Comretix Blog

Wegen des Cyberangriffs und der technischen Probleme beim Einchecken und der Gepäckabgabe erwartet der Berliner Flughafen weiterhin längere Wartezeiten. Auch verspätete Abflüge wie am Samstag sind wohl nicht ausgeschlossen. "Wir bitten alle Passagiere, sich darauf so weit wie möglich einzustellen. Der Flughafen BER unternimmt zusammen mit den Fluggesellschaften und den Bodenverkehrsdienstleistern alle Anstrengungen, um die Beeinträchtigungen möglichst gering zu halten", hieß es am Vormittag.

In den Terminals hätten sich die Abläufe inzwischen eingespielt, so dass die Passagierabfertigung ruhig und flüssig laufe. Die Passagiere sollten den Online-Check-in im Internet oder den Self-Service-Check-in an Automaten im Flughafen nutzen. Auch das Gepäck könne oft selbst an Automaten aufgegeben werden. Am Samstag seien vier Landungen und vier Abflüge gecancelt worden. Verspätungen seien in der Regel kürzer gewesen als 45 Minuten.

Das Personal im Flughafen musste beim Check-in mit Papierlisten und Stiften statt mit Computern arbeiten. Wegen des Cyberangriffs auf einen Flughafen-Dienstleister hatten in Europa vier Flughäfen Probleme bei der Passagierabfertigung gemeldet. Die Flughäfen Berlin, Brüssel, Dublin und London Heathrow sind von den IT-Problemen betroffen, wie die Flugsicherungs-Dachorganisation Eurocontrol mitteilte. Laut den Flughäfen Berlin und London Heathrow ist die Firma Collins Aerospace betroffen, das Unternehmen bestätigte der Deutschen Presse-Agentur "eine cyberbedingte Störung" an einigen Flughäfen.

Der Tagesspiegel zitiert einen Sprecher des BER, laut dem die Angriffe auf Collins-Systeme am Freitagabend an den Flughafen gemeldet wurden. Die dadurch ausgelösten Störungen sind auch am Sonntag noch nicht behoben. In Europa sind Flughäfen in Berlin, Brüssel, Dublin und London Heathrow betroffen. Die Webseiten der Airports weisen auf die Probleme hin und geben, wie in Berlin, vor allem den Rat, den Online-Check-in zu nutzen. Offenbar sind also nur die Systeme von Collins vor Ort am Flughafen derzeit nicht nutzbar.

Nach bisher unbestätigten Berichten von Security-Experten in sozialen Netzwerken wurde die Multi-User-Umgebung von Collins für deren System ARINC (Aeronautical Radio, Incorporated) angegriffen. Dieses verbindet mehrere andere Datenquellen, unter anderem für Check-in, Boarding und Gepäckabwicklung an Flughäfen. Das System soll seit Freitag offline sein. Am Samstag meldete die Tagesschau in einem Korrespondentenbericht vom BER, es handele sich nach Informationen der ARD um eine Ransomware-Attacke. Dazu gibt es jedoch am Sonntagmittag keine weiteren Hinweise, ebenso ist die Quelle des Angriffs noch unklar.

Das Bundesverfassungsgericht hat die Verfassungsbeschwerde des im Modern-Solution-Prozess angeklagten IT-Experten ohne Begründung abgelehnt. In einer Entscheidung vom 15. September, die heise online vorliegt, heißt es, dass drei Richter und Richterinnen der Dritten Kammer des Zweiten Senats des Gerichtes einstimmig beschlossen haben, dass die Verfassungsbeschwerde nicht zur Entscheidung angenommen wird. Damit hat der Fall Modern Solution seit Juni 2021 alle deutschen Gerichtsinstanzen vom Amtsgericht Jülich bis hin zum Bundesverfassungsgericht in Karlsruhe durchlaufen.

Die Geschichte des freiberuflichen IT-Experten aus Heinsberg in Nordrhein-Westfalen, der eine Sicherheitslücke in einer E-Commerce-Software der Firma Moden Solution aus Gladbeck im Ruhrgebiet entdeckte und dafür statt einer Belohnung eine Anzeige und Durchsuchung erntete, war von vielen Beobachtern aus der deutschen IT-Branche mit Interesse verfolgt worden. Nicht wenige hatten sich nicht zuletzt von der Verfassungsbeschwerde eine Klärung der diversen Rechtsunsicherheiten im Alltag von IT-Experten und Sicherheitsforschern erhofft. Stattdessen liefert die letztinstanzliche Entscheidung des Oberlandesgerichts Köln und nun die Ablehnung der Verfassungsbeschwerde das Gegenteil: Der sogenannte Hackerparagraf 202 StGB macht es in Deutschland heikel wie nie, eine gefundene Sicherheitslücke ans Licht der Öffentlichkeit zu bringen.

Die Saga um Modern Solution nahm Ende Juni 2021 ihren Lauf, als die Öffentlichkeit von einer Sicherheitslücke erfuhr, die dazu geführt hatte, dass Namen, Adressen, Kontodaten und weitere Informationen von rund 700.000 Online-Shoppern frei im Internet abrufbar waren. Die Sicherheitslücke befand sich in einer E-Commerce-Middleware der Firma Modern Solution, die es Anbietern von kleineren Online-Shops ermöglichen sollte, ihre Waren in den großen Online-Shops von Kaufland, Otto, Check24 und anderen Unternehmen anzubieten. Modern Solution hatte die Daten aller Einkäufer, die über diese Software an die Betreiber der Modern-Solution-Software übermittelt worden waren, in einer einzigen Datenbank abgelegt. Das Passwort zu dieser Datenbank auf den Servern von Modern Solution war unverschlüsselt in einer ausführbaren Datei der Middleware-Software gespeichert und für alle Modern-Solution-Kunden gleich. Somit war es mit Zugang zu dieser Software, die zu diesem Zeitpunkt frei aus dem Netz heruntergeladen werden konnte, ziemlich einfach möglich, an diese Daten zu gelangen. Bei heise online hatten wir den öffentlichen Zugang zu diesen Daten damals selbst bestätigen können.

