Comretix Blog

In WhatsApp-Gruppen versuchen Betrüger, an das Geld potenzieller Opfer zu gelangen. Davor warnt aktuell die Verbraucherzentrale Nordrhein-Westfalen. Es handelt sich um Anlagebetrug.

Die Verbraucherzentrale gibt in ihrer Warnung an, zahlreiche Berichte von Betroffenen erhalten zu haben. Demnach wurden sie über WhatsApp-Gruppen in vermeintlich lukrative Geldanlagen gelockt. In den Chats werden sie aufgefordert, bestimmte Kryptowährungen zu erstehen oder auf Online-Handelsplattformen damit zu handeln, oder bestimmte Finanzprodukte zu kaufen. Die Opfer verlieren dabei viel oder alles eingesetzte Geld, anstatt die versprochenen Gewinne einzufahren.

Die Betrüger missbrauchen dabei bekannte Markennamen in den WhatsApp-Gruppen, etwa von bekannten Finanzunternehmen, Börsen- und Finanzexpertinnen und -Experten, Promis oder Politikern. Damit locken die Täter Opfer in die WhatsApp-Gruppen, erklärt die Verbraucherzentrale. Sie werden mit schönen Geschichten geködert: Ein Prominenter habe etwa großen Erfolg mit einem bestimmten Anlagemodell gehabt, oder eine vermeintliche Börsenexpertin erkläre, warum jetzt eine bestimmte Aktie gekauft werden soll. Die missbrauchten Namen haben nichts mit der WhatsApp-Gruppe und den dort beworbenen Angeboten zu tun. Betroffene können in der Regel nicht einmal nachvollziehen, wer tatsächlich hinter den WhatsApp-Gruppen steckt und die dubiosen Empfehlungen gibt.

Die Betrüger arbeiten mit weiteren psychologischen Tricks. So suggerieren sie etwa den Gruppenmitgliedern, zu einer exklusiven Gruppe mit nur begrenzter Mitgliederzahl zu gehören. Sie könnten sich glücklich schätzen, ausgewählt worden zu sein. Wenn die Mitglieder den Anweisungen der angeblichen Experten folgen, könnten sie hohe Gewinne erwarten. Die Gruppen betreut nach Erkenntnissen der Verbraucherzentrale eine Assistenz, es gebe einen regelmäßigen Austausch über Tage und Wochen. Sie beantwortet Fragen und stellt das vermeintliche Anlagemodell näher vor, es gebe sogar Trainings und Workshops dazu.

Die Betrügereien nutzen unterschiedliche Vehikel, den Opfern ihr Geld abzunehmen. Etwa unseriöse Tradingplattformen, auf denen Opfern gelegentlich zunächst sogar kleine Gewinne angezeigt werden, sodass sie größere Summen überweisen – die dann jedoch nicht angelegt werden, sondern bei den Betrügern landen. Eine weitere Variante bringt Opfer dazu, an einer seriösen Kryptobörse Geld in einen Stablecoin zu investieren – und diesen dann auf eine Wallet der Betrüger zu transferieren, womit das Geld ebenfalls futsch ist.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor derzeit laufenden Angriffen auf Schwachstellen in Android, Linux und Sitecore. IT-Verantwortliche sollten die bereitstehenden Updates installieren, um die Lücken abzudichten.

Details nennt die CISA in ihrer Meldung nicht, sondern schreibt lediglich, auf welche Sicherheitslücken bereits Angriffe beobachtet wurden. Etwa im Linux-Kernel attackieren bösartige Akteure eine Time-of-Check Time-of-Use (TOCTOU)-Schwachstelle. Der Beschreibung nach handelt es sich um eine Race-Condition bei den Posix-TImern in den Funktionen handle_posix_cpu_timers() und posix_cpu_timer_del() (CVE-2025-38352 / EUVD-2025-22297, CVSS 7.4, Risiko "hoch"). Informationen zu der Schwachstelle sind seit dem 22. Juli des Jahres bekannt; Patches stehen bereit, die die Linux-Distributionen seitdem aufnehmen konnten. Anfällig sind laut Enisa-Eintrag die Linux-Versionen bis 2.6.36, 5.4.295, 5.10.239, 5.15.186, 6.1.142, 6.6.94, 6.12.34, 6.15.3, 6.16-rc2 und 6.16.

Im Android-Betriebssystem können Angreifer aufgrund einer Use-after-Free-Schwachstelle aus der Chrome-Sandbox ausbrechen und system_server von Android attackieren. Das mündet in einer Rechteausweitung und erfordert keinerlei Nutzerinteraktion (CVE-2025-48543 / EUVD-2025-26791, CVSS 8.8, Risiko "hoch"). Die Lücke hat Google mit den Updates zum September-Patchday geschlossen. Sie betrifft Android 13, 14, 15 und 16.

Zudem bestätigt die CISA auch den Missbrauch einer Schwachstelle im Sitecore-CMS. Es handelt sich um eine Schwachstelle des Typs "Deserialisierung nicht vertrauenswürdiger Daten", durch die Angreifer Schadcode einschleusen können, der zur Ausführung gelangt (CVE-2025-53690 / EUVD-2025-26629, CVSS 9.0, Risiko "kritisch"). Die hat Mandiant bei der Untersuchung eines Angriffs entdeckt. Sie basiert auf einer fehlerhaften Konfiguration mit Beispiel-Maschinen-Schlüsseln in ASP.NET. Gegenmaßnahmen finden sich in unserer Schwachstellenmeldung.

Da Aktualisierungen zum Stopfen der Sicherheitslecks bereitstehen, sollten IT-Verantwortliche nicht zögern, diese auch anzuwenden.

