Comretix Blog

Setzen Angreifer erfolgreich an Sicherheitslücken im medizinischen Überwachungsmonitor Contec CMS8000 an, können sie unter anderem die Anzeige von Vitalwerten manipulieren. Nach jetzigem Kenntnisstand gibt es kein Sicherheitsupdate. Wann ein Patch kommen soll, ist bislang unklar.

Anzeige

Den Vital-Statusmonitor nutzen neben Krankenhäusern in den USA auch medizinische Einrichtungen in Europa. In Deutschland wird er auch genutzt.

Sicherheitsforscher der US-Behörde Cybersecurity & Infrastructure Security Agency (CISA) sind auf zwei Sicherheitslücken gestoßen (CVE-2025-0626 "hoch", CVE-2025-0683 "hoch"). Die erste Schwachstelle beschreibt eine Hintertür in Form einer hartcodierten IP-Adresse. Darüber können sich Angreifer unbefugt Zugriff verschaffen. Das zweite Sicherheitsproblem ist die unverschlüsselte Übertragung von Patientendaten an diese IP-Adresse. Diese Daten können Angreifer einsehen. Zurzeit gibt es den Forschern zufolge keine Hinweise auf bereits laufende Attacken.

Die CISA führt in einem Bericht aus, dass Angreifer unter Umständen Schadcode ausführen und Gerätedaten manipulieren können. Das könnte etwa dazu führen, dass Vitalzeichen falsch angezeigt werden, sodass kritische gesundheitliche Zustände bei Patienten nicht oder falsch angezeigt werden.

Wohin die Reise mit den Gesundheitsdaten geht, scheint sich mit dem Start der "elektronischen Patientenakte für alle" immer mehr abzuzeichnen. Während Polizisten Zugang zu den Daten zur Strafverfolgung wünschen, spricht sich Friedrich Merz (CDU) in einer Wahlkampfrede über einen finanziellen Vorteil für diejenigen aus, die ihre Gesundheitsdaten spenden. Zwar steht dieser Punkt nicht im Wahlprogramm, dennoch spielt er mit diesem Gedanken und lässt potenzielle Wähler daran teilhaben.

Anzeige

Wer laut Merz all seine Gesundheitsdaten auf der elektronischen Gesundheitskarte speichert, "bekommt 10 Prozent weniger Krankenversicherungsbeiträge als derjenige, der Angst hat und sagt, ich will das nicht". Kritik folgte daraufhin unter anderem von der Sicherheitsforscherin Bianca Kastl auf Mastodon. "Letztendlich führen finanzielle Anreize für das Speichern von Gesundheitsdaten nur dazu, dass sich Ungleichheiten im Gesundheitswesen verstärken: Diejenigen Menschen ohne in der Gesellschaft diskriminierte Diagnosen können sparen, diejenigen, die nicht das Privileg haben, ihre Gesundheitsdaten allen digital anvertrauen zu können, werden finanziell zusätzlich belangt. Es entsteht ein Teufelskreis", erklärt Kastl. Wer stigmatisierende Krankheiten hat und diese nicht speichern möchte, muss zusätzlich zahlen.

Laut Merz würde viel mehr über Datenschutz als über Datennutzung geredet, die Bevölkerung sei in diesem Punkt aber schon viel weiter als die Politik. Dabei erwähnte der Kanzlerkandidat der CDU/CSU ein Treffen mit Microsoft-Chef Satya Nadella auf dem vergangenen Weltwirtschaftsforum. Nadella sagte demnach gegenüber Merz, dass der deutsche Mittelstand in seinen Unternehmen einen großen Schatz hätte. Er verfüge demnach "über Daten in der Produktion, im Vertrieb, im Einkauf, im Personalmanagement, in den ganzen Prozessen". Würden diese im Zusammenspiel mit KI richtig genutzt, könnten Produktivitätszuwächse erzielt werden. Offen lässt Merz jedoch, welche Parallelen es in Bezug auf die Gesundheitsdatennutzung gibt. Unbestreitbar ist jedoch, dass Microsoft auch hierzulande mit Programmen wie Dragon Ambient Experience wirbt und mit seiner Software zunehmend in Krankenhäusern zum Einsatz kommt.

