Comretix Blog

Google hat am Dienstag den Geburtstag des E-Mail-Dienstes Gmail gefeiert und in diesem Rahmen angekündigt, dass Enterprise-User ab jetzt vereinfacht Ende-zu-Ende-verschlüsselte E-Mails verschicken können. Und zwar nicht nur an Nutzer aus der eigenen Organisation, sondern an alle. Zunächst handelt es sich noch um einen Beta-Test. Der dürfte aber bald ausgeweitet werden und in finale Entwicklungsstadien übergehen.

In einem Blog-Beitrag zu Google Workspace erörtern zwei Produkt-Manager von Google die Neuerungen. Ende-zu-Ende-Veschlüsselung (End-to-end-encryption, E2EE) ist bislang komplex und verschlingt einige Ressourcen in IT-Abteilungen, die sich etwa mit S/MIME, der Einrichtung und Schlüsselverwaltung herumplagen müssen. Google will E2EE jetzt deutlich vereinfacht und Hürden gesenkt haben. Im Ergebnis können Enterprise-User ab jetzt an alle Empfänger, seien es andere Gmail-Nutzer oder solche mit externen Mail-Providern, voll verschlüsselte E-Mails senden, mit nur wenigen Klicks.

Trotz des gesunkenen Aufwands bleibe die Sicherheit erhalten, erörtern die Autoren. Die neue Funktion wird als Beta-Test phasenweise verteilt. Zunächst ist es damit möglich, E2EE-Mails an andere Nutzer der eigenen Organisation zu schicken. Dann folgt in einigen Wochen die Möglichkeit, an beliebige Gmail-Nutzerinnen und -Nutzer Ende-zu-Ende-verschlüsselte E-Mails zu senden. Später im Jahr sollen Nutzer schließlich E-Mails mit E2EE an jeden Empfänger schicken können.

Laut Google wollen Firmen E2EE-E-Mails verschicken, hätten jedoch wenige Ressourcen zur Umsetzung. S/MIME ist ein standardisiertes Protokoll dafür, erfordert jedoch den Kauf und die Verwaltung von Zertifikaten und das Zuteilen zu den einzelnen Nutzern. Endnutzer müssten zudem herausfinden, ob Empfänger S/MIME konfiguriert haben, und schließlich auch noch Zertifikate mit ihnen austauschen – fehleranfällig und frustrierend, schreiben die Google-Mitarbeiter. Alternativen zu S/MIME wie proprietäre Lösungen von Mail-Anbietern wären ebenfalls kompliziert, erforderten Schlüsseltausch und so weiter.

Die Lösung von Google soll viel einfacher sein. Mit nur wenigen Klicks verschlüsselt Google die E-Mails, egal, an wen sie gehen, ohne Schlüsseltausch oder zusätzliche Software. Die Schlüssel bleiben unter der Kontrolle der Nutzer und stehen den Google-Servern nicht zur Verfügung; die IT-Abteilung muss sich aber auch nicht um S/MIME-Konfiguration oder Zertifikatsverwaltung kümmern.

Ermittlern ist ein Schlag gegen eine internationale Plattform zur Verbreitung pädokrimineller Inhalte gelungen: Die Darknet-Streamingseite "Kidflix" ist offline. Dort boten Kriminelle gegen Bezahlung mit Kryptowährungen über 90.000 Videos an. Das Dezernat Cybercrime beim Bayerischen LKA hat die Plattform mit Unterstützung internationaler Kollegen abgeschaltet. Weltweit wurden in der "OP Stream" 1400 Verdächtige identifiziert und 79 Personen festgenommen.

Der koordinierte Schlag gegen die Nutzer der Plattform begann am 10. März 2025 mit weltweiten Durchsuchungen, Beschlagnahmungen und Festnahmen – allein zwölf Tatverdächtige wohnen in Bayern. Einen Tag später, am 11. März, beschlagnahmten niederländische Ermittler den Kidflix-Server, der zu diesem Zeitpunkt 72.000 Videos anbot.

Zwar stellten die Strafverfolger Datenträger, Mobiltelefone, PCs und andere Tatmittel sicher, konnten die Administratoren von Kidflix jedoch noch nicht dingfest machen. Diese hatten rund um kinderpornographische Videos ein Geschäftsmodell aufgebaut: Zwar gab es auch Gratis-Videos, doch hochauflösendes Material stand nur gegen Bezahlung zur Verfügung. In einer beschlagnahmten Krypto-Wallet fanden die Ermittler nach Spiegel-Informationen Guthaben im Gegenwert von fast 200.000 Euro.

