Comretix Blog

Die Funktion Secure Encrypted Virtualization (SEV) von AMD-Serverprozessoren ist weniger sicher, als der Name nahelegt: Forscher von Google fanden heraus, dass Epyc-Prozessoren bei der Signaturprüfung von Microcode-Updates schlampen.

Anzeige

Weil solche Microcode-Updates tief in CPU-Funktionen eingreifen, ermöglichen sie schwerwiegende Manipulationen. Das Google-Team veröffentlichte einen Proof of Concept (PoC), der den RDRAND-Befehl zerschießt: Statt einer Zufallszahl liefert er stets den Wert 4. Das schwächt kryptografische Algorithmen, die RDRAND nutzen. Und damit lässt sich wiederum auch die eingangs erwähnte RAM-Verschlüsselung SEV aushebeln, die unter anderem dazu dient, parallel auf demselben Server laufende virtuelle Maschinen (VMs) voneinander sicher zu trennen, etwa für Confidential Computing.

Google selbst nutzt AMD SEV (beziehungsweise SEV-SNP) unter anderem bei der Synchronisation von Passkeys zwischen verschiedenen Geräten angemeldeter Google-Nutzer (Google Password Manager, GPM). Die eigentlichen Passkeys werden dabei gar nicht synchronisiert, sondern existieren nur in sicheren Enklaven auf Cloud-Servern.

Um einem Epyc-Prozessor ein manipuliertes Microcode-Update unterzujubeln, muss der Angreifer zwar Administratorrechte haben. Doch Confidential-Computing-Funktionen wie AMD SEV, Intel SGX/TDX oder ARMv9-CCA zielen gerade darauf, auch Administratoren den Zugriff auf geschützte Daten zu verwehren, indem sie Trusted Execution Environments (TEEs) mit kryptografisch nachweisbarem Betriebszustand (Remote Attestation) schaffen.

Die gestern Abend veröffentlichten "Punkt-Punkt-Releases" für iOS und iPadOS enthalten Fehlerbehebungen für eine Sicherheitslücke, die laut Apple bereits ausgenutzt wird. Das teilte der Konzern auf seiner Security-Updates-Website mit. Betroffen sind dabei sowohl iOS 18 und iPadOS 18 als auch iPadOS 17 (sowie vermutlich auch iOS 17, das Apple aber nicht mehr patcht). Nutzer sollten also dringend iOS 18.3.1 und iPadOS 18.3.1 respektive iPadOS 17.7.5 einspielen.

Anzeige

Der Bug steckt im Modul Accessibility, das für die Barrierefreiheit zuständig ist und hat mit dem eigentlich eingeschränkten USB-Zugriff auf das Gerät zu tun. Dieser Restricted Mode lässt sich über eine "äußerst anspruchsvolle" (O-Ton-Apple) Angriffsform umgehen, wobei das iPhone unter Verfügung des Angreifers sein muss. Entdeckt wurde der Fehler von der kanadischen Sicherheitsgruppe Citizen Lab an der University of Toronto. Diese dürfte in den kommenden Tagen Details auf ihrer Website veröffentlichen.

Laut Apple war der "physische Angriff" auf gesperrte Geräte möglich. Was genau damit durchgeführt werden konnte, bleibt unklar – der USB Restricted Mode gilt jedoch als erste Hürde, der das Abgreifen von Daten über den USB-C-Port verhindert. Auch denkbar wäre, dass auf diesem Weg Schadcode eingeführt werden konnte, doch Apple macht dazu keine Angaben. Was der Konzern jedoch sagt: Es gab laut Apple einen "Bericht, dass [darüber] spezifische Zielpersonen" angegriffen wurden. Um welche es sich handelt, ist ebenfalls unklar. Der Bug wurde über ein verbessertes "State Management" behoben, so Apple weiter. Nutzer von iPhones ab dem Modell XS, iPad Pro mit 11 und 13 Zoll sowie 12,9 ab der dritten Generation, iPad Air 3 und neuer, iPad 7 und neuer sowie iPad mini 5 und neuer erhalten Zugriff auf den Patch. Andere Modelle können iOS 18 (beziehungsweise iPadOS 17.7.5) nicht mehr ausführen und bleiben unsicher.

Apple hat neben iOS und iPadOS auch watchOS und visionOS aktualisiert – auf 11.3.1 beziehungsweise 2.3.1. Sicherheitsrelevante Fixes sollen diese aber nicht enthalten. Sonstige Angaben über Neuerungen macht Apple leider nicht – sehr störend, da man die Patches auf gut Glück einspielen muss, ohne zu wissen, was sie bringen.