Anstatt den Fehler zu beheben, zeigte sich Modern Solution uneinsichtig, weshalb der IT-Berater, der die Lücke entdeckt hatte, diese an einen E-Commerce-Blogger meldete, um den Druck auf das Unternehmen zu erhöhen. Das führte dazu, dass Modern Solution die Lücke schloss, allerdings zeigte man zusätzlich den Berater, der die Lücke gemeldet, und den Blogger, der darüber berichtet hatte, an. Das Verfahren gegen den Blogger wurde eingestellt, bei dem unabhängigen IT-Experten wurde dann im Oktober 2021 allerdings eine Hausdurchsuchung durchgeführt und sein gesamtes Arbeitsgerät beschlagnahmt.

Im Juni 2023 war die Staatsanwaltschaft Köln zuerst damit gescheitert, den IT-Berater anzuklagen. Das Amtsgericht Jülich lehnte den Prozess mit der Begründung ab, es liege keine Straftat vor, da die Daten, auf die der Sicherheitsexperte im Zuge seiner Untersuchungen Zugriff hatte, nicht effektiv geschützt gewesen seien. Die Staatsanwaltschaft Köln ging in Berufung und im Juli 2023 entschied das Landgericht Aachen, der Fall müsse doch in Jülich verhandelt werden. Die Daten seien besonders gesichert gewesen, da ein Passwortschutz vorlag und das "Abrufen" der Daten "zudem nur nach einer Dekompilierung möglich war", lautete das Urteil des Landgerichts. "Die Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung aus", somit sei der Straftatbestand des Hackens erfüllt.

Ein Cyberangriff hat Verspätungen am Berliner Flughafen BER und anderen Airports zur Folge. Ein Dienstleister für die Systeme zur Passagierabfertigung ist am Freitagabend angegriffen worden, wie der Berliner Flughafen mitteilte. Die Verbindungen zu den Systemen habe der Flughafen BER daraufhin gekappt. Passagiere müssen nun mit längeren Wartezeiten beim Check-in und Boarding und mit Verspätungen rechnen. "Der Flughafen selbst ist nicht Ziel des Cyber-Angriffs gewesen und davon nur indirekt betroffen", teilte der BER mit.

Der Systemanbieter wird europaweit an Flughäfen eingesetzt. Neben Berlin sind noch andere europäische Flughäfen betroffen, eine Bestätigung dafür gibt es vom Flughafen Brüssel. Es sei mit erheblichen Auswirkungen auf den Flugbetrieb zu rechnen, teilte der Flughafen Brüssel auf seiner Homepage mit.

Der Flughafen London Heathrow erklärte, es könne zu Verspätungen kommen, sprach aber von einem technischen Problem. Welche weiteren Flughäfen betroffen sind, steht noch nicht fest. Ein Sprecher des BER sagte jedoch einem Bericht von BR24 Radio zufolge, man rechne mit Auswirkungen in ganz Europa. Flüge könnten sich verspäten, was auch für manche Anschlussflüge gelte.

Aus Brüssel hieß es, derzeit sei aufgrund der Attacke nur manuelles Einchecken und Boarding möglich. Der Dienstleister versuche so schnell wie möglich, das Problem zu beheben. Es werde zu Verspätungen und Flugausfällen kommen. Passagiere sollten ihren Flugstatus bei der Airline checken, bevor sie anreisten, und ausreichend Zeit am Flughafen einplanen, hieß es weiter. Heathrow teilte lediglich mit, ein Drittanbieter für Check-in- und Boarding-Systeme mehrerer Fluggesellschaften habe ein technisches Problem. Daran werde schnellstmöglich gearbeitet.

Die Attacke hat auch den Flughafen Münster/Osnabrück betroffen. Allerdings sei es sehr schnell gelungen, die eigenen Systeme von dem betroffenen Dienstleister abzukoppeln, sagte eine Sprecherin. "Fluggäste haben davon überhaupt nichts mitbekommen", betonte sie. Zuvor hatte der WDR berichtet. Der Cyberangriff habe die Systeme des Dienstleisters am Freitagabend ab etwa 22:00 Uhr lahmgelegt.

Fast jedes deutsche Unternehmen war im vergangenen Jahr von Datendiebstahl, Sabotage oder Industriespionage betroffen, stellt der IT-Verband Bitkom in einer nun vorgestellten Studie fest. Gemeinsam mit dem Vizepräsidenten des Bundesamts für Verfassungsschutz (BfV) präsentierte Bitkom-Präsident Wintergerst die Ergebnisse. Fast die Hälfte der Betroffenen wurde mindestens einmal aus China oder Russland angegriffen.

Fast drei Viertel der befragten Unternehmen waren von digitaler Sabotage mutmaßlich betroffen, bei fast zwei Dritteln wurde vermutlich digitale Kommunikation ausgespäht und Geschäftsdaten gestohlen. Doch nicht nur digitale Kriminalität erfasste die Bitkom-Studie, auch der physische Diebstahl von Dokumenten, Mustern oder Bauteilen (41 Prozent) sowie die physische Sabotage von Produktionssystemen (22 Prozent) thematisiert sie.

Taten mit mutmaßlichem Ursprung in China haben dabei nur leicht, solche aus Russland jedoch deutlich zugenommen. Etwa ein Viertel der Angriffe kam aus den USA, knapp ein Drittel war unbekannter Herkunft. Während knapp 30 Prozent der Straftaten mutmaßlich von ausländischen Geheimdiensten begangen wurden, stellt die organisierte Kriminalität mit 68 Prozent das Gros der Delikte.

"Die Frage ist nicht, ob Unternehmen angegriffen werden, sondern wann – und ob sie diese Angriffe erfolgreich abwehren können“, wird Bitkom-Präsident Wintergert zitiert, der weiter fordert: "Unsere Verteidigungsfähigkeit muss zudem in den Fokus der Politik rücken – auch im Cyberraum."

Der Verfassungsschutz sieht seine Ausrichtung bestätigt, so Vizepräsident Sinan Selen. Man werde den Schwerpunkt weiter auf die Detektion und Verhinderung von Übergriffen staatlicher und staatsnaher Akteure setzen und die Tätigkeiten ausbauen. Mittlerweile, so der Verfassungsschützer, erhielten mehr als 35 Prozent der Unternehmen Hinweise auf Angreifer durch Behörden – Ergebnis einer verstärkten Zusammenarbeit der Akteure.

