Comretix Blog

Microsofts Authenticator kann neben seiner Hauptfunktion, Anmeldungen als zweiten Faktor zu bestätigen, auch weitere Dinge – etwa Passwörter verwalten und automatisch einfügen. Diese Funktionen will Microsoft nun rauswerfen und die Authenticator-App verschlanken.

In einem Support-Artikel erörtert Microsoft die Maßnahme und den Zeitplan. "Microsoft verschlankt 'Autofill', sodass Sie gespeicherte Passwörter einfach über Geräte hinweg nutzen können", erklären die Redmonder. "Als Teil dieser Aktualisierungen läuft die 'Autofill'-Funktion in Microsoft Authenticator ab Juli 2025 aus."

Während es derzeit sogar noch die Funktion gibt, Passwörter aus Webbrowsern in den Microsoft Authenticator zu importieren, sollen Nutzerinnen und Nutzer in der App ab Juni keine neuen Passwörter mehr in Authenticator speichern können. Während des Juli 2025 soll sich die 'Autofill'-Funktion des Authenticator nicht mehr nutzen lassen und von August 2025 an die gespeicherten Passwörter im Authenticator gar nicht mehr zugreifbar sein.

Die gespeicherten Passwörter – nicht jedoch der Passwort-Verlauf generierter Passwörter – und Adressen würden sicher mit dem Microsoft-Konto synchronisiert. Sie lassen sich weiter "reibungslos" mit der 'Autofill'-Funktion von Microsofts Webbrowser Edge nutzen. Wer die Passwörter mit anderen Passwort-Managern verwenden möchte, kann sie aber auch aus dem Microsoft-Konto exportieren und in die gewünschte Software importieren.

Um weiterhin auf die generierten Passwörter zugreifen zu können, müssen sie manuell aus dem Generator-Verlauf in die gespeicherten Passwörter gespeichert werden. Die generierten und nicht gespeicherten Passwörter löscht Microsoft nach August 2025. Zahlungsinformationen, die im Authenticator hinterlegt sind, wird Microsoft nach Juli 2025 von den Geräten löschen. Microsoft legt Wert darauf, zu erwähnen, dass der Authenticator Passkeys natürlich weiterhin unterstützt und speichert.

Apple hat mehreren Bürgern der Europäischen Union Warnungen zukommen lassen, dass vermutlich staatlich finanzierte Akteure versucht haben, ihre Geräte anzugreifen. Das berichtete das IT-Blog TechCrunch in der vergangenen Woche. Den Angaben zufolge wurde eine ganze Gruppe von Nutzern durch den iPhone-Konzern alarmiert, wobei nicht nur die EU betroffen war – es soll sich um über 100 Länder handeln. Öffentlich geäußert haben sich allerdings nur zwei der Opfer, eine Aktivistin der "Neuen Rechten" in den Niederlanden sowie ein Journalist aus Italien. Wie schwerwiegend die Angriffe waren und wer hinter ihnen steckte, ist noch unbekannt.

Schon in der Vergangenheit hatte Apple erkannte Spyware-Angriffe auf seine User publik gemacht. Apple schickt dazu sowohl Nachrichten per iMessage als auch an die bei iCloud hinterlegte E-Mail-Anschrift. Zudem wird beim Einloggen in die offizielle Apple-Account-Website eine Information angezeigt. Der Konzern verweist zudem auf zivilgesellschaftliche Hilfsangebote und erläutert, wie Nutzer beispielsweise den Blockierungsmodus (Lockdown Mode) aktivieren, der bestimmte Angriffsformen erschweren kann.

Ciro Pellegrino, einer der beiden bekannten Betroffenen, der für die Online-Zeitung Fanpage.it schreibt, teilte mit, Apple habe ihm gesagt, er sei ins Visier einer Spyware geraten. Er wisse nicht, wer ihn angegriffen habe und warum. Fanpage.it war schon zuvor ins Fadenkreuz unbekannter Akteure geraten. Ein Kollege Pellegrinos erhielt im Frühjahr von WhatsApp eine entsprechende Benachrichtigung, laut der offenbar versucht wurde, mit einer Spyware von Paragon Solutions einen Angriff durchzuführen. Nach dieser Meldung gingen noch zwei weitere italienische Staatsbürger an die Öffentlichkeit, dieses Mal waren es Flüchtlingsaktivisten.

Die ebenfalls betroffene Niederländerin Eva Vlaardingerbroek postete Screenshots von Apples Botschaft. Das Unternehmen bat die Betroffenen darum, die Warnung "ernst zu nehmen", da man sich "sehr sicher" sei. "Dieser Angriff zielt wahrscheinlich speziell auf Sie ab, weil Sie sind, wer Sie sind oder was Sie tun." Vlaardingerbroek schrieb, sie wolle sich "nicht einschüchtern" lassen. Weder Pellegrino noch Vlaardingerbroek machten gegenüber TechCrunch weitere Angaben zu dem Vorfall. Es ist davon auszugehen, dass sich in den kommenden Wochen weitere Opfer melden.

Es bleibt unklar, ob es Apple gelungen ist, die Angriffe tatsächlich abzuwehren. In der Benachrichtigung wird unter anderem das Spyware-Produkt Pegasus erwähnt. Apple empfiehlt Betroffenen, schnellstmöglich auf iOS 18.4.1 zu aktualisieren, das kürzlich kritische Sicherheitslücken schloss (macOS und weitere Apple-Betriebssysteme waren ebenfalls betroffen).

