Comretix Blog

Die Sommerflaute nutzen die beiden Hosts des c't-Datenschutz-Podcasts für einen bunten Ritt durch die Datenschutzwelt. Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich präsentieren in Episode 139 ihre persönliche Auswahl aktueller Fälle und Entwicklungen.

Den Auftakt macht das obligatorische "Bußgeld der Woche", diesmal aus Italien: Die Autostrade per l'Italia muss 420.000 Euro zahlen, weil sie private Facebook-Posts und WhatsApp-Nachrichten einer Mitarbeiterin für ein Disziplinarverfahren verwendet hatte. Die italienische Datenschutzbehörde Garante betont, dass online verfügbare Daten nicht automatisch für jeden Zweck genutzt werden dürfen. Die Behörde sah darin einen Verstoß gegen die Zweckbindung personenbezogener Daten. Bleich und Heidrich diskutieren, ob zumindest öffentliche Social-Media-Posts tatsächlich nicht für andere Zwecke verwendet werden dürfen.

Einiges Rumoren in der Datenschutz-Community erzeugt ein Urteil des Landgerichts (LG) Leipzig: 5000 Euro Schadensersatz sprach es einem Nutzer zu, der sich von den Meta-Business-Tools im Web überwacht fühlt. Viele Website-Betreiber nutzen diese Tools, etwa in Form von Social-Plug-ins. Meta könne damit allerdings "jeden Nutzer zu jeder Zeit individuell erkennbar [machen], sobald er sich auf Drittwebseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Instagram- oder Facebook-Account angemeldet hat", so das Gericht.

Die Höhe des Schmerzensgeldes nach Art. 82 DSGVO müsse demnach über die in der nationalen Rechtsprechungspraxis etablierten Beträge hinausgehen. Das Gericht sieht eine systematische Überwachung und spricht von einem Signal gegen Meta. Die Hosts zeigen sich überrascht von der Höhe des Schadensersatzes, der ohne konkrete Schadensdarlegung allein auf Basis eines "Überwachungsgefühls" zugesprochen wurde. Dies könne für Meta tatsächlich gravierende Folgen haben, wenn sich die Ansicht des LG Leipzig an anderen Gerichten durchsetzen sollte.

Derweil gerät Microsoft in Erklärungsnot: Nachdem der Konzern vollmundig eine undurchlässige "EU Data Boundary" für die Kundschaft in der EU versprochen hatte, räumte der französische Chefjustiziar nun ein, dass US-Behörden über den Cloud-Act weiterhin auf europäische Kundendaten zugreifen können. Bleich zeigt sich wenig überrascht, aber verärgert über die irreführenden Versprechen. Ein weiteres Mal stehe die Glaubwürdigkeit von Datenschutzversprechen großer US-Tech-Konzerne in Frage.

Eine kritische Sicherheitslücke bedroht drei Produkte für den sicheren mobilen Fernzugriff (Secure Mobile Access, SMA) aus der SMA100-er Serie von Sonicwall: SMA 210, 410 und 500v.

Der Hersteller rät dringend zum zügigen Firmware-Upgrade, auch wenn es bislang noch keine Hinweise auf aktive Exploits gebe. Ein "potenzielles Risiko" bestehe; insbesondere vor dem Hintergrund, dass Googles Threat Intelligence Group kürzlich in einer Veröffentlichung auf aktuelle Attacken in freier Wildbahn hinwies, die allerdings auf ältere, schon früher bekannte Sicherheitslücken in der SMA 100er-Serie abzielen.

Ausdrücklich nicht von der aktuellen Schwachstelle betroffen sei die SMA1000er-Serie.

Verwundbar sind Firmware-Versionen bis einschließlich 10.2.1.15-81sv. Versionen ab 10.2.2.1-90sv aufwärts sind abgesichert. Einen Workaround gibt es nicht. Dringend zu beachten sind die zusätzlichen Hinweise im Abschnitt "Comments" von Sonicwalls Sicherheitswarnung mit Schritt-für-Schritt-Handlungsanweisungen, insbesondere für SMA 500v:

Die betreffende kritische Lücke mit der ID CVE-2025-40599 (CVSS-Score 9.1) kann laut Sonicwall unter bestimmten Voraussetzungen von einem entfernten Angreifer ausgenutzt werden, um beliebige Dateien auf das System zu schleusen und schlimmstenfalls Code zur Ausführung zu bringen (Remote Code Execution). Voraussetzung hierfür ist allerdings, dass er über Admin-Rechte verfügt.

Gelingt Strafverfolgungsbehörden ein größerer Schlag gegen Akteure und Infrastrukturen des Cybercrime, so ist der Rückgang der verbrecherischen Aktivitäten selten von Dauer: Nach ein paar internen Umbauten setzen sie ihre Angriffe häufig fort, als sei (fast) nichts geschehen.

So auch im Falle zweier Gruppen, die erst kürzlich zum Ziel internationaler Operationen wurden: Sicherheitsforscher haben neue Aktivitäten des berüchtigten Infostealers Lumma beobachtet, und auch die politisch motivierte russische dDoS-Gruppe (distributed Denial-of-Service) NoName057(16) attackierte schon nach wenigen Tagen Funkstille wieder munter deutsche Websites.

Parallel dazu wächst offenbar eine neue Bedrohung heran: US-Behörden haben eine gemeinsame Warnmeldung zu einer Ransomware namens Interlock veröffentlicht. Die ist zwar schon länger aktiv, soll nun jedoch ihre Aktivitäten ausgeweitet haben.