Am 12. September wird der Data Act der EU wirksam. Es steht zu befürchten, dass viele Unternehmen darauf kaum vorbereitet sind. In Episode 142 des c't-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit Carolin Loy vom Bayerischen Landesamt für Datenschutzaufsicht über die weitreichenden Folgen der neuen Verordnung.

Carolin Loy von der bayerischen Datenschutzaufsicht in der Auslegungssache

Der Data Act soll Datensilos aufbrechen und Nutzern Zugang zu Daten verschaffen, die bei der Verwendung vernetzter Geräte entstehen, vom Auto über die Kaffeemaschine bis zur Solaranlage. Bisher kontrollieren viele Hersteller diese Daten exklusiv. Künftig müssen sie sie auf Verlangen herausgeben, auch an Dritte. Die EU-Kommission erhofft sich davon jährlich mehr als 200 Milliarden Euro zusätzliches Wirtschaftswachstum durch neue datenbasierte Geschäftsmodelle.

Die praktische Umsetzung stellt Unternehmen vor massive Probleme. Sie müssen ab sofort Datenlizenzverträge mit Nutzern schließen und Schnittstellen zur Datenherausgabe schaffen. Die von der EU-Kommission versprochenen Mustervertragsklauseln existieren zehn Tage vor dem Stichtag nur als Entwurf. "Das schadet vor allem denjenigen, die das Gesetz anwenden müssen", kritisiert Loy die mangelhafte Vorbereitung.

Besonders komplex stellt sich die Abgrenzung von personenbezogenen und nicht-personenbezogenen Daten dar. Bei personenbezogenen Daten greift weiterhin die DSGVO mit Vorrang. Das heißt, Unternehmen benötigen eine Rechtsgrundlage für die Herausgabe. Dies führt zu einem Dilemma: Verweigern sie die Herausgabe mangels Rechtsgrundlage, verstoßen sie möglicherweise gegen den Data Act. Geben sie Daten ohne Rechtsgrundlage heraus, verletzen sie die DSGVO.

Sicherheitsforscher weisen auf eine Kampagne offenbar nordkoreanischen Ursprungs hin, die das Ziel hat, an neuen Jobs interessierten Personen Kryptowährung zu stehlen. Dabei kontaktieren falsche Personalvermittler Beschäftigte der Kryptobranche, etwa auf der Plattform LinkedIn, und bieten diesen neue Stellen an. Doch es geht nur darum, Zugang zu den PCs der Interessenten zu erlangen, um diese um digitale Güter zu erleichtern.

Nordkorea wird schon seit Langem vorgeworfen, mit dem Diebstahl von Kryptowährung sein sanktioniertes Waffenprogramm zu finanzieren. Die Regierung in Pyongyang bestreitet dies jedoch regelmäßig. Überwiegend wird Nordkorea beschuldigt, dass Agenten des Landes als falsche IT-Fachkräfte in zahlreichen US-Firmen per Homeoffice arbeiten, um mit ihren Gehältern Einnahmen für die nordkoreanische Regierung zu generieren. Diese Kampagne wurde offenbar auch auf Europa ausgeweitet. Im Herbst letzten Jahres warnte der Verfassungsschutz deutsche Firmen vor angeblichen Freelancern aus Nordkorea.

Jetzt berichtet Reuters von einer anderen Kampagne Nordkoreas zur Finanzierung des Landes. Durch "Social Engineering" werden potenziell wechselwillige Mitarbeiter von vermeintlichen Personalvermittlern angesprochen, die ihnen neue Jobs anbieten. Ziele sind vorrangig in der Kryptobranche beschäftigte Personen, sodass es sich oft um Stellen mit Bezug zur Blockchain handelt. Oft wird ein Kontakt über Netzwerke wie LinkedIn oder auch Telegram hergestellt.

Betroffene beschreiben den Prozess nach der ersten Kontaktaufnahme als zunächst typischen Austausch über Einzelheiten zur Tätigkeit und der Vergütung. Dann aber versucht der vermeintliche Personalvermittler, den Bewerber auf eine obskure Webseite zu leiten, um dort einen Eignungstest durchzuführen und ein Video aufzuzeichnen. Vielen Interessenten kam dies verdächtig vor. Warum kein Bewerbungsgespräch auf einer bekannten Videoplattform wie Teams oder Zoom?

Während die meisten der Betroffenen den Kontakt an dieser Stelle abgebrochen haben, berichtet ein Produktmanager einer US-Kryptofirma, der anonym bleiben wollte, dass er den Anweisungen des angeblichen Personalvermittlers gefolgt ist und das Video aufgenommen hat. Am Abend desselben Tages stellte er jedoch fest, dass seiner digitalen Wallet, die er auf seinem Computer speichert, Ethereum und Solana im Wert von rund 1000 US-Dollar fehlten. Das LinkedIn-Profil des angeblich bei der Blockchainfirma Ripple Labs beschäftigten Personalvermittlers war ebenfalls verschwunden.

Cyberkriminelle und staatliche Angreifer setzen immer häufiger auf KI zur Unterstützung ihrer digitalen Attacken. Wie sehr ihnen Veröffentlichungen von Sicherheitsforschern dabei die Arbeit erleichtern, haben nun Sicherheitsforscher von Trend Micro untersucht. Sie spannten unbeschränkte Large Language Models (LLMs) ein, um anhand eigener Blog-Beiträge Malware zu schreiben.

Dass sich Schadsoftware-Autoren Inspiration bei ihren Gegenspielern in Sicherheitsunternehmen holen, ist bekannt, etwa aus den Conti-Leaks. Die Befürchtung: Mit KI-Unterstützung müssen Cyberkriminelle mittlerweile weder lesen noch programmieren können. Sie verfüttern einfach detaillierte Sicherheitsanalysen an ein LLM und lassen sich Schadsoftware schreiben. Ob das klappt, untersuchten Mitarbeiter der Securityfirma Trend Micro.

