Comretix Blog

Am 30. September und 1. Oktober findet die heise devSec 2025 statt. Die neunte Auflage der Konferenz zu sicherer Softwareentwicklung wandert dieses Jahr nach Regensburg. Weiterhin lautet das Motto "Sichere Software beginnt vor der ersten Zeile Code".

Anzeige

Die heise devSec 2025 richtet sich an IT-Profis, die das Thema Security im Blick haben und sich den damit verbundenen Herausforderungen stellen müssen. Vor allem Softwareentwicklerinnen und -architekten, Projektleiter und Teamleiterinnen sowie Sicherheits- und Qualitätsbeauftragte nehmen an der heise devSec teil.

Im Call for Proposals suchen die Veranstalter iX, heise Security und dpunkt.verlag bis zum 11. April Vorträge und Workshops unter anderem zu folgenden Themen:

Erfahrungsberichte sind besonders gern gesehen. Das Programm wird Mitte Mai veröffentlicht. Bis dahin können Frühentschlossene Tickets für die Herbstkonferenz zum besonders günstigen Blind-Bird-Tarif von 1049 Euro kaufen.

Google zufolge nutzen mehrere staatlich geförderte Hackergruppen den KI-gestützten Assistenten Gemini, um ihre Produktivität zu steigern und mögliche Angriffsziele zu erforschen. Wie Bleeping Computer berichtet, hat Googles Threat Intelligence Group (GTIG) festgestellt, dass Hacker Gemini hauptsächlich einsetzen, um effizienter zu arbeiten, und nicht um neuartige KI-gestützte Cyberangriffe zu entwickeln, die traditionelle Abwehrmechanismen umgehen können.

Anzeige

Besonders aktiv waren laut Google APT-Gruppen aus dem Iran und China. Zu den häufigsten Anwendungsfällen zählten:

Die Hacker setzten Gemini in verschiedenen Phasen des Angriffszyklus ein, wobei sich die Schwerpunkte je nach Herkunftsland unterschieden:

Google beobachtete auch Versuche, öffentliche Jailbreaks gegen Gemini einzusetzen oder Prompts umzuformulieren, um die Sicherheitsmaßnahmen der Plattform zu umgehen. Diese Versuche blieben bisher erfolglos.

An jedem ersten Februar eines Jahres wiederholt sich der "Ändere dein Passwort-Tag". IT-Experten sind sich einig, dass er ein sogar kontraproduktives Verhalten empfiehlt: Häufige (erzwungene) Passwort-Wechsel sorgen nicht für sicherere Passwörter, da die meisten Betroffenen sich ein einfach merkbares (und somit knackbares) Schema ausdenken. Sie nutzen oftmals mit einem simplen Muster abgeleitete Passwörter, regelmäßig etwa mit Jahreszahlen verbunden. Der Chaos Computer Club fordert deshalb sogar die Abschaffung dieses Gedenktags.

Anzeige

Passwörter sollte man daher besser dann wechseln, wenn sie zu schwach sind, sie vermutlich geknackt wurden – oder Bestandteil eines der häufigen Datenlecks sind. Hier ist schnell der praktische Tipp zur Hand: Nutzen Sie einen Passwort-Manager! Der benötigt nur noch ein Master-Passwort oder gar ein biometrisches Kennzeichen zum Entsperren und nimmt dann beliebig komplexe Passwörter für Zugänge auf. Oftmals sogar über das Netz auf mehrere Endgeräte synchronisierbar. Das steigert den Komfort bereits enorm. Jedes Konto bekommt ein eigenes, schwer zu knackendes Passwort, das sich Nutzerinnen und Nutzer gar nicht merken müssen, da der Passwort-Manager es auf Desktop-PC, Tablet und Smartphone gleichermaßen bereitstellt.

Die Passwort-Manager bringen in der Regel zudem integrierte Passwortgeneratoren mit. Sie helfen dabei, solche schwer zu brechenden Passwörter automatisch zu erstellen. Die Komplexität lässt meist beliebig vorgeben.

KI-basierte Werkzeuge können helfen, Schwachstellen schneller zu erkennen und gezielt zu analysieren. Dadurch können Sicherheitsprozesse effizienter gestaltet und die Zeitvorteile gegenüber potenziellen Angreifern maximiert werden. Doch wann ist der Einsatz von KI-Werkzeugen sinnvoll und wann sollten herkömmliche Methoden bevorzugt werden?

