Comretix Blog

Der Europäische Gerichtshof (EuGH) hat am Donnerstag seine Rechtsprechung zum Ausgleich von Schäden auf Basis der Datenschutz-Grundverordnung (DSGVO) erneut präzisiert. Ein Arbeitssuchender hat demnach bei einem Datenschutzverstoß des potenziellen Arbeitgebers prinzipiell Anspruch auf Schadenersatz und Schmerzensgeld, auch wenn er keinen materiellen Schaden nachweisen kann. Ausgelöste negative Gefühle können ausreichen.

Hintergrund des Falls: Ein Bewerber, der sich bei der Berliner Quirin-Privatbank Online-Karrierenetzwerk beworben hatte, erhielt eine unerwartete Benachrichtigung. Auslöser: Eine Mitarbeiterin des Finanzinstituts hatte über den Messenger-Dienst des Netzwerks eine vertrauliche Nachricht an den Jobsuchenden an eine dritte Person geschickt, die der Bewerber kannte. Die Nachricht enthielt vertrauliche Informationen über die Gehaltsverhandlungen des Bewerbers, insbesondere die Ablehnung seiner Gehaltsvorstellungen und ein neues Gehaltsangebot. Sie war eigentlich nicht für Außenstehende bestimmt.

Der Dritte, ein ehemaliger Kollege des Bewerbers, leitete die Nachricht an ihn weiter, um herauszufinden, ob er auf Jobsuche war. Daraufhin reichte der Arbeitssuchende Klage gegen die Quirin-Bank ein. Er forderte von ihr, die Verarbeitung seiner Bewerbungsdaten einzustellen, um weitere unbefugte Offenlegungen zu verhindern. Zudem verlangte er Schadensersatz für den immateriellen Schaden, den er erlitten hatte.

Dieser Schaden entstand ihm zufolge, weil er sich Sorgen machte, dass die vertraulichen Informationen von der dritten Person aus der Branche an frühere oder potenzielle Arbeitgeber weitergegeben werden könnten. Der Bewerber befürchtete zudem einen Wettbewerbsnachteil und fühlte sich durch die Offenlegung seiner gescheiterten Gehaltsverhandlungen gedemütigt. Der Bundesgerichtshof (BGH) verwies den Fall an den EuGH zur Klärung von Fragen zur DSGVO.

Die Luxemburger Richter haben mit ihrem am Donnerstag verkündeten Urteil in der Rechtssache C-655/23 nun entschieden: Negative Gefühle wie Sorge, Ärger oder der Eindruck des Kontrollverlusts über die eigenen Daten können einen immateriellen Schaden darstellen. Eine finanzielle Entschädigung ist möglich, wenn der Kläger nachweisen kann, dass er diese negativen Gefühle tatsächlich empfunden hat.

Rufen Windows-Nutzerinnen und -Nutzer mit gewöhnlichen Benutzerrechten nach der Installation der August-Updates bestimmte Programme oder etwa die Reparaturfunktion von MSI-Installern auf, erhalten sie neuerdings einen Benutzerkontensteuerungs-Prompt (UAC). Installationen können deshalb auch fehlschlagen. Darauf weist Microsoft jetzt hin.

In einem Beitrag in den Windows-Release-Health-Notizen erklärt Microsoft das neue Verhalten von Windows. Grundsätzlich will Microsoft mit dem Update eine Sicherheitslücke im Windows-Installer schließen, durch die Angreifer aufgrund "schwacher Authentifizierung" ihre Rechte im System ausweiten können (CVE-2025-50173 / EUVD-2025-24338, CVSS 7.8, Risiko "hoch"). Der Lösungsansatz besteht darin, einen Prompt der Benutzerkontensteuerung zum Vergeben der nötigen Administratorrechte anzuzeigen, sofern Aktionen des Windows-Installers (MSI) wie Reparaturen und ähnliche ausgeführt werden sollen.

Microsoft listet auf, dass diese Änderung nun in Benutzerkontensteuerungs-Rückfragen in einigen Szenarien sorgen kann: Beim Aufruf von MSI-Reparaturoperationen (etwa mittels "msiexec /fu" [sic!]), beim Start von Autodesk-Apps, AutoCAD, Civil 3D oder Inventor CAM, sowie bei der Installation einer MSI-Datei, nachdem Nutzer sich das erste Mal in der App angemeldet haben. Außerdem können UAC-Prompts bei Installation von Apps auftreten, die sich als Benutzer installieren lassen, beim Start von Windows-Installern bei einem Active Setup, beim Verteilen von Paketen mittels Manager Configuration Manager (ConfigMgr), die auf Nutzer-spezifische "Advertising"-Konfigurationen zurückgreifen und beim Aktivieren des Secure Desktops.

Weiter erklären Microsofts Entwickler, dass Installationen mit einer Fehlermeldung fehlschlagen können. Das passiert etwa, wenn Nutzer mit Standardrechten eine MSI-Reparaturfunktion anstoßen, die keine Dialoge anzeigt. Als Beispiel nennen die Redmonder die Installation und den Start von Microsoft Office Professional Plus 2010 als Standardnutzer. Im Konfigurationsvorgang erscheint dann der Fehler 1730.

Als Gegenmaßnahme empfiehlt Microsoft, die App nach Möglichkeit als Administrator zu starten. Etwa aus dem Startmenü oder aus den Suchergebnissen heraus durch Rechtsklick und der Auswahl "Als Administrator ausführen". IT-Verwalter können bei Microsofts Support for Business eine spezielle Gruppenrichtlinie anfordern, die dann offenbar Standardnutzern die Möglichkeit bietet, Apps als Admin auszuführen.

Nach einem IT-Angriff auf Jaguar Land Rover stehen in Großbritannien Produktion und Vertrieb still. Am Dienstag wurden zahlreiche Mitarbeiter nach Hause geschickt, weil sie ohne die heruntergefahrenen IT-Systeme nicht arbeiten können. Auf einer Messaging-App sind nun öffentliche Bekenntnisse zu der Tat aufgetaucht.

