Comretix Blog

Beim Online-Banking der Sparkassen kam es am Sonntag des Wochenendes zu Problemen: Transaktionen ließen sich nicht ausführen, da die S-pushTAN-App Freigabeversuche lediglich mit Fehlermeldungen abwies. Das haben auch Betrüger als Chance begriffen und umgehend eine thematisch passende Phishing-Kampagne aufgesetzt.

Auf den Smartphones auch von nicht-Sparkassen-Kunden landeten bereits in der Nacht SMS mit der Nachricht: "Sparkasse: Ihre pushTAN-App läuft bald ab. Jetzt aktualisieren unter: <URL>. Vielen Dank. Ihre Sparkasse". Die angegebene URL enthält eine Browser-Weiche und führt in einem Desktop-Webbrowser ins Nichts. Auf Smartphones hingegen landen potenzielle Opfer auf einer authentisch wirkenden Webseite. Dort sollen Opfer ihre Daten eingeben, ein Download einer aktualisierten pushTAN-App findet sich dort derzeit nicht.

Auf dem Smartphone zeigt die Phishing-Seite einen echt wirkenden Nachbau einer Sparkassenseite an. Auf dem Desktop landet der Webbrowser jedoch im Nichts.

(Bild: Screenshot / dmk)

Betrugsfilter wie Safe Browsing oder der Phishing- und Malwareschutz in Firefox schlagen derzeit noch nicht an. Wer auf dieser Webseite seine Zugangsdaten eingibt, gibt sie damit an Betrüger weiter, die damit Schäden anrichten können.

Jeder unberechtigte Zugriff auf Firmennetzwerke und Systeme hinterlässt Spuren – etwa in Gestalt von Schadcode-Hashes, IP-Adressen von Angreiferservern oder Komponenten von Einbruchstools. Solche Relikte, auch Kompromittierungsindikatoren (engl. Indicators of Compromise, IoC) genannt, erfreuen sich als vielseitiges Werkzeug großer Beliebtheit bei Sicherheitsprofis. Sie helfen bei der detaillierten Beschreibung aktueller Security-Vorfälle, der Suche nach möglicherweise kompromittierten Systemen und sind darüber hinaus als Baustein zur künftigen, effektiven IT-Verteidigung nutzbar.

Bevor man IoCs sinnvoll einsetzen kann, ist jedoch meist etwas Vorarbeit nötig. Insbesondere selbst gesammelte Einbruchsspuren stecken oft zusammen mit weiteren Informationen in Logfiles verschiedenster Formate. Es gilt also erst einmal, sie zu isolieren und sicherzustellen, dass sie tatsächlich mit dem Angriffsgeschehen in Verbindung stehen. Anschließend muss man eine genauere Einschätzung der verbleibenden Kompromittierungsindikatoren vornehmen. Sie gewichten, priorisieren und zueinander in Beziehung setzen, um künftige Gefahren aufspüren, zugleich aber auch Fehlalarme minimieren zu können.

Das kostenlose Tool Cyberbro unterstützt bei diesen Arbeitsschritten. Es nimmt beliebigen Text-Input etwa aus Logs, Threat Intelligence-Feeds oder öffentlichen Sicherheitswarnungen entgegen und extrahiert potenzielle IoCs. Anschließend leitet es diese je nach Typ der Einbruchsspur gleich an mehrere externe Online-Services wie IPquery, VirusTotal, Shodan oder Phishtank weiter. Diese liefern dann zum IoC-Typ passende, öffentlich verfügbare Threat-Intelligence-Informationen zurück, die bei der Einschätzung und Gewichtung helfen. Cyberbro stellt sie zu einem übersichtlichen Report zusammen, den man in verschiedenen Formaten herunterladen und aus dem man überdies die strukturiert gespeicherten IoCs ganz einfach herauskopieren kann.

Wie gut das alles funktioniert und wie die resultierenden Reports aussehen, haben wir für Sie an ein paar Beispielen ausprobiert. Außerdem geben wir einen Überblick über die verschiedenen Nutzungsmöglichkeiten von Cyberbro – als Online-Tool, auf dem eigenen Rechner und als Browsererweiterung.

Die Entwickler von Tails haben Version 6.16 der Linux-Distribution zum anonymen Bewegen im Internet veröffentlicht. Die Änderungen gegenüber dem Notfallupdate 6.15.1 sind gering – wer jedoch noch ältere Versionen einsetzt, sollte dringend auf den aktuellen Stand wechseln.

