Comretix Blog

Cybernation: Das ist der Begriff, mit dem die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) Claudia Plattner seit bald zwei Jahren mehr Bewusstsein für Cybersicherheit und Digitalisierungsfragen fordert. Die Idee: Möglichst alle staatlichen und privaten Akteure, Institutionen und Ebenen sollten das Cybersicherheitsthema gemeinsam adressieren. Bei ihrem Amtsantritt, berichtete Plattner, sei es in Regierungskreisen keineswegs selbstverständlich gewesen, dass Cybersicherheit auch eine Frage nationaler Sicherheit ist.

Bei einer zweitägigen Veranstaltung mit Vertretern aus Politik und Wirtschaft in Berlin macht sich der Wirtschaftsrat der CDU diese Idee nun zu eigen – ein Verein, der einigen Beobachtern als der derzeit maßgebliche Think-Tank der CDU-Wirtschaftspolitik gilt. Cybersicherheit sei keine rein technische Disziplin, sondern auch eine Standort- und Vertrauensfrage, erklärt Wirtschaftsrat-Präsidentin Astrid Hamke. Sie sieht wirtschaftliche Chancen: "Innovation in der Sicherheitstechnologie kann zu einem echten Exportschlager werden." Dass dabei auch Politik eine wesentliche Rolle spiele, daran ließen die Diskutanten im Waldorf Astoria-Hotel keinen Zweifel.

Denn bereits heute gibt es eine relevante Cybersicherheitsbranche in Deutschland. Oft spielt sie allerdings maximal in der mittleren Gewichtsklasse, wie Torsten Henn von Secunet beschreibt: Mit 1.100 Mitarbeitern, 400 Millionen Euro Umsatz jährlich und einem Börsenwert von etwa 1,4 Milliarden Euro sei sein Unternehmen aus politischer Sicht eben zu klein, um als industriepolitisch relevanter Player wahrgenommen zu werden.

Dass der Staat als Kunde wie als Regulierer eine maßgebliche Rolle spielt, prägte Teile der Diskussion. "Viele ambitionierte Projekte sind auch daran gescheitert, dass wir nicht rechtzeitig die Nachfragemacht generieren konnten", berichtete Iris Plöger, die beim Bundesverband der deutschen Industrie für Digitalfragen zuständig ist. Dabei spielt auch der Staat eine Rolle, insbesondere wenn es um die Anforderung digitaler Souveränität geht.

Der CDU-Abgeordnete Henri Schmidt definierte diese kurzerhand so: Es gelte, "alles dafür zu tun, keinen Vendor Lock-In zu haben." Aber die 300.000 Microsoft Office-Nutzer in der Bundesverwaltung "schmeiße ich erst dann raus, wenn ich ein Äquivalent habe." Doch da wäre man bislang trotz aller Bemühungen wie OpenDesk nicht, so Schmidt. Bis auf Weiteres scheinen Wirtschaft wie Verwaltung also auf US-Anbieter angewiesen. Die versuchen, den Bedenken Rechnung zu tragen – mit gekapselten und mehrschichtigen Sicherheitsmechanismen oder, wie Amazon mit seiner European Cloud, gleich mit einer kompletten und infrastrukturell eigenständigen Ausgründung seiner Clouddienstleistungen.

Gegen fünf junge Männer aus mehreren Bundesländern wird wegen des Verdachts der Computersabotage ermittelt. Sie sollen über mehrere Wochen lang die Telefone von Polizeidienststellen für jeweils kürzere Zeit blockiert haben. Insgesamt seien seit Anfang des Jahres über 800 Dienststellen in Deutschland und benachbarten Ländern von den Attacken betroffen gewesen, teilte die Polizei in Osnabrück mit. Ende Juni wurden mehrere Wohnungen der Tatverdächtigen durchsucht.

Die fünf Beschuldigten im Alter zwischen 16 und 19 Jahren sollen per Telefonkonferenz die Leitungen der Polizei blockiert haben. Dabei nutzten sie eine Dial-Out-Konferenz, bei der die Teilnehmer sich nicht ins Konferenzsystem einwählen, sondern angerufen werden. Die betroffenen Dienststellen seien wiederholt angerufen worden, was dazu führte, dass die Leitungen für andere Anrufer blockiert wurden. Die Ausfallzeiten hätten zwar nur von wenigen Momenten bis zu 74 Sekunden betragen. Allerdings konnten sich die Angerufenen der wiederholten Anrufe nicht erwehren, sodass in der Summe eine längere Zeit der Blockade zustande kam. Für die Beamten sei es auch nicht möglich gewesen, den Vorgang zu stoppen.

Einsatzkräfte des Fachkommissariats Cybercrime der Zentralen Kriminalinspektion Osnabrück durchsuchten Ende Juni mehrere Wohnobjekte in Schleswig-Holstein, Nordrhein-Westfalen, Baden-Württemberg und Bremen. Die Maßnahmen richteten sich unter anderem gegen Adressen in Wentorf bei Hamburg, Mülheim an der Ruhr, Eppingen und Bremen. Die Durchsuchungsbeschlüsse waren durch die Staatsanwaltschaft Osnabrück - Zentralstelle Internet- und Computerkriminalität (Cybercrime) - beantragt worden.

"Cyberangriffe auf die Polizei sind kein Kavaliersdelikt - sie können den Arbeitsalltag unserer Kolleginnen und Kollegen massiv beeinträchtigen", sagt Laura-Christin Brinkmann, Pressesprecherin der Polizeidirektion Osnabrück laut einer Pressemitteilung. "Gerade in Zeiten, in denen schnelle Erreichbarkeit entscheidend sein kann, wiegen solche Störungen besonders schwer."