Das IT-Sicherheitsunternehmen Greynoise hat im April dieses Jahres einen deutlichen Anstieg der Crawling-Aktivitäten bei Git-Konfigurationsdateien beobachtet. Am 20. und 21. April registrierte die Firma täglich rund 4800 einzigartige IP-Adressen, von denen Scans ausgingen. Damit handelt es sich bei diesem Vorfall um den größten von insgesamt vier seit September 2024 beobachteten. Bei jedem gingen die Crawling-Aktivitäten von mindestens 3000 einzigartigen IP-Adressen aus.

Zur Erfassung der verdächtigen Aktivitäten nutzt Greynoise sein Tool Git Config Crawler, das IP-Adressen identifiziert, die das Internet nach sensiblen Git-Konfigurationsdateien durchsuchen. Die im April beteiligten IP-Adressen verteilen sich zwar global, doch die meisten kamen aus Singapur: 8265 einzigartige IPs zur gleichen Zeit.

Seit Ende 2024 haben die Crawling-Aktivitäten deutlich zugenommen.

(Bild: Greynoise)

Auf Platz 2 und 3 der am häufigsten betroffenen Länder landeten die USA (5143 IPs) und Deutschland (4138 IPs). Es folgen Großbritannien mit 3417 IP-Adressen auf Platz 4 und Indien mit 3373 IP-Adressen auf Platz 5. Sämtliche betroffenen IPs gehören zu Cloud-Infrastruktur-Providern wie Amazon, Cloudflare und DigitalOcean.

Der Mobilfunkanbieter Vodafone hat ein Spam-Warnsystem eingeführt, mit dem Handynutzer vor Telefon-Abzocke geschützt werden sollen. Bekommt ein Vodafone-Kunde einen Anruf von einer dubiosen Nummer, so erscheint ab sofort die Anzeige "Vorsicht: Betrug möglich!" auf seinem Smartphone-Display, wie das Unternehmen in Düsseldorf mitteilte.

Der Kunde kann den Anruf zwar weiterhin annehmen, ist durch die Anzeige auf dem Display aber gewarnt. "Der Spam-Warner sensibilisiert Mobilfunkkunden im Vodafone-Netz und schützt sie wirksam vor belästigenden und gefährlichen Anrufen", sagt der Innovationschef von Vodafone Deutschland, Michael Reinartz. "Er ist ab sofort automatisch aktiv." Auch bei Kunden anderer Mobilfunkfirmen, die das Vodafone-Netz nutzen, etwa Freenet, soll besagte Warnung angezeigt werden.

Bei dem Warnsystem greift Vodafone auf einen ständig aktualisierten Datenpool zurück, in dem fragwürdige Telefonnummern hinterlegt sind. Es sind etwa Hotlines, die aufdringlich Produkte und Dienstleistungen bewerben, obwohl sie die für den Anruf nötige Einwilligung des Verbrauchers gar nicht haben. Auch reine Kriminelle sind unter den Anrufern, die in dem Gespräch persönliche Daten erfahren oder unter fadenscheinigen Gründen Geld haben wollen.

Einen Anspruch auf Vollständigkeit hat die Betrugsnummern-Datenbank von Vodafone allerdings nicht – da Betrüger häufig die Nummer wechseln, kann es auch künftig sein, dass ein Anruf von ihnen keinen Betrugshinweis auslöst und die Vodafone-Kunden nicht gewarnt sind.

Ganz neu ist so ein System nicht, bei Samsung-Smartphones können Nutzer entsprechende Warnungen aktivieren. Hat ein Vodafone-Kunde ein Samsung-Handy und die entsprechende Funktion aktiviert, bekommt er nur die Samsung-Hinweise und nicht die von Vodafone. Die beiden Systeme greifen auf unterschiedliche Datenpools zurück.

Weniger als eine Woche nachdem bekannt wurde, dass hochrangiger Vertreter der US-Regierung den Krypto-Messenger Signal offenbar über eine spezielle App benutzen, die zentrale Funktionen aushebelt, ist diese Anwendung nun geknackt worden. Das berichtet 404 Media und fügt der Signal-Affäre der Regierung von Donald Trump damit eine weitere Wendung hinzu. Erst vorigen Donnerstag hat das US-Magazin berichtet, dass Fotos des Nationalen Sicherheitsberaters zeigen, dass der auf seinem Smartphone nicht Signal nutzt, sondern eine modifizierte App, bei der es sich offenbar um TeleMessage handelt. Mike Waltz stand zuvor bereits im Zentrum der Signal-Affäre und hat vorige Woche seinen Posten verloren.

TeleMessage ermöglicht dem Bericht zufolge die Benutzung von Krypto-Messengern wie Signal und WhatsApp inklusive eines Abgriffs der Nachrichten für Archivierungszwecke. Das soll offiziellen Stellen in der US-Regierung die Nutzung ermöglichen, ohne dass dabei gegen Archivierungszwecke verstoßen wird. Dafür werden Kopien der Nachrichten an TeleMessage geschickt, schreibt 404 Media. Das US-Magazin hat das anhand des Quellcodes der Anwendung herausgefunden. Damit fügt der Dienst den Messengern eine Angriffsmöglichkeit hinzu, die für Signal jetzt tatsächlich ausgenutzt wurde.

