Comretix Blog

Die Sicherheitsbehörden in Niedersachsen müssen sich den wachsen Herausforderungen durch die Digitalisierung laut Innenministerin Daniela Behrens ständig neu stellen. Cyberangriffe, hybride Bedrohungen und vorsätzlich platzierte Desinformationen seien keine Zukunftsszenarien, sondern Realität, sagte die SPD-Politikerin. Sicherheitsbehörden müssen nach Behrens Worten ihre Denkweise
anpassen, um technologische Entwicklungen nicht nur nachvollziehen, sondern aktiv mitgestalten zu können.

Die Innenministerin äußerte sich anlässlich eines Symposiums des Landeskriminalamtes in Hannover, bei dem am Dienstag rund 100 Experten Sicherheitsherausforderungen im Rathaus der Landeshauptstadt diskutieren. "Nur wenn sie die Komplexität der digitalen Welt verstehen, können sie wirksame Schutzmechanismen entwickeln und Vertrauen in staatliches Handeln bewahren", sagte Behrens.

Die Experten vor Ort wollen unter anderem die sicherheitspolitischen Abhängigkeiten zwischen ziviler und militärischer Verteidigung in den Mittelpunkt stellen. Auch das subjektive Sicherheitsempfinden und die Rolle von Einsatzkräften im gesellschaftlichen Wandel soll ein Hauptaspekt des Treffens sein.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

In einer koordinierten Aktion sind US-Strafverfolgungsbehörden gegen Nordkoreas Programm zur Geldbeschaffung durch Jobs im Home-Office vorgegangen. Wie das US-Justizministerium mitteilt, sind in 16 US-Bundesstaaten 29 tatsächliche oder potenzielle "Laptop-Farmen" durchsucht, sowie dutzende Konten und 21 betrügerische Internetseiten übernommen worden, die damit in Verbindung standen. Bei den Betrügereien ging es einmal mehr um Menschen aus Nordkorea, die aus der Ferne für US-Unternehmen gearbeitet haben. Dabei hätten sie nicht nur Gehaltszahlungen für das nordkoreanische Regime erarbeitet, sondern auch Firmengeheimnisse oder sogar Kryptogeld entwendet.

Laut dem US-Justizministerium hatte Nordkorea bei dem Vorgehen die Hilfe von mehreren Individuen aus den USA, China, den Vereinigten Arabischen Emiraten und Taiwan. Die hätten den Remote-Angestellten dabei geholfen, Anstellungen bei über 100 US-Unternehmen zu bekommen. Dafür hätten sie beispielsweise in den USA an verschiedenen Standorten "Laptop-Farmen" eingerichtet, über die die Nordkoreaner ihre Tätigkeiten ausüben konnten, ohne dass sie nach Nordkorea hätten zurückverfolgt werden können. Außerdem hätten sie Scheinfirmen inklusive Internetauftritten eingerichtet, über die Tätigkeiten der angeblichen Angestellten bei früheren Arbeitgebern vorzutäuschen.

Bei dem ausgeklügelten Vorgehen ging es demnach nicht nur danach, den Nordkoreanern Gehaltszahlungen aus den USA zu ermöglichen, über die das Regime an den strikten US-Sanktionen vorbei US-Dollar bekommen kann. In einem Fall seien die Nordkoreaner dabei einem Dienstleister für das US-Militär aus der Ferne an sensible Arbeitnehmerdaten und Quelltexte gelangt, die unter die Regeln zur Exportkontrolle für Waffen gefallen sind. In einem anderen Fall hätten Nordkoreaner von ihren Arbeitgebern Kryptogeld im Wert von 900.000 US-Dollar gestohlen. Im Zusammenhang mit den Vorwürfen wurde eine Person in den USA festgenommen, die meisten Angeklagten sind aber außerhalb der Reichweite der US-Strafverfolgung.

Dass Nordkorea IT-Arbeiter mit verschleierter Herkunft in westliche Firmen entsendet, ist nicht neu. Schon 2022 hat die US-Regierung Unternehmen vor den Risiken gewarnt. Damals hieß es, dass das abgeschottete Regime Tausende von hoch qualifizierten IT-Arbeitern in alle Welt entsende, um mit deren Einnahmen das von den Vereinten Nationen sanktionierte Programm zur Waffenentwicklung zu finanzieren. Insgesamt geht es um Millionensummen, hat sich bereits ein Jahr später gezeigt. Im Oktober hat dann auch das Bundesamt für Verfassungsschutz deutsche Unternehmen vor den damit verbundenen Gefahren gewarnt. Dazu gehört auch das Risiko, dass man unwissentlich Sanktionen verletzt.

In Internetforen mehren sich Diskussionen über fehlerhafte Midea-PortaSplit-Klimaanlagen. Die Fernbedienung mit der App des Anbieters steuert bei Betroffenen offenbar nicht die eigenen, sondern fremde Klimaanlagen. Insbesondere jetzt, wo die Meteorologen für die Woche Temperaturspitzen von teils mehr als 39 °C im Schatten an mehreren Stellen Deutschlands vorhersagen, eher ungünstig.

