Comretix Blog

Die Entwickler haben ein Problem in der VPN-Software Connect Secure (ICS) zunächst falsch als einfachen Bug eingeschätzt. Nun stellt sich heraus, dass es sich um eine veritable, kritische Sicherheitslücke handelt, die Cyberkriminelle bereits auf dem Schirm haben und für Angriffe auf verwundbare Systeme missbrauchen.

In einer Sicherheitsmitteilung warnt Ivanti vor den beobachteten Angriffen auf die Schwachstelle und räumt die zunächst vorgenommene Fehleinschätzung ein. Es handelt sich demnach um einen nicht detaillierter erklärten, Stack-basierten Pufferüberlauf. Angreifer können ihn ohne vorherige Authentifizierung aus dem Netz missbrauchen, um Schadcode einzuschleusen und auszuführen (CVE-2025-22457, CVSS 9.0, Risiko "kritisch").

Googles IT-Sicherheitstochterfirma Mandiant hat die seit Mitte März beobachteten Angriffe auf das Sicherheitsleck zusammen mit Ivanti untersucht. Sie lassen sich laut Mandiants Analyse auf eine Cyber-Bande aus China zurückführen. Diese habe dabei einen nur im Speicher aktiven Dropper namens "Trailblaze" sowie eine passive Backdoor mit der Bezeichnung "Brushfire" auf den ICS-Instanzen eingerichtet. Auch die Verteilung von Malware aus dem "Spawn"-Ökosystem haben die IT-Forscher beobachtet, die der APT-Gruppierung UNC5221 zugeordnet wird, die chinesischen Ursprungs ist.

Ivanti räumt die ursprüngliche Fehleinschätzung unumwunden ein: "Diese Schwachstelle wurde in Ivanti Connect Secure 22.7R2.6 (am 11. Februar 2025 herausgegeben) vollständig gepatcht und ursprünglich als Bug im Produkt identifiziert". Das Unternehmen erklärt auch, wie es dazu kam: "Bei der Schwachstelle handelt es sich um einen Pufferüberlauf, der auf die Zeichen Punkt und Zahlen beschränkt ist. Die Programmierer haben abgewägt, dass die Schwachstelle nicht zum Einschleusen und Ausführen von Code aus der Ferne ausgenutzt werden kann und auch nicht die Voraussetzungen für einen Denial-of-Service erfüllt." Ivanti und IT-Sicherheitspartner haben nun festgestellt, dass mit geschickten Methoden ein Missbrauch möglich und in freier Wildbahn zudem bereits erfolgt ist.

Der Hersteller erklärt außerdem: "Uns ist eine begrenzte Anzahl von Kunden bekannt, deren Ivanti Connect Secure (22.7R2.5 oder früher) und End-of-Support Pulse Connect Secure 9.1x Appliances zum Zeitpunkt der Veröffentlichung der Schwachstelleninformation ausgenutzt wurden." Ivanti empfehle allen Kunden, so schnell wie möglich sicherzustellen, dass sie Ivanti Connect Secure 22.7R2.6 einsetzen, das die Sicherheitslücke abdichtet.

In der aktuellen Episode des c't-Datenschutz-Podcasts steht der European Health Data Space (EHDS) im Fokus. Die EU-Verordnung zu einem gemeinsamen Gesundheitsdatenraum ist am 26. März in Kraft getreten und wird ab März 2027 schrittweise wirksam. Ziel des ambitionierten Projekts ist es, elektronische Gesundheitsdaten in ganz Europa einfacher zugänglich zu machen – sowohl für Patienten als auch für Ärzte, Forschung und Wirtschaft. Doch was bedeutet das konkret für den Schutz von sensiblen Patientendaten?

(Bild: Dr. Kristina Schreiber beim Podcasten in ihrer Kanzlei)

c't-Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich haben dazu Rechtsanwältin Dr. Christina Schreiber eingeladen. Sie ist Spezialistin im Datenschutzrecht mit Schwerpunkt im Gesundheitswesen und erläutert die Hintergründe und Auswirkungen des EHDS. Laut Schreiber bekommen Patienten künftig leichter Zugriff auf ihre medizinischen Daten und können diese digital auch für Ärzte im EU-Ausland zur Verfügung stellen. Einen zentralen Speicherort gibt es dabei nicht; die Daten bleiben dezentral in Arztpraxen und Kliniken gespeichert und werden nur bei Bedarf digital zusammengeführt.

Ein wesentlicher Teil der Verordnung regelt die sogenannte Sekundärnutzung. So sollen Forscher, Behörden und auch Unternehmen Zugriff auf anonymisierte oder pseudonymisierte Gesundheitsdaten erhalten, um die medizinische Versorgung zu verbessern, neue Therapien zu entwickeln und Gesundheitssysteme effizienter zu gestalten. Eine unabhängige Behörde in jedem Mitgliedsstaat soll künftig prüfen, wer wann welche Daten zu welchen Zwecken verwenden darf – stets unter Berücksichtigung der DSGVO.

Angesichts der ambitionierten Ziele sieht Schreiber große Herausforderungen. Vor allem die technische Umsetzung sei komplex, und es brauche ausreichend Ressourcen, um die geplanten hohen Datenschutz- und Sicherheitsstandards in der Praxis zu erreichen. Hinzu kommen unterschiedliche nationale Regelungen: In Skandinavien etwa ist die Datenfreigabe für Gesundheitszwecke nahezu selbstverständlich, während Deutschland stärker auf individuelle Zustimmung setzt.

