Comretix Blog

Cloudflare hat Mitte Mai den "größten jemals registrierten" Denial-of-Service-Angriff (DDoS) mit bislang kaum für möglich gehaltenen 7,3 Terabit pro Sekunde (TBit/s) blockiert. Dies teilte der US-Anbieter rund um Lösungen für IT-Sicherheit und Internetperformance am Freitag mit. Diese Attacke war demnach rund 12 Prozent größer als der vorherige Rekord und lieferte ein massives Datenvolumen von 37,4 Terabyte in nur 45 Sekunden. Diese Menge sei heutzutage an sich zwar nicht atemberaubend, die für die Auslieferung benötigte sehr kurze Zeitspanne aber schon.

"Dies entspricht dem Überfluten Ihres Netzwerks mit über 9350 HD-Filmen in voller Länge oder dem ununterbrochenen Streamen von 7480 Stunden hochauflösendem Video" in weniger als einer Minute, veranschaulicht Cloudflare die Datenflut. "Stellen Sie sich vor, Sie könnten mit Ihrem Smartphone 12,5 Millionen hochauflösende Fotos schießen und hätten nie einen vollen Speicherplatz." Und das alles in 45 Sekunden.

Ziel des massiven Angriffs war ein Hosting-Provider, ließ der Dienstleister durchblicken, ohne dabei einen Namen zu nennen. Die Attacke sei erfolgreich abgewehrt worden. Die Cyberkriminellen hätten "durchschnittlich 21.925 Zielports einer einzelnen IP-Adresse unseres Kunden bombardiert, mit einem Spitzenwert von 34.517 Zielports pro Sekunde". Der Vorfall sei von einer ähnlichen Verteilung der Ursprungsports ausgegangen. Mitgewirkt hätten über 122.145 Quell-IP-Adressen, die sich über 5433 autonome Netzwerksysteme in 161 Ländern erstreckten.

Laut Cloudflare handelte es sich um einen Angriff unter Einsatz verschiedener Vektoren. Rund 99,996 Prozent des Verkehrs stufte das Unternehmen als sogenannte UDP-Floods ein. Ein Angreifer sendet eine riesige Menge von UDP-Paketen (User Datagram Protocol) an zufällige Ports auf einem Zielserver. Da UDP verbindungslos ist, fällt es Übeltätern damit leichter, die Absender-IP-Adresse der Pakete zu fälschen (IP-Spoofing). Das macht es schwieriger, die tatsächliche Quelle der Attacke zu identifizieren. Die Netzwerk- und Serverressourcen eines Ziels können so schnell überlastet werden.

Die restlichen 0,004 Prozent des Angriffsverkehrs, die 1,3 Gigabyte ausmachten, identifizierte Cloudflare als Attacken über diverse andere Internetprotokolle wie das Network Time Protocol (NTP), das Quote of the Day Protocol (QOTD) oder Echo und über Portmapper-Dienste, die zur Identifizierung von Netzwerkressourcen verwendet werden. Zudem seien ein oder mehrere Mirai-basierte Botnetze beteiligt gewesen. Diese bestehen typischerweise aus kompromittierten Routern in Privathaushalten und Büros, Webcams und anderen Geräten im Internet der Dinge.

Der jetzt geleakte Referentenentwurf des NIS2-Umsetzungsgesetzes vom 2. Juni scheint die Fassung zu sein, die derzeit zwischen Bundesministerium des Innern (BMI), Bundeskanzleramt (BKAmt) und Bundesfinanzministerium (BMF) abgestimmt wird. Der aktuelle NIS2-Entwurf ist wie alle bisherigen öffentlich gewordenen Fassungen bei der unabhängigen Interessensgemeinschaft AG KRITIS, bei der der Autor Gründer und Sprecher ist, öffentlich abrufbar.

Was gibt es Neues? Eine Differenzanalyse zum vorherigen Leak des Referentenentwurfs vom 26.5.2025 zeigt einige interessante Punkte auf.

Die vermutlich wichtigste Änderung für alle Betroffenen ist im § 28 (Besonders wichtige Einrichtungen und wichtige Einrichtungen) Absatz 3 zur Bestimmung der Einrichtungsart vorgenommen worden, denn der Absatz wurde neu beschrieben:

"Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind."

Die Gesetzesbegründung hierzu erklärt diese Änderung so:

Standardmäßig mehr Sicherheit für Microsoft 365: Für die Office-Anwendungen, Entra, SharePoint Online und OneDrive sind künftig viele Legacy-Protokolle ab Werk deaktiviert. Die Änderungen sind Teil der Secure Future Initiative (SFI), bei der Microsoft auf Basis des Secure-by-Default-Prinzips die Standardkonfiguration seiner Dienste anpasst. Betroffen sind explizit alle Microsoft-365-Tenants sowie Administratoren und Nutzer gleichermaßen.

Konkret blockiert M365 künftig den Webbrowser-Zugriff auf SharePoint und OneDrive über das RPS-Protokoll (Relying Party Suite). Es ist anfällig für Brute-Force-Angriffe und kam bislang bei alten Webbrowsern oder Client-Anwendungen zum Einsatz, die ohne moderne Authentifizierungstechnik auf Cloud-Dienste zugreifen mussten.