Admins sollten ihre Zimbra-Server aus Sicherheitsgründen auf den aktuellen Stand bringen. Updates schließen mehreren Schwachstellen. Derzeit gibt es zwar noch keine Berichte zu Attacken, die Entwickler raten aber zum zügigen Updaten.

Anzeige

Im Sicherheitsbereich der Zimbra-Website listen sie mehrere Sicherheitslücken auf, für die teils noch keine CVE-Kennzeichnung vergeben wurde. Eine Lücke stufen sie als "kritisch" ein und Angreifer können im Zuge einer XSS-Attacke eigenen Code ausführen. Weitere Details dazu sind zurzeit nicht bekannt.

Zu einer "kritischen" Schwachstelle (CVE-2025-25064) sind aber schon Einzelheiten veröffentlicht. An der Lücke können authentifizierte Angreifer mit speziellen Anfragen ansetzen. Weil Nutzereingaben nicht ausreichend überprüft werden, können Angreifer an dieser Stelle eigene SQL-Befehle einschleusen, um so Zugriff auf Metadaten von Mails zu bekommen.

Eine weitere bekannte Sicherheitslücke (CVE-2025-25065 "mittel") erlaubt es Angreifern, Serververbindungen umzubiegen.

Cyberattacken zielen darauf ab, durch böswillige Aktivitäten wie Phishing, Ransomware, Malware oder andere Cyberangriffe unberechtigten Zugriff auf IT-Systeme und Daten zu erlangen, um anschließend dem Unternehmen Schaden zuzufügen.

Anzeige

Im zweitägigen iX-Workshop Digital Forensics & Incident Response lernen Sie Tools und Techniken kennen, um Cyberangriffe schnell zu erkennen, betroffene Systeme zu identifizieren, Angriffsspuren zu sichern und geeignete Gegenmaßnahmen einzuleiten. Nach der Schulung sind Sie in der Lage, aktiv an der Reaktion auf Cybervorfälle mitzuwirken und die Rückkehr zum Normalbetrieb professionell zu unterstützen.

In diesem Sicherheitsworkshop arbeiten Sie mit einer virtuellen Windows-Maschine, an der Sie die vorgestellten Techniken und Strategien direkt und selbstständig in der Praxis ausprobieren können.

Durch den Workshop führt Sie Johann Rabbow. Als Head of Digital Forensics & Incident Response Spezialist beim Beratungsunternehmen Oneconsult unterstützt er Unternehmen bei der Bewältigung von Cyberattacken und untersucht die Methoden der Angreifer bis auf den letzten Befehl.

In 18 neuen Sicherheitsmitteilungen behandelt SAP im Rahmen des Februar-Patchday neu entdeckte Sicherheitslücken in zahlreichen Produkten. Eine Handvoll davon gilt dem Unternehmen als hohes Risiko. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig herunterladen und installieren.

Anzeige

In der Patchday-Übersicht für den Februar listet SAP die einzelnen Sicherheitsmitteilungen auf. Am schwerwiegendsten stuft SAP eine Schwachstelle in BusinessObjects ein. Sie ermöglicht Angreifern mit Admin-Rechten, geheime Passphrasen zu erstellen oder zu erlangen und damit beliebige User im System auszugeben (CVE-2025-0064, CVSS 8.7, Risiko "hoch").

SAPs Supplier Relationship Management hingegen ist von einer Path-Traversal-Lücke betroffen, die nicht authentifizierten Angreifern das Herunterladen beliebiger Dateien ermöglicht. Diese können damit an sensible Informationen gelangen (CVE-2025-25243, CVSS 8.6, hoch). Im "Node.js"-Paket von SAPS Approuter können bösartige Akteure die Authentifizierung umgehen. Durch das Einschleusen bösartig manipulierter Daten können sie die Sitzung von Opfern übernehmen (CVE-2025-24876, CVSS 8.1, hoch).

Die Sicherheitsmitteilungen lauten im Einzelnen:

Die Lup-Kliniken im Landkreis Ludwigslust-Parchim sind von einem Cyberangriff betroffen. Wie der Landkreis mitteilte, sind die Klinikstandorte Hagenow und Ludwigslust derzeit per E-Mail und Website nicht zu erreichen. Beide Häuser seien vorsorglich vom Kommunikationsnetz getrennt worden. Die medizinische Versorgung an den Standorten sei hingegen gesichert. Die Notaufnahme wurde den Angaben nach regulär abgemeldet, bedrohliche Notfälle werden weiterhin behandelt.