Erst Ende Mai dieses Jahres war einem Kollektiv aus Cloud- und Sicherheitsunternehmen, angeführt von Europol und Microsoft, ein empfindlicher Schlag gegen Lumma gelungen. Nachdem Microsoft allein zwischen Mitte März und Mitte Mai rund 400.000 infizierte Windows-Rechner registriert hatte, schlug das Unternehmen zu: Es leitete die Kommunikation zwischen dem Schadprogramm und den Command-and-Control-Servern (C2) der Angreifer zu eigenen Servern um (Sinkholing) und unterband so die kriminellen Aktivitäten. Außerdem wurden nach Angaben Microsofts im Austausch mit Europol ermittelte Angreifer-Domains identifiziert und beschlagnahmt.

Zur "Zerschlagung" des Lumma-Stealers, der auf infizierten Rechnern unter anderem Browserdaten, Krypto-Wallets, VPN-Konfigurationen und Dokumente im PDF- oder Word-Format abgreift, reichte das aber nicht. Sicherheitsforscher von Trend Micro haben beim gezielten Monitoring von Lumma-Aktivitäten festgestellt, dass der Informationsdiebstahl mittlerweile wieder in vollem Gange ist.

Im internationalen Kampf gegen Cyberkriminalität ist den französischen und ukrainischen Behörden offenbar ein weiterer Coup gelungen. Koordiniert durch Europol, verhafteten Beamte des SBU (Служба безпеки України, Inlandsgeheimdienst der Ukraine) und der französischen Polizei einen Mann in Kyjiw. Er habe eine Schlüsselrolle beim Betrieb des Untergrundforums XSS gespielt und über Jahre mehr als sieben Millionen Euro damit verdient, sagen die Behörden.

Der Hauptverdächtige habe nicht nur die technische Plattform verwaltet, sondern kriminelle Geschäfte ermöglicht, lautet der Vorwurf. Er habe als vertrauenswürdiger Dritter ("Escrow") Transaktionen abgesichert und Meinungsverschiedenheiten zwischen Cyberganoven geschlichtet. Für diese sogenannte Arbitrage gibt es bei XSS ein eigenes Unterforum. Durch Provisionen und Werbeeinnahmen habe er mehr als sieben Millionen Euro Umsatz erwirtschaftet.

Das Forum existiert seit mehr als 20 Jahren und wurde 2004 unter dem Namen DaMaGeLaB gegründet – der nun Festgenommene soll fast ebenso lange Verbindungen zu Cyberkriminellen gepflegt haben. Bei XSS gingen prominente Namen ein und aus – etwa der Kopf hinter der Lockbit-Ransomware, von Ermittlern als der Russe Dmitry K. identifiziert. Oder "Lumma", der oder die Erfinder der gleichnamigen Infostealer-Malware. Beide haben derzeit Hausverbot bei XSS und Ärger mit internationalen Ermittlungsbehörden.

Kurz nach Bekanntgabe der Verhaftung schien es, als sei auch das Forum nebst aller Nutzerdaten den Ermittlern in die Hände gefallen: Auf der Domain "xss.is" prangt das für derlei digitale Razzien übliche Banner der beteiligten Ermittlungsbehörden. Auch die über das Tor-Netzwerk erreichbare Onion-Adresse von XSS war am 23. Juli offline, ist mittlerweile jedoch wieder erreichbar. Im Forum herrscht jedoch Misstrauen: Viele Nutzer gehen davon aus, dass Europol die Administration übernommen hat und für eine Weile mitliest, um die Ermittlung voranzutreiben.

Das war wohl niXSS: Ermittler haben eine Domain des Untergrundforums beschlagnahmt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit dem eco-Verband und dem Bitkom das E-Mail-Sicherheitsjahr 2025 ausgerufen. Ziel des Ganzen ist, den E-Mail-Verkehr in Deutschland flächendeckend sicherer zu gestalten.

Alle Unternehmen und Organisationen werden aufgerufen, als Teil der Cybernation mitzuwirken. Unabhängig von ihrer Größe dürfen sie sich noch bis zum 15. August 2025 zur Teilnahme anmelden und sich für die Hall of Fame des BSI bewerben.

Unternehmen und Organisationen, die eine eigene E-Mail-Infrastruktur betreiben oder eine solche Kunden anbieten, werden vom BSI aufgerufen, zwei Technischen Richtlinien zum Sicheren E-Mail-Transport (BSI TR-03108) und zur E-Mail-Authentifizierung (BSI TR-03182) umzusetzen. Die beiden umzusetzenden technischen Richtlinien adressieren dabei sechs Maßnahmen:

Das BSI setzt dabei nicht voraus, dass Unternehmen und Organisationen jetzt schon alle Kriterien erfüllen. Aber das verbindliche Zugeständnis, diese bald umzusetzen und schon gestartet zu haben, reicht aus, um auf der Hall of Fame gelistet zu werden.

Zur Erklärung und Umsetzung gibt es weitere Hilfestellungen seitens der BSI Allianz für Cybersicherheit. Des Weiteren werden vom BSI Webinare, How-to-Guides, Tipps & Tricks via E-Mail, Live-Veranstaltungen, Podcasts, Kooperationsprogramme, Starterpakete, Kompetenzgruppentreffen, E-Mail-Checker, Beratungen, Messungen, Vernetzungen und Best-Practices-Austausche zwischen den Unternehmen und Organisationen angeboten. All das soll den Umstieg in eine sichere E-Mail-Umgebung gemeinsam erleichtern.