Außerdem blockiert M365 das FPRPC-Protokoll, über das sich bislang Office-Dokumente öffnen ließen. Der Name FrontPage Remote Procedure Call zeigt: Es stammt vom vor fast 20 Jahren abgekündigten Webdesign-Werkzeug FrontPage ab. Entsprechend veraltet und sicherheitsanfällig ist der Zugriff via FPRPC, es kommt allerdings noch immer wie RPS bei Legacy-Anwendungen und automatisierten Prozessen in Unternehmen zum Einsatz.

Schließlich fordert Microsoft künftig von Drittanbieter-Applikationen beim Zugriff auf Dateien und Seiten eine explizite Freigabe durch den Administrator ein. Anwender können standardmäßig also nicht mehr selbst diese Einwilligung erteilen. Verantwortliche können die zugehörigen Rechte granular steuern, indem sie zum Beispiel bestimmte Programme auf einzelne Nutzer oder Gruppen einschränken.

Die Auswirkungen der Änderungen sind zweischneidig: Zum einen erhöhen sie fraglos die Sicherheit der M365-Standardkonfiguration. Allerdings könnten bislang eingesetzte Applikationen ohne händisches Einschreiten der Administratoren von einem Tag zum anderen nicht mehr funktionieren – daher empfiehlt Microsoft, sofort betroffene Anwendungen zu identifizieren. Sollten Drittentwickler-Apps zusammen mit M365 eingesetzt werden, sollten Verantwortliche außerdem einen Workflow für die Freigabe des Zugriffs einrichten.

Im WordPress-Theme "Motors" haben IT-Sicherheitsforscher eine kritische Sicherheitslücke entdeckt. Sie ermöglicht Angreifern, ihre Rechte auszuweiten und in der Folge anfällige WordPress-Instanzen zu kompromittieren. Genau das findet seit Anfang Juni offenbar statt.

Die Sicherheitslücke besteht laut Schwachstellenbeschreibung darin, dass das Theme die Identität von Nutzern nicht korrekt validiert, bevor es Passwort-Änderungen übernimmt. Angreifer aus dem Netz können dadurch ohne vorherige Authentifizierung Passwörter beliebiger Nutzer ändern – einschließlich das des Admins, und dadurch Vollzugriff erlangen (CVE-2025-4322 / EUVD-2025-15813, CVSS 9.8, Risiko "kritisch").

Die Wordfence-Software hat Angriffe auf damit ausgestattete WordPress-Instanzen blockiert und protokolliert. Mehrere Angriffswellen waren zu beobachten.

(Bild: Wordfence)

Die IT-Sicherheitsforscher von Wordfence schreiben in einer Analyse, dass sie seit dem 7. Juni massenhaften Missbrauch der Schwachstelle in dem Theme beobachten. Das Theme heißt mit vollem Namen "Motors - Car Dealer, Rental & Listing". Laut Anbieter-Webseite wurde es rund 22.500 Mal verkauft. Es ist daher offenbar weit verbreitet im Einsatz.

Viele Medien berichten derzeit von einem angeblichen massiven Datenleck, bei dem 16 Milliarden Zugangsdaten etwa zu "Apple, Facebook, Google und anderen" (so titelt etwa die Forbes) in falsche Hände geraten seien. Quelle ist einmal mehr Cybernews – die bereits in der Vergangenheit mit massiven Übertreibungen und dem sensationsheischendem Anpreisen von Funden von Datenhalden mit alten, bereits längst bekannt geleakten Daten auffielen. Auch in diesem Fall ist Aufregung über vermeintliche Datenlecks deplatziert.

Nun schreibt Cybernews unter dem fast passenden Titel "Das 16-Milliarden-Einträge-Datenleck, von dem niemand je gehört hat", dass anonyme Sicherheitsforscher seit Jahresanfang 30 exponierte Datenhalden mit je zig Millionen bis zu 3,5 Milliarden Einträgen gefunden hätten, die sich auf 16 Milliarden Zugangsdaten summieren. Von den einzelnen Datenhalden seien keine Berichte zu finden, lediglich von einer mit 184 Millionen Zugängen. Die Datenhalden waren lediglich kurzzeitig zugreifbar, es handelte sich um zeitweilig zugreifbare ungesicherte Elasticsearch-Instanzen oder Objekt-Speicher-Instanzen.

"Die Forscher behaupten, dass die meisten Daten in den durchgesickerten Datensätzen eine Mischung aus Details von Infostealer-Malware, Credential-Stuffing-Sets und neu verpackten Lecks sind", beschreibt das Unternehmen die Datenfunde selbst. Die Daten hätten sie gar nicht effektiv abgleichen können, aber "es ist sicher anzunehmen, dass überlappende Einträge definitiv vorhanden sind. Mit anderen Worten ist es unmöglich zu sagen, wie viele Menschen oder Zugänge tatsächlich exponiert wurden".

Die Forscher hätten jedoch die meisten Informationen in klarer Struktur vorgefunden: URL gefolgt von Log-in-Details und Passwörtern, wie sie "moderne Infostealer" sammeln und ablegen. Die Datenbanken seien namentlich etwa "Logins" oder "Credentials", aber auch geografische Zuordnungen wie "Russian Federation" oder Dienste wie "Telegram" haben die Mitarbeiter gefunden. Auch das sind eher Hinweise, dass dort (bekannte) Daten aufbereitet wurden.