Die Versionsankündigung zu Tails 6.16 ist äußerst dünn: Den "Tor Browser" liefert die neue Fassung nun in Version 14.5.3 mit und den Linux-Kernel auf Stand 6.1.140. Aufhorchen lässt jedoch die Zwischenversion Tails 6.15.1, die im Mai erschien. Die Tails-Maintainer bezeichneten die Fassung als Notfall-Release mit wichtigen Korrekturen zum Ausbessern von sicherheitsrelevanten Schwachstellen.

Der "Tor Browser" 14.5.2 hat als kritisches Risiko eingestufte Sicherheitslücken im Firefox-ESR-Webbrowser 128 geschlossen, auf dem die anonymisierende Software basiert. Außerdem ist Thunderbird 128.0.1 seitdem der aktuelle Stand. Die Ordner zum "Tor Browser" und "Tor Browser (persistent)" werden seit dieser Fassung entfernt, da sie durch die mit Tails 6.14.1 eingeführten Änderungen bei der "Tor Browser"-Integration nicht mehr nötig sind.

Wer also noch nicht auf Tails 6.15.1 oder neuer aktualisiert hat, sollte das nun zügig nachholen. Die aktuelle Version von Tails steht als USB-Image zum Verfrachten auf USB-Sticks zum Herunterladen bereit. Eine weitere Webseite liefert den Download als ISO-Abbild, das sich etwa auf DVD brennen oder in einer virtuellen Maschine nutzen lässt.

Anfang Mai erschien die Version 6.15 von Tails. Sie hat im Wesentlichen ebenfalls den "Tor Browser" sowie den Linux-Kernel auf aktuellen Stand gebracht. Die Programmierer hatten darin jedoch auch kleine Fehlerkorrekturen umgesetzt, die für einen besseren Schutz der Privatsphäre etwa nach einem Absturz mit Kernel Panic oder Oops sorgen sollen.

Nach Attacken auf Webforen, die mit vBulletin erstellt wurden, führen Angreifer Schadcode aus und kompromittieren Server. Die beiden mittlerweile geschlossenen Schwachstellen gelten als "kritisch". Damit erstellte Webforen sind aber nur verwundbar, wenn PHP 8.1 installiert ist.

Vor den Attacken warnt ein Sicherheitsforscher, der die Lücken (CVE-2025-48827, CVE-2025-48828) entdeckt hat. Die erste Schwachstelle ist mit dem maximal möglichen CVSS Score 10 von 10 eingestuft. In einem Beitrag zeigt er detaillierte Informationen zu den Schwachstellen auf.

Das Sicherheitsproblem findet sich in der PHP Reflection API im Zusammenspiel mit PHP 8.1. In diesem Kontext können Angreifer auf eigentlich geschützte Bereiche manipulierend zugreifen, Sicherheitsfunktionen umgehen und am Ende Schadcode ausführen.

Der Forscher gibt an, dass Angreifer derzeit nur die erste Lücke ausnutzen, um eine Hintertür zu installieren. Angriffe sollen ohne Authentifizierung möglich sein. In welchem Umfang die Attacken ablaufen, ist derzeit unklar. Ihm zufolge sind die Versionen 5.0.0 bis einschließlich 5.7.5 und 6.0.0 bis einschließlich 6.0.3 verwundbar.

Um Attacken vorzubeugen, müssen Webadmins sicherstellen, dass vBulletin 5.7.5 Patch Level 3 oder 6.x Patch Level 1 installiert sind. Die Sicherheitsupdates sind bereits seit mehr als einem Jahr verfügbar, aber offensichtlich bisher nicht flächendeckend installiert.

"Überprüfen Sie die URL vor dem Anklicken des Links" lautet eine goldene Regel, um sich vor Cyberangriffen verschiedener Art zu schützen – gegen eine neue Bande namens "Hazy Hawk" hilft sie leider nur bedingt: Cyberkriminellen ist es gelungen, zahlreiche Subdomains namhafter Unternehmen zur Verbreitung von Malware und Co zu nutzen. Das Einfallstor waren offenbar falsch konfigurierte DNS-Einträge – wahrscheinlich wurden diese vielfach einfach von ihren rechtmäßigen Inhabern vergessen.

Betroffen sind laut einem Bericht des IT-Sicherheitsunternehmens Infoblox unter anderem Bose, Panasonic und sogar die US-Seuchenbehörde Centers for Disease Control and Prevention (CDC). Die Entdeckung von Hazy Hawk geht laut Infoblox auf IT-Journalist Brian Krebs zurück. "Er machte uns darauf aufmerksam, dass die CDC-Domäne cdc[.]gov plötzlich Dutzende von URLs enthielt, die auf Pornovideos verwiesen", schreiben die Autoren. Diese seien in den Suchmaschinenergebnissen zu sehen gewesen und trugen demnach in den Suchmetadaten Verweise auf die CDC. Die Seiten sehen also in Suchergebnissen so aus, als stammten sie wirklich von der Behörde. Auch anderes, wie zum Beispiel falsche Antivirus-Software, versuchen die Kriminellen über die Subdomains ihrer Opfer zu verbreiten.