Dazu nahmen sie die Softwaresammlung einer in Asien und Lateinamerika aktiven Cyberbedrohung namens "Earth Alux" als Vorbild für eine Nachahmer-Malware. In ihrem Experiment nutzten die Forscher LLMs, die keine Beschränkungen (Guardrails) gegen die Erstellung maliziöser Programme enthalten. Die mussten sie mitnichten in dunklen Ecken besorgen – sie stehen auf Hugging Face zum Download zur Verfügung. Der resultierende Quellcode benötigte jedoch noch etwas Nacharbeit, die kriminelle Karriere bedarf also nach wie vor etwas Fachwissens. Doch ähnelte der Schadsoftware-Klon seinem Vorbild in jedem veröffentlichten Detail.

Attraktiv scheint dieses "Nachahmer-Vibecoding" also nicht vorrangig für Einsteiger ins digitale Verbrechen, sondern eher für Gruppierungen, die Ermittler auf falsche Fährten locken wollen. So könnten sie Angriffe mittels nachgeahmter Taktiken, Techniken und Prozeduren (TTPs) einer feindlichen Gruppe unterschieben, was die ohnehin oft wacklige und chaotische Attributierung weiter erschwert.

Malware-Vibecoding mit Cline: Aus einem Blogartikel baut das Programmier-LLM eine Schadsoftware.

Das als Cloud- und On-Premises-Lösung verfügbare CMS Sitecore Experience Manager (XM) und Sitecore Experience Platform (XP) ist von einer kritischen Schwachstelle betroffen. Angreifer können ohne vorherige Anmeldung Schadcode einschleusen und ausführen. Offenbar wird die Lücke bereits im Internet angegriffen.

Sitecore beschreibt das Problem in einer Sicherheitsmitteilung. Es handelt sich um eine Schwachstelle des Typs "Deserialisierung nicht vertrauenswürdiger Daten", durch die Angreifer Schadcode einschleusen können, der zur Ausführung gelangt (CVE-2025-53690 / EUVD-2025-26629, CVSS 9.0, Risiko "kritisch"). Mandiant hat einen aktiven Angriff auf eine sogenannte "ViewState Deserialisation" im Sitecore-CMS untersucht und dabei die Sicherheitslücke entdeckt. In Anleitungen zur Einrichtung von Sitecore aus dem Jahr 2017 und davor wurde ein Beispiel-Machine-Key genutzt – den dadurch offengelegten ASP.NET-Machine-Key haben Angreifer zur Ausführung von Code aus dem Netz missbraucht, erklären die IT-Forscher.

Es handelt sich damit um eine verwundbare Konfiguration von Sitecore, die Kunden betrifft, die eine anfällige Sitecore-Version mit dem Beispiel-Key in den öffentlichen Anleitungen ausgestattet haben; insbesondere SItecore XP 9.0 und Active Directory 1.4 und jeweils frühere Versionen hebt Mandiant hervor. Den genauen Angriffsverlauf erörtern die IT-Sicherheitsforscher in der Analyse, dort nennen sie auch einige Indizien für eine Infektion (Indicators of Compromise, IOCs).

Als potenziell anfällig nennt Sitecore in der Sicherheitsmitteilung Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) und Managed Cloud. Wer mit diesen Software-Paketen die Installationsanleitungen für XP 9.0 und AD 1.4 oder früher zusammen mit dem Sample-Machine-Key eingesetzt hat, der etwa mit der Zeichenkette "BDDFE367CD..." anfängt und einen Validation Key "0DAC68D020..." nutzt, sollte umgehend handeln.

Sitecore empfiehlt dann, die Umgebung auf verdächtiges oder anormales Verhalten zu untersuchen, die Machine-Keys in der "web.config"-Datei zu ersetzen, zudem sicherzustellen, dass alle System-<machineKey>-Elemente der "web.config" verschlüsselt sind, Zugriff auf die "web.config" auf Admins beschränken und anschließend das regelmäßige Austauschen statischer Machine-Keys umsetzen.

Angreifer können kritische Infrastrukturen mit industriellen Kontrollsystemen (ICS) von Delta Electronics, Fuji Electric, Hitachi und SunPower attackieren. Beispielsweise im Energiesektor können erfolgreiche Attacken weitreichende Folgen für die Bevölkerung haben. Dementsprechend sollten Admins die bislang nur teilweise verfügbaren Sicherheitsupdates zeitnah installieren.

Auf die Sicherheitslücken und die von ihnen ausgehenden Gefahren weist die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag hin.

Am gefährlichsten gilt eine "kritische" Lücke (CVE-2025-9696) im System zur Überwachung von Solaranlagen SunPower PVS6, für die es bislang keinen Sicherheitspatch gibt. Aufgrund von hartcodierten Zugangsdaten können Angreifer in Bluetooth-Reichweite Geräte vollständig kompromittieren und sich etwa einen Fernzugriff via SSH einrichten. Die CISA gibt an, dass ihnen bislang keine Attacken bekannt sind. Davon sind die Versionen bis einschließlich 2025.06 build 61839 betroffen. Wann ein Update erscheint, ist bislang unklar.

Hitachi Energy Relion 650, 670 und SAM600-IO sind für DoS-Attacken (CVE-2025-2403 "hoch") empfänglich. An dieser Stelle sollen Angreifer kritische Funktionen wie Line Distance Communication Module (LDCM) lahmlegen können. Die Sicherheitsupdates sind in einer Warnmeldung aufgelistet.

Auf Fuji Electric FRENIC-Loader 4 sind Schadcode-Attacken (CVE-2025-9365 "hoch") möglich. Die Ausgabe ab 1.4.0.1 ist dagegen gerüstet. Delta Elcetronics EIP Builder kann sensible Informationen leaken (CVE-2025-57704 "mittel). Die Version 1.12 enthält ein Sicherheitsupdate.