Die neue Version 141 von Mozillas Browser Firefox ist da und hat Security-Fixes im Gepäck. Auch den ESR-Versionen (Extended Support Releases) hat Mozilla Sicherheitsverbesserungen in Gestalt der abgesicherten Versionen ESR 115.26, ESR 128.13 und ESR 140.1 spendiert. Gleiches gilt für den Mail-Client Thunderbird, der jetzt ebenfalls in Version 141 sowie in den gefixten ESR-Fassungen 128.13 und 140.1 vorliegt.

Die gefährlichsten unter den geschlossenen Sicherheitslücken wurden mit "High" bewertet; Einstufungen als "kritisch" sind nicht dabei. Ein Warnhinweis des Bundesamts für Sicherheit in der Informationstechnik (BSI) fasst die Bedrohungen kurz zusammen. Demnach könnten einige der Lücken unter bestimmten Voraussetzungen aus der Ferne ausgenutzt werden, um etwa im Kontext der Software Programmcode auszuführen, Denial-of-Service-Zustände hervorzurufen oder an sensible Daten zu gelangen.

Wer sich für nähere Schwachstellen-Details interessiert, findet diese in Mozillas Advisories zu den jeweiligen neuen Versionen.

Zu den neuen Features in Firefox 141 zählen unter anderem ein KI-Assistent für die Tab-Organisation, eine bessere Anpassbarkeit der vertikalen Tableiste sowie diverse Optimierungen für einen reduzierten RAM-Bedarf. Den Details haben wir eine eigene Meldung gewidmet:

Für Googles Chrome-Browser gab es am gestrigen Dienstag ein sogenanntes Stable Channel Update auf die Versionen 138.0.7204.168/.169 (Windows, macOS) beziehungsweise 138.0.7204.168 (Linux).

Ende Juni warnte Cisco erstmals vor den kritischen Sicherheitslücken CVE-2025-20281 und CVE-2025-20282 in der Identity Services Engine (ISE) und im ISE Passive Identity Connector (ISE-PIC). Mitte Juli kam mit CVE-2025-20337 eine dritte, verwandte Lücke hinzu.

Alle drei wurden mit dem höchstmöglichen Schweregrad (10.0, kritisch) eingestuft. Angreifer können sie missbrauchen, um aus dem Netz ohne vorhergehende Authentifizierung beliebige Befehle oder Schadcode ins Betriebssystem einzuschleusen und diese(n) dann im Kontext des root-Users auszuführen.

Nun hat das Unternehmen die Sicherheitsmitteilung zu den drei Schwachstellen nochmals aktualisiert: Das interne Product Security Incident Response Team habe aktive Angriffe in freier Wildbahn beobachtet.

Wer die verfügbaren ISE-Patches noch nicht angewendet hat, sollte das jetzt nachholen. Das Release 3.4 Patch 2 ist grundsätzlich nicht bedroht; für die verwundbaren Releases nebst verschiedenen Hotpatch-Konstellationen gibt Ciscos Advisory Update-Empfehlungen zum Absichern.

Seit Veröffentlichung der ersten Fassung der Sicherheitsmitteilung hat das Unternehmen nach eigenen Angaben verbesserte, abgesicherte Releases veröffentlicht. Somit sollten auch Nutzer, die bereits gepatcht haben, noch einmal einen Blick auf die aktualisierten Informationen werfen.

In Großbritannien soll es staatlichen Einrichtungen und Betreibern kritischer Infrastruktur verboten werden, nach einem Angriff mit Ransomware Lösegeld zu bezahlen. Unternehmen, die das nicht betrifft, sollen dazu verpflichtet werden, die Regierung zu informieren, bevor sie eine solche Zahlung tätigen. Das hat die Regierung angekündigt, nachdem der öffentliche Konsultationsprozess für die Maßnahme jetzt abgeschlossen wurde. Laut der Mitteilung haben sich fast drei Viertel der Beteiligten für die Pläne ausgesprochen. Ziel des Plans ist es, das Geschäftsmodell hinter den Ransomware-Attacken ins Visier zu nehmen und öffentliche Einrichtungen zu einem weniger interessanten Ziel zu machen.

Das Verbot der Lösegeldzahlung würde demnach etwa für das staatliche Gesundheitssystem in Großbritannien, Kommunalverwaltungen und Schulen gelten, erklärt die Regierung. Unternehmen, die nicht darunter fallen und die eine Zahlung planen, sollen beraten und eventuell gewarnt werden, wenn sie damit möglicherweise gegen Sanktionen verstoßen würden. Das könnte der Fall sein, wenn das Geld an eine der vielen Ransomware-Gruppen geht, die aus Russland kommen. Zudem bereite man eine Berichtspflicht vor, die es den Strafverfolgungsbehörden erleichtern würde, gegen die Verantwortlichen solcher Schadsoftware vorzugehen.