Wie 404 Media erklärt, ist es dem anonymen Angreifer gelungen, Direktnachrichten und Inhalte aus Gruppenchats einzusehen, die über TeleMessage versendet beziehungsweise empfangen wurden. Zwar seien keine von US-Kabinettsmitgliedern dabei, aber das Magazin durfte solche einsehen, die darauf hindeuten, dass sie aus einer Gruppe im US-Kongress stammen, die über ein Gesetzesvorhaben debattieren. Andere stammen offenbar aus der US-Grenzschutzbehörde, von der Kryptobörse Coinbase und einer Bank. Auch bei der Polizei der US-Hauptstadt Washington D.C. wird die modifizierte Anwendung demnach benutzt. Hätte der Angreifer gewollt, hätte die Person auch noch viel mehr abgreifen können, meint 404 Media.

Die Anwendung war vorige Woche ins Licht der Öffentlichkeit gerückt, als ein Foto der Nachrichtenagentur Reuters zeigte, wie Waltz die Anwendung während eines Treffens der US-Regierung auf seinem Smartphone benutzte. Auf dem Foto war zu erkennen, dass die jüngsten Nachrichten offenbar unter anderem vom US-Vizepräsidenten JD Vance, von der Geheimdienstkoordinatorin Tulsi Gabbard und vom US-Außenminister Marco Rubio stammten. All diese Konversationen sind damit für Unbefugte potenziell einsehbar gewesen. Waltz hat kurz darauf seinen Posten verloren, er soll jetzt der neue US-Botschafter bei den Vereinten Nationen werden.

Begonnen hat die Signal-Affäre Ende März mit der Enthüllung, dass ein renommierter US-Journalist versehentlich zu einem Gruppenchat auf Signal hinzugefügt worden war, in dem Waltz und andere hochrangige Personen aus der US-Regierung geheime Informationen über US-Militärschläge ausgetauscht haben. In der Folge wurde bekannt, dass der Messenger in der US-Regierung noch viel weiter verbreitet ist. Dabei ist solch eine kommerzielle Software auf privaten Mobilgeräten für solche Konversationen aus unterschiedlichen Gründen gänzlich ungeeignet. Dass gar nicht Signal selbst, sondern die modifizierte – und um Angriffspunkte erweiterte – App von TeleMessage benutzt wurde, fügt dem Fall nun ein weiteres Kapitel hinzu.

Die Masche ist so alt wie bekannt – und trotzdem erfolgreich: Auf dem Smartphone erscheint eine Nachricht, etwa mutmaßlich von DHL zu einem Paket. Um das abzuholen, müssten erst noch Gebühren entrichtet werden. Der Klick auf den Link in der Nachricht führt zu einer täuschend echt aussehenden Webseite des genannten Unternehmens, und dort soll man seine Kreditkarten eingeben. Wer das tut, sitzt in der Falle: Es geht nämlich weder um ein Paket noch um den geforderten Kleinbetrag, sondern nur um die Daten der Kredit- oder Bankkarte. Diese Informationen nutzen Kriminelle, um auf Kosten ihrer Opfer einkaufen zu gehen.

Dahinter steckt, wie eine internationale Recherche des Bayerischen Rundfunks (BR), des norwegischen Fernsehsenders NRK und der französischen Tageszeitung Le Monde nun aufgedeckt hat, ein arbeitsteilig organisiertes Netzwerk von Cyberkriminellen. Vorausgegangen war eine Analyse des Netzes und seiner Software durch das norwegische Security-Unternehmen Mnemonic. Die Sicherheitsforscher erhielten zu Anfang selbst eine gefälschte Nachricht der norwegischen Post.

Schon der Link darin war ein wenig vor Untersuchungen geschützt: Er ließ sich nur über Mobilfunkverbindungen und vom Browser eines Smartphones aufrufen. Das ist leicht zu klonen, und über die Zielwebseite hangelten sich die Sicherheitsforscher durch das Netzwerk der Betrüger. Schließlich hatten sie NRK zufolge sieben Monate lang Zugriff auf interne Chats und eine Telegram-Gruppe der Phisher. Diese arbeiten mit einem Tool namens "Magic Cat", mit dem sich – auch mit Hilfe von KI – Webseiten fälschen lassen. Ihre Ergebnisse übergaben die Security-Forscher den genannten Medien, welche die Sache weiterverfolgten.

Am Ende der Recherchen führten die Spuren zu einem 24-jährigen Mann namens Yucheng C. alias "Darcula", der mutmaßlich aus China stammt. Diesen Namen hatten schon andere Sicherheitsforscher dem gesamten Netzwerk gegeben. Darcula soll selbst nicht mit Kreditkartendaten hantiert haben, sondern nur der Entwickler von Magic Cat sein. Dieses Tool wird den Angaben nach für einige hundert US-Dollar in der Woche als Software-as-a-Service an die tatsächlichen Betrüger vermietet. Über eigene Geräte-Farmen, von denen sich in der Telegram-Gruppe auch Fotos fanden, finden dann die Phishing-Versuche statt. Einige Mitglieder dort rühmen sich, mehrere Zehntausend Nachrichten am Tag verschicken zu können. Diese können per SMS, iMessage oder RCS übermittelt werden.

NRK zufolge ist das Netzwerk in rund 130 Ländern aktiv, 600 Personen sollen daran beteiligt sein. 13 Millionen Mal wurde in den sieben Monaten des Beobachtungszeitraums von Ende 2023 bis Mitte 2024 auf einen der Links in den Nachrichten geklickt, und 884.000 Menschen gaben ihre Kartendaten ein. Bei einer Chance von 1:14 für einen erfolgreichen Betrug lohnt sich für die Kriminellen also offenbar auch ein hoher technischer und zeitlicher Aufwand.