Der Europäische Gerichtshof (EuGH) hat am Donnerstag seine Rechtsprechung zum Ausgleich von Schäden auf Basis der Datenschutz-Grundverordnung (DSGVO) erneut präzisiert. Ein Arbeitssuchender hat demnach bei einem Datenschutzverstoß des potenziellen Arbeitgebers prinzipiell Anspruch auf Schadenersatz und Schmerzensgeld, auch wenn er keinen materiellen Schaden nachweisen kann. Ausgelöste negative Gefühle können ausreichen.

Hintergrund des Falls: Ein Bewerber, der sich bei der Berliner Quirin-Privatbank Online-Karrierenetzwerk beworben hatte, erhielt eine unerwartete Benachrichtigung. Auslöser: Eine Mitarbeiterin des Finanzinstituts hatte über den Messenger-Dienst des Netzwerks eine vertrauliche Nachricht an den Jobsuchenden an eine dritte Person geschickt, die der Bewerber kannte. Die Nachricht enthielt vertrauliche Informationen über die Gehaltsverhandlungen des Bewerbers, insbesondere die Ablehnung seiner Gehaltsvorstellungen und ein neues Gehaltsangebot. Sie war eigentlich nicht für Außenstehende bestimmt.

Der Dritte, ein ehemaliger Kollege des Bewerbers, leitete die Nachricht an ihn weiter, um herauszufinden, ob er auf Jobsuche war. Daraufhin reichte der Arbeitssuchende Klage gegen die Quirin-Bank ein. Er forderte von ihr, die Verarbeitung seiner Bewerbungsdaten einzustellen, um weitere unbefugte Offenlegungen zu verhindern. Zudem verlangte er Schadensersatz für den immateriellen Schaden, den er erlitten hatte.

Dieser Schaden entstand ihm zufolge, weil er sich Sorgen machte, dass die vertraulichen Informationen von der dritten Person aus der Branche an frühere oder potenzielle Arbeitgeber weitergegeben werden könnten. Der Bewerber befürchtete zudem einen Wettbewerbsnachteil und fühlte sich durch die Offenlegung seiner gescheiterten Gehaltsverhandlungen gedemütigt. Der Bundesgerichtshof (BGH) verwies den Fall an den EuGH zur Klärung von Fragen zur DSGVO.

Die Luxemburger Richter haben mit ihrem am Donnerstag verkündeten Urteil in der Rechtssache C-655/23 nun entschieden: Negative Gefühle wie Sorge, Ärger oder der Eindruck des Kontrollverlusts über die eigenen Daten können einen immateriellen Schaden darstellen. Eine finanzielle Entschädigung ist möglich, wenn der Kläger nachweisen kann, dass er diese negativen Gefühle tatsächlich empfunden hat.

Rufen Windows-Nutzerinnen und -Nutzer mit gewöhnlichen Benutzerrechten nach der Installation der August-Updates bestimmte Programme oder etwa die Reparaturfunktion von MSI-Installern auf, erhalten sie neuerdings einen Benutzerkontensteuerungs-Prompt (UAC). Installationen können deshalb auch fehlschlagen. Darauf weist Microsoft jetzt hin.

In einem Beitrag in den Windows-Release-Health-Notizen erklärt Microsoft das neue Verhalten von Windows. Grundsätzlich will Microsoft mit dem Update eine Sicherheitslücke im Windows-Installer schließen, durch die Angreifer aufgrund "schwacher Authentifizierung" ihre Rechte im System ausweiten können (CVE-2025-50173 / EUVD-2025-24338, CVSS 7.8, Risiko "hoch"). Der Lösungsansatz besteht darin, einen Prompt der Benutzerkontensteuerung zum Vergeben der nötigen Administratorrechte anzuzeigen, sofern Aktionen des Windows-Installers (MSI) wie Reparaturen und ähnliche ausgeführt werden sollen.

Microsoft listet auf, dass diese Änderung nun in Benutzerkontensteuerungs-Rückfragen in einigen Szenarien sorgen kann: Beim Aufruf von MSI-Reparaturoperationen (etwa mittels "msiexec /fu" [sic!]), beim Start von Autodesk-Apps, AutoCAD, Civil 3D oder Inventor CAM, sowie bei der Installation einer MSI-Datei, nachdem Nutzer sich das erste Mal in der App angemeldet haben. Außerdem können UAC-Prompts bei Installation von Apps auftreten, die sich als Benutzer installieren lassen, beim Start von Windows-Installern bei einem Active Setup, beim Verteilen von Paketen mittels Manager Configuration Manager (ConfigMgr), die auf Nutzer-spezifische "Advertising"-Konfigurationen zurückgreifen und beim Aktivieren des Secure Desktops.

Weiter erklären Microsofts Entwickler, dass Installationen mit einer Fehlermeldung fehlschlagen können. Das passiert etwa, wenn Nutzer mit Standardrechten eine MSI-Reparaturfunktion anstoßen, die keine Dialoge anzeigt. Als Beispiel nennen die Redmonder die Installation und den Start von Microsoft Office Professional Plus 2010 als Standardnutzer. Im Konfigurationsvorgang erscheint dann der Fehler 1730.

Als Gegenmaßnahme empfiehlt Microsoft, die App nach Möglichkeit als Administrator zu starten. Etwa aus dem Startmenü oder aus den Suchergebnissen heraus durch Rechtsklick und der Auswahl "Als Administrator ausführen". IT-Verwalter können bei Microsofts Support for Business eine spezielle Gruppenrichtlinie anfordern, die dann offenbar Standardnutzern die Möglichkeit bietet, Apps als Admin auszuführen.

