Comretix Blog

Dänemark, Frankreich, Griechenland, Italien und Spanien testen als erste EU-Staaten eine im Auftrag der EU-Kommission entwickelte Technik zur Altersverifizierung im Internet. Das hat die Brüsseler Behörde mitgeteilt und erklärt, dass es sich um den "Goldstandard" für die Alterssicherung im Internet handelt. Damit sollen Nutzer und Nutzerinnen online einfach nachweisen können, dass sie mindestens 18 Jahre alt sind, ohne dass die Stelle, gegenüber der sie das tun, mehr über sie erfährt. Gedacht ist das etwa für Pornografie-Portale. Weder die noch irgendjemand sonst soll darüber aber nachverfolgen, sehen oder rekonstruieren können, welche Inhalte die User einsehen.

Die jetzt vorgestellte Anwendung ist laut der EU-Kommission vollständig Open Source, "robust, benutzungsfreundlich, den Datenschutz sichernd und voll kompatibel" zur geplanten europäischen digitalen Brieftasche (EUid). Der Prototyp könne in andere Anwendungen integriert oder alleinstehend genutzt werden. Die fünf Vorreiter würden sich jetzt mit Brüssel austauschen, wie sie bei der Einführung vorgehen wollen, um jeweils nationale Anwendungen zur Überprüfung des Alters von Nutzern und Nutzerinnen veröffentlichen zu können. Gründliche Tests sind demnach etwa mit Pornografie-Plattformen vorgesehen.

Wenn die Technik ausgereift ist, könne sie auch für andere Dienste eingesetzt werden, erklärt Brüssel noch. Vorstellbar sei etwa, dass man damit nachweisen können werde, dass man Alkohol kaufen darf. Wann genau Altersüberprüfungen nötig sind, steht in Leitlinien, die auf Basis des Digital Services Act (DSA) erstellt und die jetzt ebenfalls verfügbar gemacht wurden. Betroffen sind demnach etwa Plattformen, die nicht jugendfreie Inhalte vorhalten und solche, "die ein hohes Risiko für die Sicherheit von Minderjährigen darstellen". Die Methoden der Altersverifizierung sollen demnach "genau, zuverlässig, robust, nicht aufdringlich und nicht diskriminierend sein".

Die vorgesehenen Pflichten treffen bei den Betroffenen nicht auf Gegenliebe, vor allem, weil weder die Plattformen noch die Betreiber von App-Stores dafür zuständig sein wollen. Bedenken wurden beispielsweise bereits von Meta, Google und Apple angemeldet. Aber auch die Anbieter von Pornografie-Portalen haben bereits protestiert. Kritik an den Plänen der Kommission kommt außerdem von zivilgesellschaftlichen und Bürgerrechtsorganisationen. Sie meinen, dass aktuelle Systeme oft nicht effektiv schützen, aber die Privatsphäre untergraben und ein falsches Sicherheitsgefühl vermitteln würden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Auf der Minecraft-Plattform "GommeHD.net" gibt es womöglich eine Sicherheitslücke. Dadurch lassen sich anscheinend Nutzerdaten abgreifen. Ein Beispieldatensatz liegt offen im Netz, die angeblich vollständigen Nutzerdaten stehen auf Telegram zum Verkauf.

Die Angreifer haben einen Beispiel-Datensatz veröffentlicht.

(Bild: heise medien)

Die Beispieldaten umfassen E-Mail-Adresse, Klartext-Passwort (natürlich ist auch "123456" dabei) und einen Usernamen. Woher diese Daten stammen, ist dabei unklar. Es könnte sich um Zugangsdaten für den Minecraft-Server oder das daran angeschlossene Forum handeln. Die Kriminellen schreiben, dass sie die Daten an Have I Been Pwned durchreichen wollen.

Im Forum auf GommeHD beklagen sich seit Sonntag auch schon Nutzerinnen und Nutzer darüber, dass Daten offengelegt wurden. Am Donnerstag der vergangenen Woche hat ein Administrator das Thema jedoch bereits für erledigt erklärt. Man habe versucht, ein Update einzuspielen, was jedoch zu Problemen mit dem Design geführt habe; diese hätte das Team in den Griff bekommen. Ein Entwickler schreibt dazu, dass die Daten wohl woanders herstammen – jeder der Accounts tauche schon auf Have I Been Pwned auf.

Das US-Verteidigungsministerium hat mit Anthropic, Google, OpenAI und xAI Verträge über die Entwicklung agentischer KI-Arbeitsabläufe abgeschlossen, für die jeweils bis zu 200 Millionen US-Dollar fließen können. Parallel dazu hat xAI ein speziell für staatliche Stellen entwickeltes KI-Programm vorgestellt, das dafür sorgen soll, dass Staatsbedienstete die "besten Werkzeuge und Technologien" erhalten. Beide Ereignisse folgen nur eine Woche, nachdem das neue KI-Modell des Unternehmens von Elon Musk mit antisemitischen Ausfällen für Aufsehen gesorgt und sich selbst mehrfach als "MechaHitler" bezeichnet hat. In der Folge wurde der Chatbot auf dem Kurznachrichtendienst X für mehrere Tage abgeschaltet.

Die Verträge mit den vier KI-Unternehmen begründet der KI-Chef im Pentagon jetzt mit dem Ziel, einen strategischen Vorteil gegenüber Gegnern behalten zu wollen. Die Übernahme von KI-Technik verändere grundlegend die Fähigkeit des Pentagon, die Kämpfenden zu unterstützen. Ziel der Verträge sei es, die beste KI-Technik in die verschiedenen Führungsebenen zu bringen. Außerdem sei Forschung zu den Einsatzmöglichkeiten und den Risiken der modernsten KI-Modelle vorgesehen. Den KI-Firmen selbst wiederum soll damit ermöglicht werden, Anforderungen unter Aspekten der nationalen Sicherheit zu verstehen und anzugehen.

Elon Musks KI-Firma xAI nennt das neue Angebot für US-Regierungsstellen jetzt "Grok for Government". In dessen Rahmen sollen lokale, bundesstaatliche und staatliche Stellen die Möglichkeit erhalten, an die neueste KI-Technik zu kommen. Dabei bezieht sich xAI auf Grok 4, dessen Einführung vorige Woche von massiven Problemen begleitet wurde. Die Technik sollen die Behörden direkt über eine staatliche Stelle erwerben können, hinzu kommen spezielle Werkzeuge etwa für die Recherche. Damit und mit den Verträgen des Pentagon werden die Verbindungen zwischen US-Behörden und den größten KI-Firmen nun noch enger.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.