Bei den Durchsuchungen wurden zahlreiche elektronische Geräte sichergestellt, darunter Smartphones, Laptops, externe Speichermedien und Netzwerktechnik.

Juniper Networks hat am Mittwoch dieser Woche insgesamt 28 Sicherheitsmitteilungen herausgegeben. Der Hersteller behandelt darin Schwachstellen in diversen Appliances und den Betriebssystemen – bis hin zum Schweregrad "kritisch".

IT-Verantwortliche sollten prüfen, ob sie die anfälligen Geräte und zugehörige Software einsetzen und zeitnah die bereitgestellten Aktualisierungen anwenden. Das Spektrum der Sicherheitslücken und ihrer Auswirkungen ist breit: Angreifer können etwa Schadcode einschleusen und ausführen, ihre Rechte ausweiten, Denial-of-Service-Attacken starten, Sicherheitsmaßnahmen umgehen oder unbefugt Daten lesen oder gar manipulieren.

Die Suche von Juniper liefert eine Übersicht der jüngsten Sicherheitsmitteilungen der Entwickler. Zum Meldungszeitpunkt stammen die jüngsten 28 Veröffentlichungen vom Mittwoch dieser Woche. Die betroffenen Systeme umfassen Junos OS, Junos OS Evolved, die ACX-, MX-, SRX-Baureihen und Juniper Apstra.

Im Juniper Networks Security Director können nicht authentifizierte Angreifer aus dem Netz auf sensible Ressourcen über das Web-Interface zugreifen oder diese manipulieren. "Zahlreiche API-Endpunkte von Juniper-Security-Director-Appliances überprüfen die Authentifizierung nicht und liefern Aufrufern Informationen außerhalb ihres Autorisierungs-Levels aus. Die erhaltenen Informationen lassen sich dazu nutzen, Zugriff auf weitere Informationen zu erhalten oder andere Angriffe auszuführen, die sich auf von der Appliance verwaltete Geräte auswirken", erklärt Juniper in der Sicherheitsmitteilung (CVE-2025-52950 / kein EUVD, CVSS 9.6, Risiko "kritisch").

Angreifer in einer Position zwischen Radius-Client und -Server von Junos OS und Junos OS Evolved können die Authentifizierung umgehen. Ursache ist eine unzureichende Prüfung eines Inetgritäts-Prüfwerts und unzureichende Erzwingung von Nachrichtenintegrität auf einem Kommunikationskanal, erörtern Junipers Entwickler (CVE-2024-3596 / EUVD-2024-32175, CVSS 9.0, Risiko "kritisch").

Die App NINA, die zum Beispiel vor starken Unwettern oder bei Hochwasser warnt, wird ausgebaut. Künftig sollen auch Hinweise auf angedrohte Gewalttaten wie zum Beispiel Bombendrohungen oder Warnungen vor gefährlichen Straftätern auf die Smartphones geschickt werden, kündigte das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) an.

Die Polizeibehörden haben bereits in den vergangenen Jahren vereinzelt die App für solche Warnungen und Hinweise zu herausragenden Vorfällen genutzt. Nun wird dieser Polizei-Bereich ausgebaut: Mit dem Update zum Ende der Woche kommt dafür auch ein eigenes Icon in die App.

Außerdem soll die App in Notlagen und bei drohenden Katastrophen dann zuverlässiger Warnmeldungen schicken können, berichtet das BBK. Die Funktionalität und die Technik im Hintergrund wurden so optimiert, dass die Datenmengen verringert werden können, die zur zielgenauen Zustellung von Push-Nachrichten nötig sind. Das helfe bei der Übertragung in Situationen, in denen die Behörden besonders viele Warnmeldungen verschicken müssen.

Die Warn-App NINA ist kostenlos in den gängigen App-Stores erhältlich. Der Name steht für "Notfall-Informations- und Nachrichten-App".

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Für einen Fehler des AMD Secure Processor (ASP) Firmware-Trusted-Platform-Moduls (fTPM) diverser AMD-Ryzen-Prozessoren stellt AMD bereits seit 2022 korrigierte Firmware-Updates bereit. Nutzerinnen und Nutzer bleiben jedoch weiterhin betroffen, da Motherboard-Hersteller den Fix nicht in ihre BIOS-Versionen einbauen und verteilen.

Darüber beschwert AMD sich in einem Support-Artikel vom Montag dieser Woche. Der Fehler im fTPM führt dazu, dass Prüfungen mit dem TPM unter Windows den Fehlercode 0x80070490 liefern, anstatt solche Überprüfungen positiv zu quittieren. Das hat praktische Auswirkungen für Betroffene.

AMD erklärt, dass einige Apps Funktionen deaktivieren, wenn die TPM-Prüfung fehlschlägt. Als Beispiel nennt der Hersteller, dass Gamer etwa nicht an mit Preisgeld notierten Online-Turnieren teilnehmen könnten. Eine Korrektur steht bereits seit 2022 bereit, für betroffene Prozessoren der Ryzen-Baureihen 1000 bis 5000 sowohl für Desktops als auch für Notebooks.