Anzeige

Der Cyberangriff wurde in der Nacht zum Montag festgestellt – derzeit werde an der Behebung der technischen Probleme gearbeitet. Nach Angaben des Landeskriminalamtes wurden die Ermittlungen zu Verstößen wegen Computersabotage und dem Ausspähen von Daten aufgenommen. Derzeit würden Spezialisten vor Ort digitale Spuren sichern. Weitere Informationen gebe es bisher nicht – in diesem Jahr sei es bereits der vierte Fall von Computersabotage in Mecklenburg-Vorpommern, hieß es.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Mehr-Faktor-Authentifizierung (MFA) liefert besseren Schutz vor Phishing oder der direkten Nutzung von Zugangsdaten aus Datenlecks. Google hat im November einen MFA-Zwang für Online-Konten bei dem Unternehmen angekündigt. Jetzt hat es den Zeitplan festgezurrt.

Anzeige

In einem Artikel zu Googles Cloud erörtert das Unternehmen die Änderungen und Details. Demnach würden mit MFA geschützte Konten mit einer 99-prozentigen Wahrscheinlichkeit nicht geknackt, weshalb das Unternehmen nach und nach die Anforderung für alle Cloud-Konten einführt, dass MFA aktiviert sein muss.

Als Erstes sind Konten von Resellern an der Reihe. Für diese erzwingt Google ab dem 28. April 2025 den MFA-Einsatz. Kundenkonten der Reseller seien jedoch da noch nicht betroffen. Private Google-Konten, etwa zu Google Mail (Gmail), erhalten die MFA-Aktivierung ab dem 12. Mai dieses Jahres. Cloud-Identity-Konten für Unternehmen, die ohne Single-Sign-On (SSO) genutzt werden, folgen im dritten Quartal des Jahres. Und schließlich sind Unternehmenskonten mit föderierter Authentifizierung im vierten Quartal 2025 oder sogar später an der Reihe.

Google will zudem Betroffene rechtzeitig über diese Änderung informieren. In der Cloud-Konsole soll mindestens 90 Tage vor der erzwungenen MFA eine Erinnerung angezeigt und eine E-Mail diesbezüglich an Betroffene gesendet werden. Reseller und deren Nutzer erhalten diese Nachrichten 60 Tage vor dem Zieldatum. Privatkunden erhalten derzeit eine Hinweis-E-Mail, ganz gleich, ob sie 2FA bereits aktiviert haben oder nicht. Darin führt ein Link in das Google-Konto zu den Sicherheitseinstellungen. Dort lässt sich bei "2-Faktor-Authentifizierung" die Nutzung erkennen – etwa, ob sie bereits aktiviert wurde und welche Zweitfaktoren hinterlegt wurden, beispielsweise Passkeys und Sicherheitsschlüssel, Authenticator-Apps oder dafür angegebene Telefonnummern.

Malware und Hacker-Angriffe sind längst nicht mehr nur ein Windows-Thema – auch Linux-Server und die darauf laufenden Dienste geraten immer häufiger unter Beschuss. Der fünftägige Intensiv-Workshop Linux-Server härten: Verschlüsselung, Zugriffskontrolle, Integritätschecks beschäftigt sich umfassend mit der Sicherheit von Linux-Servern. Das Themenspektrum reicht von der physischen Sicherheit über Mechanismen der Zugriffskontrolle bis hin zu Logging, Monitoring und Intrusion Detection.

Anzeige

Sie lernen, wie Sie Daten verschlüsseln und Netzwerkdienste absichern, fortgeschrittene Methoden der Zugriffskontrolle wie Zwei-Faktor-Authentifizierung einrichten und die bekannten Sicherheitsframeworks SELinux und AppArmor einsetzen. Florian Winkler erklärt, wie man Logfiles mit sicherheitsrelevanten Vorfällen analysiert und geht auch auf das Thema Einbruchserkennung ein. Darüber hinaus erhalten Sie eine theoretische Einführung in das Penetration Testing und erfahren, wie Sie Sicherheitslücken in der eigenen IT gezielt aufspüren.

Damit Sie in diesem Workshop das Gelernte direkt ausprobieren und selbst Hand anlegen können, erhalten Sie einen ssh-Zugang zu einer Trainingsumgebung mit bereitgestellten Linux-Systemen. Der Workshop ist interaktiv und findet in Gruppen mit maximal 12 Teilnehmenden statt, damit Sie viel Raum für eigene Fragen und den Austausch mit dem Trainer und den anderen Teilnehmenden haben.