Am Münchner Karlsplatz, auch Stachus genannt, sowie im alten botanischen Garten der bayerischen Landeshauptstadt stehen seit einigen Wochen neue Überwachungsanlagen. Die Polizei München und das bayerische Innenministerium nennen sie "Videotürme", und das ist auch, was die Apparate machen: Sie filmen die Umgebung und sich selbst mit drei Kameras. Die Behörden stellten die Anlagen in der vergangenen Woche erst vor.

Zwei der Kameras an jedem Turm sind PTZ-Geräte (pan/tilt/zoom) des deutschen Anbieters Dallmeier und sitzen nicht in den typischen Kuppeln von Überwachungskameras. Durch die einheitliche schwarze Farbe des PTZ-Mechanismus´ ist von unten mit bloßem Auge jedoch kaum zu erkennen, wohin die Kameras gerade blicken. Eine dritte filmt vom Turm mit einem Fischaugenobjektiv stets senkrecht nach unten.

Wie der Münchner Polizeipräsident Thomas Hampel dem Lokalsender München TV sagte, hat diese Kamera auch die beiden anderen Geräte im Blick und soll so Vandalismus am Videoturm dokumentieren. Zudem besitzen die Wagen, auf denen die Türme montiert sind, laut einer Mitteilung des bayerischen Innenministeriums auch eine nicht genauer beschriebene "Alarmauslösung" – man sollte sich also nicht an ihnen zu schaffen machen.

Die Videotürme sind wie Polizeifahrzeuge gestaltet und entsprechend auffällig.

(Bild: Nico Ernst)

Auf der offiziellen Webseite des Plug-ins GravityForms für das Content-Management-System WordPress haben bösartige Akteure infizierte Fassungen zum Download eingestellt. Die manipulierte Version des mehr als eine Million Mal installierten Plug-ins enthält eine Hintertür, die den Angreifern vollständiges Kompromittieren der WordPress-Instanz ermöglicht.

Laut der IT-Forscher von Patchstack hat der Entdecker des mit Malware versehenen Plug-ins am vergangenen Freitag GravityForms von der offiziellen Webseite "gravityforms.com" heruntergeladen. Das hat jedoch HTTP-Anfragen an die verdächtige Domain gravityapi.com gestellt, die erst am Dienstag vergangener Woche erstellt wurde. Die Anfrage an diese Domain war so langsam, dass die Monitoring-Systeme des Entdeckers darauf ansprangen.

Die Analysten haben einige größere Webhoster kontaktiert und sie nach den Indizien für einen Befall (Indicators of Compromise, IOCs) suchen lassen. Dabei stellte sich heraus, dass die Infektion nicht weit verbreitet ist; das mit Backdoor versehene Plug-in war offenbar nur kurze Zeit verfügbar und wurde nur von wenigen Opfern heruntergeladen. Patchstack hat bei der Untersuchung herausgefunden, dass auch Groundhog von der Supply-Chain-Attacke betroffen ist. Inwiefern es sich in diesem Kontext um Supply-Chain-Angriffe handelt, erörtert Patchstack nicht genauer.

Die Hintertür im GravityForms-Plug-in hat den Angreifern einige Handlungsmöglichkeiten eröffnet. Sie konnten etwa neue Konten mit Administratorrolle anlegen, beliebige Dateien auf den Server hochladen oder Nutzerkonten löschen. Am Samstag hat Patchstack Backdoor-Aktivitäten beobachtet, bei denen die Angreifer einen verschlüsselten Aufruf an den gf_api_token-Parameter geschickt haben.

Die Programmierer des Plug-ins von RocketGenius hat der Entdecker der manipulierten Version ebenfalls kontaktiert. Von dort hat er etwas später Rückmeldung erhalten: Infiziert war die Version 2.9.12 des Plug-ins. Das Plug-in wurde durch eine saubere Variante ersetzt, zunächst ohne die Versionsnummer anzuheben. Das haben die Entwickler dann im Laufe des Freitags nachgeholt und Version 2.9.13 hochgeladen. Die Domain gravityapi.org hat der Domainregistrar Namecheap stillgelegt.

In der UEFI-Firmware zahlreicher Gigabyte-Mainboards klaffen Sicherheitslücken, durch die Angreifer ihre Rechte im System sehr weitreichend ausweiten können. Gigabyte stellt für zahlreiche Mainboards BIOS-Updates bereit, die die Lücken schließen.

Davor warnt aktuell das CERT. Die Schwachstellen betreffen den Systemverwaltungsmodus (System Management Mode, SMM). "Angreifer könnten eine oder mehrere dieser Schwachstellen ausnutzen, um ihre Privilegien zu erhöhen und beliebigen Code in der SMM-Umgebung eines UEFI-unterstützten Prozessors auszuführen", fasst das CERT die Sicherheitslücken zusammen. Der BIOS-Hersteller AMI hat gegenüber dem CERT angedeutet, dass das Unternehmen die Schwachstellen bereits früher nach vertraulichen Meldungen ausgebessert hat, sie nun jedoch in der Gigabyte-Firmware wieder aufgetaucht seien und jetzt öffentlich bekannt gemacht wurden.

UEFI kann direkt mit der Hardware im System Management Mode interagieren, einem hoch-privilegiertem CPU-Modus, der für grundlegende Betriebssystemoperationen gedacht ist – er wird auch als Ring "-2" bezeichnet innerhalb der CPU-Privilegienstufen. Befehle dieser Privilegienstufe laufen in einem geschützten Speicherbereich ab, dem System Management RAM (SMRAM) und sind lediglich durch System Management Interrupts (SMI) erreichbar, erörtert das CERT. Die SMI-Handler dienen als Zugang zum SMM und verarbeiten übergebene Daten über bestimmte Kommunikationspuffer. Unzureichende Prüfung dieser Puffer oder nicht vertrauenswürdige Pointer aus Prozessor-Status-Registern können zu "ernsthaften Sicherheitsrisiken" führen, einschließlich SMRAM-Manipulationen und nicht autorisierter SMM-Ausführung, erklärt das CERT weiter. Angreifer können die SMI-Handler missbrauchen, um beliebigen Code früh im Bootvorgang, in Wiederherstellungsmodi oder bevor das Betriebssystem vollständig geladen ist auszuführen.

