Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Nach Sicherheitswarnungen: USA planen Verbot von Deepseek

In Australien und Taiwan gibt es bereits ein Verbot für Mitarbeitende aus Behörden und dem Bereich kritischer Infrastruktur, die App von Deepseek zu nutzen. Der Grund dafür: Es sei eine Bedrohung der nationalen Sicherheit zu befürchten. Nun folgt auch die USA. Parteiübergreifend sollen Abgeordnete ein ähnliches Verbot anstreben.

Anzeige

Den Antrag dazu haben der demokratische Abgeordnete Josh Gottheimer und sein republikanischer Kollege Darin LaHood eingebracht. In dem veröffentlichten Dokument heißt es, Deepseek sei sogar eine "alarmierende Bedrohung für die nationale Sicherheit". Zudem würden Untersuchungen zeigen, dass der Dienst direkte Verbindungen zur chinesischen Regierung habe, und sensible Daten der amerikanischen Bürger weitergeleitet würden.

Anders als etwa im Fall von Tiktok, wo ein generelles Verbot des Dienstes im Raum steht, soll es bei Deepseek aber nur um die Nutzung der App auf dienstlichen Geräten gehen. Die Antragsteller ziehen allerdings dennoch einen Vergleich zu der Social-Media-Plattform: "Wir haben Chinas Herangehensweise (Playbook) bereits bei Tiktok gesehen, wir können das nicht noch einmal zulassen."

Konkret werfen die Abgeordneten Deepseek vor, Daten mit China Mobile zu teilen, einem Unternehmen, das direkt der chinesischen Regierung (CCP) gehöre und eng mit dem Militär verbandelt sei. Die US-amerikanische Federal Communications Commission (FCC) habe die Nutzung von China Mobile in den USA deshalb bereits verboten.

Weiterlesen
  5 Aufrufe

Cyberangriff? OpenAI untersucht potenzielles Leck von 20 Millionen Nutzerdaten

Hat OpenAI bei der Cybersicherheit massiv geschlampt? Kriminelle brüsten sich in einem Darknet-Forum damit, Millionen Login-Daten von ChatGPT-Nutzern gestohlen und weitergegeben zu haben. Bedrohungsakteure machen in solchen Untergrund-Marktplätzen zwar häufig übertriebene Ansagen, um Aufmerksamkeit auf sich zu lenken oder Käufer anzulocken. Das potenzielle Ausmaß des inserierten Datenlecks wäre allerdings groß, sodass bei IT-Sicherheitsexperten Alarmglocken läuten. "Wir nehmen diese Behauptungen ernst", erklärte ein OpenAI-Sprecher gegenüber dem Magazin Decrypt. Der Fall werde derzeit untersucht.

Anzeige

Der unter dem Pseudonym emirking agierende Darknet-Nutzer postete laut dem Portal GbHackers eine kryptische Nachricht auf Russisch, in der er "mehr als 20 Millionen Zugangscodes zu OpenAI-Konten" anpries. Er sprach demnach von einer "Goldmine" und bot potenziellen Käufern Beispieldaten mit E-Mail-Adressen und Passwörtern an. Dem Bericht zufolge soll der vollständige Datensatz "für nur ein paar Dollar" zum Verkauf stehen. Bei OpenAI stehe wohl eine Massenüberprüfung von Konten an.

"Wir haben bisher keine Hinweise darauf, dass dieser Fall mit einer Kompromittierung von OpenAI-Systemen zusammenhängt", hieß es von dem ChatGPT-Hersteller in einer ersten Reaktion. Auch Security-Experten sind sich unsicher, ob persönliche Daten von Nutzern des Chatbots kompromittiert worden sind.

Mikael Thalen von Daily Dot teilte mit, dass er in dem angeblichen Sample ungültige E-Mail-Adressen gefunden habe. Es gebe bislang keine Beweise dafür, "dass dieser vermeintliche OpenAI-Einbruch legitim ist". Mindestens zwei Adressen hätten nicht funktioniert. Der einzige andere Beitrag des Nutzers in dem Forum sei zwar ein Verweis auf eine Malware zum Stehlen von Login-Daten. Der Thread sei inzwischen aber gelöscht worden.

Weiterlesen
  4 Aufrufe

Europol: Finanzinstitute sollten rasch auf quantensichere Kryptografie umsatteln

Europol hat Finanzinstitute und politische Entscheidungsträger weltweit aufgefordert, dem Übergang zur quantensicheren Verschlüsselung Priorität einzuräumen und Lösungen einzusetzen. Mit der rasanten Weiterentwicklung des Quantencomputings sei der Finanzsektor einer "unmittelbaren Bedrohung seiner kryptografischen Sicherheit ausgesetzt", betonte die Polizeibehörde am Freitag im Rahmen eines von ihr veranstalteten Quantum Safe Financial Forum (QSFF). Teilnehmer der Konferenz warnten laut Europol vor allem vor dem wachsenden Risiko der Angriffsstrategie eines "jetzt speichern – später entschlüsseln" ("Store now – decrypt later"): Böswillige Akteure könnten heute verschlüsselte Daten sammeln, um sie später mithilfe von Quantencomputern zu entschlüsseln.

Anzeige

Als Grund für seinen globalen Handlungsaufruf gibt das QSFF an, dass leistungsfähige Quantenrechner gängige Verschlüsselungsverfahren im Handstreich überwinden könnten ("Kryptokalypse"). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht hier – ohne unerwartete technologische Durchbrüche – von einem Zeithorizont von zehn bis 20 Jahren aus. Bei Europol ist von zehn bis 15 Jahren die Rede. Die Suche nach einem Ersatz für aktuell genutzte Algorithmen für die Public-Key-Kryptografie läuft daher generell auf Hochtouren, um weiterhin etwa E-Mails, Online-Banking, medizinische Daten, den Zugang zu Kontrollsystemen und nationale Sicherheitsaufgaben absichern zu können.