In der Mitteilung drängt die Regierung die unterschiedlichen Organisationen im Land auch erneut, mehr für die Cybersicherheit zu tun. Dazu gehörten offline vorgehaltene Backups, Pläne für einen längeren Betrieb ohne IT und eine "gut eingeübte Praxis bei der Wiederherstellung von Daten aus Backups". Cyberkriminalität, etwa mit Ransomware, habe Schäden in Milliardenhöhe verursacht und gefährde auch Menschenleben. Erst vor Kurzem wurde öffentlich gemacht, dass ein Cyberangriff erstmals zum Tod eines Menschen beigetragen hat. Der hatte nachweislich zu einer Verzögerung der Patientenversorgung und damit zu dem Todesfall geführt.

Lösegeldzahlungen nach Angriffen mit Ransomware sind 2024 merklich zurückgegangen, hat Anfang des Jahres ein Blockchain-Analysefirma ermittelt. Chainalysis hat dafür Maßnahmen von Strafverfolgungsbehörden, eine bessere internationale Zusammenarbeit und die häufigere Zahlungsverweigerung verantwortlich gemacht. Vor allem letztere möchte London nun weiter vorantreiben. Aber auch die geringe Zuverlässigkeit der Kriminellen hat wohl dazu beigetragen, die Opfer können einfach nicht davon ausgehen, dass sie nach der Zahlung ihre Daten zurückbekommen. Das war das Ergebnis einer Studie vor einem Jahr. In der hieß es damals auch, dass ein Verbot solcher Zahlungen bis dahin keinen merklichen Effekt gehabt hatte.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Microsoft hat drei verschiedene Gruppen aus China ausgemacht, die aktuelle Toolshell-Angriffe auf Sharepoint-Server durchgeführt haben. Zwei dieser Gruppierungen stehen laut Softwarekonzern mit der chinesischen Regierung in Verbindung. Die Angreifer haben demnach die schwere Sicherheitslücke "Toolshell" in selbst gehosteten Versionen von Microsoft Sharepoint ausgenutzt und könnten dabei sensible Daten und Kennwörter erbeutet sowie Zugriff auf angeschlossene Systeme erlangt haben.

Erst vor wenigen Tagen wurde diese zuvor unbekannte Sicherheitslücke in den On-Premise-Versionen von Sharepoint festgestellt, für die zunächst kein Patch verfügbar war. Mittlerweile hat Microsoft die ersten Patches für Toolshell veröffentlicht, doch offenbar wurden schon am Wochenende 100 Organisationen kompromittiert. Nach ersten Ermittlungen der Sicherheitsfirma Check Point waren Dutzende Regierungseinrichtungen sowie Telekommunikations- und Softwarefirmen in Nordamerika und Westeuropa Ziel dieser Attacken.

Zu den ersten Angreifern zählt Microsoft die beiden chinesischen Gruppen "Linen Typhoon" und "Violet Typhoon", die demnach von der Regierung in Peking unterstützt werden und die Schwächen in Sharepoint-Servern mit Internetverbindung ausgenutzt haben. Als weitere Gruppierung aus China nennt Microsoft "Storm-2603", die entsprechende Toolshell-Angriffe durchgeführt haben. Die Untersuchungen dauern allerdings noch an, um weitere Angreifer identifizieren zu können. Microsoft rechnet mit weiteren Attacken auf nicht gepatchte Sharepoint-Systeme, sodass Updates dringlich eingespielt werden sollten.

Allerdings ist Patchen nicht genug nach Angriffen auf Microsoft Sharepoint. Denn gegen aktuelle Toolshell-Attacken könnte das Schließen der Lücken nicht ausreichen, wenn die Angreifer bereits in das System gelangt sind. Es ist deshalb unabdingbar festzustellen, ob tatsächlich ein Angriff erfolgte und vielleicht sogar Erfolg hatte. Microsoft empfiehlt zum Aufspüren den eigenen Defender Antivirus sowie das "Antimalware Scan Interface" (AMSI), aber Anwender sollten zusätzlich die Maschinenschlüssel für ASP.NET der Sharepoint-Server ändern und die "Internet Information Services" (IIS) neu starten.

Die Cybersicherheitsbehörde der USA, die CISA, hat die Sharepoint-Lücke mittlerweile in ihren Katalog bekannter und ausgenutzter Sicherheitslücken aufgenommen. Diese als CVE-2025-53770 geführte Schwachstelle ermöglicht das Ausführen von fremdem Code auf den angegriffenen Systemen. "Diese als 'Toolshell' bezeichnete Angriffsaktivität ermöglicht unauthentifizierten Zugriff auf Systeme und ermöglicht böswilligen Akteuren den vollständigen Zugriff auf SharePoint-Inhalte, einschließlich Dateisystemen und internen Konfigurationen sowie die Ausführung von Code über das Netzwerk", schreibt die CISA.

Die aktuell beobachteten Angriffe auf SharePoint-Server nutzen eine bis 20. Juli 2025 unbekannte Lücke in lokalen Installationen von Microsoft Sharepoint aus (CVE-2025-53770). Da es bis vor Kurzem kein Update gab, mit dem man sich schützen konnte – es handelte sich um eine Zero-Day-Schwachstelle – konnten die Angreifer die verwundbaren Systeme nach Belieben übernehmen und sich dort einnisten. Dieses Problem wird auch durch das Einspielen der Patches nicht beseitigt; Angreifer könnten auch danach Zugriff auf den Sharepoint-Server und weitere Systeme haben.

