Comretix Blog

Eine prorussische Hackergruppe steht den Ermittlungen zufolge im Verdacht, für den Cyberangriff auf die Webseite der Stadt Nürnberg im Juli verantwortlich zu sein. Dabei handle es sich um die Gruppierung "NoName057(16)", teilte ein Sprecher der Zentralstelle Cybercrime bei der Generalstaatsanwaltschaft Bamberg mit. Es werde noch geprüft, ob ein Zusammenhang zu den Ermittlungen der Generalstaatsanwaltschaft Frankfurt am Main und des Bundeskriminalamts bestehe.

Die Internetseite der Stadt Nürnberg war im Juli nach einer sogenannten DDoS-Attacke über Stunden nicht mehr zuverlässig erreichbar gewesen. Bei solchen Angriffen werden Websites mit massenhaften Zugriffen so überlastet, dass sie zusammenbrechen.

Deutsche und internationale Strafverfolgungsbehörden waren Mitte Juli gegen das Hacker-Netzwerk "NoName057(16)" vorgegangen und hatten dabei ein aus weltweit verteilten Servern bestehendes Botnetz abgeschaltet, das für gezielte digitale Überlastungsangriffe auf Internetseiten eingesetzt wurde. In Deutschland erließen die Ermittler sechs Haftbefehle gegen russische Staatsangehörige beziehungsweise in Russland wohnhafte Beschuldigte. Zwei von ihnen sollen die Hauptverantwortlichen hinter der Gruppe sein.

Bei NoName057(16)" handelt es sich laut BKA um ein ideologisch geprägtes Hacktivisten-Kollektiv, das sich als Unterstützer Russlands positioniert hat und im Kontext des Russland-Ukraine-Konflikts Cyberangriffe durchführt. Seit Beginn der Ermittlungen im November 2023 soll Deutschland Ziel von 14 Angriffswellen gewesen sein, die zum Teil über Tage dauerten.

HPs Security Manager dient zur Verwaltung und Absicherung sowie zur Sicherstellung der Richtlinienkonformität von HP-Druckern in Netzwerken. Eine Schwachstelle in der Verwaltungssoftware ermöglicht Angreifern aus dem Netz, Schadcode einzuschleusen und auszuführen.

Davor warnt HP in einer Sicherheitsmitteilung. "HP Security Manager ist möglicherweise anfällig für eine Schwachstelle, die das Ausführen von Code aus dem Netz durch den Einsatz von Microsofts OLE-Datenbank-Bibliothek in Version 18.4 für Microsoft SQL Server Express sowie Microsofts SQLServer ermöglicht", schreiben die Entwickler dort kärglich.

Die Schwachstelleneinträge datieren auf den April 2024, wo Microsoft die Sicherheitslücken zum Patchday mit aktualisierter Software geschlossen hat. Die Erläuterung dort ist jedoch noch kürzer: "Microsoft OLE DB-Treiber für SQL Server Remote-Code-Ausführungsschwachstelle", schreiben die Redmonder dazu (CVE-2024-28906 / EUVD-2024-25972; CVE-2024-29044 / EUVD-2024-26091; CVSS 8.8, Risiko "hoch"). Beide verpassen jedoch die Einordnung als "kritisches" Risiko nur äußerst knapp.

Die Sicherheitslücken finden sich in den mitgelieferten ODBC-Treibern von HP Security Manager 3.13 oder älteren Fassungen. In der Version 3.14 aktualisiert HP die Drittherstellerkomponenten und stopft damit die Sicherheitslecks. HPs Security Manager lässt sich etwa auf der zugehörigen Webseite von HP in der aktuellen Version herunterladen.

Manuelle Gegenmaßnahmen nennt HP zudem für Admins, die diese Software von HP nicht aktualisieren möchten. Wo der HP Security Manager mit einer entfernten MS SQL Server- oder MS SQL Server Express-Datenbank installiert wurde, kann der MS OLE DB-Treiber entfernt oder auf Stand 18.7 aktualisiert werden. Haben IT-Verantwortliche die Datenbank lokal installiert, können sie TCP/IP als Protokoll im SQL Configuration Manager aktivieren und den OLE DB-Treiber entweder entfernen oder aktualisieren. Wo Admins den Treiberstand 18.7 herbekommen, erörtert HP jedoch nicht.

Stimmen die Voraussetzungen, können Angreifer WordPress-Websites mit dem Plug-in Dokan Pro attackieren, um Admin-Accounts zu übernehmen und Seiten zu kompromittieren.

Mit dem Plug-in setzt man Onlineshops auf, in denen sich Nutzer als Verkäufer mit eigenen Marktplatzshops registrieren können. Nun weisen Sicherheitsforscher von Wordfence in einem Beitrag auf eine mittlerweile geschlossene Sicherheitslücke (CVE-2025-5931 "hoch") hin.