Neben der Fahndung nach den Kidflix-Admins steht nun der Opferschutz im Mittelpunkt: Neben dem BLKA arbeiten auch das Bundeskriminalamt (BKA) und Europol daran, möglichst viele der minderjährigen Opfer zu identifizieren und vor weiterem Mißbrauch zu schützen. Erste Erfolge haben sie bereits erzielt: So ging in den USA ein Verdächtiger ins Netz, der ein ihm bekanntes Kind mehrfach mißbraucht haben soll.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Wer Datenverkehr in Netzwerken mit Zabbix überwacht, sollte aus Sicherheitsgründen eine aktuelle Version des Tools installieren. Sonst könnten Angreifer im schlimmsten Fall Schadcode ausführen, um Systeme zu kompromittieren.

Den Entwicklern zufolge wurde der Großteil der Schwachstellen über das Bug-Bounty-Programm von Hackerone eingereicht. Ausführlichere Informationen zu den Lücken finden Admins in den unterhalb dieser Meldung verlinkten Warnmeldungen. Dort sind auch die konkret bedrohten Ausgaben des Netzwerkmonitoringtools aufgeführt.

Am gefährlichsten gilt eine Schwachstelle (CVE-2024-36465 "hoch") in Zabbix API. Hier könnte ein Angreifer mit einem regulären Nutzerkonto ansetzen, um eigene SQL-Befehle auszuführen. Außerdem sind Reflected-XSS-Attacken (CVE-2024-45699 "hoch") möglich. Über diesen Weg können Angreifer Schadcode in Form einer JavaScript-Payload ausführen.

Darüber hinaus sind noch DoS-Attacken (CVE-2024-45700 "mittel") und unberechtigte Zugriffe möglich (CVE-2024-36469 "niedrig", CVE-2024-42325 "niedrig").

Diese Versionen sind gegen die geschilderten Attacken gerüstet. Noch gibt es keine Berichte zu aktiven Angriffen.

Einrichtungen des Gesundheitswesens sind vermehrt Cyberbedrohungen ausgesetzt. Das betrifft längst nicht mehr nur Krankenhäuser, sondern ebenso die kleineren ambulanten Leistungserbringer bis hin zur örtlichen Hausarztpraxis. Auch der Gesetzgeber hat das 2019 erkannt und mit dem Digitale-Versorgung-Gesetz eine Vorschrift zur "IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung" eingeführt. Sie ist heute im § 390 SGB V (Fünftes Sozialgesetzbuch) zu finden. Der Gesetzgeber hat dort die Kassenärztlichen und Kassenzahnärztlichen Bundesvereinigungen (KBV und KZBV) dazu verpflichtet, die Anforderungen zur Gewährleistung der IT-Sicherheit in einer Richtlinie zu konkretisieren. Die KBV hat ihre Richtlinie nun am 1. April 2025 aktualisiert.

Die ersten KBV- und KZBV-Richtlinien wurden 2020 veröffentlicht. Der gesetzlich vorgeschriebene Überarbeitungsturnus von zwei Jahren wurde bislang nicht eingehalten. Erst am 1. April 2025 wurde die Überarbeitung der KBV-Richtlinie veröffentlicht, die in weiten Teilen aber bereits ab dem Folgetag gilt. Für die neu hinzugekommenen Anforderungen räumt die Richtlinie eine Vorbereitungszeit ein – die betroffenen Praxen haben bis zum 1. Oktober 2025 Gelegenheit, diese umzusetzen. Die Erneuerung der KZBV-Richtlinie ist auch demnächst zu erwarten.

Die KBV-Richtlinie enthält insgesamt fünf Anlagen mit umfangreichen Detailregelungen, die den Stand der Technik in der IT-Sicherheit wiedergeben sollen. Nur wenige Leistungserbringer müssen jedoch sämtliche Anlagen beachten – welche Anlagen ein Leistungserbringer tatsächlich befolgen muss, richtet sich nach seiner Größe. Alle Leistungserbringer haben dabei die Basis-Anforderungen der Anlage 1 sowie die Anforderungen an die Telematik-Infrastruktur der Anlage 5 einzuhalten. Für mittlere und große Praxen sowie bei Nutzung von Großgeräten gelten auch die weiteren Anlagen.

Die neue KBV-Richtlinie legt einen verstärkten Fokus auf den Sicherheitsfaktor "Mensch". Unabhängig von ihrer Größe sollen Praxen gezielte Maßnahmen zur Sensibilisierung ihrer Mitarbeitenden für die IT-Sicherheit ergreifen und so die "Security-Awareness" steigern. Die KBV-Richtlinie nimmt hierfür die Praxisleitung in die Pflicht, von der ein gesteigertes Bewusstsein für Sicherheitsfragen verlangt wird. Ihr kommt eine Vorbildfunktion zu: Die Praxisleitung muss sämtliche Schulungsmaßnahmen und Sicherheitskampagnen unterstützen.