Wir beschreiben, wie die Angreifer bei ihren bisherigen Angriffen vorgegangen sind, welche Spuren sie dabei hinterlassen haben und wie man die gezielt aufspüren kann, um sich Gewissheit zu verschaffen, ob das eigene Unternehmen betroffen ist. Anschließend geben wir Tipps für die gezielte Suche und Reinigung betroffener Systeme. Wer die Zusammenfassung überspringen möchte, liest direkt bei "Was Betroffene jetzt tun sollten" weiter.

Angreifer nutzen eine Kombination mehrerer Schwachstellen aus, um ohne Authentifizierung beliebigen Code auf SharePoint-Servern auszuführen. Dabei wird über speziell präparierte HTTP-Anfragen eine ASPX-Webshell ins SharePoint-Dateisystem geschrieben, die anschließend für beliebige Befehlsausführung genutzt werden kann. Die bekannteste Kampagne nutzt eine Webshell mit dem Namen spinstall0.aspx. Daneben beschrieb Palo Alto Networks mindestens zwei weitere Exploit-Varianten – darunter Varianten mit leicht abgewandelten Namen, dem Einsatz von sleep() sowie dem Ablegen von Konfigurationsdaten in Dateien wie debug_dev.js.

Die ausgenutzte Schwachstelle betrifft ausschließlich On-Premises-Installationen von SharePoint. Cloud-basierte Varianten wie SharePoint Online (Microsoft 365) sind nicht betroffen. Warum diese nicht anfällig sind, ist derzeit nicht bekannt.

Trotz der öffentlichen Warnungen sind weiterhin hunderte verwundbare SharePoint-Systeme im Internet erreichbar. Listen mit bereits kompromittierten Systemen zirkulieren in einschlägigen Kreisen – samt der zugehörigen Webshells, die öffentlich erreichbar und benutzbar sind. Es ist davon auszugehen, dass diese Systeme eher früher als später ungebetenen Besuch bekommen.

Frische Hotfixes für die Sophos Firewall schließen insgesamt fünf Sicherheitslücken, von denen zwei als "kritisch", zwei mit einem hohen und eine mit mittlerem Schweregrad bewertet wurden. Sie könnten unter bestimmten Bedingungen zur Codeausführung aus der Ferne missbraucht werden – in zwei Fällen ohne vorherige Authentifizierung.

Verwundbar sind die Versionen v21.0 GA (21.0.0) und älter (CVE-2024-13974, CVE-2024-13973) sowie die Versionen v21.5 GA (21.5.0) und älter (CVE-2025-6704, CVE-2025-7624, CVE-2025-7382).

Dass die kritischen Schwachstellen CVE-2025-6704 und CVE-2025-7624 laut Sophos nur 0,05 beziehungsweise 0,73 Prozent aller Geräte betreffen, sollte niemanden davon abhalten, die bereitgestellten Aktualisierungen zügig anzuwenden. In der Standardeinstellung der Firewall ("Allow automatic installation of hotfixes") passiert das Update laut Sophos bei unterstützten Versionen automatisch. Dennoch ist es dringend ratsam, der bereitgestellten Anleitung zum Prüfen der Firewall auf die aktuellen Hotfixes zu folgen.

Zusätzliche Details zur Zuordnung zwischen Firewall-Versionen und erforderlichen Hotfixes sowie zu den Sicherheitslücken nennt das Sophos-Advisory.

Das Team hinter der Open-Source-Schutzsoftware CrowdSec hat aktive Angriffe über zwei Schwachstellen registriert, die hunderte Multifunktionsdrucker-Modelle verschiedener Hersteller betreffen.

CVE-2024-51977 und CVE-2024-51978 sind bereits seit Ende Juni bekannt – heise online hat damals berichtet. Neu ist jedoch, dass tatsächlich Exploit-Versuche stattfinden. Wer die bereits seit einigen Wochen verfügbaren Firmware-Updates sowie die zusätzlich empfohlenen Sicherheitsmaßnahmen noch nicht eingespielt beziehungsweise ergriffen hat, sollte dies spätestens jetzt nachholen.

Zu den potenziell verwundbaren Geräten gehören mindestens 689 verschiedene Multifunktionsdrucker, Scanner und Etikettendrucker von Brother, 46 Druckermodelle von Fujifilm, fünf Drucker von Ricoh, zwei Modelle von Toshiba und sechs Geräte von Konica Minolta.

Das Rapid7-Team hat die derzeit ausgenutzten Schwachstellen entdeckt. Das Team beschreibt sie zusammen mit weiteren, dieselben Geräte betreffenden Lücken in einem Blogeintrag. Zu aktiven Angriffen auf die übrigen Schwachstellen ist nichts bekannt.

CrowdSecs Intrusion Prevention System analysiert Angriffe böswilliger IP-Adressen, um diese später gezielt erkennen und blockieren zu können. In diesem Zusammenhang entdeckte das Team laut Mitteilung eine "breit angelegte Scan-Kampagne" nach Druckern, die im Netzwerk erreichbar und von CVE-2024-51977 als initialem Einfallstor betroffen sind.

Passkeys sind ein in der IT-Security seltener Glücksfall. Sie machen etwas deutlich sicherer, nämlich das Anmelden bei Internetdiensten. Anders als üblich wird dies aber nicht komplizierter, sondern für den Nutzer sogar bequemer. Im Idealfall genügt ein Fingerabdruck oder ein Blick in die Kamera. Und zwar ohne dabei seine biometrischen Daten an irgendwelche Datenkraken auszuliefern. Das ist so etwas wie der Sechser im Lotto. Theoretisch jedenfalls, in der Praxis fällt der Gewinn dann doch kleiner aus.

