Comretix Blog

Als US-amerikanische Programmierer Davis L. seine Kündigung fürchtete, pflanzte er Schadroutinen in die IT-Systeme seines Arbeitgebers ein. Der Schadcode sollte aktiv werden, sobald sein Nutzerkonto im Active Directory stillgelegt wurde. Es kam, wie befürchtet. Jetzt wurde L. verurteilt.

Anzeige

Geschworene des US-Bundesbezirksgerichts für das Nördliche Ohio haben L. der vorsätzlichen Beschädigung geschützter Computer für schuldig befunden. Darauf stehen bis zu zehn Jahre Haft. Das konkrete Strafmaß wird der vorsitzende Richter zu einem späteren Zeitpunkt festlegen. Der Angeklagte ist zum Sachverhalt grundsätzlich geständig, erachtet sich allerdings als nicht schuldig im Sinne der Anklage. Er hat Rechtsmittel gegen den Schuldspruch angekündigt.

L. arbeitete seit November 2007 für einen internationalen Konzern mit Sitz in Ohio und Irland, der auch in Deutschland Tochterunternehmen hat. 2018 wurde der Mann im Zuge einer Umstrukturierung degradiert. Daraufhin begann er mit der Sabotage des Arbeitgebers.

Laut Anklage (1:21-cr-00226) installierte er endlose Programmschleifen, die Java Virtual Machines unbenutzbar machten und Anwendern den Zugriff auf Server verunmöglichten. Zudem soll er Profildateien von Kollegen gelöscht haben.

Die billigen WLAN- und Bluetooth-Chips des Herstellers Espressif, ESP32, enthalten in aktuellen Firmware-Versionen undokumentierte Befehle in der Bluetooth-Hardware-Kommunikation. Dies reißt eine Sicherheitslücke auf, durch die Angreifer sich einnisten können, sagen die Entdecker der Lücke. Die ist jedoch nicht so gravierend, wie sie zunächst den Anschein erweckt – obwohl Milliarden von ESP32-ICs bereits in freier Wildbahn ihren Dienst verrichten, etwa in smarten Steckdosen, Heizungsregler und ähnlichen praktischen Geräten.

Anzeige

Die Schwachstellenbeschreibung lautet konkret: Espressif ESP32-ICs enthalten 29 versteckte Bluetooth-HCl-Befehle, etwa "0xFC02" – "Schreibe Speicher" (CVE-2025-27840, CVSS 6.8, Risiko "mittel"). Durch die undokumentierten Befehle können Angreifer Speicher und sogar am Ende Flash manipulieren und so die komplette Kontrolle übernehmen.

Das Bluetooth Host-Controller-Interface (HCI) definiert die Kommunikation zwischen Bluetooth-IC und Host-System, wie der Name bereits andeutet. Es ist also nicht direkt Over-the-air, etwa über Bluetooth-Funk, erreichbar. Es handelt sich um Kommunikation, die klassischerweise über UART- oder SPI-Protokolle zwischen Host-System und Bluetooth-Controller läuft.

Die Entdecker haben den Fund auf der spanischen IT-Sicherheitskonferenz rootedcon vorgestellt. Sie erklärten dort, dass sich mit diesen Befehlen unter anderem MAC-Adressen spoofen lassen, sodass sich Geräte als andere Bluetooth-Gegenstellen ausgeben und so etwa mit Smartphones verbinden können. Unbefugter Zugriff auf Daten sei so denkbar. Durch die möglichen Schreibzugriffe ist zudem ein dauerhaftes Einnisten denkbar. Allerdings gelingt dies alles nur dann, wenn zuvor bereits Zugriff auf ein Gerät mit verwundbarem ESP32-IC möglich ist: Etwa, wenn Zugang mit Root-Rechten erfolgte, damit Malware installiert oder eine bösartig modifizierte Firmware aufgespielt wurde. Damit sind aber bereits diese und weiterreichende bösartige Aktionen möglich.