Eine Bande namens Scattered Lapsus$ Hunters prahlt mit der Straftat und hat als Beweis des erfolgreichen Eindringens in die Computer Jaguar Land Rovers (JLR) Screenshots gepostet. Das berichtet die BBC (British Broadcasting Corporation). Die Postings sind auf Englisch verfasst. Außerdem hat sich eine Person, die sich als Sprecher der Bande geriert, in nicht öffentlich ausgetauschten Textnachrichten auf Englisch verständigt.

Daraus gehe hervor, dass JLR erpresst werden soll. Der Autohersteller hat bislang keine Details zur Vorgehensweise, zur Art der kopierten Daten oder zu etwaigen Geldforderungen gemacht. Nur soviel: Es gäbe zum jetzigen Zeitpunkt keine Hinweise darauf, dass Kundendaten heruntergeladen wurden.

Ein weiteres Indiz, das, neben der Sprachwahl, auf inländische Täter deutet, ist der Name, den sich die Gruppe gegeben hat. Er soll offenbar darauf hinweisen, dass es sich um versprengte Mitglieder dreier krimineller Gruppen handelt, die sich vor allem aus jungen Briten zusammensetzen. Dazu gehört Scattered Spider, die im April und May die Einzelhändler M&S (Marks & Spencer), Co-op und Harrods angegriffen hat. Im Juli wurden in England eine 20 Jahre alte Frau, zwei 19-jährige Männer und ein siebzehnjähriger Bursche verhaftet.

Lapsus$ ist seit Jahren amtsbekannt, hat sie doch prominente Einrichtungen angegriffen: Zu den bekannten Opfern zählen Rockstar Games, das brasilianische Gesundheitsministerium, Nvidia, Samsung, Ubisoft, T-Mobile, Microsoft, Uber und die British Telecom. Ende 2023 wurde ein minderjähriger Brite schuldig befunden, ein gerade großjährig gewordener Landsmann in die forensische Psychiatrie gesteckt. Seine Begier, weitere IT-Straftaten zu begehen, ist so groß, dass er als Gefahr für die Öffentlichkeit eingestuft werden musste. Der Dritte im Bunde, Shinyhunters ist vor allem für den Einbruch bei Ticketmaster und den einstigen Mitbetrieb des Breachforums bekannt.

Der letzte rekordverdächtige Überlastungsangriff ist noch gar nicht so lange her, da vermeldet Cloudflare schon den nächsten beobachteten Spitzenwert. Am Montag erreichte ein Distributed-Denial-of-Service-Angriff (DDoS) in der Spitze eine Last von 11,5 Terabit pro Sekunde. Das entspricht umgerechnet mehr als 1,4 Terabyte je Sekunde oder dem Inhalt von 184 randvollen DVDs.

Das hat Cloudflare am Montagabend auf der Platform X mitgeteilt. "Cloudflares Abwehrmechanismen haben Überstunden geschoben. Über die vergangenen Wochen haben wir autonom hunderte hochvolumige DDoS-Attacken blockiert", schreibt das Unternehmen dort. "Die Größten erreichten Spitzenwerte von 11,5 Tbps". Dabei sendeten die Angreifer 5,1 Milliarden Pakete pro Sekunde (Bpps). Bei letzterer handelte es sich demnach um eine UDP-Flood-Attacke, die ihren Ausgangspunkt hauptsächlich in der Google-Cloud hatte. Die Zeitspanne, die der Höchstlast-Angriff einnahm, war etwa 35 Sekunden lang, schreibt Cloudflare weiter.

Details noch unklar

Weitere Details bleiben derzeit unklar, etwa, wer Ziel der Angriffe war und ist. Cloudflare hat jedoch eine vollständige Übersicht in einem "kommenden Bericht" angekündigt. Darin dürften dann auch das konkrete Datenvolumen der Attacke und ähnliche Details zu finden sein.

Erst Mitte Juni hat Cloudflare zuletzt einen Rekordwert für DDoS-Angriffe gemeldet. Dort sprach das IT-Unternehmen von dem "'größten jemals registrierten' Denial-of-Service-Angriff (DDoS) mit bislang kaum für möglich gehaltenen 7,3 Terabit pro Sekunde (TBit/s)", den es Mitte Mai dieses Jahres blockiert habe. In 45 Sekunden kam dabei ein Datenvolumen von 37,5 Terabyte zusammen.

Zuvor hat es Mitte April 2025 die bis dahin größte Attacke mit 6,5 TBit/s gegeben, wie Cloudflare im Threat-Report des ersten Quartals anmerkte. Dafür kamen 4,8 Milliarden Pakete pro Sekunde seitens der Täter zum Einsatz.

Geräte mit Android 13, 14, 15 und 16 sind verwundbar. Angreifer können an verschiedenen Schwachstellen ansetzen, um Smartphones und Tablets im schlimmsten Fall vollständig zu kompromittieren. Bislang gibt es keine Berichte, dass bereits Attacken laufen. Sicherheitspatches stehen für ausgewählte Geräte zum Download bereit.

In einer Warnmeldung stufen die Android-Entwickler eine "kritische" Lücke (CVE-2025-48539) im System am gefährlichsten ein. Davon sind Android 15 und 16 betroffen. Der knappen Beschreibung der Lücke zufolge sollen Attacken aus der Ferne ohne zusätzliche Ausführungsberechtigungen und ohne ein Zutun von Opfern möglich sein. Die Entwickler haben noch weitere Schwachstellen in Systemkomponenten geschlossen. Sind Attacken an diesen Stellen erfolgreich, können sich Angreifer primär höhere Nutzerrechte verschaffen. Es können aber auch Daten leaken oder Dienste abstürzen (DoS). Die Schwachstellen sind mit dem Bedrohungsgrad "hoch" eingestuft.