Anstatt auf Bruteforce oder Phishing zu setzen, um Kontrolle über die Netzwerke seiner Opfer zu erlangen, nutzt Hazy Hawk anscheinend alte, nicht mehr genutzte Cloud-Ressourcen aus, die mit falsch konfigurierten DNS CNAME-Einträgen verbunden sind, auch "Dangling"-Einträge genannt.

Sie entstehen, wenn ein Unternehmen seine Kapazitäten bei Cloud-Diensten wie Azure oder AWS außer Betrieb nimmt, aber nicht den DNS-Eintrag, der auf ihn verweist, aktualisiert oder löscht. Oft werden diese Einträge von den Inhabern einfach vergessen – doch sie werden zu gefährlichen Angriffszielen, mit denen die Cyberkriminellen ihre schädlichen Inhalte verbreiten können. Besonders gefährlich an dieser Masche: Viele gängige Sicherheitssysteme weisen gar nicht auf solche Fehlkonfigurationen hin.

Die Hazy Hawk-Akteure gingen noch weiter: Von den gekaperten Subdomains leiten sie die Besucher häufig automatisch auf schädliche Webseiten um. Sie nutzten dazu sogenannte Traffic Distribution Systems (TDS). Diese sind darauf ausgelegt, je nach Endgerät, Standort und Nutzungsverhalten die passenden Betrugsseiten zu liefern. Die Weiterleitung beginnt häufig von seriös anmutenden Blogs oder Entwicklerseiten, bevor die Odyssee durch ein Netz von Betrügerseiten beginnt. Erlauben Nutzer Push-Benachrichtigungen von solchen Seiten, erhöht sich das Risiko noch weiter. Daher gilt umso mehr, was ohnehin schon gilt: Nicht vertrauenswürdigen Seiten sollte man Push-Benachrichtigungen nicht erlauben.

Im Zusammenhang mit der groß angelegten Polizeiaktion "Operation Endgame 2.0" sucht das Bundeskriminalamt (BKA) zahlreiche Cyberkriminelle – unter ihnen ist auch Vitalii Nikolaevich Kovalev, vor allem bekannt als "Stern". Er soll der Kopf der berüchtigten Trickbot-Bande sein, eine Organisation, deren Struktur stark an ein herkömmliches Unternehmen erinnerte, "Stern" soll dabei sozusagen der CEO gewesen sein. Jetzt sucht das BKA auch mit seiner Identität und Fotos nach ihm.

Kovalev ist russischer Staatsbürger und steht laut Fahndungsausschreibung im Verdacht, als Gründer der Gruppe hinter der gleichnamigen Schadsoftware einen wesentlichen Tatbeitrag zur Durchführung von globalen Cyberattacken geleistet zu haben. Demnach ist er verdächtig, unter den Pseudonymen <stern> und <ben> die Gruppierung gegründet und als deren Anführer fungiert zu haben. Mindestens seit 2016 soll die Gruppe Hunderttausende PCs mit schädlicher Software wie Malware oder Ransomware infiziert haben.

Laut BKA erlangte sie durch ihre illegalen Aktivitäten Geldbeträge im dreistelligen Millionenbereich. Zu den Opfern zählen laut BKA Krankenhäuser, öffentliche Einrichtungen, Unternehmen, Behörden und Privatpersonen. Allein in Deutschland soll die Gruppierung einen Schaden in Höhe von mindestens 6,8 Millionen Euro verursacht haben. Bei Endgame 2.0 gingen insgesamt 300 Server offline, 50 davon in Deutschland, sie werden Trickbot und Qakbot, einer anderen Cybercrime-Gruppe, zugeordnet.

Das Bemerkenswerte am Gesuchten Kovalev ist, dass er die Organisation hinter Trickbot wirklich ähnlich wie ein normales Softwareunternehmen führte. Vor rund drei Jahren lieferte ein Bericht spannende Details zu Arbeitsweise und Organisation der Bande. Zum Beispiel, dass es zu diesem Zeitpunkt innerhalb der Organisation viele Spezial-Teams wie die Crypter gab, die sich in eigenen Chat-Gruppen austauschten. Die Crypter bauten ausschließlich Tools, mit denen sich Malware so verschleiern lässt, dass sie von Antiviren- und Sicherheits-Software nicht mehr entdeckt wird.