In den einzelnen Sicherheitsmitteilungen findet sich der Hinweis der IT-Sicherheitsforscher, dass Code an dieser Stelle auch SMM-basierte Schutzmechanismen des SPI-Flash-Speichers gegen Modifikationen oder Secure-Boot sowie einige Hypervisor-basierte Varianten der Speicherisolierung umgehen kann. Derart eingeschleuster Code übersteht selbst Betriebssystem-Neuinstallationen. Insgesamt vier Sicherheitslücken hat Binarly nun entdeckt und gemeldet.

Einmal die ungeprüfte Nutzung des RBX-Registers, die in SMRAM-Schreibzugriffen mündet (CVE-2025-7029 / EUVD-2025-21142, CVSS 8.2, Risiko "hoch"). Fehlende Prüfung von Funktionszeiger-Strukturen, die aus RBX und RCX abgeleitet werden, ermöglichen Angreifern kritische Flash-Operationen wie ReadFlash, WriteFlash, EraseFlash und GetFlashInfo (CVE-2025-7028 / EUVD-2025-21138, CVSS 8.2, Risiko "hoch"). Zudem ermöglicht eine Kombination aus einer doppelten Pointer-Dereferenzierung, die einen Speicherort für Schreiboperationen aus der ungeprüften NVRAM-Variablen SetupXtuBufferAddress einbezieht sowie das Schreiben von Inhalten aus Speicherbereichen, auf die ein von Angreifern kontrollierbarer Zeiger aus dem RBX-Register verweist, das Schreiben beliebiger Inhalte in den SMRAM (CVE-2025-7027 / EUVD-2025-21141, CVSS 8.2, Risiko "hoch"). Außerdem kommt das von Angreifern kontrollierbare RBX-Register als ungeprüfter Zeiger in der CommandRcx0-Funktion zum Einsatz und ermöglicht damit Schreibzugriffe auf von Angreifern spezifizierbare Bereiche im SMRAM (CVE-2025-7026 / EUVD-2025-21137, CVSS 8.2, Risiko "hoch").

Am Donnerstag der vergangenen Woche hat Fortinet Sicherheitsupdates veröffentlicht – die gravierendste Schwachstelle betrifft FortiWeb. Angreifer können eine SQL-Injection-Schwachstelle in nicht aktualisierten Systemen missbrauchen. IT-Forscher haben als Proof-of-Concept Exploit-Code veröffentlicht. Bösartige Akteure können verwundbare Systeme damit attackieren – IT-Verantwortliche sollten die Updates daher rasch installieren.

Die Sicherheitslücke in FortiWeb ermöglicht nicht angemeldeten Nutzern aus dem Netz, SQL-Befehle mit manipulierten HTTP- oder HTTPS-Anfragen einzuschleusen. Die werden nicht ausreichend von der Web-Application-Firewall (WAF) gefiltert und ermöglichen dadurch den Missbrauch, der Angreifern das Ausführen beliebigen Codes erlaubt (CVE-2025-25257, CVSS 9.6, Risiko "kritisch"). Die FortiWeb-Versionen 7.6.4, 7.4.8, 7.2.11 sowie 7.0.11 und neuere stopfen das Sicherheitsleck und stehen zum Herunterladen bereit.

Detailanalyse und Proof-of-Concept (PoC)

Die IT-Sicherheitsforscher von Watchtowr haben die Sicherheitslücke genauer untersucht. Sarkastisch leiten sie ihre Analyse mit den Worten ein: "Um fair zu bleiben, die Secure-by-Design-Zusicherung hat von Unterzeichnern nicht verlangt, dass sie SQL-Injections vermeiden sollen, daher haben wir nichts zu sagen." Die Secure-by-Design-Kampagne der US-Behörden CISA und FBI hat den SQL-Injections jedoch sogar ein eigenes Dokument mit Empfehlungen und Hilfestellung gewidmet. Dementsprechend ist die Watchtowr-Analyse lang und ausufernd, die Forensiker haben eine Menge zu sagen.

Die Watchtowr-Analysten beschreiben etwa, wie sie sich an das Einschleusen von SQL-Befehlen herangetastet haben, mit einem einfachen Befehl, für fünf Sekunden zu schlafen, und anhand der Antwortzeit den Erfolg ablesen. Trotz vorbereiteter SQL-Abfragen (prepared statements, eine der empfohlenen Maßnahmen, SQL-Injection-Lücken zu vermeiden) auf der FortiWeb-Appliance gelingt ihnen das Einschleusen eigener Befehle.

Die IT-Forensiker von Watchtowr haben dort jedoch nicht aufgehört. "SQL-Injection vor der Authentifizierung am System macht Spaß", schreiben sie, aber "die Achterbahn der Freude beginnt – können wir die MySQL-Injection in Codeausführung aus dem Netz ausweiten?" Und natürlich finden sie einen Weg: Die Anweisung INTO OUTFILE schreibt Inhalte mit den Rechten des Users des MySQL-Prozesses. Das sollte üblicherweise ein eigens angelegter "mysql"-User sein, jedoch frotzeln die Forensiker, dass solche Details zu keiner Zusicherung wie der "Secure by Design" gehören und Fortinet das daher nicht wissen könne – MySQL läuft auf den FortiWeb-Appliances als root (geneigte Leser mögen sich an dieser Stelle ein wohl platziertes "Head->Desk"-Meme vorstellen).

McDonald's bietet seinen Filialen für die Einstellung neuer Mitarbeiter einen KI-Chatbot namens Olivia an, um die Prozesse zu beschleunigen. Dieser Chatbot nervt viele Bewerber nicht nur mit seltsamen Fragen, sondern sammelt auch viele persönliche Daten. Doch die dafür beauftragte KI-Firma Paradox hatte offenbar kein hohes Verständnis von Datenschutz. Sicherheitsforscher konnten sich relativ leicht Zugriff auf die Daten von bis zu 64 Millionen Bewerbern verschaffen. Paradox hat umgehend reagiert und die Sicherheitslücke schnell geschlossen.