Sicherheitslücken mit solchen Auswirkungen betreffen auch das Framework. Wie Attacken in diesen Fällen konkret ablaufen können, geht derzeit aus der Warnmeldung nicht hervor. Eine weitere Schwachstelle (CVE-2025-32332 "hoch") betrifft die DRM-Komponente Widevine. Ferner haben die Entwickler noch Lücken im Kernel und verschiedenen Komponenten von Arm, Imagination, MediaTek und Qualcomm geschlossen. In diesem Kontext sind beispielsweise Angriffe auf die Modem- und WLAN-Komponente möglich.

Die Entwickler versichern, die Lücken in den Patch Levels 2025-09-01 und 2025-09-05 geschlossen zu haben. Die Sicherheitsupdates gibt es für noch im Support befindliche Pixel-Geräte von Google (siehe Kasten). Darüber hinaus stellen noch unter anderem Samsung und Huawei monatlich Updates für ausgewählte Geräte zum Download bereit.

Durch ein Sicherheitsproblem bei Salesloft Drift, einem Unternehmen, das etwa KI-Chatbots für Kunden bereitstellt, konnten Angreifer Zugriffstoken unter anderem auf Salesforce-Instanzen stehlen. Damit haben die Kriminellen aus der Gruppe UNC6395 in den zugreifbaren Systemen Kundendaten abgegriffen. Immer mehr betroffene Unternehmen melden sich. Darunter auch große und namhafte, neben Google etwa auch Cloudflare, Palo Alto oder Zscaler.

Zunächst ging Google damit an die Öffentlichkeit und legte am Wochenende nach, dass nicht nur die Salesloft-Drift-Salesforce-Integration betroffen ist, sondern auch andere Integrationen wie "Salesloft Drift Email" OAuth-Token für Angreifer verfügbar machte, mit denen die unbefugt auf die Dienste zugreifen konnten. Inzwischen hat Salesloft die Token zurückgezogen, Betroffene müssen neue erstellen.

Cloudflare erklärt das Ausmaß des Datenlecks bei Salesforce in einem Blog-Beitrag. Demnach konnte im Wesentlichen auf Kunden-Kontaktinformationen und einfache Supportfall-Informationen zugegriffen werden. In einzelnen Fällen können die Support-Interaktionen jedoch Informationen zu Kundenkonfigurationen und sogar sensible Daten wie Zugriffstoken umfassen. Jedwede Information, die Kunden mit dem Cloudflare-Support in Salesforce geteilt haben, sollen Kunden als kompromittiert betrachten, erörtert Cloudflare. Zudem rät das Unternehmen, die Zugangsdaten zu erneuern. Bei der Analyse sind die Cloudflare-Analysten auf 104 API-Keys gestoßen, zu denen zwar keine verdächtigen Aktivitäten feststellbar waren, die aus Sicherheitsgründen jedoch rotiert wurden. Cloudflare-Infrastruktur sei bei dem Vorfall nicht kompromittiert worden.

Auch Palo Alto Networks zählt sich zu den Betroffenen und schreibt in einem Blog-Beitrag, dass das Experten-Team der Unit 42 den Vorfall untersucht hat. Dabei stellte sich heraus, dass der Vorfall ausschließlich auf die CRM-Plattform von Palo Alto beschränkt war. Keine Netzwerkprodukte oder Dienste seien betroffen. Abgezogene Daten könnten lediglich Geschäfts-Kontaktinformationen, interne Sales-Konten und rudimentäre Supportfall-Informationen von Kunden umfassen. Eine begrenzte Anzahl von Kunden wolle man kontaktieren, deren Daten möglicherweise exponiert waren.

Bereits am Dienstag wurde bekannt, dass Zscaler auch zu den Opfern gehört. Dem Zscaler-Blog zufolge haben Kriminelle mit kompromittierten Zugangstoken auch auf Salesforce-Instanzen des Unternehmens Zugriff erlangt und konnten dabei Kundendaten einsehen. Dazu gehören Namen, Geschäfts-E-Mail-Adressen, Job-Bezeichnungen, Telefonnummern, Informationen zum Aufenthaltsort, Daten zu lizenzierten Zscaler-Produkten und kommerzielle Informationen sowie Klartextinformationen zu bestimmten Supportfällen – immerhin ohne Anhänge, Dateien und Bilder.

Beim Autmobilhersteller Jaguar Land Rover (JLR) ist es zu einem IT-Vorfall gekommen. IT-Systeme wurden heruntergefahren, die Produktion und der Vertrieb sind von Störungen betroffen.

Am Dienstag hat der Hersteller JLR eine knappe Mitteilung dazu veröffentlicht. "JLR wurde durch einen Cybervorfall beeinträchtigt", schreibt das Unternehmen. "Wir haben umgehend Maßnahmen ergriffen, um die Auswirkungen einzudämmen, indem wir unsere Systeme proaktiv heruntergefahren haben." JLR arbeite "mit Hochdruck daran, unsere globalen Anwendungen kontrolliert wieder in Betrieb zu nehmen." Es gäbe zum jetzigen Zeitpunkt keine Hinweise darauf, dass Kundendaten gestohlen wurden, "aber unser Verkauf und die Produktion wurden erheblich gestört."

Weiterreichende Informationen gibt das zum indischen Tata-Konzern gehörende Unternehmen nicht. Die BBC berichtet davon, dass die zwei Produktionsstätten im Vereinigten Königreich davon betroffen sind. Die Auswirkungen seien jedoch global. Die BBC führt aus, dass der Angriff bereits am Sonntag begann. Das sei ein wichtiger Zeitpunkt für den Autoverkauf im Vereinigten Königreich, da die neueste Charge neuer Nummernschilder seit Montag, dem 1. September, erhältlich ist. Das sei traditionell ein beliebter Zeitpunkt für Verbraucher, ein neues Fahrzeug zu übernehmen.