Eine Recherche bringt Neues im Fall Bybit ans Licht: Der größte Diebstahl der Geschichte wurde möglich, weil das Unternehmen sich auf eine unsichere Freeware verließ. "Safe" heißt die betroffene Anwendung, die sonst für Krypto-Transaktionen im Amateurbereich dient. Bybit nutzte sie, um Kryptowährung im Wert von 1,5 Milliarden US-Dollar zu verschieben. Wie riskant das ist, war den Verantwortlichen offenbar bewusst.

Anzeige

Die New York Times berichtet jetzt neue Einzelheiten zu dem Fall vom 21. Februar, bei dem es Cyberkriminellen gelang, eine riesige Summe der Kryptowährung Ethereum (Ether) abzuschöpfen. Die Kryptobörse Bybit wollte das Ether routinemäßig von einem seiner Speicherwallets ins andere transferieren, doch die Kriminellen griffen alles ab. Das FBI beschuldigt eine Gruppe aus Nordkorea der Tat.

Bybit-CEO Ben Zhou genehmigte die Transaktion vorher eigenhändig und gab den Angreifern damit unbewusst die Kontrolle über das Ether. "Safe" war dabei laut der New York Times die entscheidende Schwachstelle. Die weit verbreitete Freeware für Krypto-Wallets ist von jedermann nutzbar und beliebt bei Amateur-Tradern. Das hielt Bybit laut der Times nicht ab, damit Milliardenwerte hin und her zu schieben. Den Cyberkriminellen gelang es demnach, Safe so zu manipulieren, dass sie das transferierte Ether an sich reißen konnten.

Besonders ärgerlich für Bybit: Es gibt laut Experten längst bessere Systeme, die auch auf Anwender mit Großtransaktionen spezialisiert sind. Die bestohlene Kryptobörse verließ sich stattdessen jahrelang weiter auf "Safe". Viele Sicherheitsexperten glauben deshalb, der Vorfall wäre vermeidbar gewesen. "Im Jahr 2025 ist so etwas völlig inakzeptabel", sagte Charles Guillemet von der Krypto-Sicherheitsberatung Ledger der New York Times dazu. Solche Zustände müssten sich dringend ändern.

Google und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben eine strategische Kooperationsvereinbarung geschlossen mit dem Ziel, den Aufbau "sicherer und souveräner Cloud-Lösungen für Behörden auf Bundes-, Landes- und Kommunalebene" zu fördern. Dies teilten der Internetriese und die Behörde am Donnerstag mit. Einen besonderen Schwerpunkt wollen beide Seiten demnach auf die "Gewährleistung der Datensouveränität" legen. Die entwickelten Lösungen sollen "speziell auf die Anforderungen des öffentlichen Sektors" zugeschnitten sein, die "deutschen und europäischen Datenschutzbestimmungen" erfüllen sowie höchste Standards auch bei IT-Sicherheit bieten.

Anzeige

Die Kooperation umfasst laut Google das gesamte Cloud-Portfolio des US-Konzerns, einschließlich KI-Anwendungen wie den Chatbot Gemini und zugehörige Support-Dienste. Ein neu eingerichtetes Kooperationsforum bilde das Herzstück der Zusammenarbeit. Dieses Gremium leiten demnach der neue BSI-Vizepräsident Thomas Caspers und Wieland Holfelder, Vizepräsident Google Cloud Deutschland. Das Forum diene als zentrale Koordinierungsstelle und direkter Ansprechpartner für alle Belange der Zusammenarbeit. Es soll wichtige Aspekte behandeln wie die systematische Sicherheitsüberwachung mit schneller Reaktion auf potenzielle Sicherheitsvorfälle sowie die gemeinsame Entwicklung technischer Standards und Zertifizierungen.

Die Partner wollen auch gemeinsam am Voranbringen von Post-Quanten-Kryptografie und dem Einsatz elliptischer Kurven für die Verschlüsselung arbeiten. Diese Technologien seien entscheidend für die langfristige Sicherheit sensibler Daten, heißt es bei Google. Dies gelte gerade mit Blick "auf die Herausforderungen durch künftige Quantencomputer". Die Übereinkunft umfasse auch "die regelmäßige Überprüfung auf Sicherheitslücken und die Bereitstellung wichtiger Sicherheitsdokumentationen". Google verpflichte sich, das BSI "proaktiv über sicherheitsrelevante Entwicklungen zu informieren, insbesondere bei Vorfällen von besonderem öffentlichen Interesse".