Anzeige

Der iX-Workshop Künstliche Intelligenz für effiziente IT-Sicherheitsstrategien stellt verschiedene KI-Methoden und -Werkzeuge vor und zeigt, wann und wie sie sinnvoll eingesetzt werden können.

In unserem iX-Workshop erhalten Sie einen umfassenden Überblick über technische Sicherheitsaudits und Abwehrmaßnahmen sowie verschiedene KI-Tools. Sie haben die Möglichkeit, diese in praktischen Übungen auszuprobieren und deren Vor- und Nachteile kennen zu lernen. Dabei wird zwischen sinnvollen und weniger sinnvollen Einsatzmöglichkeiten unterschieden. Etwa 25% des Workshops sind der praktischen Anwendung des Gelernten gewidmet.

Der Workshop stellt konkrete Anwendungsszenarien für die vorgestellten Werkzeuge und Methoden vor. Sie lernen, wie Sicherheitsprozesse mit Hilfe von Künstlicher Intelligenz effizienter gestaltet werden können. Sie erfahren, wie Sie Schwachstellenscans und Penetrationstests schneller und besser auswerten können und wie Blue Teams von der automatisierten Bedrohungserkennung und der frühzeitigen Reaktion auf Angriffe profitieren.

Daniel Stenberg, Erfinder und Hauptentwickler des Open Source-Kommandozeilentools cURL, hat in einem Blogeintrag einmal mehr das CVE-Ökosystem (Common Vulnerabilities and Exposures) kritisiert. Im Fokus seiner aktuellen Kritik: das mit CVE eng verknüpfte Schwachstellenbewertungssystem CVSS (Common Vulnerability Scoring System).

Anzeige

Nach Stenbergs Meinung birgt der Prozess des CVSS-Scorings schon per se ein hohes Risiko für Fehleinschätzungen. Diese Gefahr werde allerdings noch dadurch verschärft, dass speziell autorisierte Instanzen wie die US-Behörde CISA beliebige bestehende CVEs um eigene Punkteberechnungen ergänzen können.

In der Vergangenheit war die nachträgliche "Anreicherung" von CVE-Einträgen um fehlende Zusatzinformationen wie CVSS-Scores Aufgabe der NVD (National Vulnerabbility Database). Nach einem massiven Rückstau unbearbeiteter CVEs übernimmt dies seit letztem Jahr jedoch primär die US-Cybersicherheitsbehörde CISA. In einem GitHub-Repository zum sogenannten "Vulnrichment-Projekt" vervollständigt sie systematisch sämtliche liegengebliebenen, aber auch neuen Einträge.

Stenberg protestierte bereits im September vergangenen Jahres öffentlich gegen einen seiner Ansicht nach falschen CVE-Eintrag. Auch grundsätzliche CVSS-Kritik äußerte er schon in früheren Blogeinträgen.

Kriminelle missbrauchen Sicherheitslücken in der Fernwartungssoftware SimpleHelp RMM, um in PCs und Netzwerke einzudringen. IT-Sicherheitsforscher haben eine Kampagne beobachtet, bei der Geräte initial durch diese Schwachstellen angegriffen wurden.

Anzeige

In einem Blog-Beitrag schreiben die Mitarbeiter von Arctic Wolf, dass knapp eine Woche vor der Entdeckung dieser Kampagne die IT-Forscher von Horizon3.ai drei Sicherheitslücken in SimpleHelp RMM aufgespürt und Informationen dazu veröffentlicht haben. Es handelt sich um drei Sicherheitslücken. Die gravierendste ermöglicht die Rechteausweitung von niedrig privilegierten Techniker-Zugang zum Server-Admin (CVE-2024-57726, CVSS 9.9, Risiko "kritisch").

Zudem können Angreifer ohne vorherige Anmeldung beliebige Dateien vom SimpleHelp-Server herunterladen, was Horizon3.ai als die schlimmste Sicherheitslücke aus dem Lücken-Trio einordnet, die CVSS-Einstufung spiegelt das aber nicht wider (CVE-2024-57727, CVSS 7.5, hoch). Die dritte Schwachstelle ermöglicht das Hochladen von Dateien an beliebige Stellen auf dem SimpleHelp-Server, sofern Admin-Zugriff (etwa als SimpleHelpAdmin oder Techniker mit Admin-Rechten) möglich ist. Unter Linux können bösartige Akteure durch das Hochladen einer crontab-Datei aus der Ferne Befehle ausführen (CVE-2024-57728, CVSS 7.2, hoch).