Jede Arbeitsgruppe hatte ihren eigenen Teamleader, darüber gab das Management Strategie und Richtung vor – mutmaßlich vor allem Kovalev, der heute als Anführer der Bande gesucht wird. Klingt erstmal nach herkömmlichem organisierten Verbrechen – doch in dem Bericht ist auch von regelmäßigen, zweiwöchentlichen Zahlungen, Krankengeld und Urlaub und einem 13. Monatsgehalt die Rede. Das geht aus Kommunikationsverläufen der Gruppe hervor, die den Urhebern vorlagen. Die für Cyberkriminalität eher neuartigen Strukturen sorgten damals für Aufsehen – der heute identifizierte und gesuchte Kovalev dürfte so etwas wie ein Vorreiter gewesen sein.

Anfang des Jahres wurde Corplife, eine Plattform für Mitarbeiterbenefits, auf ein Datenleck aufmerksam gemacht. Da sie nicht reagiert haben, hatte sich der Hinweisgeber an den Chaos Computer Club (CCC) gewandt. Die Daten waren bis Mitte Februar 2025 zugänglich, da die Lücke erst nach Meldung des CCC geschlossen wurde. Ob die Betroffenen informiert wurden, ist noch unklar. Eine diesbezügliche Anfrage von heise online an das Unternehmen ist noch unbeantwortet.

Die Plattform ist sowohl als Web- als auch als App-Version verfügbar. Darüber erhalten Mitarbeiter Zugang zu einem Marktplatz mit über 1500 regionalen und internationalen Marken in Bereichen wie Shopping, Sport, Reisen, Gastronomie und mehr. Neben klassischen Rabatten gibt es über Corplife auch digitale Essenszuschüsse, die steuerfrei und ohne Papierkram genutzt werden können. Firmen wie Siemens, Microsoft, IBM, Casio, Dyson und Rituals nutzen Corplife bereits. Seit seiner Gründung ist das Unternehmen Marktführer in Österreich und unter anderem auch nach Deutschland expandiert.

Offen zugänglich waren nach Hinweisen des CCC etwa 7800 pkpass-Dateien, CSV-Dateien mit rund 145.000 Namen, E-Mail-Adressen und Unternehmenszugehörigkeiten, dem Quellcode und ein Datenbank-Backup. Stichproben lassen vermuten, dass es sich nicht um reine Testdaten handelt. In einem 7 Gigabyte großem Datenbank-Backup, das online wegen aktivierter Directory Listings abrufbar war, zählten nach Angaben des CCC rund 165.000 Benutzerkonten inklusive Namen, E-Mail-Adressen, Anschrift, Unternehmenszugehörigkeit, Passworthash und zehntausende Bestellungen. In Teilen lässt sich das über einen archivierten Link nachvollziehen.

Laut Corplife habe es sich bei der Sicherheitslücke jedoch um einen Zugang zu internen Testservern gehandelt, die lediglich für Entwicklungszwecke genutzt würden und "keine live Daten enthalten". Das geht aus einer Stellungnahme des Unternehmens an die österreichische Datenschutzbehörde hervor. Nach Erhalt der Information habe das Unternehmen umgehend reagiert und die Sicherheitslücke geschlossen und weitere Maßnahmen ergriffen, wie "veraltete und nicht unbedingt notwendig Files und Ordner von dem Testserver vollständig entfernt".

Darüber hinaus informiert der CCC über mehrere Datenlecks. Demnach waren unter anderem Lieferdienste des Software-Unternehmens Tom & Poolee betroffen, die sich ein Backend teilten. Ein Login war ohne Passwort möglich. Durch Hochzählen der ID konnte man sich mit einem von rund 200.000 Kundenzugängen einloggen. Ähnliches war bei Rechnungsnummern möglich, die beim Anbieter Karvi Solutions hochgezählt werden konnte. Betroffen waren 399 Lieferdienste in ganz Deutschland. Vollständig geschlossen ist die Lücke nach Angaben des CCC noch nicht.

Tausende Router von Asus sind von Unbekannten übernommen worden, der unerlaubte Zugriff kann nicht einmal durch einen Neustart oder Firmware-Updates unterbunden werden. Das hat GreyNoise ermittelt und erklärt, dass es sich womöglich um die ersten Schritte beim Aufbau eines Botnets handelt.