Der größte Stolperstein auf dem Weg zum Hauptgewinn ist bisher der Vendor-Lock-in: Passkeys leben in den Ökosystemen der großen Anbieter Apple, Google und Microsoft. Innerhalb derer werden sie auch automatisch über Gerätegrenzen hinweg synchronisiert: Mein auf dem iPhone erstellter Passkey für Dienst XYZ funktioniert quasi sofort auch auf meinem MacBook. Ich kann mich dort sofort mit einem Fingerabdruck anmelden (der dabei übrigens nur lokal verwendet wird). Aber wenn ich mich auf meinem Windows-Arbeitsplatz bei XYZ anmelden will, schaue ich in die Röhre. Das ist schlicht nicht vorgesehen.

Doch da zeichnet sich Besserung ab: Apple stellt offiziell Funktionen zum Im- und Export von Passkeys vor, die genau das ermöglichen sollen. Das ist auch kein Alleingang, sondern ist eingebettet in eine Initiative der FIDO-Allianz, die mit dem Credential Exchange Protocol (CXP) und Credential Exchange Format (CXF) die notwendigen Standards dafür schuf. Und Google baut offenbar ebenfalls schon Import-/Export-Funktionen für Passkeys in Android ein. Auch wenn es da noch keine offizielle Timeline gibt – das ist ein gutes Zeichen.

Fehlt also einmal mehr nur noch Microsoft. Die hinkten bei den Passkeys bereits mehrfach hinterher – etwa mit dem Versprechen, diese nur Ende-zu-Ende-verschlüsselt zu synchronisieren, ohne dass eine Kopie bei Microsoft landet. Doch angesichts der Tatsache, dass auch sie die Integration mit Android und iPhones benötigen, rechne ich nicht damit, dass sie sich da querstellen. Oder, Microsoft? Oder?

HPE Aruba Networking hat eine Sicherheitswarnung für seine "Instant On" Access Points veröffentlicht. Das Unternehmen warnt darin vor zwei Schwachstellen, von denen eine als kritisch eingestuft wurde.

Nutzer sollten sicherstellen, dass ihre Access-Point-Software auf dem aktuellen Stand ist: Versionen ab 3.2.1.0 sind abgesichert. Laut HPEs Security Advisory sollte die Aktualisierung in der Standardkonfiguration bereits automatisch erfolgt sein; bei Bedarf ist aber auch ein manuelles Upgrade über die Instant-On-App oder das Web-Portal möglich. HPE Networking Instant On Switches sind von den Schwachstellen nicht betroffen.

HPEs Security Advisory nennt Details zu den Schwachstellen. Demnach basiert CVE-2025-37103 (CVSS-Score 9.8, "critical") auf fest hinterlegten Login-Daten. Ein entfernter Angreifer mit Kenntnis dieser Credentials könnte sich mit Admin-Rechten anmelden und so die Kontrolle übernehmen.

CVE-2025-37102 (7.2, "high") erlaubt das Einschleusen von Befehlen aus der Ferne über die Kommandozeile – allerdings müsste der Angreifer hierfür bereits über erweiterte Zugriffsrechte verfügen.

Für die kritische Sicherheitslücke CVE-2025-53770 mit dem Spitznamen "Toolshell" gibt es nun weitere Patches. Microsoft veröffentlichte eine Aktualisierung für SharePoint Enterprise Server 2016 sowie für die englischen Sprachpacks dieser und der 2019er-Edition. Damit sind alle aktuell unterstützten SharePoint-Versionen geflickt – was bitter nötig war: Groß angelegte Angriffskampagnen laufen bereits seit Tagen.

Das Microsoft Security Response Center (MSRC) pflegt einen ausführlichen Überblicksartikel zur Toolshell-Lücke und kündigte dort am Montag die Sicherheitsaktualisierungen an. Die folgenden Updates sind jetzt über Microsoft Update, den Microsoft Update-Katalog oder das Microsoft Download Center erhältlich.

Der Satz gerinnt beinahe zur Floskel, dennoch: Administratoren von "on-premises", also im Unternehmen betriebenen SharePoint-Servern sollten die Aktualisierungen zügig einspielen. Angriffskampagnen laufen bereits und Berichten zufolge sind über 100 Organisationen kompromittiert.

Doch mit dem Update ist es nicht getan, denn der SharePoint-Server könnte bereits erfolgreich von Angreifern übernommen worden sein. Daher drängt Microsoft auf zusätzliche Maßnahmen:

Eine umfangreiche Liste mit "Indicators of Compromise", also Hinweisen auf einen erfolgreichen Angriff, pflegt das Sicherheitsunternehmen Eye Security in seinem Blogartikel zu der Toolshell-Lücke. So sollten Systemverwalter nicht nur verdächtige Dateinamen, sondern auch bestimmte HTTP-Anfragen (wie etwa POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx)und -User-Agents im Auge behalten. Der Sicherheitsforscher Florian Roth weist zudem darauf hin, dass diese Indikatoren sich bei der nächsten Angriffswelle ändern könnten.