Künstliche Intelligenz (KI) ist auch bei der großen Fast-Food-Kette kein Fremdwort mehr. Im März wurde berichtet, dass McDonald's seine Filialen mit KI-Funktionen ausstattet. Und auch beim Einstellungsprozess können die einzelnen Restaurants KI nutzen. Dafür stellt die Zentrale "McHire" bereit, eine Plattform mit dem von Paradox entwickelten KI-Chatbot Olivia. Wer sich für einen Job in einer Filiale von McDonald's bemüht, dürfte in vielen Fällen zunächst mit Olivia sprechen.

Der KI-Chatbot befragt die Bewerber zunächst nach Kontaktinformationen und einem Lebenslauf, bevor ein Persönlichkeitstest durchgeführt wird. Etliche Interessenten berichten bereits von frustrierenden Erfahrungen mit Olivia bei Reddit, was Sicherheitsforscher aufhorchen ließ. Diese testeten den KI-Chatbot zunächst auf mögliche Sicherheitsprobleme, aber konnten keine direkten Angriffspunkte durch manipulierte Anfragen an das Sprachmodell feststellen.

Darauf haben die Sicherheitsforscher versucht, sich bei McHire.com als McDonald's-Filiale einzuloggen, um Zugriff auf das Backend zu bekommen. Dabei haben sie eine ominöse Login-Möglichkeit für Paradox-Mitarbeiter gefunden, die kaum geschützt war. Es gab keine Multifaktor-Authentifizierung und als Kennwort wurde "123456" akzeptiert, schreiben die Sicherheitsforscher im eigenen Blog. Damit hatten sie Administratorzugriff auf ein Test-Restaurant innerhalb von McHire und konnten gleichzeitig auf Daten von Mitarbeitern sowie Bewerbern zugreifen.

Dies ermöglichte Abfragen beliebiger Bewerber. Denn wird die Bewerber-ID, die oberhalb von 64 Millionen lag, manuell geändert, konnten weitere Bewerbungen einschließlich Kontaktinformationen und sogar die entsprechenden Chat-Protokolle abgerufen werden. Die Sicherheitsforscher haben aus Datenschutzgründen nur eine Handvoll Bewerbungen und die dazu gehörenden Daten abgerufen, aber Stichproben bestätigten, dass es sich um reale Personen handelt. Somit waren theoretisch 64 Millionen Bewerberdaten oder sogar mehr verfügbar.

Das Portal "nius.de" ist am gestrigen Samstag Opfer einer Cyberattacke geworden. Dabei wurde die Webseite etwas umgestaltet (Defacement). Außerdem haben die Angreifer eine Datenbank mit mutmaßlichen Informationen etwa über Abonnenten der Plattform veröffentlicht.

Das Portal präsentierte den Besuchern anstatt Überschriften einen Download-Link.

(Bild: heise medien)

Bei dem Defacement der Webseite wurden alle Überschriften auf der nius.de-Webseite durch eine URL ersetzt, ein Download-Link auf eine Datei, die json-Daten enthält. Die Datei lagert auf der Domain "direction.center" und umfasst offensichtlich Daten von rund 5700 Abonnenten: Vornamen und Namen, E-Mail-Adressen, verkürzte respektive pseudonymisierte Kreditkarten- oder Kontoinformationen sowie Informationen zu dem gewählten Abonnement-Typ.

Auf die Abonnenten-Daten folgen in der Datei Daten zu Squidex – einem quelloffenen Content-Management-System (CMS), das nius.de anscheinend verwendet. Schließlich folgen Informationen zu Swagger, mit dem man etwa mit RESTful APIs interagieren kann. Mit dem Tool war anscheinend nicht authentifizierter Zugriff auf das nius.de-CMS und die Kundendatenbank möglich. Die Datei ist zum Meldungszeitpunkt weiterhin zugreifbar.

Die Bundesregierung will die NIS2-Richtlinie der EU für den verpflichtenden Schutz wichtiger Anlagen und Unternehmen vor Cyberangriffen in Deutschland bis Anfang 2026 gesetzlich verankern. "Das Bundesinnenministerium treibt dieses Thema im Moment mit Hochdruck voran", sagte die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, der Deutschen Presse-Agentur. "Ich habe die Hoffnung, dass wir es schaffen, dass es Anfang 2026 in Kraft treten kann."

Zu dem Entwurf, der unter anderem die Pflicht zur Risikoanalyse und zur Meldung von Sicherheitsvorfällen bestimmt, wurden laut Innenministerium Anfang Juli die Länder und betroffene Verbände angehört. "Wichtig ist, dass die Unternehmen und Institutionen den Startschuss hören", sagt die BSI-Chefin.

Mit der Umsetzung der europäischen Richtlinie soll mehr Cybersicherheit von Unternehmen und Institutionen geschaffen werden. Als wichtige Einrichtung im Sinne des Gesetzes gelten unter anderem größere Unternehmen der Sektoren Energie, Verkehr, Trinkwasser, Lebensmittelproduktion, Abwasser und Telekommunikation. Die Idee dahinter: Wenn sie nicht mehr arbeitsfähig wären – etwa weil ein Hacker ihre Daten verschlüsselt oder den Zugriff darauf blockiert hat – hätte das erhebliche Auswirkungen auf die Bevölkerung.

Die Pflicht zur Umsetzung bestimmter Sicherheitsmaßnahmen zur Abwehr und Bewältigung von Cyberangriffen soll künftig schätzungsweise rund 29.000 Unternehmen betreffen und damit deutlich mehr als bisher. Aktuell betreut das BSI rund 4.500 Betreiber kritischer Infrastruktur, die bestimmte Standards in Sachen Cybersicherheit erfüllen müssen. Seit ungefähr vier Monaten ist die NIS-2-Betroffenheitsprüfung des BSI online. Damit kann jeder herausfinden, ob die geplanten strengeren Regeln für ihn gelten oder nicht. Der Test wurde laut BSI schon mehr als 200.000 Mal genutzt. Plattner hat dennoch den Eindruck: "Die Anforderungen, die auf die betroffenen Unternehmen und Einrichtungen zukommen, haben viele derjenigen, die es angeht, immer noch nicht richtig auf dem Schirm."