Gerade im Finanzbereich sei der Handlungsdruck hoch, unterstreicht Europol. Ein erfolgreicher Übergang zur quantensicheren Verschlüsselung erfordere die Zusammenarbeit zwischen Banken und anderen Finanzinstituten, Technologieanbietern, politischen Entscheidungsträgern und Regulierungsbehörden. Die Koordination zwischen den verschiedenen Interessengruppen sei von entscheidender Bedeutung. Die Branche müsse zusammen mit Akteuren des privaten und öffentlichen Sektors Experimente, Projekte, Kontaktstellen und anderen Initiativen auf den Weg bringen.

Bedarf an zusätzlichen Gesetzen sieht das QSFF nicht. Ein freiwilliger Rahmen zwischen Regulierungsbehörden und dem privaten Sektor dürfte ihm zufolge ausreichen, um Richtlinien für quantensichere Kryptografie festzulegen und die Standardisierung zwischen den Institutionen zu fördern. Europol verweist zudem darauf, dass der angestrebte Wechsel die Möglichkeit biete, Verschlüsselungspraktiken und die IT-Sicherheit generell zu verbessern. Es sei ein zukunftsorientierter Rahmen für die Handhabe von Kryptografie erforderlich.

Weiterlesen
  17 Aufrufe

Geheimbefehl: Apple soll Briten Behördenzugriff auf verschlüsselte iCloud geben

Der von Sicherheitsexperten, Bürgerrechtlern und Apple selbst kritisierte Investigatory Powers Act (IPA), den die britische Regierung überarbeitet hat, könnte die Sicherheit in der iCloud brechen. Eine durch das Sicherheits- und Spionagegesetz möglich gemachte Geheimanweisung verlangt von dem iPhone-Konzern, verschlüsselte Inhalte von Backups und weiteren Daten aller Nutzer weltweit auf Verlangen der Behörden im Vereinigten Königreich auszuleiten, schreibt die Washington Post in einem Exklusivbericht vom Freitag. Damit sei Apples Datenschutzversprechen an seine Kunden in Gefahr.

Anzeige

Der Befehl an Apple soll bereits im vergangenen Monat erteilt worden sein, er wurde nicht veröffentlicht. Er verlangt die "generelle Möglichkeit, vollständig verschlüsseltes Material einzusehen, und nicht nur die Unterstützung beim Knacken bestimmter Konten", so die Washington Post unter Berufung auf informierte Personen. In demokratischen Ländern sei dies bislang beispiellos. Sollte dies tatsächlich angewendet werden, hätten Nutzer keinerlei Schutz mehr und Apple (sowie viele andere Tech-Konzerne, die Verschlüsselung verteidigen) eine schwere Niederlage bei den Nutzerrechten erlitten.

IPA, bei Kritikern auch bekannt als "Snoopers' Charter" ("Schnüffel-Charta"), gilt bereits seit 2016, wurde allerdings zuletzt nachgeschärft. Apple hatte bereits vor einem Jahr vor einer "beispiellosen Grenzüberschreitung" durch die Londoner Regierung, damals noch unter den konservativen Tories, gewarnt. Die nun herrschende Arbeiterpartei (Labour) verfolgte den Kurs jedoch weiter. Apple teilte damals mit, das Vereinigte Königreich könne mit dem neuen IPA versuchen, ein geheimes Veto gegen neue Schutzmaßnahmen – also etwa eine verbesserte Verschlüsselung – einzulegen, das dann weltweite Auswirkungen hätte, "um zu verhindern, dass wir sie unseren Kunden jemals anbieten können". Genau das scheint jetzt passiert zu sein – wobei es sich sogar gegen vorhandene Verschlüsselung wendet.

Apple kommentierte den Bericht zunächst nicht. Die Anweisung kam laut Washington Post in Form einer sogenannten Technical Capability Note, in der es hieß, dass Apple Zugriff im Rahmen des IPA geben muss. Der iPhone-Konzern kann dagegen nur vor einem geheimen Panel Einspruch erheben, in dem es aber nur um Details geht – etwa zu den Kosten. Ein Richter muss dann entscheiden, ob die Anordnung zu den Anforderungen der Regierung passt. Während dieser Art von Berufungsverfahren darf Apple die Anordnung aber nicht aussetzen.

Weiterlesen
  16 Aufrufe

heise-Angebot: Online-Kurs mit Hochschulzertifikat: IT-Sicherheit in Produktionsanlagen

Die Bedrohung durch Cyberangriffe auf Produktionsanlagen nimmt rasant zu. Gleichzeitig steigen die Anforderungen an die Sicherheit von Operational Technology (OT), insbesondere durch neue EU-Vorgaben wie die NIS2-Richtlinie und den Cyber Resilience Act. „Die Risiken haben in den letzten Jahren deutlich zugenommen“, erklärt Prof. Dr. Karl-Heinz Niemann, Experte für Prozessinformatik und Automatisierungstechnik an der Hochschule Hannover (HsH). Genau hier setzt der Online-Zertifikatskurs IT-Sicherheit in Produktionsanlagen der HsH-Akademie in Kooperation mit iX an – eine Weiterbildung, die praxisnah und hochaktuell ist.

Anzeige

OT-Sicherheit in drei Wochenenden

Der Online-Kurs richtet sich an Fach- und Führungskräfte, die für den Schutz von Produktionsanlagen verantwortlich sind oder im Arbeitsalltag mit OT-Security in Berührung kommen. Die Teilnahme setzt Grundkenntnisse in der Automatisierungstechnik voraus. In insgesamt 24 Unterrichtseinheiten, verteilt auf drei Wochenenden, lernen die Teilnehmenden alles Wichtige über OT-Security – von der Grundlagenvermittlung bis hin zur praktischen Anwendung.