Daten von Infostealern landen meist in offen zugreifbaren Datenhalden, die oftmals auch entdeckt werden. Das Have-I-Been-Pwned-Projekt von Troy Hunt sammelt diese Daten inzwischen ebenfalls und kann registrierte Nutzerinnen und Nutzer warnen, sofern ihre Daten in solchen Datenfunden auftauchen. Hunt hatte bereits bei der "Mutter aller Datenlecks" (MOAB, "Mother of all Breaches"), wie Cybernews einen Datenfund Anfang 2024 übertrieben nannte, eingeordnet: Es handelte sich um eine Sammlung längst bekannter Daten. Auf unsere Anfrage zur Einschätzung dieser vermeintlich neuen Datenlecks hat Hunt bislang noch nicht reagiert.

Wer mit Krypto-Währungen und Assets hantiert, hat sicherlich zumindest mit Hardware-Wallets wie der von Ledger geliebäugelt. Einem Leser trudelte nun ein unzureichend frankierter Brief in die Hände. Damit versuchen Kriminelle, die Ledger-Krypto-Wallet zu übernehmen und leerzuräumen.

Der Brief trägt das offizielle Ledger-Logo und wirkt auch sonst professionell. Ein QR-Code prangt auf dem einseitigen Anschreiben. Den sollen Empfänger scannen und auf der Ziel-Webseite ihre Ledger-Wallet neu validieren. Die URL lautet renewledger[.]com, die zugehörige Webseite ist derzeit noch aktiv.

Beim Besuch der Webseite müssen potenzielle Opfer zunächst einen CAPTCHA lösen und belegen, dass sie Menschen sind. Danach erscheint direkt eine Eingabemaske für die 24 Wörter des Ledger-Recovery-Seeds. Die Seite sieht der originalen Ledger-Webseite recht ähnlich, jedoch fehlen Details wie Sprachumschaltung und Unterstützung für Darkmode, diverse aktuelle Produkte tauchen im Footer der Seite nicht auf. Alle Links auf der Webseite verweisen jedoch auf die echte ledger.com-Domain. Während die korrekte Ledger-Domain inzwischen etwa 30 Jahre auf dem Buckel hat, ist die gefälschte Seite seit rund 14 Tagen bei einem Web-Discounter registriert.

Sofern potenzielle Opfer tatsächlich ihre 24 Wörter des Recovery-Seeds eingeben und abschicken, ist es jedoch mit den Krypto-Assets vorbei. Die Betrüger erhalten dadurch Zugriff auf die Sicherheitskopie und können die Wallet blitzschnell leerräumen.

Im Juli 2020 hatte Ledger sich umfangreiche Kundendaten stehlen lassen. Bei rund 272.000 Kunden konnten Kriminelle so an Vor- und Nachnamen, Postanschrift und Telefonnummern gelangen. Diese Informationen sind im Darknet gelandet. Außerdem gelangten etwa eine Million E-Mail-Adressen in falsche Hände. Diese Daten dienen Kriminellen offenbar noch immer als Ausgangspunkt für ihre illegalen Machenschaften.

Zahlreiche Kunden, die ihren Urlaub bei Centerparks gebucht haben, erhalten derzeit eine E-Mail vom Unternehmen. Darin informiert es Empfänger darüber, dass es einen IT-Sicherheitsvorfall gegeben hat.

Dabei seien "einige Ihrer personenbezogenen Daten offengelegt" worden, wie Centerparks ausführen. Demnach kam es am 4. Juni 2025 zu einer Cyberattacke auf eine der Centerparks-Schnittstellen, die Kunden nutzen, die ihre Buchung telefonisch vorgenommen haben. "Sobald der Angriff erkannt wurde, wurde der Zugang zum System gesperrt und zusätzliche Sicherheitsmaßnahmen ergriffen", schreibt das Unternehmen dazu.

Es scheinen tatsächlich lediglich Kunden informiert zu werden, die per Telefon gebucht haben – Kollegen aus der Redaktion, die eine Onlinebuchung bei Centerparks vorgenommen haben, berichten, keine derartige Info-Mail erhalten zu haben.

Das Datenleck betreffe "möglicherweise" Vor- und Nachname, die E-Mail-Adresse, die Buchungsnummer sowie Aufenthaltsort und die Reisedaten. Nicht offengelegt wurden Centerparks zufolge die Bankdaten, Passwörter, Telefonnummern oder postalische Anschriften. Die Daten seien auch nicht von den Angreifern verändert worden.

Das Touristikunternehmen informiert Betroffene weiter, dass der Cyberangriff am 6. Juni gestoppt wurde. Den Vorfall habe das Unternehmen der französischen Datenschutzbehörde CNIL gemeldet. Zudem hat es Strafanzeige bei der Polizei eingereicht. "Cybersicherheitsexperten wurden beauftragt, unsere Systeme langfristig abzusichern", erklärt Centerparks weiter.

Im WordPress-Plug-in AI Engine können Angreifer eine Sicherheitslücke missbrauchen, um ihre Rechte auszuweiten und so die volle Kontrolle über die Webseite zu übernehmen. Das Plug-in ist auf mehr als 100.000 WordPress-Webseiten installiert. Ein Update zum Schließen des Sicherheitslecks steht seit kurzem zur Verfügung.