Noch bevor Microsoft die ersten Patches für die schwere Sicherheitslücke "ToolShell" in selbst gehosteten Versionen von Sharepoint veröffentlicht hat, sind die Installationen von etwa 100 Organisationen kompromittiert worden. Das berichtet die Nachrichtenagentur Reuters unter Berufung auf das Sicherheitsunternehmen Eye Security, das die Lücke publik gemacht hat und die Angriffe darauf analysiert. Derweil ergänzt die Washington Post unter Berufung auf Googles Sicherheitsabteilung Mandiant, dass mindestens einer der Akteure, die für die erste Angriffswelle verantwortlich waren, nach China zurückverfolgt worden sei. Die meisten kompromittierten Installationen haben sich einer dieser ersten Analysen zufolge in den USA und Deutschland befunden.

Das Vorhandensein der kritischen Sicherheitslücke in den on-premise-Versionen von Sharepoint wurde am Wochenende von Microsoft publik gemacht. Schon da erklärte der US-Konzern, dass man von Angriffen auf die verwundbaren Server wisse, einen Patch gab es anfangs aber nicht. Microsoft erklärte lediglich, dass man sich mit "Microsoft Defender Antivirus" schützen solle. Später waren für zwei Sharepoint-Versionen die ersten Updates verfügbar gemacht worden, deren Installation alleine reicht aber nicht für eine Absicherung. Microsoft weist ausdrücklich darauf hin, dass nach dem Update in jedem Fall die ASP.Net "Machine Keys" rotiert werden müssen, was mit einem IIS-Neustart einhergeht.

Während Microsoft, die Verantwortlichen der Sharepoint-Installationen und die IT-Sicherheitsbranche weiter mit der Absicherung beschäftigt sind, läuft die Suche nach denjenigen, die sich die Lücke zunutze gemacht haben. TechCrunch zitiert einen IT-Sicherheitsexperten, der beobachtet hat, dass sich die ersten Angriffe gegen eine vergleichsweise kleine Zahl von Zielen gerichtet haben. Nach dem Bekanntwerden der Lücke dürften sich längst viel mehr an den Angriffsversuchen beteiligen. Mehrfach war die Rede von etwa 9000 bis 10.000 verwundbaren Sharepoint-Instanzen vor der Verfügbarkeit der Patches. Zu den ersten Opfern gehörte ein großes Energieunternehmen und mehrere Regierungseinrichtungen in Europa, zitiert die Washington Post noch Erkenntnisse von Eye Security.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Wer CrushFTP für den Datentransfer nutzt, sollte die verwendete Version auf Aktualität prüfen. Das Entwicklerteam hat am vergangenen Freitag Angriffe in freier Wildbahn auf ältere Ausgaben entdeckt, die schlimmstenfalls zu einer Übernahme des Admin-Accounts durch Angreifer führen könnten.

Verwundbar sind laut Advisory der CrushFTP-Entwickler vor Anfang Juli erschienene Versionen. Konkret: die Versionen 10 bis exklusive 10.8.5 sowie Versionen ab 11 bis exklusive 11.3.4_23. Abgesichert sind dementsprechend alle Versionen ab 10.8.5 beziehungsweise 11.3.4_23 aufwärts. Bei aktiviertem DMZ-Proxy-Feature sei die Software grundsätzlich nicht verwundbar.

Die angegriffene Schwachstelle mit der ID CVE-2025-54309 hat einen CVSS-v3-Basescore von 9.0 (kritisch). Sie fußt laut knapper Beschreibung auf einem Validierungsfehler und kann via HTTPS missbraucht werden, um Admin-Zugriff zu erlangen. Laut CVSS-Vektorstring ist für einen Angriff weder eine Nutzerinteraktion noch eine vorherige Authentifizierung seitens des Angreifers erforderlich; allerdings wird die Angriffskomplexität als hoch beschrieben.

Wer die schützenden Updates versäumt hat und bereits kompromittiert wurde beziehungsweise dies annimmt, findet im CrushFTP-Advisory Kompromittierungsindikatoren, Handlungsempfehlungen sowie einige präventive Maßnahmen für die Zukunft.

Die sehr knappe Angriffsbeschreibung erinnert übrigens an frühere Angriffe auf CrushFTP Ende letzten sowie im Laufe des aktuellen Jahres. Zuletzt sorgten aktive Angriffe auf CrushFTP im April für Schlagzeilen bei heise Security: Auch damals konnten (bei ausgeschalteter DMZ-Funktion) Authentifizierungsmechanismen umgangen werden.

Seit rund einem Jahrzehnt stellt Microsoft die Azure-basierte Cloud-Infrastruktur des US-Verteidigungsministeriums (Department of Defense, DoD) bereit. Eine Recherche der US-Organisation ProPublica enthüllte nun, dass der Konzern dabei wohl grob fahrlässig mit hochsensiblen Regierungsdaten umging: Die Betreuung der Infrastruktur überließ er auch Technikern aus Nicht-US-Ländern – unter anderem aus China. Kontrolliert wurde deren Arbeit offenbar nur oberflächlich aus der Ferne – von sogenannten "Digital Escorts", US-Bürgern mit entsprechender Sicherheitsfreigabe.

Ob dabei Daten ausspioniert wurden oder Schäden etwa durch eingeschleusten Schadcode entstanden, ist bisher nicht bekannt. Unklar bleibt auch die Dimension der Vorgänge, also etwa die Anzahl der involvierten chinesischen IT-Fachkräfte.