Der Firewallhersteller Sonicwall meldet einen Einbruch in Cloud-Konten seiner Kunden. Dabei haben Unbekannte Sicherungskopien von Firewallkonfigurationsdateien unerlaubt vervielfältigt und exfiltriert. Es handelt sich jedoch nicht um einen Cyberangriff auf Sonicwall, sondern offenbar um massenhaftes Durchprobieren von Zugangsdaten.

Wie Sonicwall ermittelt hat, haben die Angreifer bei weniger als fünf Prozent der Kunden Cloud-Konfigurationsdateien entwendet. Zwar sind in diesen jegliche Passwörter "verschlüsselt", so der Hersteller (gemeint ist wohl, dass sie gehasht abgespeichert werden), doch könnten weitere Informationen spätere Angriffe auf die Firewalls erleichtern.

Die unbekannten Datendiebe haben sich weder mit einer Lösegeldforderung gemeldet noch ihre Beute in den üblichen Leak-Foren angeboten, beruhigt Sonicwall seine Kunden. Dennoch sollten diese zur Vorsicht überprüfen, ob sie betroffen sein könnten. Ein ausführlicher Leitfaden hilft bei der Feststellung und Beseitigung möglicher Risiken.

Über den genauen Hergang der Angriffe schweigt der Hersteller sich aus. Auch findet sich in den Sicherheitshinweisen keine Erklärung, wessen Zugangsdaten massenhaft – und offenbar bisweilen erfolgreich – durchprobiert worden seien. Infrage kommen nicht nur Kundenkonten, sondern auch die Zugänge von Sonicwall-Mitarbeitern oder -Partnern.

Erst vor wenigen Wochen wurden großangelegte Angriffe auf Sonicwall-Firewalls bekannt, die eine längst behobene Sicherheitslücke ausnutzten. Offenbar hatten reichlich Firewall-Administratoren die Aktualisierungen nicht eingespielt, was sie anfällig für Angriffe unter anderem der Ransomwaregruppe Akira machte.

Microsofts Identitäts- und Zugriffsverwaltungsdienst Entra ID war kaputt. Angreifer hätten mit vergleichsweise wenig Aufwand an einer "kritischen" Sicherheitslücke ansetzen können. Davon waren global alle Entra-ID-Tenants betroffen. Microsoft hat die Schwachstelle im Juli dieses Jahres geschlossen. Nun führt ein Sicherheitsforscher Hintergründe zur Lücke aus.

Durch das erfolgreiche Ausnutzen der Schwachstelle war ein Admin-Zugriff auf beliebige Tenants möglich. Weil weltweit unter anderem große Unternehmen Entra ID nutzen, hätten Attacken weitreichende Folgen haben können.

In einem ausführlichen Beitrag erläutert ein Sicherheitsforscher von Outsidersecurity das Sicherheitsproblem. Er gibt an, die "kritische" Schwachstelle (CVE-2025-55241) mit Höchstwertung (CVSS Score 10 von 10) im Juli dieses Jahres entdeckt und umgehend an Microsoft gemeldet zu haben. Er schreibt, dass Microsoft die Schwachstelle innerhalb weniger Tage geschlossen hat. Dafür mussten Entra-ID-Tenants nichts tun. Offensichtlich wurde das Problem serverseitig gelöst.

Um die Lücke auszunutzen, mussten Angreifer aber die Tenant-ID und die NetID eines Nutzers kennen. Doch beides lässt sich dem Forscher zufolge mit vergleichsweise wenig Aufwand herausfinden. Dass das keine so große Hürde sein kann, unterstützt auch die kritische Einstufung der Schwachstelle.

Dem Sicherheitsforscher zufolge fußt eine Attacke auf zwei Grundlagen: Der erste Ansatzpunkt ist ein undokumentierter Token zur Identitätsfeststellung mit der Bezeichnung "Actor Token". Diesen nutzt Microsoft in seinem Backend für Service-to-Service-Kommunikation.

Googles Chrome ist verwundbar und Angreifer nutzen derzeit eine Sicherheitslücke aus. Wer den Browser nutzt, sollte sicherstellen, dass die aktuelle Version installiert ist.

In einer Warnmeldung führen die Entwickler aus, dass sie insgesamt vier Softwareschwachstellen mit dem Bedrohungsgrad "hoch" geschlossen haben. In drei Fällen (CVE-2025-10500, CVE-2025-10501, CVE-2025-10502) können Angreifer Speicherfehler provozieren, um so Schadcode auf Systeme zu schieben.

Eine Lücke (CVE-2025-10585) haben Angreifer derzeit im Visier. Dabei handelt es sich der knappen Beschreibung zufolge um eine Type-Confusion-Schwachstelle in der JavaScript-Engine V8. Wie ein solcher Angriff vonstattengeht und welche Auswirkungen eine erfolgreiche Attacke hat, ist derzeit unklar. In der Regel manipulieren Angreifer bei solchen Attacken bestimmte Parameter, um Fehler auszulösen. Das führt dann etwa dazu, dass sie unter anderem Zugangsbeschränkungen umgehen können. In welchem Umfang die Angriffe ablaufen, führt Google zurzeit nicht aus.

Die Entwickler versichern, dass sie die geschilderten Sicherheitsprobleme in den Chrome-Ausgaben 140.0.7339.185/.186 für Linux, macOS und Windows gelöst haben. Etwa unter Windows kann man unter "Hilfe", "Über Google Chrome" die installierte Version prüfen. In der Regel aktualisiert sich der Webbrowser automatisch. Ist das nicht der Fall, kann man das Update in dem Menü manuell anstoßen.

In Episode 143 des c't-Datenschutz-Podcasts widmen sich Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich gemeinsam mit Professor Dr. Alexander Golland drei wichtigen Entscheidungen des Europäischen Gerichtshofs, alle drei aus dem laufenden Monat September. Golland, Professor für Wirtschaftsrecht an der FH Aachen, ordnet die teils verwirrenden Urteile ein und erklärt deren praktische Auswirkungen.