Nach einem IT-Angriff auf Jaguar Land Rover stehen in Großbritannien Produktion und Vertrieb still. Am Dienstag wurden zahlreiche Mitarbeiter nach Hause geschickt, weil sie ohne die heruntergefahrenen IT-Systeme nicht arbeiten können. Auf einer Messaging-App sind nun öffentliche Bekenntnisse zu der Tat aufgetaucht.

Eine Bande namens Scattered Lapsus$ Hunters prahlt mit der Straftat und hat als Beweis des erfolgreichen Eindringens in die Computer Jaguar Land Rovers (JLR) Screenshots gepostet. Das berichtet die BBC (British Broadcasting Corporation). Die Postings sind auf Englisch verfasst. Außerdem hat sich eine Person, die sich als Sprecher der Bande geriert, in nicht öffentlich ausgetauschten Textnachrichten auf Englisch verständigt.

Daraus gehe hervor, dass JLR erpresst werden soll. Der Autohersteller hat bislang keine Details zur Vorgehensweise, zur Art der kopierten Daten oder zu etwaigen Geldforderungen gemacht. Nur soviel: Es gäbe zum jetzigen Zeitpunkt keine Hinweise darauf, dass Kundendaten heruntergeladen wurden.

Ein weiteres Indiz, das, neben der Sprachwahl, auf inländische Täter deutet, ist der Name, den sich die Gruppe gegeben hat. Er soll offenbar darauf hinweisen, dass es sich um versprengte Mitglieder dreier krimineller Gruppen handelt, die sich vor allem aus jungen Briten zusammensetzen. Dazu gehört Scattered Spider, die im April und May die Einzelhändler M&S (Marks & Spencer), Co-op und Harrods angegriffen hat. Im Juli wurden in England eine 20 Jahre alte Frau, zwei 19-jährige Männer und ein siebzehnjähriger Bursche verhaftet.

Lapsus$ ist seit Jahren amtsbekannt, hat sie doch prominente Einrichtungen angegriffen: Zu den bekannten Opfern zählen Rockstar Games, das brasilianische Gesundheitsministerium, Nvidia, Samsung, Ubisoft, T-Mobile, Microsoft, Uber und die British Telecom. Ende 2023 wurde ein minderjähriger Brite schuldig befunden, ein gerade großjährig gewordener Landsmann in die forensische Psychiatrie gesteckt. Seine Begier, weitere IT-Straftaten zu begehen, ist so groß, dass er als Gefahr für die Öffentlichkeit eingestuft werden musste. Der Dritte im Bunde, Shinyhunters ist vor allem für den Einbruch bei Ticketmaster und den einstigen Mitbetrieb des Breachforums bekannt.

Der letzte rekordverdächtige Überlastungsangriff ist noch gar nicht so lange her, da vermeldet Cloudflare schon den nächsten beobachteten Spitzenwert. Am Montag erreichte ein Distributed-Denial-of-Service-Angriff (DDoS) in der Spitze eine Last von 11,5 Terabit pro Sekunde. Das entspricht umgerechnet mehr als 1,4 Terabyte je Sekunde oder dem Inhalt von 184 randvollen DVDs.

Das hat Cloudflare am Montagabend auf der Platform X mitgeteilt. "Cloudflares Abwehrmechanismen haben Überstunden geschoben. Über die vergangenen Wochen haben wir autonom hunderte hochvolumige DDoS-Attacken blockiert", schreibt das Unternehmen dort. "Die Größten erreichten Spitzenwerte von 11,5 Tbps". Dabei sendeten die Angreifer 5,1 Milliarden Pakete pro Sekunde (Bpps). Bei letzterer handelte es sich demnach um eine UDP-Flood-Attacke, die ihren Ausgangspunkt hauptsächlich in der Google-Cloud hatte. Die Zeitspanne, die der Höchstlast-Angriff einnahm, war etwa 35 Sekunden lang, schreibt Cloudflare weiter.

Details noch unklar

Weitere Details bleiben derzeit unklar, etwa, wer Ziel der Angriffe war und ist. Cloudflare hat jedoch eine vollständige Übersicht in einem "kommenden Bericht" angekündigt. Darin dürften dann auch das konkrete Datenvolumen der Attacke und ähnliche Details zu finden sein.

Erst Mitte Juni hat Cloudflare zuletzt einen Rekordwert für DDoS-Angriffe gemeldet. Dort sprach das IT-Unternehmen von dem "'größten jemals registrierten' Denial-of-Service-Angriff (DDoS) mit bislang kaum für möglich gehaltenen 7,3 Terabit pro Sekunde (TBit/s)", den es Mitte Mai dieses Jahres blockiert habe. In 45 Sekunden kam dabei ein Datenvolumen von 37,5 Terabyte zusammen.

Zuvor hat es Mitte April 2025 die bis dahin größte Attacke mit 6,5 TBit/s gegeben, wie Cloudflare im Threat-Report des ersten Quartals anmerkte. Dafür kamen 4,8 Milliarden Pakete pro Sekunde seitens der Täter zum Einsatz.

Geräte mit Android 13, 14, 15 und 16 sind verwundbar. Angreifer können an verschiedenen Schwachstellen ansetzen, um Smartphones und Tablets im schlimmsten Fall vollständig zu kompromittieren. Bislang gibt es keine Berichte, dass bereits Attacken laufen. Sicherheitspatches stehen für ausgewählte Geräte zum Download bereit.

In einer Warnmeldung stufen die Android-Entwickler eine "kritische" Lücke (CVE-2025-48539) im System am gefährlichsten ein. Davon sind Android 15 und 16 betroffen. Der knappen Beschreibung der Lücke zufolge sollen Attacken aus der Ferne ohne zusätzliche Ausführungsberechtigungen und ohne ein Zutun von Opfern möglich sein. Die Entwickler haben noch weitere Schwachstellen in Systemkomponenten geschlossen. Sind Attacken an diesen Stellen erfolgreich, können sich Angreifer primär höhere Nutzerrechte verschaffen. Es können aber auch Daten leaken oder Dienste abstürzen (DoS). Die Schwachstellen sind mit dem Bedrohungsgrad "hoch" eingestuft.

