Comretix Blog

Die Bundesregierung will gemeinsam mit Israel ein Zentrum für Cyberabwehr aufbauen und die Kooperation im Bereich Cybersicherheit deutlich ausbauen. Das hat Bundesinnenminister Alexander Dobrindt (CSU) bei einem Besuch vor Ort angekündigt, berichtet unter anderem die Tagesschau. Zusammen mit Israel soll außerdem ein "Cyberdome" entwickelt werden, der Name verweist dabei offenbar auf das israelische System zur Raketenabwehr, das den Namen "Iron Dome" trägt. Dabei geht es Dobrindt demnach auch um den Zivilschutz, um militärische und zivile Verteidigungsfähigkeit zu kombinieren.

Insgesamt hat Dobrindt demnach fünf konkrete Punkte aufgezählt, bei denen in Bezug auf Cybersicherheit und Sicherheit allgemein stärker mit Israel kooperiert werden soll. Neben der Zusammenarbeit bei der Cyberabwehr mit Israel, das in diesem Bereich als besonders fortschrittlich gilt, geht es dem Bericht zufolge auch um Drohnenabwehr. Auch hier soll die Expertise aus Israel helfen. Zudem sollen der Bevölkerungsschutz und das öffentliche Warnsystem ausgebaut werden, hier hat Israel ebenfalls eine Menge Erfahrung. Darüber hinaus soll die Zusammenarbeit zwischen den Geheimdiensten vertieft werden. Schließlich geht es um den Plan eines gemeinsamen Zentrums für Cyberabwehr.

Israel hat im Bereich Cybersicherheit und Bevölkerungsschutz viel Erfahrung, das Land ist immer wieder direkten Angriffen ausgesetzt – zuletzt unter anderem auch durch ballistische Raketen aus Iran, nachdem Israel die Islamische Republik angegriffen hat, um die Entwicklung von Atomwaffen zu behindern. Dobrindt hat jetzt in Israel die Kleinstadt Bat Jam südlich von Tel Aviv besucht, wo eine solche Rakete erhebliche Schäden angerichtet und mehrere Menschen getötet hat. Dort gebe es weit und breit keine militärischen Einrichtungen, hat Israels Außenminister Gideon Sa’ar demnach versichert. Inzwischen gilt der Krieg zwischen beiden Staaten als beendet.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.

Die Folgen eines Cyberangriffs auf den Pathologiedienstleister Synnovis im Juni 2024 werden immer deutlicher, wie aktuelle Untersuchungen zeigen. Demnach trug der Angriff – der zahlreiche Londoner Klinken massiv beeinträchtigt hatte –, auch zum Tod eines Patienten bei. Darüber berichtete unter anderem die BBC.

Laut NHS England liegt in diesem Fall ein "serious incident" vor, da Blutergebnisse durch die IT-Störung nicht rechtzeitig bereitgestellt werden konnten. Das führte nachweislich zu einer Verzögerung der Patientenversorgung und damit zum Tod eines Patienten. Die offiziellen Leitlinien betonen, dass auch "unbeabsichtigte oder unerwartete Vorfälle, Handlungen oder Unterlassungen, die zu Schaden oder Todesfällen führen", als schwerwiegende Sicherheitsvorfälle einzustufen sind.

Da der Tod des Patienten direkt auf die durch den Cyberangriff verursachte Verzögerung zurückzuführen ist, sind demnach eindeutig die Kriterien eines schwerwiegenden Vorfalls infolge eines "externen Ereignisses" im Gesundheitswesen erfüllt: "Acts and/or omissions occurring as part of NHS-funded healthcare [...] that result in: unexpected or avoidable death of one or more people."

Die verspätete Bereitstellung der Blutergebnisse wird als wesentlicher Hauptfaktor unter mehreren Ursachen angesehen, die letztlich zum Tod des Patienten beigetragen haben, wie auch das HIPAA Journal berichtet – ein Fachblatt für Datenschutz und IT-Sicherheit im Gesundheitswesen. Damit wäre das der erste Todesfall in Europa, der konkret mit Ransomware als Ursache in Zusammenhang gebracht wird.

Der Angriff, der der Cyberkriminellengruppe Qilin zugeschrieben wird, legte zentrale IT-Systeme lahm und führte dazu, dass zahlreiche Londoner Krankenhäuser ihre Dienstleistungen stark einschränken mussten. Mehr als 10.000 ambulante Termine und über 1.700 geplante Eingriffe, darunter auch lebenswichtige Behandlungen wie Organtransplantationen und Krebstherapien, mussten verschoben werden.

Als Wake-up-Call für die Techbranche, Regierungen und User hatte WhatsApp Chef Will Cathcart die NSO-Attacken vor Jahren bezeichnet. Es folgte ein Rechtverfahren, im Mai 2025 sprach die erste Instanz Meta 168 Millionen US Dollar Schadenersatz zu. Trotzdem wächst die Spyware-Branche munter weiter, warnten Nichtregierungsorganisation aus Lateinamerika und Afrika bei der 20. Ausgabe des Internet Governance Forum (IGF) der Vereinten Nationen. Die Veranstaltung fand in dieser Woche im norwegischen Lillestrøm nahe Oslo statt.

Über 500 Firmen vertreiben Spyware an mindestens 65 Regierungen weltweit – die Geschäfte laufen prächtig, sagte Nighat Dad, Organisatorin eines IGF-Panels zum Thema. In den Industrieländern werde seit dem Pegasus-Schock zwar über Ethik, bessere Aufsicht und gesetzgeberische Schritte diskutiert, so die Gründerin der pakistanischen Digital Rights Foundation.

