Entwickler sollen die korrigierte Software von Unity installieren und Updates für ihre Apps oder Spiele so schnell wie möglich veröffentlichen. Neben Spielen sind von Microsoft auch "Mesh PC"-Programme betroffen. Die Version 5.2513.3.0 oder neuer stopft die Sicherheitslücken und soll bereits bei aktiviertem Auto-Update auf betroffenen Maschinen angekommen sein.

Microsoft listet folgende Apps und Spiele als verwundbar auf:

Gut zwei Wochen nach einem Cyberangriff auf einen IT-Dienstleister am Hauptstadtflughafen BER ist der Schaden am elektronischen System der Passagierabfertigung behoben. "Das zentrale System des Dienstleisters Collins Aerospace ist seit Sonntagmorgen wieder am Netz", sagte eine BER-Sprecherin auf eine Anfrage der Deutschen Presse-Agentur.

IT-Fachleute der Flughafengesellschaft hätten am Wochenende damit begonnen, umfangreiche Sicherheitstests durchzuführen. Diese seien bislang erfolgreich verlaufen. "Ab Montag erfolgt die schrittweise Wiederanbindung der Fluggesellschaften an das System", so die Sprecherin.

Die Check-in-Schalter und Boarding-Gates werden dann schrittweise nach einem abgestimmten Wiederinbetriebnahme-Plan angeschlossen. Dann dürfte sich auch die Lage für Reisende normalisieren, die zuletzt längere Wartezeiten bei Check-in, Boarding und in der Gepäckausgabe hinnehmen mussten.

Der Flughafen-Dienstleister war am 19. September Opfer des Cyberangriffs geworden. Betroffen waren mehrere Airports in Europa. Der Hackerangriff legte am BER elektronische Systeme lahm, die für die Passagier- und Gepäckabfertigung genutzt werden.

Betroffen waren nicht zuletzt die Check-in-Schalter. Die Airlines behalfen sich seither damit, das Einchecken der Passagiere zum Teil per Hand zu erledigen, zum Teil mit externer Technik. Alternativ konnten und können Reisende die Self-Service-Stationen mit Automaten im Flughafen nutzen und oft auch selbst Gepäck an Automaten aufgeben.

Stimmen die Voraussetzungen, können Angreifer Dell PowerProtect Data Domain attackieren und Systeme als Root kompromittieren. Sicherheitspatches stehen zum Download bereit.

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler unzählige Schwachstellen in der Anwendung selbst, aber auch in Komponenten wie Bind, FreeType und OpenSSL geschlossen. Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem unbefugt auf Systeme zugreifen (etwa CVE-2025-43914 "hoch") oder sogar Schadcode ausführen.

Verfügt ein Angreifer bereits über hohe Nutzerrechte, kann er sich zum Root-Nutzer hochstufen (CVE-2025-43890 "mittel") und so PCs vollständig kompromittieren. Ob Angreifer bereits Computer attackieren, ist bislang nicht bekannt. Admins sollten sicherstellen, dass eine der gegen die geschilderten Attacken gerüstete Dell PowerProtect-Data-Domain-Version installiert ist:

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Ein Support-Dienstleister für die Messaging- und Social-Media-Plattform Discord ist Opfer eines Cyberangriffs geworden. Dabei sollen Kriminelle auf Kundendaten zugegriffen haben und diese als Druckmittel für eine Erpressung einsetzen.

In einer Stellungnahme weisen die Discord-Betreiber auf die Attacken hin. Sie versichern, dass davon ausschließlich Kunden betroffen seien, die in Kontakt mit dem Support waren. Demzufolge hätten die Angreifer auch nur auf diesen Kontext betreffende Nutzerdaten Zugriff gehabt. Sie versichern, dass Discord direkt nicht betroffen war. Demzufolge konnten die Angreifer keine Chatnachrichten einsehen.

Die Betreiber stellen klar, den IT-Sicherheitsvorfall mittlerweile im Griff zu haben und betroffene Nutzer zu kontaktieren. Wie viele Opfer konkret betroffen sind, ist derzeit nicht bekannt. Die Verantwortlichen geben an, dass die Angreifer unter anderem Ausweisnummern, IP-Adressen, Nachrichten an den Support und Zahlungsinformationen kopieren konnten. Darunter sollen sich aber keine vollständigen Kreditkartennummern und Passwörter befinden.