Besondere Bedeutung misst die neue KBV-Richtlinie zudem der Bildung von IT-Kompetenzen zu. Mitarbeitende und auch externe Benutzer sind in den sicheren Umgang mit IT-Komponenten einzuweisen und für Risiken zu sensibilisieren. Mitarbeitende sollen zudem hinsichtlich ihrer Aufgaben und Verantwortlichkeiten in Informationssicherheitsthemen geschult werden. Zusätzlich empfiehlt es sich, dass sich auch die Leitungsebene selbst über Schulungen die Fachkenntnisse in diesem Bereich sichert, um ihren Aufgaben nachkommen zu können – die Richtlinie sieht hierzu jedoch keine Pflicht vor.

In Druckertreibern von Canon klafft eine kritische Sicherheitslücke, die Angreifern unter Umständen sogar das Einschleusen und Ausführen von Schadcode ermöglicht. Zudem können aufgrund Sicherheitslecks in der Firmware einiger Drucker Angreifer ebenfalls Codeschmuggel auf die betroffenen Geräte provozieren.

In einer Sicherheitsmitteilung warnt Canon vor dem Sicherheitsleck in den Druckertreibern. "Eine außerhalb-vorgesehener-Speichergrenzen-Schwachstelle wurde in bestimmten Druckertreibern für Produktions-Drucker, Büro- und Small-Office-Drucker sowie Laserdrucker entdeckt, die das Drucken verhindern und/oder möglicherweise das Ausführen beliebigen Codes erlauben kann, wenn das Drucken durch eine bösartige App verarbeitet wird", umschreibt Canon die Lücke etwas hakelig.

Der Fehler kann beim Verarbeiten von EMF durch die Druckertreiber auftreten. EMF-Dateien sind "Enhanced Metafiles", weiterentwickelte WMF-Dateien, die für den High-End-Druck aufgebohrt wurden (CVE-2025-1268, CVSS 9.4, Risiko "kritisch")..

Wie genau die Sicherheitslücke aussieht und wie Admins einen Missbrauch oder den Versuch erkennen können, schreibt Canon nicht. Betroffen sind die Druckertreiber "Generic Plus" PCL6, UFR II, LIPS4, LIPSLX sowie PS bis einschließlich Version 3.12. Auf den lokalen Webseiten von Canon sollen die neuen Druckertreiber zum Herunterladen bereitstehen – etwa bei Canon Deutschland hier.

Bislang unter dem Radar blieben Sicherheitslücken in der Firmware einiger Laserdrucker und Small-Office-Multifunktionsdrucker von Canon. Bereits von Ende Februar stammt eine Sicherheitsmitteilung, in der die Entwickler vor einem Pufferüberlauf in der Firmware warnen. Sofern die Drucker direkt über einen kabelgebundenen oder WLAN-Router mit dem Internet verbunden sind, können Angreifer möglicherweise Schadcode aus der Ferne einschleusen und ausführen oder eine Denial-of-Service-Atacke ausführen. Drei CVE-Nummern zu den Schwachstellen nennt Canon, CVE-2024-12647, CVE-2024-12648 und CVE-2024-12649. Das japanische CERT kommt zu einer Risikoeinschätzung als "kritisch" mit einem CVSS-Wert von 9.8.

Die Kriminalität im digitalen Raum beschäftigt Bundes- und Länderpolizeien weiter intensiv. Das geht aus der heute vorgelegten Polizeilichen Kriminalstatistik (PKS) hervor, die Bundesinnenministerin Nancy Faeser (SPD), der Präsident des Bundeskriminalamtes Holger Münch und der Bremer Innensenator Ulrich Mäurer für die Landesinnenminister heute Morgen in Berlin vorstellten.

131.391 Mal wurden Straftaten wie Computerbetrug, also etwa der Verwendung fremder Daten mit dem Ziel, dadurch Waren, Dienstleistungen oder andere Vermögensvorteile zu erlangen, oder Computersabotage – darunter fallen etwa Verschlüsselungstrojaner – polizeilich erfasst, die aus dem Inland begangen wurden. Damit sank diese Zahl um 3.016 Fälle gegenüber dem Vorjahr. Knapp ein Drittel dieser Fälle wurde aufgeklärt. Doch dabei werden nur jene Fälle gezählt, bei denen mindestens ein Tatverdächtiger sich im Inland befindet.

Zugleich aber stieg die Zahl der Cybercrime-Taten aus dem Ausland weiter an, auf nunmehr 201.877 Fälle, erläuterte BKA-Präsident Holger Münch am Mittwochvormittag: "Wenn wir die Auslandsstraftaten betrachten, haben wir einen Anstieg um 6 Prozent." Und deren Aufklärungsquote ist mit 2,2 Prozent verschwindend gering. Münch erklärt das damit, dass dabei sowohl die Ermittlung als auch die Zusammenarbeit mit den Herkunftsstaaten der Täter bei der Verfolgung ausgesprochen schwierig sei.