Laut dem IT-Sicherheitsunternehmen gehen Angreifern beim Erstzugriff heimlich vor und greifen auf integrierte Systemfunktionen zu, um sich tief im System festzusetzen. Das deute auf einen "äußerst fähigen" Verantwortlichen, der sehr gut ausgestattet ist, hin. Für nicht kompromittierte Router stehen Patches bereit.

Wie GreyNoise in einem Blogeintrag ausführt, erlangen die Unbekanten den Zugriff über massenhafte Login-Versuche ("Brute Force") und umgehen dabei Authentifizierungsvorgaben. Dabei würden Lücken ausgenutzt, die keine CVE-Kennzeichnung erhalten haben, aber inzwischen geschlossen seien. Danach wird eine weitere Lücke (CVE-2023-39780) ausgenutzt, die Asus inzwischen ebenfalls gepatcht habe. Schließlich würde der weitere Zugriff von außen ermöglicht. Die Hintertür selbst werde in nicht-flüchtigem NVRAM abgelegt, weshalb sie weder durch einen Neustart noch durch ein Firmware-Update geschlossen werden könne. Malware werde nicht installiert und die Logging-Funktion der Router werde deaktiviert.

Entdeckt hat GreyNoise die Kampagne demnach Mitte März mithilfe einer KI, die auf anomalen Traffic angesprungen ist. Am 23. März wurde Asus informiert, es folgten die Patches. Zuletzt waren laut GreyNoise fast 9000 Router kompromittiert, die Zahl wachse weiter. Welche Modelle betroffen sind, schreibt die Firma zwar nicht, aufgelistet werden aber mit dem Angriff verbundene IP-Adressen. Außerdem empfiehlt GreyNoise eine Prüfung, ob auf eigenen Asus-Routern der SSH-Zugriff auf den Port TCP/53282 erlaubt wurde. In der Datei "authorized_keys" sollten außerdem nicht autorisierte Einträge gesucht werden. Ist ein Gerät kompromittiert, helfe nur das Zurücksetzen auf die Werkseinstellung und die manuelle Neukonfiguration.

Wenn das WordPress-Plug-in TI WooCommerce Wishlist installiert ist, können Angreifer mit vergleichsweise wenig Aufwand Schadcode hochladen und Internetseiten kompromittieren. Bislang ist kein Sicherheitsupdate verfügbar. WordPress-Installationen sind aber nur unter einer bestimmten Voraussetzung attackierbar.

Die Sicherheitslücke (CVE-2025-47577) ist mit dem Bedrohungsgrad "kritisch" und dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Auf die Schwachstelle sind Sicherheitsforscher von Patchstack gestoßen. Websites sind ihrem Bericht zufolge aber nur verwundbar, wenn die WooCommerce-Erweiterung WC Fields Factory aktiv und mit TI WooCommerce Wishlist verknüpft ist.

Ist das gegeben, können Angreifer an der defekten Uploadfunktion tinvwl_upload_file_wc_fields_factory ansetzen und mit der Angabe 'test_type' => false die Dateiüberprüfung umgehen, um so eigenen Code hochzuladen und auszuführen. Das kann etwa aus der Ferne über den Upload einer präparierten PHP-Datei passieren. Bislang haben die Sicherheitsforscher eigenen Angaben zufolge keine Attacken beobachtet.

Auf der Website des Plug-ins steht, dass es mehr als 100.000 aktive Installationen aufweist. Von der Lücke sollen alle Versionen bis inklusive der aktuellen Ausgabe 2.9.2 betroffen sein. Die Sicherheitsforscher geben an, die Entwickler Ende März dieses Jahres kontaktiert zu haben. Bislang haben sie dazu kein Feedback bekommen. Wann ein Sicherheitsupdate erscheint, bleibt somit unklar. Admins sollten bis Erscheinen eines Patches das Plug-in aus Sicherheitsgründen deaktivieren.

Mit jedem Modelljahr werden Autos digitaler, smarter – und zu echten Datensammlern auf Rädern. Sie erfassen Fahrverhalten, Batteriestatus, Standorte und vieles mehr. Was dabei an persönlichen Informationen im Fahrzeug, in der Cloud oder beim Hersteller landet, bleibt für viele Autofahrer unklar.

Hans Steege beim Podcasten in der Auslegungssache

In der aktuellen Episode des c't-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich mit Dr. Dr. Hans Steege über die Herausforderungen, die moderne Fahrzeuge für den Datenschutz mit sich bringen. Steege ist seit 2021 im Bereich Datenschutz bei der Volkswagen-Tochter Cariad tätig. Außerdem ist er seit 2022 Lehrbeauftragter am Institut für Volkswirtschaftslehre und Recht an der Universität Stuttgart und lehrt dort in den Bereichen Recht der Digitalisierung, Autonomes Fahren und Künstliche Intelligenz.