Um eine Attacke einleiten zu können, müssen Angreifer aber bereits authentifiziert sein. Ist das gegeben, können sie am fehlerhaften Code, über den sich Nutzer als Marktplatzverkäufer registrieren können, ansetzen und einen neuen Nutzer mit Adminrechten anlegen. Im Anschluss können sie ein eigenes Passwort festlegen und weitreichend auf die Website zugreifen. Darüber können sie etwa Hintertüren in Onlineshops verankern.

Die Entwickler versichern, dass sie die Version 4.0.6 gegen die geschilderte Attacke abgesichert haben. Alle vorigen Ausgaben sollen verwundbar sein. Unklar ist derzeit, ob es bereits Attacken gibt. Admins von WordPress-Websites mit diesem Plug-in sollten in den Einstellungen Ausschau nach unbekannten Accounts halten. Werden sie fündig, sollten sie die Konten umgehend löschen.

Zuletzt wurden Sicherheitslücken im WordPress-Plug-in UiCore Elements mit rund 40.000 aktiven Installationen geschlossen. An dieser Stelle konnten Angreifer eigentlich abgeschottete Informationen auf Servern einsehen.

Auf Admins der Cloud-basierten Fernwartungssoftware ScreenConnect läuft eine Spear-Phishing-Kampagne. Das haben IT-Sicherheitsforscher herausgefunden. Den Angreifern geht es dabei um initialen Zugriff auf Netzwerke, um Ransomware zu platzieren.

In einer Analyse der Speer-Phishing-Kampagne erörtert Mimecast, dass die Kampagne in mehreren Läufen seit 2022 aktiv ist. Die Angreifer versendeten in den einzelnen Durchgängen stets vergleichsweise wenige E-Mails, bis zu 1000. Dadurch bleiben sie weitgehend unentdeckt. Für den Mail-Versand nutzen die kriminellen Drahtzieher Amazon Simple E-Mail-Service-Konten (SES) und zielen auf leitende ITler ab, etwa Leiter, Manager oder IT-Security-Mitarbeiter mit erhöhten Zugangsrechten in ScreenConnect-Umgebungen. Die Angreifer haben es insbesondere auf Super-Admin-Zugänge abgesehen, die weitreichende Kontrolle über die Fernzugriff-Struktur ganzer Organisationen erlauben.

Die Phishing-Mails thematisieren Log-ins von neuen IP-Adressen in ScreenConnect, die die Admins überprüfen sollten.

(Bild: Mimecast)

Die Angreifer verwenden Logos und Optik von ScreenConnect respektive Hersteller Connectwise. In den Phishing-Mails thematisieren sie etwa einen Alarm wegen Zugriffen von neuen IP-Adressen. Die Schaltfläche "Review Security" in der Mail führt dann auf die Phishing-Seiten – die ebenfalls an die Original-Optik angelehnt sind. Auch die URLs wirken auf den ersten Blick korrekt. Sie verwenden unter anderem Top-Level-Domains, die Connectwise tatsächlich nutzen könnte, wie connectwise[.]com.ar oder connectwise[.]com.be.

Unter bestimmten Voraussetzungen können Angreifer GitHub Enterprise Server attackieren und auf eigentlich abgeschottete Informationen in Repositorys zugreifen. Dagegen abgesicherten Versionen stehen zum Download bereit.

Aus einem Eintrag zur Schwachstelle (CVE-2025-8447 "hoch") geht hervor, dass die Entwickler GitHub Enterprise Server 3.14.17, 3.15.12, 3.16.8 und 3.17.5 repariert haben. Um die Lücke ausnutzen zu können, benötigen Angreifer der Beschreibung zufolge Zugriff auf bestimmte Informationen von privaten Repositorys wie Branches oder Tags. Ist das gegeben, können sie über die Compare/Diff-Funktion die Authentifizierung umgehen und Code im jeweiligen Repository einsehen.

Bislang gibt es keine Berichte, dass bereits Attacken laufen. Unklar bleibt auch, woran man bereits attackierte Instanzen erkennen kann. Admins sollten sicherstellen, dass ihre Github-Server auf dem aktuellen Stand sind.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Der brandenburgische Polizeipräsident Oliver Stepien ist offen für den Einsatz von Künstlicher Intelligenz in der Polizeiarbeit – unter bestimmten Voraussetzungen. "Wir müssen KI mit Nachdruck betreiben, weil das der Beginn einer Entwicklung ist, glaube ich, deren Umfang und abschließende Wirkung überhaupt noch nicht absehbar ist. Dem müssen wir uns stellen", sagte Stepien der Deutschen Presse-Agentur in Potsdam. "Wir müssen dafür offen sein."

Per Polizeigesetz, das bis Ende 2027 reformiert werden soll, muss die Polizei aus Sicht von Innenminister René Wilke mehr Möglichkeiten auch in Sachen KI und bei der Verwertung von Daten bekommen. "Da ist, glaube ich, noch ein Stückchen Weg vor uns, wo wir uns auch modernisieren müssen", sagte der parteilose Politiker vor Kurzem der dpa.