"Im globalen Süden blüht die Spyware-Branche auf und trifft hier auf unzureichenden rechtlichen Schutz, auf einen autoritären Impetus und auf die gezielte Einschränkung öffentlicher Räume," warnt die Juristin.

Mit der Aufarbeitung der NSO-Umtriebe ist es nicht getan, unterstrichen Apar Gupta, Gründer der indischen Internet Freedom Foundation (IFF), Ana Gaita von der mexikanischen Bürgerrechtsorganisation Red en Defensa de los Derechos Digitales (R3D) und Mohamed Najem von der vom Libanon für den arabischen Raum arbeitenden SMEX.

Bei SMEX beobachtet man nach großen Investitionen der Golfstaaten in die NSO inzwischen einen regelrechten Boom von Spyware-Start-ups. Aus den Vereinigten Arabischen Emiraten werde Spyware etwa an die Krieg führenden Rapid Support Forces im Sudan geliefert, so Najem.

Im vergangenen Jahr hatte CrowdStrike Millionen Windows-Systeme mit einem Update lahmgelegt. Langsam mahlen die Mühlen der Bürokratie – doch nun dringen die geplanten Änderungen zur künftigen Vermeidung solcher Vorfälle immer weiter auf die Geräte im Einsatz vor. Nun kündigt Microsoft einen weiteren Schritt an: Antivirensoftware darf nicht mehr in den Windows-Kernel langen.

Das kündigt Microsoft in einem Blog-Post zum aktuellen Stand der auf Microsoft-Hausmesse Ignite 2024 gegründeten "Windows Resiliency Initiative" (WRI) an. Einer der neuen Mechanismen soll den Windows-Start auch dann ermöglichen, wenn Boot-Probleme auftreten. In den Windows-Vorschau-Versionen für Insider ist die Quick Machine Recovery (QMR), die in solchen Fällen die Windows Recovery Environment (Windows RE) startet, bereits seit April des Jahres im Test.

Die QMR soll "später im Sommer allgemein verfügbar" werden, kündigt Microsoft dort an. Sie kommt für alle Windows-11-Geräte auf Stand 24H2 und soll auf Home-Geräten standardmäßig aktiv sein. IT-Admins behalten hingegen die volle Kontrolle darüber.

Das bedeutet jedoch auch weitreichende Änderungen für IT-Sicherheitssoftware in Windows. Eine weitere gegründete Initiative nennt Microsoft die "Microsoft Virus Initiative (MVI)", in der die Redmonder zusammen mit Partnerunternehmen Möglichkeiten ausloten, die Windows-Plattform zu verbessern, um das Ziel der verbesserten Resilienz ohne Verluste bei der Sicherheit zu erreichen. Inzwischen sind die Teilnehmer nun beim "MVI 3.0-Programm" angelangt, die bestimmte Aktionen seitens der Partnerunternehmen vorsehen.

Dazu gehört das Aufsetzen und Testen eines Vorfall-Reaktions-Prozesses und das Befolgen von sicheren Verteilpraktiken (Safe Deployment Practices, SDP) für Updates für Windows-Endgeräte. "Sicherheitsproduktupdates müssen schrittweise in Verteil-Ringen erfolgen und Überwachung einsetzen, um negative Einflüsse zu minimieren", erklärt Microsoft. Das passe sich in die Microsoft-Plattformen ein – so geht etwa auch Microsoft Autopatch für Windows Updates vor. Das führe zu größerer Stabilität, schnellerer Wiederherstellung und reduzierten Risiken im Einsatz bei Enterprise-Kunden, die sich auf eine sichere und verlässliche Windows-Umgebung stützen.

Kriminelle geben sich derzeit wiederholt am Telefon als PayPal aus und behaupten, auf Ihrem Konto stehe eine hohe Überweisung bevor. Meist wird eine hohe Summe genannt. Am anderen Ende spricht eine Computerstimme. Oft wird von einer unterdrückten Nummer angerufen, in jüngsten Fällen waren aber auch Telefonnummern erkennbar.

Die Computerstimme fordert dazu auf, eine Taste zu drücken, um die angebliche Zahlung zu stoppen. Wer das tut, wird mit einer echten Person verbunden, die versucht, an persönliche Daten wie Bankinformationen oder E-Mail-Adressen zu gelangen – oder sogar Geldtransfers auszulösen. Die Methoden, die die Betrüger anwenden, variieren. Die Kriminellen versuchen es oft nicht nur auf einem Weg, daher sollten Nutzer bei ungewöhnlichen Anrufen oder Nachrichten aufmerksam sein.

Doch PayPal und andere Unternehmen kontaktieren Kunden auf diese Weise nicht. Solche Anrufe sind immer ein Betrugsversuch. Daher sollten Sie am besten auflegen und keine Daten preisgeben. Sie können Ihr Konto direkt in der offiziellen App oder auf der Webseite prüfen. Bei Unklarheiten können Sie den Kundenservice über den offiziellen Kanal kontaktieren. Erst Anfang des Jahres und im Mai traten derartige Fälle vermehrt auf.

Die Verbraucherzentrale warnte im Juni vor Phishing-Versuchen, die gezielt Kundinnen und Kunden von Banken, Online-Diensten und Versandunternehmen ansprechen. Die Betrüger versuchen, an persönliche Daten und Zugangsdaten zu gelangen. Bei DHL wird beispielsweise behauptet, eine Lieferung könne wegen einer fehlerhaften Adresse nicht zugestellt werden. Deutsche-Bahn-Kunden hingegen ködern Betrüger mit Rückerstattungen. Phisher versuchen außerdem, an die Daten von Netflix und ING zu gelangen. Auch Apo-Bank-Kunden müssen vorsichtig sein.