Der Schwerpunkt liegt auf der OT-Security-Norm IEC 62443, die für den sicheren Betrieb und die Planung von Produktionsanlagen entscheidend ist. Ergänzt werden die Inhalte durch aktuelle Themen wie Safety und Security sowie die Anforderungen neuer europäischer Regulierungen. Praxisorientierte Fallstudien helfen den Teilnehmenden dabei, das Gelernte direkt anzuwenden.

Weiterlesen
  17 Aufrufe

Datenleck bei Thermomix: Daten von 1 Million deutscher Nutzer im Darknet

Bei Vorwerk gab es ein Datenleck, wie der Anbieter für Haushaltsgeräte mitteilte. Die Lücke betraf das Forum "rezeptwelt.de" des Thermomix-Herstellers und führte dazu, dass Unbekannte massenhaft Nutzerdaten erbeuten konnten. Die Daten stehen im Darknet zum Verkauf. Alle Betroffenen sind informiert, die Lücke ist geschlossen. Dennoch rät Vorwerk Rezeptwelt-Mitgliedern, vorsichtig zu sein: Es drohen weitere Angriffe.

Anzeige

Aus dem Thermomix-Rezeptforum wurden millionenfach Mitgliederdaten abgezogen und stehen nun im Darknet zum Verkauf. Im Datensatz sind die persönlichen Daten von über drei Millionen Rezeptwelt-Mitglieder enthalten, darunter E-Mail-Adressen, Telefonnummern, Adressen und Kochkenntnisse. Laut Vorwerk-Stellungnahme bestand die Lücke nur drei Tage – vom 30. Januar bis zum 3. Februar 2025. Der Zugriff habe zudem nicht auf Vorwerk-eigene Server stattgefunden, sondern bei einem externen Dienstleister.

Neben einer guten Million deutscher Opfer sind jeweils zwischen drei- und vierhunderttausend englisch-, spanisch-, französisch-, italienisch- und polnisch- sowie gut 150.000 portugiesischsprachige Nutzer betroffen. Das Rezeptwelt-Forum richtet sich an eine weltweite Nutzerschaft – auch Thermomix-Anwender aus Australien und Tschechien tummeln sich dort.

Vorwerk hat unmittelbar nach dem Vorfall reagiert und konnte ihn schnell eingrenzen. In Zusammenarbeit mit Sicherheitsexperten und Datenschützern hat das Unternehmen ausschließen können, dass weitere Systeme oder etwa der Online-Shop betroffen sind. Das Unternehmen mahnt zur Vorsicht: Mit den gestohlenen Daten könnten Kriminelle nun glaubwürdige Phishingangriffe gegen Rezeptwelt-Mitglieder starten. Die Aufsichtsbehörden hat Vorwerk ebenso informiert wie alle betroffenen Nutzer.

Weiterlesen
  14 Aufrufe

Defekter Sicherheitspatch für HCL BigFix Server Automation repariert

Weil ein Sicherheitspatch fehlerhaft ist, ist die Serverautomationssoftware HCL BigFix Server Automation nach wie vor verwundbar. Nun haben die Entwickler reagiert.

Anzeige

Mit der Anwendung automatisieren Admins Tasks auf Servern, um etwa Updates in bestimmten Reihenfolgen zu installieren.

In einer Warnmeldung schreiben sie, dass die Lücke (CVE-2024-52798 "hoch") auf ein kaputtes Sicherheitsupdate für eine Schwachstelle (CVE-2024-45296 "hoch") aus November 2024 im gleichen Kontext zurückgeht. HCL zufolge können Angreifer an Ausgaben der Funktion path-to-regexp ansetzen, um die Leistung zu beeinträchtigen und DoS-Zustände zu provozieren. Bislang gibt es keine Hinweise auf laufende Attacken.

Davon sind alle Versionen bis einschließlich 9.5.70 betroffen. HCL BigFix SA REST API 9.5.71 ist die gegen die geschilderte Attacke abgesicherte Ausgabe. Hinweise zur Installation finden Admins in der Warnmeldung.

Weiterlesen
  13 Aufrufe

Angriffe mit Ransomware: 2024 wieder deutlich weniger Lösegeld gezahlt

Im vergangenen Jahr sind die Lösegeldzahlungen nach Angriffen mit Ransomware wieder deutlich zurückgegangen. Das hat Chainalysis ermittelt und sieht Maßnahmen von Strafverfolgungsbehörden, eine bessere internationale Zusammenarbeit und die häufigere Zahlungsverweigerung als ursächlich. Die Blockchain-Analysefirma hat für ihren "Crypto Crime Report" Ransomware-Zahlungen in einer Gesamthöhe von 814 Millionen US-Dollar gezählt, 35 Prozent weniger als im Jahr davor. Einen größeren Rückgang hat es demnach nur von 2021 auf 2022 gegeben, danach hatte sich die Gesamtsumme innerhalb eines Jahres aber wieder fast verdoppelt.

Anzeige

Wie Chainalysis weiter ausführt, war die Summe der Lösegeldzahlungen im ersten Halbjahr 2024 noch leicht gestiegen, nur um dann stark zu sinken. Diese Zweiteilung wurde demnach schon seit 2021 in jedem Jahr beobachtet, 2024 war sie aber deutlich ausgeprägter. Unter den zehn größten kriminellen Gruppen, die Angriffe mit Ransomware durchführen, hat mit Akira demnach nur eine einzige in diesem Zeitraum ihre Beute vergrößern können, beim Rest gab es teilweise deutliche Rückgänge. Verantwortlich waren auch Strafverfolgungsbehörden, die Banden wie Lockbit ausgehoben haben. Gleichzeitig sei beobachtet worden, dass nach solchen Aktionen nicht mehr direkt andere Banden in die Bresche gesprungen seien.