Sowohl die Produktionsstätte Halewood in Merseyside, als auch das Werk in Solihull haben Arbeiter nach Hause geschickt. Das Unternehmen hat den Mitarbeitern E-Mails geschickt und darin mitgeteilt, dass die Empfänger nicht zur Arbeit kommen sollen.

Wer hinter dem Angriff steckt, ist bislang unklar. Jaguar Land Rover schweigt sich auch zu Lösegeldforderungen aus. Auf den üblichen Darknet-Leaksites finden sich derzeit auch keine Hinweise auf ein Datenleck.

Bösartige Facebook-Werbung zielt auf Android-Nutzerinnen und -Nutzer ab, die auf Krypto-Plattformen aktiv sind. Die Drahtzieher versuchen, die Krypto-Werte potenzieller Opfer zu stehlen.

Davor warnt das Antivirenunternehmen Bitdefender aktuell. Allgemein scheint dem Unternehmen nach der Glaube zu herrschen, dass Smartphones weniger im Visier von Kriminellen stünden, ein fataler Irrglaube. Bitdefender warnt nun, dass Cyberkriminelle vermehrt Malware über Metas Werbesystem verteilen. Nachdem monatelang Windows-Desktop-Nutzer Hauptziel von gefälschter Werbung für Handels- und Krypto-Plattformen waren, nehmen die Angreifer jetzt zunehmend Android-Nutzer weltweit ins Visier.

Eine vermeintliche kostenlose "TradingView Premium"-App für Android haben die Analysten in einer Welle von bösartigen Werbungen auf Facebook entdeckt. TradinView ist eine bekannte App, deren Logo und Aussehen die Angreifer missbrauchen. Anstatt legitimer Software liefert die Werbung jedoch einen Krypto-Werte-stehlenden Trojaner. Es handelt sich um eine weiterentwickelte Version der Brokewell-Malware.

Die gefälschte Werbung verspricht, das Premium-Abo in der TradingView-App kostenlos nutzen zu können.

(Bild: Bitdefender)

Der US-amerikanische Podcast "Darknet Diaries“, der seit 2017 von seinem Gründer Jack Rhysider produziert wird, erhält eine deutsche Version. Das Originalformat, das unter dem Motto „Wahre Geschichten von der dunklen Seite des Internets“ läuft, hat sich durch seine narrative Aufbereitung von Fällen aus den Bereichen Cyberkriminalität, Hacking und Datenschutz einen Namen gemacht. Allein im Jahr 2019 verzeichnete der Podcast über 8,2 Millionen Downloads.

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli, die sich auch in der Moderation der Episoden abwechseln. Inhaltlich bleibt die Adaption nah am Original und behandelt in den rund 60-minütigen Folgen kriminelle Aktivitäten im digitalen Raum. Es geht um Ransomware-Angriffe, Zero-Day-Lücken und Auftragskiller.

Die erste Staffel der „Darknet Diaries Deutsch“ erscheint ab dem 16. September alle zwei Wochen auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo

In der ESP-IDF-Plattform der ESPHome-Firmwarebasis führt eine nun entdeckte Sicherheitslücke dazu, dass Angreifer eine Authentifizierung umgehen können. Das ermöglicht ihnen sogar, eigene Firmware auf verwundbare Controller zu verfrachten.

ESPHome ist ein Entwicklungssystem, mit dem sich Mikrocontroller einfach in Heimautomatisierungssysteme einbinden lassen. Entwickler erstellen Firmwares auf dieser Basis etwa für Controllerboards mit ESP32-Mikroprozessoren und programmieren eigene Funktionen dazu. ESPHome liefert nützliche Funktionen wie Over-the-Air-Updates (OTA) gleich mit, sodass Programmierer sich nicht weiter damit auseinandersetzen müssen.

Ein neuer Schwachstelleneintrag vom Montag dieser Woche erörtert die Sicherheitslücke in der Firmware. Die ESPHome-Entwickler führen darin aus, dass die "web_server"-Authentifizierungsprüfung der ESP-IDF-Plattform fälschlicherweise bestanden wird, wenn der clientseitig übergebene, Base64-kodierte Autorisierungswert leer ist oder lediglich einen Teil des korrekten Werts enthält. "Das erlaubt Zugriff auf die 'web_server'-Funktionen (einschließlich OTA, wenn es aktiviert ist), ohne jedwede Information über den korrekten Usernamen oder Passwort zu haben", erklären die Programmierer (CVE-2025-57808 / noch kein EUVD, CVSS 8.1, Risiko "hoch").

Der Fehler wurde dem Schwachstelleneintrag zufolge mit ESPHome 2025.8.0 eingeführt – jedoch will der Schwachstellenmelder das Problem auch mit ESPHome 2025.7.5 verifiziert haben. Auf Github geht der Meldende noch etwas tiefer in die Details des Sicherheitsproblems. ESPHome 2025.8.1 oder neuer dichtet das Sicherheitsleck hingegen ab. Aktuell ist das Release ESPHome 2025.8.2 vom Wochenende.

Wer ESPHome-basierte Firmwares auf seinen Internet-of-Things-Geräten einsetzt, sollte die Aktualisierung auf die jüngste Firmware-Basis vornehmen. Aufgrund der Widersprüche zu den verwundbaren Versionen sollten auch ESPHome-Versionen vor 2025.8.0 auf den neuen Stand gebracht werden.

Berichte machen seit Kurzem die Runde, dass 2,5 Milliarden Gmail-Konten in Gefahr seien. Jetzt sieht Google sich genötigt, dazu Stellung zu beziehen. In einer ungewöhnlichen Reaktion betont das Unternehmen, dass seine Schutzmechanismen "stark und effektiv" sind.