Der nächste iX-Workshop findet vom 24. bis 28. März 2025 statt. Ihr Trainer Florian Winkler ist seit 2014 als Berater und Trainer beim Linux-Systemhaus B1 Systems tätig. Seine Themenschwerpunkte liegen in den Bereichen Konfigurationsmanagement, DevOps, Deployment, Security und Automatisierung.

Das anonymisierende Linux Tails ist in aktualisierter Fassung erschienen. Darin schließen die Entwickler Sicherheitslücken, die Angreifern die Deanonymisierung von Nutzern ermöglichen.

Anzeige

In der Versionsankündigung schreiben die Tails-Entwickler, dass Angreifer die Tor-Circuits überwachen könnten. Dazu müssen sie zuvor die Kontrolle über eine Anwendung in Tails übernommen haben und können dann Schwachstellen in "Onion Circuits" sowie im "Tor Browser"-Wrapper missbrauchen, die zur Deanonymisierung führen. Eine zweite Sicherheitslücke ermöglicht Angreifern, die Einstellungen des persistenten Speichers zu ändern. Wie diese Kontrollübernahme über Apps aussehen könnte, erörtert das Tails-Projekt nicht näher.

Die Schwachstellen wurden bei einem Security-Audit durch Radically Open Security entdeckt. Version 6.12 und neuer von Tails bessern sie aus. Aber auch weitere Neuerungen sind in die neue Fassung geflossen: Der "Über Tails"-Dialog hat nun eine Schaltfläche zur Suche nach Upgrades.

Das Tastenkürzel "Strg"+"Alt"+"T" öffnet direkt ein Terminal-Fenster. Der zentrale Tor-Browser ist auf Stand 14.0.5 dabei, Thunderbird wurde auf Version 128.6.0esr aktualisiert. Python-Code läuft jetzt wieder vollständig im isolierten Modus, der Willkommensbildschirm friert beim Aktivieren des persistenten Speichers nicht mehr ein, Zeitsynchronisation beim Start von Tor ist nun verlässlicher und beim Scheitern des Upgrades der Verschlüsselung des persistenten Speichers auf LUKS2 zeigt Tails jetzt eine Fehlermeldung. Geblieben ist das Problem, dass bei Fehlern bei der Installation von zusätzlicher Software aus dem persistenten Speicher die Schaltflächen "Configure" und "Show Log" nicht funktionieren.

Admins, die die Asset-Managementsoftware Trimble Cityworks verwalten, müssen ihre Systeme durch die Installation eines Sicherheitsupdates vor laufenden Attacken schützen.

Anzeige

Über Cityworks steuern Mitarbeiter unter anderem Kapitalressourcen und Workflows. Weil die Software in Behörden oder Versorgungsunternehmen genutzt wird, sollten Admins nicht zu lange zögern. Vor den Attacken warnt etwa die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag. In welchem Umfang die Attacken derzeit ablaufen, ist nicht bekannt.

In einer Warnmeldung führt Trimble aus, dass On-Premises-Kunden die gegen die Attacken abgesicherten Versionen 15.8.9 oder 23.10 installieren müssen. Alle vorigen Ausgaben sollen verwundbar sein. Cityworks-Online-Deployments (CWOL) seien bereits geschützt.

Bei den Attacken setzen Angreifer an einer Schwachstelle (CVE-2025-0994, CVSS 8.6, Risiko "hoch") an, um Schadcode im Kontext von Microsofts Internet-Information-Services-Web-Server (IIS) auszuführen. Wie Angriffe im Detail ablaufen, ist derzeit nicht bekannt. In der Beschreibung der Lücke steht, dass Angreifer für eine erfolgreiche Attacke authentifiziert sein müssen.

Vergangene Weihnachten wurde ein Problem mit Windows 11 24H2-Installationen bekannt, dass diese keine weiteren Aktualisierungen installieren können, wenn sie von einem Installationsmedium mit bestimmten Update-Ständen installiert wurden. Microsoft hat nun aufgegeben, nach einer automatisierten Lösung dafür zu suchen oder etwa ein Fix-it-Tool zu entwickeln – Betroffenen bleibt lediglich die manuelle Korrektur.