Ermittelt hat Chainalysis gleichzeitig, dass auf einschlägigen Seiten im vergangenen Jahr mehr Opfer von Ransomware genannt wurden, als je zuvor. Auch die Zahl solcher Seiten hat sich demnach mehr als verdoppelt. Das muss demnach aber nicht bedeuten, dass auch tatsächlich mehr Ransomware-Angriffe erfolgreich waren. So seien einige Banden dazu übergegangen, angebliche Opfer zu benennen, bei denen überhaupt keine Angriffe erfolgreich waren. Vor allem die Verantwortlichen für LockBit hätten versucht, durch eine Nennung veralteter oder schlicht erfundener Angriffe auch nach dem erfolgreichen Vorgehen durch Strafverfolgungsbehörden weiterhin relevant zu erscheinen.

Als weiteren Trend hat Chainalysis noch ausgemacht, dass die Lösegeldzahlungen weiterhin vor allem an große Kryptogeld-Börse, persönliche Wallets und sogenannte Bridges geflossen sind. Die vorher noch viel genutzten Mixer sind demnach völlig aus der Mode gekommen. Das unterstreiche, welche Erfolge staatliche Akteure haben können, etwa indem sie solche Dienste sanktionieren. Das war etwa Tornado Cash passiert, auch wenn diese Entscheidung im Herbst von einem US-Gericht als rechtswidrig eingeordnet wurde. Ein Jahr zuvor war es Behörden aus Deutschland und den USA gelungen, den Geldwäschedienst Chipmixer abzuschalten.

Weiterlesen
  8 Aufrufe

Sicherheitsexperten enthüllen triviale Datenlecks bei Legaltechs

Legaltech-Startups bieten ihren Kunden juristische Dienstleistungen an, die teil- oder vollautomatisiert sind und können so hocheffizient viele Fälle bearbeiten, um etwa Konsumentenrechte geltend zu machen. Doch mit dem Automatisierungsgrad rechtlicher Vorgänge steigt auch das Risiko, Datenpannen vollautomatisch mitzuliefern. Genau das ist gleich zwei Unternehmen aus der Legaltech-Branche in den vergangenen Monaten passiert. Der Chaos Computer Club (CCC) nahm sich der Fälle an.

Anzeige

Das LegalTech euFlight hat sich dem Verbraucherschutz verschrieben. Das Unternehmen möchte Fluggästen helfen, ihre Ansprüche wegen Flugausfällen oder -verspätungen durchzusetzen und kauft ihnen die Ansprüche mit einem Abschlag ab (Factoring). Die gesammelten Fluggastrechte setzt euFlight dann gegenüber den Fluglinien durch, notfalls auch mit rechtlichen Mitteln.

Bereits im September 2024 entdeckte der Sicherheitsforscher Matthias Marx auf einer Backend-Website von euFlight ein für jedermann zugängliches .git-Verzeichnis, womöglich Überbleibsel eines fehlerhaften Rollout-Prozesses. Dieses Verzeichnis enthält interne Metadaten des von Linus Torvalds ersonnenen Versionskontrollsystems, aber auch den gesamten Quellcode der betroffenen Applikation. In dem verbarg sich der Schlüssel für einen Datenschatz: Über das Backend-System hatte Marx Zugriff auf Daten mehrerer Tausend euFlight-Kunden und einige Datenbankserver des Unternehmens. Bei seinem kurzen Streifzug durch das euFlight-System fielen dem Hacker auch veraltete Passwort-Hashverfahren und unzureichende Authentifizierungsmechanismen auf. Marx, Mitglied des CCC, schaltete den Club ein. Der wiederum informierte das Unternehmen, welches die schlimmsten Lücken noch am selben Tag schloss.

Gegenüber heise security erklärte euFlight-Geschäftsführer Lars Watermann, wie es zu dem Leck kam: Bei der Übergabe an neue IT-Verantwortliche habe es eine Fehlkonfiguration gegeben, die den Zugriff auf das .git-Verzeichnis gestattete. Die angegriffene Software sei "Legacy", also Teil der technischen Schulden des Unternehmens gewesen. Man habe viele der vom CCC kritisierten Punkte bereits auf dem Zettel gehabt, so Watermann weiter. Das inkriminierte Backend habe seit Juli 2024 offen gestanden, außer dem CCC-Forscher habe jedoch niemand auf das Verzeichnis zugegriffen. Das sei schon lange behoben, mittlerweile seien aber auch die weiteren Verbesserungshinweise des Hackers umgesetzt.

Weiterlesen
  10 Aufrufe

Bitwarden erhöht Zugangssicherheit von Nutzerkonten

Der Passwort-Manager Bitwarden soll besser geschützte Zugänge erhalten. Nutzerinnen und Nutzer, die bislang keine Zwei-Faktor-Authentifizierung aktiviert haben, müssen bei Nutzung auf neuen, bislang unbekannten Geräten dann einen Bestätigungscode aus einer E-Mail angeben. Es handelt sich somit um eine Art erzwungene Zwei-Faktor-Authentifizierung "light". Der Mechanismus soll jetzt im Februar aktiviert werden.

Anzeige

Das hat Bitwarden kürzlich in einem Blog-Beitrag angekündigt. Passwort-Vaults seien ein wertvolles Ziel für Angreifer, schreibt das Projekt. Daher sei es wichtig, sicherzustellen, dass sie stark gesichert sind. "Bitwarden führt eine neue Verifikationsmaßnahme für Anmeldungen von unbekannten Geräten ein, um den Schutz von Konten ohne die Sicherheitsmaßnahme des 2FA-Log-ins erheblich zu verbessern", schreiben die Autoren, "dies stellt sicher, dass die sensiblen Informationen der Nutzerinnen und Nutzer in privater Hand und außerhalb der Reichweite von Angreifern bleiben."

