Comretix Blog

Das redaktionell ausgewählte Programm der secIT 2025 platzt aus allen Nähten: Erstmals finden die Vorträge auf drei Bühnen statt und obendrein gibt es noch etliche Workshops zu aktuellen IT-Security-Themen. Teilnehmer erfahren unter anderem, wie sie Systeme erfolgreich vor gängigen Angriffsmustern absichern. Es gibt aber auch viele essenzielle Tipps, wie sich Unternehmen nach einer bereits erfolgten Attacke am effizientesten aufstellen, damit der Betrieb so schnell wie möglich wieder starten kann.

Anzeige

Den Großteil der Referenten und Themen haben die Redaktionen von c't, heise security und iX ausgewählt. Diese Programmpunkte sind werbefrei und versprechen hilfreiche Fakten, die Admins direkt in ihren Unternehmen für mehr Sicherheit umsetzen können.

Dr. Swantje Westpfahl ist unter anderem NIS2-Expertin und bereichert die secIT 2025 mit einem Workshop zur Thematik. Außerdem nimmt sie an der NIS2-Podiumsdiskussion teil.

Die secIT 2025 startet am 18. März mit mehreren Ganztagsworkshops. Dabei geht es unter anderem um API-Sicherheit, das effiziente Absichern von Active Directory, NIS2 sowie M365 und Entra ID. Am 19. und 20. März gibt es viele Vorträge und Halbtagesworkshops. Die Kongressmesse findet im Hannover Congress Centrum (HCC) statt. Tickets gibt es derzeit noch bis 15. Februar vergünstigt im Onlineshop. Ein Tagesticket kostet 79 statt 99 Euro und für beide Tage sind 119 statt 139 Euro fällig. Im Ticketshop kann man auch die Workshops buchen.

Cyberkriminelle versuchen, Opfern Infostealer unterzuschieben, indem sie diese um Teilnahme an vermeintlichen Beta-Tests von Spielen bitten. Insbesondere auf Discord-Diskussionsservern läuft diese Kampagne derzeit.

Anzeige

In einem Blogbeitrag erklären die Virenanalysten von Malwarebytes, dass die Drahtzieher potenziellen Opfern Direktnachrichten auf Discord senden. Weitere Kanäle sind Textnachrichten und E-Mails. Oftmals käme die Nachricht vom angeblichen Entwickler selbst; das sei eine übliche Methode, um Opfer zu ködern.

Zeigen sich die Angesprochenen interessiert, schicken die Kriminellen einen Downloadlink und ein Passwort für das Archiv, das den Installer enthält. Die Links führen unter anderem zu Dropbox, Catbox und oftmals sogar in das Content-Delivery-Network (CDN) von Discord selbst. Dafür nutzen die Angreifer kompromittierte Zugänge, die für mehr Glaubwürdigkeit sorgen sollen, erörtern die IT-Sicherheitsforscher.

Sie haben die Malware sowohl als NSIS-, als auch als MSI-Installer verpackt beobachtet. Darin finden sich mehrere Varianten, Malwarebytes nennt Nova Stealer, Ageo Stealer oder Hexon Stealer. Die letzten beiden werden als Malware-as-a-Service (MaaS) angeboten, bei denen die Kriminellen die Malware und zugehörige Infrastruktur von anderen Tätern mieten können. Ausgelegt scheint die Malware darauf zu sein, im Webbrowser gespeicherte Zugangsdaten abzugreifen und Session-Cookies für Plattformen wie Discord und Steam sowie Informationen zu Krypto-Wallets zu stehlen.

Sind Webanwendungen nicht ausreichend geschützt, werden sie früher oder später das Ziel von Angriffen und öffnen so die Tür zu sensiblen Daten und internen Unternehmensnetzwerken. Über die häufigsten Sicherheitslücken informiert das Open Web Application Security Project (OWASP®) in seinen Top Ten Web Application Security Risks.

Anzeige

Im iX-Workshop OWASP Top 10®: Kritische Sicherheitsrisiken für Webanwendungen verstehen erklärt und demonstriert Björn Kaidel die Schwachstellen aus der Top-10-Rangliste und ihre Auswirkungen. Sie lernen dabei nicht nur die Risiken kennen, sondern erfahren auch, wie Sie Schwachstellen in der eigenen IT aufspüren und beheben können, um sich so bestmöglich gegen Cyberattacken und Datendiebstahl zu schützen. Es handelt sich um einen Grundlagenworkshop, Vorwissen zum Thema Webanwendungssicherheit wird nicht benötigt.