Die IT-Forscher von Wordfence haben die Sicherheitslücke entdeckt. Laut der Sicherheitsmitteilung von Wordfence geht das Problem auf eine unzureichende Autorisierung zurück, die die Ausweitung der Nutzerrechte über eine Schwachstelle in MCP (Model Context Protocol) im Plug-in AI Engine ermöglicht. "Die Schwachstelle können authentifizierte Angreifer ausnutzen, die Zugriffsrechte auf Subscriber-Level oder höher haben, um vollen Zugriff auf das MCP zu erlangen und diverse Befehle wie 'wp_update_user' auszuführen und so ihre Zugriffsrechte auf Administrator durch die Aktualisierung ihrer User-Role auszuweiten", erklären die IT-Sicherheitsforscher (CVE-2025-5071 / noch kein EUVD, CVSS 8.8, Risiko "hoch").

Die Schwachstelle lasse sich dann missbrauchen, wenn die Dev-Tools und das MCP in den Einstellungen aktiviert wurden. Standardmäßig sind diese abgeschaltet.

Die seit Mittwoch der Woche verfügbare Version 2.8.4 von AI Engine dichtet das Sicherheitsleck ab. Wer das Plug-in auf WordPress-Instanzen einsetzt, sollte die Aktualisierung nicht lange aufschieben, sondern zeitnah durchführen.

Mitte Mai wurden Sicherheitslücken in dem Plug-in TheGem bekannt, die mehr als 82.000 WordPress-Seiten gefährdet haben, sodass Angreifer hätten Schadcode einschleusen können. Ein Update steht dafür zur Verfügung. Für eine Sicherheitslücke in TI WooCommerce Wishlist von Ende Mai war das zunächst nicht der Fall, auch sie ermöglichte bösartigen Akteuren das Hochladen von Schadcode. Die mit CVSS-Höchstwert 10.0 von 10 möglichen Punkten als "kritisch" eingestufte Lücke klaffte bis in Version 2.9.2 des WordPress-Plug-ins. Inzwischen steht dort die Version 2.10.0 des Plug-ins zur Verfügung – laut Patchstack soll sie die Schwachstelle ausbessern.

Atlassian Bamboo Data Center and Server, Bitbucket Data Center and Server, Confluence Data Center and Server, Crowd Data Center and Server, Jira Data Center and Server und Jira Service Management Data Center and Server sind angreifbar.

Wie aus dem Sicherheitscenter von Atlassian hervorgeht, sind alle Schwachstellen mit dem Bedrohungsgrad "hoch" versehen. So können Angreifer ohne Authentifizierung etwa an einer Schwachstelle (CVE2025-24970) in Bitbucket Data Center and Server für DoS-Attacken ansetzen.

In Confluence Data Center und Server können Angreifer unter anderem die Anmeldung umgehen (CVE-2025-2228). Durch das erfolgreiche Ausnutzen einer Schwachstelle (CVE-2024-38816) in Crowd Data Center and Server können Angreifer unberechtigt auf Daten zugreifen. Auch wenn es zurzeit noch keine Hinweise auf Attacken gibt, sollten Admins zur Sicherheit mit dem Patchen nicht zu lange zögern.

Die folgenden Versionen enthalten Sicherheitsupdates:

In Apache Traffic Server (ATS), einem quelloffenen Proxy-Server, wurden zwei Sicherheitslücken entdeckt. Angreifer können sie missbrauchen, um damit Zugriffsbeschränkungen zu umgehen oder Denial-of-Service-Attacken auszuführen. Aktualisierte Quellen stehen bereit, um die Schwachstellen auszubessern.

Auf der oss-sec-Mailingliste haben die Entwickler Informationen zu den Sicherheitslecks veröffentlicht. Eine Schwachstelle betrifft das PROXY-Protokoll. Für die Anwendung von Zugriffskontrollen (ACLs) zieht der ATS die Client-IP-Adresse nicht heran, wodurch Unbefugte womöglich Zugriff erlangen können (CVE-2025-31698, kein CVSS-Wert, keine Risikoeinschätzung). Die aktualisierte Software bietet nun eine neue Konfigurationsoption an (proxy.config.acl.subjects), um vorzugeben, welche IP-Adresse für die ACLs der Optionen "ip_allow.config" und "remap.config" genutzt und als vertrauenswürdig eingestuft werden.

Die zweite Sicherheitslücke betrifft das ESI-Plug-in (Edge Side Includes). Angreifer können eine Denial-of-Service-Situation provozieren, da das Plug-in unter Umständen allen Speicher aufbraucht. Offenbar ist es möglich, eine unendliche Inclusion-Depth anzugegen (CVE-2025-49763, kein CVSS, keine Risikoeinschätzung). Das Software-Update fügt eine neue Einstellung für das Plug-in hinzu, den Parameter "--max-inclusion-depth" mit dem Standardwert 3. Das soll Endlos-Inklusionen verhindern.

Apache Traffic Server in den Versionen 9.0.0 bis 9.2.10 sowie 10.0.0 bis 10.0.5; die Korrekturen enthalten die Fassungen 9.2.11 und 10.0.6 oder neuere. Um die Schwachstellen auszubessern, müssen Admins die neuen Optionen konfigurieren; der Standardwert für die Inklusionstiefe des ESI-Plug-ins sollte jedoch ausreichend sein.