Microsofts erste Secure-Boot-Zertifikate laufen ab Juni 2026 ab. Damit Systeme mit Secure Boot startbar bleiben, müssen sie bis dahin aktualisierte Zertifikate erhalten. "Bereite dich auf das erste globale, großflächige Secure-Boot-Zertifikat-Update vor", warnt Microsoft daher nun. Das betrifft nicht nur Windows-Systeme, sondern auch solche mit anderen Betriebssystemen wie Linux oder macOS.

In einem Blog-Beitrag erörtert Microsoft die Folgen des Zertifikatsablaufs und gibt Hinweise, wie Admins sich unter Windows behelfen können. Zusammenfassend eröffnet Microsoft: "Die Microsoft-Zertifikate, die in Secure Boot verwendet werden, sind die Vertrauensbasis für die Sicherheit des Betriebssystems, und alle laufen ab Juni 2026 aus. Um automatisch und rechtzeitig Updates für neue Zertifikate für unterstützte Windows-Systeme zu erhalten, müssen Sie Microsoft die Verwaltung Ihrer Windows-Updates überlassen, zu denen auch Secure Boot gehört." Für Microsoft ist daher auch eine enge Zusammenarbeit mit Original Equipment Manufacturers (OEMs) wichtig, die Secure-Boot-Firmware-Updates verteilen sollen.

Wer noch keine Option zur Verteilung der aktualisierten Zertifikate gewählt hat, sollte damit nun damit anfangen, rät Microsoft. Secure Boot soll verhindern, dass Schadsoftware bereits früh im Bootvorgang von Rechnern startet. Es ist mit dem UEFI-Firmware-Signierprozess verknüpft. Secure Boot setzt dabei auf kryptografische Schlüssel, die als Certificate Authorities (CA) bekannt sind, um zu verifizieren, dass Firmware-Module aus vertrauenswürdigen Quellen stammen. Im Juni 2026 fangen die Secure-Boot-Zertifikate – die Bestandteil des Windows-Systems sind – nach 15 Jahren an, auszulaufen. Windows-Geräte benötigen daher neue Zertifikate, um weiter zu funktionieren und geschützt zu sein, erklärt Microsoft.

Betroffen sind physische und virtuelle Maschinen mit unterstützten Versionen von Windows 10, Windows 11 und Windows Server 2025, 2022, 2019, 2016, 2012 sowie 2012 R2, mithin alle Systeme, die seit 2012 veröffentlicht wurden, einschließlich der Long-Term-Servicing-Channels (LTSC). Neuere Copilot+-PCs, die seit 2025 herausgekommen sind, haben bereits neuere Zertifikate.

Zu den betroffenen Systemen gehört auch macOS – das liege jedoch außerhalb des Microsoft-Support-Bereichs. Für Dual-Boot-Systeme mit Linux und Windows soll das Windows-Betriebssystem die Zertifikate aktualisieren, auf die Linux angewiesen ist.

Angreifer haben derzeit eine "kritische" Sicherheitslücke in Citrix NetScaler ADC und Gateway im Visier und attackieren Instanzen. Sicherheitsupdates sind verfügbar. Für einige Versionen ist aber der Support ausgelaufen.

In einer Warnmeldung erläutern die Entwickler, dass die folgenden Versionen über die Schwachstelle (CVE-2025-6543 / EUVD-2025-19085, CVSS 9.2, Risiko "kritisch") angreifbar sind:

Die Ausgaben 13.1-37.236-FIPS und NdcPP, 13.1-59.19 und 14.1-47.46 sind gegen die laufenden Attacken abgesichert. Für die Versionen 12.1 und 13.0 ist der Support ausgelaufen und es gibt keine Sicherheitsupdates mehr. Diese Ausgaben bleiben also verwundbar und Admins müssen ein Upgrade auf eine noch unterstützte Version durchführen.

Admins von On-premise-Instanzen sollten die Updates umgehend installieren. Die von Citrix gemanageten Cloudinstanzen sind eigenen Angaben zufolge bereits abgesichert. Die Entwickler weisen darauf hin, dass Secure Private Access On-Prem- oder Secure Private Access Hybrid-Implementierungen, die NetScaler-Instanzen verwenden, ebenfalls von der Sicherheitslücke betroffen sind.

Die Entwickler führen aus, dass Instanzen nur angreifbar sind, wenn NetScaler als Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) oder AAA-Virtual-Server konfiguriert ist. Ist das gegeben, können Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler auslösen, was zu DoS-Zuständen führt. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt.

Ärzte und Apotheker sollten vorsichtig sein, wenn sie Briefe, E-Mails, SMS oder Anrufe im Namen der Apobank erhalten. Regelmäßig versuchen Betrüger, an Kundendaten zu gelangen, doch die Vorfälle häufen sich derzeit. In E-Mails werden die potenziellen Opfer dazu aufgefordert, persönliche Angaben zu bestätigen. Wie bei Phishing-Mails üblich, steht darin eine Frist, um Druck aufzubauen. Für den Fall, dass Empfänger diese nicht einhalten, drohen die Betrüger mit einer Bearbeitungsgebühr. In einer weiteren Phishing-Mail-Variante ist von "ungewöhnlichen Kontoaktivitäten" die Rede. Darüber berichtete Apotheke Adhoc.