Admins von Softwareentwicklungsumgebungen sollten die Jenkins-Plug-ins AsakusaSatellite, Cadence vManager, monitor-remote-job, Simple Queue, Stack Hammer und Templating Engine auf den aktuellen Stand bringen. Es sind aber bisher nicht alle Sicherheitspatches erschienen. Zusätzlich haben die Entwickler Schwachstellen im Jenkins Core geschlossen.

Weiterführende Informationen zu den betroffenen Plug-ins sind in einer Warnmeldung aufgelistet.

Am gefährlichsten gilt eine Lücke (CVE-2025-31722 "hoch") in Templating Engine. Verfügen Angreifer über Item/Configure-Berechtigungen, können sie den Sandboxschutz umgehen und im Kontext des Jenkins Controllers JVM Schadcode ausführen.

Stack Hammer (CVE-2025-31726 "mittel") und vManager (CVE-2025-31724 "mittel") speichern API-Schlüssel im Klartext. Außerdem können Angreifer auf unverschlüsselte Passwörter zugreifen (monitor-remote-job, CVE-2025-31725 "mittel").

Diese Sicherheitspatches sind bereits verfügbar:

Das Team des Nationalen Sicherheitsberaters der US-Regierung richtet regelmäßig Gruppenchats auf Signal ein, um sicher über Krisen in aller Welt auszutauschen. Das berichtet das US-Politikmagazin Politico unter Berufung auf vier anonyme Personen, die alle zu einem oder mehreren dieser Chats eingeladen wurden. Insgesamt gibt es demnach mindestens 20 solcher Gruppenchats. Die Nutzung von Signal auch für Amtsgeschäfte ist demnach in der US-Regierung weiter verbreitet als bislang bekannt. Alle vier Quellen haben demnach sensible Informationen aus dem Bereich nationaler Sicherheit in solchen Chats gesehen, geheime Informationen wurden demnach aber wohl nicht dort ausgetauscht.

Der Rückgriff hochrangiger Vertreter und Vertreterinnen der US-Regierung auf den Signal-Messenger ist vorige Woche in den Fokus der Öffentlichkeit gerückt. Da wurde bekannt, dass Minister und hochrangige Personen geheime Informationen über US-Militärangelegenheiten über Signal ausgetauscht haben. Das war nur öffentlich geworden, weil mit dem Chefredakteur von The Atlantic ein Journalist Teil des Gruppenchats war. Laut US-Berichten hat Trump nach den Enthüllungen darüber nachgedacht, Michael Waltz deswegen zu entlassen, sich dann aber dagegen entschieden, weil das als Sieg der Presse gewertet werden könnte. Der Nationale Sicherheitsberater hat die Gruppe eingerichtet und den Journalisten eingeladen.

Dass die Nutzung von Signal in der US-Regierung auch für amtliche Kommunikation offenbar weitverbreitet ist, ist aus verschiedenen Gründen potenziell problematisch. Einerseits haben die Beteiligten im Fall des ersten bekannt gewordenen Gruppenchats über eine nicht dafür autorisierte App geheime Informationen geteilt. Dabei gibt es für derartige Kommunikation speziell abgesicherte Geräte und vorgeschriebene Kommunikationswege. Andererseits gibt es den Verdacht, dass die Beteiligten auch deshalb Signal benutzen, weil damit die gesetzlich vorgeschriebenen Pflichten zur Archivierung umgangen werden können. So war in dem Gruppenchat eingestellt, dass Beiträge nach bestimmten Fristen automatisch gelöscht werden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sicherheitsupdates für Windows, ohne das Betriebssystem neu starten zu müssen: Was Windows-Server bereits länger können, ist ab jetzt auch für Windows 11-Clients verfügbar. Hotpatching ermöglicht die Installation von Aktualisierungen ohne zwingend nötigen Neustart.

Die Anzeige nach der Installation der Hotpatching-Updates weist darauf hin, dass das System ohne Neustart abgesichert wurde.

(Bild: Microsoft)

In einem Blog-Beitrag von Microsofts Techcommunity kündigt das Unternehmen sofortige Verfügbarkeit der Technik an. Demnach kann Windows 11 Enterprise 24H2 für x64-Prozessorarchitekturen, also AMD- und Intel-CPUs nun abgesichert werden, ohne einen Neustart zu erfordern.

Die Vorteile von Hotpatching sind offensichtlich, aber Microsoft zählt sie noch mal auf. Das System erhält umgehenden Schutz, da Sicherheitslücken direkt gestopft werden. Der Sicherheitslevel bleibt konstant, er ist auf demselben Niveau wie mit den monatlichen Standard-Sicherheitsupdates, die einen Neustart zur Aktivierung der neuen Software benötigen. Die Arbeitsunterbrechung werden damit zudem minimiert.

Eine gemeinnützige Organisation aus den USA will im Rahmen eines Versuchs Belohnungen für die Entdeckung und verantwortungsvolle Offenlegung von Sicherheitslücken in Software des Fediverse bezahlen. Wie die Nivenly Foundation sollen an Individuen, je nach Schweregrad der gefundenen Lücken, 250 oder 500 US-Dollar bezahlt werden. Insgesamt stehen dafür bis Ende September 5000 US-Dollar zur Verfügung. Danach soll entschieden werden, ob und wie das Programm fortgeführt werden soll. Von dem Experiment sollen Projekte wie Mastodon, Pixelfed, Peertube, Misskey, Lemmy, Diaspora und andere profitieren.