Sicherheitsexperte Björn Kaidel arbeitet bei der secuvera GmbH in den Bereichen Penetrationstests und Prüfstelle, wo er unter anderem eine Sicherheitsmethodik für einen internationalen Großkunden mitentwickelt und Produktprüfungen durchgeführt hat.

Der Workshop richtet sich an Entwickler, Product Owner, Sicherheitsverantwortliche, Softwarearchitekten und Admins. Ein grundlegendes Verständnis von Webanwendungen sowie Grundkenntnisse in Programmierung und Informationssicherheit werden vorausgesetzt.

Microsofts Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst Entra ID – bisher bekannt als Azure Active Directory – ist als zentraler Bestandteil vieler Unternehmensnetzwerke ein beliebtes Ziel für Ransomware und andere Angriffe.

Anzeige

Im zweitägigen Online-Workshop Angriffe auf und Absicherung von Entra ID erfahren Sie, wie Angreifer Fehlkonfigurationen in Microsofts Identitätsverwaltungsdienst und fehlende Härtungsmaßnahmen erkennen und ausnutzen. Darauf aufbauend zeigt Ihnen Thomas Kudlacek, wie Sie Ihre Entra ID-Umgebung inklusive der Azure-Dienste effektiv absichern und gibt Ihnen Empfehlungen. Mit den Unterlagen, die Sie in dieser Schulung erhalten, können Sie im Anschluss selbstständig üben.

Der nächste Workshop findet vom 27. bis 28. Februar 2025 statt und richtet sich an Kolleginnen und Kollegen aus den Bereichen Administration, IT-Leitung und IT-Sicherheit. Thomas Kudlacek ist Cyber Security Specialist bei der Cyber Security Academy von Oneconsult. Zuvor war er als Penetrationstester für einen internationalen Dienstleister tätig.

Wie das Fraunhofer-Institut für Arbeitswirtschaft und Organisation (IAO) in Stuttgart jetzt mitteilte, wurde es am 27. Dezember Ziel eines Ransomware-Angriffs. Der Angriff hat demnach zu einer Beeinträchtigung bestimmter Systeme und Daten geführt. Der genaue Umfang des Schadens lasse sich aktuell noch nicht bestimmen.

Anzeige

Nach aktuellen Erkenntnissen handele es sich um einen lokalen Vorfall, der allein das IAO betrifft, heißt es in einer Pressemitteilung. Das Institut arbeite eng mit IT-Sicherheitsexpertinnen und -experten und den zuständigen Ermittlungsbehörden zusammen, um den Vorfall vollständig zu analysieren und geeignete Maßnahmen zu ergreifen. Entsprechend wurden Vorkehrungen zur maximalen Begrenzung weiterer Schäden getroffen.

Es könne nicht ausgeschlossen werden, dass es zu einer unzulässigen Offenlegung personenbezogener Daten gegenüber Dritten gekommen sein könnte. Das Fraunhofer IAO verarbeite personenbezogene Forschungsdaten grundsätzlich in einer Form, die keine direkten Rückschlüsse auf natürliche Personen zulässt.

Dennoch kann nicht völlig ausgeschlossen werden, dass im Einzelfall Betroffenen Nachteile aus einer ungewollten Veröffentlichung entstehen könnten. Fraunhofer überwacht die Entwicklung engmaschig und will Betroffene bei entsprechender Indikation informieren. Ebenso seien die bayerische Datenschutzbehörde entsprechend rechtlicher Vorgaben informiert worden, sowie wie Sicherheits- und Polizeibehörden. Auch einen Teil der Kooperationspartner habe das IAO über den Vorfall informiert. Aus ermittlungstaktischen Gründen könnten zum aktuellen Zeitpunkt keine weiteren Details zu dem Vorfall bekannt gegeben werden.

Hacken wie die Hacker: Im iX-Workshop Sich selbst hacken - Pentesting mit Open-Source-Werkzeugen lernen Sie, wie Angreifer vorgehen, um Fehlkonfigurationen und andere Schwachstellen in der Unternehmens-IT aufzuspüren und auszunutzen. Mit den gewonnenen Erkenntnissen fällt es Ihnen leichter, Ihre eigenen Systeme effektiv abzusichern.