Das hat Google am Montag im Workspace-Blog bekanntgegeben. "Die Schutzmechanismen von Google Mail sind stark und effektiv, und die Behauptungen über eine größere Google Mail-Sicherheitswarnung sind falsch", übertitelt Google den Beitrag und erklärt darin, dass "mehrere nicht zutreffende Behauptungen kürzlich aufgetaucht seien, dass wir eine breite Warnung an alle Gmail-Nutzerinnen und -Nutzer über ein großes Gmail-Sicherheitsproblem herausgegeben haben". Das sei komplett falsch.

"Obwohl Phisher immer nach Wegen suchen, um auf Postfächer zuzugreifen, blockieren unsere Schutzmechanismen weiterhin mehr als 99,9 Prozent der Versuche mit Phishing und Malware, damit sie die Benutzer nicht erreichen", erklärt Google weiter.

Ein Zusammenhang der Meldungen mit kompromittierten Anmeldetoken in der KI-Chatbot-Plattform Salesloft Drift liegt jedoch nahe. Die Untersuchung hatte Googles Threat Intelligence Group (GTIG) am Wochenende aktualisiert.

Demnach fanden die GTIG-Forscher heraus, dass auch OAuth-Token aus der "Salesloft Drift Email"-Integration von kriminellen Gruppierungen missbraucht wurden, um Zugriff auf E-Mails in Google-Workspace-Zugängen zu erlangen. Zugriff war damit auf Workspace-Konten möglich, die die Salesloft-Drift-Integration genutzt haben. Alle Admins von betroffenen Google Workspaces hat Google benachrichtigt – das passt zeitlich und thematisch mit den laut Google fehlerhaften Berichten zusammen.

IBMs Geschäftsintegrationssoftware App Connect Enterprise ist über verschiedene Wege angreifbar. Angreifer können unter anderem Daten manipulieren und Prozesse lahmlegen. Dagegen abgesicherte Versionen sind verfügbar.

In einer Warnmeldung listen IBMs Entwickler drei nun geschlossene Sicherheitslücken auf (CVE-2025-7783 "kritisch", CVE-2025-7338 "hoch", CVE-2025-7339 "niedrig"). Setzen Angreifer an der kritischen Schwachstelle erfolgreich an, können sie durch Manipulation von HTTP-Parametern unter anderem auf eigentlich abgeschottete Informationen zugreifen. Das Ausnutzen der Lücke mit dem Bedrohungsgrad hoch kann DoS-Zustände auslösen.

Noch gibt es keine Berichte zu laufenden Attacken. Admins sollten aber nicht zu lange warten und eine der reparierten Versionen IBM App Connect Enterprise v13- Fix Pack Release 13.0.4.2 oder IBM App Connect Enterprise v12- Fix Pack Release 12.0.12.17 installieren.

Erst kürzlich sind wichtige Sicherheitsupdates für IBM QRadar SIEM erschienen. In diesem Fall können unter anderem Zugangsdaten leaken.

Aktualisierte Versionen der QTS- und QuTS-hero-Firmware von Qnap-Geräten stopfen Sicherheitslecks, die zum Teil als hohes Risiko eingestuft wurden. Angreifer können sie etwa zum Ausführen beliebiger Befehle oder zu Denial-of-Service-Attacken missbrauchen.

Insgesamt elf Schwachstellen hat Qnap am Wochenende gemeldet, die die Firmware-Updates ausbessern. Am gravierendsten fällt eine Befehlsschmuggel-Lücke aus. Sofern Angreifer aus der Ferne Zugriff auf ein Konto erhalten, können sie beliebige Befehle ausführen (CVE-2025-30264, CVSS 7.7, Risiko "hoch"). Bösartige Akteure aus dem Netz können zudem nach Anmeldung eine weitere Lücke ausnutzen, um außerhalb vorgesehener Speicherbereiche zu schreiben und so Speicher verändern oder stören (CVE-2025-30273, CVSS 7.1, Risiko "hoch").

Die Aktualisierungen bessern noch weitere Lücken aus, die jedoch lediglich als mittlerer oder niedriger Bedrohungsgrad gelten. Eine NULL-Pointer-Dereference kann einen Denial-of-Service (DoS) auslösen (CVE-2025-29882), ein Pufferüberlauf zu Modifikation von Speicherbereichen (CVE-2025-30265), weitere NULL-Pointer-Dereferences zu DoS führen (CVE-2025-30267, CVE-2025-30268, CVE-2025-30272, CVE-2025-30274) oder eine Path-Traversal-Schwachstelle Lesezugriff auf nicht erwartete Dateien oder Systemdaten ermöglichen (CVE-2025-30270, CVE-2025-30271, CVE-2025-33032).

Betroffen sind davon QTS 5.2.x sowie QuTS hero h5.2.x. Die gute Nachricht ist, dass Firmware-Updates bereits seit Monaten verfügbar sind, welche die nun gemeldeten Sicherheitslücken schließen: QTS 5.2.5.3145 Build 20250526 sowie QuTS hero h5.2.5.3138 Build 20250519 und jeweils neuere Fassungen korrigieren die sicherheitsrelevanten Fehler.

Admins sollten auf ihrem Qnap-Gerät nachschauen, ob die Aktualisierung bereits installiert wurde. Nach Anmeldung als Administrator an der Benutzeroberfläche gelingt das über "Control Panel" – "System" – "Firmware Update". Unter "Live Update" führt der Klick auf "Check for Update" zum Herunterladen und Installieren der jüngsten Firmware-Version.

Die britische Regierung wollte im Rahmen ihrer "Snoopers' Charter", einem umfassenden Spionagegesetz namens Investigatory Powers Act, Zugriff auf alle iCloud-Daten von Apple – und nicht nur solche, die der Konzern besonders absichert. Das berichtet die Financial Times unter Berufung auf Dokumente der Administration unter dem Labour-Ministerpräsidenten Keir Starmer, der damit die Politik der konservativen Vorregierung unter den Tories weiterzuführen scheint.