Der Versuch geht auf den Fund einer Sicherheitslücke bei Pixelfed zurück, für deren Behebung die Organisation bereits Geld bezahlt hat, berichtet TechCrunch. Erst vor wenigen Tagen hat sich der Pixelfed-Entwickler Daniel Supernault öffentlich für den Umgang mit einer weiteren Lücke entschuldigt, die er zwar rasch geschlossen habe, dabei aber nicht richtig vorgegangen sei. Ein Ziel des Experiments der Nivenly Foundation sei es deshalb auch, den Verantwortlichen für Fediverse-Software dabei zu helfen, etablierte Praktiken beim Umgang mit Sicherheitslücken zu befolgen. Die Voraussetzungen für die Teilnahme an dem Versuch hat die Organisation in einem Text zusammengefasst.

Als Fediverse wird ein Verbund aus unterschiedlichen sozialen Netzwerken bezeichnet, die über das Kommunikationsprotokoll ActivityPub verknüpft sind. Als bekanntester Teil hat sich in den vergangenen Jahren der Kurznachrichtendienst Mastodon etabliert, der sich am alten Twitter orientiert. Es gibt aber auch Dienste, die wie das frühere Instagram Fotos in den Mittelpunkt stellen (Pixelfed), einen sozialen Austausch wie auf Facebook (Friendica) ermöglichen sollen oder eine Alternative zu Reddit etablieren wollen (Lemmy). Für die Software sind meist kleine Teams oder Einzelpersonen verantwortlich, denen die Nivenly Foundation nun unter die Arme greifen will.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

AMD spendiert jüngeren Prozessoren Peripherie zum beschleunigten Rechnen für Künstliche Intelligenz, was das Unternehmen als Ryzen AI bezeichnet. Die zugehörige Software und Treiber weisen hochriskante Sicherheitslücken auf. Betroffene sollten zügig die aktualisierte Software installieren, die AMD bereitstellt.

In einer Sicherheitsmitteilung vom Mittwoch warnt AMD vor den Schwachstellen. Insgesamt vier Sicherheitslecks klaffen in der KI-Software. Die gravierendsten Schwachstellen finden sich im NPU-Treiber (Neural Processing Unit) von AMD. Bei allen dreien handelt es sich um Ganzzahl-Überläufe (Integer Overflow), was Angreifern ermöglicht, außerhalb vorgesehener Speichergrenzen zu schreiben und so offenbar etwa Schadcode auszuführen – AMD beschreibt lediglich die Auswirkung der Lücke als "Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit" (CVE-2024-36336, CVE-2024-36337, CVSS 7.9, Risiko "hoch"; sowie CVE-2024-36328, CVSS 7.3, Risiko "hoch").

Entwickler, die KI-Software mit dem SDK Ryzen AI Software entwickeln, sind zudem anfällig für eine Schwachstelle, die Angreifern die Ausweitung ihrer Rechte und die Ausführung beliebigen Codes ermöglicht. Ursache dafür sind falsch gesetzte Standardberechtigungen im Installationspfad der Ryzen AI Software (CVE-2025-0014, CVSS 7.3, Risiko "hoch").

Aktualisierte Software und Treiber stopfen die Sicherheitslecks. Auf der Ryzen-AI-Webseite von AMD stehen für beide Komponenten Updates bereit. Der aktuelle NPU-Treiber lässt sich mit einem Konto bei AMD und dem Abnicken einer Lizenzvereinbarung herunterladen.

Die Installation des Treiber-Updates an der administrativen Eingabeaufforderung.

Eigentlich sollen Trend Micros IT-Schutzlösungen Apex Central und Deep Security Agent Computer vor Cyberattacken bewahren. Aufgrund mehrerer Sicherheitslücken in den Windows-Versionen können sie aber nun als Einfallstor für Angreifer dienen. Admins sollten die verfügbaren Sicherheitspatches zeitnah installieren. Noch gibt es keine Berichte über Attacken.

Aus einer Warnmeldung geht hervor, dass Apex One über drei Schwachstellen (CVE-2025-30678 "mittel", CVE-2025-30679 "mittel", CVE-2025-30680 "hoch") attackierbar ist. Mittels Server-side-Request-Forgery-Attacken (SSRF) können Angreifer über präparierte Anfragen unbefugt auf interne Ressourcen zugreifen. Wie so eine Attacke im Detail ablaufen könnte und welche konkreten Daten gefährdet sind, führen die Entwickler derzeit nicht aus.

Die Entwickler versichern, die Lücken in Apex Central (on-prem) Build 6955 und in Apex Central (SaaS) March 2025 Monthly Maintenance Release geschlossen zu haben.

Deep Security Agent ist in der Version 20.0 über drei Lücken (CVE-2025-30640 "hoch", CVE-2025-30641 "hoch", CVE-2025-30642 "mittel") angreifbar, führen die Entwickler in einem Beitrag aus. Damit Attacken möglich sind, benötigt ein Angreifer aber bereits niedrige Rechte auf einem Zielsystem. Ist das gegeben, kann er sich höhere Nutzerrechte aneignen oder DoS-Zustände auslösen.

Auch hier gibt es bislang keine Hinweise auf laufende Attacken. Admins sollten mit der Installation der abgesicherten Ausgabe 20.0.1-25770 aber nicht zu lange zögern.

Eine schwerwiegende Sicherheitslücke in Apache Tomcat ermöglicht Angreifern, Schadcode einzuschleusen. Das machen Angreifer derzeit auch – höchste Zeit für IT-Verantwortliche, die verfügbaren Sicherheitsupdates anzuwenden.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor den beobachteten Angriffen auf die Schwachstelle. Wie üblich erörtert sie jedoch nicht bezüglich Art und Umfang der Attacken. Es ist daher derzeit unklar, wie Admins erkennen können, ob ihre Systeme angegriffen oder sogar kompromittiert wurden.