Anzeige

Unter dem Stichwort OSINT (Open Source Intelligence) lernen Sie zunächst jene Techniken kennen, mit deren Hilfe sich öffentlich verfügbare Informationen über eine Organisation oder ein Unternehmen sammeln und auswerten lassen - und damit auch mögliche Hintertüren ins System, wie etwa kompromittierte Passwörter. Mit verschiedenen frei verfügbaren Open Source-Werkzeugen und Audit-Tools können im nächsten Schritt Untersuchungen auf Netzwerkebene durchgeführt, Web-Applikationen überprüft oder auch Möglichkeiten der Privilegien-Eskalation unter Windows und Linux aufgedeckt werden.

Ein Schwerpunkt des Workshops liegt auf der Überprüfung von Microsofts zentralem Verzeichnisdienst Active Directory, da dieser ein beliebtes Angriffsziel für Hacker ist. Erfahren Sie, wie Sie Schwachstellen in diesem zentralen Element der Unternehmens-IT aufdecken und gezielt beheben können. Ebenso kommen Maßnahmen wie die Implementierung einer Mehr-Faktor-Authentifizierung und die differenzierte Vergabe von Berechtigungen zur Sprache, um Ihre IT-Systeme effektiv abzusichern.

Als Referent steht Ihnen Philipp Löw, erfahrener Pentester bei der Oneconsult Deutschland AG, zur Verfügung. Profitieren Sie in diesem spannenden Workshop, von seinem Fachwissen und seinen praktischen Erfahrungen.

Zahlreiche Entwickler von Erweiterungen für den Google Chrome Browser wurden über Weihnachten Opfer eines Phishing-Angriffes – mit drastischen Konsequenzen: Unbewusst gewährten sie den Tätern Zugriff auf den im Chrome Web Store hinterlegten Quellcode ihrer Anwendungen. Die Cyberkriminellen nutzten das, um neue, schädliche Versionen der Chrome-Extensions zu hinterlegen. So erhielten sie Zugriff auf sensible Nutzerdaten auf rund 2,6 Millionen Geräten.

Anzeige

Insgesamt sind laut einer Analyse der IT-Sicherheitsberatung Annex mindestens 29 Chrome-Erweiterungen betroffen. Die Tech-Nachrichtenseite Ars Technica spricht sogar von 33 betroffenen Erweiterungen. Jedoch ist es durchaus möglich, diese Zahlen (Stand: 3. Januar 2025) nochmal nach oben korrigieren – angesichts des Ausmaßes und der Dauer der Phishing-Kampagne, welche dahintersteckt. Als Sicherheitsexperten einem erfolgreichen Phishing-Angriff auf einen Entwickler der Extension "Cyberhaven" auf den Grund gingen, kamen ArsTechnica und Annex zufolge auch zahlreiche weitere Kompromittierungen von Chrome-Extensions ans Licht.

Wie Cyberhaven mitteilt, versuchten die Angreifer, Login-Daten für SSocial-Media-Accountsund KI-Anwendungen abzugreifen. Laut der IT-Sicherheitsberatung Annex soll die Cyberhaven-Version der Angreifer auf Login-Daten für ChatGPT abgezielt haben, offenbar aber erfolglos. Cyberhaven rät Nutzern dringend, die Passwörter aller Facebook-Accounts, welche auf betroffenen Geräten genutzt wurden, zu ändern. Zudem sollten Nutzer prüfen, ob die schädliche Version noch verwendet wird und diese gegebenenfalls aktualisieren.

Im Fall von Cyberhaven fiel ein Mitarbeiter auf eine falsche Mail rein, in der sich die Angreifer als Google-Vertreter ausgaben. In der Folge ermöglichte er es den Tätern unbewusst, eine neue, schädliche Version der Cyberhaven-Erweiterung im Chrome Web Store zu hinterlegen. Die Cyberhaven-Erweiterung soll ihre Nutzer davor schützen, unabsichtlich sensible Daten in E-Mails oder auf Websites preiszugeben.

Sie planen, ein Information Security Management System (ISMS) gemäß ISO 27001 einzuführen? In unserem interaktiven iX-Workshop IT-Sicherheit nach ISO 27001 umsetzen erhalten Sie eine fundierte Einführung in die Grundlagen der internationalen Norm für Informationssicherheit und profitieren von Best Practices und Lösungsansätzen für die erfolgreiche Umsetzung in Ihrem Unternehmen.