Da es sich bei vielen dieser Fälle um Kriminalität handele, die Call-Center-artig Gewinnversprechungen mache, sehe er hier als zielführende Möglichkeiten vor allem die Prävention über eine Sensibilisierung der Öffentlichkeit. Dazu sei der Fokus der Ermittlungsarbeit hier ein anderer, so Münch: "Weniger um den Einzelfall kümmern, wir müssen uns eher auf die Strukturen konzentrieren."

Eine kleine positive Nachricht enthält die Polizeiliche Kriminalstatistik für das Jahr 2024 zudem im Bereich der Darstellungen sexuellen Missbrauchs von Kindern: Die Zahl der Fälle sank um 5,2 Prozent auf 42.854. Dem gegenüber steht ein weiterer Anstieg der Verbreitung, des Erwerbs, Besitzes und der Herstellung jugendpornografischer Inhalte.

Angreifer können an mehreren Schwachstellen in der Geräteverwaltungssoftware Dell Wyse Management Suite ansetzen und auf eigentlich abgeschottete Informationen zugreifen oder sogar Schadcode ausführen.

In einem Beitrag listen die Entwickler die in der Ausgabe 5.1 geschlossenen Sicherheitslücken auf. Alle vorigen Versionen sollen verwundbar sein. Mehrere ältere Schwachstellen betreffen die Komponente MongoDB. Hier sind unter anderem DoS-Attacken möglich (CVE-2022-4904, Risiko "hoch").

Die verbleibenden Lücken betreffen die Geräteverwaltungssoftware direkt. An dieser Stelle könnte etwa ein Angreifer mit Fernzugriff ohne Authentifizierung ansetzen, um Informationen einzusehen (CVE-2025-29981, Risiko "hoch").

Für die weiteren Schwachstellen gilt der Bedrohungsgrad "mittel". Hier sind unter anderem DoS-Angriffe (CVE-2025-27694) und Schadcode-Attacken (CVE-2025-27692) vorstellbar. Ob es bereits Attacken gibt, geht aus Dells Meldung nicht hervor. Unklar bleibt auch, an welchen Parametern Admins bereits erfolgte Angriffe erkennen können.

Wenn User ihr Betriebssystem schnell aktualisieren, hat das viele Vorteile: Sie erhalten neue Features sofort und sind auch in Sachen Sicherheit auf dem aktuellen Stand. Dennoch gibt es einige Gründe, Updates auszusitzen: Seien es etwa Inkompatibilitäten mit bestehenden Anwendungen, unerwünschte Änderungen durch den Hersteller oder die Tatsache, dass manch größeres Update ältere Geräte langsamer laufen lassen kann. Apple versucht nun allerdings, Nutzer stärker dazu zu bringen, automatische Updates zu aktivieren. Wer bei der Installation von iOS 18.4, das am Montag erschienen war, nicht aufpasst, bekommt die Funktion aufgedrückt. Auch zuvor schon hatte Apple hier teilweise versucht, mit entsprechender Bedienführung dafür zu sorgen, dass das Auto-Update "freiwillig" aktiviert wird.

Bei iOS 18.4 läuft dies allerdings noch einen Zacken schärfer. Ist die Aktualisierung abgeschlossen, erscheint das in großer Schrift (siehe Aufmacherbild): "Ihr iPhone wurde auf iOS 18.4 aktualisiert." Darunter schreibt der Konzern allerdings noch dies: "Künftige Softwareaktualisierungen werden automatisch geladen und installiert, sobald sie veröffentlicht werden."

Und weiter: Man könne dies "in den Einstellungen für die Softwareaktualisierung" verwalten. Wer an dieser Stelle den großen "Fortsetzen"-Knopf (Continue) drückt, hat das Auto-Update also aktiviert. Wer das nicht möchte, muss den sehr klein gehaltenen Text "Nur automatisch herunterladen" selektieren, wie er oder sie dies vermutlich zuvor aktiviert hatte.

Apple will damit erreichen, dass möglichst die gesamte Nutzerschaft auf das automatische Update geht. Das ist grundsätzlich keine schlechte Idee, doch hat es auch Nachteile. Die wenigsten dürften eine einmal so vorgenommene Einstellung wieder rückgängig machen. Hinzu kommt, dass das Auto-Update nicht unbedingt bedeutet, dass Aktualisierungen wirklich schnell auf dem iPhone landen: Apple rollt sie in Schritten aus. Es kann also durchaus flotter gehen, händisch zu aktualisieren, wenn man ein Update wirklich haben möchte.