Prof. Alexander Golland zugeschaltet im c't-Podcast Auslegungssache

Im Mittelpunkt steht zunächst die Klage des französischen Abgeordneten Philippe Latombe gegen den Angemessenheitsbeschluss der EU-Kommission zum EU-US-Datentransfer, dem wiederum das EU-US Data Privacy Framework zugrunde liegt. Latombe wollte den Beschluss für nichtig erklären lassen. Das Europäische Gericht (EuG) wies die Klage ab, damit bleibt er als Rechtsgrundlage bestehen. Golland erläutert, warum das Gericht nur prüfte, ob die Kommission 2023 bei Erlass des Beschlusses korrekt handelte, nicht aber die heutige Situation unter veränderten politischen Vorzeichen bewertete.

Detailfragen bleiben offen

Besonders praxisrelevant ist das SRB-Urteil des EuGH zur Pseudonymisierung. Die zentrale Frage: Sind pseudonymisierte Daten für Empfänger, die selbst (ohne Dritte) keinen Personenbezug herstellen können, anonym, oder bleiben sie personenbezogen? Der EuGH bestätigt in dem Revisionsverfahren zwar den sogenannten "subjektiven Ansatz" – es kommt auf die Möglichkeiten des Empfängers an –, lässt aber entscheidende Detailfragen offen. Golland kritisiert die fehlende Rechtssicherheit: Unternehmen wissen weiterhin nicht genau, ob sie für solche Datenübermittlungen Auftragsverarbeitungsverträge benötigen. Die Richter machten wenig Vorgaben und verwiesen auf die Einzelfallprüfung. "Steine statt Brot", resümiert Professor Golland.

Fall drei dreht sich um den immateriellen Schadenersatz. Ein Bewerber hatte gegen die Quirin-Privatbank geklagt, weil sensible Angaben versehentlich an einen Dritten gingen. Der EuGH bestätigte: Auch Ärger oder Schamgefühle können ein Schaden im Sinne der DSGVO sein. Ein Nachweis bleibt aber schwierig. Beim Thema Unterlassung urteilten die Richter restriktiv: Einen originären Unterlassungsanspruch sieht die DSGVO nicht vor. Allerdings könne das nationale Recht solche Ansprüche zulassen, hierzulande beispielsweise über das Wettbewerbsrecht. Für die Praxis bedeutet das: Betroffene müssen künftig eher auf das allgemeine Persönlichkeitsrecht zurückgreifen.

Aufgrund einer "kritischen" Sicherheitslücke sind Attacken auf einige Firewalls des Herstellers WatchGuard vorstellbar. Auch wenn es dem Hersteller zufolge noch keine Hinweise auf Attacken gibt, empfiehlt er eine zügige Aktualisierung.

In einer Warnmeldung listet WatchGuard die verwundbaren Fireboxmodelle wie T15, T70 und M4800 auf. Der Beitrag liest sich so, als wären Instanzen nur verwundbar, wenn sie mit Mobile User VPN mit IKEv2 und Branch Office VPN mit IKEv2 und Dynamic Gateway Peer konfiguriert sind. Offensichtlich sind Geräte auch angreifbar, wenn es diese Konfiguration in der Vergangenheit mal gegeben hat, sie aber mittlerweile gelöscht wurde.

Ist das gegeben, können Angreifer der Beschreibung zufolge aus der Ferne und ohne Authentifizierung an der Schwachstelle (CVE-2025-9242 "kritisch") ansetzen. Das führe dann zu einem Speicherfehler (out-of-bounds) und Angreifer können Schadcode ausführen. Aufgrund der Einstufung der Lücke ist davon auszugehen, dass Systeme im Anschluss als vollständig kompromittiert gelten. Wie Angriffe im Detail ablaufen könnten, ist bislang nicht bekannt.

Um Attacken vorzubeugen, müssen Admins eine der reparierten Versionen von Fireware OS installieren:

Die Entwickler weisen darauf hin, dass der Support für Fireware OS 11.x ausgelaufen ist und der Versionsstrang keine Sicherheitspatches mehr bekommt. An dieser Stelle müssen Adins ein Upgrade auf eine noch unterstützte Ausgabe durchführen. Wenn Admins den Sicherheitspatch nicht umgehend installieren können, empfiehlt der Hersteller die Absicherung über eine temporäre Lösung.

Angreifer können Wide Area Networks (WAN) attackieren, die auf HPE Aruba Networking EdgeConnect SD-WAN fußen. Die Entwickler haben jüngst mehrere Sicherheitslücken geschlossen. Nach erfolgreichen Attacken können Angreifer unter anderem Sicherheitsbeschränkungen umgehen oder sogar Schadcode ausführen, um Systeme vollständig zu kompromittieren.

In einer Warnmeldung schreiben die Entwickler, dass sie insgesamt neun Softwareschwachstellen geschlossen haben. Davon ist der Großteil mit dem Bedrohungsgrad "hoch" eingestuft.

Aufgrund von Fehlern im Command-Line-Interface können etwa entfernte Angreifer an einer Lücke (CVE-2025-37123) ansetzen, um sich höhere Nutzerrechte anzueignen und im Anschluss eigenen Code mit Root-Rechten auszuführen. Dafür müssen sie aber bereits authentifiziert sein.

Für das erfolgreiche Ausnutzen einer weiteren Lücke (CVE-2025-37124) ist hingegen keine Authentifizierung nötig. An dieser Stelle können Angreifer auf einem nicht näher beschriebenen Weg Traffic am Firewallschutz vorbeischleusen.

Weiterhin ist das Ausführen von Befehlen auf Systemebene möglich (CVE-2025-37126). Fehler in der Kryptografie (CVE-2025-37127) führen dazu, dass Angreifer die Kontrolle über Systeme erlangen können.

Die Digital Crime Unit (DCU) von Microsoft hat eigenen Angaben zufolge einen Erfolg gegen Cyberkriminelle erzielt, die auf der Jagd nach Microsoft-365-Accounts sind. Dafür haben sie 338 mit dem Phishing-Trojaner RaccoonO365 im Zusammenhang stehende Websites aus dem Verkehr gezogen.

Wie aus einem Bericht zu der Aktion hervorgeht, ist dadurch ein großer Teil der Infrastruktur lahmgelegt und Angreifer haben so unter anderem keinen Zugriff mehr auf kompromittierte PCs von Opfern. Intern bezeichnet Microsoft den Trojaner als Storm-2246.