Zuletzt war eine Debatte um eine umstrittene Analyse-Software des US-Unternehmens Palantir zur Verbrechensbekämpfung entbrannt. Datenschützer warnen, dass sensible Daten abgezweigt werden könnten. Die Polizei in einigen Bundesländern nutzt die Software – Brandenburg nicht.

Innenminister Wilke äußerte sich zuletzt skeptisch dazu. Mit der Software namens Gotham, die in Bundesländern als angepasste Version unter den Namen Hessendata, DAR und VeRA läuft, kann die Polizei große Mengen an Daten auswerten und Verbindungen herstellen.

Die Polizei in Brandenburg nutze bislang KI beispielsweise zur Transkription von audiovisuellen Vernehmungen, aber noch keine Systeme, die etwa eigenständig Straftaten oder Straftäter an deren Verhalten erkennen könnten, so Stepien. "Für eine abschließende Strategie brauchen wir zuerst ein einheitliches Begriffsverständnis von KI, klare Rechtsgrundlagen und bestimmte Eingriffsbefugnisse." Es müssten immer auch ethische Fragen geklärt werden.

Google schränkt die freie Nutzung zertifizierter Android-Geräte ein. Ab Herbst 2026 können nur noch Anwendungen installiert werden, deren Herausgeber sich zuvor bei Google registriert und dann die jeweilige Anwendung signiert hat. Für Installationen über den Google Play Store gilt das schon seit 2023; nun wird die Anonymität auch für Sideloading abgeschafft, also für direkt am Gerät, ohne Nutzung des Play Store. installierte Programme.

Eine inhaltliche Prüfung der Software, beispielsweise auf Schadcode, führt Google dabei ausdrücklich nicht durch. Dennoch stellt Google den am Montag angekündigten Schritt als Sicherheitsmaßnahme dar. Umgesetzt wird er durch eine neue, verpflichtende Android Developer Console speziell für Sideloading. Kritiker vermuten einen Zusammenhang mit Bestrebungen von Behörden mehrerer Länder, die Öffnung Androids für alternative App-Stores zu erzwingen. Durch die Registrierungspflicht sichert sich Google auch bei diesen Einfluss erntet Daten.

Ab Oktober 2025 werden ausgewählte App-Entwickler das neue Prozedere für Google testen dürfen, im März 2026 sollen dann alle einsteigen können. Im September 2026 soll Sideloading anonymer Apps in Brasilien, Indonesien, Singapur und Thailand unmöglich werden. Ab 2027 folgt schrittweise der Rest der Welt.

Software-Herausgeber müssen im Zuge der Verifizierung personenbezogene Daten wie Name, Adresse, E-Mail-Adresse und Telefonnummer nachweisen, beispielsweise durch Rechnungskopien, und in vielen Ländern zusätzlich einen Lichtbildausweis hochladen. Für Menschen, die im deutschen Sprachraum leben, schreibt Google zudem vor, dass der Lichtbildausweis von einer Behörde im EWR oder der Schweiz herausgegeben sein muss. Wer das nicht hat, bleibt außen vor.

Juristische Personen müssen zusätzlich bei der Firma Dun & Bradstreet (D&B) eine sogenannte DUNS Nummer lösen. Das ist zwar gebührenfrei möglich, dauert aber bis zu 30 Tage. In manchen Ländern ist Expressbearbeitung gegen Gebühr möglich, was immer noch mehrere Werktage dauern kann.

Ein getarnter Malware-Strang aus der "Mirai"-Botnet-Familie hat die Aufmerksamkeit der IT-Forscher von Fortinet geweckt. Das Botnet nennen sie "Gayfemboy". Es greift Schwachstellen in Produkten von Cisco, DrayTek, Raisecom und TP-Link an. Die Malware hat einige interessante Eigenschaften.

Der Analyse von Fortinet zufolge stießen die Analysten im Juli auf ein Malware-Sample, das mehrere Schwachstellen missbrauchen kann. Die "Gayfemboy"-Kampagne ist in mehreren Ländern aktiv – Brasilien, Deutschland, Frankreich, Israel, Mexiko, der Schweiz, USA und Vietnam. Die attackierten Branchen umfassen etwa verarbeitende Industrie, Technologie, Baugewerbe, Medien und Kommunikation. Von den kontaktierten Adressen konnten sie bösartige Downloader-Skripte, Gayfemboy-Malware sowie XMRig-Coin-Miner herunterladen. Die Downloader-Skripte enthalten Hersteller- und Produktnamen wie "asus", "vivo", "zyxel" oder "realtek", die diese dann auch als Parameter in Anfragen nutzen.