Apples Ansatz, Funktionen zu aktivieren, ohne dass Nutzer dies unbedingt wünschen, erinnert an Apple Intelligence. Hier hatte Apple damit begonnen, das KI-System ebenfalls nach Updates automatisch zu aktivieren. Auch diesen "Dienst" wollen nicht alle User haben, zumal er Speicherplatz frisst.

In der vergangenen Woche wurde eine als kritisches Risiko eingestufte Sicherheitslücke in der Datentransfer-Software CrushFTP bekannt. Nun beobachten IT-Sicherheitsforscher Angriffsversuche auf verwundbare Instanzen. Ein Proof-of-Concept-Exploit ist öffentlich verfügbar, den Kriminelle offenbar dafür einsetzen.

Die IT-Forscher von Rapid7 haben die Sicherheitslücke in CrushFTP untersucht. Sie haben dazu die Unterschiede zwischen den Versionsständen analysiert und sich dabei auf den Hinweis aus dem Changelog gestützt, der eine Schwachstelle in der Authentifizierung andeutete. Damit konnten sie einen Proof-of-Concept-Exploit entwickeln, der die Schwachstelle erfolgreich missbraucht.

Die IT-Forscher der Shadowserver Foundation haben seit Anfang der Woche Angriffsversuche auf die Schwachstelle CVE-2025-2825 entdeckt.

Die Angriffe verbleiben seit Wochenanfang auf gleichem Niveau.

(Bild: Shadowserver Foundation)

Mit dem HPE Aruba Networking Virtual Intranet Access (VIA) Client unter iOS, Linux, macOS und Windows erstellte VPN-Verbindungen sind nicht sicher. Der Android-Client ist davon nicht betroffen. Für die anderen Systeme gibt es ein Sicherheitsupdate.

In einer Warnmeldung führen die Entwickler aus, dass der VIA-Client bis inklusive Version 4.7.0 verwundbar ist. Sie geben an, in der Ausgabe 4.7.2 zwei Sicherheitslücken (CVE-2024-3661 "hoch", CVE-2025-25041 "hoch") geschlossen zu haben.

Die erste Lücke ist unter dem Titel "Tunnelvision" schon seit 2024 bekannt. An dieser Stelle können entfernte Angreifer ohne Authentifizierung ansetzen und im Kontext des Netzwerkkonfigurationsservices des DHCP-Protokolls ansetzen, um VPN-Verbindungen aufzubrechen.

Nutzen Angreifer die zweite Schwachstelle erfolgreich aus, können sie DoS-Zustände erzeugen. Für beide Lücken gibt es den HPE-Entwicklern zufolge noch keine Hinweise auf Attacken.

Broadcom warnt vor einer hochriskanten Sicherheitslücke in VMware Aria Operations. Angreifer können dadurch ihre Rechte im System ausweiten.

In einer Sicherheitsmitteilung erörtern die VMware-Entwickler die Schwachstelle. Demnach wurde in einer "Responsible Disclosure" eine lokale Rechteausweitungslücke an VMware gemeldet. "Bösartige Akteure können ihre Rechte zu 'root' auf der Appliance ausweiten, auf der VMware Aria Operations läuft", erklärt das Unternehmen (CVE-2025-22231, CVSS 7.8, Risiko "hoch").

Details unklar

Wie Angriffe aussehen würden, worin die Sicherheitslücke genau besteht, oder wie Admins Angriffsversuche und erfolgreiche Attacken erkennen können, beschreibt Broadcom in dem Security Advisory nicht. Auch temporäre Gegenmaßnahmen gibt es keine. Immerhin, die Sicherheitslücke scheint noch nicht von Kriminellen angegriffen zu werden, davon schreibt der Hersteller nichts.

Die Schwachstelle betrifft VMware Aria Operations 8.x, Version 8.18 HF 5 bessert sie aus. Für VMware Cloud Foundation 4.cx und 5.x stellt der Hersteller einen Knowledgebase-Artikel zur Problemlösung bereit. Wer VMware Telco Cloud Platform oder Infrastructure einsetzt – ganz gleich, ob 2.x, 3.x, 4.x oder 5.x – soll die Sicherheitslücke ebenfalls mit dem Update auf Version 8.18 HF 5 stopfen.

Die Aktualisierung steht auf einer eigenen Download-Seite bei Broadcom zum Herunterladen bereit. Laut den Release-Notes korrigiert das Update weitere Fehler und dichtet diverse weitere, teils ältere Sicherheitslücken ab. Insbesondere in Dritthersteller-Komponenten wie 7-Zip, Bash, der Gnu-C-Bibliothek, RPM, XZ-Utils und weiteren korrigiert die Aktualisierung diverse sicherheitsrelevante Fehler. Admins sollten das Update daher zügig anwenden.