Der Prozessorhersteller schreibt, dass einige Mainboard-Hersteller sich dazu entscheiden, dieses TPM-Firmware-Update nicht zu verteilen. Gleich darauf folgt auch ein möglicher Grund: Wer Bitlocker einsetzt, sollte bei solch einem TPM-Update die Bitlocker-Nutzung aussetzen. Der Update-Vorgang kann das TPM außerhalb der Windows-APIs löschen. Bei aktiviertem Bitlocker könnte der Rechner dann beim Neustart in den Wiederherstellungsmodus gehen und den Bitlocker-Recovery-Key oder ein Passwort für den Computer-Zugriff verlangen. Wer an dieser Stelle kein Backup des Bitlocker-Wiederherstellungsschlüssels etwa auf Papier, in einer Datei auf USB-Stick oder in einem Microsoft-Konto hat, könnte alle Daten auf dem Rechner verlieren.

Betroffen sind Versionen 3.*.0.* des AMD fTPM; Die fTPM-Fassungen 3.*.2.* sowie 6.*.*.* (wobei * eine beliebige Ziffer darstellt) bringen den Fehler nicht mit. Die fTPM-Version zeigt der Befehl "Powershell.exe -Command Get-TPM" an der Eingabeaufforderung an. Temporäre Umgehungsmaßnahmen, mit denen sich die Auswirkungen des Fehlers eindämmen ließen, nennt AMD nicht. Betroffene sollen den Hersteller ihres Mainboards kontaktieren, um ein gegebenenfalls verfügbares Firmware-Update zu erhalten.

Fortinet hat Sicherheitsupdates für mehrere Produkte veröffentlicht. Sie schließen Sicherheitslücken, die teils als kritisches Risiko eingestuft wurden.

Am schwerwiegendsten ist eine Sicherheitslücke in FortiWeb. Nicht angemeldete Nutzer aus dem Netz können eine SQL-Injection-Schwachstelle angreifen, da bestimmte Elemente in einem SQL-Befehl nicht ausreichend gefiltert werden. Dadurch können Angreifer unbefugt SQL-Code oder Befehle mit sorgsam präparierten HTTP- oder HTTPS-Anfragen einschleusen (CVE-2025-25257, CVSS 9.6, Risiko "kritisch"). Die FortiWeb-Versionen 7.6.4, 7.4.8, 7.2.11 sowie 7.0.11 und neuere stopfen das Sicherheitsleck.

In FortiVoice hingegen können Angreifer mit Zugriffsrechten beliebigen Code oder Befehle mit manipulierten HTTP-/HTTPS- oder Kommandozeilen-Anfragen einschleusen. Gleich an zwei Stellen fehlen ausreichende Filter für bestimmte Elemente, die in Kommandozeilen-Befehle eingebaut werden (CVE-2025-47856, CVSS 7.2, Risiko "hoch"). In FortiVoice 7.2.1, 7.0.7 und 6.4.11 und jeweils neueren Versionen haben die Programmierer diese Sicherheitslücken geschlossen.

Zudem stopfen die Entwickler Sicherheitslecks in weiteren Fortinet-Produkten. IT-Verantwortliche sollten prüfen, ob sie diese einsetzen, und die Aktualisierungen zeitnah anwenden.

Die Sicherheitsmitteilungen von Fortinet nach Risiko sortiert:

Das WordPress-Plug-in SureForms kommt auf mehr als 200.000 aktive Installationen. IT-Sicherheitsforscher haben eine Sicherheitslücke darin entdeckt, die die vollständige Kompromittierung von verwundbaren WordPress-Instanzen ermöglicht. Updates stehen bereit, die die Lücke schließen.

In einem Blog-Beitrag analysieren IT-Forscher von Wordfence die Schwachstelle. Das Plug-in heißt in voller Länge "SureForms – Drag and Drop Form Builder for WordPress". In der Funktion delete_entry_files() findet keine ausreichende Prüfung von Dateipfaden statt. Dadurch können Angreifer aus dem Netz ohne vorherige Anmeldung beliebige Dateien auf dem Server löschen. Das kann schließlich zur Ausführung beliebigen Codes aus der Ferne führen, wenn bösartige Akteure etwa die "wp-config.php"-Datei löschen und so die WordPress-Instanz in den Setup-Modus versetzen und damit an eine von ihnen kontrollierte Datenbank anschließen (CVE-2025-6691 / EUVD-2025-20783, CVSS 8.1, Risiko "hoch").

Betroffen ist etwa SureForms 1.7.3. Die Entwickler haben gleich mehrere Versionszweige mit Aktualisierungen versehen. Die Fassungen SureForms 1.7.4, 1.6.5, 1.5.1, 1.4.5, 1.3.2, 1.2.5, 1.1.2, 1.0.7 und 0.0.14 stehen bereit und stopfen das Sicherheitsleck.

IT-Verantwortliche mit WordPress-Instanzen sollten prüfen, ob die von ihnen betreuten Systeme bereits auf diesen aktualisierten Ständen sind. Gegebenenfalls sollten sie die Aktualisierung rasch anstoßen, um die Angriffsfläche zu minimieren.

Eine ähnliche Sicherheitslücke wurde bereits vergangene Woche in dem WordPress-Plug-in Forminator bekannt. Das Plug-in kommt sogar auf mehr als 600.000 Webseiten zum Einsatz. Auch dort ermöglichte die Lücke Angreifern, die "wp-config.php" zu löschen und damit in weiterer Folge die komplette Instanz zu übernehmen.