Doch die Betrüger versuchen es auch über das Telefon, wo vermeintliche Apobank-Mitarbeiter von angeblich "auffälligen Buchungen" sprechen. Laut Apotheke Adhoc wurde unter anderem die 0211-5998-8000 angezeigt, also die korrekte Rufnummer der Apobank gespooft. Auf der Website der Apobank warnte das Geldinstitut Ende Mai auch vor Phishing-Mails mit einer "3-Fragen-Umfrage", für deren Teilnahme eine kurzzeitig kostenlose Kontoführung in Aussicht gestellt wurde. Die Betrüger erfragten darin unter anderem IBAN, Geburtsdatum und Telefonnummer. Ebenso warnt die Bank, keine gefälschten apoTAN-Apps herunterzuladen. Laut Apotheke Adhoc sind derzeit zudem auch betrügerische SMS im Umlauf.

Im März warnte die Bank außerdem vor Quishing, bei dem kriminelle Täter Briefe verschicken, auf denen ein QR-Code abgedruckt ist, der einen betrügerischen Link enthält. Die Kassenärztliche Bundesvereinigung (KBV) warnt, "auf keinen Fall" den Aufforderungen in den Briefen zu folgen.

Betrüger versuchen, ihre Opfer dazu zu verleiten, den QR-Code zu scannen und ihre Daten zu verifizieren.

(Bild: KBV)

Angreifer attackieren mehrere Sicherheitslücken in freier Wildbahn, warnt die US-amerikanische IT-Sicherheitsbehörde CISA. Am gefährlichsten sind laufende Angriffe auf die Fernwartungsfirmware in AMI MegaRAC, die etwa in Servern von Asus, Asrock Rack, HPE oder Lenovo steckt. Zudem laufen Angriffe auf Sicherheitslecks in D-Links DIR-859-Routern sowie auf eine uralte FortiOS-Firmware-Hintertür.

In einer Sicherheitsmeldung warnt die CISA vor den laufenden Attacken und erklärt, sie dem "Known Exploited Vulnerabilities"-Katalog, kurz KEV, hinzugefügt zu haben. Für US-Behörden ist das ein Handlungsbefehl, aber auch für IT-Verantwortliche in Deutschland, Österreich und der Schweiz sollte das ein Weckruf sein, Gegenmaßnahmen wie Firmware- und Software-Updates auszuführen.

Die bereits attackierte Sicherheitslücke in der Fernwartungsfirmware AMI MegaRAC wurde Mitte März bekannt. Diese Firmware läuft auf Baseboard Management Controllern (BMCs) von Servern unter anderem von Asus, Asrock Rack, HPE und Lenovo. Sie hat den maximalen CVSS-Wert 10.0 von 10 erreicht, gilt daher als höchst kritisches Risiko. Sie steckt dort in einem Modul für die Fernwartungs-API Redfish und wurde daher als "Redfish Authentication Bypass" bezeichnet: Es lässt sich die Anmeldung der Fernwartung umgehen (CVE-2024-54085 / EUVD-2024-54252, CVSS 10.0, Risiko "kritisch"). AMI hat den Serverherstellern Informationen und Patches bereitgestellt, diese mussten sie jedoch erst in ihre Firmwares einbauen und Admins die Aktualisierungen schließlich auch anwenden.

Das ist offenbar zumindest in Teilen nicht geschehen, sodass Server-Systeme mit AMI MegaRAC auch jetzt noch verwundbar sind. Möglicherweise haben Admins auch die "Best Practices" ignoriert oder übersehen, dass die BIOS-Einstellungen die Fernwartung standardmäßig aktivieren und zugleich Zugriff über die für Nutzdaten gedachten Netzwerkbuchsen aktivieren, anstatt sie lediglich für ein separates Wartungsnetzwerk einzuschränken. Diese sind zudem in vielen Fällen sogar im Internet exponiert.

Außerdem steht eine Schwachstelle in den D-Link-Routern DIR-859 unter Beschuss, die der Hersteller abweichend vom CVSS-Wert Anfang 2024 als kritisch eingestuft hat (CVE-2024-0769 / EUVD-2024-16557, CVSS 5.3, Risiko "mittel"). Sicherheitslücken in diesen Routern wurden jedoch bereits Mitte 2023 attackiert, vom Mirai-Botnet. Erschreckende Erkenntnis: Bereits damals waren die Geräte am End-of-Life angelangt und sollten durch noch vom jeweiligen Hersteller unterstützte Hardware ersetzt werden. Offenbar setzen einige Organisationen sie aber immer noch ein.

Sommer, Hitze, (etwas) kürzere Podcast-Episode – doch die Themen sind alles andere als heiter: In Folge 137 des c't-Datenschutz-Podcasts sprechen Redakteur Holger Bleich und Verlagsjustiziar Joerg über aktuelle Fälle und Urteile. Ein Fall aus Niedersachsen führt direkt zu akustischem Kopfschütteln: Eine öffentlich zugängliche, schwenkbare Webcam filmte einen FKK-Strand und übertrug die Bilder live ins Netz – ohne Hinweis für die Besucher. Die niedersächsische Datenschutzbehörde griff ein, ließ die Bilder verpixeln und prüft ein Bußgeld.

Ebenfalls aus Niedersachsen stammt das "Nicht-Bußgeld der Woche": Weil ein Staatsanwalt in Hannover vergaß, eine Beschwerde gegen ein Gerichtsurteil zu unterschreiben, verfällt ein gegen den Volkswagen-Konzern erhobenes DSGVO-Bußgeld von satten 4,3 Millionen Euro. Diese Summe entgeht nun der Landeskasse. Ein Sprecher der Staatsanwaltschaft Hannover spricht von einer "Verkettung unglücklicher Umstände".