Wie Steege erläutert, fallen in modernen Fahrzeugen Daten aus vielen Quellen an – von Ultraschallsensoren über Kameras bis zu Car-to-Car-Kommunikation. Einiges davon landet aus technischen Gründen oder aufgrund gesetzlicher Vorgaben in den Systemen der Hersteller. Andere Informationen wie Standortdaten oder Fahrprofile werden für Komfortfunktionen und Dienste erhoben – meist auf Basis einer Einwilligung der Nutzer.

Doch genau hier liegt ein Problem: Kaum jemand liest sich die ellenlangen Datenschutzerklärungen durch, bevor er ein neues Auto startet. Zudem ist oft unklar, welche Daten genau erhoben und wie lange sie gespeichert werden. Auch die Tatsache, dass Autos oft von mehreren Personen genutzt werden, erschwert die Sache.

Professionell agierende internationale Diebesbanden haben eine neue Masche entwickelt, um gestohlene iPhones möglichst teuer weiterverkaufen zu können: Sie versuchen, ihre Opfer mit professionell aufgemachten Phishing-Seiten zu überreden, ihre Geräte-PIN zu verraten. Wie Mac & i-Leser Michael Kania berichtet, der einen IT-Service betreibt, ist ihm ein solcher Fall kürzlich in Barcelona bei einem Kunden vorgekommen. Diesem war auf dem Markt in La Rambla sein iPhone entwendet worden. Das Gerät wurde gesperrt und die Polizei verständigt. Wie man es üblicherweise tut, war auf dem Sperrbildschirm eine Kontaktinformation zu lesen – in diesem Fall die von seiner Frau.

Nach Verständigung der Polizei ließ sich das iPhone bis in ein bestimmtes Viertel in Barcelona verfolgen. "Kurz darauf erhielt die Frau meines Kunden eine SMS angeblich von Apple als Absender", so Kania. Diese enthielt einen Link samt der korrekten Gerätebezeichnung iPhone 15 Pro Max. Unter dem Link sei die Lokalisierung möglich. "Das Ganze war ganz gut gefälscht und für den Laien nicht sofort erkennbar, dass es keine Apple-Domain war." Nach dem Öffnen des Links erschien ein bis auf Rechtschreibfehler perfekt gefälschter Sperrbildschirm des iPhone im Browser. Hier hofften die Diebe wohl, dass der Nutzer den echten Sperrcode eingibt.

Das tat das Opfer dann aber natürlich nicht, sondern gab einen falschen Code ein, um die Diebe weiter zu beschäftigen – in der Hoffnung, dass sie damit online gehen. Über die folgenden Tage kamen weitere SMS mit angeblichen Standortmeldungen und dem gleichen Link – immer wieder im Versuch, dem Opfer die PIN zu entlocken. Die Polizei konnte nichts mehr tun. Schließlich fand sich das gestohlene iPhone über "Wo ist?" im chinesischen Shenzhen wieder, wo es wohl in Einzelteile zerlegt wurde. Glücklicherweise gelang es zumindest, die Daten auf dem Gerät fernzulöschen.

Dass Diebe nachträglich versuchen, an die Geräte-PIN zu gelangen, ist bekannt. So soll es in Shenzhen iPhone-Recycler geben, die Nutzer "erpressen": Sie schicken über die Kontaktadresse auf dem gesperrten iPhone die Botschaft, man werde das Gerät an "Hacker" weiterverkaufen, wenn man es dank PIN nicht löschen könne. In der Metropole nahe Hongkong soll es ein ganzes Haus voller Unternehmen geben, die sich auf die Entsperrung und Zerlegung geklauter Apple-Smartphones spezialisiert haben. Für Diebstahlopfer heißt das, dass man nach dem Klau sehr vorsichtig sein muss: Botschaften der Diebe darf man nicht trauen, merkwürdige Links dürfen nicht geklickt werden.

Die iPhone-PIN hat noch mehr Bedeutung als nur für die Entsperrung des Geräts: Sie war lange auch wichtiges Zugangsmedium für den Apple-Account, an dem praktisch alles hängt. Seit iOS 17.3 hat Apple hier einen neuen Anti-Diebstahl-Modus implementiert.

Microsoft startet eine begrenzte öffentliche Vorschau auf "Windows Backup for Organizations". Damit können IT-Verwalter mit wenig Aufwand die Einstellungen von Windows-10- und Windows-11-PCs wegsichern und auf Geräten mit Microsoft Entra wiederherstellen lassen.