Alle großen US-Hyperscaler werben bereits mit "souveränen" Cloud-Lösungen zusammen mit deutschen Partnern. Google kündigte 2021 den Aufbau einer solchen Lösung für hiesige Unternehmen und Behörden zusammen mit T-Systems an. Amazon will mit der AWS European Sovereign Cloud punkten, die aus mindestens drei Rechenzentren in einer eigenen Region an geheimen Orten in Brandenburg bestehen soll. Microsoft kooperiert für die Delos-Cloud mit SAP und Arvato. Kritiker monieren, dass sich die Vereinigten Staaten mit dem Cloud Act aber weiter den Zugriff auf Daten in der Cloud weltweit sicherten, solange US-Firmen irgendwie involviert seien.

Hersteller und Verkäufer vernetzter Geräte klären Kunden unzureichend über Aspekte der IT-Sicherheit auf, obwohl diese bei solchen Produkten eine wichtige Rolle spielen und entsprechende Angaben teils gesetzlich vorgeschrieben sind. Das geht aus einem exemplarischen Marktcheck hervor, den das ConPolicy-Institut für Verbraucherpolitik im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) durchgeführt hat. Informationen zur IT-Security waren demnach "durchgängig nur lückenhaft verfügbar", kritisieren die Forscher. Die wenigsten Hinweise seien im stationären Handel und auf Produktverpackungen zu finden, etwas mehr in Online-Shops und auf Hersteller-Webseiten.

Anzeige

In Geschäften vor Ort würden oft "nur Preisangaben und wenige technische Details angeboten", heißt es in dem am Freitag veröffentlichten Ergebnisbericht. Auch im Online-Handel würden Interessenten "viele wichtige Informationen" vorenthalten. Generell seien Informationen etwa zur Verschlüsselung oder zum Schutz gegen unbefugten Zugriff zudem oft schwer zu finden und schwer verständlich. Sie würden häufig mit anderen technischen Angaben vermischt und nur in Form von Abkürzungen ohne weitere Erklärungen dargestellt. Der Bezug zur IT-Security sei daher für technisch nicht versierte Personen nicht erkennbar.

In den Test bezogen die Experten Breitbandrouter und Überwachungskameras ein. Sie untersuchten exemplarisch die Webseiten von Herstellern und E-Commerce-Angebote, stationäre Händler sowie Produktverpackungen daraufhin, inwieweit sie relevante IT-Sicherheitsinformationen für die Kaufsituation bereitstellten.

Mit Blick auf die rechtlichen Anforderungen verweisen die Forscher etwa auf das Bürgerliche Gesetzbuch (BGB), in dem eine allgemeine Informationspflicht zu "wesentlichen Produkteigenschaften" verankert sei. Auch die Dauer von Sicherheitsupdates müsse angegeben werden. Das Wettbewerbsrecht (UWG) verbiete Irreführung, zudem seien unbelegte IT-Sicherheitsversprechen damit unzulässig. Mit dem Cyber Resilience Act, der ab 2027 verpflichtend ist, dürften vernetzte Geräte nur noch in Verkehr gebracht werden, wenn sie grundlegende Anforderungen an IT-Sicherheit erfüllen. Nach Prüfung der Konformität müssen die Produkte mit dem CE-Kennzeichen versehen werden. Einfache, verständliche Informationen und Gebrauchsanleitungen sind verfügbar zu machen.

Sicherheitsforscher von S-RM sensibilisieren Netzwerkadmins, über welchen Schlenker Angreifer in eigentlich geschützte Netzwerke eindringen können. In ihrem aktuellen Beispiel verschaffte sich die Ransomware Akira nach einem Fehlschlag dennoch Zugang zu Computern und verschlüsselte Daten.