Der beste Schutz für einen Bitwarden-Passwort-Vault sei demnach ein starkes Passwort, das niemals an anderer Stelle genutzt wurde. Die nächstbeste Variante sei der zweistufige Log-in mit Zwei-Faktor-Authentifizierung, um die Zugangssicherheit zu schützen. "Viele Nutzerinnen und Nutzer folgen diesen Empfehlungen, aber einige tun das nicht, was ihr Risiko erhöht, ein Opfer eines Cyberangriffs zu werden wie Credential Stuffing (dem automatischen Ausprobieren von Passwörtern) oder von Phishing", schreibt Bitwarden.

Der Mechanismus selbst ist relativ einfach: Kurz nach Eingabe der E-Mail-Adresse und des Passworts des Bitwarden-Kontos schickt Bitwarden einen Verifizierungscode an die hinterlegte E-Mail-Adresse, sofern der Server das Gerät nicht erkennt, 2FA nicht aktiviert ist und auch kein Single-Sign-On (SSO) genutzt wird. Betroffene benötigen dann Zugriff auf ihre E-Mails, um auf den Code zuzugreifen und ihn der Bitwarden-App zu übergeben.

Weiterlesen
  8 Aufrufe

Malware war auch im App Store: Stealer klauen Passwörter per OCR aus Screenshots

Sicherheitsforscher warnen erneut vor gewieften Stealer-Apps, die es auf Android- und erstmals offenbar auch auf iPhone-Nutzer abgesehen haben. Die SparkCat getaufte Malware versteckt sich in diversen unscheinbar wirkenden Apps, die über die offiziellen Hersteller-Läden Google Play und App Store vertrieben werden, wie die Sicherheitsfirma Kaspersky berichtet. Es sei das erste Mal, dass solche Malware in Apples App Store entdeckt wurde. Der Konzern habe diese inzwischen entfernt.

Anzeige

Die Masche ist ebenso einfach wie wohl auch effektiv: Die Apps bitten den Nutzer unter einem Vorwand, den Zugriff auf die Fotomediathek zu erlauben, etwa wenn dieser den Support des App-Anbieters kontaktieren will. Wird das gewährt, scannt die App unbemerkt die Fotos und vor allem Screenshots des Nutzers nach bestimmten Schlüsselbegriffen. Dafür kommt der Analyse zufolge Googles Texterkennung ML Kit zum Einsatz.

Mögliche Treffer extrahiert die Malware dann und lädt diese auf Server der Angreifer hoch. Vorrangig geht es ihnen um Kenntnis von Seed- respektive Wiederherstellungsphrasen von Krypto-Wallets, die Nutzer der Bequemlichkeit halber als Screenshot speichern. Mit solchen Phrasen lässt sich unmittelbar das Wallet auf einem anderen Gerät wiederherstellen und sämtliche darin enthaltene Kryptowährungen klauen. Die Malware ist flexibel genug, um auch andere sensible Daten wie Passwörter oder Nachrichten auszulesen, merkt Kaspersky an.

Laut Sicherheitsforschern zielen die Stealer-Apps bislang vorrangig auf Nutzer in Europa und Asien. Die Android-Versionen der Stealer seien rund 250.000 mal heruntergeladen worden; wie viele Downloads die iOS-Versionen zählen, bleibt unklar.

Weiterlesen
  22 Aufrufe

BSI-Analyse zeigt: Nextcloud Server speicherte Passwörter im Klartext

Das Münchener Unternehmen MGM Security Partners die Serveranwendung des Cloudanbieters Nextcloud analysiert und mehrere Schwachstellen gefunden. Angreifer konnten im Klartext gespeicherte Passwörter auslesen und die Zwei-Faktor-Authentifizierung umgehen. Die Untersuchung erfolgte im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als Teil des Projektes zur Codeanalyse von Open-Source-Software (CAOS 3.0). Nextcloud wies der Untersuchung zufolge 16 Sicherheitslücken mit hohem Gefahrenpotenzial auf. Die Entwickler haben bereits auf die Schwachstellen reagiert.

Anzeige

Neben der Open-Source-Anwendung selbst untersuchten die Forscher den Quellcode von vier offiziellen Plugins für die Zwei-Faktor-Authentifizierung (2FA). Der Nextcloud-Client für Desktop und Smartphone sowie Erweiterungen von Drittanbietern gehörten nicht zum Umfang der Analyse im Frühjahr 2023. Für insgesamt 43 Schwachstellen erhielten die Kontrolleure eine CVE-ID. Sie überprüften die Korrekturen und bei der Fertigstellung des Ergebnisberichtes im Juli 2024 erfüllten zwei Fixes noch nicht die Anforderungen der Prüfer. Das BSI veröffentlichte den Bericht verzögert, damit die Entwickler die Schwachstellen beheben können.

Die unter CVE-2024-37313 gemeldete Sicherheitslücke mit hohem Gefahrenpotenzial ermöglichte es Angreifern, die 2FA zu umgehen und einen Account mit ihnen bekannten Zugangsdaten zu übernehmen. Ein Dienst in der Serveranwendung prüft, ob eine Sitzung eine 2FA zum Login benötigt. Mögliche Ausnahmen sind etwa für App-Passwörter vorgesehen. Ein Implementierungsfehler hatte zur Folge, dass die 2FA für alle Sitzungstypen ausgesetzt ist, wenn die Sitzung zur Eingabe des Einmalkennworts abgelaufen ist. Dazu kann der Angreifer abwarten oder eine ungültige Sitzungs-Passphrase versenden.