Die Frist für die NIS-2-Richtlinie ist am 17. Oktober 2024 abgelaufen. Bis zu diesem Datum hätten alle EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen müssen. Deutschland und zahlreiche andere EU-Staaten haben die Frist nicht eingehalten. Die Ampel-Koalition hatte im Juli 2024 im Kabinett einen entsprechenden Gesetzentwurf beschlossen. Nach dem Auseinanderbrechen der Koalition von SPD, Grünen und FDP fand sich dafür jedoch keine Mehrheit mehr im Bundestag.

Nach einem Cyberangriff Anfang Juni kann die Polizei in Mecklenburg-Vorpommern ihre Diensthandys nicht einsetzen. Untersuchungen der Attacke laufen. Nun liegen erste Ergebnisse vor. Es ist demnach möglich, dass bei dem Angriff Daten abgeflossen sind.

Wie der NDR berichtet, sind die Ermittler beim Nachstellen verschiedener Angriffswege auf einen nachgebauten Server darauf gestoßen, dass es Wege gibt, Daten auszuleiten und nur wenige Spuren dabei zu hinterlassen. Eine Ministeriumssprecherin des Schweriner Innenministeriums erörterte demnach, dass auf dem Management-Server keine Daten etwa aus Ermittlungs- oder Personalakten lagern, sondern etwa Rufnummern der Mobiltelefone, Gerätenummern und die Nutzernamen – also Namen der Polizeibeamten.

Diese Daten hatten die Einbrecher in einer großen Datei gesammelt, die sie offenbar versucht haben, in kleinen Päckchen auszuleiten, erörterte die Ministeriumssprecherin. Möglicherweise haben die Täter den nun von den Ermittlern gefundenen Weg zum Ausleiten eines Teils der Daten genutzt. Ob und in welchem Umfang Daten abgeflossen seien, sei jedoch unklar.

Dem Bericht zufolge haben die bösartigen Akteure zwei Sicherheitslücken in der Verwaltungssoftware zum Management der Mobilfunkgeräte für den Cyberangriff missbraucht. Die Mobile-Device-Management-Software stamme von einem renommierten Hersteller, der jedoch ungenannt bleibt. Die Diensthandys, auch mPol-Geräte genannt, sind weiterhin nicht nutzbar. Die Beamten setzen sie etwa auf Streife dafür ein, Fahrzeughalter abzufragen oder Ausweispapiere zu prüfen. Der NDR gibt an, dass die Polizei in Mecklenburg-Vorpommern derweil statt auf die Smartphones nun ersatzweise auf alte, früher eingesetzte Funktechnik setzt. Wann die mPol-Geräte wieder nutzbar sein werden, ist derzeit unklar.

Ende Juni wurde bekannt, dass der Cybereinbruch in den Verwaltungsserver für die Diensthandys der Polizei in Mecklenburg-Vorpommern weitreichendere Folgen hatte, als zunächst angenommen. Es stellte sich heraus, dass sich die Diensthandys nicht mehr nutzen lassen.

In der Datentransfersoftware Wing FTP klafft eine Sicherheitslücke, die Angreifern aus dem Netz das Einschleusen und Ausführen von Schadcode ermöglicht. Sie erhält die höchstmögliche Risikobewertung "kritisch". IT-Forensiker haben den Missbrauch der Schwachstelle bereits am 1. Juli beobachtet.

Laut Schwachstellenbeschreibung behandelt das User- und Admin-Webinterface "\0"-Bytes fehlerhaft, die das Ende von Zeichenketten anzeigen. Ohne in die Details zu gehen, soll das Angreifern ermöglichen, beliebigen LUA-Code in User-Session-Files zu schleusen. Damit lassen sich wiederum beliebige Systembefehle mit den Rechten des FTP-Servers – standardmäßig "root" oder "SYSTEM" – ausführen. "Das ist daher eine Remote-Code-Execution-Lücke, die die vollständige Server-Kompromittierung garantiert", schreiben die Melder der Lücke. Sie lasse sich auch mit anonymen FTP-Konten ausnutzen (CVE-2025-47812 / EUVD-2025-21009, CVSS 10.0, Risiko "kritisch").

Über die beobachteten Angriffe auf die Sicherheitslücke berichten IT-Sicherheitsforscher von Huntress in ihrem Blog. Sie beschreiben Details der beobachteten Angriffe und liefern am Ende eine Liste von Indizien für Angriffe (Indicators of Compromise, IOCs).

Die Schwachstelle betrifft Wing FTP vor der aktuellen Fassung 7.4.4, die seit dem 14. Mai 2025 zum Herunterladen bereitsteht. Das Changelog nennt explizit die Sicherheitslücke, die damit geschlossen wird. Wing FTP steht auf der Download-Seite für Linux, macOS und Windows bereit. IT-Verantwortliche sollten zügig die Updates anwenden.

Datentransfersoftware ist für Cyberkriminelle interessant, da sie durch Schwachstellen darin oftmals auf sensible Daten zugreifen können, mit denen sie Unternehmen dann um Lösegeld erpressen können. So ging die Cybergang Cl0p auch vor, um Daten von vielen namhaften Unternehmen und gar von US-Behörden durch Schwachstellen in der Datenübertragungssoftware Progress MOVEit abzugreifen.

In der vergangenen Woche wurde bekannt, dass es einen Cyberangriff auf die australische Fluggesellschaft Qantas gegeben hat. Dabei haben sich Cyberkriminelle Zugang zu Daten von Millionen Qantas-Kunden verschafft. Jetzt hat die Airline erste Zwischenergebnisse der Untersuchung des Vorfalls veröffentlicht.

Auf einer eigens dafür eingerichteten Webseite liefert Qantas einen aktualisierten Status. Demnach hat die Fluggesellschaft Fortschritte bei der forensischen Analyse der Kundendaten auf dem kompromittierten System gemacht. Das Unternehmen bekräftigt, dass weder Kreditkarteninformationen, noch persönliche finanzielle Informationen oder Ausweis-Details auf dem System gespeichert wurden und daher auch nicht zugreifbar waren.

Daten von Qantas-Vielfliegern seien nicht betroffen – Passwörter, PINs und Log-in-Details wurden weder abgegriffen noch kompromittiert. Die Daten, die die Angreifer kompromittiert haben, seien nicht ausreichend, um Zugriff auf die Vielfliger-Accounts zu erlangen. Es gebe zudem keine Hinweise, dass die gestohlenen Daten veröffentlicht wurden. Qantas beobachtet mit der Unterstützung von Cyber-Sicherheitsexperten die Lage weiter.