Im Zweiten Weltkrieg half sie den Briten beim Knacken verschlüsselter Nachrichten: Charlotte "Betty" Webb war eine der letzten Code-Knackerinnen von Bletchley Park – nun ist sie im Alter von 101 Jahren gestorben, wie die britische Nachrichtenagentur PA meldete.

In Bletchley Park, einem Anwesen nördlich von London, hatten die Briten den Verschlüsselungscode der Nationalsozialisten geknackt und auch daran gearbeitet, Nachrichten anderer verfeindeter Staaten zu verstehen. Filme wie "The Imitation Game – Ein streng geheimes Leben" erzählen davon.

Webb sei einer der letzten noch lebenden "Codebreaker" von Bletchley Park gewesen, meldete PA. Sie war dort von 1941 bis 1945 für die Frauenabteilung des britischen Heeres im Einsatz, arbeitete mit deutschen und japanischen Nachrichten und später auch für das US-Pentagon.

Anfangs sei sie Sekretärin gewesen, was sie "ziemlich langweilig" gefunden habe, zitierte PA. Dann habe sie gewechselt. Jahrelang habe sie ihren Einsatz verschwiegen – bis 1975 sei er ein Geheimnis geblieben. Später wurde sie vom Königshaus geehrt und in die französische Ehrenlegion aufgenommen.

"Betty hat Frauen in der Armee über Jahrzehnte inspiriert", teilte die Organisation Women's Royal Army Corps Association mit. Auch Bletchley Park – heute ein Museum – würdigte Webb: Sie habe sich unermüdlich darum bemüht, die Geschichte von Bletchley Park einem breiteren Publikum nahezubringen.

Auch knapp eine Woche nach ersten Meldungen über ein Datenleck bei Oracle kommen noch immer neue Informationen ans Licht, dennoch bleiben Unklarheiten. In einem ersten Dementi hatte der US-Konzern einen Sicherheitsvorfall abgestritten, war aber in seiner Wortwahl auffallend spezifisch. Experten halten das für Absicht und verweisen auf authentisch wirkende Datensätze in Untergrundforen. heise security hat sich die Daten angesehen.

Es klang nach einem GAU für Oracle: Sechs Millionen Datensätze von Kunden der "Oracle Classic"-Cloudumgebung bot ein Akteur in einem der größten internationalen Darknet-Foren für illegalen Datenhandel feil. Doch der Konzern dementierte: "Es gab keinen Angriff auf Oracle Cloud". Die Hinweise verdichten sich nun, dass das Oracle-Dementi irreführend sein könnte. So vermutete der Sicherheitsforscher Kevin Beaumont in einem Blogartikel, Oracle "betreibe Wortklauberei".

Zudem hatte der Konzern ein weiteres Indiz, nämlich einen Archivlink zur "Wayback Machine", löschen lassen. Diesen hatte der Angreifer offenbar bereits Anfang März 2025 angelegt – er zeigt unter der Domain "login.us2.oraclecloud.com" eine Textdatei mit nur 19 Zeichen Inhalt: Der E-Mail-Adresse des Eindringlings. Der Angreifer hatte also offenbar zumindest kurzzeitig Zugriff auf eine zentrale Schnittstelle in der klassischen Oracle-Cloudumgebung. Am 1. April 2025, dem Veröffentlichungsdatum dieser Meldung, ist der Link bei der Wayback Machine wiederhergestellt.

Dreh- und Angelpunkt der Diskussion zwischen Angreifer, Oracle und Sicherheitsforschern ist hingegen die Frage, ob "die Oracle Cloud" erfolgreich angegriffen wurde oder nicht. Oracle selber dementiert dies, bedient sich dabei jedoch einer recht eigentümlichen und verdächtig präzisen Nomenklatur. Neben der aktuell vermarkteten Cloudumgebung (OCI - Oracle Cloud Infrastructure) gibt es noch "Cloud Classic", die Vorgängergeneration der Oracle-Cloud. Zwar bietet auch die klassische Cloud alle Funktionen der Oracle-IaaS-Wolke, doch der Konzern möchte Kunden auf die OCI umziehen, wie er auf der entsprechenden Produktseite an prominenter Stelle verrät.

Das Oracle-Dementi verneint explizit einen Angriff auf "Oracle Cloud", mithin also die modernere OCI. Es scheint also sicher, dass Kunden, die nur diese nutzen und nie die Vorgängerumgebung verwendet haben, nicht betroffen sind. Ein Testzugang von heise security, den wir im November 2024 angelegt haben, taucht jedenfalls weder in der Domainliste noch in den Demo-Daten auf.