Sicherheitsforscher legen nahe, dass die erbeuteten Daten weitreichende Folgen haben können. Schließlich können die Angreifer daraus vergleichsweise überzeugend Phishing-Mails für etwa Kryptowährungsbetrug stricken. Demzufolge sollten Discord-Nutzer E-Mails ab sofort noch kritischer beäugen und nicht auf Links in Mails klicken oder sogar Dateianhänge öffnen. Die Angreifer geben an, den Support-Dienstleister Zendesk attackiert zu haben. Das wurde aber von offizieller Seite bislang nicht bestätigt.

Hinter den Attacken sollen die Cyberkriminellen von Scattered Lapsus$ Hunters stecken. Die wollen sich eigenen Angaben zufolge eigentlich aus dem Cybercrimegeschäft zurückziehen. In der Vergangenheit haben sie unter anderem Jaguar und Marks & Spencer erfolgreich attackiert und Schäden in Millionenhöhe verursacht.

Der Softwarehersteller Oracle warnt vor Attacken auf E-Business Suite (EBS). Im Anschluss sollen die unbekannten Täter versuchen, Oracle-Kunden zu erpressen. Admins sollten umgehend die seit Juli dieses Jahres verfügbaren Sicherheitsupdates installieren.

In einem knappen Beitrag weist Oracle auf die Angriffe hin. Dem Softwarehersteller zufolge erhalten einige EBS-Kunden derzeit erpresserische E-Mails. In der Regel laufen solche Attacken so ab, dass Angreifer auf verschiedenen Wegen Zugriff auf Server bekommen, Daten kopieren und mit deren Veröffentlichung drohen. Das geht mit einer Lösegeldforderung einher. Weitere Details zu diesem konkreten Fall und in welchem Umfang die Attacken ablaufen, liegen derzeit nicht vor. Für weiterführende Anfragen sollen Oracle-Kunden den Support kontaktieren.

Oracle gibt an, dass die Angreifer wahrscheinlich an einer im Juli 2025 geschlossenen Sicherheitslücke ansetzen, um Zugriff auf Systeme zu bekommen. Welche Schwachstelle das konkret ist, führen sie nicht weiter aus. In EBS haben sie insgesamt neun Sicherheitslücken geschlossen. Davon sind drei Schwachstellen (CVE-2025-30745 "mittel", CVE-2025-30746 "mittel", CVE-2025-50107 "mittel") aus der Ferne und ohne Authentifizierung ausnutzbar.

Im Zuge des Critical Patch Updates im Juli haben die Entwickler insgesamt 309 Sicherheitsupdates veröffentlicht. Admins von Oracle-Software, insbesondere EBS, sollten sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind. Oracle veröffentlicht Sicherheitsupdates immer gesammelt und quartalsweise. Es gibt aber auch Notfallupdates außer der Reihe, wenn die Umstände es erfordern.

Angreifer hatten Zugriff auf eine GitLab-Instanz von Red Hat und konnten so auf sensible Daten zugreifen. Die Verantwortlichen versichern, dass die Angreifer mittlerweile aus dem System entfernt wurden, sie konnten aber Kundendaten kopieren.

In einem Beitrag bestätigt Red Hat den Vorfall. Sie führen aus, dass die Angreifer Zugriff auf eine GitLab-Instanz des Consultingteams hatten. Dabei sollen die Angreifer Kundendaten, die unter anderem Codeauszüge, interne Kommunikation und bestimmte Geschäftsdaten enthalten, kopiert haben. Die betroffenen Kunden werden derzeit durch den Softwarehersteller kontaktiert.

Red Hat versichert, dass der Sicherheitsvorfall keine ihrer Produkte und Services betrifft. Die Software-Supply-Chain sei intakt und Downloads aus offiziellen Quellen sicher. Accounts und Plattformen wurden eigenen Angaben zufolge nicht kompromittiert. Wie die Attacke ablief, ist derzeit nicht bekannt. Die Untersuchungen laufen noch. Unter den Red-Hat-Kunden sind unter anderem AT&T, T-Mobile und Walmart.

Medienberichten zufolge, etwa auf der IT-Nachrichtenwebsite Bleepingcomputer, stecken die Kriminellen von Crimson Collective hinter dem Angriff. In einer Gruppe des Messengers Telegram geben sie an, 570 GB an Daten kopiert zu haben. Darunter sind ihnen zufolge primär Customer Engagement Reports (CERs), die unter anderem Details zu Netzwerkinfrastrukturen und Zugangstokens enthalten können.

Die Angreifer geben an, Red Hat erpressen zu wollen. Ihr Kontakt wurde aber nur mit einer automatisierten Mail zum Einreichen von entdeckten Sicherheitslücken beantwortet. Weitere Details zu dem Fall sind zurzeit nicht verfügbar.

