Comretix Blog

Im Zuge der Android-Show am 13. Mai hat Google angekündigt, den Diebstahl eines Android-Geräts noch unattraktiver zu machen. Hierfür will der Konzern im Laufe des Jahres den Schutz vor dem Zurücksetzen auf die Werkseinstellungen (Factory Reset Protection (FRP)) weiter verstärken.

Wie Google erklärt, soll das System erkennen, wenn jemand versucht, den Einrichtungsassistenten zu umgehen. In diesem Falle wird das Gerät automatisch zu einem erneuten Zurücksetzen auf die Werkseinstellungen gezwungen. Die Nutzung sei erst dann wieder möglich, wenn der Eigentümer seine Google-Konto-Daten eingibt.

Außerdem erhalten Nutzer mehr Kontrolle über die Fernsperrfunktion, die mit einer zusätzlichen Sicherheitsabfrage versehen wird, um unbefugte Aktionen zu verhindern.

Google hat schon mit Android 5 Lollipop die sogenannte Factory-Reset-Protection (FRP) in das mobile Betriebssystem integriert und es seitdem immer weiter ausgebaut. Die Funktion schützt das Gerät vor dem unbefugten Zurücksetzen. Hierfür speichert das Gerät einen Sicherheitsschlüssel in einem geschützten Bereich des Geräts, der getrennt von den Nutzerdaten ist. Damit wird sichergestellt, dass dieser einen Werksreset überlebt.

Der Schlüssel wird generiert, wenn der Nutzer dem Gerät zum ersten Mal ein Google-Konto hinzufügt. Dieser Schlüssel kann nur durch einen über die Einstellungs-App initiierten Werksreset entfernt werden, da bei dieser Methode eine nutzerseitige Authentifizierung erforderlich ist.

Knapp die Hälfte der IKT-Unternehmen in Deutschland verfügt über eine Cyberversicherung, die digitale Angriffe und daraus entstandene Schäden absichern soll. Das geht aus einem Branchenreport des Leibniz-Zentrums für Europäische Wirtschaftsforschung (ZEW) hervor. Solche Versicherungen greifen dann, wenn präventive Sicherheitsmaßnahmen wie Mitarbeiterschulungen, Firewall und Virenschutzprogramme versagen. Mehr als ein Drittel der IKT-Betriebe ist hingegen nicht mit einer derartigen Versicherung ausgestattet, 15 Prozent planen den Abschluss einer entsprechenden Police. Über die gesamte Informationswirtschaft in Deutschland ist die Verteilung ähnlich, ist aber auch von der Unternehmensgröße abhängig.

Bei der Untersuchung von Wechselrichtern aus China durch Experten in den USA wurden in einigen Geräten nicht dokumentierte Kommunikationsgeräte gefunden. US-Energiebehörden wollen das Risiko dieser chinesischen Inverter Medienberichten zufolge neu beurteilen.

Die Agentur Reuters bezieht sich in ihrem Bericht auf zwei mit der Angelegenheit vertraute Personen. Elektronik-Experten, die sich mit dem Zerlegen und Analysieren von elektronischer Ausrüstung beschäftigen, seien auf die undokumentierten Kommunikationseinheiten in den Solar-Wechselrichtern gestoßen. In den vergangenen neun Monaten seien dabei undokumentierte Kommunikationseinrichtungen wie Mobilfunk-Geräte auch in einigen Akkus von mehreren chinesischen Ausrüstern gefunden worden.

Derartige Wechselrichter, die zum Großteil in China hergestellt werden, sind allgegenwärtig: Sie verbinden Solarpanele und Windkrafträder mit dem elektrischen Netz und finden sich auch in Batterien, Wärmepumpen und E-Auto-Ladern. Meist haben diese Geräte die Möglichkeit zur Netzwerkanbindung verbaut, um etwa Updates und Wartung zu ermöglichen. Viele Unternehmen und Privatleute setzen jedoch darauf, diese Kommunikation etwa zum Hersteller in China mittels Firewall abzuwürgen.