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat eine Einschätzung des Risikos durch die Sicherheitslücken vorgenommen. Der CERT-Bund-Sicherheitsmitteilung zufolge landet der CVSS-Wert bei 8.2, was dem Risiko "hoch" entspricht. IT-Verantwortliche sollten daher zügig die Aktualisierung auf die neuen Apache-Traffic-Server-Versionen vornehmen und die neuen Optionen konfigurieren, sofern sie die beiden Funktionen einsetzen.

Der Cisco AnyConnect VPN Server von Cisco Meraki MX und Z ist verwundbar. Außerdem können Angreifer an einer Schwachstelle in ClamAV ansetzen. Sicherheitspatches stehen zum Download bereit. Bislang gibt es keine Berichte zu Attacken.

In einer Warnmeldung führen die Entwickler aus, dass es bei der Initialisierung von VPN-Sessions zu Fehlern kommt, an denen Angreifer mit präparierten HTTPS-Anfragen ansetzen können. Das führt zu einem Neustart des VPN-Servers und einer Unterbrechung der Verbindung. Dementsprechend müssen sich Nutzer neu verbinden. Weil Angreifer die Attacke Cisco zufolge immer wieder ausführen können, kann es zu einer dauerhaften Unterbrechung kommen. Die Sicherheitslücke (CVE-2025-20271) ist mit dem Bedrohungsgrad "hoch" eingestuft.

Davon sollen die folgenden Produkte betroffen sein:

Die Entwickler geben an, das Sicherheitsproblem in den Ausgaben 18.107.13, 18.211.6 und 19.1.8 gelöst zu haben. Das Problem trete ab Version 16.2 auf. Da der Support für 16.2 und 17.6 bereits ausgelaufen ist, müssen Admins auf eine aktuelle Ausgabe upgraden.

ClamAV ist ebenfalls für eine DoS-Attacke anfällig. Die Lücke (CVE-2025-20234 "mittel") steckt in der Verarbeitung des Universal Disk Format (UDF). Scannt ClamAV präparierten UDF-Inhalte, kommt es zu Speicherfehlern und der Scanner stürzt ab. Das hat zur Folge, dass Appliances über keinen Virenschutz mehr verfügen.

Die zunehmende Nutzung von Cloud-Anwendungen des US-Softwareunternehmens Microsoft in Schweizer Bundes- und Kantons-Behörden, aber auch kommunalen Verwaltungen sowie anderen Amtsstellen, erzeugt in der Schweiz wachsenden Unmut.

Vielfach wird die Abhängigkeit von einem US-Konzern und die damit verbundene Gefährdung der digitalen Souveränität kritisiert. Die Bundesverwaltung selbst stellte dazu bereits 2023 in einer Mitteilung fest: "Faktisch ist die Bundesverwaltung heute abhängig von Office-Produkten des Herstellers Microsoft." Darüber hinaus sehen Kritiker diverse einhergehende Datenschutzrisiken, vor allem bei der Verarbeitung personenbezogener Daten in der Microsoft-Cloud.

Das hat die Grünen des Kantons Luzern nun dazu gebracht, in einem dringlichen Vorstoß einen sofortigen Stopp ("Marschhalt") des Projekts M365 (kurz für Microsoft Office 365) zu fordern. Das soll im Laufe dieses Jahres in der Verwaltung des Kantons ausgerollt werden. Die Investitionskosten sollen 5,8 Millionen Franken (ca. 6 Mio. Euro) betragen, die zusätzlichen Betriebskosten bis 2029 knapp 22 Millionen Franken (23 Mio. Euro).

Nicht nur der Datenschutzbeauftragte des Kantons Luzern hatte in seinem Tätigkeitsbericht 2024 erhebliche Kritik am Projekt geäußert. Auch das Kantonsgericht und interne Sachverständige hätten vor diesem Schritt gewarnt, schreiben die Grünen in einer Mitteilung. Luzern solle sich unabhängiger von US-Konzernen machen und Open-Source-Lösungen prüfen, wie es etwa das Schweizer Bundesgericht oder andere Verwaltungen in Europa bereits tun, so die Partei.

Die Regierung habe die bisherige Kritik ignoriert und sogar einen internen Sachverständigen freigestellt. Zudem hätte die Exekutive darauf verzichtet, Alternativen zu Microsoft zu evaluieren.

Meta will Passkeys als neue Anmeldemethode für die Facebook-App einführen. Die Funktion wird zunächst für iOS- und Android-Geräte der Facebook-App ausgerollt. Für den Messenger ist die Einführung in den kommenden Monaten geplant, wie das Unternehmen mitteilte.

Passkeys ermöglichen Nutzern die Anmeldung ohne Passwort, indem sie stattdessen den Fingerabdruck, die Gesichtserkennung oder die PIN ihres Geräts verwenden. "Passkeys sind eine neue Methode zur Identitätsverifizierung und Anmeldung, die einfacher und sicherer ist als herkömmliche Passwörter", erklärt Meta in seiner Ankündigung.

Interessanterweise ist Facebook innerhalb des Meta-Konzerns selbst ein Nachzügler. Das ebenfalls zu Meta gehörende WhatsApp unterstützt Passkeys bereits seit Oktober 2023 auf Android und seit April 2024 auch auf iOS. Die Funktion wurde damals schrittweise für Nutzer freigeschaltet und ermöglicht seither die biometrische Anmeldung in der Messenger-App.