Anzeige

Diese Entscheidung hat Microsoft durch das Setzen des Beitrags in den Windows Release Health-Ankündigungen auf "gelöst" festgezurrt. Konkret lautet die Problembeschreibung, dass eine Windows-11-Installation auf Stand 24H2, die von einer CD (sic) oder einem USB-Laufwerk mit integrierten Oktober- oder November-Updates aus 2024 aufgesetzt wurde, keine weiteren Sicherheitsupdates mehr installieren kann. Dazu gehören auch etwa mit dem Windows Media Creation Tool zu den Zeitpunkten erstellte Medien. Installationen, die sich die Aktualisierungen über Windows Update gezogen und diese angewendet haben, haben dieses Problem hingegen nicht.

Der Eintrag zu dem Problem von Microsoft ist seit Ende vergangener Woche auf dem Status "gelöst". Allerdings steht dort weiterhin lediglich der bisherige Workaround als Lösung: Durch eine Überinstallation mit einem Installationsmedium, das mindestens die Sicherheitsupdates aus dem Dezember 2024 enthält – also ab dem 10. Dezember 2024 erstellt wurde – lässt sich das Problem beheben. Ein Fix-it-Tool, Skript oder anderweitige Möglichkeiten beispielsweise durch Registry-Änderungen nennt Microsoft nicht.

Ein solch aktualisiertes Medium lässt sich mit dem Windows Media Creation Tool erstellen, das auf der Windows-11-Download-Webseite von Microsoft verfügbar ist. Das lädt entweder eine ISO-Datei herunter, die sich auf DVD verfrachten lässt, oder erstellt einen bootbaren USB-Stick mit der Windows-Installation; dieser sollte mindestens 8 GByte Platz haben.

Im Workshop Beyond Bits: Physische Sicherheit in der IT – von Angriffsmethoden zu Schutzstrategien erfahren Sie, warum es wichtig ist, IT-Landschaften auch physisch gegen Angriffe abzusichern und lernen, wie Sie dies effektiv tun können.

Anzeige

In diesem Workshop führen Sie gemeinsam und unter Anleitung einen simulierten physischen Penetrationstest gegen ein fiktives Unternehmen durch. Dabei kommen reale Angriffsmethoden wie Lockpicking, Bypassing, Social Engineering und der Diebstahl von RFID-Credentials zum Einsatz. So lernen Sie die Techniken und Taktiken der Angreifer kennen, wie diese Schutzmaßnahmen umgehen und welche wirksamen Schutzmaßnahmen und Verhaltensrichtlinien es gibt, um sich gegen solche Angriffe zu wehren. Darüber hinaus werden Verhaltensrichtlinien für Mitarbeiter gegen die oft unterschätzte Gefahr des Social Engineering erarbeitet.

Um das Gelernte auf das eigene Unternehmen anwenden zu können, erarbeiten Sie in der Gruppe eine Checkliste zum physischen Zugangsschutz, die Ihnen hilft, bestehende Sicherheitsmaßnahmen besser einzuschätzen, vorhandene Schwachstellen selbst zu erkennen und notwendige Schutzmaßnahmen auszuwählen.

Der Workshop richtet sich an Verantwortliche in kleinen und mittleren Unternehmen (KMU) wie Geschäftsführer, Mitglieder des Managements, Administratoren, IT-Leiter und IT-Sicherheitsverantwortliche, die sich mit der Absicherung der eigenen Infrastruktur auseinandersetzen wollen.

In Australien und Taiwan gibt es bereits ein Verbot für Mitarbeitende aus Behörden und dem Bereich kritischer Infrastruktur, die App von Deepseek zu nutzen. Der Grund dafür: Es sei eine Bedrohung der nationalen Sicherheit zu befürchten. Nun folgt auch die USA. Parteiübergreifend sollen Abgeordnete ein ähnliches Verbot anstreben.

Anzeige

Den Antrag dazu haben der demokratische Abgeordnete Josh Gottheimer und sein republikanischer Kollege Darin LaHood eingebracht. In dem veröffentlichten Dokument heißt es, Deepseek sei sogar eine "alarmierende Bedrohung für die nationale Sicherheit". Zudem würden Untersuchungen zeigen, dass der Dienst direkte Verbindungen zur chinesischen Regierung habe, und sensible Daten der amerikanischen Bürger weitergeleitet würden.

Anders als etwa im Fall von Tiktok, wo ein generelles Verbot des Dienstes im Raum steht, soll es bei Deepseek aber nur um die Nutzung der App auf dienstlichen Geräten gehen. Die Antragsteller ziehen allerdings dennoch einen Vergleich zu der Social-Media-Plattform: "Wir haben Chinas Herangehensweise (Playbook) bereits bei Tiktok gesehen, wir können das nicht noch einmal zulassen."