Nachdem die Analysten die Dubletten entfernt haben, blieben noch 5,7 Millionen Kunden-Datensätze übrig. Einzelne spezielle Datenfelder variieren von Kunde zu Kunde, aber die Daten setzen sich offenbar folgendermaßen zusammen: 4 Millionen Datensätze beschränken sich auf den Namen, die E-Mail-Adresse und Qantas-Vielflieger-Details. Davon bestanden 1,2 Millionen Datensätze lediglich aus Namen und E-Mail-Adresse und bei 2,8 Millionen war auch die Vielflieger-Nummer enthalten; die Tier-Ebene war bei einem Großteil verzeichnet, bei einigen Kunden auch Punktestand und Status-Credits.

Die restlichen 1,7 Millionen Kundendaten bestehen aus einer Kombination von einigen der vorgenannten Datenfelder und zusätzlich noch einem oder mehreren der folgenden Punkte: Adressen (1,3 Millionen), Geburtsdatum (1,1 Millionen), Telefonnummern (900.000), Geschlecht (400.000) sowie Essensvorlieben (von 10.000 Kunden).

Eine international agierende Hackergruppe soll in Deutschland mindestens 170 Cyberangriffe verübt haben. "Ziel waren insbesondere Behörden, Krankenhäuser und größere Unternehmen", teilten die Ermittler zu den Taten zwischen 2018 und 2021 mit. "Der bislang dokumentierte Schaden beträgt 46 Millionen Euro – die tatsächliche Summe liegt vermutlich höher."

Auslöser der Ermittlungen war ein Cyberangriff auf die Stadt Neustadt am Rübenberge (Region Hannover) im August 2019, der die Verwaltung monatelang lahmlegte. Die Täter forderten damals eine hohe Summe in Bitcoin und drohten andernfalls mit der Löschung sämtlicher Daten. Ermittlungen ergaben, dass sich die Angreifer offenbar über Wochen Zugriff auf die Systeme verschafft hatten.

Die Staatsanwaltschaft Verden und die Polizeidirektion Hannover suchten mit Behörden weltweit nach den Tätern. Sie regten nach eigenen Angaben internationale Haftbefehle gegen sechs Verdächtige an. Zwei von ihnen sollen hinter dem Angriff auf Neustadt am Rübenberge stecken. Außerdem fahnden die Ermittler nach fünf mutmaßlichen Geldwäschern.

Die Angreifer gelten als Teil des sogenannten "Wizard Spider"-Netzwerks – einer internationalen Gruppe, die unter anderem in Russland verortet wird.

"PerfektBlue" haben IT-Sicherheitsforscher eine Kombination aus Bluetooth-Sicherheitslücken in einem Bluetooth-Stack genannt, der in mehreren Auto-Entertainment-Systemen zum Einsatz kommt. Die Entdecker schreiben von "kritischen Lücken, die Over-the-Air-Angriffe auf Millionen Geräten in Autos und anderen Branchen" ermöglichen. Die Gefahr ist jedoch im Regelfall deutlich geringer als angedeutet.

Ein IT-Forscher-Team von PCA Cybersecurity hat die Schwachstellen in dem OpenSynergy Bluetooth Protocol Stack (BlueSDK) aufgespürt und analysiert. Dieser Stack kommt etwa in der Autobranche zum Einsatz, aber auch für andere – nicht erforschte – Geräte, etwa im IoT-Bereich. Darin klafften bis in den September 2024 die vier Sicherheitslücken, die OpenSynergy mit Patches korrigiert und an die betroffenen Hersteller verteilt hat.

Die IT-Sicherheitsforscher haben vier Schwachstellen ausgemacht. Die gravierendste stammt daher, dass das BlueSDK die Existenz eines Objekts nicht prüft, bevor es darauf Operationen vornimmt – eine Use-after-free-Lücke. Das mündet darin, dass eingeschleuster Schadcode ausführbar ist (CVE-2024-45434 / noch kein EUVD, CVSS 8.0, Risiko "hoch"). Hier weicht PAC Security von der CVSS-Einstufung ab und behauptet, die Lücke sei gar kritisch. Eine weitere Lücke lässt sich zur Umgehung einer Sicherheitsprüfung in RFCOMM und der Verarbeitung eingehender Daten missbrauchen (CVE-2024-45433 / noch kein EUVD, CVSS 5.7, Risiko "mittel").

Zudem nutzt das BlueSDK in der RFCOMM-Komponente eine falsche Variable als Funktionsargument, was unerwartetes Verhalten oder ein Informationsleck erzeugt (CVE-2024-45432 / noch kein EUVD; CVSS 5.7, Risiko "mittel"). Die L2CAP-Channel-ID (CID) prüft das BlueSDK nicht korrekt, wodurch Angreifer einen L2CAP-Kanal mit Null-Identifier als Remote CID anlegen können – die IT-Forscher erklären jedoch nicht, inwiefern das problematisch ist (CVE-2024-45431 / noch kein EUVD, CVSS 3.5, Risiko "niedrig").

Die IT-Sicherheitsforscher haben die Schwachstellenkombination auf Infotainment-Systemen von Mercedes Benz (NTG6 Head Unit), Volkswagen (MEB ICAS3 Head Unit) und Skoda (MIB3 Head Unit) getestet und verifiziert. Nicht genannte OEMs sollen ebenfalls anfällig sein. Auffällig ist, dass recht alte Firmware-Stände und Geräte getestet wurden. Es seien aber auch neuere Modelle anfällig, erklären die PAC-Mitarbeiter. Laut Timeline sollten etwa ab September 2024 fehlerkorrigierende Updates von den Autoherstellern verteilt werden.

GrapheneOS gilt als eine sichere und datensparsame Android-Version, die wegen ihrer hohen Sicherheitsanforderungen nur für Pixel-Geräte angeboten wird. Trotz herausfordernder neuer Umstände – Google hat die bisher mit AOSP ausgelieferten Device-Trees für Pixel-Geräte nicht mitgeliefert, die Custom-ROM-Entwickler für eine schnellere Kompilierung verwendeten –, ist GrapheneOS nun auf Basis von Android 16 einen Monat nach Veröffentlichung durch Google fertig.