Das saarländische Finanzministerium warnt vor gefälschten E-Mails mit Zahlungsaufforderungen, die vermeintlich im Namen des Bundeszentralamts für Steuern (BZSt) verschickt werden. So versuchen Betrüger an persönliche Informationen und Geld von Bürgerinnen und Bürgern zu gelangen.

Die gefälschten E-Mails werden nach Angaben der Behörde von verschiedenen Absenderadressen wie "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein." oder "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein." versendet. In der Betreffzeile steht zum Beispiel "Hinweis zur verspäteten Abgabe der Einkommensteuer 2023". Die E-Mails enthalten häufig ein PDF-Dokument, das einen Bescheid des BZSt darstellen soll. Die Empfänger werden dazu aufgefordert, auf einen Link zu klicken oder eine Zahlung zu leisten, um angebliche Strafen für eine verspätete Abgabe der Steuererklärung zu begleichen.

Das Finanzministerium warnt: "Sollten Sie solch eine E-Mail erhalten, empfehlen wir, das beigefügte Dokument nicht zu öffnen und die E-Mail unverzüglich zu löschen. Die Steuerverwaltungen werden in einer E-Mail niemals Informationen, wie die Steuernummer, Kontoverbindungen, Kreditkartennummern, PIN oder die Antwort auf Ihre Sicherheitsabfrage, anfordern."

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Nach einem Angriff oder bei Kenntnis von kompromittierten Zugangsdaten widerrufen Admins Passwörter und lassen es neu setzen, damit bösartige Akteure sich mit erbeuteten Daten nicht anmelden können. Ist der Zugriff mit Remote-Desktop-Protokoll (RDP) aktiviert, hilft das nur nichts: Die alten Passwörter bleiben dort gültig.

Von diesem unerwarteten Verhalten berichtet Arstechnica. Demnach hat der IT-Sicherheitsforscher Daniel Wade dem Microsoft Security Response Center (MSRC) dieses Verhalten berichtet. Laut ihm funktionieren alte Zugangsdaten in RDP weiterhin, selbst auf brandneuen Maschinen. Neuere Passwörter können ignoriert werden, während ältere noch funktionieren. Weder Windows Defender noch Entra ID oder Azure liefern Warnungen. Es gibt keinen eindeutigen Weg für Nutzerinnen und Nutzer, dieses Problem aufzudecken und zu korrigieren. Microsoft dokumentiert dieses Szenario nicht direkt.

Laut Microsoft handelt es sich um eine "Design-Entscheidung, die sicherstellt, dass mindestens ein Nutzerkonto dazu in der Lage ist, sich anzumelden, ganz gleich, wie lange das System offline war". Daher treffe dieses Verhalten die Definition einer Schwachstelle nicht. Microsoft habe keine Pläne, etwas daran zu ändern.

RDP dient dazu, sich aus der Ferne an (Windows-)Maschinen anzumelden, um darauf genauso zu arbeiten wie an einem lokalen Rechner. Dazu leitet die Software die Desktop-Ausgabe auf die entfernte Maschine um. Sofern ein Rechner mit einem Microsoft- oder Azure-Konto den Fernzugriff aktiviert hat, können sich Nutzerinnen und Nutzer mit einem Passwort über RDP anmelden. Das wird gegen lokal gespeicherte Zugangsdaten abgeglichen. Alternativ können sie sich mit dem Online-Konto anmelden, mit dem lokale Nutzer sich an dem PC angemeldet haben.

Allerdings bleibt das Passwort für den Fernzugriff gültig, selbst wenn Nutzerinnen und Nutzer es geändert haben. Im Ergebnis können in einigen Fällen ältere Passwörter funktionieren und neuere hingegen nicht. Am Ende steht ein persistenter RDP-Zugang, der Cloud-Verifizierung, Mehr-Faktor-Authentifizierung und Zugangskontroll-Richtlinien umgeht. Wade formuliert es in seinem Bericht drastisch: "Das erstellt eine stille, ferne Hintertür (Backdoor) in jedem System, auf dem ein Passwort gecacht wurde. Selbst wenn Angreifer niemals Zugang zu dem System hatten, vertraut Windows dem Passwort."

IBMs Geschäftsdatenvisualisierungslösung Cognos Analytics ist verwundbar. Angreifer können an zwei Schwachstellen ansetzen, um Systeme zu attackieren. Sicherheitspatches stehen zum Download bereit.

In einem Beitrag führen die Entwickler aus, dass davon die Versionen 11.2.0 bis einschließlich 11.2.4 FP4 und 12.0.0 bis einschließlich 12.0.4 betroffen sind. Abhilfe schaffen die Sicherheitsupdates 11.2.4 FP5 und 12.0.4 Interim Fix 1.

An der "kritischen" Lücke (CVE-2024-51466) könne entfernte Angreifer mit einer präparierten Expression-Language-Anweisung ansetzen. Im Nachgang können sie auf sensible Informationen zugreifen. Es kann aber auch zu Abstürzen kommen.

Die zweite Schwachstelle (CVE-2024-40695 "hoch") betrifft die Uploadfunktion. Weil Daten vor dem Hochladen nicht ausreichend überprüft werden, können Angreifer mit Schadcode versehene ausführbare Dateien hochladen, um Systeme zu kompromittieren.