Bereits in der Vergangenheit sprach unter anderem der CDU-Abgeordnete Erwin Rüddel davon, dass Versicherte ihre Daten an die Krankenkassen verkaufen können, wie der Tagesspiegel Background berichtet hatte. Schließlich seien diese Daten besonders wertvoll. Auch Gesundheitsminister Karl Lauterbach hatte in der Vergangenheit in Bezug auf die elektronische Patientenakte und das Forschungsdatenzentrum Gesundheit immer wieder von einem ungehobenen und wachsenden Datenschatz gesprochen, an dem auch Microsoft Interesse habe.

Der erst im Oktober 2024 von Microsoft auch in Deutschland verfügbar gemachte VPN-Dienst in Microsoft Defender for Individuals – Teil von Microsoft 365 Family oder Personal – ist Ende dieses Monats bereits wieder Geschichte. Der Dienst hatte somit nicht einmal ein halbes Jahr Bestand.

Anzeige

Microsoft hat nun einen Support-Artikel veröffentlicht, in dem das Unternehmen diesen Schritt ankündigt. Auf die dort selbst gestellte Frage, warum Microsoft die Privatsphären-Schutzfunktion aus der Defender-App herauswirft, schreibt das Unternehmen: "Unser Ziel ist sicherzustellen, dass du und deine Familie online sicherer seid. Wir prüfen regelmäßig die Nutzung und Effektivität unserer Funktionen. Als solche entfernen wir die Privatsphären-Schutzfunktion und werden in neue Bereiche investieren, die besser zu den Kundenbedürfnissen passen".

Damit bleibt jedoch unklar, wieso die Funktion tatsächlich wieder gehen muss: Ob sie wie in der Marketing-Aussage angedeutet zu wenig genutzt wurde, einfach zu teuer ist oder damit etwa Missbrauch betrieben wurde, lässt sich nicht einmal erahnen.

Andere Funktionen seien jedoch nicht betroffen, der Daten- und Geräteschutz bleibe erhalten, ebenso Bedrohungsalarme. Weiterhin lasse sich überwachen, ob es zu Identitätsdiebstahl gekommen ist oder – auf die USA begrenzt – eine "Kreditüberwachung" einrichten.

Am 30. September und 1. Oktober findet die heise devSec 2025 statt. Die neunte Auflage der Konferenz zu sicherer Softwareentwicklung wandert dieses Jahr nach Regensburg. Weiterhin lautet das Motto "Sichere Software beginnt vor der ersten Zeile Code".

Anzeige

Die heise devSec 2025 richtet sich an IT-Profis, die das Thema Security im Blick haben und sich den damit verbundenen Herausforderungen stellen müssen. Vor allem Softwareentwicklerinnen und -architekten, Projektleiter und Teamleiterinnen sowie Sicherheits- und Qualitätsbeauftragte nehmen an der heise devSec teil.

Im Call for Proposals suchen die Veranstalter iX, heise Security und dpunkt.verlag bis zum 11. April Vorträge und Workshops unter anderem zu folgenden Themen:

Erfahrungsberichte sind besonders gern gesehen. Das Programm wird Mitte Mai veröffentlicht. Bis dahin können Frühentschlossene Tickets für die Herbstkonferenz zum besonders günstigen Blind-Bird-Tarif von 1049 Euro kaufen.

Google zufolge nutzen mehrere staatlich geförderte Hackergruppen den KI-gestützten Assistenten Gemini, um ihre Produktivität zu steigern und mögliche Angriffsziele zu erforschen. Wie Bleeping Computer berichtet, hat Googles Threat Intelligence Group (GTIG) festgestellt, dass Hacker Gemini hauptsächlich einsetzen, um effizienter zu arbeiten, und nicht um neuartige KI-gestützte Cyberangriffe zu entwickeln, die traditionelle Abwehrmechanismen umgehen können.

Anzeige

Besonders aktiv waren laut Google APT-Gruppen aus dem Iran und China. Zu den häufigsten Anwendungsfällen zählten:

Die Hacker setzten Gemini in verschiedenen Phasen des Angriffszyklus ein, wobei sich die Schwerpunkte je nach Herkunftsland unterschieden:

Google beobachtete auch Versuche, öffentliche Jailbreaks gegen Gemini einzusetzen oder Prompts umzuformulieren, um die Sicherheitsmaßnahmen der Plattform zu umgehen. Diese Versuche blieben bisher erfolglos.