Die Schwachstelle findet sich in der Verarbeitung von partiellen PUT-Anfragen. Ursache ist ein intern verwendeter Punkt in einem Dateipfad, erörtern die Apache-Tomcat-Entwickler in einer eigenen Sicherheitsmitteilung. "Die ursprüngliche Implementierung von partiellem PUT verwendete eine temporäre Datei, die einen vom Benutzer angegebenen Dateinamen und -pfad verwendete, wobei das Pfad-Trennzeichen durch einen Punkt '.' ersetzt wurde", fassen sie das Problem dort zusammen (CVE-2025-24813, CVSS 9.8, Risiko "kritisch").

Die Entwickler geben als Lösung an, dass Admins auf die fehlerkorrigierten Apache-Tomcat-Versionen 9.0.99, 10.1.35 sowie 11.0.3 oder neuere aktualisieren sollen. Das dichtet die Sicherheitslecks ab.

Ein Exploit wurde vor etwa drei Wochen veröffentlicht, der den Missbrauch der Schwachstelle demonstriert. Ob die beobachteten Angriffe auf Apache-Tomcat-Server darauf fußen, ist jedoch unklar. Admins sollten die verfügbaren Software-Updates jedoch umgehend installieren, sofern das noch nicht geschehen ist.

In dem beliebten, weil preisgünstigen Roboterhund Unitree Go1 klaffen zwei Sicherheitslücken. Angreifer könnten sie dazu nutzen, um den Roboter zu übernehmen und aus der Ferne zu steuern. Bei einigen Einsatzzwecken, wie etwa militärischen Anwendungen, wäre das fatal.

Der Roboterhund Go1 ist aufgrund seines niedrigen Preises ab etwa 2700 US-Dollar ein beliebter vierbeiniger Roboter und wird gerne zu Forschungszwecken verwendet. Aber auch das Militär hat seinen Wert erkannt, wie etwa das U.S. Marine Corps, das den Roboter im Jahr 2023 testweise mit einem Maschinengewehr ausgestattet hat, um mit ihm gepanzerte Fahrzeuge aus der Ferne zu bekämpfen und ihn in urbanen Gebieten für den Orts- und Häuserkampf zu verwenden.

Der Go1 benutzt einen Raspberry Pi für einen Teil der Robotersteuerung. Beim Booten stellt er eine Verbindung zu dem Fernwartungsdienst Cloudsail über einen automatischen Start her. Mit einem API-Schlüssel des Herstellers ist darüber ein Zugriff auf den Roboter möglich, sofern der Schlüssel den Angreifern bekannt ist. Die Steuerung des Roboters kann so über diese Backdoor übernommen werden, wie ein Sicherheitsspezialist in einem Video auf GitHub zeigt. Besitzer des Go1 wissen von diesem undokumentierten aktiven Fernwartungsdienst nichts. Die Sicherheitslücke ist mit dem Schweregrad "mittel" ausgewiesen und hat den Wert 6.6, steht also kurz vor einem hohen Schweregrad ab 7 (CVE-2023-2894).

Bereits im Dezember 2023 hat ein Sicherheitsforscher auf diese Sicherheitslücke via X aufmerksam gemacht. Unitree hat darauf sehr spät reagiert und den API-Schlüssel mehr als ein Jahr später zurückgenommen. Security-Spezialisten der Austin Hackers Association (AHA) empfehlen jedoch, den Cloudsail-Dienst auf dem Go1 komplett abzuschalten. Denn auf dem verwendeten Raspberry Pi kann ein Zugriff über eine weitere Backdoor erfolgen. Mit dem Benutzernamen "pi" und dem Passwort "123", die allgemein bekannt sind, ist dann der Zugang möglich. Eine Änderung der Zugangsdaten als Abhilfe ist dagegen wenig hilfreich. Dies soll dazu führen, dass einige Skripte auf den Roboterhund, die auf das Passwort angewiesen sind, nicht korrekt ausgeführt werden. Der Go1 funktioniert dann nicht einwandfrei.

Das Problem ist derzeit ausschließlich für den Roboterhund Unitree Go1 nachgewiesen. Unitree hat bereits den Nachfolger Go2 auf den Markt gebracht. Bisher ist nicht bekannt, ob dieser Roboter die gleichen Probleme aufweist.

Das kanadische IT-Unternehmen Blackberry meldet schrumpfende Umsätze. Im Ende Februar abgeschlossenen Finanzjahr 2025 hat Blackberry 535 Millionen US-Dollar umgesetzt, fast 30 Prozent weniger als im Finanzjahr davor. Im Laufenden soll es jedenfalls nicht mehr werden, das Management prophezeit einen weiteren Rückgang auf 504 bis 534 Millionen Dollar.

Weil Finanzanalysten deutlich andere Erwartungen hatten, wurde die Blackberry-Aktie nach Bekanntgabe der Finanzzahlen am Mittwoch abgestraft. Zwischenzeitlich lag der Kurs mehr als 20 Prozent unter dem Vortagesschluss, zum Handelsschluss stand immer noch ein Minus von über neun Prozent zu Buche. Es ist der erste Jahresbericht, für den Blackberry-CEO John J. Giamatteo zur Gänzeverantwortlich ist.

Blackberry (vormals Research in Motion, RIM) ist schon lange nicht mehr im Smartphone-Geschäft, sondern hat zwei Geschäftsbereiche: Software für das Internet der Dinge samt vernetzten Kraftfahrzeugen (QNX) sowie Software für IT-Sicherheit (Secure Communications). Zusätzlich lizenziert die Firma ihr Portfolio aus Immaterialgüterrechten.