Die Proxmox Server Solutions GmbH aus Wien hat mit dem Proxmox Mail Gateway 9.0 ihre Open-Source-Plattform für sichere E-Mail aktualisiert. Ebenso wie die Virtualisierungslösung Proxmox VE 9.0 und der Proxmox Backup Server 4.0 arbeitet das Mail Gateway damit auf Basis von Debian GNU/Linux 13.0 "Trixie". Während Debian standardmäßig einen Linux-Kernel 6.12 LTS verwendet, habe sich das Proxmox-Entwicklerteam für einen angepassten Linux-Kernel 6.14.11-2 entschieden.

Das Dateisystem ZFS hat gerade den zweiten Release Candidate für Version 2.4 veröffentlicht (zfs-2.4.0-rc2), Proxmox setzt jedoch auf die neueste stabile ZFS-Version 2.3.4. Als Datenbank-Engine kommt PostgreSQL 17 zum Einsatz. Gegen Spam, Viren, Trojaner und Phishing-E-Mails sollen unter anderem Open-Source-Technologien wie ClamAV 1.4.3 und SpamAssassin 4.0.2 mit aktualisierten Rulesets schützen.

In der Statistik-Ansicht erhalten Nutzerinnen und Nutzer eine Übersicht über ein- und ausgehende sowie Junk-, Virus-Mails und Bounces.

(Bild: Proxmox Server Solutions GmbH)

Das neue Quarantäne-Interface wurde speziell für Mobilgeräte optimiert und ermöglicht es seinen Benutzern, ihre quarantänisierten Nachrichten komfortabel über eine überarbeitete Weboberfläche zu verwalten. Entwickelt mit dem Rust-basierten Yew-Framework soll es die bisherige Implementierung komplett ersetzen.

Die Abhängigkeit von US-amerikanischen IT-Diensten birgt konkrete Risiken. Deutlich wurde dies jüngst etwa im Fall von Karim Khan, Chefankläger des Internationalen Strafgerichtshofs (IStGH), dem Microsoft plötzlich seine Konten sperrte. Grund seien Sanktionen der US-Regierung gegen den IStGH gewesen. Solche "Killswitch"-Aktionen zeigen die Verwundbarkeit auch von europäischen Nutzern. Zudem scannen Dienste wie Microsoft und Google automatisch Inhalte in ihren Cloud-Speichern und melden verdächtige Funde an US-Strafverfolgungsbehörden.

In Episode 144 des c't-Datenschutz-Podcasts widmen sich c't-Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich gemeinsam mit Peter Siering dem Thema digitale Souveränität. Siering, seit 35 Jahren bei heise und Leiter des Ressorts Systeme und Sicherheit, bringt seine langjährige Erfahrung mit Microsoft-Produkten und Open-Source-Alternativen in die Diskussion ein.

(Bild: c't-Ressortleiter "Systeme & Sicherheit" Peter Siering in der Auslegungssache)

[Link auf Beitrag 4807783]

Für den Ausstieg aus Microsoft 365 empfiehlt Siering Nextcloud als zentrale Alternative. Die Open-Source-Software bietet kollaborative Dokumentenbearbeitung, Chat und Videokonferenzen. Kleine Unternehmen können diese Lösung über lokale Systemhäuser beziehen, müssen aber Schulungsaufwand und Umstellungspannen einkalkulieren, wie Siering betont. Der Wechsel erfordere Investitionsbereitschaft.

Am Beispiel der Kommunalwahlen Ontarios 2022 zeigen kanadische Forscher hohes Wahlbetrugsrisiko bei Online-Wahlen auf. Die Forscher dreier Universitäten haben zwar die Wahlserver nicht überprüft, aber schon bei den E-Voting-Webseiten Fehler gefunden. Noch schwerer wiegt die Handhabung der für die Stimmabgabe notwendigen Codes. In 70 Prozent der Kommunen mit Online-Wahl war das Wahlbetrugsrisiko hoch oder extrem.

Bei den Kommunalwahlen Ontarios 2022 waren 10,7 Millionen Personen wahlberechtigt. Etwa die Hälfte der Kommunen, generell kleinere, bot Online-Stimmabgabe an. Von diesen haben mehr als 70 Prozent die Stimmabgabe mittels papierenem Stimmzettel überhaupt abgeschafft. Insgesamt hätten 3,8 Millionen Ontarier online oder per Telefon abstimmen können.

