Comretix Blog

IBMs IT-Verwaltungssoftware Tivoli Monitoring ist verwundbar und Angreifer können an zwei Sicherheitslücken ansetzen. Ein Update zum Schließen der Lücken steht zum Download bereit.

In einem Beitrag warnen die Entwickler, dass entfernte Angreifer in beiden Fällen (CVE-2025-3354 "hoch", CVE-2025-3320 "hoch") aufgrund von unzureichenden Überprüfungen Speicherfehler (Buffer overflow) auslösen können. Das führt zum Absturz von Servern.

Wie Attacken im Detail ablaufen können, geht aus der Warnmeldung nicht hervor. Unklar bleibt auch, ob es bereits Angriffe gibt. Die Entwickler versichern, dass sie das Sicherheitsproblem in IBM Tivoli Monitoring Service Pack 6.3.0.7-TIV-ITM-SP0021 gelöst haben.

Anfang dieser Woche hat sich IBM um Phishing-Schwachstellen in Operational Decision Manager gekümmert.

Wenn Unternehmen Microsoft Exchange hybrid lokal und online nutzen, können Angreifer unter bestimmten Voraussetzungen an einer Sicherheitslücke ansetzen und sich in Exchange Online höhere Rechte verschaffen, um dort Unheil zu stiften. Bislang gibt es keine Berichte zu bereits laufenden Angriffen, Admins sollten gleichwohl Gegenmaßnahmen ergreifen.

Dazu rät nicht nur Microsoft in einer Warnmeldung, sondern auch die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag. Die Schwachstelle (CVE-2025-53786) ist mit dem Bedrohungsgrad "hoch" eingestuft.

Davon sind Microsoft zufolge ausschließlich hybride Exchange-Instanzen bedroht. Damit Angreifer überhaupt eine Attacke einleiten können, benötigen sie administrativen Zugriff auf einen lokalen Exchange-Server. Ist das gegeben, können sie der Beschreibung der Lücke zufolge mit erweiterten Rechten auf Exchange Online zugreifen, ohne nennenswerte Spuren zu hinterlassen.

Um die Angriffsgefahr in diesem Kontext einzudämmen, müssen Admins einen im April 2025 veröffentlichten Hotfix auf ihrem lokalen Exchange-Server installieren. Im Anschluss sollten sie die Sicherheitstipps für den hybriden Betrieb befolgen. Weiterführende Informationen zum sichereren hybriden Betrieb führt Microsoft in einem Beitrag aus. Abschließend ist es noch notwendig, die keyCredentials des Erstanbieterdienstprinzipals zu bereinigen.

Weiterhin weist die CISA darauf hin, dass Admins dringend prüfen müssen, ob in Unternehmen nicht mehr im Support befindliche Exchange-Versionen und somit verwundbare Instanzen laufen, die aus dem Internet erreichbar sind. Ausgaben wie SharePoint Server 2013 und frühere Versionen bekommen nämlich keine Sicherheitsupdates mehr und müssen aus Sicherheitsgründen umgehend vom Internet getrennt werden.

Das Bundesverfassungsgericht hat ein wegweisendes Urteil zum Ausmaß der heimlichen Überwachung im Internet gesprochen. Die Polizei darf Staatstrojaner demnach nicht mehr einsetzen, wenn eine verfolgte Straftat mit einer Höchstfreiheitsstrafe von drei Jahren oder weniger geahndet wird. Im Kampf gegen "Alltagskriminalität" können Ermittler künftig also nicht mehr heimlich Software auf Computern, Smartphones oder anderen digitalen Geräten installieren, um Daten zu überwachen. Zugleich hat das höchste deutsche Gericht die gesetzliche Regelung zur heimlichen Online-Durchsuchung im Bereich der Strafverfolgung aus formalen Gründen für verfassungswidrig erklärt.

Die Karlsruher Richter argumentieren in ihrem jetzt veröffentlichten Urteil vom 24. Juni (Az.: 1 BvR 2466/19), dass der Eingriff in die Privatsphäre bei dieser Art der Überwachung sehr stark ist. Um diesen rechtfertigen zu können, muss die zu verfolgende Straftat ebenfalls von besonderer Schwere sein. Bei leichteren Delikten ist der Eingriff unverhältnismäßig. Der zuständige Erste Senat hat die entsprechenden Rechtsgrundlagen daher für nichtig erklärt.