Anzeige

Trainer dieser Schulung sind Sicherheitsexperten der secuvera GmbH: Ann-Kathrin Udvary - leitende Cybersicherheitsberaterin und Viktor Rechel - leitender Cybersicherheitsberater. An zwei Vormittagen begleiten Sie unsere Trainer durch den Workshop, machen Sie mit grundlegenden Tätigkeiten, aber auch typischen Fallstricken vertraut und stellen Ihnen wichtige Meilensteine der Projektplanung vor. Die Inhalte des Workshops werden durch Gruppenarbeiten und Diskussionen veranschaulicht und vertieft, um einen praxisnahen Lernansatz zu gewährleisten.

Der nächste Workshop findet am 28. und 29. Januar 2025 statt und richtet sich an Informationssicherheitsbeauftragte, IT-Mitarbeitende und Führungskräfte, die einen fundierten Einblick in das Thema erhalten möchten.

Ein US-Forscherteam hat Millionen Sterne auf GitHub als verdächtig aufgedeckt. Die Betrugsmasche dient dem Promoten bösartiger Aktivitäten, um Phishing, Cheats, Crypto-Bots und letztendlich Malware zu verteilen. Zur Analyse entwickelten die Forscherinnen und Forscher das Tool StarScout. Als Fazit warnen sie davor, den Sternchen als alleiniges Qualitätsmerkmal zu vertrauen, und empfehlen, weitere Kriterien hinzuzuziehen.

Anzeige

In ihrer Studie analysieren die Forscherinnen und Forscher von der Carnegie Mellon University, von Socket Inc. und von der North Carolina State University alle Events der letzten fünf Jahre im GH Archive, einem BigQuery-Warehouse, das alle GitHub-Events archiviert: 60,54 Millionen User, 0,31 Milliarden Repositories, 0,61 Milliarden Sterne und 6,01 Milliarden andere Events – 20 Terabyte an Daten. Gesucht wurde nach abnormalem Verhalten in den Aktivitäten, insbesondere wenig Aktivität, diese aber im Gleichklang mit anderen Accounts. Das vom Team verwendete Verfahren basiert auf CopyCatch, das ursprünglich der Aufdeckung von Fake-Likes bei Facebook diente.

Mit dem CopyCatch-Verfahren analysiert StarScout die Daten aus dem GH Archive.

(Bild: Hao He u.a./Arxiv.org)

Wenn IBM Db2 oder Db2 Warehouse auf der Datei- und KI-Plattform Cloud Pak for Data laufen, können Angreifer an insgesamt 35 Sicherheitslücken ansetzen und im schlimmsten Fall Schadcode ausführen. Eine dagegen abgesicherte Version ist verfügbar.

Anzeige

In einem Beitrag führen die Entwickler aus, die Schwachstellen in der Ausgabe 5.1.0 geschlossen zu haben. Drei Lücken (CVE-2024-41110, CVE-2022-0759, CVE-2024-27281) sind mit dem Bedrohungsgrad "kritisch" eingestuft. A diesen Stellen können sich Angreifer als Man-in-the-Middle einklinken, die Authentifizierung umgehen oder sogar Schadcode ausführen. Kommt es zu letzterem, gelten Systeme in der Regel als vollständig kompromittiert.

Die Schwachstellen betreffen Komponenten wie glibc, GNU C Library und Java SE. Admins sollten sicherstellen, dass die gegen die geschilderten Attacken geschützte Version installiert ist. Bislang gibt es noch keine Berichte zu laufenden Attacken. Leider stellt IBM keine Informationen bereit, wie man bereits angegriffene Systeme erkennen kann.

Hochrangige Verantwortliche bei Unternehmen sind das Ziel von immer mehr "hyper-personalisierten" Phishing-Mails, die mithilfe von KI-Generatoren verfasst werden. Davor warnen der britische Versicherungskonzern Beazley und andere Firmen, berichtet die Financial Times. Die Situation werde immer schlimmer, zitiert die Zeitung die Sicherheitschefin von Beazley, die von gezielten Angriffsversuchen spricht, denen das Scraping "immenser Mengen" an Informationen über die attackierte Person zugrunde liegen. Ein Manager des Softwareunternehmens Check Point habe erst jüngst darauf hingewiesen, dass es KI-Technik Kriminellen ermögliche, "die perfekte Phishing-Mail" zu verfassen.