Sechs E-Voting-Anbieter teilen sich den Markt der bevölkerungsreichsten Provinz Kanadas auf. Intelivote bedient die größte Zahl an Kommunen, Scytl die größte Zahl an Wahlberechtigten. In den zur Stimmabgabe aufgesetzten Webseiten des Marktführers Scytl sowie dem in Ontario weniger bedeutenden Anbieter Neuvote haben die Forscher eine Sicherheitslücke gefunden: Mittels cross-site framing attack war es Angreifern möglich, Wähler bei der Online-Stimmabgaben zu betrügen.

Denn die Stimmabgabe-Webseiten waren nicht gegen Einbettung in HTML iframes geschützt. Mit einem zwischengeschalteten Proxy und iframes und wäre es beispielsweise möglich gewesen, die angezeigte Reihenfolge der Kandidaten zu manipulieren, sodass die Stimme des Wählers vom Server anders registriert wurde, als der Wähler glaubte, zu wählen.

Das haben die Forscher Scytl demonstriert, das am nächsten Tag eine Abhilfemaßnahme ergriffen hat. Bei Neuvote haben die Forscher die Lücke zu spät bemerkt, um noch vor dem Wahlgang eingreifen zu können. Ob es solche Angriffe gegeben hat, ist unbekannt.

Angreifer können Systeme mit OpenSSL attackieren und unter bestimmten Voraussetzungen private Schlüssel wiederherstellen. Außerdem kann Schadcode auf PCs gelangen. Dagegen gerüstete Versionen stehen zum Download bereit.

Mit der freien OpenSSL-Software realisiert man unter anderem verschlüsselte Internetverbindungen auf TLS-Basis.

In einer Warnmeldung listen die Entwickler die Softwareschwachstellen auf. Am gefährlichsten gilt eine Lücke mit der Kennung CVE-2025-9230 und dem Bedrohungsgrad "hoch". Dabei kann es bei der Entschlüsselung von bestimmten CMS-Nachrichten zu Fehlern kommen, was zu Speicherfehlern (out-of-bounds) führt. Das resultiert in Abstürzen (DoS) oder es kann sogar zur Ausführung von Schadcode kommen.

Die zweite Sicherheitslücke (CVE-2025-9231 "mittel") betrifft ausschließlich 64-Bit-ARM-Plattformen. Dort können entfernte Angreifer mit einer Timing-Side-Channel-Attacke im Kontext von SM2-Signaturen private Schlüssel rekonstruieren.

Die dritte Schwachstelle (CVE-2025-9232 "mittel") kann zu DoS-Zuständen führen. Um die geschilderten Attacken vorzubeugen, sollten Admins zeitnah eine der abgesicherten Versionen installieren:

Nach der öffentlichen Empörung über den Erpressungsversuch eines britischen Kindergartenbetreibers durch Cyberkriminelle hat die Gang angeblich alle erbeuteten Fotos und Daten zu 8000 Kindern gelöscht. Das berichtet die BBC unter Berufung auf die Bande, die sich selbst Radiant nennt. Die hat demnach vor Tagen Zugang zu den Systemen von Kido Schools erlangt und dann begonnen, Profile zu einzelnen Kindern im Darknet zu veröffentlichen, um ein Lösegeld zu erpressen. Später seien dann sogar betroffene Eltern direkt kontaktiert worden, um Druck für die Zahlung der geforderten Summe zu erzeugen. Offenbar wurden sie dann aber von der öffentlichen Empörung überrascht. Zuerst hätten sie die erbeuteten Fotos weichgezeichnet und jetzt angeblich alle Daten gelöscht sowie sich entschuldigt.

Das britische Unternehmen Kido Schools betreibt zahlreiche Kindergärten in Großbritannien, den USA und Indien, von dem Cyberangriff waren Medienberichten zufolge aber nur die britischen Einrichtungen betroffen. Laut der BBC hat die Gang namens Radiant den Zugang zu den Systemen von Kido Schools nicht selbst erlangt, sondern einem anderen Cyberkriminellen abgekauft. Radiant habe dann mit dem Erpressungsversuch begonnen. Insgesamt wollte die Bande demnach wohl etwas über 110.000 Euro in Form von Bitcoin erpressen. Die Londoner Polizei hatte laut Reuters Ermittlungen aufgenommen, die aber nicht weit fortgeschritten waren.