Bei der Online-Durchsuchung bemängelt das Gericht einen rein formalen Fehler: das sogenannte Zitiergebot. Nach Artikel 19 des Grundgesetzes muss der Gesetzgeber genau angeben, welches Grundrecht er einschränkt. Bei der Online-Durchsuchung wies er aber nur auf das sogenannte IT-Grundrecht hin, nicht aber auf das separate Fernmeldegeheimnis aus Artikel 10 Grundgesetz, das ebenfalls betroffen ist. Die aktuelle Regelung bleibt laut dem Richterspruch zwar vorerst in Kraft, damit die Behörden weiter ermitteln können. Der Gesetzgeber muss sie jedoch zeitnah überarbeiten und grundsätzlich verfassungskonform ausgestalten.

Strafverfolger wie die Polizeien von Bund und Ländern dürfen prinzipiell im Rahmen ihrer alltäglichen Arbeit verschlüsselte Internet-Telefonate und Chats überwachen. Eine entsprechende Basis für die Quellen-TKÜ (Telekommunikationsüberwachung) schuf der Bundestag 2017 über eine Novelle der Strafprozessordnung (StPO) mit den Stimmen der damaligen Großen Koalition. Als Voraussetzung dafür gilt der breite Deliktkatalog aus Paragraf 100a StPO, der auch das Abhören klassischer Telefonate oder den Zugriff auf E-Mails regelt.

Die Liste fängt mit Mord und Totschlag an, reicht aber über Steuerdelikte, Computerbetrug, Hehlerei bis zum Verleiten von Flüchtlingen zum Stellen eines missbräuchlichen Asylantrags. Dieser Katalog sei zu lang und undifferenziert, hob das Verfassungsgericht nun hervor und schränkte ihn ein. Der Staat muss ihm zufolge die Verhältnismäßigkeit wahren. Er darf nicht mit dem "großen Hammer" zuschlagen, um "kleine Delikte" zu bekämpfen. Mit Blick auf den Strafrahmen einer Strafnorm liegt die besondere Schwere einer Straftat laut dem Urteil jedenfalls dann vor, wenn sie mit einer Höchstfreiheitsstrafe von mehr als fünf Jahren bedroht ist.

Check Point warnt vor einer inzwischen beseitigten MCP-Schwachstelle in der Cursor-IDE, über die Angreifer beliebigen Code auf dem Rechner eines Opfers ausführen können. Die Lücke spielt insbesondere in Mehrbenutzerumgebungen und Repositories eine Rolle.

Bei der von den Sicherheitsanalysten MCPoison getauften, das Model Contex Protokol betreffenden Schwachstelle nutzen Angreifer eine nachlässige Prüfung von Berechtigungen aus, da sich Cursor jede MCP-Anbindung nur einmal genehmigen lässt und dann nie wieder. Täter können die entsprechende Konfiguration im Nachhinein jedoch ändern und auf beliebige Befehle und andere Quellen umleiten. Speziell, wenn mehrere Nutzer Zugriff auf die Konfiguration haben, zum Beispiel in einem gemeinsamen Repository, ist das Risiko erhöht.

Cursor IDE speichert die MCP-Konfiguration in der Datei .cursor/rules/mcp.json wie beispielsweise in der folgenden Abbildung:

Eine harmlose JSON-Konfiguration

(Bild: Check Point)

Um möglichen Attacken vorzubeugen, sollten Admins Dell PowerProtect Data Domain und Unity, UnityVSA sowie Unity XT auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer unter anderem mit Root-Rechten auf Instanzen zugreifen und diese kompromittieren.

In einer Warnmeldung zu den Schwachstellen in der Backuplösung Dell PowerProtect Data Domain führen die Entwickler auf, dass vor allem Lücken in Komponenten wie Curl und PostgreSQL geschlossen wurden. Doch der Code der Anwendung war auch direkt verwundbar und Angreifer hätten Sicherheitsmaßnahmen umgehen können, um eigene Accounts anzulegen (CVE-2025-36594 "kritisch").

Weil Eingaben nicht ausreichend überprüft werden (CVE-2025-30099 "hoch"), können Angreifer sogar Schadcode mit Rootrechten ausführen. Dagegen sind die Ausgaben 7.1.0.1.60, 7.10.1.70, 7.13.1.30, 8.3.1.0 und 8.4.0.0 gerüstet.