An jedem ersten Februar eines Jahres wiederholt sich der "Ändere dein Passwort-Tag". IT-Experten sind sich einig, dass er ein sogar kontraproduktives Verhalten empfiehlt: Häufige (erzwungene) Passwort-Wechsel sorgen nicht für sicherere Passwörter, da die meisten Betroffenen sich ein einfach merkbares (und somit knackbares) Schema ausdenken. Sie nutzen oftmals mit einem simplen Muster abgeleitete Passwörter, regelmäßig etwa mit Jahreszahlen verbunden. Der Chaos Computer Club fordert deshalb sogar die Abschaffung dieses Gedenktags.

Anzeige

Passwörter sollte man daher besser dann wechseln, wenn sie zu schwach sind, sie vermutlich geknackt wurden – oder Bestandteil eines der häufigen Datenlecks sind. Hier ist schnell der praktische Tipp zur Hand: Nutzen Sie einen Passwort-Manager! Der benötigt nur noch ein Master-Passwort oder gar ein biometrisches Kennzeichen zum Entsperren und nimmt dann beliebig komplexe Passwörter für Zugänge auf. Oftmals sogar über das Netz auf mehrere Endgeräte synchronisierbar. Das steigert den Komfort bereits enorm. Jedes Konto bekommt ein eigenes, schwer zu knackendes Passwort, das sich Nutzerinnen und Nutzer gar nicht merken müssen, da der Passwort-Manager es auf Desktop-PC, Tablet und Smartphone gleichermaßen bereitstellt.

Die Passwort-Manager bringen in der Regel zudem integrierte Passwortgeneratoren mit. Sie helfen dabei, solche schwer zu brechenden Passwörter automatisch zu erstellen. Die Komplexität lässt meist beliebig vorgeben.

KI-basierte Werkzeuge können helfen, Schwachstellen schneller zu erkennen und gezielt zu analysieren. Dadurch können Sicherheitsprozesse effizienter gestaltet und die Zeitvorteile gegenüber potenziellen Angreifern maximiert werden. Doch wann ist der Einsatz von KI-Werkzeugen sinnvoll und wann sollten herkömmliche Methoden bevorzugt werden?

Anzeige

Der iX-Workshop Künstliche Intelligenz für effiziente IT-Sicherheitsstrategien stellt verschiedene KI-Methoden und -Werkzeuge vor und zeigt, wann und wie sie sinnvoll eingesetzt werden können.

In unserem iX-Workshop erhalten Sie einen umfassenden Überblick über technische Sicherheitsaudits und Abwehrmaßnahmen sowie verschiedene KI-Tools. Sie haben die Möglichkeit, diese in praktischen Übungen auszuprobieren und deren Vor- und Nachteile kennen zu lernen. Dabei wird zwischen sinnvollen und weniger sinnvollen Einsatzmöglichkeiten unterschieden. Etwa 25% des Workshops sind der praktischen Anwendung des Gelernten gewidmet.

Der Workshop stellt konkrete Anwendungsszenarien für die vorgestellten Werkzeuge und Methoden vor. Sie lernen, wie Sicherheitsprozesse mit Hilfe von Künstlicher Intelligenz effizienter gestaltet werden können. Sie erfahren, wie Sie Schwachstellenscans und Penetrationstests schneller und besser auswerten können und wie Blue Teams von der automatisierten Bedrohungserkennung und der frühzeitigen Reaktion auf Angriffe profitieren.

Daniel Stenberg, Erfinder und Hauptentwickler des Open Source-Kommandozeilentools cURL, hat in einem Blogeintrag einmal mehr das CVE-Ökosystem (Common Vulnerabilities and Exposures) kritisiert. Im Fokus seiner aktuellen Kritik: das mit CVE eng verknüpfte Schwachstellenbewertungssystem CVSS (Common Vulnerability Scoring System).

Anzeige

Nach Stenbergs Meinung birgt der Prozess des CVSS-Scorings schon per se ein hohes Risiko für Fehleinschätzungen. Diese Gefahr werde allerdings noch dadurch verschärft, dass speziell autorisierte Instanzen wie die US-Behörde CISA beliebige bestehende CVEs um eigene Punkteberechnungen ergänzen können.