ProPublicas Rechercheergebnisse wurden am vergangenen Freitag zunächst von einem Microsoft-Sprecher indirekt bestätigt: Auf X versicherte Frank X. Shaw, dass der Konzern die Beteiligung chinesischer Entwickler an der Betreuung der DoD-Regierungscloud und "verwandter Services" gestoppt habe. Als Grund für den Stopp nannte er "Bedenken", die bezüglich der Beteiligung ausländischer ITler aufgekommen seien.

Eine weitere Bestätigung in deutlich drastischeren Worten folgte kurz darauf von US-Verteidigungsminister Pete Hegseth auf X. Er sprach von "billiger chinesischer Arbeit" ("cheap chinese labour"), deren Inanspruchnahme "offensichtlich inakzeptabel" sei und die eine potenzielle Schwachstelle in den DoD-Computersystemen darstelle. Ab sofort sei China nicht mehr am Betrieb der DoD-Cloud beteiligt, zudem sei eine Untersuchung eingeleitet worden.

Ganz nebenbei machte Hegseth in seiner kurzen Ansprache die Obama-Regierung mitverantwortlich, da diese den ursprünglichen Cloud-Deal ausgehandelt habe. Microsoft wiederum nannte er nicht namentlich; stattdessen sprach er allgemeiner von "einigen Tech-Firmen". Laut ProPublica ist indes nicht bekannt, ob auch andere für die US-Regierung tätige Cloud-Provider wie Amazon Web Services oder Google Cloud ebenfalls auf Digital Escorts setzen. Auf Anfrage hätten diese sich nicht äußern wollen.

Microsoft gibt keine Garantie, dass EU-Daten nie an die US-Regierung weitergegeben werden: Das sagte Anton Carniaux, Chefjustiziar von Microsoft France, bei einer Anhörung vor dem französischen Senat des Parlaments aus. Konkret ging es um Daten, die Microsoft von der Union des Groupements d'Achats Publics (UGAP) erhält, der zentralen Beschaffungsstelle des öffentlichen Sektors für Schulen, Rathäuser und kommunale Verwaltungen. Auf die Frage, ob der Konzern niemals deren Informationen an die US-Regierung ohne ausdrückliche Zustimmung der französischen Behörden übermitteln würde, antwortete Carniaux, dass er das unter Eid nicht garantieren könne.

Allerdings fügte er hinzu, dass die Situation noch nie eingetreten sei. Carniaux führte aus, dass Microsoft Informationsanfragen der USA nur dann ablehnen könne, wenn sie formal unbegründet sind. Entsprechend würde Microsoft die Gültigkeit aller Anfragen sehr genau überprüfen – die US-Regierung könne keine Anfragen stellen, die nicht genau definiert sind. Doch bei korrekten Anfragen müsse Microsoft auf jeden Fall seiner Verpflichtung nachkommen und die angefragten Daten weitergeben. Der Konzern wolle ferner die betroffenen Kunden hierüber informieren, müsse bei den US-Behörden jedoch erst um eine Erlaubnis hierzu bitten.

Die schwere Sharepoint-Sicherheitslücke "ToolShell" hält Microsoft-Admins und Sicherheitsexperten weiter in Atem. Der Softwarekonzern hat nun erste Patches für die on-premise-Versionen seines Kollaborationswerkzeugs bereitgestellt. Doch Administratoren müssen weitere Maßnahmen ergreifen, um mögliche Hintertüren zu beseitigen.

Für die beiden betroffenen Major-Versionen Sharepoint Enterprise Server 2016 und Sharepoint Server 2019 hat Microsoft jetzt Updates bereitgestellt. Die fehlerbereinigte Version Sharepoint Enterprise Server 2016 16.0.5508.1000 und Sharepoint Server 2019 16.0.10417.20027 stehen auf den Hilfeseiten des Konzerns bereit. Microsoft weist ausdrücklich darauf hin, dass nach dem Update in jedem Fall die ASP.Net "Machine Keys" rotiert werden müssen, was mit einem IIS-Neustart einhergeht. Auf den Hilfeseiten zu ToolShell finden sich entsprechende Powershell-Commandlets. Microsofts Cloudangebote sind nicht betroffen, lediglich "On-Premise"-Installationen sind gefährdet. Deren Admins sollten unverzüglich handeln.

Auch die US-Cybersicherheitsbehörde CISA warnt mittlerweile in ihrer "Known Exploited Vulnerabilities Database" vor der Sicherheitslücke und hat einen eigenen Überblicksartikel verfasst, der im Wesentlichen auf Microsofts Hinweisen beruht. Anweisungen der CISA sind für US-Behörden bindend. Das Sicherheitsunternehmen Eye Security hält in seinem Blog eine ausführliche Analyse nebst Zeitstrahl vor – demnach begann die Ausnutzung der Lücke in der Nacht vom 18. auf den 19. Juli und Dutzende Systeme sind "geownt".

Bei der Sicherheitslücke mit der CVE-ID CVE-2025-53770 handelt es sich um eine Variante der auf der Pwn2Own Berlin genutzten Lücken CVE-2025-49706 & CVE-2025-49704. Sie erlaubt mit einer HTTP-Anfrage aus der Ferne die Übernahme des Sharepoint-Servers. Wie die deutsche "Code White GmbH" auf X demonstriert, reicht es aus, an der richtigen Stelle ein Systemkommando einzuschleusen. So konnten die bislang unbekannten Angreifer die Systeme übernehmen und die "Machine Keys" abziehen. Mit diesen ist es möglich, sich dauerhaften Zugriff auf den Sharepoint-Server zu sichern.