Sicherheitslücken mit solchen Auswirkungen betreffen auch das Framework. Wie Attacken in diesen Fällen konkret ablaufen können, geht derzeit aus der Warnmeldung nicht hervor. Eine weitere Schwachstelle (CVE-2025-32332 "hoch") betrifft die DRM-Komponente Widevine. Ferner haben die Entwickler noch Lücken im Kernel und verschiedenen Komponenten von Arm, Imagination, MediaTek und Qualcomm geschlossen. In diesem Kontext sind beispielsweise Angriffe auf die Modem- und WLAN-Komponente möglich.

Die Entwickler versichern, die Lücken in den Patch Levels 2025-09-01 und 2025-09-05 geschlossen zu haben. Die Sicherheitsupdates gibt es für noch im Support befindliche Pixel-Geräte von Google (siehe Kasten). Darüber hinaus stellen noch unter anderem Samsung und Huawei monatlich Updates für ausgewählte Geräte zum Download bereit.

Durch ein Sicherheitsproblem bei Salesloft Drift, einem Unternehmen, das etwa KI-Chatbots für Kunden bereitstellt, konnten Angreifer Zugriffstoken unter anderem auf Salesforce-Instanzen stehlen. Damit haben die Kriminellen aus der Gruppe UNC6395 in den zugreifbaren Systemen Kundendaten abgegriffen. Immer mehr betroffene Unternehmen melden sich. Darunter auch große und namhafte, neben Google etwa auch Cloudflare, Palo Alto oder Zscaler.

Zunächst ging Google damit an die Öffentlichkeit und legte am Wochenende nach, dass nicht nur die Salesloft-Drift-Salesforce-Integration betroffen ist, sondern auch andere Integrationen wie "Salesloft Drift Email" OAuth-Token für Angreifer verfügbar machte, mit denen die unbefugt auf die Dienste zugreifen konnten. Inzwischen hat Salesloft die Token zurückgezogen, Betroffene müssen neue erstellen.

Cloudflare erklärt das Ausmaß des Datenlecks bei Salesforce in einem Blog-Beitrag. Demnach konnte im Wesentlichen auf Kunden-Kontaktinformationen und einfache Supportfall-Informationen zugegriffen werden. In einzelnen Fällen können die Support-Interaktionen jedoch Informationen zu Kundenkonfigurationen und sogar sensible Daten wie Zugriffstoken umfassen. Jedwede Information, die Kunden mit dem Cloudflare-Support in Salesforce geteilt haben, sollen Kunden als kompromittiert betrachten, erörtert Cloudflare. Zudem rät das Unternehmen, die Zugangsdaten zu erneuern. Bei der Analyse sind die Cloudflare-Analysten auf 104 API-Keys gestoßen, zu denen zwar keine verdächtigen Aktivitäten feststellbar waren, die aus Sicherheitsgründen jedoch rotiert wurden. Cloudflare-Infrastruktur sei bei dem Vorfall nicht kompromittiert worden.

Auch Palo Alto Networks zählt sich zu den Betroffenen und schreibt in einem Blog-Beitrag, dass das Experten-Team der Unit 42 den Vorfall untersucht hat. Dabei stellte sich heraus, dass der Vorfall ausschließlich auf die CRM-Plattform von Palo Alto beschränkt war. Keine Netzwerkprodukte oder Dienste seien betroffen. Abgezogene Daten könnten lediglich Geschäfts-Kontaktinformationen, interne Sales-Konten und rudimentäre Supportfall-Informationen von Kunden umfassen. Eine begrenzte Anzahl von Kunden wolle man kontaktieren, deren Daten möglicherweise exponiert waren.

Bereits am Dienstag wurde bekannt, dass Zscaler auch zu den Opfern gehört. Dem Zscaler-Blog zufolge haben Kriminelle mit kompromittierten Zugangstoken auch auf Salesforce-Instanzen des Unternehmens Zugriff erlangt und konnten dabei Kundendaten einsehen. Dazu gehören Namen, Geschäfts-E-Mail-Adressen, Job-Bezeichnungen, Telefonnummern, Informationen zum Aufenthaltsort, Daten zu lizenzierten Zscaler-Produkten und kommerzielle Informationen sowie Klartextinformationen zu bestimmten Supportfällen – immerhin ohne Anhänge, Dateien und Bilder.

Beim Autmobilhersteller Jaguar Land Rover (JLR) ist es zu einem IT-Vorfall gekommen. IT-Systeme wurden heruntergefahren, die Produktion und der Vertrieb sind von Störungen betroffen.

Am Dienstag hat der Hersteller JLR eine knappe Mitteilung dazu veröffentlicht. "JLR wurde durch einen Cybervorfall beeinträchtigt", schreibt das Unternehmen. "Wir haben umgehend Maßnahmen ergriffen, um die Auswirkungen einzudämmen, indem wir unsere Systeme proaktiv heruntergefahren haben." JLR arbeite "mit Hochdruck daran, unsere globalen Anwendungen kontrolliert wieder in Betrieb zu nehmen." Es gäbe zum jetzigen Zeitpunkt keine Hinweise darauf, dass Kundendaten gestohlen wurden, "aber unser Verkauf und die Produktion wurden erheblich gestört."