Unity ist unter anderem ebenfalls für Schadcode-Attacken als Root anfällig. Hier schafft Unity Operating Enviroment 5.5.1 Abhilfe. Alle vorigen Ausgaben sind den Entwicklern zufolge angreifbar.

Ob es bereits Attacken gibt, ist derzeit nicht bekannt.

Forscher von Cisco Talos haben mehrere Schwachstellen in der hardwarebasierten Sicherheitslösung ControlVault entdeckt. Der Zusatzchip soll als sicherer Speicherort etwa für Passwörter, biometrische Zugangsinformationen und Sicherheitscodes dienen und steckt in mehr als 100 Laptop-Modellen von Dell.

Über die auf den Namen "ReVault" getauften Schwachstellen könnten Angreifer die ControlVault-Firmware manipulieren. Auf diesem Wege lassen sich Authentifizierungsmechanismen umgehen und die betreffenden Systeme letztlich komplett übernehmen.

Dell stuft die Gefahr als kritisch ein und hat bereits im Juni 2025 schützende Firmware-Updates bereitgestellt – heise security hat schon damals einen Alert veröffentlicht. Besitzer potenziell betroffener Geräte sollten spätestens jetzt einen Blick auf Dells Advisory werfen und sicherstellen, dass die ControlVault-Firmware auf dem neuesten Stand ist.

Im Sicherheitshinweis nennt der Hersteller angreifbare Modelle und verlinkt aktualisierte Firmware und Treiber:

Primär betroffen sind verschiedene Dell-Pro-Modelle sowie Geräte aus den Modellreihen Latitude und Precision. Je nach Modell schließen Dells ControlVault3-Versionen ab 5.15.10.14 beziehungsweise die ControlVault3 Plus-Versionen ab 6.2.26.36 die Lücken.

Angreifer können an zwei Sicherheitslücken in Adobe Experience Manager ansetzen, um Systeme zu attackieren. Die Schwachstellen sind seit April dieses Jahres bekannt, Sicherheitspatches gibt es aber erst jetzt.

Wie Sicherheitsforscher von Searchlight Cyber in einem Bericht festhalten, haben sie Adobe im April 2025 über drei Sicherheitslücken (CVE-2025-49533 "kritisch", CVE-2025-54254 "hoch", CVE-2025-54253 "kritisch") informiert. Die letztgenannte Schwachstelle ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Sind Attacken erfolgreich, können Angreifer Systeme durch das Ausführen von Schadcode vollständig kompromittieren.

Den Forschern zufolge gestaltete sich die Kommunikation als äußerst zäh, und Adobe hat teilweise in Antworten Patches für ganz andere Lücken erwähnt. Am Patchday im Juli hat Adobe dann zumindest eine Lücke (CVE-202549533) geschlossen. Ebenso führen die Forscher in ihrem Bericht technische Details zu den Lücken aus.

Nach weiteren gescheiterten Kommunikationsversuchen zum Verbleib der restlichen Sicherheitsupdates haben sich die Sicherheitsforscher gemäß dem 90-tägigen Responsible-Disclosure-Verfahren dazu entschieden, Details zu den beiden ungepatchten Lücken zu veröffentlichen. Sie haben unter anderem herausgefunden, dass der DevMode in der Apache-Struts-Komponente standardmäßig aktiv war. Das können Angreifer zur Schadcodeausführung aus der Ferne missbrauchen.

Nun hat Adobe das Notfallupdate Experience Manager Forms on JEE 6.5.0-0108 veröffentlicht, um die beiden verbleibenden Schwachstellen zu schließen. Auch wenn es Adobe zufolge noch keine Attacken gibt, sollten Admins ihre PCs zügig absichern. Schließlich ist dem Softwarehersteller zufolge Proof-of-Concept-Code in Umlauf, was zu baldigen Attacken führen kann.

Die Containerplattform Docker warnt vor Sicherheitsrisiken, die sich durch die Nutzung von MCP-Quellen ergeben und Angreifern leichten Zugriff auf Dateien, Datenbanken, Netzwerk und Secrets eröffnen. Außerdem können die Täter weitreichend Befehle absetzen und schädlichen Code einschleusen.