Europäische Unternehmen sehen sich mit einer zunehmend angespannten Bedrohungslage konfrontiert. Das geht aus dem "State of Cybersecurity Report 2025" des französischen Security-Anbieters HarfangLab hervor. Demnach bewerten 40 Prozent der befragten Unternehmen aus Deutschland, Frankreich, den Niederlanden und Belgien das aktuelle IT-Risiko für ihre Organisation als "extrem" oder "sehr hoch". 58 Prozent halten die Nutzung von Künstlicher Intelligenz (KI) durch Kriminelle für den wichtigsten Risikofaktor.

Ein zentrales Ergebnis des Berichts ist die wachsende Bedeutung der digitalen Souveränität. 70 Prozent der Unternehmen empfinden die Abhängigkeit von nicht-europäischer Technik als zu hoch. 78 Prozent der Entscheider in Europa geben an, dass das Thema Souveränität für sie wichtiger geworden ist. Für 59 Prozent ist dies inzwischen ein entscheidendes Kaufkriterium, 11 Prozent sehen digitale Souveränität sogar als das wichtigste.

Laut dem Bericht (PDF) erleben On-Premises-Angebote eine kleine Renaissance. Demnach bevorzugen 31 Prozent der Unternehmen lokale Endpoint-Detection-and-Response-Systeme (EDR) gegenüber Cloud-Angeboten – vor allem, um mehr Kontrolle über die eigene IT-Sicherheit zu behalten. Der Anteil cloudbasierter Systeme liegt mit 35 Prozent zwar noch höher, doch rund 17 Prozent der Unternehmen planen explizit den Umstieg auf eine On-Premises-Lösung in den nächsten zwei Jahren.

Auch Microsoft hat trotz aller Versuche, die Kunden in die Cloud zu bringen, noch immer On-Premises-Server im Angebot. Zuletzt hat das Unternehmen mit der Microsoft Exchange Server Subscription Edition und der Skype Business Server Subscription Edition weiterhin lokal installierbare Server veröffentlicht. Dafür lässt sich das Unternehmen jedoch einen Aufpreis zahlen.

Die Unterschiede in der Risikowahrnehmung sind regional teils deutlich: In Frankreich stuften 48 Prozent der Unternehmen das Risiko als extrem oder sehr hoch ein, in Deutschland nur 33 Prozent.

Der Klinikkonzern Ameos kämpft aktuell mit einem massiven IT-Ausfall, der alle deutschen Standorte betrifft. Eine Sprecherin der Schweizer Konzerngruppe bestätigte auf Anfrage der dpa, dass alle deutschen Einrichtungen von einer Netzwerkstörung betroffen seien. Diese sei bereits Montagabend aufgetreten, auch bei heise online war ein entsprechender Hinweis eingegangen – auf eine Anfrage hatte das Unternehmen nicht reagiert.

Die Technik habe das Problem identifiziert, es sei aber noch nicht klar, wann die Störung behoben werden könne. Details nannte die Unternehmenssprecherin laut dpa nicht. Untersuchungen könnten teilweise nicht vorgenommen werden, die Patientenversorgung insgesamt sei nicht gefährdet.

Die Folgen sind spürbar: In mehreren Bundesländern, darunter Sachsen-Anhalt, können Rettungsdienste Ameos-Kliniken derzeit nur eingeschränkt anfahren. Teilweise könnten unter anderem keine Röntgen- oder Laboruntersuchungen mehr vorgenommen werden, hieß es. Das Unternehmen war hierzu zunächst nicht erreichbar.

Ameos zählt mit mehr als 100 Einrichtungen an über 50 Standorten und rund 18.000 Beschäftigten zu den größten privaten Klinikbetreibern in Deutschland. Jährlich werden nach eigenen Angaben über 500.000 Patientinnen und Patienten behandelt. So betreibt der Konzern etwa Kliniken in Aschersleben, Bernburg, Haldensleben, Halberstadt und Schönebeck, daneben auch mehrere Polikliniken. Mehr als 18.000 Menschen sind bei Ameos beschäftigt.

Bei Stellenausschreibungen für IT-Sicherheits-Experten sind die Arbeitgeber laut dem aktuellen Dekra-Arbeitsmarktreport nicht mehr so sehr auf Hochschulabsolventen fixiert. Zwar werde ein Informatik-Studium in rund 61 Prozent der Stellenanzeigen immer noch am häufigsten als Qualifikation genannt. Die IT-Berufsausbildung folge darauf aber mit fast 43 Prozent und in rund 37 Prozent der Fälle komme eine Berufsausbildung auch als Alternative zu einem Studium infrage. Bei der dualen IT-Ausbildung präzisierten Arbeitgeber oft auch nicht, welche Spezialisierung sie wünschen.

2018 sah das laut Dekra noch ganz anders aus – nur ein Viertel der IT-Security-Stellen habe damals Bewerbern ohne Studium offen gestanden. Berufserfahrung falle inzwischen einfach mehr ins Gewicht als formale Abschlüsse, folgert die Prüfgesellschaft. Für die Analyse des Security-Jobmarkts, die Teil eines umfassenderen Arbeitsmarktreports ist, hat die Dekra eigenen Angaben nach 250 Stellenangebote untersucht.

Unabhängig vom Abschluss sind Zertifizierungen und Weiterbildungen für Bewerber im Security-Bereich von Vorteil: In jedem fünften Fall müssten Jobinteressierte IT-Security-Weiterbildungen und Zertifizierungen vorweisen. Die internationalen Zertifizierungen CISSP Certified Information Systems Security Professional (14 Prozent) sowie CISM Certified Information Security Manager (11 Prozent) führten als konkrete Nennungen die Liste an.