Das untersuchte Sample war mit dem UPX-Packer gepackt, dessen Header "UPX!" jedoch durch nicht-druckbare Zeichen in Hexadezimalcode "10 F0 00 00" ersetzt wurde – das soll die einfache Entdeckung verhindern. Nach der Ausführung untersucht die Malware die Pfade jedes Prozesses in "/proc/[PID]/exe", um Informationen zu laufenden Prozessen und deren Orte im Dateisystem herauszufinden. Dort sucht die Malware nach bestimmten Schlüsselworten, die mit anderer Malware in Verbindung stehen – und beendet die Prozesse, um konkurrierende Infektionen zu entfernen.

Vier Hauptfunktionen hat Gayfemboy: Monitor, Watchdog, Attacker und Killer. Monitor überwacht Threads und Prozesse. Es lässt 47 Strings zu Befehlen in den Speicher und scannt alle Einträge in "/proc/[PID]/cmdline". Sofern eine Übereinstimmung vorliegt, beendet es den zugehörigen Prozess. Zu diesen Befehlen gehören etwa "ls -l", "reboot", "wget" und viele weitere. Monitor dient dem Selbsterhalt und der Sandbox-Erkennung. Wenn Gayfemboy erkennt, dass der Malware-Prozess beendet wurde, startet er ihn neu. Durch ein Delay von 50 Nanosekunden erkennt die Malware eine Sandbox – die kann mit so einem feingranuliertem Delay nicht umgehen, wodurch die aufgerufene Funktion fehlschlägt und die Malware das Ergebnis "fehlinterpretiert" und einen 27-stündigen Schlaf des Schädlings aktiviert.

Die Watchdog-Funktion registriert den UDP-Port 47272. Schlägt das fehl, nimmt die Malware an, dass eine andere Instanz des Watchdogs bereits läuft. Dann verbindet sie den Port auf localhost (127.0.0.1:47272) und sendet ein Paket mit der Angabe des Zeitstempels und der PID. Sendet die Malware diese Nachricht mehr als neunmal, ohne eine Antwort zu erhalten, schließt sie darauf, dass die Malware nicht mehr reagiert oder kompromittiert wurde und beendet sich selbst.

Ein von der Sicherheitsfirma Socket entdecktes Go-Modul führt zufällige Angriffe auf SSH-Ports durch, meldet einen Erfolg aber nicht nur dem aktuellen Nutzer, sondern auch dem Autor des Tools per Telegram. Weil die Telegram-API HTTPS verwendet, täuscht sie Sicherheitssysteme, da es sich beim Bot-Traffic um gewöhnliche Web-Requests handelt.

Das schädliche Go-Modul nennt sich golang-random-ip-ssh-bruteforce und lässt sich auf einen Cyberangreifer zurückverfolgen, der auf GitHub und im Go-Module-Ökosystem unter dem Namen IllDieAnyway zu finden ist. Seine GitHub-Seite hostete neben dem Go-Schädling weitere Tools wie einen Port-Scanner und einen Brute Forcer für das Datenbankwerkzeug phpMyAdmin – ebenfalls mit Backdoor. Mittlerweile sind die Webseiten von IllDieAnyway auf GitHub und Go-Module nicht mehr verfügbar.

golang-random-ip-ssh-bruteforce generiert kontinuierlich zufällige IPv4-Adressen und scannt damit parallel TCP-Port 22 auf ungeschützte SSH-Dienste. Dabei nutzt es HostKeyCallback: ssh.InsecureIgnoreHostKey(), um serverseitige Identitätschecks zu umgehen. Bei einem Treffer versucht der Schädling, eine Authentifizierung mit einer einfachen, lokalen Benutzername-Passwort-Liste durchzuführen. Nach einer erfolgreichen Anmeldung übermittelt golang-random-ip-ssh-bruteforce die IP-Adresse des Rechners und die Zugangsdaten an einen im Quellcode hartkodierten Telegram-Bot und meldet dem Nutzer den Erfolg. Anschließend beendet es sich selbst, um gegenüber dem Angriffspunkt möglichst verdeckt zu bleiben.

Socket hat einen Ausschnitt des Codes veröffentlicht und kommentiert:

Nach erfolgreicher Übermittlung der abgegriffenen Daten antwortet die Telegram-API mit "ok": true für eine gültige message_id für den Chat 1159678884. Der hartcodierte Austrittspunkt lautet:

Die Software cPanel dient zur Verwaltung von Konten und Webseiten bei Webhostern. Die Entwickler haben mehrere aktualisierte Fassungen veröffentlicht, die Sicherheitslücken darin schließen.

Die Sicherheitslücken stecken in Drittanbieter-Software, die cPanel und WHM mitbringen. Das Changelog zur Version 130.0.5 nennt etwa die Sicherheitslücke CVE-2024-38999, eine sogenannte Prototype-Pollution-Schwachstelle in jrburke requirejs 2.3.6. Sie erlaubt das Einschleusen und Ausführen von Schadcode oder Denial-of-Service-Attacken. Eine Einordnung des Schweregrads fehlt dem Schwachstelleneintrag jedoch.