Die Malware Qakbot flog längere Zeit unter dem Radar – jetzt haben IT-Forscher neue Varianten des Trojaners aufgespürt. Opfer finden sie derzeit über gefälschte "Clickfix Captchas". Vor denen hat jüngst auch das Bundesamt für Sicherheit in der Informationstechnik gewarnt.

Ende 2023 wurde zuletzt eine Phishing-Kampagne bekannt, bei der Qakbot-Malware verteilt und somit der Wiederaufbau des Botnetzes versucht wurde. Jetzt sind IT-Sicherheitsforscher von Darkatlas erneut auf den Schädling gestoßen. Der wird nun mit sogenannten Fake-Captchas verteilt.

Bei der Fake-Captcha-Masche machen sich Kriminelle zunutze, dass Internetnutzerinnen und -nutzer allenthalben zum Lösen sogenannter Captchas aufgefordert werden. Damit sollen sie beweisen, dass sie menschlich und nicht etwa bösartige Skripte sind ("I am not a robot").

Fake-Captchas erfordern als erstes einen Klick auf "I am not a robot" – der kopiert einen bösartigen Befehl in die Zwischenablage.

(Bild: heise online / dmk)

Apple hat mit dem Update auf macOS 15.4, das am Montag erschienen ist, eine wichtige Sicherheitsfunktion nachgereicht, die Administratoren interessieren dürfte: Künftig lassen sich sogenannte TCC-Events auch von Endpoint-Security-Werkzeugen erfassen. Letztere werden insbesondere in Unternehmen eingesetzt, um Nutzer davon abzuhalten, Malware zu installieren oder riskante Verbindungen aufzubauen. TCC steht für "Transparency, Consent and Control" und wird immer dann verwendet, wenn Apps bestimmte Rechte nachfragen. Apple blendet dann Einwilligungsdialoge ein. Endpoint-Security-Anwendungen bekamen diese bislang aber nur mit, wenn sie in Logdateien hineinsahen – es gab keinen offiziellen Weg, sie zu übermitteln.

In den letzten Jahren hatte Apple TCC-Dialoge in immer mehr Bereiche integriert – vom Zugriff auf Kamera und Mikrofon über die Rechnerfernsteuerung via Barrierefreiheitsfunktion bis hin zum Öffnen bestimmter Dateien und Ordner. Will eine Malware nun Zugriff erlangen, muss ein TCC-Dialog angezeigt und gegebenenfalls vom Nutzer abgenickt werden. Eine Endpoint-Security-Anwendung sollte dies jedoch bestenfalls mitbekommen, um gegebenenfalls eingreifen zu können. "Daher wäre es unglaublich hilfreich für jedes Sicherheitswerkzeug, dies erkennen zu können", schreibt Sicherheitsexperte Patrick Wardle, der das neue Feature entdeckt hat.

Seit der Beta von macOS 15.4 ist das Feature nun aktiv. Wardle hat auch bereits Code veröffentlicht, wie sich die Abfrage implementieren lässt. Seinen Angaben zufolge haben Sicherheitsexperten und Entwickler Apple schon seit "vielen, vielen, vielen Jahren" darum gebeten, TCC-Events an Endpoint-Security-Anwendungen weiterzugeben. "Nun kommt die Antwort auf unsere Gebete."

Ganz perfekt ist die Umsetzung laut Wardle allerdings noch nicht. Momentan existiert nämlich nur ein Event-Typ: "ES_EVENT_TYPE_NOTIFY_TCC_MODIFY". "Das kommt mir etwas unvollständig vor, beziehungsweise mindestens ziemlich nuanciert." In seinem Code zeigt wer, wie dies dennoch hilfreich eingesetzt werden kann. Wardle hofft aber, dass künftig auch andere Vorgänge übertragen werden, darunter "ES_EVENT_TYPE_AUTH_TCC_" in unterschiedlichen Varianten. Aktuell ist unklar, ob Apple davon bereits etwas in der Finalversion von macOS 15.4 umgesetzt hat, Wardle hat sich bislang nur die Beta angesehen.

TCC ist – neben Malware, die Nutzer explizit zu Freigaben auffordert – auch aus anderer Sicht manchmal problematisch: Es kommt immer wieder zu Bugs und Sicherheitslücken in diesem Bereich. Die neue Funktion hilft hier leider (noch) wenig.

Angreifer können Systeme mit IBMs Anwendungsintegrationssoftware App Connect Enterprise attackieren. Dabei kann Schadcode auf PCs gelangen und diese kompromittieren. Das wurde schon mal gepatcht, das Sicherheitsupdate war aber unvollständig. Nun haben die Entwickler einen reparierten Patch veröffentlicht. Noch gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen.

Die Schwachstelle (CVE-2025-1302 "kritisch") betrifft das jsonpath-plus-Modul zum Verarbeiten von JSON-Konfigurationen. Weil Eingaben nicht ausreichend überprüft werden, können Angreifer hier mit präparierten Anfragen ansetzen und am Ende Schadcode ausführen.