Im Zentrum der Podcast-Folge steht ein jetzt schriftlich veröffentlichtes Urteil des Oberlandesgerichts (OLG) Köln: Meta darf öffentliche Facebook- und Instagram-Postings für das Training seiner Sprach-KI verwenden. Die Verbraucherzentrale NRW hatte versucht, das mit einer einstweiligen Verfügung zu verhindern, ist aber gescheitert. Das Gericht sieht ein berechtigtes Interesse von Meta am KI-Training und argumentiert, dass die Daten ohnehin öffentlich sind. Außerdem habe Meta Maßnahmen zum Schutz der Nutzer ergriffen und eine – wenn auch schwer auffindbare – Widerspruchsmöglichkeit angeboten.

Doch die Entscheidung bleibt umstritten. Eine Syndikusanwältin der Verbraucherzentrale kritisierte in einem Kommentar an die Auslegungssache, dass das Gericht den Digital Markets Act (DMA) der EU nicht ausreichend berücksichtigt habe. Nach Lesart der Verbraucherzentrale hätte Meta für die Zusammenführung von Daten aus verschiedenen Plattformen eine ausdrückliche Einwilligung der Nutzer gebraucht. Das OLG Köln sieht das anders und meint, beim KI-Training würden keine personenbezogenen Daten gezielt zusammengeführt, sondern Daten lediglich in einen großen Trainingspool geworfen.

Die Moderatoren sehen dies als Anzeichen dafür, dass die Rechtslage rund um KI und Datenschutz weiterhin völlig offen ist. Sie diskutieren, ob Nutzer wirklich ausreichend informiert wurden und ob frühere Facebook-Postings für neue Zwecke wie KI-Training genutzt werden dürfen. Einig sind sie sich: Diese Fragen werden Gerichte, Gesetzgeber und Datenschützer noch lange beschäftigen, weil KI-Training nicht recht in die bestehende EU-Gesetzgebung passt.

Das IT-Sicherheitsunternehmen Rapid7 hat acht Schwachstellen in insgesamt 748 Multifunktionsdruckern, Scannern und Etikettendruckern von fünf verschiedenen Herstellern aufgedeckt. Angreifer könnten sich dadurch die Zugangsdaten zum Gerät selbst und dem angeschlossenen Netzwerk verschaffen. Die betroffenen Unternehmen Brother, Fujifilm, Ricoh, Toshiba und Konica Minolta haben Firmware-Updates bereitgestellt, aber eine Sicherheitslücke kann lediglich manuell umgangen werden. Erst mit neuen Modellversionen wird diese geschlossen.

Die gefährlichste Schwachstelle ist die Umgehung der Authentifizierung (CVE-2024-51978, kritisch), wodurch Angreifer die Kontrolle über das Gerät erlangen können. Ähnlich wie bei den Multifunktionsdruckern Xerox Versalink, die ihre Zugangsdaten preisgegeben haben, basiert das Standard-Kennwort auch bei diesen 748 Geräten auf der Seriennummer. Diese Kennzeichnung kann wiederum durch eine andere Sicherheitslücke (CVE-2024-51977) in den HTTP-, HTTPS- und IPP-Diensten erlangt werden. Die Seriennummer ist aber auch durch PJL- und SNMP-Anfragen herauszufinden, schreibt Rapid7.

Anwender sollten deshalb dringend ein eigenes Passwort anlegen, denn diese Funktion des Standard-Kennworts ist laut Brother nicht per Firmware zu ändern. Das Standard-Kennwort wird während der Produktion automatisch gesetzt. Sollten sich die Angreifer die Zugangsdaten zum Gerät beschafft haben, können sie eigene Passwörter setzen, das Gerät umkonfigurieren oder Funktionen des Geräts nutzen, die autorisierten Nutzern vorbehalten sind.

Andere Schwachstellen (CVE-2024-51979, CVE-2024-51982 und CVE-2024-51983) könnten Angreifer nutzen, um Pufferüberläufe zu produzieren und das Gerät zum Absturz zu bringen. Weitere Sicherheitslücken (CVE-2024-51980 und CVE-2024-51981) erlauben Angreifern Netzwerkfunktionen mit dem Gerät sowie den Zugriff auf Zugangsdaten externer Dienste wie LDAP oder FTP (CVE-2024-51984). Damit könnten Angreifer weiter in das Netzwerk vordringen und möglicherweise sensible Daten abgreifen.

Zu den betroffenen Geräten gehören 689 verschiedene Multifunktionsdrucker, Scanner und Etikettendrucker von Brother, 46 Druckermodelle von Fujifilm, fünf Drucker von Ricoh, zwei Druckermodelle von Toshiba und sechs Modelle von Konica Minolta. Allerdings verkaufen auch andere Hersteller wie Dell die Multifunktionsdrucker von Brother unter der eigenen Marke. So ist der Dell E514dw ein umbenannter Brother MFC-L2700dw mit leichten Modifizierungen. Ob auch die entsprechenden Dell-Modelle diese Schwachstellen besitzen, konnte Rapid7 auf Nachfrage von heise online nicht beantworten. "Uns liegen keine Informationen darüber vor, dass Dell-Modelle betroffen sind", erklärte Stacey Holleran von Rapid7. Entsprechende Anfragen an Brother und Dell sind bislang unbeantwortet.