Demnach möchte Großbritannien offenbar unlimitierten Zugriff auf alle iCloud-Daten weltweit über eine von Apple eigens einzurichtende Hintertür. Dass dies über eine sogenannte – und geheime – Technical Capability Notice (TCN) angefordert worden war, wurde nur dadurch bekannt, weil sich Apple vor einem Spezialtribunal dagegen wehrt. Die US-Regierung hatte bereits ihr Veto eingelegt, Präsident Trump die britischen Pläne gar mit China verglichen. Zuletzt hieß es vonseiten der US-Geheimdienstverantwortlichen Tulsi Gabbard, London habe entschieden, amerikanische Bürger nicht auszuspionieren und die Hintertürpläne zu beerdigen. Allerdings gibt es laut dem Financial-Times-Bericht noch immer keine offizielle Entscheidung der britischen Regierung dazu.

Apple hatte in Großbritannien seine Sicherheitsfunktion Advanced Data Protection (ADP) deaktiviert, die der Konzern zur weiteren Absicherung von iCloud im Jahr 2023 eingeführt hatte. Damit kennt nicht einmal Apple selbst die iCloud-Inhalte, weil sie mit einem Schlüssel verschlüsselt werden, der nur dem Nutzer zur Verfügung steht. iCloud Drive und andere sensible Inhalte wie die von Ermittlern begehrten weil wertvollen Gerätebackups in iCloud sind seither schützbar. Beobachter waren davon ausgegangen, dass die britische Regierung über den Investigatory Powers Act vor allem an diese Inhalte gelangen wollten, doch scheinen die dortigen staatlichen Stellen eine Art Standleitung in die iCloud-Rechenzentren zu fordern.

Was genau in der TCN steht, ist weiterhin geheim. Das derzeit vor dem Spezialtribunal verhandelte Verfahren ist es in großen Teilen auch – eine Öffentlichmachung der Inhalte ist nur deshalb möglich, weil beide Parteien von hypothetischen Anordnungen ("assumed facts") sprechen, eine Art juristischer Trick, damit sich die Anwälte nicht strafbar machen. Laut Financial Times würden weitere Informationen dazu, was die britische Regierung genau verlangt, nur dann bekannt, wenn Apple das Verfahren gewinnt. Ob das so sein wird, steht jedoch in den Sternen.

Laut der Dokumente, die die Financial Times einsehen konnte, enthält die TCN eine Verpflichtung "zur Bereitstellung und Aufrechterhaltung einer Funktion zur Offenlegung von Datenkategorien, die in einem cloudbasierten Backup-Dienst gespeichert" seien. In dem Dokument steht zudem schwarz auf weiß, dass die britische Regierung nicht nur Informationen britischer Nutzer einsehen will (oder solcher, die sich in Großbritannien aufhalten), sondern "global für alle relevanten Datenkategorien aller iCloud-Nutzer". Was die EU-Kommission von der Schnüffelforderung der Briten hält, die auch EU-Bürger betreffen würde, ist bislang unklar.

Angreifer können auf Windowssysteme mit Acronis Cyber Protect Cloud Agent zugreifen und sich unter anderem höhere Nutzerrechte verschaffen. Ein Sicherheitspatch steht zum Download zur Verfügung.

Wie aus einer Warnmeldung hervorgeht, ist der Ansatzpunkt eine Schwachstelle mit dem Bedrohungsgrad "hoch" (CVE-205-9578). Offensichtlich läuft die Rechtevergabe für bestimmte Ressourcen nicht ganz sauber und ein Angreifer kann an dieser Stelle ansetzen.

Klappt eine Attacke, können Angreifer unter anderem Daten manipulieren und sich höhere Nutzerrechte verschaffen. Wie ein solcher Vorfall im Detail ablaufen könnte, ist bislang unklar. Zurzeit gibt es keine Hinweise auf laufende Attacken.

Die Schwachstelle hat ein Sicherheitsforscher über die Bug-Bounty-Plattform Hackerone gemeldet und dafür 250 US-Dollar bekommen.

Die Entwickler versichern, dass sie die Version C25.08 von Acronis Cyber Protect gegen die geschilderte Attacke gerüstet haben. Alle Ausgaben bis einschließlich Build 40734 sollen hingegen verwundbar sein.

Etwa seit Oktober 2023 bietet WhatsApp die Möglichkeit der Anmeldung mit der passwortlosen Lösung Passkeys an. Diese weitet die Meta-Tochter nun auf die Backup-Funktion für Chats aus. Zunächst können Nutzer der Beta-Version 2.25.24.15 und neuer für Android diese Funktion testen.

Die Backup-Funktion von WhatsApp besitzt seit langer Zeit die Möglichkeit der Absicherung über ein benutzerdefiniertes Passwort oder einen 64-stelligen Verschlüsselungscode. Bei dieser Methode mussten Nutzer sich jedoch das Passwort merken oder es an einem sicheren Ort aufbewahren. Wie WABeta-Info schreibt, hätten Nutzer den dauerhaften Zugriff auf ihre verschlüsselten Backups verloren, nachdem sie das Passwort vergessen hatten.

Mit der neuen Passkey-Option wird die Gefahr des Verlusts der Anmeldedaten erheblich reduziert, da Benutzer keine komplexen Passwörter mehr erstellen und sich merken müssen. Denn mit Passkeys erfolgt die Authentifizierung automatisch über die auf dem Gerät oder dem verknüpften Passwortmanager hinterlegten Schlüssel. Damit geht außerdem der Gerätewechsel einfacher vonstatten: Auf einem neuen Smartphone kann der verknüpfte Passwortmanager den Passkey automatisch bereitstellen.