Erschreckend professionell: Cybercrime-Anwärter haben die Wahl aus verschiedenen Abo-Stufen inklusive Discounts und Support.

(Bild: Microsoft)

Die Basis der Kampagne ist der Schädling RaccoonO365. Dabei handelt es sich um ein Phishing-Kit, das Kriminelle mieten können. Das All-in-One-Paket erstellt unter anderem betrügerische Mails und Websites mit dem Branding von Microsoft, um Opfer aufs Glatteis zu führen und ihnen ihre Accountdaten zu entlocken. Problematisch dabei ist, dass dem Bericht zufolge selbst Anfänger mit der Bedienung klarkommen sollen, sodass der Cybercrime-Einstieg erschreckend niederschwellig ist.

Im April sorgten sie für große Aufmerksamkeit: Experten der israelischen IT-Sicherheitsfirma Oligo Security hatten massive Angriffsflächen in Apples lokalem Streamingprotokoll AirPlay entdeckt, mit dem sich diverse Geräte angreifen lassen – und zwar einfach nur dadurch, dass man sich im gleichen WLAN befindet. Während Apple die Probleme in iOS, macOS, iPadOS und seinen anderen Betriebssystemen (inklusive HomePod-Software) schnell behoben hat, kommen Hersteller AirPlay-fähiger Geräte vom Heim-Unterhaltungssystem bis zum Lautsprecher nur langsam mit dem Patchen hinterher.

Einige Produkte werden wohl nie abgedichtet. Dabei kaum beachtet wurde allerdings, dass auch CarPlay betroffen ist, dessen Wireless-Protokoll ebenfalls auf AirPlay basiert. Zwar hat Apple hier ebenfalls gepatcht, die Software steckt aber (auch) in der sogenannten Headunit in Autos – und genau dafür gibt es noch erstaunlich wenige Updates. Das beschreiben die Oligo-Security-Sicherheitsforscher Uri Katz, Avi Lumelsky und Gal Elbaz in einem Paper, das bereits in der vergangenen Woche erschienen war.

Die Methodik namens "Pwn My Ride" basiert auf dem Stack-Overflow-Fehler mit der CVE-ID 2025-24132. Er kann ausgenutzt werden, wenn ein Gerät mit dem Multimediasystem des Autos verbunden wird. Laufen verschiedene ältere SDKs (AirPlay Audio vor 2.7.1, AirPlay Video vor 3.6.0.126 und CarPlay Communication Plug-in vor R18.1) sind – je nach Fahrzeugmodell – sogar Zero-Click-Angriffe ohne Nutzerinteraktion möglich. Es ist das Erlangen von Root-Rechten möglich. Dies ist sowohl via WLAN als auch via Bluetooth möglich – letzteres muss dann allerdings aktiv sein. Unklar blieb zunächst, ob Angriffe auch kabelgebunden möglich sind, denn es gibt viele Fahrzeuge, die Wireless CarPlay nicht unterstützen. Die Forscher konzentrierten sich auf das Drahtlos-Szenario.

Mit dem Root-Zugriff auf das Unterhaltungssystem sind diverse Möglichkeiten verbunden – von der Manipulation des Systems über das Abgreifen von Daten bis zu Spionagemöglichkeiten. Der Angreifer muss sich dazu mit der CarPlay-Implementierung des Fahrzeugs beschäftigt haben, es gibt allerdings häufig verwendete Systeme. Bei der AirPlay-Lücke in Lautsprechern hatten die Oligo-Security-Forscher unter anderem gezeigt, wie sie auf deren gegebenenfalls vorhandenen Bildschirmen Schabernack treiben konnten – die Möglichkeiten sind breit. In einem Demonstrationsvideo zeigen die Forscher, wie sie nach Anmeldung auf dem WLAN-Hotspot des Autos ein "Hacked"-Bild auf dem Bildschirm des Unterhaltungssystems platzieren konnten. Dabei hilft das Auto den Angreifern, denn über das iAP2-Protokoll wird das WLAN-Passwort übertragen.

Um das Problem zu lösen, sind nun die Autohersteller gefragt. Es könnte, schätzen die Sicherheitsforscher, mehrere Millionen auf der Straße befindliche Fahrzeuge betreffen, die noch ungepatcht herumfahren. Oft sind Firmware-Updates zudem nicht Over-the-Air (OTA), sondern nur per USB-Stick und/oder auch nur in der Werkstatt möglich. Da die Zyklen oft unterschiedlich lang sind, kann dies eine kleine Ewigkeit dauern – wenn der Hersteller sich überhaupt darum kümmert.

224 betrügerische Android-Apps hat Google aus seinem Play Store entfernt. Sie waren insgesamt 38 Millionen Mal installiert, von Android-Nutzern in 228 Ländern, und lösten täglich 2,3 Milliarden betrügerische Werbeanzeigen aus, die nie jemand zu Gesicht bekam. Klassischer Werbebetrug, aber besonders gut versteckt. Dennoch aufgedeckt haben ihn Sicherheitsforscher der Firma Human. Sie nennen den Fall "SlopAds", in Anspielung an "AI Slop", was KI-generierte Medieninhalte geringer Qualität bezeichnet.

Die betrügerischen Anwendungen hatten meist KI-Bezug und enthielten, so wie sie im Play Store eingereicht und zum Download angeboten wurden, keine Malware-Funktion im engeren Sinne. Erst nach erfolgter Installation wurde eine verschlüsselte Konfiguration mittels Firebase Remote Config nachgeladen. Darin enthalten waren Hyperlinks: eine Liste über 300 betrügerischer Webseiten, die der Bereitstellung der fremden Reklame dienten; ein Link zum Download eines Javascripts, das den heimlichen Abruf der Reklame über Webview steuerte; und ein Link zu vier PNG-Bilddateien.

In diesen Bildern war, steganografisch, weiterer Code versteckt. Die Apps bauten daraus die eigentliche Schadroutine, die Human "FatModule" nennt. Diese Software prüfte zunächst, auf welchem Wege der Nutzer an die App gelangt war. Wurde sie mittels Suche im Play Store gefunden und installiert, arbeitete sie nur wie angepriesen, die Schadroutine wurde dann nie scharfgeschaltet.