Insbesondere mit Hinblick auf das nahende Support-Ende von Windows 10 am 14. Oktober dieses Jahres soll das IT-Verantwortlichen den Umzug auf Windows-11-Maschinen erleichtern. Das kündigt Microsoft in einem Blog-Beitrag der Techcommunity an. "Unabhängig davon, ob Sie ein umfangreiches Upgrade planen oder einfach nur die Strategie für die Geräte-Kontinuität in Ihrem Unternehmen verbessern möchten, hilft diese Funktion dabei, den Migrationsaufwand zu reduzieren, die Nutzungsunterbrechungen zu minimieren und die Widerstandsfähigkeit der Geräte gegenüber Zwischenfällen zu stärken", schwärmen die Redmonder.

Microsoft hebt hervor, dass mit "Windows Backup for Organizations" weniger Support für Troubleshooting anfällt, da sich Geräte einfach zurücksetzen und mit den vorherigen Einstellungen wiederherstellen lassen. Die Software liefere einen nahtlosen Übergang von Windows 10 zu Windows 11 durch die gespeicherten Backups. Das führe zu einer minimierten Downtime, was die Produktivität der Nutzerinnen und Nutzer maximiere – die sich mit ihren bervorzugten Einstellungen umgehend auf wiederhergestellten Systemen zurechtfinden.

Es kommen jedoch nicht alle für die begrenzte öffentliche Vorschau infrage. Zur Nutzung der Backup-Funktionen müssen die Geräte mindestens "Microsoft Entra joined" oder "Microsoft Entra hybrid joined" sein und eine aktuell unterstützte Version von Windows 10 oder 11 im Einsatz haben. Für den vollen Funktionsumfang sei Windows 11 22H2 oder neuer Voraussetzung, Microsoft-Entra-joined-Geräte, ein aktiver Microsoft-INtune-Test-Tenant sowie Microsoft Intune Service-Administrator-Rechte. Schließlich müssen Interessierte am Microsoft Management Customer Connection Program (CCP) teilnehmen (Link zur Anmeldung).

Wer Interesse an dem Test von "Windows Backup for Organizations" hat, muss sich durch Ausfüllen eines Formulars dafür bewerben. Microsoft plant, die Funktion weiterzuentwickeln. Dafür sei Feedback von Testern wertvoll.

IBM Guardium Data Protection soll dafür sorgen, dass Geschäftsdaten, unter anderem bei Clouddiensten, sicher gespeichert sind. Nun können aber Angreifer an mehreren Sicherheitslücken ansetzen, um Systeme zu attackieren.

In einer Warnmeldung listen die Entwickler die Schwachstellen auf. Der Großteil der Lücken ist mit dem Bedrohungsgrad "mittel" eingestuft. In diesen Fällen können Angreifer unter anderem aus der Ferne auf eigentlich abgeschottete Informationen zugreifen (CVE-2025-25025, CVE-2025-25029).

Eine Schwachstelle (CVE-2025-24970) ist mit dem Bedrohungsgrad "hoch" versehen. Sie betrifft das Client-Server-Framework Netty. Weil der SslHandler eingehende Daten nicht ausreichend prüft, können Angreifer mit präparierten Anfragen an der Lücke ansetzen. Klappt eine Attacke, löst das einen Crash aus.

Die Entwickler versichern, die Schwachstellen mit einem Fix für IBM Guardium Data Protection 12.0 geschlossen zu haben. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.

Die Entwickler von Chrome, Firefox und Thunderbird haben in der Nacht zum Mittwoch Aktualisierungen veröffentlicht, die teils kritische Sicherheitslücken in den Programmen schließen. Nutzerinnen und Nutzer sollten sicherstellen, dass sie die aktualisierte Fassung einsetzen.

Besonders gravierend ist eine Sicherheitslücke in allen unterstützten Firefox- und Thunderbird-Versionen. Eine doppelte Freigabe von Ressourcen (double free) im libvpx-Encoder in der Funktion vpx_codec_enc_init_multi nach einer fehlerhaften Allokation bei der Initialisierung des Encoders für WebRTC kann zu Speicherkorruption und einem möglicherweise missbrauchbaren Absturz führen. Die Schwachstelle stufen die Mozilla-Entwickler sogar als "kritisch" ein, wie sie etwa in der Sicherheitsmitteilung zu Firefox 139 schreiben.