Anzeige

Als Phishing-Mail werden Nachrichten bezeichnet, die den Anschein erwecken, dass sie von einer vertrauenswürdigen Person kommen, hinter denen in Wahrheit aber betrügerische Absichten stecken. Die britische Zeitung verweist auf Analysen, denen zufolge die mit Abstand meisten erfolgreichen Cyberattacken mit Phishing beginnen, auf das jemand hereinfällt. Dank der raschen und großen Fortschritte bei der Entwicklung von KI-Technik können diese ersten Kontaktaufnahmen nun noch viel stärker auf Zielpersonen zugeschnitten werden und das ganz automatisiert. Dafür können sie beispielsweise anhand von Aktivitäten der Zielpersonen in sozialen Netzwerken trainiert werden.

"Die Verfügbarkeit von generativen KI-Werkzeugen senkt die Eintrittshürde für fortgeschrittene Cyberkriminalität", meint deshalb auch die bei eBay angestellte Sicherheitsforscherin Nadezda Demidova. Zwar würden alle Arten von Cyberangriffen zunehmen, das Wachstum bei "ausgefeilten und gezielten" Phishing-Mails sei aber besonders hoch, wird sie von der Financial Times zitiert. Herkömmliche Mailfilter könnten außerdem Probleme bekommen, wenn KI-Technik genutzt wird, um in rascher Folge tausende E-Mails mit unterschiedlichem Wortlaut zu generieren. Führungskräfte sind für solche Angriffsversuche besonders lohnenswerte Ziele, es ist aber davon auszugehen, dass solche Angriffe auch gegen den Rest der Bevölkerung zunehmen werden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Das US-Finanzministerium ist eigenen Angaben zufolge Ziel einer chinesischen Cyberattacke geworden. In einem Brief an die Kongress-Abgeordneten teilte das Ministerium laut Medienberichten mit, dass es am 8. Dezember von dem Softwareunternehmen BeyondTrust informiert worden sei, dass ein Hacker einen Sicherheitsschlüssel erlangt habe. Dieser habe ihm aus der Ferne Zugang zu bestimmten Arbeitsstationen des Finanzministeriums und den darauf befindlichen – nicht als geheim eingestuften – Dokumenten ermöglicht.

Anzeige

Es werde davon ausgegangen, dass hinter dem "schwerwiegenden Sicherheitsvorfall" ein vom chinesischen Staat geförderter Akteur stecke, hieß es weiter. Das Finanzministerium erklärte, es habe mit dem FBI, den Geheimdiensten und anderen Ermittlern zusammengearbeitet, um die Auswirkungen der Attacke zu ermitteln.

Es gebe keine Anzeichen dafür, dass der chinesische Akteur noch immer Zugang zu den Daten des Finanzministeriums habe, hieß es weiter. Laut Ministerium wurde auf "mehrere" Benutzerarbeitsplätze des Finanzministeriums zugegriffen. Das Finanzministerium ist verpflichtet, in einem zusätzlichen Bericht innerhalb von 30 Tagen weitere Informationen zu geben.

Das chinesische Außenamt wies die Vorwürfe zurück und erklärte, es gebe keine Beweise dafür. China habe stets jegliche Formen von Hackerangriffen abgelehnt und lehne die Verbreitung falscher Informationen gegen China für politische Zwecke noch mehr ab, sagte Sprecherin Mao Ning in Peking.

Angreifer können an einer Schwachstelle in diversen PAN-OS-Versionen ansetzen, um Firewalls neu zu starten. Dagegen gerüstete Versionen stehen zum Download bereit.

Anzeige

Wie aus einer Warnmeldung hervorgeht, sind davon Firewalls der Serien CN, PA, Prisma Access und VM bedroht. Panorama ist davon nicht betroffen. Die Schwachstelle (CVE-2024-3393 "hoch") findet sich im DNS-Sicherheitsfeature. Daran können Angreifer ohne Authentifizierung ansetzen, indem sie präparierte Pakete an verwundbare Instanzen schicken. Das Ergebnis sind Neustarts. Wiederholte Attacken sollen dazu führen, dass Firewalls im Wartungsmodus starten.

Geräte sind aber nur angreifbar, wenn DNS-Security-Logging aktiv ist und eine DNS-Security-License oder Advanced DNS Security License hinterlegt ist. Die Entwickler geben an, die folgenden PAN-OS-Ausgaben dagegen abgesichert zu haben:

Alle vorigen Versionen sollen verwundbar sein. Weitere Informationen zu Sicherheitsfixes erläuten die Verantwortlichen in der Warnmeldung. Die Entwickler weisen darauf hin, dass der Support für PAN-OS 11.0 am 17. November 2024 ausgelaufen ist und dieser Versionsstrang keine Sicherheitspatches mehr bekommt. An dieser Stelle müssen Admins ein Upgrade vornehmen, um ihre Firewalls absichern zu können. PAN-OS 9.1 und 10.0 sind von dem Sicherheitsproblem nicht betroffen.