Die SimpleHelp-RMM-Versionen 5.3.9, 5.4.10 und 5.5.8 stopfen diese Sicherheitslücken. IT-Verantwortliche sollten so rasch wie möglich aktualisieren, sofern das noch nicht geschehen ist.

Dell NetWorker, NetWorker Virtual Edition und NetWorker Management Console sind verwundbar. Attacken auf die Schwachstellen sind vorstellbar. Admins sollten die Sicherheitspatches daher zeitnah installieren.

Anzeige

In einer Warnmeldung von Dell schreiben die Entwickler des Unternehmens, dass vor allem verschiedene Drittanbieter-Komponenten wie OpenSSL verwundbar sind. Eine Lücke (CVE-2025-21107, Risiko "hoch") betrifft die Backupsoftware aber auch direkt. An dieser Stelle können Angreifer mit lokalem Zugriff und mit niedrigen Nutzerrechten ansetzen, um Schadcode auszuführen. Wie so eine Attacke ablaufen könnte, führen die Autoren der Mitteilung aber nicht aus.

Dell gibt an, die Sicherheitsprobleme in den Ausgaben 19.11.0.03 und 19.12 gelöst zu haben. Das Sicherheitsupdate zum Schließen einer weiteren Schwachstelle (CVE-2024-7348, Risiko "hoch") steht jedoch noch aus. Dell will es im Februar zu einem nicht näher eingegrenzten Datum verfügbar machen.

Bislang gibt es keine Berichte zu bereits laufenden Attacken in freier Wildbahn. Admins sollten sich aber nicht zu lange in Sicherheit wägen und ihre Systeme zügig absichern.

Wenn Teams für den Zugriff von externen Kontakten konfiguriert ist, können sich unter Umständen unerwünschte Gäste in vertrauliche Firmen-Meetings einklinken. Das will Microsoft nun mit einem neuen Schutzmechanismus effektiver verhindern.

Anzeige

Das geht aus einem Beitrag im Microsoft 365 Admin-Message-Center hervor, der aber nur für Teams-Admins abrufbar ist. Möchte ein externer Kontakt an einem Meeting teilnehmen, soll Microsofts Identity-Protection-Ansatz anspringen. Der soll Phishingversuche erkennen und Warnmeldungen einblenden. Dabei warnen Textfenster dann unter anderem davor, dass unbekannte externe Kontakte eine Gefahr sein können und etwa auf geschäftliche Interna aus sind.

Ab Mitte Februar soll Teams über eine automatisch aktivierte neue Schutzfunktion effektiver vor Phishingversuchen warnen.

(Bild: Microsoft)

In Zoho ManageEngine Applications Manager gefährdet eine Sicherheitslücke die betroffenen Installationen. Bösartige Akteure können dadurch ihre Rechte ausweiten und weiteren Schaden anrichten.

Anzeige

In einer Sicherheitsmitteilung erklärt Zohocorp, dass eine "vertikale Rechteausweitungsschwachstelle" in ManageEngine Applications Manager vorliegt. Ein delegierter Admin kann ohne Autorisierung Admin-Zugriff durch Veränderung der User-Group-Parameter erlangen. Dies erfolge durch die API, die Nutzerprofile aktualisieren kann (CVE-2024-41140, CVSS 8.1, Risiko "hoch").

Der Sicherheitsmitteilung zufolge stellt Zohocorp bereits seit Anfang Januar aktualisierte Software bereit, die dieses Sicherheitsleck abdichtet. Die Veröffentlichung der Informationen zum CVE-Eintrag CVE-2024-41140 erfolgte jedoch erst Mitte dieser Woche. Betroffen ist demnach ManageEngine Applications Manager bis einschließlich der Version v173900. Die Schwachstelle haben die Entwickler hingegen in den Versionen 170008 bis 170099, 173303 bis 173399 sowie 174000 und neueren Fassungen ausgebessert.