Eine weitere Lücke erkannten die Prüfer beim Austausch von Dateien zwischen zwei Nextcloud-Instanzen. Aufgrund fehlender Authentifizierungsmechanismen konnte die empfangende Instanz den Eigentümer der Datei seitens der sendenden Instanz nicht überprüfen. Zwar müssen Nutzer eine Anfrage zum Dateiempfang bestätigen. Weil sich Angreifer aber als ein beliebiger Nutzer der sendenden Instanz ausgeben konnten, ließen sich so bösartige Dateien verschicken.

Weiterlesen
  17 Aufrufe

Cisco stopft Sicherheitslücken in mehreren Produkten – auch kritische

Cisco hat acht Sicherheitsmitteilungen veröffentlicht, in denen das Unternehmen Sicherheitslücken in mehreren Produkten behandelt. Mindestens eine Schwachstelle gilt den Entwicklern als kritisches Risiko. IT-Verwalter sollten die Installation der bereitstehenden Updates zeitnah einplanen.

Anzeige

Am gravierendsten sind Sicherheitslücken in Ciscos Identity Services Engine (ISE). Angreifer mit lesendem Admin-Zugriff können beliebige Befehle aufgrund einer unsicheren Deserialisierung von Daten in der API einschleusen und ihre Rechte ausweiten (CVE-2025-20124, CVSS 9.9, Risiko "kritisch"). Zudem können bösartige Akteure mit Leserechten aufgrund unzureichender Rechteprüfungen in der API sensible Informationen lesen, Konfigurationen ändern oder den Node neustarten (CVE-2025-20125, CVSS 9.1, kritisch).

In Ciscos IOS, IOS XE und IOS XR können Angreifer zudem Denial-of-Service-Attacken gegen anfällige Geräte starten. Ursächlich sind mehrere Schwachstellen im Simple Network Management Protocol (SNMP)-Subsystem der Software. Sofern sie angemeldet sind, können sie aus dem Netz einen DoS provozieren (CVE-2025-20169, CVE-2025-20170, CVE-2025-20171, CVE-2025-20172, CVE-2025-20173, CVE-2025-20174, CVE-2025-20175, CVE-2025-20176, alle CVSS 7.7, hoch; sowie im Speziellen für CVE-2025-20172 in IOS XR CVSS 4.3, mittel).

Cisco schreibt zu allen Sicherheitslücken, dass das Unternehmen zum Meldungszeitpunkt keine Kenntnis über bereits erfolgten Missbrauch der Schwachstellen durch Angreifer hat.

Weiterlesen
  20 Aufrufe

Malwarebytes sagt Rekordjahr für Ransomware voraus

Der Sicherheitsanbieter Malwarebytes geht davon aus, dass KI-Agenten in diesem Jahr die Cyberkriminalität revolutionieren werden. Das soll es Cyberkriminellen erlauben, ihre Taktiken kontinuierlich weiterzuentwickeln und 2025 unter anderem zu einem Rekordjahr für Ransomware zu machen.

In dem Bericht „State of Malware 2025“ rät Malwarebytes Unternehmen, sich auf KI-gestützte Ransomware-Angriffe vorzubereiten. „Neue KI-Agenten, die selbstständig analysieren, planen und handeln können, werden die Taktiken von Cyberkriminellen weiter revolutionieren und Angriffe im Jahr 2025 noch effizienter und skalierbarer gestalten. Insbesondere zum aktuellen Zeitpunkt, zu dem Unternehmen zunehmend KI zur Steigerung von Produktivität und Sicherheit verwenden, nutzen auch Cyberkriminelle die Technologie immer öfter, um ihre Phishing-Kampagnen zu verbessern, unentdeckt zu bleiben und ihre Angriffstaktiken zu optimieren“, erklärte Malwarebytes.

Das technologische Wettrüsten zwischen KI-gestützten Angriffen und KI-gestützten Cybersicherheitsmaßnahmen beschleunige sich. Es zwinge Unternehmen zudem, ihre traditionellen Verteidigungsstrategien zu überdenken. „Da sich jedoch auch die KI selbst rasant weiterentwickelt, sollten IT-Sicherheitsteams die Möglichkeiten KI-gestützter Bedrohungserkennung und -reaktion in ihre Sicherheitsstrategien integrieren, um mit der zunehmenden Geschwindigkeit und technologischen Komplexität von KI-gestützten Cyberangriffen Schritt zu halten und diese effektiv abzuwehren“, ergänzte Malwarebytes.

2024 stiegt dem Bericht zufolge die Zahl der bekannten Ransomware-Angriffe im Vergleich zum Vorjahr um 13 Prozent. Auch sei 2024 die bisher größte bekannte Ransomware-Lösegeldzahlung in Höhe von 75 Millionen Dollar verzeichnet worden. „Wenn uns das Jahr 2024 etwas gelehrt hat, dann ist es die Tatsache, dass sich auch Ransomware-Gruppen nicht auf ihren Lorbeeren ausruhen können“, sagt Lee Wie, SVP Customer & Product, Corporate Unit bei Malwarebytes. „Der gesamte Angriffszyklus hat sich inzwischen von Wochen auf Stunden und in einigen Fällen sogar auf Minuten reduziert. Unternehmen müssen ihre Endpunkte daher rund um die Uhr im Auge behalten, um Cyberbedrohungen abzuwehren. Dies bedeutet in vielen Fällen, dass sie verwaltete Dienste wie Managed Detection and Response (MDR) nutzen müssen, um ihre Teams dabei zu unterstützen, Lücken in der Verteidigung zu schließen.“

Original Autor: Stefan Beiersmann

  17 Aufrufe

Hacker nutzen DeepSeek und Qwen zur Entwicklung bösartiger Inhalte aus

Hacker tauschen sich darüber aus, wie sie die Modelle manipulieren und unzensierte Inhalte anzeigen können und es gibt Methoden, um die Zensur von KI-Modellen zu entfernen. Dazu gehören ausführliche Anleitungen für Jailbreaking-Methoden, die Umgehung von Betrugsbekämpfungsmaßnahmen und die Entwicklung von Malware selbst.