Noch gibt es keine Berichte zu Angriffen. Admins sollten aber mit der Installation einer abgesicherten Version nicht zu lange zögern.

Nachdem Ende Januar ein massives Datenleck bei den ZAR-Rehakliniken publik wurde, sind nun weitere Kunden des verantwortlichen IT-Dienstleisters MediTec Medizinische Datentechnologie GmbH betroffen. Insgesamt waren bei der von MediTech betreuten Reha Vita GmbH Daten von 17.000 Patientinnen und Patienten einsehbar. Darüber informiert jetzt der Chaos Computer Club.

Betroffen waren laut Pressemitteilung unter anderem die Patientenakten samt Diagnosen – teils über psychische Erkrankungen –, Entlassungsberichte und Audiomitschnitte von Diktiergeräten der Ärzte, aber auch Bankverbindungen und Daten zur Krankenversicherung sowie das Geburtsdatum von Patienten. Zu den Patienten gehören auch Spieler des FC Energie Cottbus. Bisher haben sich weder die Reha Vita noch MediTec zu dem Vorfall geäußert.

MediTec hat sich auf Verwaltungssoftware für Arztpraxen und Reha-Einrichtungen spezialisiert und ist nach eigenen Angaben in rund 180 Einrichtungen im deutschsprachigen Raum im Einsatz. Bis Ende 2023 gehörte das Unternehmen noch zur Curalie GmbH, die wiederum Teil von Fresenius Helios war.

Ein IT-Sicherheitsforscher "war auf eine Subdomain unterhalb der Webseite meditec-gmbh.com gestoßen" und hatte sich beim CCC gemeldet. Ein Subdomain-Scan zeigte unter anderem, dass bei einer Subdomain vergessen wurden, den Debug-Modus zu deaktivieren. Bei der Eingabe einer falschen URL war es demnach möglich, eine Liste möglicher weiterer URLs zu erhalten. Einer der gelisteten Endpunkte diente für die Server-Client-Kommunikation (Server-Sent Events) und listete ohne Zugriffsschutz unter anderem gültige Session IDs eingeloggter Nutzer. Mit dieser Session ID konnte man sich laut CCC ein gültiges Cookie konstruieren und war auf der Plattform eingeloggt.

Heraus kam dabei, dass bei einem der Kunden unter anderem die seit April 2020 ausgelaufene Django-Version 1.11 verwendet wird. Zudem war auch die auf dem Server installierte Python-Version 2.7.18 installiert, die ebenfalls bereits seit Jahren abgelaufen ist. Es zeigte sich, dass bei mindestens fünf Domains und Subdomains Zugriff auf Metadaten zu der installierten Software möglich waren, und die Server-Software häufig über Jahre keine Updates erhalten hatten.

Angreifer haben zurzeit zwei ältere Sicherheitslücken in Sonicwall-Fernwartungslösungen der Secure-Mobile-Access-Serie (SMA) im Visier. Sicherheitspatches sind schon länger verfügbar, aber offensichtlich sind sie bisher nicht flächendeckend installiert. Admins sollten umgehend handeln und ihre SMA-Instanzen aktualisieren.

Beide Schwachstellen betreffen die SMA-Reihen SMA 200, 210, 400, 410 und 500v. Die Entwickler versichern, die Lücken ab der Firmware 10.2.1.14-75sv geschlossen zu haben.

Sind Attacken erfolgreich, können Angreifer Schadcode ausführen. Die "kritische" Lücke (CVE-2024-38475) betrifft die SMA-Komponente Apache HTTP Server. Daran können Angreifer mit präparierten URLs für Schadcode-Attacken ansetzen.

In einem aktualisierten Beitrag warnt Sonicwall nun vor Attacken. In welchem Umfang sie ablaufen, ist derzeit unklar. Die Entwickler raten Admins nach unautorisierten Log-in-Versuchen Ausschau zu halten. Außerdem führen sie aus, dass weitere Untersuchungen der Lücke gezeigt haben, dass Angreifer nach einer erfolgreichen Ausnutzung Sessions übernehmen können.

Um die zweite Schwachstelle (CVE-2023-44221 "hoch") ausnutzen zu können, muss ein entfernter Angreifer bereits über Adminrechte verfügen. Ist das gegeben, kann er am SSL-VPN-Management-Interface ansetzen, um eigene Befehle auszuführen, erläutern die Entwickler in einer Warnmeldung.

Anlässlich des Welt-Passwort-Tages am 1. Mai, hat Microsoft das Ende der Passwörter für Neukunden ausgerufen. Entsprechend hat das Unternehmen in seiner Ankündigung den "Welt-Passwort-Tag" in den "Welt-Passkey-Tag" umgetauft.

Für Bestandskunden ändert sich zunächst nichts: Sofern sie für ihr Microsoft-Konto noch ein Passwort verwenden, können sie es weiter nutzen. Allerdings steht ihnen schon seit einer Weile die Option zur Verfügung, ihr Passwort zu löschen und auf passwortlose Logins wie Passkeys umzusteigen.

Um den Umstieg zu erleichtern, hatte der Hersteller im März 2025 "moderne, einfachere Log-in- und Anmelde-Dialoge“ für Windows, Xbox, Microsoft 365 und weitere Angebote angekündigt. Die mit dem Redesign eingeführte neue Login-Logik soll einen besseren Ablauf für eine passwortlose und schlüsselfreie Nutzung ermöglichen.