Mit der Implementierung folgt Meta zahlreichen anderen Diensten, die Passkeys bereits unterstützen. Google, Microsoft, Apple, Amazon, PayPal, eBay, Shopify und viele weitere Anbieter haben die Technik in den vergangenen zwei Jahren in ihre Plattformen integriert. Facebook gehört damit zu den letzten großen Plattformen, die Passkeys einführen.

Von der auf dem FIDO2-Standard aufsetzenden Technik verspricht sich Meta mehrere Vorteile: Sie ist resistent gegen Phishing-Angriffe, Passwörter können nicht erraten werden und es vereinfacht die Anmeldung. Sobald die Passkey-Unterstützung für den Messenger verfügbar ist, kann derselbe Passkey, den Nutzer für Facebook einrichten, auch für den Facebook Messenger genutzt werden.

"Die Überwachung verschlüsselter Nachrichten soll durch Installation eines Programms in dem zu überwachenden Computersystem erfolgen, welches ausschließlich gesendete, übermittelte, oder empfangene Nachrichten entweder vor der Verschlüsselung oder nach Entschlüsselung ausleitet." Dieses Amtsdeutsch beschreibt den offiziellen Plan der österreichischen Bundesregierung, Malware zu kaufen und zur Überwachung von Bürgern einzusetzen, die keiner Straftat verdächtig sind – wenn andere Ermittlungsmaßnahmen aussichtslos erscheinen.

Auf die entsprechende Novelle des Spionagegesetzes SNG (Staatsschutz- und Nachrichtendienst-Gesetz), des Sicherheitspolizeigesetzes, des Telekommunikationsgesetzes 2021 und weiterer Normen haben sich die Regierungsparteien ÖVP, SPÖ und NEOS am Mittwoch geeinigt. Im vorangegangenen öffentlichen Begutachtungsverfahren ist eine Flut ablehnender Stellungnahmen zu den Vorhaben eingelangt. Ausspioniert werden sollen nicht nur verschlüsselte Nachrichten, sondern auch unverschlüsselte Nachrichten und Informationen, also sonst gespeicherte Daten.

Die Regierung verfolgt laut offiziellen Dokumente zwei Ziele: Erstens "Vorbeugung bestimmter, besonders schwerwiegender verfassungsgefährdender Angriffe", die mit zehn Jahren oder längerer Haft bedroht sind, oder wenn es zur Spionageabwehr erforderlich ist. Und zweitens die Überwachung verschlüsselter Nachrichten. Nicht erforderlich ist der Verdacht, dass eine Straftat begangen worden ist. Es

Dennoch werden auch Dritte verpflichtet, heimlich an der Überwachung mitzuwirken. Als die Volksrepublik China solche Verpflichtungen Privater einführte, hagelte es in westlichen Ländern Kritik. Im Falle Österreichs werden private Unternehmen rund 2,5 Millionen Euro pro Jahr zur Unterstützung der Überwachungsmaßnahmen aufwänden müssen, schätzt die Regierung – denn Netzbetreibern sowie Betreibern von Messengerdiensten sollen nur 80 Prozent ihres Aufwandes ersetzt werden.

Das Innenministerium geht davon aus, jährlich etwa 30-mal die Ausspähung unverschlüsselter Nachrichten zu beantragen, und 5- bis 15-mal die Überwachung verschlüsselter Nachrichten. Erst wenn in einem Kalenderjahr 30-mal tatsächlich verschlüsselte Nachrichten ausgespäht werden, muss der Innenminister den ständigen Unterausschuss des Ausschusses für innere Angelegenheiten des Nationalrates informieren. (Der Nationalrat ist die direkt gewählte Kammer des österreichischen Parlaments, Anmerkung.)

Online-Betrüger haben einen weiteren Weg gefunden, wie sie mit manipulierten Werbelinks in Suchergebnissen Opfer finden können. Sie schieben dabei Webseiten falsche Telefonnummern unter.

Die Websuche liefert offenbar Werbelinks auf die echten Webseiten – die enthalten aber unsichtbare "Extras".

(Bild: Malwarebytes)

Vor der Betrugsmasche warnt Malwarebytes aktuell. Die Täter schalten Werbeanzeigen, die auf die Support-Seiten von renommierten Unternehmen verweisen, unter anderem Apple, Bank of America, Facebook, HP, Microsoft, Netflix und Paypal. Oftmals leiten Betrüger solche Werbelinks auf gefälschte Webseiten um. In diesem Fall landen potenzielle Opfer aber tatsächlich auf den echten Webseiten der Unternehmen. Dort landen sie auf den Support-Seiten – anstatt der echten Telefonnummer zeigen sie jedoch die Telefonnummer der Betrüger an.

Die Adressleiste des Webbrowsers zeigt die korrekte Domain des gesuchten Anbieters an, wodurch bei Besuchern kein Misstrauen aufkommt. Jedoch bekommen Besucherinnen und Besucher irreführende Informationen angezeigt, da der Werbelink so manipuliert wurde, dass die Webseite die betrügerische Telefonnummer in einem Feld anzeigt, das nach einem Suchanfragenfeld aussieht.