Trotz des allgegenwärtigen Hypes spielt KI in den Ausschreibungen für Security-Pros weder bei den Kenntnissen noch bei den Aufgaben eine Rolle. Am häufigsten würden bei den Kenntnissen "Allgemeinwissen" in der IT und Cybersicherheit verlangt (84 Prozent), ferner in Normen, Gesetze und Standards (63 Prozent) sowie in Netzwerktechnik (59 Prozent). In 44 Prozent der Fälle werde von Jobsuchenden auch erwartet, mit dem Konzept eines Managementsystems für Informationssicherheit vertraut zu sein sowie mit der ISO/IEC-27000-Reihe. In den Stellenangeboten finden sich einige weitere Normen und Standards, wie IT-Grundschutz (BSI), NIST, ITIL, NIS2 und vereinzelt branchenspezifische Standards.

Bei den gefragten Softskills hat die Dekra leichte Verschiebungen festgestellt: 2018 waren Eigenschaften wie Durchsetzungsfähigkeit und sicheres Auftreten noch bei einem Drittel der Anzeigen gewünscht – inzwischen aber noch bei 17 Prozent. Auch die früher bei fast einem Viertel geforderte Reisebereitschaft wird derzeit nur noch bei rund 10 Prozent gefragt – was der veränderten Bürokultur mit Videotelefonaten und Homeoffice geschuldet sein dürfte. Weiterhin gefragt sind Kommunikationsstärke, Teamfähigkeit, analytisches Denken, strukturiertes Arbeiten und inzwischen mit 32 Prozent doppelt so häufig wie 2018: Verantwortungsbewusstsein.

Aufgrund von mehreren Softwareschwachstellen können Angreifer Systeme mit den Adobe-Anwendungen After Effects, Audition, ColdFusion, Connect, Dimension, Experience Manager Forms, Experience Manager Screens, FrameMaker, Illustrator, InCopy, InDesign, Substance 3D Stager und Substance 3D Viewer attackieren. Bislang gibt es Adobe zufolge keine Hinweise auf Attacken.

Von den Schwachstellen sind macOS und Windows betroffen. Am gefährlichsten gilt eine "kritische" Lücke (CVE-2025-49535) in ColdFusion, über die Angreifer lesend auf Systemdateien zugreifen können. Wie so eine Attacke ablaufen könnte, ist bislang nicht bekannt. Dagegen sind die Ausgaben ColdFusion 2021 Update 21, ColdFusion 2023 Update 15 und ColdFusion 2025 Update 3 geschützt.

Ebenfalls als "kritisch" eingestuft sind Schwachstellen in Connect (CVE-2025-27203) und Experience Manager Forms (CVE-2025-2025-49533). An diesen Stellen kann Schadcode auf PCs gelangen. Ein Sicherheitspatch ist in Connect Windows App 25.1 und Experience Manager (AEM) Forms on JEE 6.5.0.0.202505270 implementiert. Auch InCopy und InDesign sind anfällig für Schadcode-Attacken. Wenn Angreifer eigenen Code auf Systemen ausführen, übernehmen sie in der Regel im Anschluss die volle Kontrolle über Systeme.

Die verbleibenden Sicherheitspatches listet Adobe in den verlinkten Warnmeldungen auf. Aus den Beiträgen geht leider nicht hervor, woran Admins bereits attackierte Systeme erkennen können.

Microsoft schließt mehrere Sicherheitslücken in seinem Softwareportfolio. Davon stuft der Hard- und Softwareentwickler mehrere Schwachstellen als "kritisch" ein. In vielen Fällen kann Schadcode Computer vollständig kompromittieren.

Eine Lücke (CVE-2025-49719 "hoch") in Microsoft SQL Server ist öffentlich bekannt und es können Angriffe bevorstehen. Daran können der Beschreibung der Schwachstelle zufolge Angreifer ohne Authentifizierung ansetzen, um über ein Netzwerk auf eigentlich abgeschottete Informationen zuzugreifen. Die dagegen geschützten Versionen sind in einem Beitrag aufgelistet.

Mehrere Schadcodelücken, die Angreifer aus der Ferne ausnutzen können sollen, stuft Microsoft als "kritisch" ein, auch wenn die CVE-Einstufung niedriger ist. Davon sind unter anderem Office (etwa CVE-2025-49695 "hoch"), SharePoint (CVE-2025-49704 "hoch") und Hyper-V (CVE-2025-48822 "hoch") betroffen. Die Office-Sicherheitsupdates sind aber Microsoft zufolge bisher nicht komplett verfügbar. Sie sollen aber so schnell wie möglich folgen.

Die genannte SharePoint-Lücke haben Sicherheitsforscher während des Hacker-Wettbewerbs Pwn2Own in Berlin entdeckt. Dafür haben sie eine Prämie von 100.000 US-Dollar kassiert. 

Überdies können Angreifer noch an Softwareschwachstellen in unter anderem BitLocker, Edge und verschiedenen Windows-Komponenten wie dem Kernel ansetzen. An diesen Stellen können sie sich etwa höhere Nutzerrechte aneignen oder Dienste via DoS-Attacke abstürzen lassen.

Eine Reihe moderner x86-Prozessoren der aktuellen und letzten Generationen weist neue Sicherheitslücken auf, durch die Angreifer sensible Informationen abgreifen könnten. Da diese vier entweder als wenig oder mittelmäßig gefährlich eingestuften Schwachstellen von Microsoft präventiv gefunden wurden, wurden sie bislang offenbar nicht ausgenutzt. AMD hat die betroffenen CPU-Modelle der Athlon-, Ryzen- und Epyc-Serien genannt, aber ob Intel-Prozessoren betroffen sind, ist noch offen.