Anzeige

In einem Bericht führen sie aus, wie die Angreifer dabei vorgegangen sind. Anfangs seien die Cyberkriminellen nach gewohntem Schema vorgegangen und sie haben sich über einen nach außen sichtbaren Fernzugriffsport Netzwerkzugriff verschafft.

Im Anschluss sollen sie sich über das Remote Desktop Protocol (RDP) auf einen Server ausgebreitet haben. Vor dort wollten sie ihren Erpressungstrojaner von der Leine lassen, doch die Endpoint-Detection-and-Response-Lösung (EDR) schlug zu und schickte den Schädling, bevor er ausgeführt werden konnte, in Quarantäne. Die Attacke war erfolgreich vereitelt.

Bevor die Kriminellen ihren Trojaner scharfschalten wollten, scannten sie das Netzwerk und entdeckten eine Webcam. Weil die Software des Gerätes den Forschern zufolge mehrere kritische Sicherheitslücken aufwies und es nicht durch die EDR-Software überwacht wurde, starteten sie darüber einen weiteren Angriffsversuch.

Die beiden Software-Plattformen GitHub und GitLab haben neue Sicherheitsfunktionen und -pakete vorgesellt: GitHub Secret Protection, GitHub Code Security und GitLab Open Source Security Hub.

Anzeige

Immer wieder kommt es zu Sicherheitsvorfällen bei den Verzeichnisdiensten, sodass diese stetig ihre Sicherheitsvorkehrungen verstärken. Für GitHub-Profis sind Secret Protection und Code Security im Prinzip nichts Neues, denn zusammen bilden beide Bausteine die altbekannte Sicherheits-Suite GitHub Advanced Security (GHAS) ab. Deren Verfügbarkeit wird nun aber neu geregelt.

Das mit monatlich 49 US-Dollar abgerechnete GHAS stand bislang nur bei GitHub Enterprise oder den Microsoft Azure DevOps-Tarifen zur Auswahl. Um GHAS für Teams aller Größen besser zugänglich zu machen, verteilt GitHub die Funktionen auf die Einzelpakete Secret Protection (monatlich 19 US-Dollar) und Code Security (monatlich 30 US-Dollar). Wer beide braucht, zahlt nicht mehr als bisher. Die neuen Bausteine lassen sich ab dem 1. April 2025 unabhängig voneinander buchen und stehen erstmals auch für GitHub Team zur Verfügung.

GitHub Secret Protection hilft dabei, das Durchsickern von Geheimnissen wie Passwörtern oder API-Schlüsseln zu verhindern, und setzt dazu unter anderem eine KI-gestützte Erkennung, anpassbare Scan-Muster und eine Benachrichtigungsfunktion ein. Mit künstlicher Intelligenz bewaffnet, macht sich auch Code Security ans Werk. Dieses Paket setzt auf Copilot Autofix, um Sicherheitslücken im Programmcode sowie in Pull-Requests aufzuspüren und zu beheben.

Admins von VMware-ESXi-Servern sollten dringend sicherstellen, dass sie eine aktuelle, gegen derzeit laufende Attacken abgesicherte Version installiert haben. Dabei setzten Angreifer an einer "kritischen" Sicherheitslücke an, um Systeme mit Schadcode zu kompromittieren.

Anzeige

Die Schwachstelle (CVE-2025-22224) und deren Ausnutzung sind seit einigen Tagen bekannt. Seitdem sind auch Sicherheitspatches verfügbar. Wie Sicherheitsforscher von Shadowserver nun in Scans zeigen, haben weltweit aber viele Admins offensichtlich bis jetzt nicht reagiert und die Installation der Updates steht noch aus. Zum Zeitpunkt dieser Meldung sind weltweit noch mehr als 41.000 Instanzen verwundbar. Davon sind knapp 2800 Server in Deutschland.

Verfügen Angreifer in einer virtuellen Maschine über Admin-Rechte, können sie aus der VM ausbrechen, um Schadcode im VMX-Prozess des Hostsystems auszuführen. Derzeit gibt es keine Informationen, wer hinter den Attacken steckt und welche Ziele betroffen sind.