Erstellung bösartiger Inhalte mit wenig Einschränkungen

Sowohl Qwen als auch DeepSeek haben sich als leistungsstarke Werkzeuge zur Erstellung bösartiger Inhalte mit minimalen Einschränkungen erwiesen. Cyber-Kriminelle haben wiederholt mit Hilfe von Qwen verschiedene Infostealer erstellt, die vor allem darauf aus sind, sensible Informationen von ahnungslosen Benutzern abzufangen. Während ChatGPT in den letzten zwei Jahren erheblich in Missbrauchsschutzmaßnahmen investiert hat, scheinen diese neueren Modelle nur wenig Widerstand gegen Missbrauch zu bieten. Dies weckt das Interesse von Angreifern auf verschiedenen Ebenen, insbesondere von weniger qualifizierten, die vorhandene Skripte oder Tools ohne tiefes Verständnis der zugrunde liegenden Technologie nutzen. Allerdings sind trotz der Missbrauchs-Schutzmechanismen von ChatGPT bereits unzensierte Versionen von ChatGPT in verschiedenen Repositories im Dark Net verfügbar. In dem Maße, in dem jedoch diese neuen KI-Modelle an Popularität gewinnen, ist zu erwarten, dass ähnliche unzensierte Versionen von DeepSeek und Qwen auftauchen werden, was die damit verbundenen Risiken weiter erhöht.

Jailbreaking Prompts

Jailbreaking bezieht sich auf Methoden, die es Nutzern ermöglichen, KI-Modelle zu manipulieren, um unzensierte oder uneingeschränkte Inhalte zu erzeugen. Diese Taktik hat sich zu einer bevorzugten Technik entwickelt, um die KI-Funktionen für böswillige Zwecke nutzen zu können. Cyber-Kriminelle fordern DeepSeek zum Jailbreak auf und können die Reaktionen des Modells manipulieren, darunter Methoden wie die Do Anything Now-Methode und Techniken wie die Plane-Crash-Survivors-Methode.

Cyberkriminelle fordern DeepSeek zum Jailbreak auf, Teil I (Quelle: Check Point Research 2025).

Bypassing Banking Protections

Es wurden mehrere Chat-Diskussionen über Techniken zur Verwendung von DeepSeek zur Umgehung der Schutzmaßnahmen von Bankensystemen gefunden, was auf das Potenzial für einen erheblichen Finanzdiebstahl hinweist.

Chat-Diskussionen zur Initiierung von Finanzdiebstahl (Quelle: Check Point Research 2025).

Der Aufstieg von KI-Modellen wie Qwen und DeepSeek markiert einen besorgniserregenden Trend in der Cyber-Welt, wo hochentwickelte Tools zunehmend für böswillige Zwecke missbraucht werden. Da Hacker fortschrittliche Techniken wie Jailbreaking einsetzen, um Schutzmaßnahmen zu umgehen und Informationsdiebstahl, Finanzdiebstahl und Spam-Verbreitung zu entwickeln, müssen Unternehmen dringend präventive Schutzmaßnahmen gegen diese sich entwickelnden Bedrohungen implementieren, um einen robusten Schutz zu gewährleisten.

Weiterlesen
  20 Aufrufe

Quartalssicherheitsupdates: F5 rüstet BIG-IP-Appliances gegen mögliche Angriffe

Netzwerkadmins mit BIG-IP-Appliances sollten die weiterführenden Informationen zum Quartalssicherheitsupdates von F5 studieren. Die Entwickler haben diverse Softwareschwachstellen geschlossen, über die Angreifer Geräte etwa abstürzen lassen können.

Anzeige

In einem Beitrag zum Sammelupdate listet der Netzwerkausrüster die betroffenen Produkte und die jeweiligen Sicherheitsupdates auf. Eine komplette Auflistung sprengt den Rahmen dieser Meldung. Beispielsweise ist die iControl-REST-Komponente (CVE-2025-20029 "hoch") von BIG-IP (alle Module) verwundbar.

An dieser Stelle kann ein entfernter authentifizierter Angreifer mit einer präparierten Anfrage ansetzen, um eigene Kommandos auf Systemebene auszuführen. Auch das Erstellen und Löschen von Dateien ist an dieser Stelle vorstellbar.

Wenn das Routing-Profil von BIG-IP auf einem virtuellen Server konfiguriert ist, kann die Verarbeitung von Datenverkehr dazu führen, dass übermäßig viel Speicher beansprucht wird (CVE-2025-20058 "hoch"). So etwas endet oft in einem DoS-Zustand, was zu Abstürzen führt. Im schlimmsten Fall verarbeiten Appliances dann keinen Traffic mehr und es kommt zu Netzwerkproblemen.

Weiterlesen
  15 Aufrufe

HP: Kritische Lücken in Universal-Druckertreiber ermöglichen Codeschmuggel

In den Universal-Druckertreibern für PCL6 und Postscript von HP klaffen kritische Sicherheitslücken. Angreifer können dadurch Schadcode einschleusen und ausführen. Updates stehen bereit, die IT-Verantwortliche zügig installieren sollten.

Anzeige

Nach der Installation des Treiber-Updates muss der Drucker neu eingerichtet werden.

(Bild: Screenshot / dmk)

HP hat eine Sicherheitsmitteilung veröffentlicht, die die Schwachstellen im Universal Print Driver sowohl für PCL6 als auch Postscript beschreibt. Demnach gehen die Schwachstellen auf die im Treiber genutzten Dritthersteller-Komponenten zurück. Im Speziellen sind das libjpeg, libpng, OpenSSL und zlib. Darin klaffen die Sicherheitslücken CVE-2017-12652 (Ausführung von eingeschleustem Code, CVSS 9.8, Risiko "kritisch"), CVE-2022-2068 (auch Ausführung von untergubeltem Code, CVSS 9.8, kritisch), CVE-2023-45853 (Informationsleck, CVSS 9.8, kritisch) sowie CVE-2020-14152 (Denial of Service, CVSS 7.1, hoch).