Die cPanel-Zweige 130, 128, 126, 118 und 110 bringen außerdem eine fehlerhafte SQLite-Version mit. Eine Sicherheitslücke darin vor Version 3.50.2 kann dazu führen, dass die Anzahl der aggregierten Begriffe die Anzahl der verfügbaren Spalten übersteigt, was in unkontrollierte Speicherzugriffe mündet (CVE-2025-6965 / EUVD-2025-21441. CVSS 7.2, Risiko "hoch").

Um die Sicherheitslücken zu schließen, stellt der Hersteller die Versionen cPanel und WHM 130.0.5/6, 128.0.18, 126.0.28, 118.0.53 sowie 110.0.71 zum Herunterladen bereit. IT-Verantwortliche sollten sie zeitnah installieren, damit bösartige Akteure die dadurch ausgebesserten Schwachstellen nicht missbrauchen können.

Für die einzelnen Entwicklungszweige haben die Programmierer je ein eigenes Changelog veröffentlicht. Sie datieren auf den Donnerstag der vergangenen Woche:

IBMs Entwickler haben in QRadar SIEM zwei Schwachstellen geschlossen, über die Angreifer Systeme attackieren können. Bislang gibt es keine Hinweise auf bereits laufende Attacken.

Weil ein falsch konfigurierter Cronjob mit eigentlich unnötigen Berechtigungen ausgeführt wird, können sich Angreifer auf einem nicht näher beschriebenen Weg höhere Nutzerrechte verschaffen (CVE-2025-33120 "hoch").

Im zweiten Fall im Kontext des IBM QRadar SIEM Dashboards können Zugangsdaten leaken (CVE-2025-36042 "mittel").

Die IBM-Entwickler geben in einer Warnmeldung an, dass die Ausgaben 7.5 bis einschließlich 7.5.0 UP13 bedroht sind. Die Versionen IBM QRadar SIEM 7.5.0 UP13 IF01 und IBM QRadar Incident Forensics UP13 IF01.

Zuletzt haben die IBM-Entwickler die IT-Verwaltungssoftware Tivoli Monitoring vor möglichen Attacken gerüstet.

Das Landeskriminalamt Niedersachsen warnt vor einer kreativen und überzeugend aufgemachten Phishing-Masche. Die fängt mit gefälschter Post vom Anwalt an, die eine Gutschrift nach einem angeblichen Krypto-Werte-Betrug verspricht.

Auf dem Portal Polizei-Praevention.de des LKA Niedersachsens gehen die Beamten in die Details des Angriffs auf arglose Empfänger der Briefe. Demnach erhalten die potenziellen Opfer ein Schreiben, in dem eine (falsche) Anwaltskanzlei angibt, dass den Empfängern eine Schadenswiedergutmachung in Höhe von 50.000 Euro zustünden. Für das dafür eingerichtete Konto müssten diese sich lediglich noch legitimieren. Das LKA weist darauf hin, dass sowohl die Anwaltskanzlei als auch die im Anschreiben genannten Finanzdienstleister gefälscht sind.

Die erste Seite des gefälschten Anwaltsschreibens – das wirkt sehr authentisch.

(Bild: LKA Niedersachsen / polizei-praevention.de)

Die Masche wirkt glaubwürdig, da derzeit vermehrter Krypto-Betrug tatsächlich stattfindet. Etwa aus Call-Centern heraus finden systematisch Beutezüge statt, Europol hat davon bereits einige gefunden und schließen können. Bundesweit gibt es viele Geschädigte, die große Summen in angeblich sichere Systeme investiert haben, dabei jedoch betrogen wurden, erörtert das LKA aus Hannover.

In einer von Interpol koordinierten Aktion haben Strafverfolgungsbehörden von 18 afrikanischen Staaten fast 12.000 Netzwerke von Cyberkriminellen zerschlagen, insgesamt 1209 Personen festgenommen und fast 100 Millionen US-Dollar sichergestellt. Das hat die internationale Polizeibehörde mitgeteilt und erklärt, dass die Operation vom Juni bis August gedauert hat. Dabei sei es um die Verantwortlichen für "schwerwiegende und folgenschwere Cyberkriminalität" gegangen, beispielsweise mit Ransomware, Online-Betrug und betrügerischen E-Mails an Unternehmen. Das Vorgehen lief unter dem Namen "Operation Serengeti 2.0" und folgte der gleichnamigen Aktion vom Herbst des vergangenen Jahres.

Obwohl es sich um eine der ältesten Betrugsformen im Internet handelt, würden Scams um angebliche Erbschaften weiterhin erhebliche Gewinne einbringen, erläutert die Polizeiorganisation. In der Elfenbeinküste sei ein darauf spezialisiertes Netzwerk ausgehoben worden, das sich auf Deutschland spezialisiert habe. Es seien Hauptverdächtige festgenommen und Vermögenswerte in Form von Elektronikgeräten, Schmuck, Bargeld, Fahrzeugen und Dokumenten sichergestellt worden. Die Opfer wurden demnach dazu verleitet, Gebühren für die Inanspruchnahme falscher Erbschaften zu bezahlen. Die Verluste belaufen sich demnach auf schätzungsweise 1,6 Millionen US-Dollar.