Allerdings hatten die Werbebetrüger auch selbst Werbung geschaltet, nämlich für ihre Apps. Klickte ein Nutzer auf solche Reklame, landete auf diesem Weg in Googles Play Store und installierte die App, wurde deren Betrugsmodus aktiviert. Das sollte Sicherheitsforscher ausschließen, die sich eher im Play Store direkt bedienen, anstatt irgendwelche Reklame zu klicken.

Zusätzlich suchten die Apps nach Hinweisen auf mögliche Ausführung durch Sicherheitsforscher, etwa ein gerootetes Betriebssystem, einen Emulator oder Debugging-Werkzeuge. Nur wenn nichts dergleichen gefunden wurde, begannen die heimlichen Downloads von Werbung in einem versteckten Webview-Prozess. Selbst dann wurden die Abrufe über mehrere Weiterleitungen geschickt, um dem Werbeserver keine verdächtigen Referrer zu liefern.

Verschiedene IT-Sicherheitsunternehmen warnen vor neuen Angriffen auf das npm-Ökosystem rund um node.js. Mehrere Dutzend Pakete (mindestens 40, in einem Bericht gar an die 150) sind mit einer Malware infiziert, die geheime Daten stiehlt und über einen Webhook ausleitet. Zudem repliziert sich die Schadsoftware selbsttätig – und ist somit ein Wurm.

npm, der Node Package Manager, kommt nicht zur Ruhe. Nachdem erst kürzlich unbekannte Angreifer die Zugangsdaten eines prominenten Entwicklers abgephisht und manipulierte Pakete eingeschleust hatten, hat die Verteilstation für node.js-Bibliotheken nun mit einem ausgewachsenen Wurm zu kämpfen.

Wie StepSecurity und Socket übereinstimmend berichten, befindet sich unter den kompromittierten Paketen auch @ctrl/tinycolor, das etwa zwei Millionen Mal pro Woche heruntergeladen wird. Auch etwa ein Dutzend weitere Pakete des Entwicklers @ctrl sind betroffen, einige der Nativescript-Community und wie Aikido auflistet, sogar solche des Security-Unternehmens Crowdstrike.

Der Schadcode nutzt "TruffleHog", um interessante Daten zu erschnüffeln, etwa API-Credentials und Zugangsdaten für GitHub sowie die Clouds von Google und Amazon. Er erstellt dann GitHub-Repositories und -Workflows und exfiltriert seine Beute über einen Webhook auf der Domain webhook.site. Und er hat offenbar die Fähigkeit, sich selbst zu replizieren, indem er weitere Pakete infiziert und trojanisierte Paketversionen hochlädt.

Unklar ist noch, wo der Angriff begann – einen klaren "Patient Null" nennen die drei analysierenden Unternehmen nicht. Auch sind die Urheber der Attacke nicht bekannt, möglicherweise sind es dieselben wie beim letzten Angriff.

Durch eine Thematisierung im Schulunterricht sollen Kinder in Brandenburg künftig besser vor den Gefahren von Cybergrooming und anderen Formen der Online-Kriminalität geschützt werden. Die Koalitionsfraktionen von SPD und Bündnis Sahra Wagenknecht (BSW) fordern mit einem Landtagsantrag, dass Schüler besser auf die Gefahren vorbereitet werden. Die Themen sollten im Schulunterricht verankert werden. Dazu soll es bis Ende 2026 ein Konzert geben, kündigte die Bildungsexpertin der SPD-Landtagsfraktion, Katja Poschmann, im Landtag in Potsdam an. Auch die Lehrkräfte sollen mithilfe von Fortbildungen geschult werden.

Jedes vierte Kind in Deutschland hat laut einer repräsentativen Befragung schon sexuell motivierte Annäherungsversuche Erwachsener im Internet erlebt. "Diese Zahlen müssen uns alarmieren", sagte Landtagsabgeordnete Poschmann. In Deutschland ist Cybergrooming als eine Form des sexuellen Missbrauchs von Kindern verboten. Experten warnen auch vor Sextortion (sexuelle Erpressung) und "Taschengeld-Dating über sogenannte Sugardaddy-Plattformen" – Plattformen, über die für Geld oder Geschenke Treffen mit Minderjährigen angebahnt werden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.

Durch eine "kritische" Sicherheitslücke in DELMIA Apriso kann Schadcode schlüpfen und Computer schädigen.

DELMIA Apriso ist eine Manufacturing-Operations-Management-Software (MOM) und ein Manufacturing Execution System (MES), das auch hierzulande unter anderem im Automobilbereich genutzt wird. Darüber werden etwa globale Produktionsabläufe gesteuert. Es ist davon auszugehen, dass eine erfolgreiche Attacke für Firmen weitreichende Folgen haben kann.

Der Anbieter der Software, Dassault Systèmes, erwähnte die Sicherheitslücke (CVE-2025-5086 "kritisch") bereits im Juni dieses Jahres in einer äußerst knapp formulierten Warnmeldung. Daraus geht hervor, dass entfernte Angreifer Schadcode in diversen Releases aus den Jahren 2020 bis einschließlich 2025 ausführen können. Aufgrund der kritischen Einstufung ist davon auszugehen, dass Angreifer nicht authentifiziert sein müssen, um Attacken einzuleiten

Anfang September warnte nun ein Sicherheitsforscher des SANS-Institut Internet Strom Center in einem Beitrag vor Exploitversuchen. Ihm zufolge versenden Angreifer SOAP-Requests mit Schadcode an verwundbare Instanzen. Was Angreifer konkret nach erfolgreichen Attacken anstellen, ist zurzeit unklar.

Mittlerweile warnt auch die US-Sicherheitsbehörde CISA vor Angriffen. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. Unklar bleibt auch, ob es einen Sicherheitspatch gibt. Das geht weder aus der offiziellen Warnmeldung, noch aus den Warnungen des Sicherheitsforschers und der CISA hervor. heise security steht in Kontakt mit dem Softwareanbieter und wartet derzeit auf ein Feedback zum Sicherheitspatch. Wir aktualisieren die Meldung, wenn uns konkrete Informationen vorliegen.

Dies ist das Transkript der ersten Folge des neuen Podcasts "Darknet Diaries auf Deutsch". Im Englischen Original von Jack Rhysider trägt diese Episode den Namen "Kill List".