Auf der Zohocorp-Webseite stehen die Service-Packs zum Abdichten der Lücke zum Herunterladen bereit. Da die Schwachstelle vom Hersteller als hochriskant eingestuft wird, sollten IT-Verantwortliche mit der Aktualisierung nicht warten, sondern sie zeitnah durchführen. Cyberkriminelle greifen Schwachstellen in Zoho ManageEngine-Software öfter an. Etwa nach Veröffentlichung eines Proof-of-Concept-Exploits durch ein IT-Sicherheitsunternehmen erfolgten rasch Attacken auf Schwachstelle CVE-2022-47966 in 24 Produkten aus der Palette.

Broadcom warnt vor fünf Sicherheitslücken in VMware Aria Operations for Logs und VMware Aria Operations sowie VMware Cloud Foundation. Angreifer können unbefugt auf Informationen zugreifen und so etwa Zugangsdaten ausspähen, und damit weiteren Schaden anrichten.

Anzeige

In der Sicherheitsmitteilung schreiben die VMware-Entwickler, dass bösartige Akteure mit Nur-Lesen-Admin-Rechten die Zugangsdaten von VMware-Produkten auslesen können, die in VMware Aria Operations for Logs hinterlegt sind (CVE-2025-22218, CVSS 8.5, Risiko "hoch"). Außerdem können Angreifer mit nicht-administrativen Berechtigungen ein Informationsleck missbrauchen, um Zugangsdaten für ein Plug-in zu erlangen, sofern sie eine gültige Dienst-Zugangs-ID kennen (CVE-2025-22222, CVSS 7.7, "hoch").

Weiterhin meldet Broadcom eine Stored Cross-Site-Scripting-Schwachstelle in VMware Operations for Logs, durch die Angreifer bösartige Skripte einschleusen können, die beliebige Operationen als Admin ausführen kann (CVE-2025-22219, CVSS 6.8, mittel). Eine ähnlich gelagerte Lücke ermöglicht Angreifern mit Admin-Rechten, ein Skript in Browser von Opfern einzuschmuggeln, was ausgeführt wird, wenn diese eine Lösch-Operation in der Agent-Konfiguration anstoßen (CVE-2025-22221, CVSS 5.2, mittel). Schließlich können aufgrund defekter Rechteprüfungen nicht-administrative Nutzerkonten mit Netzwerkzugriff auf die Aria Operations for Logs-API einige Aufgaben im Kontext eines Admin-Nutzers ausführen (CVE-2025-22220, CVSS 4.3, mittel).

Die Sicherheitslücken schließen VMware Aria for Operations und VMware Aria for Operations for Logs mit der Version 8.18.3. Für VMware Cloud Foundation 4.x und 5.x wurden bereits am Donnerstag Updates bereitgestellt, die mit dem VMware Aria Suite Lifecycle Manager ausgerollt werden können.

Angreifer können an mehreren Schwachstellen im Open-Source-PHP-Paket Voyager zum Verwalten von Laravel-Anwendungen ansetzen und im schlimmsten Fall Schadcode ausführen. Sicherheitsupdates gibt es bislang nicht.

Anzeige

Voyager ist ein Admin-Interface für mit Laravel erstelle Apps. Darüber können Entwickler unter anderem Menüs für ihre Anwendungen erstellen. Den Angaben der offiziellen Website zufolge, wurde Voyager bislang mehr als 2,3 Millionen Mal heruntergeladen.

Sicherheitsforscher von Sonar sind insgesamt auf drei Lücken (CVE-2024-55415, CVE-2024-55416, CVE-2024-55417) gestoßen, für die eine Einstufung des Bedrohungsgrads offensichtlich noch aussteht. Angreifer können unter anderem die Überprüfung beim Hochladen von Dateien umgehen, um eigenen Code auf Servern auszuführen. Bringen sie einen Admin dazu, auf einen präparierten Link zu klicken, kann ebenfalls Schadcode auf Systeme gelangen und diese komprimieren.

In einem Beitrag geben die Forscher an, die Entwickler mehrmals kontaktiert zu haben, aber bislang keine Antwort erhalten zu haben. Softwareentwickler, die Voyager nutzen, sind demzufolge angreifbar. Ob es bereits Attacken gibt, ist zurzeit nicht bekannt.