IT-Sicherheitsforscher beobachten Preissteigerungen bei aktuellen Betrugsmaschen mit Sextortion-E-Mails. Offenbar sind auch die Betrüger inflationsgebeutelt und brauchen mehr Geld.

Davon berichtet Malwarebytes in einem aktuellen Blog-Beitrag. Solche Betrugsmails laufen häufig in Wellen in die Postfächer von Empfängern ein, die IT-Sicherheitsforscher nennen typische Anreden wie "Hello pervert". Die Absender behaupten üblicherweise, die Empfänger bei ihren Online-Bewegungen beobachtet und bei schlüpfrigen Aktivitäten erwischt zu haben, die lieber im Privaten blieben. Im Klartext lauten die Behauptungen meist, dass potenzielle Opfer angeblich beim Anschauen pornografischen Materials erwischt wurden und es Aufnahmen davon gebe, was sie geschaut und dabei gemacht hätten.

Damit die Erpresser diese Aufnahmen nicht an die Leute auf der E-Mail- und Social-Media-Kontaktliste weiterverbreiten, sollen Empfänger ihnen Geld zahlen. Der Tonfall sei allgemein bedrohlich, manipulativ und darauf ausgerichtet, Angst und Dringlichkeit zu provozieren, erklären Malwarebytes Mitarbeiter. Das Unternehmen beobachte, dass diese E-Mails ein großes Problem darstellen, da tausende Besucher wöchentlich auf deren Webseite kommen und Informationen zu Sextortion-Mails suchen. Eine jüngst empfangene Mail fiel den IT-Forschern jedoch besonders auf.

Dort behaupten die Absender, den Empfängern von ihrem eigenen Microsoft-Konto aus die Mail zu senden. Dahinter verbirgt sich die einfache Möglichkeit, Absenderadressen zu fälschen. Der Mailtext macht Verweise auf die Pegasus-Spyware, von der die Opfer sicherlich gehört hätten, die auf Computern und Smartphones installiert werden kann und Hackern ermögliche, die Aktivitäten der Geräteinhaber zu verfolgen. Dabei erlaube die Spyware Zugriff auf Webcam, Messenger, E-Mails und so weiter; das sei auf Android, iOS, macOS und Windows lauffähig. Der Mailtext baut damit bereits Druck auf, dass eine Spyware auf irgendeinem Gerät des Opfers offenbar lauffähig sei.

Weiter behaupten die Täter, bereits vor einigen Monaten diese Spyware auf allen Geräten des Empfängers installiert und danach Einblick in alle Aspekte des Privatlebens erhalten zu haben. Besonders wichtig sei dem Erpresser jedoch, dass er viele Videos "von dir beim Selbstbefriedigen zu kontroversen Pornovideos" gemacht habe. Nach einigen weiteren Volten im Text geht es um eine Ablasszahlung: Für 1650 US-Dollar in Litecoin (LTC), die Opfer auf die Kryptowallet des Betrügers transferieren sollen, lösche er alle Videos und deinstalliere die Pegasus-Spyware. Schließlich bauen die Betrüger zeitlichen Druck auf und geben den Opfern 48 Stunden Zeit.

Teamviewer warnt vor einer Sicherheitslücke in Teamviewer Remote Management für Windows, die Angreifern die Ausweitung ihrer Rechte am System ermöglicht. Aktualisierte Software-Pakete der Fernwartungslösung zum Stopfen des Sicherheitslecks stehen bereit.

In einer Sicherheitsmitteilung erklären die Teamviewer-Entwickler, dass Nutzerinnen und Nutzer mit niedrigen lokalen Rechten aufgrund der Schwachstelle Dateien mit SYSTEM-Rechten löschen können. Dies könne zur Ausweitung ihrer Rechte missbraucht werden (CVE-2025-36537 / EUVD-2025-19030, CVSS 7.0, Risiko "hoch"). Detaillierter lautet die Erklärung, dass eine nicht korrekte Rechtezuweisung für eine kritische Komponente im Teamviewer Client – sowohl Full, als auch Host – von Teamviewer Remote und der Monitoring-Komponente Tensor unter Windows es Usern mit niedrigen Privilegien ermöglicht, das Löschen beliebiger Dateien mit SYSTEM-Rechten anzustoßen. Das kann über den MSI-Rollback-Mechanismus ausgelöst werden.

Das betreffe lediglich die Fernverwaltungsfunktionen Backup, Monitoring und Patch-Verwaltung. Installationen unter Windows, die keine dieser Komponenten laufen haben, seien demnach nicht anfällig. Anzeichen für Angriffe über das Internet habe Teamviewer noch nicht entdeckt. Die Teamviewer-Software in Version 15.67 korrigiert den sicherheitsrelevanten Fehler. Teamviewer empfiehlt den Kunden, auf die jüngste verfügbare Version zu aktualisieren.

Auch für ältere Versionszweige stellt Teamviewer Updates bereit: Der Teamviewer Remote Full Client für Windows und Teamviewer Remote Host für Windows enthält das Sicherheitsleck in den Versionen 15.67, 14.7.48809, 13.2.36227, 12.0.259325 und 11.0.259324 nicht mehr. Außerdem gibt es für die Software unter Windows 7 und 8 noch das Update auf 15.64.5. Sie stehen auf der Downloadseite von Teamviewer zum Herunterladen bereit.

Auch im Januar hatte Teamviewer eine Sicherheitslücke zu vermelden, die bösartigen Akteuren das Ausweiten ihrer Rechte ermöglichte. Auch da war insbesondere die Windows-Software betroffen.