Daten zur Operation

(Bild: Interpol)

Wie Interpol beispielhaft weiter ausführt, wurden in Angola 25 Cryptomining-Operationen ausgehoben, in denen 60 chinesische Staatsangehörige illegal Blockchain-Transaktionen validiert hätten, um Kryptowährung zu generieren. Zudem seien 45 illegale Stromquellen und Mining-Equipment im Wert von mehr als 37 Millionen US-Dollar konfisziert worden. Die Generatoren sollen nun in unterversorgten Gebieten der Stromerzeugung dienen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Anbieter von E-Mail-Diensten melden erste Erfolge bei einer gemeinsamen Aktion für mehr E-Mail-Sicherheit. Vor allem zwei technische Richtlinien des BSI sollen für eine bessere Absicherung sorgen, ohne dass die Endnutzer selbst etwas tun müssten.

Auch über 40 Jahre nach der ersten E-Mail in Deutschland ist Mail "nach wie vor der wichtigste Kanal", sagte BSI-Chefin Claudia Plattner am Freitag in Berlin. "Es ist aber leider auch das wichtigste Einfallstor für Cyberangriffe."

Von Phishing über Fake News bis hin zu Sabotageaktionen spiele E-Mail eine wichtige Rolle, sagte die BSI-Präsidentin. Die in vielen Organisationen gelebte Sensibilisierung der Nutzer sei zwar wichtig, allein aber nicht ausreichend. Genau da setze die Kampagne des BSI zur Erhöhung der E-Mail-Sicherheit an.

Deren Zwischenstand präsentierte Plattner am Freitag zusammen mit den Branchenverbänden und Bitkom. Für den Eco betont Norbert Pohlmann die Relevanz von E-Mail. Trotz aller Alternativen von Slack über Teams und Messenger sei Mail nach wie vor das Mittel der Wahl, da sie ein globaler Akteur ohne dominierende Akteure sei.

Doch bei der Sicherheit sieht Pohlmann viel Luft nach oben: "Wir haben ein echtes Problem mit unserer E-Mail-Infrastruktur." Pohlmann, der auch Inhaber einer Professur für IT-Sicherheit ist, sieht dabei auch die Unternehmen in der Pflicht, deutlich mehr zu tun.

Die PC-Reinigungssoftware Microsoft PC Manager ist in hiesigen Breitengraden noch gar nicht offiziell verfügbar, weist aber bereits eine kritische Sicherheitslücke auf. Die will Microsoft jedoch bereits geschlossen haben.

Die Rechner-Optimierungssoftware von Microsoft verspricht einfachen Zugriff auf Betriebssystemfunktionen zum Aufräumen und Optimieren des Rechners – und einige weitere Reinigungsfunktionen, die anders als kommerziell erhältliche Optimierungswerkzeuge den Betrieb von Windows und der Software nicht negativ beeinflussen sollen. Jetzt hat Microsoft jedoch eine Sicherheitsmitteilung veröffentlicht, die diese Annahme etwas trübt.

"Unzureichende Autorisierung in Microsoft PC Manager ermöglicht nicht autorisierten Angreifern, ihre Rechte über das Netzwerk zu erhöhen", schreiben die Entwickler so knapp wie kryptisch. Es bleibt vollkommen unklar, an welcher Stelle diese Autorisierung stattfindet (oder eben nicht) und wie der Missbrauch aussehen könnte – es lässt sich daher auch nicht ableiten, wie sich das erkennen lassen würde (CVE-2025-53795 / EUVD-2025-25500, CVSS 9.1, Risiko "kritisch").

Microsoft gibt keine Anweisungen, wie Betroffene sich vor der Lücke schützen können. Zur Begründung schreibt das Unternehmen: "Die Schwachstelle wurde bereits vollständig von Microsoft beseitigt. Nutzer dieses Dienstes müssen keine Maßnahmen ergreifen. Diese Mitteilung dient lediglich der Transparenz".

Es bleibt damit unklar, welche Versionen betroffen sind. Ein Link auf ein Dokument mit Bezug auf Schwachstelleneinträge zu Cloud-Diensten deutet jedoch an, dass es sich um eine Funktion handelt, die Microsoft serverseitig korrigieren konnte.

Microsoft setzt voll auf künstliche Intelligenz: Der KI-Assistent Copilot ist mittlerweile fester Bestandteil des cloudbasierten Office-Pakets M365. Viele Unternehmen nutzen diesen Dienst auch, um geheime Informationen zu be- und zu verarbeiten. Dass jedwede Zugriffe auf derlei sensible Dokumente protokolliert gehören, versteht sich von selbst. Allerdings sah Copilot das unter bestimmten Bedingungen anders. Microsoft wusste monatelang von der Lücke, behob sie jedoch erst vor wenigen Tagen. Das Unternehmen informierte weder Betroffene noch die Öffentlichkeit.