In der Vergangenheit war die nachträgliche "Anreicherung" von CVE-Einträgen um fehlende Zusatzinformationen wie CVSS-Scores Aufgabe der NVD (National Vulnerabbility Database). Nach einem massiven Rückstau unbearbeiteter CVEs übernimmt dies seit letztem Jahr jedoch primär die US-Cybersicherheitsbehörde CISA. In einem GitHub-Repository zum sogenannten "Vulnrichment-Projekt" vervollständigt sie systematisch sämtliche liegengebliebenen, aber auch neuen Einträge.

Stenberg protestierte bereits im September vergangenen Jahres öffentlich gegen einen seiner Ansicht nach falschen CVE-Eintrag. Auch grundsätzliche CVSS-Kritik äußerte er schon in früheren Blogeinträgen.

Kriminelle missbrauchen Sicherheitslücken in der Fernwartungssoftware SimpleHelp RMM, um in PCs und Netzwerke einzudringen. IT-Sicherheitsforscher haben eine Kampagne beobachtet, bei der Geräte initial durch diese Schwachstellen angegriffen wurden.

Anzeige

In einem Blog-Beitrag schreiben die Mitarbeiter von Arctic Wolf, dass knapp eine Woche vor der Entdeckung dieser Kampagne die IT-Forscher von Horizon3.ai drei Sicherheitslücken in SimpleHelp RMM aufgespürt und Informationen dazu veröffentlicht haben. Es handelt sich um drei Sicherheitslücken. Die gravierendste ermöglicht die Rechteausweitung von niedrig privilegierten Techniker-Zugang zum Server-Admin (CVE-2024-57726, CVSS 9.9, Risiko "kritisch").

Zudem können Angreifer ohne vorherige Anmeldung beliebige Dateien vom SimpleHelp-Server herunterladen, was Horizon3.ai als die schlimmste Sicherheitslücke aus dem Lücken-Trio einordnet, die CVSS-Einstufung spiegelt das aber nicht wider (CVE-2024-57727, CVSS 7.5, hoch). Die dritte Schwachstelle ermöglicht das Hochladen von Dateien an beliebige Stellen auf dem SimpleHelp-Server, sofern Admin-Zugriff (etwa als SimpleHelpAdmin oder Techniker mit Admin-Rechten) möglich ist. Unter Linux können bösartige Akteure durch das Hochladen einer crontab-Datei aus der Ferne Befehle ausführen (CVE-2024-57728, CVSS 7.2, hoch).

Die SimpleHelp-RMM-Versionen 5.3.9, 5.4.10 und 5.5.8 stopfen diese Sicherheitslücken. IT-Verantwortliche sollten so rasch wie möglich aktualisieren, sofern das noch nicht geschehen ist.

Dell NetWorker, NetWorker Virtual Edition und NetWorker Management Console sind verwundbar. Attacken auf die Schwachstellen sind vorstellbar. Admins sollten die Sicherheitspatches daher zeitnah installieren.

Anzeige

In einer Warnmeldung von Dell schreiben die Entwickler des Unternehmens, dass vor allem verschiedene Drittanbieter-Komponenten wie OpenSSL verwundbar sind. Eine Lücke (CVE-2025-21107, Risiko "hoch") betrifft die Backupsoftware aber auch direkt. An dieser Stelle können Angreifer mit lokalem Zugriff und mit niedrigen Nutzerrechten ansetzen, um Schadcode auszuführen. Wie so eine Attacke ablaufen könnte, führen die Autoren der Mitteilung aber nicht aus.

Dell gibt an, die Sicherheitsprobleme in den Ausgaben 19.11.0.03 und 19.12 gelöst zu haben. Das Sicherheitsupdate zum Schließen einer weiteren Schwachstelle (CVE-2024-7348, Risiko "hoch") steht jedoch noch aus. Dell will es im Februar zu einem nicht näher eingegrenzten Datum verfügbar machen.

Bislang gibt es keine Berichte zu bereits laufenden Attacken in freier Wildbahn. Admins sollten sich aber nicht zu lange in Sicherheit wägen und ihre Systeme zügig absichern.