Der Blogbeitrag kritisiert das von Anthropic letztes Jahr eingeführte und inzwischen weitverbreitete Model Context Protokol (MCP) als auf Komfort und nicht auf Sicherheit angelegt. "Es ist zu einem Sicherheitsalptraum geworden, der Unternehmen dem Risiko von Datenverlust, Kompromittierung der Systeme und Angriffen auf die Lieferkette aussetzt." Dabei betont der Text, dass diese Annahmen nicht auf Spekulation beruhen, sondern auf der "Analyse tausender MCP-Server, die systematische Schwachstellen in sechs kritischen Angriffsvektoren aufgedeckt hat". Als Schutz empfiehlt Docker unter anderem den hauseigenen Katalog gehärteter MCP-Images.

Tatsächlich untermauert der Blogeintrag seine Annahmen mit vielen Hinweisen auf Studien von Sicherheitsfirmen, die MCP untersucht haben. Als erstes Problem nennt Docker schadhafte OAuth-Prozesse, die bösartigen Code in Clients einschleusen können. Laut der zitierten Studie sind 43 Prozent der analysierten Server davon betroffen. Ein Beispiel war ein inzwischen behobenes Problem im viel genutzten Paket mcp-remote, mit dem sich Clients bei entfernten MCP-Servern anmelden können.

Als weitere Probleme nennt Docker das Einschleusen und Ausführen von Befehlen, uneingeschränkter Netzzugriff, Zugriff auf das Dateisystem, den Missbrauch von Tools sowie das Aufdecken von Secrets. Diese finden sich unter Umständen in unsauber implementierten Umgebungsvariablen, Logfiles oder Prozesslisten.

Anwenderinnen und Anwender sollten MCP-Quellen immer genau prüfen und auch im Betrieb überwachen, welche Rechte sie einfordern und auf welche Ressourcen sie zugreifen. Bei offenen Quellen lässt sich beispielsweise nach Stichwörtern wie eval() oder exec() suchen. Die Server sollten ferner keine Credentials als Umgebungsvariablen benötigen.

Derzeit haben Angreifer zwei "kritische" Schwachstellen in Trend Micro Apex One Management Console (On-Premise) unter Windows im Visier. Ein vorläufiges Sicherheitsupdate ist verfügbar, das aber Einschränkungen mit sich bringt. Der Anbieter von IT-Sicherheitssoftware gibt an, dass sie bereits Angriffsversuche dokumentiert haben.

Konkret bedroht ist den Entwicklern zufolge Trend Micro Apex One (On-Premise) 2019 bis einschließlich Management Server Version 14039. In einer Warnmeldung versichern sie, dass die On-Premise-Version mit dem Patch FixTool_Aug2025 gegen die Attacken gerüstet ist.

Dabei handelt es sich ihnen zufolge aber um ein vorläufiges Update, das Systeme zwar schützt, aber eine Einschränkung mit sich bringt: So können Admins nach der Installation die Funktion "Remote Install Agent" zur Bereitstellung von Agenten über die Trend Micro Apex One Management-Konsole nicht mehr nutzen. Trend Micro versichert, dass der vollständige Patch ohne Einschränkungen Mitte August erscheinen soll.

In welchem Umfang die Angriffe ablaufen und woran Admins bereits attackierte Systeme erkennen können, ist bislang unklar. Die As-a-Service-Ausgabe der Schutzsoftware ist den Entwicklern zufolge seit Ende Juli abgesichert.

Den Beschreibungen der beiden Sicherheitslücken (CVE-2025-54948, CVE-2025-54987) zufolge können Attacken aus der Ferne erfolgen. Dafür müssen Angreifer aber "pre-authenticated" sein, schreiben die Entwickler. Ist das gegeben, können sie eigenen Code hochladen und ausführen. Aufgrund der kritischen Einstufung ist davon auszugehen, dass Systeme im Anschluss vollständig kompromittiert sind.

Vorsicht vor Phishingmails: Wer Add-ons für Firefox entwickelt, sollte derzeit aus Sicherheitsgründen bei E-Mails in diesem Kontext lieber zweimal hinschauen. Derzeit sind nämlich gefälschte Mails im Umlauf, über die Angreifer persönliche Daten abfischen wollen.

Davor warnt Mozilla in einem Beitrag. Sie geben an, dass Kriminelle unter dem Deckmantel von addons.mozilla.org (AMO) E-Mails verschicken. In den Mails heißt es unter anderem, dass Accounts eine Aktualisierung benötigen, um alle Entwicklerfeatures nutzen zu können. Das stimmt natürlich nicht.