Zur Bestätigung der Identität können Benutzer einfach auf integrierte Verifizierungsmethoden wie Fingerabdruck-, Gesichtserkennung oder das App-Sperrsystem des Geräts zurückgreifen. Dadurch wird der Prozess der Wiederherstellung von Backups sowohl schneller als auch sicherer, während gleichzeitig das Risiko einer Sperrung aufgrund vergessener Anmeldedaten verringert wird.

WhatsApp nutzt zudem unterschiedliche Passkeys für die verschlüsselten Backups und für den Zugriff auf die App. Das heißt, dass WhatsApp mehrere Passkeys für verschiedene Funktionen generieren kann, sodass jede Sicherheitsebene unabhängig bleibt.

Googles Threat Intelligence Group (GTIG) warnt vor einer groß angelegten Kampagne zu Datendiebstahl der kriminellen Gruppe UNC6395. Zunächst schienen die Angriffe mit Salesloft Drift verbundene Salesforce-Instanzen zu betreffen. Neue Analysen zeigen jedoch, dass auch andere mit Salesloft Drift verbundene Systeme gefährdet sind. Alle mit der Drift-Plattform verbundene Authentifizierungstoken müssen als kompromittiert betrachtet werden.

Das schreibt Google in einer aktualisierten Analyse. Zunächst wurde bekannt, dass zwischen dem 8. und mindestens 18. August 2025 die Mitglieder der nicht näher bekannten Gruppe UNC6395 "systematisch große Datenmengen aus Salesforce-Instanzen" von Unternehmen kopiert haben. Dazu haben sie sich mit kompromittierten OAuth-Token Zugriff verschafft, die aus der KI-Plattform Saleslost Drift stammen. Die Google-IT-Forscher gehen davon aus, dass das Ziel der Angreifer ist, weitere Zugangsdaten zu erlangen.

Die IT-Sicherheitsforscher haben beobachtet, wie die Angreifer nach der Datenausleitung diese nach Informationen durchsucht haben, die sich zur Kompromittierung der Umgebungen der Opfer nutzen lassen. Dazu gehören etwa Anmeldeinformationen zu den Amazon Web Services (AWS), im Speziellen die Zugriffsschlüssel (AKIA, für Langzeit-Zugriffe), Passwörter oder Zugriffstoken mit Snowflake-Bezug. Die Angreifer versuchten, durch Löschen der Anfragen ihr Spuren zu verwischen, allerdings haben sie die Logdateien nicht angefasst – Organisationen können die Protokolle noch nach relevanten Spuren für Datenabfluss durchsuchen.

Zunächst hatte Salesloft zusammen mit Salesforce die Zugriffstoken zurückgezogen. Zusätzlich hat das Unternehmen die Drift-App vorerst aus dem Salesforce AppExchange entfernt. Betroffene Organisationen seien von Google, Salesforce und Salesloft benachrichtigt worden. Allerdings ist das Problem weitreichender, wie Googles Threat Intelligence Group nun ergänzt. Nicht nur die Zugangstoken der Salesforce-Integration wurden kompromittiert, sondern potenziell alle Authentifizierungstoken, die von der Salesloft-Drift-Plattform gespeichert oder damit verbunden sind.

Ende vergangener Woche fanden die GTIG-Forscher heraus, dass auch OAuth-Token aus der "Drift Email"-Integration von der kriminellen Gruppierung missbraucht wurden, um Zugriff auf E-Mails in Google-Workspace-Zugängen zu erlangen. Zugriff war damit auf Workspace-Konten möglich, die die Salesloft-Drift-Integration genutzt haben, andere Konten hingegen nicht. Google hat daher die OAuth-Token verworfen, die der Drift-Email-App Zugriff gewähren. Zudem hat das Unternehmen die Integration von Salesloft Drift in Google Workspace deaktiviert, bis die Untersuchungen abgeschlossen sind. Alle Admins von betroffenen Google Workspaces wollen die IT-Sicherheitsforscher benachrichtigen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät, bei der Auswahl digitaler Produkte darauf zu achten, ob es Ausfallrisiken gibt. Eine Sprecherin der Behörde sagte der Deutschen Presse-Agentur auf die Frage, worauf Nutzer bei der Auswahl von Online-Bezahlsystemen achten sollten: "Das BSI empfiehlt Verbraucherinnen und Verbrauchern bei der Auswahl jedweder Produkte eine Auseinandersetzung mit den technischen Gegebenheiten." Dazu gehöre auch die Frage, was mit den eigenen Daten oder den Daten von Angehörigen geschieht. Und: "Gibt es also Ausfallrisiken?"

Gleichzeitig solle man sich informieren, ob der Hersteller eine gute Reputation hat, was den Umgang mit Sicherheit angeht, etwa in Form vertrauenswürdiger Siegel. Die Sprecherin fügte hinzu: "Das BSI empfiehlt Verbraucherinnen und Verbrauchern, sich bei der Entscheidung für ein Produkt oder eine Dienstleistung grundsätzlich nicht nur die Frage zu stellen, ob die Grundfunktionalität hilfreich ist, sondern darauf zu achten, welche Informationen der Anbieter mit Blick auf Sicherheitsvorfälle bereitstellt, etwa entsprechende Maßnahmen und Kontaktmöglichkeiten."

Anfang dieser Woche kam es zur Blockade von Paypal-Lastschriften durch deutsche Banken, weil deren Erkennung von möglichen Betrugsversuchen angeschlagen hatte. Laut Paypal handelte es sich aber lediglich um ein "technisches Problem", das schnell behoben wurde. Dennoch wirkten die abgelehnten Lastschriften noch tagelang nach. Unter anderem lehnte der Handelskonzern Otto noch bis Ende der Woche Zahlungen per Paypal ab.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Meta verteilt derzeit Updates für diverse WhatsApp-Clients, weil es Angreifern möglich war, ohne Zutun der Nutzer Code einzuschleusen. Die Sicherheitslücke im Messenger nutzt einen Fehler bei der Autorisierung bestimmter iPhones, iPads und macOS-Computer aus, wenn Nachrichten automatisch mit den Geräten synchronisiert werden sollen. Sie ist unter CVE-2025-55177 registriert und kann in Verbindung mit Lücken in den Betriebssystemen der Geräte ausgenutzt werden, um über eine URL eine Spyware zu installieren. Per Klick oder Tipp bestätigen müssen die Nutzer der Apple-Geräte dies nicht (Zero-Click-Angriff).