Wenn Teams für den Zugriff von externen Kontakten konfiguriert ist, können sich unter Umständen unerwünschte Gäste in vertrauliche Firmen-Meetings einklinken. Das will Microsoft nun mit einem neuen Schutzmechanismus effektiver verhindern.

Anzeige

Das geht aus einem Beitrag im Microsoft 365 Admin-Message-Center hervor, der aber nur für Teams-Admins abrufbar ist. Möchte ein externer Kontakt an einem Meeting teilnehmen, soll Microsofts Identity-Protection-Ansatz anspringen. Der soll Phishingversuche erkennen und Warnmeldungen einblenden. Dabei warnen Textfenster dann unter anderem davor, dass unbekannte externe Kontakte eine Gefahr sein können und etwa auf geschäftliche Interna aus sind.

Ab Mitte Februar soll Teams über eine automatisch aktivierte neue Schutzfunktion effektiver vor Phishingversuchen warnen.

(Bild: Microsoft)

In Zoho ManageEngine Applications Manager gefährdet eine Sicherheitslücke die betroffenen Installationen. Bösartige Akteure können dadurch ihre Rechte ausweiten und weiteren Schaden anrichten.

Anzeige

In einer Sicherheitsmitteilung erklärt Zohocorp, dass eine "vertikale Rechteausweitungsschwachstelle" in ManageEngine Applications Manager vorliegt. Ein delegierter Admin kann ohne Autorisierung Admin-Zugriff durch Veränderung der User-Group-Parameter erlangen. Dies erfolge durch die API, die Nutzerprofile aktualisieren kann (CVE-2024-41140, CVSS 8.1, Risiko "hoch").

Der Sicherheitsmitteilung zufolge stellt Zohocorp bereits seit Anfang Januar aktualisierte Software bereit, die dieses Sicherheitsleck abdichtet. Die Veröffentlichung der Informationen zum CVE-Eintrag CVE-2024-41140 erfolgte jedoch erst Mitte dieser Woche. Betroffen ist demnach ManageEngine Applications Manager bis einschließlich der Version v173900. Die Schwachstelle haben die Entwickler hingegen in den Versionen 170008 bis 170099, 173303 bis 173399 sowie 174000 und neueren Fassungen ausgebessert.

Auf der Zohocorp-Webseite stehen die Service-Packs zum Abdichten der Lücke zum Herunterladen bereit. Da die Schwachstelle vom Hersteller als hochriskant eingestuft wird, sollten IT-Verantwortliche mit der Aktualisierung nicht warten, sondern sie zeitnah durchführen. Cyberkriminelle greifen Schwachstellen in Zoho ManageEngine-Software öfter an. Etwa nach Veröffentlichung eines Proof-of-Concept-Exploits durch ein IT-Sicherheitsunternehmen erfolgten rasch Attacken auf Schwachstelle CVE-2022-47966 in 24 Produkten aus der Palette.

Broadcom warnt vor fünf Sicherheitslücken in VMware Aria Operations for Logs und VMware Aria Operations sowie VMware Cloud Foundation. Angreifer können unbefugt auf Informationen zugreifen und so etwa Zugangsdaten ausspähen, und damit weiteren Schaden anrichten.

Anzeige

In der Sicherheitsmitteilung schreiben die VMware-Entwickler, dass bösartige Akteure mit Nur-Lesen-Admin-Rechten die Zugangsdaten von VMware-Produkten auslesen können, die in VMware Aria Operations for Logs hinterlegt sind (CVE-2025-22218, CVSS 8.5, Risiko "hoch"). Außerdem können Angreifer mit nicht-administrativen Berechtigungen ein Informationsleck missbrauchen, um Zugangsdaten für ein Plug-in zu erlangen, sofern sie eine gültige Dienst-Zugangs-ID kennen (CVE-2025-22222, CVSS 7.7, "hoch").