Wenn Admins zur Überwachung von Netzwerken Paessler PRTG Network Monitor nutzen, sind Systeme aufgrund einer bisher nicht geschlossenen Sicherheitslücke angreifbar. Sind Attacken erfolgreich, können Angreifer die Authentifizierung umgehen und unbefugt auf Computer zugreifen.

Anzeige

Auf die Schwachstelle (CVE-2024-12833 "hoch") im Web-Interface sind Sicherheitsforscher von Trend Micros Zero Day Initiative gestoßen. In einem Bericht geben die Forscher an, den Softwarehersteller bereits im März 2024 über die Lücke informiert zu haben. Trotz mehrmaliger Erinnerungen ist aber bislang kein Sicherheitspatch erscheinen. Die Antwort auf eine Anfrage von heise Security steht noch aus.

Wenn Angreifer Netzwerkzugriff haben, können sie, weil Nutzereingaben nicht ausreichend überprüft werden, an der Lücke ansetzen, um die Authentifizierung zu umgehen. Dafür ist den Forschern zufolge aber "eine gewisse Benutzerinteraktion seitens eines Administrators erforderlich". Wie eine solche Attacke im Detail ablaufen könnte, bleibt aber unklar.

Unbekannt ist auch, ob es bereits Attacken gibt und woran Admins schon erfolgreich angegriffene Systeme erkennen können.

In der modernen IT-Landschaft sind Containerisierung und deren Automatisierung mittels Kubernetes unverzichtbar. Dabei ist die Einrichtung eines Kubernetes-Clusters nur der erste Schritt. Um die komplexe Umgebung effizient und sicher zu verwalten, sind spezialisierte Kenntnisse und Fähigkeiten erforderlich.

Anzeige

Im iX-Workshop Fortgeschrittene Kubernetes-Administration werden Sie in die Feinheiten des fortgeschrittenen Applikationsmanagements eingeführt und lernen, wie Sie Service-Mesh-Technologien implementieren und verwalten können. Zudem lernen Sie Methoden und Techniken für den nachhaltigen und sicheren Betrieb von Kubernetes-Clustern. Ein besonderer Schwerpunkt liegt auf den neuesten Sicherheitstechnologien und Best Practices, die dazu beitragen, Kubernetes-Umgebungen gegen potenzielle Bedrohungen abzusichern, sowie auf dem sicheren Umgang mit sensiblen Informationen, den sogenannten Secrets.

Der Workshop ist interaktiv gestaltet. In zahlreichen Übungen können Sie die vorgestellten Konzepte und Techniken anwenden und vertiefen. Dabei geht es unter anderem um die Bereitstellung von Applikationen im Container, Zugriffsberechtigungen auf die Kubernetes API, Sicherheitseinstellungen für den Kubernetes-Cluster und den Einsatz von Service Mesh in Projekten.

Von diesem Workshop profitieren vor allem IT-Profis, die tiefer in die Administration und Konfiguration von Kubernetes einsteigen und ihre Kubernetes-Umgebung stabil und sicher betreiben möchten. Er baut auf den Grundlagen auf und ist die ideale Ergänzung für alle, die Kubernetes bereits im Einsatz haben und an ihre Grenzen stoßen.

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel Active Directory: Effiziente Absicherung lernen Sie die wichtigsten Angriffstechniken wie Pass the Hash und Delegierungsschwachstellen kennen. Sie erfahren, wie Sie mit Werkzeugen wie PowerView und Bloodhound sowie Audit-Tools wie PingCastle Fehlkonfigurationen und Schwachstellen in Ihrem lokalen AD identifizieren und anschließend beheben, um das Herzstück Ihrer IT effektiv gegen Angriffe zu schützen.

Anzeige

Referent des zweitägigen Workshops ist Frank Ully. Als erfahrener Pentester konzentriert er sich auf relevante Entwicklungen im Bereich der offensiven IT-Sicherheit. Frank Ully gilt als ausgewiesener Experte auf seinem Gebiet und verfügt über zahlreiche Zertifikate wie Offensive Security Certified Expert (OSCE), Offensive Security Certified Professional (OSCP), Certified Red Team Operator (CRTO), Certified Red Team Professional (CRTP) und GIAC Reverse Engineering Malware (GREM).