Europol hat unter Federführung deutscher Behörden zwei der größten Cybercrime-Foren vom Netz genommen. Strafverfolger aus acht Ländern waren beteiligt, die die Plattformen mit zusammen mehr als zehn Millionen Nutzern ausgehoben haben.

Anzeige

Die Foren zeigen derzeit eine Hinweis-Plakette mit den Logos der beteiligten Behörden, dass die Webseite beschlagnahmt wurde. Wie Europol in der Mitteilung erklärt, handelt es sich bei den kriminellen Foren um "Cracked.io" und "Nulled.to". Sie haben einen schnellen Einstiegspunkt in die Cybercrime-Szene geboten. Die Seiten seien zentrale Anlaufstellen gewesen und dienten nicht nur der Diskussion unter Cyberkriminellen, sondern auch als Marktplätze für illegale Güter und Cybercrime-as-a-Service, etwa für gestohlene Daten, Malware oder Hacking-Tools, führt Europol aus.

Die Operation lief vom Dienstag, den 28. Januar bis zum heutigen Donnerstag. Dabei kam es zu zwei Verhaftungen von Verdächtigen, sieben Durchsuchungen von Immobilien und der Beschlagnahme von 17 Servern, 50 elektronischen Geräten sowie rund 300.000 Euro in bar und Kryptowährungen.

Außerdem beschlagnahmten die Ermittler zwölf Domains, die zu Cracked und Nulled gehörten. Sie haben auch weitere damit in Verbindung stehende Server stillgelegt. Dazu gehört ein Finanzabwickler namens "Sellix", der auf der Cracked-Plattform zum Einsatz kam. Ebenso erging es einem "StarkRDP" genannten Hosting-Dienst, der auf beiden Plattformen beworben und von den gleichen Verdächtigen betrieben wurde.

Im Rahmen der "Operation Shield V" zielte Europol zwischen April und November 2024 zusammen mit Strafverfolgungsbehörden, Zoll, Anti-Doping-Behörden und weiteren Einrichtungen aus 30 Ländern auf den Schmuggel von Dopingmitteln und Medikamenten, die für falsche Zwecke vermarktet werden sollten oder gefälscht wurden. Der Wert der Beschlagnahmungen beläuft sich nach Angaben der Behörde auf mehr als 11,1 Millionen Euro.

Anzeige

Der Handel mit gefälschten Medikamenten finde größtenteils in sozialen Medien, auf Online-Marktplätzen sowie im Darknet statt, teilte Europol mit. "Netzwerke aus der organisierten Kriminalität verkaufen minderwertige, falsch etikettierte oder gefälschte pharmazeutische Produkte sowie Produkte, die aus der legalen Lieferkette abgezweigt wurden, und stecken hinter einer breiten Palette illegaler Arzneimittel und Dopingmittel", so Europol. "Der Kauf gefälschter Arzneimittel finanziert Kriminelle, gefährdet die Gesundheit der Verbraucher und untergräbt die Wirtschaft. Die Verbraucher sollten gewarnt sein, dass sie durch den Kauf gefälschter Arzneimittel das organisierte Verbrechen finanzieren und sich selbst schaden."

Der Handel mit gefälschten Medikamenten nehme zu, hält Europol fest, mit hohen Kosten für Individuen und die Gesellschaft. Pharma-Kriminalität habe einen direkten Einfluss auf die öffentliche Gesundheit und Sicherheit, sie betreffe neben dem Einzelnen auch die Gemeinschaft und nationale Gesundheitssysteme. Im Rahmen der Operation Shield V haben die Strafverfolger 418 Personen verhaftet, angeklagt oder strafrechtlich verfolgt. Zudem untersuchten sie 52 Banden, die der organisierten Kriminalität zugerechnet werden.

Zudem konnten die Ermittler vier Untergrundlabore ausheben. Unter den beschlagnahmten Gegenständen waren mehr als 426.000 Packungen illegaler pharmazeutischer Präparate, 4111 Kilogramm an Pulvern und Rohmaterial, 108 Liter aktiver Zutaten, knapp 175.000 Ampullen und Fläschchen und mehr als 4,6 Millionen Tabletten und Pillen.