Weiterhin meldet Broadcom eine Stored Cross-Site-Scripting-Schwachstelle in VMware Operations for Logs, durch die Angreifer bösartige Skripte einschleusen können, die beliebige Operationen als Admin ausführen kann (CVE-2025-22219, CVSS 6.8, mittel). Eine ähnlich gelagerte Lücke ermöglicht Angreifern mit Admin-Rechten, ein Skript in Browser von Opfern einzuschmuggeln, was ausgeführt wird, wenn diese eine Lösch-Operation in der Agent-Konfiguration anstoßen (CVE-2025-22221, CVSS 5.2, mittel). Schließlich können aufgrund defekter Rechteprüfungen nicht-administrative Nutzerkonten mit Netzwerkzugriff auf die Aria Operations for Logs-API einige Aufgaben im Kontext eines Admin-Nutzers ausführen (CVE-2025-22220, CVSS 4.3, mittel).

Die Sicherheitslücken schließen VMware Aria for Operations und VMware Aria for Operations for Logs mit der Version 8.18.3. Für VMware Cloud Foundation 4.x und 5.x wurden bereits am Donnerstag Updates bereitgestellt, die mit dem VMware Aria Suite Lifecycle Manager ausgerollt werden können.

Angreifer können an mehreren Schwachstellen im Open-Source-PHP-Paket Voyager zum Verwalten von Laravel-Anwendungen ansetzen und im schlimmsten Fall Schadcode ausführen. Sicherheitsupdates gibt es bislang nicht.

Anzeige

Voyager ist ein Admin-Interface für mit Laravel erstelle Apps. Darüber können Entwickler unter anderem Menüs für ihre Anwendungen erstellen. Den Angaben der offiziellen Website zufolge, wurde Voyager bislang mehr als 2,3 Millionen Mal heruntergeladen.

Sicherheitsforscher von Sonar sind insgesamt auf drei Lücken (CVE-2024-55415, CVE-2024-55416, CVE-2024-55417) gestoßen, für die eine Einstufung des Bedrohungsgrads offensichtlich noch aussteht. Angreifer können unter anderem die Überprüfung beim Hochladen von Dateien umgehen, um eigenen Code auf Servern auszuführen. Bringen sie einen Admin dazu, auf einen präparierten Link zu klicken, kann ebenfalls Schadcode auf Systeme gelangen und diese komprimieren.

In einem Beitrag geben die Forscher an, die Entwickler mehrmals kontaktiert zu haben, aber bislang keine Antwort erhalten zu haben. Softwareentwickler, die Voyager nutzen, sind demzufolge angreifbar. Ob es bereits Attacken gibt, ist zurzeit nicht bekannt.

Europol hat unter Federführung deutscher Behörden zwei der größten Cybercrime-Foren vom Netz genommen. Strafverfolger aus acht Ländern waren beteiligt, die die Plattformen mit zusammen mehr als zehn Millionen Nutzern ausgehoben haben.

Anzeige

Die Foren zeigen derzeit eine Hinweis-Plakette mit den Logos der beteiligten Behörden, dass die Webseite beschlagnahmt wurde. Wie Europol in der Mitteilung erklärt, handelt es sich bei den kriminellen Foren um "Cracked.io" und "Nulled.to". Sie haben einen schnellen Einstiegspunkt in die Cybercrime-Szene geboten. Die Seiten seien zentrale Anlaufstellen gewesen und dienten nicht nur der Diskussion unter Cyberkriminellen, sondern auch als Marktplätze für illegale Güter und Cybercrime-as-a-Service, etwa für gestohlene Daten, Malware oder Hacking-Tools, führt Europol aus.

Die Operation lief vom Dienstag, den 28. Januar bis zum heutigen Donnerstag. Dabei kam es zu zwei Verhaftungen von Verdächtigen, sieben Durchsuchungen von Immobilien und der Beschlagnahme von 17 Servern, 50 elektronischen Geräten sowie rund 300.000 Euro in bar und Kryptowährungen.

Außerdem beschlagnahmten die Ermittler zwölf Domains, die zu Cracked und Nulled gehörten. Sie haben auch weitere damit in Verbindung stehende Server stillgelegt. Dazu gehört ein Finanzabwickler namens "Sellix", der auf der Cracked-Plattform zum Einsatz kam. Ebenso erging es einem "StarkRDP" genannten Hosting-Dienst, der auf beiden Plattformen beworben und von den gleichen Verdächtigen betrieben wurde.