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Angriffe auf und Absicherung von Entra ID.

Hacker vom Chaos Computer Club (CCC) drängen auf die Einführung einer Art regelmäßiger Hauptuntersuchung für vernetzte Geräte. "Wir brauchen eine maschinenlesbare TÜV-Plakette", forderte Ron Hendrik Fulda am Montag auf dem 38. Chaos Communications Congress (38C3) in Hamburg mit Blick auf "böse" Hard und Software wie Plaste-Router oder "intelligente", mit dem Internet verknüpfte Uhren. Eine solche Kennzeichnung könnte natürlich auch "on the Blockchain" erfolgen, unkte der CCC-Veteran bei der traditionellen, nicht immer ganz ernst gemeinten Vor- und Rückschau auf die größten Albträume im Security-Bereich kurz vor Ende der Konferenz.

Anzeige

"Wir wollen ein MHD auf Packungen sehen", machte sich Fulda für ein Mindesthaltbarkeitsdatum im Internet der Dinge stark. Ein solches sollte "Auswahlbestandteil des informierten Bürgers" werden. Sonst würde nur noch mehr Elektroschrott produziert. Viele vernetzte Geräte wie Laptops oder Smartphones seien "auch gut für zehn Jahre", nicht nur für vier oder fünf. In diesem Rahmen können Verbraucher derzeit mit Sicherheitsupdates rechnen.

Auswerten könnten die Plaketten "dieselben Leute, die IP-Adressen bewachen, über die man Sinkholes aufruft", meinte Fulda. Aktuell ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem IT-Sicherheitsgesetz 2.0 befugt, Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden wie Honeypots und Sinkholes einzusetzen. Produkte "mit digitalen Elementen" wie Software dürfen in der EU bald nur noch auf den Markt kommen, wenn sie Mindestanforderungen an Cybersicherheit einhalten. Dies sieht der Cyber Resilience Act (CRA) vor, der Mitte Dezember in Kraft getreten ist.

Für Rasenmäher-Roboter und autonome Mähdrescher, die nicht nur Igel und Rehkitze töten könnten, verlangte der altgediente "Security Nightmares"-Experte eine Option zur Zwangsabschaltung. Gegen solche Entwicklungen müsse man noch stärker vorgehen als gegen "Oldtimer-Geräte". Autonomes Fahren und die Folgen hatten die Hacker schon vor zehn Jahren auf ihrer Liste der drohenden Sicherheitsdebakel. Glücklicherweise zeichne sich in diesem Bereich ein "gewisses Zyklusende" ab, konstatierte CCC-Sprecherin Constanze Kurz. Zumindest würden Pilotprojekte gehäuft nicht mehr fortgeführt.

Das neue Jahr beginnt ungewöhnlich für den "Passwort"-Podcast: Mein Co-Host heißt plötzlich Florian – und dann auf einmal Linus. Das liegt daran, dass der Podcast einen Ausflug gemacht hat und vom 38C3, der letztjährigen Ausgabe des Chaos Communication Congress, sendete.

Anzeige

Als ich das letzte Mal auf dem Congress war, waren Smartphones noch nicht erfunden, der Austragungsort Berlin und alles ein bis zwei Nummern kleiner. Ein kurzer Kulturschock, den ich mir mithilfe meines Co-Hosts Florian Adamsky von der Seele geredet habe. Er erklärt mir zunächst die Rowhammer-Lücke in DRAM-Chips, die auch im Jahr 2024 noch immer aktuell ist. Sein Team hat ein Linux-ISO erarbeitet, das ihnen in einer großangelegten Studie beim Sammeln von Daten zur Verbreitung der Lücke hilft.

Passwort-Podcast auf dem 38C3: Christopher im Gespräch mit Linus Neumann und Florian Adamsky.

(Bild: Screenshot von media.ccc.de)

In wenigen Stunden endet mit 2024 erneut ein ereignisreiches Jahr. Noch immer hält der russische Angriffskrieg gegen die Ukraine Europa und die Welt in Atem. Zudem haben die globalen Temperaturen neue Höchststände erreicht, mehrere Naturkatastrophen haben die Tragweite der Entwicklung deutlich gemacht. In der IT-Welt dominierten vor allem die Entwicklungen der KI-Technologie, Umbrüche bei der Nutzung der sozialen Netzwerke und Debatten über deren Risiken das Geschehen.