Sie haben sogar zunächst einen eigenen CVE-Schwachstelleneintrag dafür angelegt (CVE-2025-5262), diesen jedoch wieder zurückgezogen, da eine andere CVE Numbering Authority (CNA) als Mozilla dafür zuständig sei. Die CISA hatte bereits eine CVSS-Berechnung vorgeschlagen und kam auf einen CVSS-Score von 7.5, was abweichend der Mozilla-Einstufung das Risiko "hoch" bedeutet. Sofern die zuständige CNA einen CVE-Eintrag erstellt hat, wollen die Mozilla-Entwickler den referenzieren.

Die Schwachstelle schließen die nun neu verfügbaren Versionen Firefox 139, Firefox ESR 128.11, Firefox ESR 115.24 und auch das Mailprogramm Thunderbird 139 und 128.11. Wer die einsetzt, sollte zügig den Versionsdialog der Software aufrufen, der in der Regel im Einstellungsmenü über das Symbol rechts oben neben der Adressleiste und dort schließlich unter "Hilfe" – "Über <Programmname>" zu finden ist. Der zeigt die aktuelle Version und bietet gegebenenfalls die Aktualisierung an.

Google hat zudem aktualisierte Fassungen des Chrome-Webbrowsers veröffentlicht. Sie schließen insgesamt acht Sicherheitslücken, von denen die Programmierer zwei als hohes Risiko, fünf als mittleres und eine als niedrigen Bedrohungsgrad eingestuft haben. Die hochriskanten Lücken umfassen etwa Zugriffe auf bereits freigegebene Ressourcen (use after free) im Compositing, was Angreifer oftmals zum Einschleusen von Schadcode missbrauchen können. Außerdem kann ein Schreibzugriff außerhalb vorgesehener Speichergrenzen in der Javascript-Engine V8 einen ähnlichen Effekt haben.

Der Sparkurs der US-Regierung bei den eigenen Behörden macht auch keine Ausnahme bei der Cybersicherheit. Wie aus einer internen E-Mail des neuen stellvertretenden Direktors der Cybersicherheitsagentur CISA hervorgeht, haben mehr als die Hälfte der Führungskräfte diese US-Behörde bereits verlassen, nachdem US-Präsident Donald Trump Elon Musk in sein Team geholt hat, um den Verwaltungsapparat der USA zu straffen.

Bereits Anfang dieses Jahres hat das Ministerium für innere Sicherheit der Vereinigten Staaten (Department of Homeland Security, DHS) die Untersuchung zu einem massiven Cyberangriff in den USA gestoppt, indem alle US-Beamten eines Gremiums, das die CISA beraten hat, zurückgerufen wurden. Experten bezeichneten dies als "Geschenk an China", denn zuvor waren die US-Netzbetreiber AT&T, Verizon und Co. angeblich von einer chinesischen Spionagegruppe infiltriert worden. Doch die entsprechende Untersuchung wurde dadurch praktisch beendet oder zumindest deutlich eingeschränkt.

Diese Situation dürfte sich künftig nicht verbessern. Denn letzte Woche Donnerstag hat Madhu Gottumukkala, Vize-Direktor der CISA (Cybersecurity and Infrastructure Security Agency) seine Mitarbeiter darüber informiert, dass die Leiter von fünf der sechs CISA-Abteilungen und sechs von zehn Regionalbüros bis Ende dieses Monats diese US-Behörde verlassen haben oder werden. Das berichten die Washington Post und das US-Magazin Cybersecurity Dive.

Experten sehen diese Entwicklung kritisch, denn "der Abgang dieser Führungskräfte könnte die Effizienz und strategische Klarheit der Partnerschaften von CISA mit Betreibern kritischer Infrastrukturen, privaten Sicherheitsfirmen, ausländischen Verbündeten, Landesregierungen und lokalen Notfallmanagern untergraben". Dies weckt Befürchtungen um die Fähigkeiten der CISA, wie der US-amerikanische Cybersecurity-Journalist Eric Geller bei Bluesky schreibt.

Auch CISA-Mitarbeiter sind besorgt. "Angesichts der hohen Zahl an Abgängen hochrangiger Mitarbeiter, darunter einige, die schon seit den Tagen des US-CERT hier waren, herrscht große Besorgnis darüber, wann die Kürzungen und Abgänge endlich aufhören und wir als Agentur weiter vorankommen können", heißt es etwa. Das Computer Emergency Readiness Team (CERT) der USA wurde fast 20 Jahre nach seiner Formierung Anfang 2023 von der CISA auf- und abgelöst. Ein anderer, ebenfalls anonymer Angestellter fügte hinzu, dass "es sich anführt, als würden die falschen Leute gehen".