Konkret werfen die Abgeordneten Deepseek vor, Daten mit China Mobile zu teilen, einem Unternehmen, das direkt der chinesischen Regierung (CCP) gehöre und eng mit dem Militär verbandelt sei. Die US-amerikanische Federal Communications Commission (FCC) habe die Nutzung von China Mobile in den USA deshalb bereits verboten.

Hat OpenAI bei der Cybersicherheit massiv geschlampt? Kriminelle brüsten sich in einem Darknet-Forum damit, Millionen Login-Daten von ChatGPT-Nutzern gestohlen und weitergegeben zu haben. Bedrohungsakteure machen in solchen Untergrund-Marktplätzen zwar häufig übertriebene Ansagen, um Aufmerksamkeit auf sich zu lenken oder Käufer anzulocken. Das potenzielle Ausmaß des inserierten Datenlecks wäre allerdings groß, sodass bei IT-Sicherheitsexperten Alarmglocken läuten. "Wir nehmen diese Behauptungen ernst", erklärte ein OpenAI-Sprecher gegenüber dem Magazin Decrypt. Der Fall werde derzeit untersucht.

Anzeige

Der unter dem Pseudonym emirking agierende Darknet-Nutzer postete laut dem Portal GbHackers eine kryptische Nachricht auf Russisch, in der er "mehr als 20 Millionen Zugangscodes zu OpenAI-Konten" anpries. Er sprach demnach von einer "Goldmine" und bot potenziellen Käufern Beispieldaten mit E-Mail-Adressen und Passwörtern an. Dem Bericht zufolge soll der vollständige Datensatz "für nur ein paar Dollar" zum Verkauf stehen. Bei OpenAI stehe wohl eine Massenüberprüfung von Konten an.

"Wir haben bisher keine Hinweise darauf, dass dieser Fall mit einer Kompromittierung von OpenAI-Systemen zusammenhängt", hieß es von dem ChatGPT-Hersteller in einer ersten Reaktion. Auch Security-Experten sind sich unsicher, ob persönliche Daten von Nutzern des Chatbots kompromittiert worden sind.

Mikael Thalen von Daily Dot teilte mit, dass er in dem angeblichen Sample ungültige E-Mail-Adressen gefunden habe. Es gebe bislang keine Beweise dafür, "dass dieser vermeintliche OpenAI-Einbruch legitim ist". Mindestens zwei Adressen hätten nicht funktioniert. Der einzige andere Beitrag des Nutzers in dem Forum sei zwar ein Verweis auf eine Malware zum Stehlen von Login-Daten. Der Thread sei inzwischen aber gelöscht worden.

Europol hat Finanzinstitute und politische Entscheidungsträger weltweit aufgefordert, dem Übergang zur quantensicheren Verschlüsselung Priorität einzuräumen und Lösungen einzusetzen. Mit der rasanten Weiterentwicklung des Quantencomputings sei der Finanzsektor einer "unmittelbaren Bedrohung seiner kryptografischen Sicherheit ausgesetzt", betonte die Polizeibehörde am Freitag im Rahmen eines von ihr veranstalteten Quantum Safe Financial Forum (QSFF). Teilnehmer der Konferenz warnten laut Europol vor allem vor dem wachsenden Risiko der Angriffsstrategie eines "jetzt speichern – später entschlüsseln" ("Store now – decrypt later"): Böswillige Akteure könnten heute verschlüsselte Daten sammeln, um sie später mithilfe von Quantencomputern zu entschlüsseln.

Anzeige

Als Grund für seinen globalen Handlungsaufruf gibt das QSFF an, dass leistungsfähige Quantenrechner gängige Verschlüsselungsverfahren im Handstreich überwinden könnten ("Kryptokalypse"). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht hier – ohne unerwartete technologische Durchbrüche – von einem Zeithorizont von zehn bis 20 Jahren aus. Bei Europol ist von zehn bis 15 Jahren die Rede. Die Suche nach einem Ersatz für aktuell genutzte Algorithmen für die Public-Key-Kryptografie läuft daher generell auf Hochtouren, um weiterhin etwa E-Mails, Online-Banking, medizinische Daten, den Zugang zu Kontrollsystemen und nationale Sicherheitsaufgaben absichern zu können.