Ein massives Datenleck betrifft potenziell hunderttausende Patienten der ZAR-Reha-Kliniken in ganz Deutschland. Abrufbar waren unter anderem hochsensible medizinische Berichte. Die betroffenen Reha-Zentren stehen unter dem Dach der Nanz medico, nach eigenen Angaben der größte Anbieter ambulanter Reha-Leistungen in Deutschland. Insgesamt gehören dazu 39 Reha-Kliniken.

Anzeige

In der Wochenliste der "ZAR PAT"-App sind alle Termine der Patienten gelistet.

(Bild: Nanz medico GmbH & Co. KG)

Die ZAR-Reha-Zentren bieten je nach Standort Therapiemöglichkeiten für Orthopädie, Neurologie, Kardiologie, Onkologie und Psychosomatik an. Zur Kommunikation zwischen Patient und Reha-Zentrum dient eine App namens ZAR PAT, mit der Patienten im Rahmen der Behandlung etwa Tages- und Wochenpläne komfortabel einsehen können. Allein die Android-Version der App wurde über 100.000 Mal heruntergeladen.

Das Mirai-Botnetz expandiert und unbekannte Angreifer kompromittieren dafür derzeit bestimmte Router von Zyxel und Telefoniegeräte von Mitel. Für betroffene Mitel-Geräte gibt es bereits seit Sommer vergangenen Jahres Sicherheitspatches. Für die verwundbaren Zyxel-Router der CPE-Serie ist bislang kein Update verfügbar.

Anzeige

In welchem Umfang die Angriffe ablaufen, ist derzeit nicht bekannt. Werden infizierte Geräte ins Botnetz aufgenommen, dienen sie primär als Rechenknechte für DDoS-Attacken.

Vor den Attacken auf Zyxel-SIP-Phones warnen Sicherheitsforscher von Akamai in einem Beitrag. An der Sicherheitslücke (CVE-2024-41710 "mittel") sollen Angreifer mit der auf dem Mirai-Botnet basierenden Malware Aquabot ansetzen. Dabei handele es sich den Forschern zufolge mittlerweile um die dritte bekannte Version des Trojaners.

In dieser Ausgabe soll die Malware erstmals Alarm schlagen und die Command-and-Control-Server der Angreifer kontaktieren, wenn versucht wird, die Schadfunktionen auf dem Gerät zu deaktivieren. Das konnten die Sicherheitsforscher aber eigenen Angaben zufolge bislang nicht reproduzieren.

In Dells Enterprise Sonic Distribution hat das Unternehmen eine Sicherheitslücke entdeckt. Sie ermöglicht die vollständige Kompromittierung betroffener Systeme.

Anzeige

Dell Enterprise Sonic ist ein System zum Netzwerkmanagement, vorrangig für Cloud-Umgebungen – Dell nennt insbesondere auch private Clouds von Unternehmen als "Zielgruppe". Damit lässt sich Software etwa für die Lastverteilung mittels Containern verteilen und über ein zentrales Management verwalten. Unterstützt werden aber auch Edge- und Enterprise-Rechenzentrum-Funktionen, etwa für Switches von Dell.

In einer Sicherheitsmitteilung warnt Dell nun davor, dass Angreifer aus dem Netz mit erhöhten Rechten sensible Informationen in die Logs schleusen können. Das können sie missbrauchen, um unbefugt auf Informationen zuzugreifen (CVE-2025-23374, CVSS 8.0, Risiko "hoch"). Die hohe Risikoeinschätzung spricht dafür, dass das möglicherweise wichtige Informationen wie Zugangsdaten betrifft – immerhin erörtert Dell, dass Angreifer dadurch Systeme vollständig kompromittieren können.

Wie solche Angriffe im Detail aussehen könnten, wie IT-Verantwortliche sie erkennen oder ob sie temporäre Gegenmaßnahmen zur Abmilderung der Auswirkungen der Sicherheitslücke umsetzen können, erörtert Dell hingegen nicht. Auch weitergehende Informationen dazu, wie die Sicherheitslücke entdeckt und ob sie eventuell bereits missbraucht wurde, lässt sich der Sicherheitsmitteilung nicht entnehmen.