Weiterreichende Informationen gibt das zum indischen Tata-Konzern gehörende Unternehmen nicht. Die BBC berichtet davon, dass die zwei Produktionsstätten im Vereinigten Königreich davon betroffen sind. Die Auswirkungen seien jedoch global. Die BBC führt aus, dass der Angriff bereits am Sonntag begann. Das sei ein wichtiger Zeitpunkt für den Autoverkauf im Vereinigten Königreich, da die neueste Charge neuer Nummernschilder seit Montag, dem 1. September, erhältlich ist. Das sei traditionell ein beliebter Zeitpunkt für Verbraucher, ein neues Fahrzeug zu übernehmen.

Sowohl die Produktionsstätte Halewood in Merseyside, als auch das Werk in Solihull haben Arbeiter nach Hause geschickt. Das Unternehmen hat den Mitarbeitern E-Mails geschickt und darin mitgeteilt, dass die Empfänger nicht zur Arbeit kommen sollen.

Wer hinter dem Angriff steckt, ist bislang unklar. Jaguar Land Rover schweigt sich auch zu Lösegeldforderungen aus. Auf den üblichen Darknet-Leaksites finden sich derzeit auch keine Hinweise auf ein Datenleck.

Bösartige Facebook-Werbung zielt auf Android-Nutzerinnen und -Nutzer ab, die auf Krypto-Plattformen aktiv sind. Die Drahtzieher versuchen, die Krypto-Werte potenzieller Opfer zu stehlen.

Davor warnt das Antivirenunternehmen Bitdefender aktuell. Allgemein scheint dem Unternehmen nach der Glaube zu herrschen, dass Smartphones weniger im Visier von Kriminellen stünden, ein fataler Irrglaube. Bitdefender warnt nun, dass Cyberkriminelle vermehrt Malware über Metas Werbesystem verteilen. Nachdem monatelang Windows-Desktop-Nutzer Hauptziel von gefälschter Werbung für Handels- und Krypto-Plattformen waren, nehmen die Angreifer jetzt zunehmend Android-Nutzer weltweit ins Visier.

Eine vermeintliche kostenlose "TradingView Premium"-App für Android haben die Analysten in einer Welle von bösartigen Werbungen auf Facebook entdeckt. TradinView ist eine bekannte App, deren Logo und Aussehen die Angreifer missbrauchen. Anstatt legitimer Software liefert die Werbung jedoch einen Krypto-Werte-stehlenden Trojaner. Es handelt sich um eine weiterentwickelte Version der Brokewell-Malware.

Die gefälschte Werbung verspricht, das Premium-Abo in der TradingView-App kostenlos nutzen zu können.

(Bild: Bitdefender)

Der US-amerikanische Podcast "Darknet Diaries“, der seit 2017 von seinem Gründer Jack Rhysider produziert wird, erhält eine deutsche Version. Das Originalformat, das unter dem Motto „Wahre Geschichten von der dunklen Seite des Internets“ läuft, hat sich durch seine narrative Aufbereitung von Fällen aus den Bereichen Cyberkriminalität, Hacking und Datenschutz einen Namen gemacht. Allein im Jahr 2019 verzeichnete der Podcast über 8,2 Millionen Downloads.

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli, die sich auch in der Moderation der Episoden abwechseln. Inhaltlich bleibt die Adaption nah am Original und behandelt in den rund 60-minütigen Folgen kriminelle Aktivitäten im digitalen Raum. Es geht um Ransomware-Angriffe, Zero-Day-Lücken und Auftragskiller.

Die erste Staffel der „Darknet Diaries Deutsch“ erscheint ab dem 16. September alle zwei Wochen auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo

In der ESP-IDF-Plattform der ESPHome-Firmwarebasis führt eine nun entdeckte Sicherheitslücke dazu, dass Angreifer eine Authentifizierung umgehen können. Das ermöglicht ihnen sogar, eigene Firmware auf verwundbare Controller zu verfrachten.

ESPHome ist ein Entwicklungssystem, mit dem sich Mikrocontroller einfach in Heimautomatisierungssysteme einbinden lassen. Entwickler erstellen Firmwares auf dieser Basis etwa für Controllerboards mit ESP32-Mikroprozessoren und programmieren eigene Funktionen dazu. ESPHome liefert nützliche Funktionen wie Over-the-Air-Updates (OTA) gleich mit, sodass Programmierer sich nicht weiter damit auseinandersetzen müssen.

Ein neuer Schwachstelleneintrag vom Montag dieser Woche erörtert die Sicherheitslücke in der Firmware. Die ESPHome-Entwickler führen darin aus, dass die "web_server"-Authentifizierungsprüfung der ESP-IDF-Plattform fälschlicherweise bestanden wird, wenn der clientseitig übergebene, Base64-kodierte Autorisierungswert leer ist oder lediglich einen Teil des korrekten Werts enthält. "Das erlaubt Zugriff auf die 'web_server'-Funktionen (einschließlich OTA, wenn es aktiviert ist), ohne jedwede Information über den korrekten Usernamen oder Passwort zu haben", erklären die Programmierer (CVE-2025-57808 / noch kein EUVD, CVSS 8.1, Risiko "hoch").

Der Fehler wurde dem Schwachstelleneintrag zufolge mit ESPHome 2025.8.0 eingeführt – jedoch will der Schwachstellenmelder das Problem auch mit ESPHome 2025.7.5 verifiziert haben. Auf Github geht der Meldende noch etwas tiefer in die Details des Sicherheitsproblems. ESPHome 2025.8.1 oder neuer dichtet das Sicherheitsleck hingegen ab. Aktuell ist das Release ESPHome 2025.8.2 vom Wochenende.

Wer ESPHome-basierte Firmwares auf seinen Internet-of-Things-Geräten einsetzt, sollte die Aktualisierung auf die jüngste Firmware-Basis vornehmen. Aufgrund der Widersprüche zu den verwundbaren Versionen sollten auch ESPHome-Versionen vor 2025.8.0 auf den neuen Stand gebracht werden.