Anzeige

Bislang sieht es nicht danach aus, dass es 2025 merklich ruhiger wird. In den USA wird mit Donald Trump ein neuer alter Präsident das Ruder übernehmen und der IT-Wirtschaft dürften große Veränderungen bevorstehen. Zu erwarten sind etwa neue Höchststände bei den Preisen der Kryptowährungen. Im Frühjahr wird dann in Deutschland ein neuer Bundestag gewählt – vielleicht bekommen wir danach endlich ein Digitalministerium. Wir werden Sie natürlich wie gewohnt auf dem Laufenden halten. Los geht es direkt nach dem Jahreswechsel mit der CES in Las Vegas.

Das gesamte Team von heise online und den Redaktionen von c't, iX, Mac & i, c't Fotografie, Make, Bestenlisten by Techstage und Telepolis sowie heise Security, heise Developer und heise Autos wünscht Ihnen ein friedliches und freudvolles Jahr 2025. Wir drücken Ihnen die Daumen, dass Sie eventuell vorgenommene Vorsätze gut umgesetzt bekommen und sich Ihre Wünsche erfüllen. Außerdem wünschen wir Ihnen, dass Sie gesund bleiben – oder zumindest schnell genesen.

Kommen Sie gut hinüber in das neue Jahr und bleiben Sie uns mit Interesse und Kritik gewogen. Wir freuen uns auf Sie und werden Sie weiter aktuell, ausführlich und tiefgründig informieren – und dabei auch über den Tellerrand der IT hinausblicken. Dabei versuchen wir weiterhin strikt zu trennen zwischen den Dingen und Ereignissen sowie den Meinungen über sie. Alles Gute für ein schönes neues gemeinsames Jahr!

Der letzte Tag auf dem Chaos Communication Congress: Die Gesichter waren länger, die Augenringe größer und das Schlafdefizit erreichte seinen Peak. Doch bevor der 38C3 am frühen Abend endete, standen noch etliche Vorträge auf dem Programm – darunter ein paar alljährliche Klassiker wie die Security Nightmares. Doch schon der Vormittag war gespickt mit weiteren Talks zu Sicherheitsthemen. So boten beispielsweise Florian Adamsky, Martin Heckel und Daniel Gruss eine Retrospektive auf zehn Jahre Rowhammer – die Angriffstechnik, welche Arbeitsspeicher ins Visier nimmt.

Anzeige

Der niederländische Sicherheitsforscher Vaisha Bernard wollte für seine Kunden einen Phishing-Test durchführen. Um die Test-Mails an den Spam- und Phishingfiltern von Microsofts Exchange Online vorbeizuschleusen, musste er jedoch bei mehreren "Tenants", also Kundeninstanzen, umfangreiche Allow-Listen einpflegen. Das ging wegen verschiedener Fehler in Microsofts APIs nicht automatisch per PowerShell, daher machte der Tüftler sich daran, einen anderen Weg zu finden.

Was er fand, verwirrte und beunruhigte ihn. Seine Bitten um technische Unterstützung wurden von einem chinesischen Callcenter mit dem obskuren Firmennamen "Wicresoft" beantwortet und schlimmer noch: Plötzlich modifizierte sein selbst gebautes Powershell-Skript die Allow-Listen fremder Tenants. Und mehr noch: Deren Daten wie E-Mails, Teams-Nachrichten oder Dateien auf OneDrive hätte der Hacker frei durchsuchen und über eine Export-Funktion sogar stehlen können. Dem Microsoft Security Response Center (MSRC) war das immerhin eine fünfstellige Belohnung wert, die Sicherheitslücken sind seit etwa einem Jahr geschlossen.

Im nicht ganz ernst gemeinten IT-Sicherheitsalptraum-Rückblick, den Security Nightmares, haben Constanze Kurz und Ron einen Blick auf das vergangene Jahr durch die IT-Sicherheitsbrille geworfen. Die Informatikerin und CCC-Sprecherin und der internetsüchtige Ron, der eine irrationale Angst vor Rasenmäherrobotern hat, haben dabei versucht, aus allen CVE-Meldungen von 2024, die sie – natürlich – alle gelesen haben, anhand der Incidents Security-Trends des Jahres zu erahnen. Daraus haben sie waghalsig abgeleitet, wie es nächstes Jahr weitergehen könnte.