Eine schwerwiegende Sicherheitslücke in vielen Bluetooth-Kopfhörern erlaubt Angreifern, Daten aus der Ferne von den Geräten auszulesen und Verbindungen zu übernehmen. Das haben Forscher des deutschen Sicherheitsunternehmens ERNW herausgefunden. Sie stellten ihren Fund auf der diesjährigen Ausgabe der Security-Konferenz TROOPERS vor. Betroffen sind mutmaßlich Millionen Geräte verschiedener Hersteller; Updates zur Problembehebung sind noch nicht verfügbar. Dennoch beruhigen die Forscher: Angriffe seien zwar möglich, die Zielgruppe für Attacken jedoch begrenzt.

Die Lücken befinden sich in Bluetooth-SoC (System-on-Chip) des taiwanischen Herstellers Airoha, der vor allem für "True Wireless Stereo"-Kopfhörer (TWS) beliebt ist. Mittels Airoha-Chips können kleine In-Ear-Kopfhörer Stereoton latenzfrei von Abspielgeräten wie Smartphones wiedergeben. Namhafte Hersteller wie Sony, JBL, Marshall oder Bose greifen teilweise darauf zurück, verbauen aber auch Bluetooth-Technik anderer Zulieferer.

Airoha verpasste seinen Bluetooth-Chips ein selbstgestricktes Protokoll, das Manipulationen am Arbeits- und Flashspeicher der Geräte per Funk ermöglicht. Das Protokoll, das sowohl via Bluetooth Low Energy (BLE) als auch über "klassisches" Bluetooth (BD/EDR) erreichbar ist, soll mutmaßlich zur Interaktion mit Hersteller-Apps dienen, war aber auch eine Einladung für die neugierigen Sicherheitsforscher. Sie konnten darüber Kopfhörer verschiedener Hersteller aus der Ferne übernehmen – und das ohne Anmeldung an einer App oder das bei Bluetooth übliche "Pairing". Mittels Vollzugriff auf Flash und RAM der Ohrstöpsel konnten sie zudem die Verbindungen zu anderen Geräten, etwa dem Smartphone des eigentlichen Nutzers, übernehmen.

Über einen Zugriff auf den Arbeitsspeicher des Bluetooth-Chips konnten die Forscher zunächst auslesen, welche Medien der Nutzer gerade abspielt, etwa einen Podcast oder ein Musikstück. Dieser Angriff ist jedoch mühselig: Da die Speicheradressen sich von Gerät zu Gerät unterscheiden, konnten die Forscher nicht einfach in einem vollbesetzten Bus wahllos Daten auslesen, sondern mussten ihren Angriff anpassen. Auf Android-Geräten konnten die Experten zudem die Telefonnummer des Geräts und eingehender Anrufe auslesen, bisweilen sogar die Anrufhistorie und das Adressbuch des Telefons.

Die ENRW-Forscher konnten auslesen, welche Musik auf einem Kopfhörer mit Airoha-Chipsatz abgespielt wird, hier ein Lied von Lady Gaga

Bestimmte Versionen von Cisco Identity Services Engine (ISE) und ISE Passive Identity Connector (ISE-PIC) sind verwundbar. Nach erfolgreichen Attacken können Angreifer die volle Kontrolle über Systeme erlangen.

Über ISE steuern Admins unter anderem Netzwerkzugriffe von Firmenmitarbeitern. Die Anwendung kommt also an einer zentralen Stelle in Unternehmen zum Einsatz, wo Angriffe richtig wehtun können. Demzufolge sollten Admins zügig handeln und die Sicherheitspatches ISE/ISE-PIC 3.3 Patch 6 oder 3.4 Patch 2 installieren. Die ISE-Ausgaben bis einschließlich 3.2 sind nicht bedroht.

Wie aus einer Warnmeldung hervorgeht, sind beide Schwachstellen (CVE-2025-20281, CVE-2025-20282) mit dem Bedrohungsgrad "kritisch" und dem höchstmöglichen CVSS Score 10 von 10 eingestuft. In beiden Fällen können entfernte Angreifer ohne Authentifizierung an den Lücken ansetzen.

Aufgrund von unzureichenden Überprüfungen können Angreifer über präparierte API-Anfragen oder das Hochladen von manipulierten Dateien Schadcode mit Root-Rechten ausführen. Es ist davon auszugehen, dass Instanzen nach erfolgreichen Attacken vollständig kompromittiert sind. Cisco führt aus, dass es bislang noch keine Hinweise auf Attacken gibt.

Weiterhin haben die Entwickler von Cisco noch eine Sicherheitslücke (CVE-2025-20264 "mittel") in ISE geschlossen. Aufgrund von Fehlern in der SAML-SSO-Implementierung im Kontext von externen Identitätsanbietern können entfernte, aber authentifizierte Angreifer mit bestimmten Befehlen an der Lücke ansetzen. Sind Attacken erfolgreich, können sie Systemeinstellungen verbiegen. Dagegen sind die folgenden ISE-Ausgaben gerüstet: 3.2P8 (Nov 2025), 3.3P5 und 3.4P2.

In der vergangenen Woche hatte Citrix vor mehreren Sicherheitslücken in Netscaler ADC und Gateways. Eine davon galt bereits als kritisch. Nun hat Citrix die Schwachstellenbeschreibung aktualisiert, was IT-Sicherheitsforscher an die CitrixBleed-Lücke aus 2023 erinnert, weshalb nun das Wort von "CitrixBleed 2" die Runde macht.