"Copilot, fasse mir bitte den Geschäftsbericht für das zweite Quartal 2025 zusammen" – so oder ähnlich könnte eine typische Anfrage lauten. Im "Audit-Log", also dem Protokoll aller Zugriffe auf Dokumente in der Microsoft-Cloud, taucht dann ein Lesezugriff auf das Quelldokument durch Copilot auf. Befragte man den virtuellen Assistenten auf eine spezielle Art zu einem in M365 gespeicherten Dokument, erzeugte das jedoch lediglich einen leeren Protokolleintrag. Um dieses Verhalten zu erzeugen, genügte die Bitte, das Dokument nicht in der Antwort zu verlinken, sondern lediglich zusammenzufassen.

Dieses seltsame Verhalten fiel Zack Korman, dem CTO eines SaaS-Startups, Anfang Juli 2025 auf. Es erschien ihm problematisch, denn nur mittels vollständiger Audit-Logs können Unternehmen ihre Sicherheits- und Compliance-Anforderungen umsetzen und sich das Abfließen von Dokumenten in unbefugte Hände erkennen. Ein allzu neugieriger oder gar von Angreifern bestochener Mitarbeiter konnte den Copilot-Fehler ausnutzen und sich unerkannt Informationen verschaffen – offenkundig sind verfälschte Protokolle ein Sicherheitsproblem.

Korman meldete sich also beim Microsoft Security Response Center (MSRC) und vertraute darauf, dass die Profis in Redmond ihren dokumentierten Ablauf einhalten, das Problem beheben und betroffene Kunden informieren würden. Seine anfängliche Euphorie wich jedoch schnell der Ernüchterung: Zwar begann das MSRC nur drei Tage nach seiner Meldung damit, das Problem nachzustellen, doch weitere drei Tage später, am 10. Juli, hatten die Techniker offenbar bereits stillschweigend eine Fehlerbehebung ausgerollt.

Das widersprach der eigenen Prozessbeschreibung – was Korman veranlasste, noch einmal bei den Redmondern anzuklopfen und den Status zu erfragen. Am 2. August meldete der Softwareriese Vollzug: Man werde zwei Wochen später, am 17. August, eine Aktualisierung für die M365-Cloud einspielen und Korman könne einen Tag später seinen Fund veröffentlichen. Als dieser nachfragte, wann er denn eine CVE-Schwachstellenkennung für die von ihm gefundene Lücke erhalte, antwortete das MSRC abschlägig. Man vergebe generell keine CVE-IDs für Lücken in Cloud-Produkten, wenn Endkunden nicht selbst handeln müssten.

Die Macher von Tails haben zwei neue Versionen im Köcher: Tails 6.19 und Tails 7.0rc2. Die 6.19er-Fassung aktualisiert im Wesentlichen zentrale Bestandteile. Der 7er-Release-Kandidat bringt kleine Verbesserungen – und ein schwankendes Release-Datum.

In Tails 6.19 sollen irrelevante Fehlermeldungen nicht mehr angezeigt werden.

(Bild: Tails)

Die Release-Ankündigung zu Tails 6.19 nennt die Aktualisierung unter anderem der zentralen Anonymisierungskomponenten. Der Tor-Browser kommt in Version 14.5.6 mit, der Tor Client hingegen in Fassung 0.4.8.17. Der Mail-Client Thunderbird ist auf Stand 128.13.0 dabei. Eine Fehlerkorrektur haben die Entwickler zudem vorgenommen. Bei der Konfiguration von Bridges in der Tor-Connection haben sie eine irrelevante Fehlermeldung entfernt, die lediglich Verwirrung stiftet.

Tails 6.19 steht als Image für USB-Sticks zum Herunterladen bereit, außerdem stellen die Maintainer ein ISO-Abbild für DVDs oder VMs zur Verfügung.

Angreifer können an zwei Sicherheitslücken in Dell Remote Access Controller (iDRAC) zum Verwalten von Servern ansetzen. Eine aktualisierte Version ist gegen mögliche Attacken abgesichert.

In einer Warnmeldung schreiben die Entwickler, dass konkret iDRAC Service Module unter Windows bedroht ist. Sie versichern, dass die Version 6.0.3.0 abgesichert ist. Alle vorigen Ausgaben sollen verwundbar sein.

Für beide Attacken benötigen lokale Angreifer bereits niedrige Nutzerrechte, Angriffe sind also nicht ohne Weiteres möglich. In beiden Fällen kann Schadcode auf Systeme gelangen und diese kompromittieren (CVE-2025-38742 "mittel", CVE-2025-38743 "hoch").