Die bösartigen Komponenten öffneten zusätzliche undokumentierte Kommunikationskanäle, die die Umgehung von Firewalls ermöglichen, mit potenziell katastrophalen Folgen, schreibt Reuters. "Die Nutzung der bösartigen Kommunikationsgeräte zur Umgehung von Firewalls und zur Fernabschaltung von Wechselrichtern oder zur Änderung ihrer Einstellungen könnte nach Ansicht von Experten die Stromnetze destabilisieren, die Energieinfrastruktur beschädigen und weit verbreitete Stromausfälle auslösen", erörtert die Agentur weiter.

Einer der beiden informierten Personen sagt Reuters dazu: "Das bedeutet, dass im Endeffekt eine eingebaute Möglichkeit vorliegt, mit der das Stromnetz physikalisch zerstört werden kann." Namentlich benennen wollten beide Informanten die chinesischen Hersteller der Wechselrichter jedoch nicht, und auch nicht, wie viele manipulierte Geräte sie insgesamt gefunden haben.

Angreifer können Computer mit Hard- und Software von Intel attackieren. Sind Attacken erfolgreich, können sie unter anderem Denial-of-Service-Zustände (DoS) erzeugen, die in der Regel zu Abstürzen führen.

Im Sicherheitsbereich der Intel-Website finden Admins die betroffene Software und die verwundbaren Treiber in einer Liste. Dort gibt es auch Hinweise auf die abgesicherten Versionen. Der Großteil der Lücken ist mit dem Bedrohungsgrad "mittel" eingestuft. In den meisten Fällen können sich Angreifer nach erfolgreichen Attacken höhere Nutzerrechte verschaffen. Dafür ist aber oft ein lokaler Zugriff Voraussetzung.

Das klappt beispielsweise über zwei Schwachstellen (CVE-2025-20095, CVE-2025-20043) im RealSense SDK. Wie Attacken konkret ablaufen könnten, ist bislang unklar. Derzeit gibt es keine Meldungen zu bereits laufenden Angreifen. Admins sollten dennoch zügig patchen.

Es gibt aber auch einige Lücken mit dem Bedrohungsgrad "hoch". Das betrifft etwa den Slim Bootloader (CVE-2025-20083). Auch hier kann ein lokaler Angreifer seine Rechte hochstufen. Zwei Schwachstellen in der PROSet/Wirelesse Wifi Software für Windows können als Ansatzpunkte für DoS-Attacken dienen.

Außerdem haben die Entwickler kürzlich bekannt gewordene CPU-Lücken, über die Angreifer etwa Passwörter auslesen können, geschlossen.

Google-Entwickler haben in ihrem Webbrowser Chrome Sicherheitslücken entdeckt und eine aktualisierte Software veröffentlicht. Angreifer aus dem Netz können durch die Lücken etwa unbefugt Informationen abgreifen. Für diese Schwachstelle kursiert bereits ein Exploit im Netz.

In der Versionsankündigung erklären Googles Entwickler, dass sie vier Sicherheitslücken mit der aktualisierten Fassung abdichten. Da nur zwei davon von externen IT-Forschern gemeldet wurden, liefert Google nur zu diesen beiden überhaupt Informationsschnipsel.

Eine Sicherheitslücke basiert auf einer unzureichenden Richtlinien-Durchsetzung in der Komponente "Loader" von Chrome. Der Schwachstelleneintrag ergänzt dazu, dass Angreifer aus dem Netz dadurch Informationen "cross-origin" mit manipulierten HTML-Seiten abgreifen können – eine Webseite kann dadurch Informationen aus einer anderen abgreifen (CVE-2025-4664 / EUVD-2025-14909, CVSS 4.3, Risiko laut Google "hoch", laut CVSS "mittel"). "Google sind Berichte bekannt, wonach ein Exploit für CVE-2025-4664 in freier Wildbahn existiert", schreibt der Hersteller weiter.

Eine zweite Sicherheitslücke betrifft die Mojo-Komponente – sie dient etwa zur Interprozesskommunikation –, die unter nicht näher beschriebenen Umständenn falsche Handles zurückliefern kann. Die potenziellen Auswirkungen beschreibt Google nicht näher; weder der CVE- noch der EUVD-Eintrag sind bislang öffentlich verfügbar, die in der Regel noch einen Halbsatz mehr an Informationen liefert (CVE-2025-4609, kein CVSS-Wert, Risiko laut Google "hoch"). Zu den beiden weiteren Schwachstellen gibt es bislang keine Informationen außer der, dass sie existieren.