Es ist davon auszugehen, dass Kriminelle über diese Masche an persönliche Daten wie Passwörter kommen wollen. Wer so eine Nachricht bekommt, sollte sich den Absender ganz genau anschauen. Kommt die Mail nicht von einer Mozilla-Domain wie firefox.com, mozilla.org oder mozilla.com liegt ein Fake nahe. Unter keinen Umständen sollte man auf Links in solchen Mails klicken und persönliche Daten auf Phishing-Websites eingeben.

In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt.

Das IT-Unternehmen Sonicwall untersucht derzeit mögliche Attacken auf seine Firewalls der Gen-7-Serie. Davor warnen mehrere Sicherheitsforscher unabhängig voneinander. Auch intern wurden eigenen Angaben zufolge Unregelmäßigkeiten dokumentiert. Möglicherweise nutzen Angreifer derzeit eine Zero-Day-Sicherheitslücke aus. Dabei handelt es sich um eine Schwachstelle, für die es noch kein Sicherheitsupdate gibt.

Nun nimmt Sonicwall zu den Berichten der Sicherheitsforscher von unter anderem Huntress Stellung. Bei den möglichen Attacken sollen Angreifer Gen-7-Firewalls mit aktivierter SSL-VPN-Funktion im Visier haben.

Die Sicherheitsforscher von Huntress geben in ihrem Bericht an, dass Angreifer durch das Ausnutzen einer Zero-Day-Lücke die Multi-Faktor-Authentifizierung (MFA) umgehen und so Ransomware auf Systeme schieben. Sie berichten, dass Angreifer nach erfolgreichen Attacken Domänencontroller übernehmen. Die Forscher empfehlen, den VPN-Service, der offensichtlich das Einfallstor ist, zu deaktivieren oder ihn nur für bestimmte IP-Adressen zugänglich zu machen.

Auch wenn derzeit noch vieles unklar ist und Sonicwall davon noch nichts konkret bestätigt hat, empfiehlt auch das IT-Unternehmen den VPN-Service temporär zu deaktivieren oder Zugriff streng zu filtern. Außerdem sollten Kunden die Sicherheitsfeatures Botnet Protection, MFA und Geo-IP Filtering aktivieren. Zusätzlich sollten Admins ihnen unbekannte Accounts umgehend entfernen.

Sonicwall erläutert, mit den Sicherheitsforschern zusammenzuarbeiten und neue Erkenntnisse umgehend mit Kunden zu teilen. Außerdem versichern sie, im Falle einer Sicherheitslücke umgehend ein Update auszuliefern. Derzeit dauern die Untersuchungen noch an.

Wer ein im Support befindliches Androidgerät besitzt, sollte sicherstellen, dass die aktuellen Sicherheitsupdates installiert sind. Andernfalls haben Angreifer mehrere Ansatzpunkte, um Attacken einzuleiten.

In einer aktuellen Warnmeldung listet Google die mit den Patch Levels 2015-08-01 und 2025-08-05 geschlossenen Sicherheitslücken auf. Am gefährlichsten gilt eine als "kritisch" eingestufte Schwachstelle (CVE-2025-48530) im System, die ausschließlich Android 16 betrifft.

An dieser Stelle schreiben die Entwickler, dass Angreifer ohne zusätzliche Nutzerrechte an der Lücke ansetzen können. Für eine erfolgreiche Attacke sei keine Interaktion seitens eines Opfers notwendig. Zur Ausführung von Schadcode aus der Ferne kann es der Beschreibung zufolge aber nur in der Kombination mit anderen Bugs kommen. Was das genau bedeutet und wie so ein Angriff ablaufen könnte, ist bislang unklar.

Setzen Angreifer an zwei Schwachstellen (CVE-2025-23331 "hoch", CVE-2025-48533 "hoch") im Framework an, können sie sich höhere Nutzerrechte verschaffen. Weitere Sicherheitslücken betreffen verschiedene Komponenten von Arm und Qualcomm. Hier sind Attacken im Kontext der Mali-GPU und des Displays vorstellbar. Welche Auswirkungen solche Angriffe haben können, geht derzeit nicht aus der Warnmeldung hervor.

Googles Entwickler geben an, dass der Sourcecode der Sicherheitspatches im Android Open Source Project (AOSP) zur Verfügung steht. Leider profitieren von den Updates nur ausgewählte Geräte, die sich zudem noch im Support befinden müssen. Neben Google veröffentlichen unter anderem noch LG und Samsung monatlich Sicherheitspatches. Weitere Informationen dazu finden sich im Kasten neben dieser Meldung.