Während die meisten beim Thema Sicherheit sofort an Firewalls und Verschlüsselung denken, wird ein Aspekt oft übersehen: die physische Sicherheit. Die physische IT-Sicherheit sorgt dafür, dass IT-Systeme vor physischen Gefahren geschützt werden oder solche Bedrohungen gar nicht erst entstehen. Die Maßnahmen können unterschiedlich sein und reichen von gesicherten Computergehäusen bis hin zu hochsicheren Zugangskontrollen für Rechenzentren.

Anzeige

Im Workshop Beyond Bits: Physische Sicherheit in der IT – von Angriffsmethoden zu Schutzstrategien erfahren Sie, warum es wichtig ist, IT-Landschaften auch physisch gegen Angriffe abzusichern und lernen, wie Sie dies effektiv tun können.

In diesem Workshop führen Sie gemeinsam einen simulierten physischen Penetrationstest gegen ein fiktives Unternehmen durch. Dabei kommen reale Angriffsmethoden wie Lockpicking, Bypassing, Social Engineering und der Diebstahl von RFID-Credentials zum Einsatz. So lernen Sie die Techniken und Taktiken der Angreifer kennen, wie diese Schutzmaßnahmen umgehen und welche wirksamen Schutzmaßnahmen und Verhaltensrichtlinien es gibt, um sich gegen solche Angriffe zu wehren. Darüber hinaus werden Verhaltensrichtlinien für Mitarbeiter gegen die oft unterschätzte Gefahr des Social Engineering erarbeitet.

Der Workshop legt großen Wert auf Praxisnähe und Interaktion. Um das Gelernte auf das eigene Unternehmen anwenden zu können, erarbeiten Sie in einer Gruppenaufgabe eine Checkliste zum physischen Zugangsschutz. Diese hilft, bestehende Sicherheitsmaßnahmen besser einzuschätzen, vorhandene Schwachstellen selbst zu erkennen und notwendige Schutzmaßnahmen auszuwählen.

Der Hype um die chinesische KI-Schmiede DeepSeek ruft auch Kriminelle auf den Plan. Diese versuchen, mit gefälschten Kryptowährungen Opfer um ihr Geld zu bringen oder über gefälschte Webseiten Malware zu verteilen. DeepSeek hat derweil die Sicherheit schleifen lassen: Eine Datenbank mit sensiblen Informationen stand offen im Netz.

Anzeige

Die IT-Sicherheitsforscher von Wiz schreiben in einem Blog-Beitrag, dass sie aufgrund der Aufregung um den jungen KI-Star DeepSeek nach Sicherheitslücken gesucht haben und rasch fündig wurden. "Innerhalb von Minuten haben wir eine öffentlich zugreifbare ClickHouse-Datenbank mit Verbindung zu DeepSeek gefunden – vollständig offen und ohne Authentifizierung, Zugriff auf sensible Daten gewährend. Sie wurden unter 'oauth2callback.deepseek.com:9000' sowie 'dev.deepseek.com:9000' gehostet", schreiben die IT-Forscher.

In der Datenbank fand sich demnach ein "signifikantes Volumen an Chat-Verläufen, Backend-Daten und sensibler Informationen, einschließlich Log-Streams, API-Secrets und operative Details". Als kritisch stufen die Wiz-Forscher ein, dass eine vollständige Kontrolle der Datenbank sowie eine potenzielle Rechteausweitung innerhalb der DeepSeek-Umgebung möglich war, ohne jede Authentifizierung oder Verteidigungsmechanismen nach außen. Nach Hinweisen der IT-Forscher habe DeepSeek die Datenbanken umgehend gesichert.

Derweil springen auch Kriminelle auf den DeepSeek-Zug auf und wollen daraus illegal Kapital schlagen. Auf X teilt BSCN mit, dass Betrüger falsche DeepSeek-Kryptowährungen aufsetzen und damit massiven finanziellen Schaden anrichten.

Ein internationales Team von Cybersicherheitsforschern meldet zwei Sicherheitslücken in Apples aktuellen M2- und M3-Prozessoren entdeckt zu haben. An den Analysen war unter anderem Professor Yuval Yarom von der Ruhr-Universität Bochum beteiligt.

Anzeige

Die erste Lücke nutzt Eigenschaften des von Apple eingeführten Load Value Predictor (LVP) aus, der Berechnungen beschleunigt, indem er Arbeitsschritte vorhersagt und die zu ladenden Daten aus dem Speicher antizipiert. Der Prozessor führt Berechnungen basierend auf diesen Vorhersagen durch und vergleicht seine Annahmen mit den tatsächlichen Daten, sobald diese eintreffen. Stellt sich seine Vorhersage als falsch heraus, verwirft er die vorausberechneten Ergebnisse und rechnet mit den korrekten Daten neu.