Die Lizenzeinnahmen sind besonders stark betroffen. Der Jahresumsatz ist um 90 Prozent auf 26,3 Millionen Dollar eingebrochen. Für das laufende Jahr erwartet Blackberry um die 24 Millionen Dollar, also noch einmal rund ein Zehntel weniger.

Der Umsatz mit IT-Sicherheitslösungen ist um vier Prozent auf 272,6 Millionen Dollar gefallen. Der Trend verstärkt sich, nicht zuletzt, weil Blackberry im Dezember die Tochterfirma Cylance verkauft hat, aber auch weil viele Kunden den Sparstift gerade bei der IT-Sicherheit ansetzen. 230 bis 240 Millionen Dollar Umsatz sollen es im Finanzjahr 2026 werden.

Experten stellen dem deutschen Gesundheitswesen oft ein schlechtes Zeugnis bei der IT-Security aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in einer jetzt veröffentlichten Bestandsaufnahme des Jahres 2024 zu einem anderen Schluss: Insgesamt sei “das Niveau der Informationssicherheit im digitalen Gesundheitswesen grundsätzlich als positiv zu bewerten". Und das, "obwohl die Gefährdungslage für Digitalisierungsprojekte" zugenommen habe.

"Herausfordernd" sei das vergangene Jahr angesichts der laufenden Digitalisierung des Gesundheitssystems aber schon gewesen, räumt das BSI ein. So war das BSI etwa an der Entwicklung der Sicherheitsarchitektur für die ePA beteiligt. Dabei sei es – teils zusammen mit der für die Telematik-Infrastruktur (TI) zuständigen Gematik – allen Meldungen zu möglichen Schwachpunkten nachgegangen. Dies habe etwa zu Anpassungen in den Spezifikationen geführt.

Auf dem Jahreskongress des Chaos Computer Clubs (CCC) im vergangenen Dezember hatten Sicherheitsforscher diverse Sicherheitsmängel bei der elektronischen Patientenakte (ePA) aufgezeigt. Diese sind in dem vorliegenden Bericht aber nicht berücksichtigt.

Die Sicherheit klassischer Medizinprodukte bewegt sich laut dem Report "auf einem gleichbleibend hohen Niveau", auch wenn eine Untersuchung von Krankenhausinformationssystemen dort gerade Probleme ausgemacht hat. Ein nur schwierig einschätzbarer Bereich ist der Bonner Behörde zufolge die Sicherheit der knapp 140.000 Arztpraxen in Deutschland. Dies liege an der breiten Heterogenität der IT-Ausstattung sowie an nicht vorhandenen standardisierten Meldewegen für Sicherheitsvorfälle.

Dass für Praxen keine einheitliche Hard- und Software beschafft werde, sei prinzipiell von Vorteil für die IT-Sicherheit, stellen die Autoren fest. Entdeckte Sicherheitslücken seien so kaum übertragbar. Zugleich erforderte der bunte IT-Salat aber "ein breites IT-sicherheitstechnisches Verständnis in der jeweiligen Arztpraxis".

Google hat am Dienstag den Geburtstag des E-Mail-Dienstes Gmail gefeiert und in diesem Rahmen angekündigt, dass Enterprise-User ab jetzt vereinfacht Ende-zu-Ende-verschlüsselte E-Mails verschicken können. Und zwar nicht nur an Nutzer aus der eigenen Organisation, sondern an alle. Zunächst handelt es sich noch um einen Beta-Test. Der dürfte aber bald ausgeweitet werden und in finale Entwicklungsstadien übergehen.

In einem Blog-Beitrag zu Google Workspace erörtern zwei Produkt-Manager von Google die Neuerungen. Ende-zu-Ende-Veschlüsselung (End-to-end-encryption, E2EE) ist bislang komplex und verschlingt einige Ressourcen in IT-Abteilungen, die sich etwa mit S/MIME, der Einrichtung und Schlüsselverwaltung herumplagen müssen. Google will E2EE jetzt deutlich vereinfacht und Hürden gesenkt haben. Im Ergebnis können Enterprise-User ab jetzt an alle Empfänger, seien es andere Gmail-Nutzer oder solche mit externen Mail-Providern, voll verschlüsselte E-Mails senden, mit nur wenigen Klicks.

Trotz des gesunkenen Aufwands bleibe die Sicherheit erhalten, erörtern die Autoren. Die neue Funktion wird als Beta-Test phasenweise verteilt. Zunächst ist es damit möglich, E2EE-Mails an andere Nutzer der eigenen Organisation zu schicken. Dann folgt in einigen Wochen die Möglichkeit, an beliebige Gmail-Nutzerinnen und -Nutzer Ende-zu-Ende-verschlüsselte E-Mails zu senden. Später im Jahr sollen Nutzer schließlich E-Mails mit E2EE an jeden Empfänger schicken können.

Laut Google wollen Firmen E2EE-E-Mails verschicken, hätten jedoch wenige Ressourcen zur Umsetzung. S/MIME ist ein standardisiertes Protokoll dafür, erfordert jedoch den Kauf und die Verwaltung von Zertifikaten und das Zuteilen zu den einzelnen Nutzern. Endnutzer müssten zudem herausfinden, ob Empfänger S/MIME konfiguriert haben, und schließlich auch noch Zertifikate mit ihnen austauschen – fehleranfällig und frustrierend, schreiben die Google-Mitarbeiter. Alternativen zu S/MIME wie proprietäre Lösungen von Mail-Anbietern wären ebenfalls kompliziert, erforderten Schlüsseltausch und so weiter.