Angreifer können Systeme mit Nvidia Triton Inference Server attackieren und im schlimmsten Fall vollständig kompromittieren. Davon sind Linux- und Windows-PCs bedroht. In den aktuellen Versionen haben die Entwickler insgesamt 17 Softwareschwachstellen geschlossen. Bislang gibt es keine Berichte zu laufenden Attacken. Admins sollten aber nicht zu lange mit dem Absichern ihrer Systeme warten.

Nvidias Triton Inference Server stellt KI-Modelle wie PyTorch und TensorFlow bereit, damit Nutzer Aufgaben wie Bildgenerierung oder Sprachübersetzung nutzen können.

Wie aus einer Warnmeldung hervorgeht, sind drei Sicherheitslücken (CVE-2025-23310, CVE-2025-23311, CVE-2025-23317) mit dem Bedrohungsgrad "kritisch" eingestuft. An diesen Stellen können Angreifer unter anderem mit präparierten HTTP-Anfragen ansetzen, um so einen Speicherfehler auszulösen. Das führt in der Regel zu Abstürzen, oft gelangt in so einem Fall aber auch Schadcode auf den Computer.

In einem Beitrag warnen Sicherheitsforscher von Wiz, dass Angreifer drei Lücken kombinieren können (CVE-2025-23319 "hoch", CVE-2025-23320 "hoch", CVE-2025-23334 "mittel"). Klappen die Attacken, greifen Angreifer zuerst auf Speicherbereiche zu, die eigentlich abgeschottet sein sollen. Dann verschaffen sie sich Zugriff auf einen Schlüssel und eignen sich Schreib- und Leserechte für einen Server an. Im letzten Schritt führen sie dann Schadcode aus.

Die Entwickler geben an, die Sicherheitsprobleme in den Ausgaben Triton Inference Server 25.05, 25.06 und 25.07 gelöst zu haben.

Angreifer können IBM Operational Decision Manager (ODM) über verschiedene Wege attackieren. In einem Fall können Systeme abstürzen. Angreifer können aber auch vertrauliche Informationen einsehen.

ODM erfasst Daten über Geschäftsentscheidungen und hilft in diesem Rahmen bei der Automatisierung und Steuerung.

Eine Schwachstelle (CVE-2023-7272 "hoch") betrifft die Eclipse-Parsson-Komponente, die JSON-Dokumente verarbeitet. Hier können Angreifer mit einem präparierten Dokument ansetzen. Öffnet ein Opfer so eine Datei, kommt es zu einem Speicherfehler, was in Abstürzen resultiert.

An der zweiten Sicherheitslücke (CVE-2025-2824 "hoch") können entfernte Angreifer für eine Phishing-Attacke ansetzen und mit hoher Wahrscheinlichkeit auf diesem Weg Zugangsdaten mitschneiden. Das gelingt über eine Open-Redirect-Attacke, bei der Angreifer Opfer auf eine von ihnen erstellte Website umleiten, die fälschlicherweise als vertrauenswürdig eingestuft wird.

Aus der Warnmeldung geht nicht hervor, ob es bereits Attacken gibt und woran Admins bereits attackierte Systeme erkennen können.

Die Techniker Krankenkasse sieht einen erfolgreichen Start der elektronischen Patientenakten (ePA), wäre aber auch für einen einfacheren Zugang zu einer aktiven Nutzung. "Wir bekommen viele Rückmeldungen von Versicherten, dass sie den Registrierungsprozess für die ePA zu kompliziert finden", sagte Vorstandschef Jens Baas der Deutschen Presse-Agentur. "Das möchten wir ändern." Baas denkt an ein Identifizierungsverfahren per Video. Dafür müssten jedoch die rechtlichen Rahmenbedingungen geändert werden.

Anfang des Jahres wurde für alle gesetzlich Versicherten, die nicht widersprochen haben, eine elektronische Patientenakte angelegt. Im April verfügten 70 Millionen Versicherte über eine ePA. Viele nutzen sie aber nicht aktiv, um eigene Daten anzusehen oder sensible Inhalte zu sperren. Fürs erste Verwenden der App muss man sich identifizieren und eine GesundheitsID erstellen: Das funktioniert entweder mit einem elektronischen Personalausweis samt PIN oder über die elektronische Gesundheitskarte und deren Pin. Nach der ersten Anmeldung ist es auch möglich, sich mit Biometrie in der ePA anzumelden – viele Krankenkassen bieten inzwischen auch Single-Sign-On an.