Laut den GrapheneOS-Entwicklern entpuppte sich die Portierung auf Android 16 als schwieriger als erwartet. Um das Update zu realisieren, habe man die Android-16-Firmware und -Treiber auf Android 15 QPR2 zurückportiert.

Schließlich konnte die erste offizielle Version von Android 16 am 30. Juni veröffentlicht werden, nachdem eine experimentelle Version am Tag Probleme aufgewiesen hatte. Die Entwickler hatten sich für den Stable-Release noch ein wenig Zeit genommen, da es seitens Google kein Pixel-Update-Bulletin zu Sicherheitspatches für Juli 2025 gab. Am 10. Juli erreichte GrapheneOS auf Basis von Android 16 den Stable-Kanal.

Neuerungen sind auf den ersten Blick – wie bei Android 16 für Googles Pixel-Geräte – nicht zu erkennen. Die meisten Änderungen spielen sich unter der Haube ab. Unter anderem scheint immerhin die Live-Update-Funktion für Echtzeitinformationen für Lieferdienste und Co. an Bord zu sein.

Zudem schreibt Graphene in der Dokumentation, dass man eine recht neue Angriffstechnik, die als TapTrap bekannt ist und durch die Angreifer unbemerkt weitreichende Zugriffsrechte erhalten können, behoben habe. Google wird diese Schwachstelle erst später beheben, sagte ein Google-Sprecher dem Magazin Bleeping-Computer. Weitere Änderungen sind im Changelog zu finden.

Im Zusammenhang mit Angriffen auf britische Unternehmen haben Strafverfolger vier mutmaßliche Mitglieder der Bande "Scattered Spider" festgenommen. Einer 20 Jahre alten Frau, zwei 19-jährigen Männern und einem Siebzehnjährigen werfen die Ermittler Computermissbrauch, Erpressung, Geldwäsche und Mitgliedschaft in einer kriminellen Organisation vor.

Die vier Verdächtigen sollen Mitglieder einer Gruppe namens "Scattered Spider" sein, die in den vergangenen Monaten mehrere Einzelhandelsunternehmen lahmlegte. Vor allem die Kaufhauskette "Marks & Spencer", Betreiberin hunderter Filialen in Großbritannien, litt unter den Angriffen und stellte Ende April sogar ihr Onlinegeschäft vorübergehend ein. Der Angriff kostete das Unternehmen Berichten zufolge bis zu 300 Millionen Pfund. Auch die Traditionsmarke Harrods und die Supermarktkette Co-Op Group beklagten Angriffe durch mutmaßliche Scattered-Spider-Mitglieder.

Die Gruppe ist personell mit Lapsus$ verbandelt, einer ebenfalls in Großbritannien aktiven kriminellen Cybergang, die sich ähnlicher Methoden bedient. Auch im Fall des Angriffs auf Marks & Spencer kam SIM-Swapping auf einen Dienstleister zum Einsatz, also die widerrechtliche Vervielfältigung von Mobilfunkkarten. Meist geht dem ein betrügerischer Anruf beim jeweiligen Mobilfunkanbieter voraus, in dem etwa der Diebstahl oder Verlust der Original-SIM behauptet und der zuständige Kundendienstmitarbeiter übertölpelt wird. SIM-Swapping ist in den USA und Großbritannien verbreitet, in Deutschland jedoch keine große Gefahr, wie uns Mobilfunkbetreiber bestätigten.

Die Bande bedient sich vorwiegend der Methoden aus dem Werkzeugkasten des Social Engineering, um sich in Unternehmensnetze einzumogeln. Dann exfiltrieren die Kriminellen Daten und erpressen ihre Opfer – ein Geschäftsmodell, auf das sich neuerdings auch Ransomware-Banden spezialisieren. Die Verschlüsselung von Daten, wie klassische Ransomware sie vornimmt, scheint nicht Teil des Scattered-Spider-Instrumentariums zu sein.

Der Journalist Brian Krebs hat die Bande und ihre Verbündeten von Lapsus$ seit Jahren im Auge. Er gibt an, dass einer der nun Festgenommenen bereits im April 2022 in einem internen Chat der Gruppe namentlich erwähnt und mutmaßlich bereits damals beim SIM-Swapping erwischt worden war. Wie Krebs schreibt, hatte der Nachwuchskriminelle seine Mittäter gebeten, Vorsicht walten zu lassen, um bei seinen Eltern keinen neuen Verdacht zu erregen. Offenbar war der mittlerweile 19-Jährige damals erst sechzehn Jahre alt. Sieben Mitglieder von Lapsus$ in Großbritannien waren im Jahr 2022 verhaftet worden, gegen fünf US-amerikanische Verdächtige erhoben Staatsanwälte im Jahr 2024 Anklage.

In der Nacht zum Freitag hat Trend Micro mehrere CVE-Schwachstelleneinträge veröffentlicht. Sie betreffen hochriskante Sicherheitslücken in mehreren Produkten des IT-Sicherheitsunternehmens.

In Trend Micros Cleaner One Pro können Angreifer ihre Rechte ausweiten und unbeabsichtigt Trend-Micro-Dateien mit erhöhten Rechten löschen, einschließlich der Cleaner-One-Pro-Dateien (CVE-2025-53503 / EUVD-2025-21043, CVSS 7.8, Risiko "hoch"). Laut Sicherheitsmitteilung von Trend Micro korrigiert Trend Micro Cleaner One Pro 6.8.333 den Fehler.

In der Endkundenversion von Trend Micros Passwort-Manager können Angreifer mit symbolischen Links und ähnlichen und anderen, nicht näher genannten Methoden eine Link-Verfolgungs-Lücke zur Rechteausweitung missbrauchen. Damit können beliebige Ordnern und Dateien löschen und ihre Rechte im System ausweiten (CVE-2025-52837 / EUVD-2025-21041, CVSS 7.8, Risiko "hoch"). Der Passwort-Manager in Version 5.8.0.1330 für Windows oder neuere Fassungen bessern die Schwachstelle aus.

Die Privatnutzer-Version Trend Micro Security 17.8 ist von einer vergleichbaren Sicherheitslücke betroffen. Die Software folgt Verknüpfungen, wodurch Angreifer unbeabsichtigt Dateien von Trend Micro mit erhöhten Rechten löschen können, einschließlich der eigenen (CVE-2025-52521 / EUVD-2025-21040, CVSS 7.8, Risiko "hoch"). Die Trend Micro Security-Produkte für Windows enthalten den Fehler ab Version 17.8.1476 nicht mehr.