AMD hat im Juni aktualisierte Firmware veröffentlicht, die teils hochriskante Sicherheitslücken in den Prozessoren schließt. Betroffen sind etwa die Krypto-Coprozessoren sowie das Firmware-TPM moderner Ryzen- und zum Teil auch der abgespeckten Athlon-CPUs.

In einem Sicherheits-Bulletin schreibt AMD, dass ein IT-Sicherheitsforscher eine Sicherheitslücke gemeldet hat, durch die Angreifer mit erhöhten Rechten auf die Register des Krypto-Coprozessors zugreifen können. Der ist Teil des AMD Secure Prozessor (ASP). Bei dem wiederum handelt es sich um einen integrierten Controller aller jüngeren Systems-on-Chip (SoCs), der ein Trusted Execution Environment (TEE) und eine in der Hardware verankerte Root of Trust bereitstellt und etwa den Systemstart absichert.

Durch unzureichende Zugriffskontrolle des ASP können der Beschreibung zufolge Angreifer unbefugt auf die Register des Krypto-Coprozessors des ASPs zugreifen. Das kann in den Verlust der Kontrolle über Pointer und Indizes kryptografischer Schlüssel führen, was einen "Verlust an Integrität und Vertraulichkeit" bewirkt (CVE-2023-20599 / EUVD-2023-24778, CVSS 7.9, Risiko "hoch").

Bemerkenswert: Am Abdichten der Schwachstelle hat AMD zwei Jahre gebastelt, die wurde bereits 2023 gemeldet. OEMs stellt AMD aktualisierte Firmware bereit, die Liste der betroffenen Prozessoren im Sicherheits-Bulletin bleibt überschaubar.

AMD stellt zudem ein Firmware-basiertes Trusted Platform Modul (fTPM) in vielen Prozessoren bereit. Es nutzt ebenfalls den ASP und setzt auf der TPM-2.0-Referenzimplementierung der Trusted Computing Group auf. In dieser Referenzumsetzung erlaubt eine Schwachstelle, über das Ende vorgesehener Speicherbereiche hinaus zu lesen, erörtert AMD in einer Sicherheitsnotiz. Apps im Usermode können bösartig präparierte Befehle an das fTPM schicken und damit darin abgelegte Daten auslesen oder "die Verfügbarkeit des TPM beeinflussen", sprich, es zum Absturz bringen (CVE-2025-2884 / EUVD-2025-17717, CVSS 6.6, Risiko "mittel"). "AMD hat den Bericht der Trusted Computing Group untersucht und geht davon aus, dass AMDs Firmware-TPM von der Schwachstelle betroffen ist", schreiben die Ingenieure weiter.

Wenn Angreifer Sicherheitslücken in Veeam Backup & Replication und Veeam Agent for Windows erfolgreich ausnutzen, können sie im schlimmsten Fall Backup-Server mit Schadcode kompromittieren. Sicherheitspatches stehen zum Download bereit.

Wie die Entwickler in einer Warnmeldung ausführen, haben sie insgesamt drei Softwareschwachstellen geschlossen. Über eine "kritische" Lücke (CVE-2025-23121) kann ein Angreifer, der als Domainnutzer identifiziert ist, Schadcode ausführen. Damit Attacken auf die zweite Schwachstelle (CVE-2025-24286 "hoch") klappen, muss ein Angreifer als Backup Operator authentifiziert sein. Ist das gegeben, kann er Schadcode ausführen.

Die Entwickler versichern, beide Sicherheitslücken in Veeam Backup & Replication 12.3.2 (build 12.3.2.3617) geschlossen zu haben.

Veeam Agent for Windows ist ebenfalls für Schadcode-Attacken anfällig (CVE-2025-24287 "mittel"). An dieser Stelle schafft die Version 6.3.2 (build 6.3.2.1205) Abhilfe. Wie Attacken in allen Fällen ablaufen könnten, ist bislang unklar. Derzeit gibt es keine Berichte zu Attacken. Das kann sich aber schnell ändern. Dementsprechend sollten Admins ihre Systeme zeitnah auf den aktuellen Stand bringen.

Zuletzt haben die Entwickler im März dieses Jahres eine kritische Sicherheitslücke in Veeam Backup & Replication geschlossen.

Vor Sicherheitslücken in mehreren Produkten warnt Citrix aktuell. In Netscaler ADC und Gateway klafft etwa ein kritisches Sicherheitsleck, aber auch der Citrix Secure Access Client und die Workspace App für Windows weisen Schwachstellen auf. Citrix hat aktualisierte Software bereitgestellt, die die Lücken schließt.

In Netscaler ADC und Gateway können Angreifer auf nicht näher erläutertem Wege Speicherbereiche außerhalb vorgesehener Grenzen lesen, was auf unzureichende Prüfung von übergebenen Daten zurückgeht (CVE-2025-5777 / EUVD-2025-18497, CVSS 9.3, Risiko "kritisch"). Zudem nutzt das Netscaler Management Interface unzureichende Zugriffskontrollen und ermöglicht dadurch offenbar unbefugte Zugriffe (CVE-2025-5349 / EUVD-2025-18494, CVSS 8.7, Risiko "hoch"). Die Schwachstellen haben die Entwickler laut Sicherheitsmitteilung in den Versionen Netscaler ADC und NetScaler Gateway 14.1-43.56 sowie 13.1-58.32, Netscaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.235 sowie in Netscaler ADC 12.1-FIPS 12.1-55.328 ausgebessert. Auch Secure Private Access on-prem und Secure Private Access Hybrid-Instanzen sind verwundbar.