Weiterlesen
  16 Aufrufe

CISA warnt vor Angriffen auf Linux, Apache OFBiz, .NET und Paessler PRTG

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor jüngst beobachteten Angriffen in freier Wildbahn auf Schwachstellen in Linux, Apache OFBiz, Microsofts .Net-Framework und Paessler PRTG. IT-Verantwortliche sollten daher rasch prüfen, ob die aktuellen Sicherheitsupdates dafür installiert sind und das gegebenenfalls nachholen.

Anzeige

In der Nacht zum Donnerstag hat die CISA eine Warnung vor einer bei einem Angriff missbrauchten Sicherheitslücke im Linux-Kernel herausgegeben. Die Schwachstelle betrifft den USB-Video-Class-Treiber (UVC), der beim Verarbeiten von Videoströmen Frames mit dem Typ "UVC_VS_UNDEFINED" übersprungen hat, was zu Schreibzugriffen außerhalb vorgesehener Grenzen führen kann, da diese Frames bei der Berechnung einer Puffergröße nicht berücksichtigt wurden (CVE-2024-53104). Die Lücke wurde Anfang des vergangenen Dezembers bekannt, Kernel-Updates zum Schließen des Lecks stehen seitdem bereit.

Kurz zuvor hat die CISA zudem vor weiteren Angriffen im Netz gewarnt. Angreifer nehmen demnach Sicherheitslücken in Apache OFBiz (CVE-2024-45195, Fix seit September 2024 verfügbar), in Microsofts .Net-Framework (CVE-2024-29059, Korrekturen seit März 2024 erhältlich) sowie in Paessler PRTG ins Visier (CVE-2018-9276, Juli 2018 gefixt, und CVE-2018-19410, im November 2018 behoben).

Die CISA nennt keine weitergehenden Details, etwa wie die Angriffe aussehen, wie weitreichend sie sind, welche Auswirkungen sie haben oder wie sich attackierte Systeme identifizieren lassen. Jedoch stehen für alle angegriffenen Sicherheitslücken Softwareupdates bereit, die die Lücken schließen. IT-Verantwortliche, die die betroffenen Produkte einsetzen, sollten prüfen, ob alle Instanzen auch auf aktuellem Stand und somit abgesichert sind.

Weiterlesen
  16 Aufrufe

Deep will Unterwassersiedlungen in allen Ozeanen aufbauen

Elon Musk glaubt, die Zukunft der Menschheit liege auf dem Mars. Das britische Unternehmen Deep hingegen sieht sie im Meer. Dafür entwickelt Deep mehrere Habitate, in denen Menschen 200 Meter unter der Meeresoberfläche leben können. Getestet werden sie künftig in einem 80 Meter tiefen See in einem stillgelegten Steinbruch in der Grafschaft Gloucestershire, nahe der Grenze zu Wales.

Anzeige

Starten will Deep mit dem Modul Vanguard, in dem drei Menschen Platz finden sollen. Gedacht ist es als unterseeische Basis für Taucher, etwa für Expeditionen oder auch für Rettungsmissionen wie bei der im vergangenen Jahr gesunkenen Superyacht Bayesian des britischen Unternehmers Mike Lynch. Wenn die Taucher eine Basis am Meeresgrund haben, dann verlängert sich die Einsatzdauer im Wasser.

Vanguard ist für kürzere Missionen gedacht. Das modulare System Sentinel hingegen soll längere, mehrere Wochen dauernde Aufenthalte in der Tiefe ermöglichen. Ein Sentinel-Segment soll einen Durchmesser von 6 Metern haben, wird also zwei Stockwerke hoch. Es wird aus etwa 3 Meter großen Sektionen bestehen, die beliebig kombiniert werden können.

Gefertigt werden die Module aus einem Spezialstahl in einem additiven Verfahren. Dafür hat Deep kürzlich eine eigene Fertigungssparte gegründet. Zunächst sollen die Roboter Komponenten für Sentinel bauen. Deep Manufacturing plant aber, auch als Auftragsfertiger tätig zu sein.

Weiterlesen
  26 Aufrufe

Google unterstützt Ausbildungsprogramm für bessere IT-Sicherheit an TU München

Google.org, der gemeinnützige Arm des Internetkonzerns Alphabet, gibt jährlich etwa 100 Millionen US-Dollar für nicht kommerzielle Zwecke aus. Bis zu eine Million fließt nun an die TU München.

Anzeige

Die Technische Universität München hat mit Unterstützung aus dem kalifornischen Silicon Valley ein neuartiges Ausbildungsprogramm zur Verbesserung der Cybersicherheit in Deutschland gestartet. Über 200 Studierende haben dabei die Möglichkeit, die an der Uni erworbenen Fähigkeiten im Bereich Cybersicherheit in realen Situationen anzuwenden, teilen die TU München und Google.org mit.

Die Hochschule in München ist die einzige deutsche Universität, die im Rahmen dieses Cybersicherheits-Programms gefördert wird. Weltweit erhalten mehr als 20 Universitäten Mittel aus dem Fördertopf, der insgesamt 15 Millionen Dollar enthält.

Durch das Programm sollen mehr als 250 Unternehmen und gemeinnützige Organisationen in Deutschland unterstützt werden, die typischerweise als besonders gefährdet für Cyberangriffe gelten. Mit dem Projekt strebe man an, hohe Sicherheitsstandards zu erreichen. Betroffenen Einrichtungen sollen Cyberangriffe besser abwehren können.

Weiterlesen
  25 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image