Bereits letzten Monat hat AMD Updates gegen Sicherheitslecks in Krypto-Coprozessor und TPM der eigenen Prozessoren und Plattformen veröffentlicht, doch dabei handelt es sich um hochriskante Sicherheitslücken. Die jetzt gefundenen "Transient Scheduler Attacks" (TSA) stuft AMD dagegen als lediglich mittelmäßig gefährlich ein (CVE-2024-36350 und CVE-2024-36357). Durch sogenannte Seitenkanalangriffe könnten Daten aus nicht für das eigentliche Programm reservierten Speicherstellen oder aus dem L1D-Cache abgegriffen werden, was zum Abfluss sensibler Informationen führen könnte.

Den beiden weiteren Lücken (CVE-2024-36348 und CVE-2024-36349) gibt AMD einen niedrigeren Schweregrad, auch wenn diese ebenfalls zu unberechtigtem Datenabfluss führen könnten. Doch in diesen Fällen müssten Prozesse spekulativ ins Kontrollregister eingreifen oder einen bestimmten Befehl zum Auslesen von Informationen ausführen, obwohl dieses eigentlich unterbunden wurde. In diesen zwei Fällen verzichtet AMD auf Patches, denn laut Hersteller sind dabei keine sensiblen Informationen betroffen. Für die beiden zuvor genannten Schwachstellen gibt es hingegen neue Firmware-Versionen, die AMD seinen Partnern für entsprechende BIOS-Updates zur Verfügung gestellt hat.

Sollten darüber hinaus Betriebssystem-Updates notwendig sein, verweist AMD auf die entsprechenden Anbieter. Die Linux-Community hat bereits reagiert und einen Kernel-Patch gegen TSA freigegeben, schreibt Phoronix. Dabei wurden die Sicherheitslücken von Microsoft gefunden. Der Software-Konzern hat ein Programm entwickelt, um x86-Prozessoren auf Lecks in der Mikroarchitektur zu untersuchen. Dabei wurden diese vier neuen Lecks entdeckt. Mit diesem Tool will Microsoft präventive Sicherheitsprüfungen in CPU-Designs bieten, statt wie oftmals mit Patches auf Lücken reagieren zu müssen.

Bei den von den beiden als mittel gefährlich eingestuften Sicherheitslücken betroffenen AMD-Prozessoren handelt es sich überwiegend um Modelle mit den Architekturen Zen 3 und 4. Allerdings sind nicht alle CPUs dieser Mikroarchitekturen berührt. So sind laut AMD nur Epyc-Prozessoren der dritten (Milan) und vierten Generation (Genoa, Bergamo und Siena) betroffen, mit Ausnahme der Epyc Gen.4 mit dem Codenamen Raphael. Die beiden vorherigen Epyc-Generationen (Naples und Rome) haben diese Schwachstellen nicht, schreibt AMD.

Einen Fahndungserfolg im Fall der 2020 und 2021 weltweit durchgeführten Angriffe auf Microsoft Exchange Server meldet das US-Justizministerium: Italien hat demnach den chinesischen Staatsbürger Xu Z. in Mailand verhaftet. Die USA streben seine Auslieferung an. Eine am Dienstag veröffentlichte US-Anklage wirft dem 33-Jährigen sowie seinem 44 Jahre alten Landsmann vor, in die Angriffswelle involviert gewesen zu sein. Ebenfalls angeklagt sind zwei namentlich noch nicht genannte Spione der Volksrepublik, die die beiden Täter geführt haben sollen.

Dabei sollen sie zwar bei einem chinesischen Unternehmen angestellt gewesen sein, tatsächlich aber im Auftrag der chinesischen Staatssicherheit gehandelt haben. Ziel der Angriffe auf die Exchange-Server sei die Ausspähung von Forschungsergebnissen zum Coronavirus gewesen sein, das die weltweite COVID-19-Pandemie verursacht hat. Die Vorwürfe sind bislang unbewiesen, für die beiden Angeklagten gilt die Unschuldsvermutung.

Die zielgerichteten Angriffe gegen Universitäten, Immunologen und Virologen haben laut Anklageschrift bereits im Februar 2020 begonnen. Ende 2020 begannen die Täter damit, damals noch unbekannte Sicherheitslücken in Microsoft Exchange Server auszunutzen, um dort einzudringen und dauerhafte Hintertüren zu installieren (Advanced Persistant Threats, APT). Anfang Januar 2021 bemerkte die Sicherheitsfirma Volexity Angriffe auf Exchange-Server. Noch bevor Microsoft die Lücken stopfen konnte, wurden die Angriffe Ende Februar 2021 verstärkt und gingen in die Breite, um möglichst viele Systeme mit einer Hintertür versehen zu können.

Als Microsoft Anfang März 2021 Sicherheitsupdates veröffentlichte, wurden die Angriffe ein weiteres Mal verstärkt. Offenbar wollten sich die Angreifer noch schnell in möglichst vielen Systemen verankern, bevor die Lücken geschlossen wurden. Die Angriffe trafen in den USA Behörden, Rüstungskonzerne, Forschungseinrichtungen, die an Covid-19 forschen, sowie weitere Unternehmen.