Hinter CitrixBleed verbirgt sich eine Sicherheitslücke in Netscaler ADC und Gateway (CVE-2023-4966 / EUVD-2023-54802, CVSS 9.4, Risiko "kritisch"), die es Angreifern erlaubt, aus der Ferne und ohne Authentifizierung im RAM auf gültige Session-Tokens zuzugreifen und diese zu extrahieren. Damit können sie die Anmeldung umgehen und auf Systeme zugreifen – und das machten die dann auch fleißig. Die originale Schwachstellenbeschreibung lautete: "Sensitive information disclosure in NetScaler ADC and NetScaler Gateway when configured as a Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) or AAA virtual server."

Die Sicherheitslücke aus der vergangenen Woche hatte erst eine allgemeinere Beschreibung, die Citrix am Montag dieser Woche nahezu unbemerkt aktualisiert hat. Zunächst hieß es, Angreifer können in Netscaler ADC und Gateway Speicherbereiche außerhalb vorgesehener Grenzen lesen, was auf unzureichende Prüfung von übergebenen Daten zurückgeht (CVE-2025-5777 / EUVD-2025-18497, CVSS 9.3, Risiko "kritisch").

Beinahe unbemerkt hat Citrix die Schwachstellenbeschreibung Anfang der Woche angepasst.

(Bild: Screenshot / dmk)

Ende Februar machte der Chaos Computer Club (CCC) auf gravierende Sicherheitslücken bei den Websites von über 500 Restaurants in ganz Deutschland aufmerksam.

Dabei informierte der CCC aufgrund weiterhin offener Lücken wiederholt den zuständigen IT-Dienstleister Karvi Solutions GmbH. Wie viele Restaurantkunden insgesamt betroffen sind, ist bislang nicht bekannt. Ob alle Schwachstellen inzwischen behoben wurden, ist weiterhin unklar. Nun prüft der Hamburger Datenschutzbeauftragte Thomas Fuchs (HmbBfDI) den Fall.

Gegenüber heise online hatte der Geschäftsführer von Karvi Solution, Vitali Pelz, zuvor versichert, dass alle Lücken geschlossen und Daten der Betroffenen aus dem System gelöscht seien. Er erklärte, ein Mitbewerber habe versucht, den Ruf eines Restaurants durch die Manipulation einer "Order-Receiver-API" zu schädigen. Es seien bereits "alle verfügbaren Sicherheitsmaßnahmen implementiert" worden. Diese Verdächtigungen konnten nicht verifiziert werden. Auf weitere Rückfragen reagierte Pelz nicht.

Laut einem Sprecher des HmbBfDI bestehen jedoch noch offene Fragen. Bei der Behörde seien ebenfalls Beschwerden eingegangen – die Klärung laufe. Auf wen die Verantwortlichkeit fällt, "wird noch zu prüfen sein", teilte der Sprecher auf Anfrage von heise online mit.

Die entdeckten Sicherheitslücken reichten vom ungeschützten Zugriff auf das Backend der Websites über eine frei zugängliche Superadmin-Datenbank bis zu Klartextpasswörtern, die per SQL-Injection einsehbar waren. Zudem nutzten die Restaurants identische Zugangsdaten, und Rechnungs-URLs waren einsehbar. Offen zugängliche Backups enthielten neben dem Quellcode Kundendaten zahlreicher Restaurant-Websites.

Französischen Ermittlern ist ein weiterer Schlag gegen Datenhehler im Untergrund gelungen. Sie haben insgesamt fünf Administratoren des Darknet-Forums "BreachForums" festgenommen, vier davon Anfang dieser Woche. Nun sitzen die fünf Personen in Untersuchungshaft, das Forum ist bereits seit April offline. Ob es unter neuer Leitung wiedereröffnen wird, bleibt abzuwarten.

Die in dieser Woche festgenommenen Verdächtigen sind französische Staatsbürger und hören auf die Pseudonyme Hollow, Noct, Depressed und ShinyHunters. Der Fünfte im Bunde mit dem Spitznamen IntelBroker sitzt bereits seit Februar ein. Zugeschlagen haben die französischen Ermittler in den Départements Hauts-de-Seine im Großraum Paris, Seine-Maritime im Nordwesten des Landes und Réunion, einer französischen Insel im Indischen Ozean. Von der Festnahme hat zuerst die Zeitung Le Parisien berichtet. Ein Termin für das Gerichtsverfahren ist noch nicht bekannt.

Die fünf Verdächtigen waren mutmaßlich die Betreiber des Darknetforums und haben zudem häufig selber brisante Datenschätze veröffentlicht. Vor allem ShinyHunters und IntelBroker haben sich in den vergangenen Jahren durch zahlreiche Datenlecks profiliert. So bot IntelBroker Entwicklungsdaten von Cisco sowie AMD an und klaute Daten bei HPE. ShinyHunters hingegen zeichnete für einen Angriff auf den Veranstaltungskonzern LiveNation verantwortlich, in dessen Kielwasser ein anderes Forumsmitglied 170.000 Tickets für Konzerte der Sängerin Taylor Swift verteilte.

Die BreachForums wurden im April von Behörden mittels einer PHP-Sicherheitslücke geknackt und sind seitdem offline, offiziell aus Vorsicht. Es war das vermutlich größte Forum für Handel mit gestohlenen Daten – hier boten Kriminelle Passwortlisten und vertrauliche Geschäftsgeheimnisse an. Meist stammten diese aus IT-Angriffen oder wurden mittels Infostealern eingesammelt. Das Forum stand seit Jahren unter Beobachtung der Behörden und wurde erstmals im Jahr 2023 und erneut 2024 bereits durch diese gekapert.