Gerade im Finanzbereich sei der Handlungsdruck hoch, unterstreicht Europol. Ein erfolgreicher Übergang zur quantensicheren Verschlüsselung erfordere die Zusammenarbeit zwischen Banken und anderen Finanzinstituten, Technologieanbietern, politischen Entscheidungsträgern und Regulierungsbehörden. Die Koordination zwischen den verschiedenen Interessengruppen sei von entscheidender Bedeutung. Die Branche müsse zusammen mit Akteuren des privaten und öffentlichen Sektors Experimente, Projekte, Kontaktstellen und anderen Initiativen auf den Weg bringen.

Bedarf an zusätzlichen Gesetzen sieht das QSFF nicht. Ein freiwilliger Rahmen zwischen Regulierungsbehörden und dem privaten Sektor dürfte ihm zufolge ausreichen, um Richtlinien für quantensichere Kryptografie festzulegen und die Standardisierung zwischen den Institutionen zu fördern. Europol verweist zudem darauf, dass der angestrebte Wechsel die Möglichkeit biete, Verschlüsselungspraktiken und die IT-Sicherheit generell zu verbessern. Es sei ein zukunftsorientierter Rahmen für die Handhabe von Kryptografie erforderlich.

Der von Sicherheitsexperten, Bürgerrechtlern und Apple selbst kritisierte Investigatory Powers Act (IPA), den die britische Regierung überarbeitet hat, könnte die Sicherheit in der iCloud brechen. Eine durch das Sicherheits- und Spionagegesetz möglich gemachte Geheimanweisung verlangt von dem iPhone-Konzern, verschlüsselte Inhalte von Backups und weiteren Daten aller Nutzer weltweit auf Verlangen der Behörden im Vereinigten Königreich auszuleiten, schreibt die Washington Post in einem Exklusivbericht vom Freitag. Damit sei Apples Datenschutzversprechen an seine Kunden in Gefahr.

Anzeige

Der Befehl an Apple soll bereits im vergangenen Monat erteilt worden sein, er wurde nicht veröffentlicht. Er verlangt die "generelle Möglichkeit, vollständig verschlüsseltes Material einzusehen, und nicht nur die Unterstützung beim Knacken bestimmter Konten", so die Washington Post unter Berufung auf informierte Personen. In demokratischen Ländern sei dies bislang beispiellos. Sollte dies tatsächlich angewendet werden, hätten Nutzer keinerlei Schutz mehr und Apple (sowie viele andere Tech-Konzerne, die Verschlüsselung verteidigen) eine schwere Niederlage bei den Nutzerrechten erlitten.

IPA, bei Kritikern auch bekannt als "Snoopers' Charter" ("Schnüffel-Charta"), gilt bereits seit 2016, wurde allerdings zuletzt nachgeschärft. Apple hatte bereits vor einem Jahr vor einer "beispiellosen Grenzüberschreitung" durch die Londoner Regierung, damals noch unter den konservativen Tories, gewarnt. Die nun herrschende Arbeiterpartei (Labour) verfolgte den Kurs jedoch weiter. Apple teilte damals mit, das Vereinigte Königreich könne mit dem neuen IPA versuchen, ein geheimes Veto gegen neue Schutzmaßnahmen – also etwa eine verbesserte Verschlüsselung – einzulegen, das dann weltweite Auswirkungen hätte, "um zu verhindern, dass wir sie unseren Kunden jemals anbieten können". Genau das scheint jetzt passiert zu sein – wobei es sich sogar gegen vorhandene Verschlüsselung wendet.

Apple kommentierte den Bericht zunächst nicht. Die Anweisung kam laut Washington Post in Form einer sogenannten Technical Capability Note, in der es hieß, dass Apple Zugriff im Rahmen des IPA geben muss. Der iPhone-Konzern kann dagegen nur vor einem geheimen Panel Einspruch erheben, in dem es aber nur um Details geht – etwa zu den Kosten. Ein Richter muss dann entscheiden, ob die Anordnung zu den Anforderungen der Regierung passt. Während dieser Art von Berufungsverfahren darf Apple die Anordnung aber nicht aussetzen.

Die Bedrohung durch Cyberangriffe auf Produktionsanlagen nimmt rasant zu. Gleichzeitig steigen die Anforderungen an die Sicherheit von Operational Technology (OT), insbesondere durch neue EU-Vorgaben wie die NIS2-Richtlinie und den Cyber Resilience Act. „Die Risiken haben in den letzten Jahren deutlich zugenommen“, erklärt Prof. Dr. Karl-Heinz Niemann, Experte für Prozessinformatik und Automatisierungstechnik an der Hochschule Hannover (HsH). Genau hier setzt der Online-Zertifikatskurs IT-Sicherheit in Produktionsanlagen der HsH-Akademie in Kooperation mit iX an – eine Weiterbildung, die praxisnah und hochaktuell ist.