Die Lösung von Google soll viel einfacher sein. Mit nur wenigen Klicks verschlüsselt Google die E-Mails, egal, an wen sie gehen, ohne Schlüsseltausch oder zusätzliche Software. Die Schlüssel bleiben unter der Kontrolle der Nutzer und stehen den Google-Servern nicht zur Verfügung; die IT-Abteilung muss sich aber auch nicht um S/MIME-Konfiguration oder Zertifikatsverwaltung kümmern.

Ermittlern ist ein Schlag gegen eine internationale Plattform zur Verbreitung pädokrimineller Inhalte gelungen: Die Darknet-Streamingseite "Kidflix" ist offline. Dort boten Kriminelle gegen Bezahlung mit Kryptowährungen über 90.000 Videos an. Das Dezernat Cybercrime beim Bayerischen LKA hat die Plattform mit Unterstützung internationaler Kollegen abgeschaltet. Weltweit wurden in der "OP Stream" 1400 Verdächtige identifiziert und 79 Personen festgenommen.

Der koordinierte Schlag gegen die Nutzer der Plattform begann am 10. März 2025 mit weltweiten Durchsuchungen, Beschlagnahmungen und Festnahmen – allein zwölf Tatverdächtige wohnen in Bayern. Einen Tag später, am 11. März, beschlagnahmten niederländische Ermittler den Kidflix-Server, der zu diesem Zeitpunkt 72.000 Videos anbot.

Zwar stellten die Strafverfolger Datenträger, Mobiltelefone, PCs und andere Tatmittel sicher, konnten die Administratoren von Kidflix jedoch noch nicht dingfest machen. Diese hatten rund um kinderpornographische Videos ein Geschäftsmodell aufgebaut: Zwar gab es auch Gratis-Videos, doch hochauflösendes Material stand nur gegen Bezahlung zur Verfügung. In einer beschlagnahmten Krypto-Wallet fanden die Ermittler nach Spiegel-Informationen Guthaben im Gegenwert von fast 200.000 Euro.

Neben der Fahndung nach den Kidflix-Admins steht nun der Opferschutz im Mittelpunkt: Neben dem BLKA arbeiten auch das Bundeskriminalamt (BKA) und Europol daran, möglichst viele der minderjährigen Opfer zu identifizieren und vor weiterem Mißbrauch zu schützen. Erste Erfolge haben sie bereits erzielt: So ging in den USA ein Verdächtiger ins Netz, der ein ihm bekanntes Kind mehrfach mißbraucht haben soll.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Wer Datenverkehr in Netzwerken mit Zabbix überwacht, sollte aus Sicherheitsgründen eine aktuelle Version des Tools installieren. Sonst könnten Angreifer im schlimmsten Fall Schadcode ausführen, um Systeme zu kompromittieren.

Den Entwicklern zufolge wurde der Großteil der Schwachstellen über das Bug-Bounty-Programm von Hackerone eingereicht. Ausführlichere Informationen zu den Lücken finden Admins in den unterhalb dieser Meldung verlinkten Warnmeldungen. Dort sind auch die konkret bedrohten Ausgaben des Netzwerkmonitoringtools aufgeführt.

Am gefährlichsten gilt eine Schwachstelle (CVE-2024-36465 "hoch") in Zabbix API. Hier könnte ein Angreifer mit einem regulären Nutzerkonto ansetzen, um eigene SQL-Befehle auszuführen. Außerdem sind Reflected-XSS-Attacken (CVE-2024-45699 "hoch") möglich. Über diesen Weg können Angreifer Schadcode in Form einer JavaScript-Payload ausführen.

Darüber hinaus sind noch DoS-Attacken (CVE-2024-45700 "mittel") und unberechtigte Zugriffe möglich (CVE-2024-36469 "niedrig", CVE-2024-42325 "niedrig").

Diese Versionen sind gegen die geschilderten Attacken gerüstet. Noch gibt es keine Berichte zu aktiven Angriffen.

Einrichtungen des Gesundheitswesens sind vermehrt Cyberbedrohungen ausgesetzt. Das betrifft längst nicht mehr nur Krankenhäuser, sondern ebenso die kleineren ambulanten Leistungserbringer bis hin zur örtlichen Hausarztpraxis. Auch der Gesetzgeber hat das 2019 erkannt und mit dem Digitale-Versorgung-Gesetz eine Vorschrift zur "IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung" eingeführt. Sie ist heute im § 390 SGB V (Fünftes Sozialgesetzbuch) zu finden. Der Gesetzgeber hat dort die Kassenärztlichen und Kassenzahnärztlichen Bundesvereinigungen (KBV und KZBV) dazu verpflichtet, die Anforderungen zur Gewährleistung der IT-Sicherheit in einer Richtlinie zu konkretisieren. Die KBV hat ihre Richtlinie nun am 1. April 2025 aktualisiert.

Die ersten KBV- und KZBV-Richtlinien wurden 2020 veröffentlicht. Der gesetzlich vorgeschriebene Überarbeitungsturnus von zwei Jahren wurde bislang nicht eingehalten. Erst am 1. April 2025 wurde die Überarbeitung der KBV-Richtlinie veröffentlicht, die in weiten Teilen aber bereits ab dem Folgetag gilt. Für die neu hinzugekommenen Anforderungen räumt die Richtlinie eine Vorbereitungszeit ein – die betroffenen Praxen haben bis zum 1. Oktober 2025 Gelegenheit, diese umzusetzen. Die Erneuerung der KZBV-Richtlinie ist auch demnächst zu erwarten.