Weiterführende Details zu möglichen Angriffsszenarien gibt es derzeit nicht. Unbekannt bleibt auch, ob Angreifer die Lücken bereits ausnutzen. Um Attacken vorzubeugen, sollten Server-Admins sicherstellen, dass iDRAC auf dem aktuellen Stand ist.

Anfang August hat Dell Sicherheitslücken in der Backuplösung PowerProtect geschlossen.

In Episode 141 des c't-Datenschutz-Podcasts widmen sich Redakteur Holger Bleich und Heise-Justiziar Joerg Heidrich gemeinsam mit Dr. Sebastian Kraska den wichtigsten Datenschutzthemen für Website-Betreiber. Kraska ist Rechtsanwalt und Geschäftsführer der IITR Datenschutz GmbH, die Unternehmen bei Datenschutz und Informationssicherheit berät.

Dr. Sebastien Kraska klärt in der Auslegungssache über Datenschutz auf Websites auf.

Am Beispiel eines fiktiven Katzenfutter-Shops arbeiten die drei systematisch zentrale Anforderungen ab. Zunächst geht es um Cookie-Banner: Technisch notwendige Cookies für Warenkörbe oder Spracheinstellungen benötigen keine Einwilligung. Anders sieht es bei Tracking-Tools oder anderen nicht technisch erforderlichen Cookies aus. Hier müssen Website-Betreiber eine echte Wahlmöglichkeit bieten. Die Aufsichtsbehörden fordern dabei gleichwertige Ja- und Nein-Buttons auf derselben Ebene sowie granulare Einstellungsmöglichkeiten.

Bei der Datenschutzerklärung rät Kraska Betreibern kleinerer Websites zu Generatoren statt Eigenbauten. Die Erklärung muss transparent über alle Datenverarbeitungen informieren - von Tracking-Tools über Rechtsgrundlagen bis zu Empfängern der Daten. Je komplexer die Website, desto umfangreicher wird das Dokument. Die Datenschutzerklärung von heise.de umfasst beispielsweise etwa 14 Druckseiten, wie Heidrich anmerkt.

Ein weiteres Thema sind Datenübermittlungen in Drittländer, etwa durch Google Analytics oder eingebundene Schriftarten. Bei Google Fonts empfiehlt Kraska, die Schriften lokal zu hosten, statt von Google-Servern zu laden. So vermeidet man ungewollte Datenübertragungen. Für YouTube-Videos oder Google Maps können Overlays eingesetzt werden, die erst nach expliziter Zustimmung die Inhalte laden.

Der im Fall Modern Solution wegen strafbarer Computervergehen verurteilte Sicherheitsforscher hat nun Verfassungsbeschwerde eingelegt. Seine Anwälte halten die Verfahrensführung für unfair und sehen die verfassungsmäßigen Rechte ihres Mandanten verletzt. Die Verfassungsbeschwerde ist notwendig, weil der normale Rechtsweg ausgeschöpft ist.

Der selbstständige Programmierer hatte im Auftrag eines Dritten ein Problem mit der Software des Gladbecker Unternehmens Modern Solution GmbH & Co. KG untersucht und dabei eine Sicherheitslücke entdeckt, welche die Daten von knapp 700.000 deutschen Verbrauchern im Internet offengelegt hatte. Betroffen waren Shop-Plattformen unter anderem von Kaufland, Otto und Check24, die die Modern-Solution-Software einsetzten. Das Passwort zu dieser Datenbank war unverschlüsselt in einer ausführbaren Datei des Middleware-Produktes gespeichert und für alle Modern-Solution-Kunden gleich.

Nachdem der Programmierer die Sicherheitslücke an Modern Solution gemeldet hatte, machte er sie kurz darauf in Zusammenarbeit mit dem Betreiber eines branchennahen Blogs öffentlich. Modern Solution zeigte den Sicherheitsforscher daraufhin an, die Polizei durchsuchte seine Wohnung und beschlagnahmte sein Arbeitsgerät.

Ende Juli 2025 hatte das Oberlandesgericht Köln über die Revision des Angeklagten entschieden und das Urteil des Landgerichts Aachen vom 4. November 2024 bestätigt. Der Programmierer ist somit rechtskräftig zu einer Geldstrafe von 3000 Euro verurteilt und muss die Kosten des Verfahrens tragen.

Das Gericht sah es als erwiesen an, dass sich der Mann strafbar gemacht hatte, als er ein Passwort in der Software seines Kunden ausgelesen hatte, um Zugriff auf die dazugehörige Datenbank auf den Modern-Solution-Servern zu bekommen. Der Entwickler bestand bis zum Schluss darauf, er habe nur Zugriff auf diese Datenbank genommen, um einen Fehler in der Modern-Solution-Software zu finden, die zu Problemen bei seinem Kunden führte. Modern Solution hatte in seiner Anzeige bei der Polizei ausgesagt, der Programmierer habe dem Unternehmen Schaden zufügen wollen, da er selbst an einer Konkurrenz-Software zu dem Modern-Solution-Produkt arbeite.