Im Rahmen der "Operation Shield V" zielte Europol zwischen April und November 2024 zusammen mit Strafverfolgungsbehörden, Zoll, Anti-Doping-Behörden und weiteren Einrichtungen aus 30 Ländern auf den Schmuggel von Dopingmitteln und Medikamenten, die für falsche Zwecke vermarktet werden sollten oder gefälscht wurden. Der Wert der Beschlagnahmungen beläuft sich nach Angaben der Behörde auf mehr als 11,1 Millionen Euro.

Anzeige

Der Handel mit gefälschten Medikamenten finde größtenteils in sozialen Medien, auf Online-Marktplätzen sowie im Darknet statt, teilte Europol mit. "Netzwerke aus der organisierten Kriminalität verkaufen minderwertige, falsch etikettierte oder gefälschte pharmazeutische Produkte sowie Produkte, die aus der legalen Lieferkette abgezweigt wurden, und stecken hinter einer breiten Palette illegaler Arzneimittel und Dopingmittel", so Europol. "Der Kauf gefälschter Arzneimittel finanziert Kriminelle, gefährdet die Gesundheit der Verbraucher und untergräbt die Wirtschaft. Die Verbraucher sollten gewarnt sein, dass sie durch den Kauf gefälschter Arzneimittel das organisierte Verbrechen finanzieren und sich selbst schaden."

Der Handel mit gefälschten Medikamenten nehme zu, hält Europol fest, mit hohen Kosten für Individuen und die Gesellschaft. Pharma-Kriminalität habe einen direkten Einfluss auf die öffentliche Gesundheit und Sicherheit, sie betreffe neben dem Einzelnen auch die Gemeinschaft und nationale Gesundheitssysteme. Im Rahmen der Operation Shield V haben die Strafverfolger 418 Personen verhaftet, angeklagt oder strafrechtlich verfolgt. Zudem untersuchten sie 52 Banden, die der organisierten Kriminalität zugerechnet werden.

Zudem konnten die Ermittler vier Untergrundlabore ausheben. Unter den beschlagnahmten Gegenständen waren mehr als 426.000 Packungen illegaler pharmazeutischer Präparate, 4111 Kilogramm an Pulvern und Rohmaterial, 108 Liter aktiver Zutaten, knapp 175.000 Ampullen und Fläschchen und mehr als 4,6 Millionen Tabletten und Pillen.

Ein massives Datenleck betrifft potenziell hunderttausende Patienten der ZAR-Reha-Kliniken in ganz Deutschland. Abrufbar waren unter anderem hochsensible medizinische Berichte. Die betroffenen Reha-Zentren stehen unter dem Dach der Nanz medico, nach eigenen Angaben der größte Anbieter ambulanter Reha-Leistungen in Deutschland. Insgesamt gehören dazu 39 Reha-Kliniken.

Anzeige

In der Wochenliste der "ZAR PAT"-App sind alle Termine der Patienten gelistet.

(Bild: Nanz medico GmbH & Co. KG)

Die ZAR-Reha-Zentren bieten je nach Standort Therapiemöglichkeiten für Orthopädie, Neurologie, Kardiologie, Onkologie und Psychosomatik an. Zur Kommunikation zwischen Patient und Reha-Zentrum dient eine App namens ZAR PAT, mit der Patienten im Rahmen der Behandlung etwa Tages- und Wochenpläne komfortabel einsehen können. Allein die Android-Version der App wurde über 100.000 Mal heruntergeladen.

Das Mirai-Botnetz expandiert und unbekannte Angreifer kompromittieren dafür derzeit bestimmte Router von Zyxel und Telefoniegeräte von Mitel. Für betroffene Mitel-Geräte gibt es bereits seit Sommer vergangenen Jahres Sicherheitspatches. Für die verwundbaren Zyxel-Router der CPE-Serie ist bislang kein Update verfügbar.

Anzeige

In welchem Umfang die Angriffe ablaufen, ist derzeit nicht bekannt. Werden infizierte Geräte ins Botnetz aufgenommen, dienen sie primär als Rechenknechte für DDoS-Attacken.