Berichte machen seit Kurzem die Runde, dass 2,5 Milliarden Gmail-Konten in Gefahr seien. Jetzt sieht Google sich genötigt, dazu Stellung zu beziehen. In einer ungewöhnlichen Reaktion betont das Unternehmen, dass seine Schutzmechanismen "stark und effektiv" sind.

Das hat Google am Montag im Workspace-Blog bekanntgegeben. "Die Schutzmechanismen von Google Mail sind stark und effektiv, und die Behauptungen über eine größere Google Mail-Sicherheitswarnung sind falsch", übertitelt Google den Beitrag und erklärt darin, dass "mehrere nicht zutreffende Behauptungen kürzlich aufgetaucht seien, dass wir eine breite Warnung an alle Gmail-Nutzerinnen und -Nutzer über ein großes Gmail-Sicherheitsproblem herausgegeben haben". Das sei komplett falsch.

"Obwohl Phisher immer nach Wegen suchen, um auf Postfächer zuzugreifen, blockieren unsere Schutzmechanismen weiterhin mehr als 99,9 Prozent der Versuche mit Phishing und Malware, damit sie die Benutzer nicht erreichen", erklärt Google weiter.

Ein Zusammenhang der Meldungen mit kompromittierten Anmeldetoken in der KI-Chatbot-Plattform Salesloft Drift liegt jedoch nahe. Die Untersuchung hatte Googles Threat Intelligence Group (GTIG) am Wochenende aktualisiert.

Demnach fanden die GTIG-Forscher heraus, dass auch OAuth-Token aus der "Salesloft Drift Email"-Integration von kriminellen Gruppierungen missbraucht wurden, um Zugriff auf E-Mails in Google-Workspace-Zugängen zu erlangen. Zugriff war damit auf Workspace-Konten möglich, die die Salesloft-Drift-Integration genutzt haben. Alle Admins von betroffenen Google Workspaces hat Google benachrichtigt – das passt zeitlich und thematisch mit den laut Google fehlerhaften Berichten zusammen.

IBMs Geschäftsintegrationssoftware App Connect Enterprise ist über verschiedene Wege angreifbar. Angreifer können unter anderem Daten manipulieren und Prozesse lahmlegen. Dagegen abgesicherte Versionen sind verfügbar.

In einer Warnmeldung listen IBMs Entwickler drei nun geschlossene Sicherheitslücken auf (CVE-2025-7783 "kritisch", CVE-2025-7338 "hoch", CVE-2025-7339 "niedrig"). Setzen Angreifer an der kritischen Schwachstelle erfolgreich an, können sie durch Manipulation von HTTP-Parametern unter anderem auf eigentlich abgeschottete Informationen zugreifen. Das Ausnutzen der Lücke mit dem Bedrohungsgrad hoch kann DoS-Zustände auslösen.

Noch gibt es keine Berichte zu laufenden Attacken. Admins sollten aber nicht zu lange warten und eine der reparierten Versionen IBM App Connect Enterprise v13- Fix Pack Release 13.0.4.2 oder IBM App Connect Enterprise v12- Fix Pack Release 12.0.12.17 installieren.

Erst kürzlich sind wichtige Sicherheitsupdates für IBM QRadar SIEM erschienen. In diesem Fall können unter anderem Zugangsdaten leaken.

Aktualisierte Versionen der QTS- und QuTS-hero-Firmware von Qnap-Geräten stopfen Sicherheitslecks, die zum Teil als hohes Risiko eingestuft wurden. Angreifer können sie etwa zum Ausführen beliebiger Befehle oder zu Denial-of-Service-Attacken missbrauchen.

Insgesamt elf Schwachstellen hat Qnap am Wochenende gemeldet, die die Firmware-Updates ausbessern. Am gravierendsten fällt eine Befehlsschmuggel-Lücke aus. Sofern Angreifer aus der Ferne Zugriff auf ein Konto erhalten, können sie beliebige Befehle ausführen (CVE-2025-30264, CVSS 7.7, Risiko "hoch"). Bösartige Akteure aus dem Netz können zudem nach Anmeldung eine weitere Lücke ausnutzen, um außerhalb vorgesehener Speicherbereiche zu schreiben und so Speicher verändern oder stören (CVE-2025-30273, CVSS 7.1, Risiko "hoch").

Die Aktualisierungen bessern noch weitere Lücken aus, die jedoch lediglich als mittlerer oder niedriger Bedrohungsgrad gelten. Eine NULL-Pointer-Dereference kann einen Denial-of-Service (DoS) auslösen (CVE-2025-29882), ein Pufferüberlauf zu Modifikation von Speicherbereichen (CVE-2025-30265), weitere NULL-Pointer-Dereferences zu DoS führen (CVE-2025-30267, CVE-2025-30268, CVE-2025-30272, CVE-2025-30274) oder eine Path-Traversal-Schwachstelle Lesezugriff auf nicht erwartete Dateien oder Systemdaten ermöglichen (CVE-2025-30270, CVE-2025-30271, CVE-2025-33032).

Betroffen sind davon QTS 5.2.x sowie QuTS hero h5.2.x. Die gute Nachricht ist, dass Firmware-Updates bereits seit Monaten verfügbar sind, welche die nun gemeldeten Sicherheitslücken schließen: QTS 5.2.5.3145 Build 20250526 sowie QuTS hero h5.2.5.3138 Build 20250519 und jeweils neuere Fassungen korrigieren die sicherheitsrelevanten Fehler.

Admins sollten auf ihrem Qnap-Gerät nachschauen, ob die Aktualisierung bereits installiert wurde. Nach Anmeldung als Administrator an der Benutzeroberfläche gelingt das über "Control Panel" – "System" – "Firmware Update". Unter "Live Update" führt der Klick auf "Check for Update" zum Herunterladen und Installieren der jüngsten Firmware-Version.