Neuen Nutzern werden mehrere passwortfreie Optionen für die Anmeldung bei ihrem Konto angeboten und müssen nie ein Passwort eingeben. Ihnen werden anstelle der Eingabe eines Passworts "nur sicherere Methoden wie Passkeys, Push-Benachrichtigungen und Sicherheitsschlüssel" für den Log-in zur Wahl gestellt, schreibt das Unternehmen.

Ferner erklärt Microsoft, dass das Unternehmen die Anmeldung mit sichereren Optionen vereinfacht. Anstatt Nutzern alle möglichen Anmeldemethoden anzuzeigen, erkennt das System automatisch die beste verfügbare Methode für ein jeweiliges Konto und legt diese als Standard fest.

Der Datentransfer zwischen der EU und den USA steht erneut auf wackeligen Beinen. Nachdem der Europäische Gerichtshof (EuGH) bereits die Vorgängerabkommen "Safe Harbor" und "Privacy Shield" gekippt hatte, droht nun auch dem aktuellen "Transatlantic Data Privacy Framework" (TADPF) ein jähes Ende.

Dr. Stefan Brink beim Podcasten in der Auslegungssache

Im c't-Datenschutz-Podcast erläutern Redakteur Holger Bleich, heise-Verlagsjustiziar Joerg Heidrich und Dr. Stefan Brink die komplexe Gemengelage. Brink war bis Ende 2022 Landesdatenschutzbeauftragter in Baden-Württemberg, leitet nun das Wissenschaftliche Institut für die Digitalisierung der Arbeitswelt (wida) und kennt die Problematik aus nächster Nähe.

Das TADPF sollte den Datentransfer eigentlich endlich auf eine solide Basis stellen. US-Präsident Biden erließ dazu 2022 die Executive Order 14086, die den Zugriff von US-Geheimdiensten auf EU-Bürgerdaten einschränken und Beschwerdemöglichkeiten schaffen sollte. Doch die Umsetzung ist fragil.

Brink erläutert, dass die Executive Order jederzeit von US-Präsident Donald Trump wieder einkassiert werden könnte. Zudem ist das vorgesehene Kontrollgremium PCLOB faktisch lahmgelegt, da ihm die Mitglieder fehlen. Die EU-Kommission versucht nach Beobachtung von Bleich, die Probleme auszusitzen, doch im EU-Parlament wachse der Druck, den Angemessenheitsbeschluss aufzuheben.

Auf die Sicherheitslücken, die der Chaos Computer Club bereits einen Tag nach dem Start der elektronischen Patientenakte entdeckt und gemeldet hatte, gibt das Bundesamt für Sicherheit in der Informationstechnik auf Nachfrage von heise online eine Art Entwarnung. Denn anders als bei dem Angriff, der beim Chaos Communication Congress im Dezember öffentlich dargestellt wurde, ging es im aktuellen Fall nicht direkt um einen massenhaften Zugriff auf elektronische Patientenakten. Stattdessen brauchte es eine gezieltere Attacke, bei der die digitale Abrufbarkeit zur elektronischen Ersatzbescheinigung (eEB) durch Praxen genutzt werden konnte, um alle Daten zu erhalten, die dann wieder für einen Zugriff auf einzelne Patientenakten notwendig gewesen wären. Die Sicherheitsforscher aus dem CCC-Umfeld hatten über die ihnen bekannte Lücke das beim BSI angesiedelte CERT-Bund auch in diesem Fall am Dienstagabend vorab informiert. Daraufhin wurde gestern das eEB-Modul vorerst vom Betreiber abgeschaltet.

Bei der Einschätzung des gestern bekannt gewordenen Szenarios geht das BSI deshalb von "hohen technischen Hürden" aus. Insbesondere die Notwendigkeit von Hardware aus dem Gesundheitssystem sowie einem gültigen Identitätsnachweis sei eine Hürde, die zudem ein Aufdeckungsrisiko mit sich bringe. Allerdings gelte auch: "Die Frage, ob die für das Angriffsszenario notwendigen zusätzlichen Patienteninformationen strukturell angemessen geschützt sind, entzieht sich dem Aufgabenbereich des BSI", teilt eine Sprecherin der Bonner Behörde auf Anfrage mit. Die IT-Sicherheitsbehörde weist zudem darauf hin: "Das BSI hatte auf ein bestehendes Restrisiko für gezielte Angriffe auf die ePA durch ein solches potentielles Szenario hingewiesen und seine Stakeholder darüber vor dem bundesweiten ePA-Rollout informiert."

Damit sieht das BSI die Verantwortung klar bei den Betreibern der Infrastruktur der elektronischen Patientenakte: "Der bundesweite Rollout der ePA wird von unseren Sicherheitsteams gemeinsam mit dem BSI eng begleitet", hatte der Geschäftsführer der Gematik gestern erklärt, deren Hauptgesellschafter der Bund ist. Das Bundesamt für Sicherheit in der Informationstechnik ist zwar nach den einschlägigen Regelungen des Sozialgesetzbuchs V in die Erstellung der Technischen Richtlinien eingebunden.

Doch anders als vermutet werden könnte, ist dort nur ein "Benehmen" vorgesehen, das mit dem BSI hergestellt werden muss. Echte Prüf- oder Genehmigungspflichten würden aber mit der Formulierung des "Einvernehmens" juristisch vorgesehen. Dann dürfte das BSI dem Betreiber etwa auch den Betrieb untersagen oder Anforderungen eigenständig verschärfen. Im Zuge des starken politischen Willens dazu, die ePA trotz möglicher Bedenken nach 20 Jahren Diskussion endlich an den Start zu bekommen, wurden solche Mittel für Datenschutzbehörden oder BSI jedoch ausgeschlossen.