Die fehlerbereinigten Browser-Versionen sind Google Chrome 136.0.7103.125 für Android, 136.0.7103.113 für Linux sowie 136.0.7103.113/114 für macOS und Windows.

Kriminelle haben möglicherweise zahlreiche Kundendaten bei einem BVG-Dienstleister erbeutet. Passwörter und Kontonummern sind davon indes nicht betroffen. Die Analyse läuft.

Bei einem Cyberangriff auf einen Dienstleister der Berliner Verkehrsbetriebe (BVG) haben Kriminelle möglicherweise Zugriff auf Zehntausende Kundendaten erlangt. Dabei geht es unter anderem um Namen, Postanschriften, E-Mail-Adressen sowie Kunden- und Vertragsnummern, wie aus einem Informationsschreiben der BVG an die betroffenen Kundinnen und Kunden hervorgeht. Informationen wie Kontodaten oder Passwörter seien indes ersten Erkenntnissen zufolge nicht abgeflossen, hieß es weiter. Zuvor hatte die "Berliner Morgenpost" berichtet.

Insgesamt sind möglicherweise rund 180.000 Kundendaten betroffen, teilte das Unternehmen mit. Die BVG habe unverzüglich die Datenschutzbehörde sowie die betroffenen Kundinnen und Kunden überden Vorfall informiert. Für Rückfragen wurde ein Kontaktpostfach eingerichtet.

"Der Schutz personenbezogener Daten hat für die BVG höchste Priorität", betonte das Unternehmen. "Der Vorfall wird sehr ernst genommen, eine umfangreiche Analyse läuft."

Ein angebliches Datenleck bei der Spieleplattform Steam soll 89 Millionen Datensätze enthalten – ein Unbekannter versucht seit vergangenem Samstag, sie im Darknet für 5.000 US-Dollar zu verkaufen. Doch die Resonanz ist mau und die Brisanz der Daten fraglich.

Im Darknet kursieren immer wieder Daten aus Angriffen gegen Spielepublisher und Vertriebsplattformen. Besonders begehrt: Marktführer Steam, der über 130 Millionen Kunden vorweisen kann. Neben Kreditkarten- oder Paypal-Zahlungsinformationen gibt es für Kriminelle in Steam-Konten auch virtuelle Sammelgegenstände zu erbeuten, die erkleckliche Summen einbringen können. Das Verkaufsangebot des Nutzers "Machine1337" in einem einschlägigen Forum sorgte daher schnell für Aufregung im Clearweb: 89 Millionen Datensätze wollte er erbeutet haben und nun für 5.000 Dollar verkaufen.

Auf Darknet-Marktplätzen steht das Wort "Datensatz" (engl. Record) oft für einzelne Datenzeilen, nicht jedoch für unterschiedliche Konten. So auch hier: Was Machine1337 feilbietet, sind offenbar Protokolle des Versands von Zwei-Faktor-SMS an Steam-Nutzer. In einer dreitausend Zeilen umfassenden Testdatei finden sich etwa 1.800 verschiedene portugiesische Rufnummern sowie Metadaten über den Versand, dessen Kosten und der Text der versendeten SMS. Die Authentizität der Daten lässt sich nicht unabhängig überprüfen, auf den ersten Blick sieht die Datei jedoch plausibel aus.

Fein säuberlich inklusive Sortiermöglichkeit: Im Excel finden sich SMS-Codes und Rufnummern, jedoch keine Zugangsdaten.

(Bild: heise security)

Unbekannte haben sich Ende März Zugriff auf Online-Konten des Portals der Bundesagentur für Arbeit (BA) verschafft. Einen entsprechenden Cyberangriff hat die Bundesregierung in einer jetzt veröffentlichten Antwort auf eine Anfrage der AfD-Fraktion bestätigt. Die Zugangsdaten sind demnach mittels kompromittierter private Endgeräte abgegriffen worden, nicht über Systeme der Nürnberger Behörde. Insgesamt seien 831 Accounts von Leistungsempfängern durch Dritte angegriffen worden. In 121 davon sei es den Cyberkriminellen gelungen, die Internationale Bankkontonummer (IBAN) zu ändern.