In einer Warnmeldung geben die Entwickler von Broadcom an, dass die ESXi-Versionen ESXi70U3s-24585291, ESXi80U2d-24585300 und ESXi80U3d-24585383 gegen die Angriffe gerüstet sind. Darin wurden zudem zwei weitere Lücken geschlossen (CVE-2025-22225 "hoch", CVE-2025-222226 "hoch").

In der neuesten Episode des c't-Datenschutz-Podcasts "Auslegungssache" werfen Redakteur Holger Bleich und Justiziar Joerg Heidrich gemeinsam mit c't-Redakteur Sylvester Tremmel einen kritischen Blick auf ein umstrittenes Urteil des Oberlandesgerichts (OLG) Schleswig. Dieses Urteil verunsichert derzeit Unternehmen, die Rechnungen per E-Mail versenden.

Anzeige

Konkret ging es um eine Rechnung über knapp 15.000 Euro, die ein Handwerker an seinen Kunden per unverschlüsselter E-Mail geschickt hatte. Angeblich unbemerkt wurde diese Rechnung manipuliert, sodass eine falsche Kontonummer zu sehen war. Der Kunde überwies deshalb die Rechnungssumme an Betrüger, und das Geld war weg. Das Gericht gab überraschend dem Kunden recht und entschied, dass der Handwerker die Rechnung hätte Ende-zu-Ende verschlüsseln müssen. So aber hafte er gemäß Art. 82 DSGVO für den entstandenen Schaden und habe keinen Anspruch auf Zahlung der Rechnung.

Details nicht verstanden

c't-Redakteur Sylvester Tremmel in der Auslegungssache

Im Podcast zeigen sich die Experten fassungslos und üben deutliche Kritik am Urteil. Tremmel ist sich sicher, dass das Gericht technische Details offenbar nicht richtig verstanden hat: Es verwechsle Verschlüsselung mit Signatur. Während eine Ende-zu-Ende-Verschlüsselung den Inhalt einer E-Mail vor fremdem Zugriff schützt, stellt eine digitale Signatur sicher, dass die Nachricht unterwegs nicht verändert wird. Tremmel stellt klar: Verschlüsselung allein hätte den Betrug nicht zwingend verhindert, eine Signatur dagegen eher. Zudem funktioniert Ende-zu-Ende-Verschlüsselung nur, wenn beide Seiten – Sender und Empfänger – kooperieren und entsprechende Schlüssel austauschen.

Die Backuplösung Commvault ist verwundbar und Angreifer können Computer kompromittieren. Dagegen gerüstete Versionen sind verfügbar.

Anzeige

In einer Warnmeldung stufen die Entwickler die Sicherheitslücke als "kritisch" ein. Eine CVE-Nummer führen sie aber nicht auf. Bedroht sind diverse Linux- und Windows-Versionen. Die Entwickler versichern, dass sie die Schwachstelle in den Commvault-Ausgaben 11.20.216, 11.28.140, 11.32.87 und 11.36.45 geschlossen haben.

In einem nicht näher beschriebenen Angriffsszenario können Angreifer auf Webservern eine Hintertür einrichten, um sich so Zugriff zu verschaffen. Bislang gibt es keine Berichte zu Attacken. Wie Admins so eine Backdoor erkennen können, führen die Entwickler derzeit nicht aus.

Wenn Angreifer erfolgreich an einer Schwachstelle in Kibana ansetzen, können sie Systeme mit Schadcode verseuchen. Attacken sind aber nicht in jedem Fall ohne Weiteres möglich. Eine dagegen geschützte Version steht zum Download bereit.

Anzeige

Wie die Entwickler in einer Warenmeldung ausführen, sind die Versionen >= 8.15.0 und < 8.17.1 nur attackierbar, wenn Angreifer über Viewer-Role-Rechte verfügen. Als Voraussetzung für Attacken auf die Ausgaben 8.17.1 und 8.17.2 müssen Angreifer über Rechte mit diesen Privilegien verfügen: fleet-all, integrations-all, actions:execute-advanced-connectors.