Die Techniker Krankenkasse (TK) würde jetzt auch gern das Videoident-Verfahren zur Anmeldung anbieten, wie Baas gegenüber der dpa sagte. Es sei komplett digital, benötige keine PIN und sei vielen Kunden aus dem Online-Banking bekannt. Dabei zeigt man in einem persönlichen Video-Chat einen Ausweis in die Kamera, wobei Sicherheitsmerkmale überprüft werden. Die Sicherheitsstandards für sensible Gesundheitsdaten sind aber generell höher als beim Online-Banking.

Ursprünglich war es möglich, sich für die Vorgängerversion der jetzigen elektronischen Patientenakte über das Videoident-Verfahren anzumelden. Nach erfolgreichen Versuchen von Sicherheitsforschern im Jahr 2022, eine Patientenakte für einen unbeteiligten Dritten anzulegen, wurde das Verfahren jedoch untersagt. Ob es zurückkommt, ist fraglich. Erst kürzlich hatte unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) erneut vor den Gefahren gewarnt, die mit videobasierten Identifikationsverfahren einhergehen. Das bringe technische und sicherheitsrelevante Herausforderungen mit sich. So könnten Identitäten mithilfe von KI generiert werden und vorgezeigte Dokumente gefälscht sein. Bereits vor dem Hype um generative KI warnten Sicherheitsbehörden vor möglichen Betrugsversuchen, die mit Videoident in Verbindung stehen.

Bei der TK loggen sich aktuell wöchentlich 70.000 Versicherte in die ePA ein, wie der Vorstandschef sagte. Insgesamt hat die größte gesetzliche Kasse elf Millionen E-Akten angelegt, aktiv nutzen sie 750.000 Versicherte. Dass es nach so kurzer Zeit eine Dreiviertelmillion seien, übertreffe die Erwartungen, sagte Baas. Die ePA sei keine Kommunikations-App, die täglich geöffnet werde. Die meisten nutzen sie unregelmäßig, etwa bei Krankheit oder vor Arztbesuchen.

Eine Sicherheitslücke im WordPress-Theme Alone macht damit ausgestattete Websites verwundbar. Angreifer nutzen die "kritische" Lücke bereits aus und führen Schadcode aus. Eine dagegen abgesicherte Version steht zum Download bereit.

Vor den Attacken warnen Sicherheitsforscher von Wordfence in einem Beitrag. Sie geben an, in der Spitze mehr als 120.000 Angriffsversuche beobachtet zu haben. Setzen Angreifer erfolgreich an der Sicherheitslücke (CVE-2025-5394) an, können sie ohne Authentifizierung aufgrund von mangelnden Überprüfungen Zip-Dateien mit Schadcode hochladen und ausführen.

Die Forscher erläutern, dass Angreifer versuchen, mit Schadcode verseuchte Plug-ins auf erfolgreich attackierten Websites zu installieren, um Hintertüren einzurichten. Admins sollten also nach ihnen unbekannten Plug-ins Ausschau halten.

Die Entwickler geben an, das Sicherheitsproblem in Alone – Charity Multipurpose Non-profit WordPress Theme 7.8.5 gelöst zu haben.

Erst im vergangenen April legte Microsoft einen Bericht vor, bei dem sich der Konzern für die Umsetzung von Maßnahmen feierte, die für mehr Sicherheit im Unternehmen und dessen Produkten sorgen sollten. "Secure by Design", "Security first" – das komplette Programm. Das war eine Reaktion darauf, dass zuvor eine offizielle Untersuchungskommission (das Cyber Safety Review Board) dem Unternehmen systematische Schlamperei bei der IT-Sicherheit nachgewiesen hatte.

Mit der Secure Future Initiative (SFI) sollte das alles besser werden und die Berichte sahen tatsächlich vielversprechend aus. Doch jetzt ist es an der Zeit, "Bullshit" zu rufen. Die SFI erwies sich als genau die potemkinsche Security-Fassade, die viele Experten befürchtet hatten.

Anlass für diese ernüchternde Bilanz sind zwei Ereignisse, die einen Blick hinter die Kulissen erlauben – und enthüllen, dass sich da gar nichts geändert hat: Microsoft schlampt bei der Sicherheit und ignoriert Security-Vorgaben, wenn es größere Gewinne verspricht.