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint ab sofort alle zwei Wochen auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

JACK: Ich habe früher in Las Vegas gelebt und gearbeitet. Was für eine Stadt das ist! Ich bin so froh, dass ich da weg bin. Es kam mir vor, als hätte ich so ne Art magisches Loch in der Tasche - unflickbar quasi. Wie auch immer, ich habe eines Tages Craps gespielt. Das ist so'n eigentlich recht einfaches Glücksspiel mit zwei Würfeln an nem großen Tisch. Ein gebrechlicher, alter Mann kam dazu und spielte mit, und seine Einsätze waren hoch. Er warf mit seinem Geld nur so um sich, und hatte, würde ich sagen, ne gute Zeit. Ich hab die Würfel geworfen, und er hat mit meinen Würfen Geld verdient. Er mochte mich also, und wir kamen ins Gespräch. Aber da war dieser Typ hinter ihm, ein großer Kerl, kein Muskelprotz, aber einer, der wahrscheinlich Cheeseburger liebt, wenn ihr versteht, was ich meine. Und ich fragte ihn: „Na, willst du nicht mitmachen? Ich habe gerade ne Glückssträhne.“ Er sagte nichts.

Der alte Mann dreht sich zu mir und sagt: „Ach, beachte ihn nicht. Er ist mein Bodyguard.“ Ich: „Ach, wirklich? Das ist dein Bodyguard?“ Dann erzählte er mir was, das mich überraschte, er sagte: „Ja, aber ich bezahle ihn eigentlich nicht dafür, mich zu beschützen, sollte es wirklich zu ner Schlägerei kommen.“ Und ich sagte: „Was? Du bezahlst ihn nicht, um dich aus irgendwelchen Schwierigkeiten zu befreien?“ „Nein, nein. Ich kann mir so einen Bodyguard nicht leisten. Dieser Typ steht einfach nur neben mir. Und wenn etwas passiert, weiß er, dass er nicht eingreifen muss.“ Ich sagte: „Wow, warte mal. Warum bezahlst du jemanden dafür, neben dir zu stehen?“ Er sagte: „Um mein Bodyguard zu sein.“ Ich sagte: „Nein, aber er beschützt dich doch gar nicht.“ Der alte Mann sagte: „Ja, aber das weiß ja niemand. Jeder sieht ihn neben mir, und niemand legt sich mit mir an, weil er da ist.“ Ich fragte: „Funktioniert das?“ Er: „Ja. Ich bin noch nicht ausgeraubt worden.“

JACK: Ich glaube, es war – Mann, ist jetzt bestimmt jetzt schon sieben Jahre her, dass mir gesagt wurde, ich müsse Chris Monteiro in die Sendung holen und davon erzählen, was er rausgefunden hat. Ich bin ihm dann natürlich in seine DMs gerutscht, hab mich cool verhalten und so getan, als ob ich eigentlich nichts weiß: „Hey Chris, hab ich geschrieben, ich habe gehört, du steckst tief im Web.“ Er zurück: „Ich kann nicht darüber reden. Ist gerade zu heikel.“ [Musik] Ich also: „Okay.“ N' paar Jahr später hab ich nachgehakt, aber auch da wollte er nicht reden. Er sagte: „Nein, ich bin damit durch. Ich habe das hinter mir gelassen.“ Dann, vielleicht zwei Jahre später, habe ich nochmals nachgefragt. Diesmal sagte er: „Die Polizei ermittelt. Wir müssen warten.“ Später sagte er mir bei einem weiteren Versuch, dass er bedroht würde und sich bedeckt halten muss. Es ist einfach eine dieser Geschichten, bei denen ich mit der Zeit immer neugieriger werde, und ich habe wirklich gehofft, dass ich eines Tages mit ihm reden könnte. Jetzt, nach sieben Jahren des Wartens, ist Chris Monteiro bereit zu reden, und ich kann's kaum erwarten, endlich zu hören, was er im tiefen, dunklen Web gefunden hat.

Mit den gestern Abend veröffentlichten Updates auf iOS 26, iPadOS 26 macOS 26 Tahoe, watchOS 26, visionOS 26 und tvOS 26 hat Apple auch jede Menge sicherheitsrelevante Fehler behoben. Zudem wurden Aktualisierungen für ältere Versionen der Betriebssysteme ausgespielt, die ebenfalls Security-Fixes enthalten. Nutzer sollten ihre Systeme also so schnell wie möglich auf einen aktuellen Stand bringen. In iOS 26 und iPadOS 26 werden insgesamt 26 näher ausgeführte Löcher gestopft – hinzu kommen über 40 (!) "Credit only"-Hinweise auf Lücken, zu denen Apple bislang nur die Bereiche nennt, in denen sie stecken, aber keine weiteren Informationen mitteilt.

Die von Apple ausgeführten iOS- und iPad-Probleme befinden sich in fast allen Systembereichen – von der Neural Engine über den Kernel oder IOKit bis hin zur Browser-Engine WebKit. Bereits ausgenutzte Lücken gibt Apple keine an. Viele der Bugs erlauben Abstürze, abfließende Daten (darunter auch Tastaturanschläge via LaunchServices) und andere Angriffsformen. Da Apple wie erwähnt viele der Lücken nicht näher beschreibt, bleiben in Sachen Gesamtgefährdung viele Unbekannte.

Für Nutzer, die nicht sofort auf iOS 26 und iPadOS 26 aktualisieren wollen, liefert Apple iOS 18.7 und iPadOS 18.7 aus. Sie stopfen leider nur einen Bruchteil der Lücken, die in iOS 26 und iPadOS 26 behoben wurden. Apple nennt hier nur elf Bereiche mit näheren Angaben plus fünf "Credit only"-Bugs. Unschön: Apple legt mit iOS 16.7.12 und iPadOS 16.7.12 sowie iOS 15.8.5 und iPadOS 15.8.5 erst jetzt Updates für diese sehr alten Systeme vor, die eine seit längerem bekannte Lücke schließen, die bereits ausgenutzt wird.

macOS 26 alias Tahoe kommt mit über 70 (!) von Apple näher ausgeführten sicherheitsrelevanten Bugfixes. Hinzu kommen über 40 "Credit only"-Lücken ohne weitere Details. Angaben über bereits ausgenutzte Bugs macht Apple nicht, auch hier ist das System in voller Breite betroffen. Lücken betreffen unter anderem Kernel, Open-Source-Bestandteile diverser Art, MediaLibrary, MigrationKit, Music, Notification Center und vieles mehr. Abstürze, Denial-of-Service-Angriffe, Datenabflüsse und mehr sind möglich. Auch hier weiß man nicht, welche möglicherweise (noch) schwerwiegenderen Probleme sich in den besagten "Credit only"-Bugs befinden.