Mehr als 100.000 Exchange-Server sollen in den USA betroffen gewesen sein, in Deutschland mehrere Zehntausend. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ging davon aus, dass alle Exchange-Systeme, die nicht abgesichert waren, mit einer Hintertür infiziert wurden. Weltweit sollen nach Schätzung des britischen Außenministeriums und des National Cyber Security Centers mehr als eine Viertelmillion Server kompromittiert worden sein.

In der Windows-Version des Shooters "Call of Duty WW2" lauert offenbar eine schwere Sicherheitslücke. Wie mehrere Spieler mittels Videoaufzeichnung zeigten, scheinen Unbekannte einen Weg gefunden zu haben, Schadcode auf den Windows-PCs ihrer Mitspieler auszuführen. Betroffen ist wohl die in Microsofts Game Pass enthaltene Version des 2017 erschienenen Shooters. Onlinespiele sind nicht mehr möglich, das weitere Vorgehen unklar.

Kurze Videos zeigen, wie eine blutige Spielszene vor Weltkriegskulisse plötzlich pausiert und zwei Fenster auf dem Bildschirm erscheinen: Zuerst die typische Transferanzeige des Kommandozeilen-Downloadprogramms cURL, wenige Sekunden später ein weiteres Kommandozeilenfenster und dann der Windows-Editor Notepad: "Marc E Mayer just RCEd your ass please contact Mitchell Silberberg and Knupp LLP", besagt die Botschaft des mutmaßlichen Angreifers auf dem PC des Opfers.

RCE steht für "Remote Code Execution", also Codeausführung aus der Ferne. Und genau das ist hier offenbar passiert: Über eine im Spielclient enthaltene Sicherheitslücke konnte ein Spieler offenbar Schadcode auf den PC seines Mitspielers schleusen. Die kurze Botschaft ist möglicherweise eine Protestnote an Activisions Adresse. Bei "Mitchell Silberberg & Knupp LLP" handelt es sich um eine US-Anwaltskanzlei, die Activision in der Vergangenheit vertreten hat – und zwar unter anderem gegen den deutschen Cheat-Anbieter EngineOwning. Marc E. Mayer ist ein Partner jener Kanzlei, der Activision in vielerlei juristischen Auseinandersetzungen gegen Bot-Hersteller, Anbieter privater Multiplayer-Server und Konkurrenzunternehmen repräsentierte.

Microsoft und Activision haben mehreren Berichten zufolge, unter anderem bei Rock Paper Shotgun, die Server offline genommen. Wir haben das getestet und konnten das Spiel installieren und starten – der Versuch, einer Online-Partie beizutreten, blieb jedoch ebenso erfolglos wie der Versuch, ein lokales Match zu starten. Auch eine Anfrage bei der Microsoft-Pressestelle blieb kurzfristig unbeantwortet. Wir werden diese Meldung gegebenenfalls aktualisieren.

Auch im Steam-Forum zu Call of Duty: WW2 sammeln sich erste Betroffene. In Rezensionen warnen Spieler davor, die Online-Version zu starten und raten Opfern zu Malware-Scans. Die Steam-Version hat ihr letztes Update im Jahr 2020 erfahren.

Am Patchday im Juli haben die SAP-Entwickler insgesamt fünf "kritische" Sicherheitslücken geschlossen. Im schlimmsten Fall kann Schadcode Systeme kompromittieren. Bislang gibt es keine Hinweise, dass Angreifer Lücken bereits ausnutzen.

In der Warnmeldung zum aktuellen Patchday finden Admins Hinweise auf die verfügbaren Sicherheitsupdates.

Die kritischen Lücken betreffen NetWeaver Enterprise Portal Administration (CVE-2025-42964), NetWeaver Enterprise Portal Federated Portal Network (CVE-2025-42980), S/4HANA und SCM (CVE-2025-42967) sowie NetWeaver Application Server for Java (CVE-2025-42963).

Verfügt ein Angreifer über Privilegien auf Benutzerebene, kann er auf einem nicht näher ausgeführten Weg Schadcode ausführen und so die volle Kontrolle über Systeme erlangen. In den anderen Fällen können angemeldete Angreifer mit Schadcode präparierte Daten hochladen, um Computer zu kompromittieren.

Außerdem können sich bereits angemeldete Angreifer im Kontext von NetWeaver Application Server for ABAP aufgrund von Fehlern bei der Authentifizierung höhere Nutzerrechte verschaffen (CVE-2025-42953).

Google hat im Juli keine Fehlerkorrekturen für Android im Gepäck. Auch die Pixel-Smartphones bedenkt das Unternehmen nicht mit Aktualisierungen.

Diese überraschenden Neuigkeiten schreibt Google in den Sicherheitsmitteilungen zu den Patchday-Übersichten. Sowohl für die Android-Patchday-Übersicht als auch die Pixel-Aktualisierungsliste schreibt das Unternehmen lediglich: "Es gibt keine [Android|Pixel]-Sicherheitspatches in [Android|Pixel] Security-Mitteilung im Juli 2025."

Vermutlich ist Android jedoch nicht mit einem Schlag komplett sicher geworden. Zu den Gründen, warum die Entwickler keine aktualisierten Pakete geschnürt haben, die die Sicherheit von Android-Smartphones erhöhen, lässt sich Google allerdings nicht aus.

Im Juni hatte Google noch diverse Schwachstellen in Android 13, 14 und 15 ausgebessert. Die gravierendsten erlaubten die Ausweitung der Rechte im System. Zudem haben bösartige Akteure Sicherheitslücken in Qualcomm-SoCs zu dem Zeitpunkt attackiert.