Im Mai servierten zwei vietnamesische Sicherheitsforscher zwei kritische Sicherheitslücken in Microsofts Sharepoint-Server auf dem Silbertablett – inklusive beispielhafter Exploits, die demonstrieren, wie man damit Server komplett übernehmen kann. Nicht nur, dass Microsoft fast zwei Monate benötigte, um am 8. Juni Patches zu veröffentlichen, die diese Lücken beseitigen sollten. Der Patch für CVE-2025-49706 erwies sich als so stümperhaft, dass er sich durch das einfache Anhängen eines / an eine URL umgehen ließ. Auch der andere Patch erwies sich beim genaueren Hinschauen als dilettantischer Hotfix. Das Resultat: Mehrere Angreifergruppen nutzten diese Lücken, um Sharepoint-Server zu kapern. Sie übernahmen Hunderte von Servern und Ransomware-Banden werden noch auf Monate hinaus von diesem Reservoir an leicht zu erntenden Früchten profitieren.

Microsoft besserte am 20. Juli gezwungenermaßen nach und versorgte Sharepoint mit neuen Software-Flicken. Doch das Einspielen der neuen Sicherheits-Updates sorgte weiterhin nicht dafür, dass zuvor kompromittierte Systeme sicher wären. Dazu musste man nämlich zumindest den sogenannten MachineKey des IIS-Servers ändern. Sonst haben die Angreifer mit dessen Hilfe weiterhin Zugang. Warum das Sicherheits-Update diese unbedingt zu treffende Maßnahme nicht gleich mit angestoßen hat? Fragen Sie Microsoft! Sie werden wahrscheinlich genauso wenig Antwort bekommen, wie wir auf unsere Fragen zu dieser Sharepoint-Angelegenheit.

Dropbox Passwords wird eingestellt: Der Passwortmanager ist bereits zum 28. Oktober 2025 abgekündigt. Dann verlieren Anwender jeglichen Zugriff auf alle gespeicherten Passwörter, Benutzernamen und Zahlungsinformationen. Dropbox löscht sie direkt, eine Option zur Wiederherstellung gibt es nicht. Allerdings werden bereits am 28. August die Autofill-Funktionen eingestellt, Dropbox Passwords geht dann in den schreibgeschützten Modus über. Am 11. September schaltet der Anbieter außerdem die App für Smartphones ab.

Nutzer müssen folglich unmittelbar ihre Daten exportieren; sie erhalten hierbei eine CSV-Datei mit ihren bei Dropbox gespeicherten Informationen. Das funktioniert sowohl mit der Browser-Erweiterung als auch in der mobilen App. Der Anbieter empfiehlt als Ersatz den Dienst 1Password, allerdings lassen sich CSV-Dateien genauso bei anderen kommerziellen Passwortmanagern oder der freien Alternative KeePass importieren.

Wer in Unternehmen Dropbox Passwords einsetzt, muss zudem deutlich mehr Aufwand betreiben: Jeder Nutzer muss nämlich seine Daten selbst exportieren, eine zentrale Funktion hierfür gibt es nicht. Administratoren können lediglich überprüfen, welche ihrer Anwender den Dienst nutzen. Ist das der Fall, ist für sie in der Unternehmenskonsole ein Score vergeben. Abschließend müssen sie ihre betroffenen Nutzer über die Änderungen informieren und einen Ersatz bereitstellen. Zudem gibt es "einige Wochen" vor der Einstellung des Dienstes eine E-Mail von Dropbox an die Anwender, die ihre Daten weiterhin nicht exportiert haben.

Gleichzeitig stellt Dropbox die Dark-Web-Überwachung ein. Sie war Teil von Passwords und sollte im Darknet "Anzeichen von Kontodaten" des Nutzers finden. Wurde der Dienst fündig, wurde der Anwender benachrichtigt und konnte über den Passwortmanager neue Anmeldedaten vergeben.

Als Grund für den Schritt gibt Dropbox in der Ankündigung an, dass man sich auf "die Verbesserung anderer Features in unserem Kernprodukt […] konzentrieren" wolle. Der Anbieter hatte den Passwortmanager erst 2020 eingeführt, ein Jahr später folgte die Ausrichtung auf Business-Kunden. Als Teil der kommerziellen Tarife sollte der Dienst die Abonnements aufwerten, außerdem gab es eine funktionell beschnittene Gratisvariante. Zum Erfolg von Dropbox Passwords auf dem stark umkämpften Markt für solche Programme gab es nie Zahlen.