In einer weiteren Sicherheitswarnung beschreibt Citrix eine Lücke in Netscaler Console und SDX, durch die Angreifer beliebige Daten lesen können (CVE-2025-4365 / EUVD-2025-18493, CVSS 6.9, Risiko "mittel"). Netscaler Console 14.1.47.46 und 13.1.58.32 stopfen das Leck ebenso wie Netscaler SDX (SVM) 14.1.47.46 und 13.1.58.32.

Außerdem berichtet Citrix von einer Sicherheitslücke in Secure Access Client für Windows. Aufgrund unzureichender Rechteverwaltung können lokale Nutzer ihre Rechte zu SYSTEM ausweiten (CVE-2025-0320 / EUVD-2025-18498, CVSS 8.5, Risiko "hoch"). Wie bei den anderen Lücken erörtern die Entwickler nicht, wie das konkret zustande kommt und wie Angriffe aussehen können. Das Problem korrigiert jedoch Citrix Secure Access Client für Windows 25.5.1.15.

Schließlich klafft noch in der Citrix Workspace App für Windows eine Sicherheitslücke. Auch hier nennen die Entwickler nur allgmein eine unzureichende Rechteverwaltung, die Nutzern die Ausweitung ihrer Rechte auf SYSTEM ermöglichen (CVE-2025-4879 / EUVD-2025-18569, CVSS 7.3, Risiko "hoch"). Citrix Workspace App für Windows 2409, 2402 LTSR CU2 Hotfix 1 und 2402 LTSR CU3 Hotfix 1 bringen Fehlerkorrekturen zum Ausbessern der Schwachstelle mit.

Die Internetriesen Meta und Yandex sind beim Tracken ihrer Nutzer erwischt worden. Das klingt kaum nach einer Neuigkeit, doch der Knackpunkt ist die Art und Weise dieses Trackings: Facebook, Instagram, Yandex Maps und einige andere Yandex-Apps haben Nutzer auch dort verfolgt, wo es weder vertretbar noch technisch möglich erscheint: im Browser außerhalb der App.

"23andme hat dabei versagt, grundlegende Maßnahmen zum Schutz personenbezogener Daten zu setzen", zeiht John Edwards, Chef der britischen Datenschutzbehörde, das US-Unternehmen für Genanalysen, "Ihre Sicherheitssysteme waren inadäquat, die Warnsignale waren da und die Firma hat langsam reagiert." Das Ergebnis ist bekannt: Fast sieben Millionen Datensätze von Kunden 23andmes gelangten 2023 in falsche Hände und im Darknet zum Verkauf. Edwards Behörde verhängt nun eine Strafe von umgerechnet gut 2,7 Millionen Euro über die Genfirma.

Die der Strafe zugrundeliegende Untersuchung war gemeinsame Arbeit der britischen und der kanadischen Bundesdatenschutzbehörde. Letztere darf, sehr zum anhaltenden Ärger ihres Chefs Philippe Dufresne, keine Strafen verhängen, sondern muss sich auf die Feststellung beschränken, dass 23andme kanadisches Datenschutzrecht verletzt hat. Von der illegalen Offenlegung dürften etwa 320.000 Kanadier und rund 150.000 Briten betroffen sein.

Die Methode des Angreifers war banal: Credential Stuffing. Dabei werden Logins und Passwörter, die bei Einbrüchen in andere Dienste offengelegt worden sind, ausprobiert. Hat der User die gleiche Kombination eingesetzt, und gibt es keine Multifaktor-Authentifizierung, kann sich der Angreifer einloggen. Das ist bei 23andme im Jahr 2023 bei über 18.000 Konten gelungen. Viele 23andme-Kunden haben in ihren Konten die Option aktiviert, ihre Daten mit Verwandten zu teilen. Daher konnte der Angreifer über gut 18.000 Konten die Daten von fast sieben Millionen Menschen abgreifen.

Fünf Monate lang, ab Ende April 2023, konnte der Täter ungestört ein Passwort nach dem anderen ausprobieren. Denn, so die kanadische und die britische Behörde, 23andme hatte ineffektive Erkennungssysteme sowie unzulängliches Logging und Monitoring. Zudem sei die Untersuchung von Anomalien inadäquat gewesen, sonst hätte 23andme die Vorgänge Monate früher als erst im Oktober 2023 erkannt.

Hinzu kommt unzureichende Vorbeugung. Die beiden Behörden kritisieren, dass 23andme keine verpflichtende Multifaktor-Authentifizierung (MFA) hatte, dass es nicht überprüft hat, ob Kunden anderswo kompromittierte Passwörter wiederverwenden, dass es keine zusätzliche Überprüfung bei der Anforderung der Gen-Rohdaten gab, und dass die Passwortregeln zu lasch waren: 23andme schrieb mindestens achtstellige Passwörter mit "minimalen Komplexitätsregeln" vor; eine Richtlinie der britischen Datenschutzbehörde ICO (Information Commissioner's Office) empfiehlt mindestens zehnstellige Passwörter ohne Zwang der Verwendung von Sonderzeichen und ohne Längenbeschränkung.