Ist das gegeben, können sie durch den Upload einer präparierten Datei und das Versenden von manipulierten HTTP-Anfragen Schadcode auf Systemen ausführen. Danach sind Computer in der Regel vollständig kompromittiert. Deswegen ist die Sicherheitslücke (CVE-2025-25012) als "kritisch" eingestuft. Die Lücke schrammt mit dem CVSS Score 3.1 9.9 von 10 knapp an der Höchstwertung vorbei.

Die Entwickler geben an, die Version 8.17.3 gegen die geschilderte Attacke gerüstet zu haben. Können Admins das Update nicht umgehend installieren, sollten sie ihre Installationen mittels einer Übergangslösung schützen. Dafür müssen sie folgenden Wert in der Kibana-Konfiguration anpassen: xpack.integration_assistant.enabled: false.

Gemeinsam mit über zwanzig weiteren zivilgesellschaftlichen Organisationen richtet der Chaos Computer Club (CCC) einen Appell für eine digitale Brandmauer gegen den Faschismus an die künftige Bundesregierung. Die Netzaktivisten führen die Entwicklungen in den USA als Beispiel an, wie Datensammlung und -analyse Demokratie und staatliche Strukturen gefährden. Die Hacker stellen daher zwölf Forderungen in drei Themenbereichen an die künftige Regierung.

Anzeige

Ein klares Bekenntnis gegen Überwachung steht an erster Stelle des Forderungskatalogs. Insbesondere biometrische Massenüberwachung und Vorratsdatenspeicherung sind Netzpolitikern wie Bürgerrechtlern ein Dorn im Auge, die stets vor den negativen Auswirkungen auf Bürgerrechte warnten.

Auch die Forderungen aus dem Abschnitt "Schutz und Sicherheit für alle" sind bereits bekannt, jedoch die Probleme nicht gelöst. Das betont CCC-Sprecherin Elina Eickstädt: "Demokratie braucht sichere und vertrauliche IT-Infrastruktur für alle." Ein Recht auf Ende-zu-Ende-Verschlüsselung und die Abschaffung des Hackerparagraphen stehen demnach auf der Aufgabenliste der möglicherweise schwarz-roten Bundesregierung. Doch auch wirksamer Kinder- und Jugendmedienschutz ohne Einschränkung der Grundrechte stehen auf der Agenda.

Den digitalen öffentlichen Raum zu schützen und den Big-Tech-Unternehmen zu entreißen, steht im Mittelpunkt des letzten Forderungsblock. Dazu gehören gemäß dem CCC-Aufruf robuste Aufsichtsstrukturen – eben jene Strukturen, die "Big Tech" mittels ihres mächtigen Verbündeten im Weißen Haus bekämpfen will. Der Kampf gegen digitale Gewalt, die sich besonders gegen marginalisierte Gruppen richte, solle durch eine gesetzliche Regelung verbessert werden, so die Unterzeichner.

Der IT-Security-Fachmann Tim Philipp hat beim Bundesamt für Migration und Flüchtlinge (BAMF) eine schwerwiegende Sicherheitslücke entdeckt, die sich wegen veralteter Nutzerkonten mit recht skurrilen E-Mail-Adressen wie "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein." und insgesamt unzureichenden Schutzmaßnahmen auftat. Darüber erlangte der Experte unter Einsatz geringster Mittel rasch Administrationsrechte auf einem BAMF-System. Bei einem Cyberangriff hätte dies übel enden können: Die Behörde verarbeitet hochsensible personenbezogene Daten von Geflüchteten, darunter Informationen zu Integrationskursen, Unterbringung und familiären Beziehungen sowie biometrische Merkmale.