Infolge der im Dezember öffentlich gemachten strukturellen Sicherheitslücke war das BSI vom Bundesgesundheitsministerium zu einer sogenannten Sicherheitsbewertung aufgefordert worden. Diese werde von den IT-Sicherheitsspezialisten aus Bonn auch weiterhin aktualisiert, heißt es aus dem BSI. Allerdings sind diese Bewertungen für die Gematik nicht verpflichtend umzusetzen. "Aus der Sicherheitsbewertung ergibt sich, dass bei vollständiger Implementierung aller Mitigationsmaßnahmen ein angemessen sicherer Betrieb der elektronischen Patientenakte gewährleistet ist", erklärt die BSI-Sprecherin. Für die Implementierung allerdings bleibt weiterhin die Gematik als Betreiber der Infrastruktur und Ersteller der technischen Spezifikationen zuständig.

Trotz zusätzlicher Sicherheitsmaßnahmen weist die seit Dienstag für alle gesetzlich Versicherten verfügbare elektronische Patientenakte (ePA) weiterhin Schwachstellen auf. Am Mittwoch teilte die Gematik mit, sie habe mit einer "Sofortmaßnahme" eine weitere Sicherheitslücke geschlossen.

Hintergrund sind neue Erkenntnisse von Sicherheitsexperten aus dem Umfeld des Chaos Computer Clubs (CCC). Zusammen mit Christoph Saatjohann, Professor für IT-Sicherheit an der FH Münster, hatten Bianca Kastl und Martin Tschirsich entdeckt, dass sich die Anschrift und der Versicherungsbeginn über die elektronische Ersatzbescheinigung (eEB) abfragen lassen. Diese ist für Patienten gedacht, die ihre Gesundheitskarte vergessen haben. Damit ließ sich eine Sicherungsmaßnahme umgehen, die den unbefugten Zugriff verhindern soll.

Um auf eine Patientenakte zuzugreifen, benötigt man neben einem Zugang zur Telematikinfrastruktur die Krankenversichertennummer und die Gesundheitskartennummer des Patienten sowie einen Hashwert. Diese "Hash Check Value" (HCV) wird aus dem Versicherungsbeginn, der Straße und Hausnummer des Versicherten errechnet. Die Idee ist, dass diese Daten nur über den Chip auf der Gesundheitskarte zugänglich sind. Dem ist aber offenbar nicht so: Die Daten werden unter anderem über den KIM-Dienst versendet.

Saatjohann erstellte laut einem Bericht des Spiegel ein Programm, mit dem diese Daten bei mehreren Krankenkassen abrufbar waren, darunter die Techniker Krankenkasse und die Barmer. Die Schnittstelle für elektronische Ersatzbescheinigungen ist relativ neu und bisher optional, daher unterstützen viele Praxisanwendungen sie bisher nicht. Saatjohann erwartet, dass sich dies ändern wird, wodurch Angreifer fertige Software nutzen könnten, um den Aufwand zu verringern.

"Gerade die großen Kassen bieten das Verfahren [die elektronische Ersatzbescheinigung, Anm. d. R.] schon seit vergangenem Jahr an. Vor dem Hintergrund, dass die elektronische Ersatzbescheinigung ab Juli 2025 von Krankenkassen verpflichtend anzubieten ist, haben die meisten Kassen diese bereits umgesetzt." Das Verfahren für die Ersatzbescheinigungen sei seit 2023 bekannt, sodass Angreifer genug Vorlauf gehabt hätten. Betroffenen, deren Anschrift und Versicherungsbeginn Dritten bekannt würden, bliebe nur der Umzug oder Kassenwechsel. "Das kann es nicht sein", meint Tschirsich.

Obwohl viele Daten mittlerweile drahtlos in die Cloud fliegen, stöpseln Smartphone-Nutzer ihre Geräte noch immer häufig per USB ans Ladegerät, Auto oder Laptop. Sicherheitsexperten ist es mit einem mehrstufigen Trick gelungen, über diese Gegenstellen Daten von den Geräten abzugreifen – obwohl das seit mehr als einem Jahrzehnt nicht mehr möglich sein dürfte. Eine Hintertür fanden Florian Draschbacher und Lukas Maar von der TU Graz in der USB-Implementation bei Android und iOS.

Ladegeräte, die nicht nur Strom liefern, sondern auch Daten abzapfen oder gar Malware aufspielen: Dieses Szenario beschreibt die Angriffsmethode "JuiceJacking". Bereits im Jahr 2011 prägte der Security-Journalist Brian Krebs den griffigen Namen für die Methode, die eine Gruppe Sicherheitsforscher mit öffentlichen Ladeterminals auf der Hackerkonferenz DefCon 19 vorgestellt hatte. Wer sein Smartphone dort anschloss, dem winkte eine Warnbotschaft auf dessen Bildschirm.

Apple und Google reagierten mit mehreren Gegenmaßnahmen, vor allem mit Warnmeldungen und Bestätigungsdialogen beim ersten Anschluss eines neuen USB-Geräts. Auch behoben die Hersteller Sicherheitslücken in den Mobil-Betriebssystemen, um Malware-Verbreitung per JuiceJacking zu vereiteln.