Jack Dorsey, bekannt als Mitgründer Twitters, hat den gemeinfreien Sourcecode für eine neue Software namens Bitchat online gestellt. Sie ermöglicht digitale Chats über Bluetooth, ganz ohne Internetverbindung und zentrale Server, vorerst für iOS und MacOS. Bei Bitchat stehen Datenschutz und Ausfallsicherheit im Vordergrund.

Nutzer müssen sich nirgends anmelden oder ausweisen; es gibt keine zentralen Server oder andere Instanzen, die Metadaten ernten und über die das Projekt korrumpiert oder stillgelegt werden könnte. Die Übertragungen werden komprimiert und Ende-zu-Ende verschlüsselt. Zudem sollen Dummy-Nachrichten und zufällige Verzögerungen es erschweren, bestimmte Nachrichten oder Usernamen einzelnen Nutzern aufgrund deren Nutzungsverhaltens zuzuordnen.

Die Übertragung erfolgt zunächst ausschließlich über Bluetooth Low Energy. Dessen Reichweite ist auf einige Dutzend Meter beschränkt, weshalb Bitchat Mesh-Netze aufspannen möchte. Teilnehmer in Reichweite übernehmen die verschlüsselten Nachrichten und leiten sie an andere Teilnehmer weiter, bis die Nachricht den adressierten Empfänger erreicht. Bis zu sieben Übertragungen sind vorgesehen. Besonders häufig kontaktierte Geräte speichern Nachrichten theoretisch unbeschränkt zwischen, auf anderen Geräten werden sie gelöscht, wenn sie nach zwölf Stunden nicht zugestellt werden konnten.

Ein kommerzielles Geschäftsmodell drängt sich nicht auf, womit aber auch keine Spamfilter für die verschlüsselten Nachrichten absehbar sind. Ob Bitchat reüssieren wird, hängt an den Teilnehmern allein. Ein Whitepaper denkt bereits daran, zu Bluetooth Low Energie noch Übertragungen mittels direkten WLAN-Verbindungen sowie LoRa hinzuzunehmen.

Der Name mag unglücklich gewählt sein, verleitet er doch zur Aussprache als "bitch at", zu Deutsch: anschnauzen. Dorseys Name sorgt jedenfalls für Aufmerksamkeit, auch wenn das Grundkonzept nicht neu ist. Für Android gibt es seit Jahren die App Briar, die verschlüsselte Nachrichten zwischen Teilnehmern über Bluetooth, direkte WLAN-Verbindungen oder das internetbasierte Tor-Netz leitet. Im Notfall kann Briar Mitteilungen sogar als Dateien auf Datenträgern auf die Reise schicken.

Ein Revierkampf zweier krimineller Ransomware-Gruppen könnte zu mehr Cyberangriffen und größeren Schäden für betroffene Unternehmen führen. Das berichtete am Montag die britische Tageszeitung Financial Times mit Verweis auf Cyber-Sicherheitsexperten, die die Auseinandersetzungen in dem wachsenden kriminellen Ransomware-Sektor verfolgen.

Demnach sind DragonForce, eine Gruppe überwiegend russischsprachiger Cyberkrimineller, und einer ihrer größten Konkurrenten, RansomHub, aneinandergeraten. Die Sicherheitsexperten warnen, dass der Konflikt "die Risiken für Unternehmen erhöhen könnte, einschließlich der Gefahr, zweimal erpresst zu werden", schreibt die Financial Times.

Die DragonForce-Gruppe trat erstmals im August 2023 in Erscheinung. Nach Angaben des Cybersicherheitsunternehmens Group-IB verzeichnete sie in den darauffolgenden zwölf Monaten insgesamt 82 Opfer auf ihrer Dark-Web-Seite. RansomHub wurde ebenfalls 2023 bekannt. Diese Gruppe wird für einige spektakuläre Cyberattacken verantwortlich gemacht, wie jene auf den US-amerikanischen Gas- und Öl-Dienstleister Halliburton, einen der weltweit größten Öl-Dienstleister, auf das renommierte britische Auktionshaus Christie's oder die Non-Profit-Organisation Planned Parenthood, die unter anderem medizinische Dienste zu Schwangerschaftsabbrüchen anbietet.

Nun scheinen DragonForce und RansomHub untereinander in Konflikt geraten zu sein. "Die meisten Cyber-Kriminalitätsgruppen haben ein tief verwurzeltes Bedürfnis nach Ruhm und Überlegenheit, das sie dazu bringen könnte, zu versuchen, einander zu übertreffen, indem sie versuchen, dasselbe Ziel anzugreifen und zu erpressen", zitiert Financial Times Toby Lewis, globaler Leiter der Bedrohungsanalyse bei der britischen Cybersicherheitsfirma Darktrace. Gruppen wie die beiden genannten verkaufen laut dem Blatt die Werkzeuge und die Infrastruktur, die erforderlich sind, um auf die internen Systeme von Unternehmen zuzugreifen und diese gegen Geld zu erpressen. Sie operieren vornehmlich im Dark Web. Ihre Kunden sind sogenannte "Affiliates" wie Scattered Spider, also Gruppen, die Cyberangriffe begehen wollen.

Die Beziehung zwischen DragonForce und RansomHub habe sich verschlechtert, so Financial Times weiter, nachdem sich DragonForce im März in ein "Kartell" umbenannt und sein Angebot an "Dienstleistungen" und seine Reichweite erweitert hat, um mehr Affiliate-Partner zu gewinnen.