Anzeige

Um den Zugang zu seinen IT-Systemen zu steuern, führte das BAMF vor einigen Jahren eine "Delegierte Benutzerverwaltung (DeBeV)", erklärt Philipp in einem Bericht über seine Entdeckung. Dabei handle es sich um ein zentrales Identitätsmanagement, das über diverse Fachverfahren hinweg funktioniere. Ein öffentlich einsehbares Dokument mit Nutzungshinweisen zur DeBeV vom April 2018 habe brisante Details enthalten. Anhand von Screenshots der Web-Applikation sei ersichtlich gewesen, dass im Test- und Integrationssystem offenbar ein Account mit der Nutzerkennung "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein." existierte. Die Domain sei noch frei gewesen. Philipp sicherte sie sich für 5,97 Euro.

Weiter fand der Sicherheitsforscher in der Dokumentation einen Hinweis auf den Einsatz der "Passwort vergessen"-Funktion bei DeBeV. Um zu prüfen, ob das Mustermann-Konto noch existierte, richtete er ein sogenanntes Catch-All-Postfach ein. Damit landen sämtliche E-Mails an beliebige Adressen unter der registrierten Domain in einer zentralen Inbox. Siehe da: Wenige Sekunden nach dem Drücken auf die Vergessen-Funktion landete ihm zufolge die entscheidende E-Mail in dem Postfach – inklusive Link zum Zurücksetzen des Passworts. Ein Klick auf den Link habe genügt, um ein neues Passwort ohne weitere Authentifizierung oder Zwei-Faktor-Authentifizierung setzen zu können. Die anschließende Anmeldung sei problemlos verlaufen.

Als besonders brisant schätzt es der Autor ein, dass es ihm mit dem neu gesetzten Passwort potenziell möglich gewesen wäre, sich auch in andere IT-Fachverfahren einzuloggen. Darauf habe er "aus ethischen Gründen" zwar verzichtet. Ein Klick auf "Benutzer verwalten" habe aber eine Liste mit 200 bis 300 Nutzerkonten zutage gefördert, die dem BAMF, Kommunen und Forschungseinrichtungen zugeordnet gewesen seien. Einige Nutzer hätten demnach private E-Mail-Adressen für dienstliche Zwecke verwendet, was ein zusätzliches Sicherheitsrisiko darstelle. Der Zugriff auf den Account hätte potenziell weitreichende administrative Rechte ermöglicht, einschließlich der Möglichkeit, Passwörter anderer Konten zurückzusetzen.

In den USA haben CEOs von verschiedenen Firmen und Gesundheitseinrichtungen Erpresserbriefe per Post bekommen. Als Absender findet sich die Ransomwaregang BianLian auf den Kuverts.

Anzeige

Normalerweise verschlüsseln und kopieren Erpressungstrojaner Daten von Opfern und fordern Lösegeld in Form einer digitalen Benachrichtigung ein, welche als Textdatei auf infizierten PCs liegt. Nun berichten unter anderem Sicherheitsforscher von Guidepoint Security über eine neue Masche, bei der eine Erpresserbotschaft als Brief ins Haus von Opfern flattert.

In den auf verschiedene Firmen und Institutionen maßgeschneiderten Anschreiben behaupten die Kriminellen, sich im Zuge einer Cyberattacke Zugriff auf Computersysteme verschafft und sensible Daten von etwa Mitarbeitern oder Patienten kopiert zu haben. Die Lösegeldforderungen sollen sich auf Beträge zwischen 250.000 und 500.000 US-Dollar belaufen. Für Zahlungen findet sich ein QR-Code zu einer Bitcoin-Wallet in den Erpresserbriefen. Wird das Geld nicht bezahlt, drohen die Täter mit einer Veröffentlichung der erbeuteten Daten.

Die Sicherheitsforscher gehen aber davon aus, dass dahinter nicht die Cyberkriminellen von BianLian stecken, sondern Betrüger, die sich den Namen zu eigen machen. In welchem Ausmaß solche Briefe unterwegs sind, ob es die propagierten Attacken überhaupt gab und ob Opfer bereits gezahlt haben, ist bislang unklar.