Während die Cyberkriminellen nun aber behaupten, dass sie den Erpressungsversuch aus moralischen Gründen beendet hätten, meint die Cybersicherheitsexpertin Jen Ellis gegenüber der BBC, dass die Ursache wohl eigentlich eine andere gewesen sei. Die Bande sei "sichtlich schockiert", welche Aufmerksamkeit der Angriff bekommen habe und würde jetzt versuchen, ihre Marke zu schützen. Zudem kann gar nicht überprüft werden, ob die erbeuteten Daten tatsächlich gelöscht wurden. Der britische Nachrichtensender hat nach eigenen Angaben aber zumindest Hinweise erhalten, dass Kido Schools das geforderte Lösegeld nicht bezahlt hat. Für die Cybergang wäre der Angriff damit ein Verlustgeschäft. Zudem gebe es Hinweise, dass Radiant vergleichsweise unerfahren ist, schreibt die BBC noch.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Statistiken der Sicherheitsforscher von Shadowserver zufolge sind weltweit noch zehntausende Cisco-Firewalls verwundbar. Sicherheitspatches sind vorhanden, aber offensichtlich bis jetzt nicht überall installiert. Davon sind auch Instanzen in Deutschland betroffen.

Durch das erfolgreiche Ausnutzen einer "kritischen" Lücke (CVE-2025-20333) schieben Angreifer mit Root-Rechten Schadcode auf Systeme und kompromittieren sie. Die Lücke findet sich in der VPN-Web-Server-Komponente von Cisco Secure Firewall Adaptive Security Appliance (ASA) Software und Cisco Secure Firewall Threat Defense (FTD) Software.

In einer Warnmeldung finden Admins nach der Eingabe von bestimmten Daten Hinweise auf für sie passende Sicherheitspatches. Die Lücken sind seit Ende vergangener Woche bekannt.

Eine aktuelle Statistik von Shadowserver zeigt, dass es noch über die ganze Welt verteilt verwundbare Instanzen gibt. Mit fast 20.000 Firewalls führen die USA die Liste an. In Deutschland sind zum Zeitpunkt dieser Meldung noch fast 2400 Instanzen angreifbar. Demzufolge sollten Admins umgehend handeln und ihre Netzwerke durch die Installation von Sicherheitspatches vor den laufenden Attacken schützen.

Die Ransomwaregang Medusa wollte über einen Innentäter Zugriff auf das Netzwerk der öffentlich-rechtlichen Rundfunkanstalt des Vereinigten Königreichs BBC erlangen, um sie zu erpressen. Sie lockten den Reporter mit einer Beteiligung an der Lösegeldsumme.

Wie er in einem Beitrag ausführt, wurde er über den Messenger Signal angeschrieben und die Kriminellen boten ihm 15 Prozent an. Den Gesamteinnahmen der BBC und der Lösegeldsumme zufolge müsse er dann nie wieder arbeiten, argumentierten sie.

Der Reporter gibt an, dass die Kriminellen versucht haben, sein Vertrauen zu erlangen, ihn aber auch unter Druck gesetzt haben. Er sollte ihnen seine internen Zugangsdaten schicken und Code auf seinem Arbeitscomputer ausführen. Das hat er aber nicht gemacht.

Dann versuchten die Angreifer, sich in seinen Account einzuloggen und er bekam eigenen Angaben zufolge im Minutentakt Nachrichten seiner Multi-Faktor-Authentifizierungs-App (MFA) aufs Smartphone geschickt. Hätte er darauf geklickt, hätte er den Angreifern die Tür zu seinem Account geöffnet. So ein MFA-Bombing führte etwa 2022 zum Uber-Hack.

Ab diesem Moment hat er die IT-Sicherheitsabteilung der BBC eingeschaltet und den Chat ignoriert. Dieser wurde dann von den Kriminellen gelöscht.

Drei Sicherheitslücken gefährden PCs, auf denen VMware Cloud Foundation, NSX, NSX-T, Telco Cloud Infrastructure, Telco Cloud Platform oder vCenter Server installiert sind. Sind Attacken erfolgreich, können Angreifer unter anderem eigentlich geschützte Daten einsehen.

In einer Warnmeldung führen die Entwickler drei mit dem Bedarfsgrad "hoch" eingestufte Sicherheitslücken (CVE-2025-41250, CVE-2025-41251, CVE-2025-41252) auf. Ist ein Angreifer bereits authentifiziert und kann geplante Aufgaben anlegen, soll er in diesem Kontext versendete E-Mails manipulieren können. Ohne Authentifizierung sind unbefugte Zugriffe auf Nutzernamen möglich, die Angreifer im Anschluss für Brute-Force-Attacken nutzen können.

Bislang gibt es keine Berichte, dass bereits Attacken laufen. Admins sollten aber nicht zu lange warten und die Sicherheitsupdates zeitnah installieren. Gegen die geschilderten Angriffe sind die folgenden Versionen geschützt:

Zuletzt sorgten "kritische" Lücken in unter anderem VMware ESXi für Schlagzeilen, weil Admins die verfügbaren Sicherheitspatches offensichtlich nicht flächendeckend installiert haben.