Die Lücke sorgte bereits im Dezember 2024 mit der Kennung CVE-2024-21534 für Schlagzeilen. Wie die Entwickler inzwischen in einer Warnmeldung schreiben, war der Patch kaputt und hat Systeme nicht ausreichend geschützt.

Die Entwickler versichern, die Schwachstelle jetzt in den Ausgaben 12.0.12.12 APAR IT47820 und 13.0.3.0 APAR IT47820 aus der Welt geschafft zu haben. Darin wurde auch eine weitere Lücke (CVE-2025-24791 "mittel") geschlossen, über die Angreifer Zugangsbeschränkungen umgehen können.

Mit den gestrigen Updates auf iOS 18.4, macOS 15.4 und Co. hat Apple einmal mehr zahlreiche Sicherheitslöcher gestopft. Das lässt sich den mittlerweile von Apple veröffentlichten Unterlagen entnehmen. So enthalten allein iOS 18.4 und iPadOS 18.4 über 60 Fixes.

Wie üblich führt Apple nicht alle Probleme konkret aus, gibt dann nur "Credits" für die jeweiligen Entdecker. Apple bekannte Exploits scheint es diesmal nicht zu geben, zumindest äußert sich der Konzern nicht dazu. Dennoch sind die Lücken teils schwerwiegend. So konnte man etwa Schlüsselbunddaten aus einem iOS-Backup zum Teil auslesen, Fotos waren versteckt und trotzdem sichtbar, Passwort-Autofill funktionierte auch ohne vollständige Authentifikation und manipulierte Audiodateien konnten unerwünschten Code ausführen.

Die in macOS 15.4 behobenen Lücken sind sogar noch umfangreicher – es lassen sich über 120 Stück zählen. Auch hier scheint es zumindest keine Berichte zu geben, dass es Exploits gibt. Betroffen ist quasi alles von A wie AirDrop (Metadaten konnten ausgelesen werden) über I wie Installer (Sandbox-Ausbruch) bis X wie Xsan (Kernel-Speicher korrumpierbar). Es gibt Kernel-Lücken und auch diverse Fehler in WebKit. Apple stellt für macOS Ventura und macOS Sonoma (macOS 13 und 14) Safari 18.4 als Einzeldownload bereit. Insgesamt 18 Lücken wurden hier allein behoben, vermutlich sind es aber noch deutlich mehr, die Apple nicht näher ausführt.

Apple bringt parallel zu macOS 15.4 auch macOS 13.7.5 und macOS 14.7.5 auf die Rechner. Sie enthalten Fixes aus macOS 15.4, aber wie üblich nicht alle. Als Sicherheitsupdates erhältlich sind außerdem iOS und iPadOS 15.8.4, iPadOS 16.7.11 und iOS 16.7.11 sowie iPadOS 17.7.6. Auch hier werden nur die wichtigsten Probleme behoben.

Infos zu sicherheitsrelevanten Fehlerbehebungen bringt Apple auch für tvOS 18.4 und visionOS 2.4. Auch hier finden sich teilweise schwerwiegende Lücken, sodass man möglichst schnell updaten sollte. Zudem gibt es für Xcode ein Sicherheitsupdate, die Versionsnummer lautet nun 16.3. watchOS hat Apple bislang nicht aktualisiert, die jüngste Version bleibt 11.3.1 aus dem Februar.

Etwa 270.000 Kundendatensätze von Samsung Electronics Deutschland sind im Darknet aufgetaucht. Nach einem Einbruch konnten Kriminelle diese Daten aus dem Support-System von Samsung kopieren.

Im Darknet stehen die von Samsung entwendeten Kundendatensätze zum Verkauf.

(Bild: Screenshot / cku)

Der Nutzer mit dem Handle "GHNA" bietet die Daten in einem bekannten Untergrundforum zum Kauf an. Acht Credits, umgerechnet zwei Euro, will der Täter dafür haben. Die Daten sollen dem Darknet-Forumseintrag zufolge Kundenzufriedenheits-Tickets umfassen und etwa vollständige Namen, Anschriften und zugehörige E-Mail-Adressen und mehr umfassen.

Das IT-Sicherheitsunternehmen Hudson Rock, spezialisiert auf Sammlung und Analyse derartiger Datendiebstähle, führt den Einbruch auf mittels Infostealer geklaute Zugangsdaten zurück. Im Jahr 2021 wurden die Log-in-Daten von einem Rechner eines Angestellten der Spectos GmbH abgezogen, die Kundenerfahrungsplattformen betreibt, einschließlich Samsungs Service-Ticket-System mit der URL http://samsung-shop.spectos.com.