Vor den Attacken auf Zyxel-SIP-Phones warnen Sicherheitsforscher von Akamai in einem Beitrag. An der Sicherheitslücke (CVE-2024-41710 "mittel") sollen Angreifer mit der auf dem Mirai-Botnet basierenden Malware Aquabot ansetzen. Dabei handele es sich den Forschern zufolge mittlerweile um die dritte bekannte Version des Trojaners.

In dieser Ausgabe soll die Malware erstmals Alarm schlagen und die Command-and-Control-Server der Angreifer kontaktieren, wenn versucht wird, die Schadfunktionen auf dem Gerät zu deaktivieren. Das konnten die Sicherheitsforscher aber eigenen Angaben zufolge bislang nicht reproduzieren.

In Dells Enterprise Sonic Distribution hat das Unternehmen eine Sicherheitslücke entdeckt. Sie ermöglicht die vollständige Kompromittierung betroffener Systeme.

Anzeige

Dell Enterprise Sonic ist ein System zum Netzwerkmanagement, vorrangig für Cloud-Umgebungen – Dell nennt insbesondere auch private Clouds von Unternehmen als "Zielgruppe". Damit lässt sich Software etwa für die Lastverteilung mittels Containern verteilen und über ein zentrales Management verwalten. Unterstützt werden aber auch Edge- und Enterprise-Rechenzentrum-Funktionen, etwa für Switches von Dell.

In einer Sicherheitsmitteilung warnt Dell nun davor, dass Angreifer aus dem Netz mit erhöhten Rechten sensible Informationen in die Logs schleusen können. Das können sie missbrauchen, um unbefugt auf Informationen zuzugreifen (CVE-2025-23374, CVSS 8.0, Risiko "hoch"). Die hohe Risikoeinschätzung spricht dafür, dass das möglicherweise wichtige Informationen wie Zugangsdaten betrifft – immerhin erörtert Dell, dass Angreifer dadurch Systeme vollständig kompromittieren können.

Wie solche Angriffe im Detail aussehen könnten, wie IT-Verantwortliche sie erkennen oder ob sie temporäre Gegenmaßnahmen zur Abmilderung der Auswirkungen der Sicherheitslücke umsetzen können, erörtert Dell hingegen nicht. Auch weitergehende Informationen dazu, wie die Sicherheitslücke entdeckt und ob sie eventuell bereits missbraucht wurde, lässt sich der Sicherheitsmitteilung nicht entnehmen.

Während die meisten beim Thema Sicherheit sofort an Firewalls und Verschlüsselung denken, wird ein Aspekt oft übersehen: die physische Sicherheit. Die physische IT-Sicherheit sorgt dafür, dass IT-Systeme vor physischen Gefahren geschützt werden oder solche Bedrohungen gar nicht erst entstehen. Die Maßnahmen können unterschiedlich sein und reichen von gesicherten Computergehäusen bis hin zu hochsicheren Zugangskontrollen für Rechenzentren.

Anzeige

Im Workshop Beyond Bits: Physische Sicherheit in der IT – von Angriffsmethoden zu Schutzstrategien erfahren Sie, warum es wichtig ist, IT-Landschaften auch physisch gegen Angriffe abzusichern und lernen, wie Sie dies effektiv tun können.

In diesem Workshop führen Sie gemeinsam einen simulierten physischen Penetrationstest gegen ein fiktives Unternehmen durch. Dabei kommen reale Angriffsmethoden wie Lockpicking, Bypassing, Social Engineering und der Diebstahl von RFID-Credentials zum Einsatz. So lernen Sie die Techniken und Taktiken der Angreifer kennen, wie diese Schutzmaßnahmen umgehen und welche wirksamen Schutzmaßnahmen und Verhaltensrichtlinien es gibt, um sich gegen solche Angriffe zu wehren. Darüber hinaus werden Verhaltensrichtlinien für Mitarbeiter gegen die oft unterschätzte Gefahr des Social Engineering erarbeitet.

Der Workshop legt großen Wert auf Praxisnähe und Interaktion. Um das Gelernte auf das eigene Unternehmen anwenden zu können, erarbeiten Sie in einer Gruppenaufgabe eine Checkliste zum physischen Zugangsschutz. Diese hilft, bestehende Sicherheitsmaßnahmen besser einzuschätzen, vorhandene Schwachstellen selbst zu erkennen und notwendige Schutzmaßnahmen auszuwählen.