Apple legt weiterhin macOS 15.7 alias Sequoia für Nutzer vor, die nicht gleich auf Tahoe wechseln wollen. (Teilweise tauchen hier Release-Notes-Angaben aus macOS 15.4 auf – diese stimmen jedoch nicht.) Es sind über 30 behobene sicherheitsrelevante Fehler im Update. Hinzu kommen sechs "Credit only"-Bugs. Wie bei den anderen Systemen gilt: Nur mit dem kompletten Upgrade auf die neueste Version ist man vollständig abgesichert. Apple stellt außerdem macOS 14.8 alias Sonoma bereit, das ebenfalls nur eine Teilmenge der Lücken schließt. Nutzer von macOS 15 und 14 bekommen zusätzlich noch ein Update auf Safari 26 bereitgestellt, das Teil von macOS 26 ist. Hier werden diverse WebKit-Bugs behoben.

Die Entwickler der Low-Coding-Plattform Flowise haben insgesamt sieben Sicherheitslücken geschlossen. Fünf Schwachstellen gelten als "kritisch". Im schlimmsten Fall kann Schadcode auf Systeme gelangen. Eine gepatchte Version schafft Abhilfe.

Am Ende dieses Beitrags finden Interessierte die Warnmeldungen der Entwickler mit weiterführenden Informationen zu den Sicherheitslücken. Am gefährlichsten gilt eine "kritische" Schadcode-Schwachstelle mit Höchstwertung (CVSS v3 10/10), für die offensichtlich noch keine CVE-Nummer vergeben wurde. Weil im Kontext einer Verbindung zu einem Model-Context-Protocol-Server (MCP) JavaScript-Code offensichtlich nicht validiert wird, können entfernte Angreifer eigenen Code ausführen. Im Anschluss führt so etwas in der Regel dazu, dass sie die volle Kontrolle über Computer erlangen.

Durch das Ausnutzen der weiteren kritischen Lücken können Angreifer unter anderem Passwörter zurücksetzen, um sich unbefugt Zugriff zu verschaffen (CVE-2025-58434). Außerdem können Angreifer auf eigentlich abgeschottete Dateien zugreifen. Auch für diese Schwachstelle wurde offensichtlich noch keine CVE-Nummer vergeben.

Durch das erfolgreiche Ausnutzen einer weiteren Lücke (noch keine CVE-Nummer, Bedrohungsgrad "hoch") können Angreifer aufgrund einer unsicheren Standardkonfiguration aus der Sandbox ausbrechen und Systemkommandos ausführen. Das führe den Entwicklern zufolge dazu, dass Angreifer Schadcode aus der Ferne ausführen und Systeme über diesen Weg vollständig kompromittieren können.

Die Entwickler geben an, die Softwareschwachstellen in der Flowise-Version 3.0.6 aus der Welt geschafft zu haben. Ob es bereits Attacken gibt, ist derzeit nicht bekannt.

"In den vergangenen Wochen, haben wir eine besorgniserregende Zunahme kompromittierter Schülerkonten gesehen" schreiben die 81 öffentlichen Schulen Portland, Oregons (Portland Public Schools, PPS) an die Eltern, "Angreifer verschaffen sich Zugriff auf diese Konten und nutzen sie, um tausende Phishing- und Betrugs-Emails in alle Welt zu senden." Die ungewöhnliche Lösung für das Problem: "Schüler werden keine Multifaktorauthentifizierung (MFA) für ihre Google-Konten mehr einrichten können."

Kein Scherz. Die PPS haben heise online die Echtheit des Rundschreibens bestätigt, meinen aber: "Wir schaffen MFA nicht vollständig ab. Wir wechseln auf eine andere Plattform." Klingt gut, entpuppt sich aber als potemkinsches Dorf. Die neue "MFA" ist keine, zudem schützt die Maßnahme die Google-Konten nicht.

Anstatt sich wie bisher auf ihren Chromebooks in ihre Google-Konten einzuloggen, was auch den Zugriff auf die Schulumgebung Classlink öffnet, wird das Prozedere umgedreht: Die Kinder sollen sich bei Classlink einloggen, und ihr Konto mit Google verknüpfen, sodass sie über Classlink zu Gmail, Google Drive und Co gelangen können. Theoretisch bietet Classlink Zwei-Faktor-Authentifizierung (2FA, eine Form der MFA) an: mittels Authenticator-App (TOTP), Hardware-Schlüssel (Yubikey) oder der veralternden Methode per SMS zugemittelter Einmalcodes.

Bloß nutzt die Schulverwaltung keine dieser MFA-Methoden. Vielmehr wir den Schülern geraten ("we strongly encourage"), zusätzlich zu Username und Passwort noch eine sechsstellige PIN (bei kleineren Kindern ein Bild) auszuwählen, was beim Login abgefragt wird. Classlink vermarktet das zwar als MFA, es ist aber keine. Denn Multifaktorauthentifizierung stellt darauf ab, dass neben dem Faktor Wissen (Username, Passwort, PIN/Bild, Mädchenname der Base, Geburtsort des Oheims, et cetera) eben noch andere, vom Erinnerungsvermögen unabhängige Faktoren, gegeben sein muss.

Das wäre in aller Regel der Besitz eines Geräts wie zum Beispiel eines Handys (Authenticator App), einer SIM-Karte (SMS) oder eines Hardwareschlüssels; möglich wäre auch die Beschränkung auf bestimmte Orte oder Netzem aber die Kinder sollen sich auch von auswärts einloggen können. Handys sind in Portlands Schulen verboten, und 44.000 Yubikeys für die Schüler (4-18 Jahre) zu beschaffen, war wohl zu teuer. Zudem wäre die Verlustrate der kleinen USB-Dinger unter Schülern wohl nicht unerheblich.