Die KBV-Richtlinie enthält insgesamt fünf Anlagen mit umfangreichen Detailregelungen, die den Stand der Technik in der IT-Sicherheit wiedergeben sollen. Nur wenige Leistungserbringer müssen jedoch sämtliche Anlagen beachten – welche Anlagen ein Leistungserbringer tatsächlich befolgen muss, richtet sich nach seiner Größe. Alle Leistungserbringer haben dabei die Basis-Anforderungen der Anlage 1 sowie die Anforderungen an die Telematik-Infrastruktur der Anlage 5 einzuhalten. Für mittlere und große Praxen sowie bei Nutzung von Großgeräten gelten auch die weiteren Anlagen.

Die neue KBV-Richtlinie legt einen verstärkten Fokus auf den Sicherheitsfaktor "Mensch". Unabhängig von ihrer Größe sollen Praxen gezielte Maßnahmen zur Sensibilisierung ihrer Mitarbeitenden für die IT-Sicherheit ergreifen und so die "Security-Awareness" steigern. Die KBV-Richtlinie nimmt hierfür die Praxisleitung in die Pflicht, von der ein gesteigertes Bewusstsein für Sicherheitsfragen verlangt wird. Ihr kommt eine Vorbildfunktion zu: Die Praxisleitung muss sämtliche Schulungsmaßnahmen und Sicherheitskampagnen unterstützen.

Besondere Bedeutung misst die neue KBV-Richtlinie zudem der Bildung von IT-Kompetenzen zu. Mitarbeitende und auch externe Benutzer sind in den sicheren Umgang mit IT-Komponenten einzuweisen und für Risiken zu sensibilisieren. Mitarbeitende sollen zudem hinsichtlich ihrer Aufgaben und Verantwortlichkeiten in Informationssicherheitsthemen geschult werden. Zusätzlich empfiehlt es sich, dass sich auch die Leitungsebene selbst über Schulungen die Fachkenntnisse in diesem Bereich sichert, um ihren Aufgaben nachkommen zu können – die Richtlinie sieht hierzu jedoch keine Pflicht vor.

In Druckertreibern von Canon klafft eine kritische Sicherheitslücke, die Angreifern unter Umständen sogar das Einschleusen und Ausführen von Schadcode ermöglicht. Zudem können aufgrund Sicherheitslecks in der Firmware einiger Drucker Angreifer ebenfalls Codeschmuggel auf die betroffenen Geräte provozieren.

In einer Sicherheitsmitteilung warnt Canon vor dem Sicherheitsleck in den Druckertreibern. "Eine außerhalb-vorgesehener-Speichergrenzen-Schwachstelle wurde in bestimmten Druckertreibern für Produktions-Drucker, Büro- und Small-Office-Drucker sowie Laserdrucker entdeckt, die das Drucken verhindern und/oder möglicherweise das Ausführen beliebigen Codes erlauben kann, wenn das Drucken durch eine bösartige App verarbeitet wird", umschreibt Canon die Lücke etwas hakelig.

Der Fehler kann beim Verarbeiten von EMF durch die Druckertreiber auftreten. EMF-Dateien sind "Enhanced Metafiles", weiterentwickelte WMF-Dateien, die für den High-End-Druck aufgebohrt wurden (CVE-2025-1268, CVSS 9.4, Risiko "kritisch")..

Wie genau die Sicherheitslücke aussieht und wie Admins einen Missbrauch oder den Versuch erkennen können, schreibt Canon nicht. Betroffen sind die Druckertreiber "Generic Plus" PCL6, UFR II, LIPS4, LIPSLX sowie PS bis einschließlich Version 3.12. Auf den lokalen Webseiten von Canon sollen die neuen Druckertreiber zum Herunterladen bereitstehen – etwa bei Canon Deutschland hier.

Bislang unter dem Radar blieben Sicherheitslücken in der Firmware einiger Laserdrucker und Small-Office-Multifunktionsdrucker von Canon. Bereits von Ende Februar stammt eine Sicherheitsmitteilung, in der die Entwickler vor einem Pufferüberlauf in der Firmware warnen. Sofern die Drucker direkt über einen kabelgebundenen oder WLAN-Router mit dem Internet verbunden sind, können Angreifer möglicherweise Schadcode aus der Ferne einschleusen und ausführen oder eine Denial-of-Service-Atacke ausführen. Drei CVE-Nummern zu den Schwachstellen nennt Canon, CVE-2024-12647, CVE-2024-12648 und CVE-2024-12649. Das japanische CERT kommt zu einer Risikoeinschätzung als "kritisch" mit einem CVSS-Wert von 9.8.

Die Kriminalität im digitalen Raum beschäftigt Bundes- und Länderpolizeien weiter intensiv. Das geht aus der heute vorgelegten Polizeilichen Kriminalstatistik (PKS) hervor, die Bundesinnenministerin Nancy Faeser (SPD), der Präsident des Bundeskriminalamtes Holger Münch und der Bremer Innensenator Ulrich Mäurer für die Landesinnenminister heute Morgen in Berlin vorstellten.

131.391 Mal wurden Straftaten wie Computerbetrug, also etwa der Verwendung fremder Daten mit dem Ziel, dadurch Waren, Dienstleistungen oder andere Vermögensvorteile zu erlangen, oder Computersabotage – darunter fallen etwa Verschlüsselungstrojaner – polizeilich erfasst, die aus dem Inland begangen wurden. Damit sank diese Zahl um 3.016 Fälle gegenüber dem Vorjahr. Knapp ein Drittel dieser Fälle wurde aufgeklärt. Doch dabei werden nur jene Fälle gezählt, bei denen mindestens ein Tatverdächtiger sich im Inland befindet.