"Von diesen 121 Online-Accounts befanden sich vier in einem laufenden, aktiven Leistungsbezug", berichtet das zuständige Bundesinnenministerium. Nach derzeitigem Kenntnisstand sei der BA und den Leistungsempfängern aber "kein Schaden" entstanden. Die Agentur habe alle von der Cyberattacke umfassten Profile deaktiviert und verhindert, "dass es zu unrechtmäßigen Zahlungen an Dritte gekommen ist".

Ob die Urheber des Online-Angriffs möglicherweise der Organisierten Kriminalität zuzuordnen sind, vermag die Exekutive nicht zu sagen. Die Arbeitsagentur habe Strafanzeige erstattet. Erkenntnisse aus dem Ermittlungsverfahren lägen ihr bislang aber nicht vor. Die Behörde könne grundsätzlich nicht verhindern, dass unbekannte Dritte Zugangsdaten bei Nutzern des Online-Portals entwendeten. Seit dem 24. April 2025 seien Online-Änderungen der Bankverbindung aber nur noch mit der BundID und dem damit verknüpften Vertrauensniveau "substanziell" möglich.

Seit dem 29. April 2025 müssen alle Online-Accounts verpflichtend einen zweiten Faktor für die Anmeldung im Portal der Agentur nutzen, teilt die Regierung weiter mit. Für diese Form der Authentifizierung kämen neben der 2024 bei der BA eingeführten BundID etwa Passkeys mit einem biometrischen Verfahren oder Time-based one-time Passwords (TOTP) infrage. Die Nürnberger Behörde hatte zuvor nur eine Mehr-Faktor-Authentifizierung empfohlen.

Die BA selbst informierte Ende März zunächst nur darüber, dass sie aufgrund des Angriffs im Bereich der persönlichen Daten auf allen Online-Accounts derzeit eine "technische Wartungsseite" eingerichtet habe. Dies wirke sich auf Kunden aus, die online Leistungen wie das Arbeitslosengeld neu beantragen wollten. Die Agentur bat Betroffene daher übergangsweise, die Daten in ihrer jeweiligen Dienststelle wie einem Jobcenter erfassen zu lassen. Neben der Polizei habe man die Bundesdatenschutzbeauftragte und das Bundesamt für Sicherheit in der Informationstechnik (BSI) ins Boot geholt.

Ein neuer Angriffstyp auf Intel-Prozessoren ermöglicht das Auslesen von Passwörtern, selbst wenn alle bisherigen Schutzmechanismen gegen Spectre-artige Angriffe aktiv sind. Die Computer Security Group (Comsec) der ETH Zürich nutzt dazu eine Eigenheit in Intels Sprungvorhersage aus. Sie nennt die Sicherheitslücke Branch Predictor Race Conditions (BPRC) und den Angriffstyp Branch Privilege Injection (BPI).

Wie schon der Angriffstyp Training Solo erfordert BPI physischen Zugriff auf ein System. Daher sind die zugehörigen CVE-Nummern CVE-2024-43420, CVE-2025-20623 und CVE-2024-45332 nur mit dem Schweregrad Medium bewertet. AMD- und ARM-Prozessoren sind nicht betroffen. BPI stellt vor allem bei Cloudservern ein Risiko dar, auf denen Anwendungen beziehungsweise Container und virtuelle Maschinen unterschiedlicher Anwender parallel laufen. Bei privat genutzten Desktop-PCs und Notebooks steigert BPI nach derzeitiger Kenntnis das Malware-Risiko nicht nennenswert.

Bei Intel aktualisiert die Sprungvorhersageeinheit (Branch Prediction Unit, BPU) den Fluss an Instruktionen sowie die Berechtigungsdomäne asynchron. Das steigert die Performance und stellt im Normalfall kein Problem dar, weil die Berechtigungen zum Abschluss einer Operation eigentlich klar sind.

Das Forschungsteam der ETH manipuliert den Instruktionsstrom allerdings derart, dass die Privilegien bis zum Abschluss einer Operation nicht aktualisiert werden. Folglich verschwimmen die Berechtigungsgrenzen – Angreifer können Daten eines eigentlich abgeschotteten, privilegierten Prozesses auslesen. Bei einem Proof of Concept (POC) funktioniert das mit 5,6 KByte/s. In einer Videodemonstration zeigt Comsec, wie ihre Anwendung ein komplexes Passwort ausliest.