Anzeige

OT-Sicherheit in drei Wochenenden

Der Online-Kurs richtet sich an Fach- und Führungskräfte, die für den Schutz von Produktionsanlagen verantwortlich sind oder im Arbeitsalltag mit OT-Security in Berührung kommen. Die Teilnahme setzt Grundkenntnisse in der Automatisierungstechnik voraus. In insgesamt 24 Unterrichtseinheiten, verteilt auf drei Wochenenden, lernen die Teilnehmenden alles Wichtige über OT-Security – von der Grundlagenvermittlung bis hin zur praktischen Anwendung.

Der Schwerpunkt liegt auf der OT-Security-Norm IEC 62443, die für den sicheren Betrieb und die Planung von Produktionsanlagen entscheidend ist. Ergänzt werden die Inhalte durch aktuelle Themen wie Safety und Security sowie die Anforderungen neuer europäischer Regulierungen. Praxisorientierte Fallstudien helfen den Teilnehmenden dabei, das Gelernte direkt anzuwenden.

Bei Vorwerk gab es ein Datenleck, wie der Anbieter für Haushaltsgeräte mitteilte. Die Lücke betraf das Forum "rezeptwelt.de" des Thermomix-Herstellers und führte dazu, dass Unbekannte massenhaft Nutzerdaten erbeuten konnten. Die Daten stehen im Darknet zum Verkauf. Alle Betroffenen sind informiert, die Lücke ist geschlossen. Dennoch rät Vorwerk Rezeptwelt-Mitgliedern, vorsichtig zu sein: Es drohen weitere Angriffe.

Anzeige

Aus dem Thermomix-Rezeptforum wurden millionenfach Mitgliederdaten abgezogen und stehen nun im Darknet zum Verkauf. Im Datensatz sind die persönlichen Daten von über drei Millionen Rezeptwelt-Mitglieder enthalten, darunter E-Mail-Adressen, Telefonnummern, Adressen und Kochkenntnisse. Laut Vorwerk-Stellungnahme bestand die Lücke nur drei Tage – vom 30. Januar bis zum 3. Februar 2025. Der Zugriff habe zudem nicht auf Vorwerk-eigene Server stattgefunden, sondern bei einem externen Dienstleister.

Neben einer guten Million deutscher Opfer sind jeweils zwischen drei- und vierhunderttausend englisch-, spanisch-, französisch-, italienisch- und polnisch- sowie gut 150.000 portugiesischsprachige Nutzer betroffen. Das Rezeptwelt-Forum richtet sich an eine weltweite Nutzerschaft – auch Thermomix-Anwender aus Australien und Tschechien tummeln sich dort.

Vorwerk hat unmittelbar nach dem Vorfall reagiert und konnte ihn schnell eingrenzen. In Zusammenarbeit mit Sicherheitsexperten und Datenschützern hat das Unternehmen ausschließen können, dass weitere Systeme oder etwa der Online-Shop betroffen sind. Das Unternehmen mahnt zur Vorsicht: Mit den gestohlenen Daten könnten Kriminelle nun glaubwürdige Phishingangriffe gegen Rezeptwelt-Mitglieder starten. Die Aufsichtsbehörden hat Vorwerk ebenso informiert wie alle betroffenen Nutzer.

Weil ein Sicherheitspatch fehlerhaft ist, ist die Serverautomationssoftware HCL BigFix Server Automation nach wie vor verwundbar. Nun haben die Entwickler reagiert.

Anzeige

Mit der Anwendung automatisieren Admins Tasks auf Servern, um etwa Updates in bestimmten Reihenfolgen zu installieren.

In einer Warnmeldung schreiben sie, dass die Lücke (CVE-2024-52798 "hoch") auf ein kaputtes Sicherheitsupdate für eine Schwachstelle (CVE-2024-45296 "hoch") aus November 2024 im gleichen Kontext zurückgeht. HCL zufolge können Angreifer an Ausgaben der Funktion path-to-regexp ansetzen, um die Leistung zu beeinträchtigen und DoS-Zustände zu provozieren. Bislang gibt es keine Hinweise auf laufende Attacken.

Davon sind alle Versionen bis einschließlich 9.5.70 betroffen. HCL BigFix SA REST API 9.5.71 ist die gegen die geschilderte Attacke abgesicherte Ausgabe. Hinweise zur Installation finden Admins in der Warnmeldung.