Microsoft hat Windows 365 Disaster Recovery Plus vorgestellt. Zum jetzigen Zeitpunkt liegt das Disaster-Recovery-Tool als lizenzpflichtiges Add-on für die Windows 365 Enterprise Edition mit Preview-Status vor, ab Frühjahr 2025 soll es allgemein verfügbar sein. Mit Disaster Recovery planen Unternehmen im Voraus, wie sie den Betrieb – insbesondere im Hinblick auf Computer und Daten – nach einem unerwarteten Problem, wie einem Stromausfall oder einem Hackerangriff, wieder aufnehmen können.

Anzeige

Windows 365 Disaster Recovery Plus ist laut Ankündigung für Cloud-PCs gedacht. Die Konfiguration erfolgt über das Intune Admin Center. Administratoren sollen das Tool mit wenigen Klicks einrichten können, so Microsofts Versprechen. Voraussetzung ist bei den Clients eine Lizenz für Windows 365 Enterprise. Nach der initialen Einrichtung erstellt das System automatisch temporäre Cloud-PCs.

Windows 365 Disaster Recovery Plus lässt sich im Microsoft Intune Admin Center konfigurieren und erstellt automatisch temporäre Cloud-PCs.

(Bild: Windows IT Pro Blog)

Die Zentralstelle Cybercrime Bayern erhebt Anklage gegen einen 21-Jährigen aus Berlin. Ermittler werfen ihm vor, in großem Umfang Opfer mit Phishing um ihr Geld gebracht zu haben.

Anzeige

Die Generalstaatsanwaltschaft Bamberg teilt mit, dass dem im März 2024 Verhafteten und seitdem Einsitzenden unter anderem 149 Fälle des "gewerbsmäßigen Computerbetrugs" in der Anklage vor dem Landgericht Bamberg vorgeworfen werden. Aufgrund des Alters des Beschuldigten zu den Tatzeitpunkten wird die Anklage vor der Jugendkammer erhoben. Diese muss noch über die Zulassung der Anklageschrift entscheiden.

Ab Januar 2022 soll der Berliner sich im großen Stil von anderen ausgespähte Zugangsdaten zum Online-Banking bei Sparkassen und anderen Banken aus dem gesamten Bundesgebiet verschafft haben. Im Anschluss hat er den Strafverfolgern zufolge versucht, alleine (oder mit nur teilweise ermittelten Mittätern) die Opfer mittels SMS auf eine Phishing-Seite zu locken und dazu zu bringen, einen Registrierungslink zur Initialisierung des Push-TAN-Verfahrens weiterzuleiten. Aber auch in Telefonaten mit Opfern seien Opfer dazu gebracht worden, diese Information weiterzugeben.

In den meisten Fällen soll der Angeklagte mit dem dadurch möglichen Vollzugriff auf das Online-Konto virtuelle Debitkarten auf seinen Smartphones eingerichtet haben. Damit hat er an NFC-fähigen Bankautomaten Geld abgehoben und in Supermärkten sowie Tankstellen eingekauft, werfen die Ermittler ihm vor. Bis zur Festnahme am 7. März 2024 sind in den etwas mehr als zwei Jahren Geld und Waren im Wert von rund einer halben Million Euro zusammengekommen.

Zwei Sicherheitslücken gefährden IBM Business Automation Workflow. Aktualisierte Versionen schützen Systeme vor möglichen Attacken.

Anzeige

Mit der Anwendung automatisiert man digitale Workflows. Von den Schwachstellen sind IBM Business Automation Workflow containers, IBM Business Automation Workflow traditional und IBM Business Automation Workflow Enterprise Service Bus betroffen. Nutzen Angreifer eine Lücke (CVE-2024-7254 "hoch") erfolgreich aus, können sie Speicherfehler provozieren.

Das führt in der Regel zu Abstürzen. Oft gelangt in so einem Kontext aber auch Schadcode auf Computer und kompromittiert Systeme. In einer Warnmeldung listen die Entwickler die betroffenen und abgesicherten Versionen auf.

Die zweite Schwachstelle (CVE-2024-40094 "mittel") kann zu DoS-Zuständen führen. Derzeit gibt es von IBM keine Hinweise auf bereits laufende Attacken. Admins sollten die Sicherheitsupdates dennoch zügig installieren.