Die Neuauflage, von ihren österreichischen Entdeckern ChoiceJacking getauft, kann diese Gegenmaßnahmen jedoch teilweise überwinden. Dazu bedienen sich die Grazer Forscher eines zweiten Eingabekanals, nämlich eines ebenfalls gefälschten Bluetooth-Eingabegeräts. Wie die Doktoranden herausfanden, erlaubten iOS und Android einem frisch angesteckten USB-Gerät zwar nicht, Daten auszulesen, wohl aber Eingaben zu tätigen.

Diesen Umstand nutzten Draschbacher und Maar aus, um eine Bluetooth-Verbindung zum präparierten Eingabegerät aufzubauen. Dieses wiederum drehte den Spieß dann um und nickte eine USB-Datenabfrage ab, und zwar in Sekundenbruchteilen. Daher der Name: Die durch den Nutzer zu treffende Auswahl (engl. choice), bestimmte Geräteverbindungen zuzulassen, wird durch den Angriff "hijacked", also entführt. Möglich macht das der USB-Modus PD (Power Delivery), der eine Umkehrung der Rollen zwischen angestecktem Peripheriegerät und Host-Gerät gestattet.

Mehr als 400 IT-Sicherheitsexperten haben inzwischen einen offenen Brief der Electronic Frontier Foundation (EFF) unterzeichnet. Darin fordern die Unterzeichner die US-Regierung auf, den ehemaligen Chef der US-amerikanischen Cyber-Sicherheitsbehörde CISA Chris Krebs "in Ruhe zu lassen". US-Präsident Donald Trump hatte zuvor dem Unternehmen, bei dem Krebs nun arbeitet, Sicherheitsfreigaben entziehen lassen und eine Untersuchung von Krebs' Amtsführung angeordnet.

Nachdem Krebs in seiner Rolle als CISA-Chef die Behauptungen von US-Präsident Donald Trump bezüglich der vermeintlich "durch Joe Biden gestohlenen Wahl" im Jahr 2020 nicht gestützt hatte, feuerte der damalige und jetzige US-Präsident ihn kurzerhand über Twitter (heute X). Nach dem erneuten Amtsantritt 2025 hat Trump den Mitarbeitern der IT-Sicherheitsfirma SentinelOne die Sicherheitsfreigaben entzogen – dort war Krebs inzwischen beschäftigt. Mitte April hat Krebs nun SentinelOne verlassen, wie etwa Reuters berichtete, und postete eine E-Mail auf der Webseite des Unternehmens: "Dies ist meine Auseinandersetzung, nicht die des Unternehmens."

Die EFF hat nun einen offenen Brief an US-Präsident Trump gerichtet. "Politische Vergeltung für das Aufdecken der Wahrheit schwächt die gesamte Infosec-Community und bedroht unsere Demokratie", heißt es in dem Schreiben. "Wenn der Präsident Krebs und SentinelOne ins Fadenkreuz nimmt ist das eine Warnung für Cybersicherheitsexperten, deren Erkenntnisse seinem Narrativ widersprechen, dass ihre Firmen und ihr Lebensunterhalt durch unberechtigte Vergeltungsmaßnahmen bedroht ist."

"Als Mitglieder des IT-Sicherheits-Berufsstandes und der Informationssicherheits-Community verteidigen wir mit Nachdruck unsere berufliche Verpflichtung, wahrheitsgemäße Ergebnisse zu melden, auch – oder gerade – dann, wenn sie nicht in das Schema der Mächtigen passen. Und wir stehen an der Seite von Chris Krebs, weil er genau das tut", betonen die Unterzeichner des Briefes weiter. "Eine unabhängige Infosec-Community ist von grundlegender Bedeutung für den Schutz unserer Demokratie und für den Berufsstand selbst."

Am Dienstag überschritt die Liste der Unterzeichner die Marke von 400 IT-Sicherheitsspezialisten. Es handle sich um "herausragende Persönlichkeiten aus der Wissenschaft, der Zivilgesellschaft und dem Privatsektor", erklärt die EFF. Dazu zählen Professoren insbesondere aus dem Informatikbereich von verschiedenen Universitäten, sowie ehemalige Mitarbeiter im Ruhestand von namhaften Unternehmen.

Dells PowerProtect Data Manager und diverse Laptopmodelle sind verwundbar. In aktuellen Versionen haben die Entwickler mehrere Softwareschwachstellen geschlossen. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.

In einer Warnmeldung führen die Entwickler aus, dass PowerProtect Data Manager über mehrere Lücken in Komponenten von Drittanbietern wie Golang und Spring Framework, aber auch über Lücken in der Anwendung selbst angreifbar ist. Sind Attacken erfolgreich, können sich Angreifer etwa mit lokalem Zugriff und niedrigen Rechten höhere Nutzerrechte verschaffen (CVE-2025-23375 "hoch").

Die Entwickler versichern, die Lücken in PowerProtect Data Manager 19.19.0-15 geschlossen zu haben.

Aufgrund von mehreren Schwachstellen (CVE-2025-530033 „hoch“, CVE-2025-530034 „hoch“) im Qualcomm-Chipset-Treiber sind Attacken auf diverse Laptop-Serien vorstellbar. Die betroffenen Modelle sind in einem Beitrag aufgelistet. Hier können Angreifer Speicherfehler auslösen. Das führt in der Regel zu Abstürzen. Darüber kann aber auch oft Schadcode auf Systeme gelangen. Der Treiber 2.1.0.30 schafft Abhilfe.