Im Trend Micro Worry-Free Business Security Services (WFBSS) Agent können Angreifer aus dem Netz ohne vorherige Authentifizierung die Kontrolle übernehmen. Es fehlt einen Authentifizierungsprüfung (CVE-2025-53378 / EUVD-2025-21042, CVSS 7.6, Risiko "hoch"). Betroffen sind die Agents der SaaS-Cloud-Variante, die On-Premises-Version ist nicht anfällig. Der Fehler wurde bereits mit dem monatlichen Wartungsupdate korrigiert, Admins müssen daher nicht aktiv werden.

Seit Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) 2018 sind die Inhaberdaten von Domains weitgehend unter Verschluss. Was vorher über das sogenannte Whois-System frei zugänglich war, ist heute nur noch schwer zu bekommen. In Episode 138 des c't-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit dem Domainrecht-Experten Thomas Rickert über die Auswirkungen dieser Entwicklung.

Rickert ist geschäftsführender Gesellschafter der Rickert Rechtsanwaltsgesellschaft und außerdem im Rat der Generic Names Supporting Organization (GNSO Council) aktiv, die wiederum Teil der zentralen Domain-Verwaltung Internet Corporation for Assigned Names and Numbers (ICANN) ist. Darüber hinaus leitet der Rechtsanwalt beim eco-Verband die KG Names & Numbers.

Rechtsanwalt Thomas Rickert beim Podcasten in der Auslegungssache

Rickert schildert in der Episode, dass vor der DSGVO für jede Domainregistrierung über 70 Datenelemente erhoben und veröffentlicht werden mussten - vom Namen über die Adresse bis zur Faxnummer. Diese Praxis führte dazu, dass Datenhändler die Informationen massenhaft abgriffen und Domaininhaber kurz nach der Registrierung mit Spam überhäuft wurden.

Die ICANN reagierte auf die DSGVO mit einer Notlösung: Statt der Daten erscheint seitdem meist nur noch "Redacted for Privacy". Für Rechteinhaber wie Verlage, die gegen Urheberrechtsverletzungen vorgehen wollen, ist das ein Problem, betont Heidrich. Er berichtet frustriert, dass er bei offensichtlichen Rechtsverletzungen keine Kontaktmöglichkeit mehr findet. Die Täter verstecken sich bewusst hinter amerikanischen Anbietern, die keine Auskünfte erteilen.

Mexikos Generalstaatsanwaltschaft (FGR) hat nach Berichten mehrerer mexikanischer Medien eine Untersuchung gegen Mexikos früheren Präsidenten Enrique Peña Nieto über die angebliche Entgegennahme von Bestechungsgeldern in Millionenhöhe eingeleitet. Dieser soll nach Angaben der israelischen Zeitung The Marker 25 Millionen US-Dollar von zwei israelischen Geschäftsleuten als Schmiergeldzahlung für den Erwerb der Spionagesoftware Pegasus des israelischen Unternehmens NSO Group erhalten haben.

"Wir werden die israelischen Behörden unverzüglich über das System der internationalen Rechtshilfe bitten, diese Informationen, die sie in den Medien veröffentlicht haben, in eine Akte aufzunehmen, damit wir vorankommen können", erklärte der Leiter der FGR, Alejandro Gertz Manero, am Dienstag. Man werde die israelische Regierung formell um Rechtshilfe bitten, "damit diese Behauptungen innerhalb eines rechtlichen Rahmens aufgestellt werden und nicht in das gleiche Vakuum unbegründeter Anschuldigungen fallen", so Gertz weiter. Angesichts der schwierigen Zusammenarbeit mit Israels Behörden in anderen Fällen zeigte sich Gertz allerdings nicht sehr optimistisch, was die Überstellung der erforderlichen Unterlagen betrifft.

Die Informationen, die Mexikos früheren Präsidenten mit den Sponsoren der Spionagesoftware in Verbindung bringen, wurden in der vergangenen Woche von der israelischen Zeitung The Marker veröffentlicht und von mexikanischen Medien breit aufgegriffen. Die Veröffentlichung ist Teil eines Rechtsstreits zwischen zwei israelischen Geschäftsleuten, die behaupten, eine gemeinsame "Investition" in Höhe von 25 Millionen US-Dollar getätigt zu haben, um zwischen 2012 und 2018 Verträge mit der mexikanischen Regierung unter Peña Nieto zu erhalten. Unklar ist, ob der gesamte Betrag an den Ex-Präsidenten selbst geflossen sein soll oder ob andere Personen beteiligt waren.

Peña Nieto, der seit seinem Ausscheiden aus dem Amt zwischen Spanien und der Dominikanischen Republik lebt, hat die gegen ihn erhobenen Vorwürfe entschieden zurückgewiesen. Über seinen offiziellen X-Account, den er seit Monaten nicht mehr benutzt hatte, bezeichnete er den Marker-Artikel als "völlig falsch" und versicherte, dass die Anschuldigungen unbegründet seien. "Ich bedaure, auf Artikel zu stoßen, die ohne ein Mindestmaß an journalistischer Sorgfalt leichtfertige und bösartige Behauptungen aufstellen", schrieb er. Es handele sich um eine Unterstellung, "die jeglicher Grundlage entbehrt". Er ließ die Frage offen, wer von einer solchen Veröffentlichung profitieren würde. Später erklärte Peña Nieto in einem Radiointerview, dass er nie an der Vergabe von Aufträgen an Lieferanten beteiligt war. Auch kenne er keinen der beiden betreffenden Geschäftsleute.

Die Regierung Peña Nieto (2012-2018) hatte das Spionagesystem Pegasus mutmaßlich für 32 Millionen US-Dollar offiziell für nachrichtendienstliche Zwecke und zur Bekämpfung des organisierten Verbrechens eingekauft. Aktivistengruppen und Journalisten deckten später auf, dass Regierungseinrichtungen die Malware zum Ausspähen von Journalisten, Menschenrechtsaktivisten und Korruptionsbekämpfern nutzten. Die US-Tageszeitung New York Times fand heraus, dass Mexikos damaliger Staatssekretär für Menschenrechte, Alejandro Encinas, mit Pegasus ausgespäht wurde, als er Verfehlungen des mexikanischen Militärs untersuchte.