Zugleich aber stieg die Zahl der Cybercrime-Taten aus dem Ausland weiter an, auf nunmehr 201.877 Fälle, erläuterte BKA-Präsident Holger Münch am Mittwochvormittag: "Wenn wir die Auslandsstraftaten betrachten, haben wir einen Anstieg um 6 Prozent." Und deren Aufklärungsquote ist mit 2,2 Prozent verschwindend gering. Münch erklärt das damit, dass dabei sowohl die Ermittlung als auch die Zusammenarbeit mit den Herkunftsstaaten der Täter bei der Verfolgung ausgesprochen schwierig sei.

Da es sich bei vielen dieser Fälle um Kriminalität handele, die Call-Center-artig Gewinnversprechungen mache, sehe er hier als zielführende Möglichkeiten vor allem die Prävention über eine Sensibilisierung der Öffentlichkeit. Dazu sei der Fokus der Ermittlungsarbeit hier ein anderer, so Münch: "Weniger um den Einzelfall kümmern, wir müssen uns eher auf die Strukturen konzentrieren."

Eine kleine positive Nachricht enthält die Polizeiliche Kriminalstatistik für das Jahr 2024 zudem im Bereich der Darstellungen sexuellen Missbrauchs von Kindern: Die Zahl der Fälle sank um 5,2 Prozent auf 42.854. Dem gegenüber steht ein weiterer Anstieg der Verbreitung, des Erwerbs, Besitzes und der Herstellung jugendpornografischer Inhalte.

Angreifer können an mehreren Schwachstellen in der Geräteverwaltungssoftware Dell Wyse Management Suite ansetzen und auf eigentlich abgeschottete Informationen zugreifen oder sogar Schadcode ausführen.

In einem Beitrag listen die Entwickler die in der Ausgabe 5.1 geschlossenen Sicherheitslücken auf. Alle vorigen Versionen sollen verwundbar sein. Mehrere ältere Schwachstellen betreffen die Komponente MongoDB. Hier sind unter anderem DoS-Attacken möglich (CVE-2022-4904, Risiko "hoch").

Die verbleibenden Lücken betreffen die Geräteverwaltungssoftware direkt. An dieser Stelle könnte etwa ein Angreifer mit Fernzugriff ohne Authentifizierung ansetzen, um Informationen einzusehen (CVE-2025-29981, Risiko "hoch").

Für die weiteren Schwachstellen gilt der Bedrohungsgrad "mittel". Hier sind unter anderem DoS-Angriffe (CVE-2025-27694) und Schadcode-Attacken (CVE-2025-27692) vorstellbar. Ob es bereits Attacken gibt, geht aus Dells Meldung nicht hervor. Unklar bleibt auch, an welchen Parametern Admins bereits erfolgte Angriffe erkennen können.

Wenn User ihr Betriebssystem schnell aktualisieren, hat das viele Vorteile: Sie erhalten neue Features sofort und sind auch in Sachen Sicherheit auf dem aktuellen Stand. Dennoch gibt es einige Gründe, Updates auszusitzen: Seien es etwa Inkompatibilitäten mit bestehenden Anwendungen, unerwünschte Änderungen durch den Hersteller oder die Tatsache, dass manch größeres Update ältere Geräte langsamer laufen lassen kann. Apple versucht nun allerdings, Nutzer stärker dazu zu bringen, automatische Updates zu aktivieren. Wer bei der Installation von iOS 18.4, das am Montag erschienen war, nicht aufpasst, bekommt die Funktion aufgedrückt. Auch zuvor schon hatte Apple hier teilweise versucht, mit entsprechender Bedienführung dafür zu sorgen, dass das Auto-Update "freiwillig" aktiviert wird.

Bei iOS 18.4 läuft dies allerdings noch einen Zacken schärfer. Ist die Aktualisierung abgeschlossen, erscheint das in großer Schrift (siehe Aufmacherbild): "Ihr iPhone wurde auf iOS 18.4 aktualisiert." Darunter schreibt der Konzern allerdings noch dies: "Künftige Softwareaktualisierungen werden automatisch geladen und installiert, sobald sie veröffentlicht werden."

Und weiter: Man könne dies "in den Einstellungen für die Softwareaktualisierung" verwalten. Wer an dieser Stelle den großen "Fortsetzen"-Knopf (Continue) drückt, hat das Auto-Update also aktiviert. Wer das nicht möchte, muss den sehr klein gehaltenen Text "Nur automatisch herunterladen" selektieren, wie er oder sie dies vermutlich zuvor aktiviert hatte.

Apple will damit erreichen, dass möglichst die gesamte Nutzerschaft auf das automatische Update geht. Das ist grundsätzlich keine schlechte Idee, doch hat es auch Nachteile. Die wenigsten dürften eine einmal so vorgenommene Einstellung wieder rückgängig machen. Hinzu kommt, dass das Auto-Update nicht unbedingt bedeutet, dass Aktualisierungen wirklich schnell auf dem iPhone landen: Apple rollt sie in Schritten aus. Es kann also durchaus flotter gehen, händisch zu aktualisieren, wenn man ein Update wirklich haben möchte.

Apples Ansatz, Funktionen zu aktivieren, ohne dass Nutzer dies unbedingt wünschen, erinnert an Apple Intelligence. Hier hatte Apple damit begonnen, das KI-System ebenfalls nach Updates automatisch zu aktivieren. Auch diesen "Dienst" wollen nicht alle User haben, zumal er Speicherplatz frisst.