Dieser Vorgang ist laut dem Forschungsteam fehleranfällig: "Wenn der LVP falsch rät, kann die CPU unter spekulativer Ausführung beliebige Berechnungen mit falschen Daten durchführen". Dadurch, so das Team in einer Pressemeldung vom heutigen Mittwoch, lassen sich kritische Prüfungen in der Programmlogik für die Speichersicherheit umgehen. Die Umgehung wiederum eröffnet Angriffsflächen zum Ausspähen von Daten, die im Speicher abgelegt sind. Laut der Analyse, die die Forscher im Fachaufsatz "FLOP: Breaking the Apple M3 CPU via False Load Output Predictions" veröffentlicht haben, seien Angriffe auf Webbrowser möglich. Die Meldung der Ruhr-Universität Bochum führt Safari und Chrome als Beispiele auf. Prinzipiell könnten vertrauliche Daten wie Suchverläufe, Kalendereinträge und Kreditkartendetails ausgespäht werden.

Die zweite Lücke fand das Team in Apple-Chips der Serien M2 und A15. Sie bezieht sich auf den Load Address Predictor (LAP), der die nächste Speicheradresse vorhersagt, von der die CPU Daten abrufen wird. Bei einer fehlerhaften Vorhersage können willkürliche Berechnungen gestartet werden: "Dies ermöglicht einen End-to-End-Angriff auf den Safari-Browser", erläutert das Team. Angreifer könnten damit Browseraktivitäten ausspähen. E-Mail-Inhalte, die per HTTP (also mittels der Browser-Engine) von fernen Servern abgerufen werden, könnten ebenso in falsche Hände geraten. Die Ergebnisse zur LAP-Lücke beschreibt das Team in der Facharbeit "SLAP: Data Speculation Attacks via Load Address Prediction on Apple Silicon".

Sie arbeiten in einem kleinen bis mittelgroßen Unternehmen (KMU) und möchten Ihre Sicherheit verbessern? In unserem iX-Workshop Effiziente IT-Sicherheit für kleine und mittlere Unternehmen erhalten Sie an zwei Vormittagen sinnvolle Ansätze für einen kosteneffizienten Schutz und lernen praxisnahe Lösungen und Strategien kennen – speziell auf die Bedürfnisse von KMUs zugeschnitten.

Anzeige

Ausgehend von der aktuellen Bedrohungslage im Bereich der Informationstechnologie erläutern Ihnen unsere Sicherheitsexperten, welche konkreten Schritte Sie unternehmen können, um Ihr Unternehmen abzusichern. Sie erfahren, wie Sie auch mit begrenzten Ressourcen effiziente Maßnahmen ergreifen können, um Ihre IT-Sicherheit zu verbessern und Risiken zu minimieren. Neben grundlegenden Tätigkeiten, Best Practices und typischen Fallstricken werden auch praktische Meilensteine für Ihre Projektplanung vorgestellt.

Dieser Einführungsworkshop legt den Fokus auf einen allgemeinen Überblick über die relevanten Themen und Technologien. Diskussionen dienen der Veranschaulichung der Inhalte und Sie haben die Möglichkeit, sich aktiv einzubringen und Fragen zu stellen. Trainer dieses Kurses sind Sicherheitsexperten der secuvera GmbH: Ann-Kathrin Udvary - leitende Cybersicherheitsberaterin und Viktor Rechel - leitender Cybersicherheitsberater.

Der Workshop richtet sich an Unternehmen mit 10 bis 1.000 Mitarbeitenden, die über kein oder nur ein rudimentäres Informationssicherheits-Managementsystem (ISMS) verfügen. Dabei spielt es keine Rolle, ob Sie Ihre IT-Administration selbst durchführen oder an einen IT-Dienstleister ausgelagert haben. Er dient als Einführung in das Thema Cyber- und IT-Sicherheit und richtet sich daher vorrangig an diejenigen, die in ihrer Firma für Geschäftsrisiken, Strategie und/oder Administration zuständig sind.