Die betroffenen Versionen WhatsApp for iOS Version 2.25.21.73 oder älter, WhatsApp Business for iOS Version 2.25.21.78 und WhatsApp for Mac version 2.25.21.78 oder älter sollten umgehend aktualisiert werden. In Verbindung mit der schon bekannten Sicherheitslücke CVE-2025-55177 (EUVD-2025-26214, CVSS 8.0, Risiko "hoch")kann der Exploit ausgenutzt werden. Die Lücke in den Betriebssystemen betrifft die Bibliothek "Image I/O" und ermöglicht Einschleusen von ausführbarem Code über manipulierte Bilder. Auch iOS, iPadOS und macOS sollte man daher umgehend auf den neuesten Stand bringen. Wie Meta mitteilt, könnte die Lücke bereits ausgenutzt worden sein.

Laut Donncha Ó Cearbhaill, Chef des Security Lab von Amnesty International, wurde die Lücke auch schon aktiv ausgenutzt. Einige Anwender hätten von WhatsApp Warnmeldungen erhalten, es gäbe Hinweise, dass ihnen eine bösartige Nachricht zugeschickt worden wäre. Dies schreibt der Aktivist auf der Plattform X. Man sei sich nicht sicher, ob das betreffende Gerät erfolgreich kompromittiert worden sei, man empfehle einen vollen Werksreset und künftig stets Betriebssysteme und die WhatsApp-Anwendung aktuell zu halten.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Wie kann ein Angreifer einen Mitarbeiter einer großen Firma dazu bewegen, ihm freiwillig geheime Informationen oder Zugang zum Computernetzwerk zu geben? Er ruft in der Firma an, erzählt eine Geschichte und bittet um Hilfe. Ja, genauso einfach funktioniert das. Man behauptet, im IT-Support zu arbeiten und dringend Informationen über das eingesetzte VPN zu benötigen, um ein Problem im Netzwerk zu debuggen. Ein solcher Betrug heißt dann Vishing (von Voice Phishing), und die Geschichte ist der sogenannte Pretext. In einem aktuellen iX-Artikel werden die Details zu diesen Social-Engineering-Angriffen erklärt.

Wer aber tiefer in die Materie einsteigen möchte, bemerkt schnell, dass es im Gegensatz zum klassischen Phishing per E-Mail kaum Beispiele für Vishing-Angriffe gibt. Keine YouTube-Videos. Nichts! Warum? Weil es in den USA und Europa verboten ist, ein Telefonat ohne das Einverständnis beider Gesprächspartner aufzuzeichnen. Was nicht aufgezeichnet ist, kann nicht auf YouTube landen. Für das Verständnis und die Abwehr von Vishing-Attacken ist es jedoch notwendig, sich solche Telefonate einmal anzuhören. Nur so versteht man, wie Angreifer unter anderem mit eingespielten Hintergrundgeräuschen (Tastaturtippen, Call-Center-Rauschen, Durchsagen am Flughafen, weinendes Kind) schnell eine Atmosphäre schaffen, in der ein Anruf so glaubwürdig wirkt, dass man Dinge ausplaudert, die eigentlich vertraulich bleiben sollten.

Einmal im Jahr gibt es eine Lösung für dieses Problem: die Vishing Competition im Social Engineering Village auf der Hackerkonferenz Def Con in Las Vegas. Dort konnte man Anfang August die US-amerikanische Crème de la Crème der Social-Engineering-Consultants bei der Arbeit beobachten und die Telefonate live mithören.

Der Wettbewerb erfolgt in verschiedenen Phasen. Die teilnehmenden Teams melden sich Monate vorher an und bekommen ein Angriffsziel (in diesem Jahr waren es Fortune-500-Firmen mit vielen Filialen) zugeteilt. Sie müssen per Open Source Intelligence (OSINT) ihr Ziel analysieren und frei verfügbare Informationen sammeln. So entsteht auch eine Liste mit Telefonnummern. Die OSINT-Arbeit der Teams wird von der dreiköpfigen Jury des Wettbewerbs mit einem Punktesystem bewertet. Diese Punkte fließen in die Endbewertung ein und bestimmen die Reihenfolge im Wettkampf. Das schwächste Team fängt an – ein kleiner Vorteil, da der Wettbewerb an einem Freitag stattfindet und im Laufe des Arbeitstages immer mehr potenzielle Ziele ins Wochenende verschwinden. Anrufe auf privaten Handys sind laut Code of Conduct des Wettbewerbs verboten. Ebenso ist es untersagt, Druck oder Angst als Methode einzusetzen – an diesem Punkt weicht der Wettbewerb stark von der Realität ab.

Die Teilnehmer telefonieren mit Headsets in einer schallisolierten Box und tragen teilweise Kostüme, die zum Pretext passen (etwa eine Pilotenuniform beim Angriff auf eine Fluggesellschaft). Gute Verkleidungen bringen Zusatzpunkte. Das Gespräch wird live über Lautsprecher an die rund 300 Besucher im Raum übertragen. Und es wird strikt darauf geachtet, dass niemand ein Gespräch aufzeichnet. Innerhalb des 22-Minuten-Zeitlimits können beliebig viele Telefonate geführt werden. Die Atmosphäre im Raum ist locker: Jurymitglieder werden von den Teilnehmern scherzhaft mit kleinen Geschenken (meist Süßigkeiten, abgelaufene Gutscheine oder Alkohol) im Vorfeld der Telefonate "bestochen".