Möglicherweise ist das jedoch auch ein Datenschutzproblem. In einer Diskussion auf Reddit sucht ein Betroffener etwa einen Midea-Besitzer, der ein WLAN-Netzwerk mit dem Namen "Guybrush" betreibt. Der User vermutet gar den gegenseitigen Austausch von Bluetooth-Kennwörtern zur Steuerung und merkt an, dass er dem Gesuchten offenbar die Temperatur heruntergeregelt hat. Dort äußern weitere Diskussionsteilnehmer Ängste, die Midea-Geräte ins Netz zu stellen. Andere geben den Hinweis, dass das kein Problem sei, sofern im Router die Internetfreigabe für die Klimaanlage deaktiviert wird – sie läuft dann nur im lokalen Netz.

In einem weiteren Reddit-Thread berichten weitere Nutzer, dass ihre Anlage nach längerer Offline-Zeit sich nach neuer Inbetriebnahme verselbstständigen, sofern sie mittels App ins WLAN angebunden wird. Die Vermutungen gehen dort in die Richtung, dass Geräte-IDs mehrfach vergeben wurden. Im speziellen Fall der deaktivierten Anlage zeigte der Verbrauchsverlauf zudem eine konstante Nutzung seit dem Juni 2024 – obwohl das Gerät im August 2024 gekauft wurde und mehrere Monate stromlos im Keller stand.

Schließlich findet sich ein Thread mit einer Problemzusammenfassung, ebenfalls auf Reddit. Demnach hat Midea im September 2024 bereits Kunden bestätigt, dass es bei einigen Geräten zu den genannten Problemen kommt. Dort ließ sich offenbar noch nicht eingrenzen, welche Geräte betroffen sind. Midea riet den Kunden, die nächste Kühlperiode abzuwarten und bei weiterhin bestehendem Problem ab März oder April 2025 einen Austausch des Geräts zu veranlassen. Die User haben die Kontaktadresse Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. für Support-Mailanfragen als Anlaufstelle ausgemacht.

Wir konnten das Problem mit einer Midea-PortaSplit-Klimaanlage nicht nachstellen. Das Gerät hat der Hersteller jedoch im Laufe des Tests einmal ausgetauscht. Dies könnte solche Probleme vermeiden, so wurde auch auf Reddit von einigen Nutzern angegeben, dass sie auf Nachfrage ein Austauschgerät erhalten haben. Eine Server- oder App-seitige Korrektur scheint nicht möglich.

Der gemeinnützige Verein Deutsche Welthungerhilfe e.V. ist Opfer eines Cyberangriffs geworden. Das bestätigte die Hilfsorganisation heute gegenüber heise online. Die Täter wollen 20 Bitcoins erpressen. Bei dem Kurs zum Meldungszeitpunkt von etwa 91.825 Euro entspricht das rund 1,8 Millionen Euro Lösegeldforderung.

Auf dem Darknet-Auftritt von Rhysida deuten die Erpresser ein paar der kopierten Daten wie Ausweiskopien an und fordern eine Zahlung von 20 Bitcoin.

(Bild: Screenshot / dmk)

Die kriminellen Täter bauen Druck auf, dass die Welthungerhilfe noch etwas mehr als fünf Tage Zeit hat, bevor die Daten veröffentlicht werden. Den Erpressern ist dabei gleich, von wem das Geld kommt: "Nutzt die Möglichkeit, auf exklusive, einzigartige und beeindruckende Daten zu bieten. Öffnet eure Brieftaschen und seid bereit, exklusive Daten zu kaufen. Wir verkaufen nur an einen, keine Weiterverkäufe, du bist der einzige Besitzer!", versprechen sie im Darknet.

Auf Nachfrage von heise online erklärte eine Sprecherin der Organisation, dass sie den Einbruch in die IT-Systeme bestätigen kann. "Der genaue Kreis der betroffenen Personen, deren Daten nach außen gelangt sind, lässt sich leider nicht ermitteln", führte sie weiter aus, die zuständige Datenschutzbehörde habe man informiert, die Polizei sei bereits involviert; der Austausch mit den Behörden sei eng.

Bei dem Wertpapierinstitut Tradersplace.de gab es einen "Cybercrimevorfall", wie das Unternehmen gegenüber heise online bestätigt. Betroffene Kunden werden offenbar mittels E-Mail mit PDF-Anhang darüber informiert.

In dem Schreiben an Kundinnen und Kunden der Handelsplattform unter anderem für diverse Krypto-Währungen und -assets oder ETFs erörtert das Unternehmen, dass unter anderem "Verfügernummer, Vorname, Name, Kontakt- und Adressdaten sowie Depotwert Stand November/Dezember 2023" möglicherweise in unbefugte Hände gelangt sind. Dem PDF zufolge habe das Unternehmen "Sicherungsmaßnahmen zur Verhinderung unberechtigter Zugriffe auf Konten-/Depots und Vermögensverschiebungen getroffen". Weiterhin hätten "intensive interne Prüfungen bislang keine Anhaltspunkte für eine missbräuchliche Verwendung der Daten ergeben".

"Der unberechtigte Zugriff wurde am 19.06.2025 erfolgreich beendet und der Vorfall bereits der Datenschutzbehörde gemeldet", ergänzt Tradersplace. Auf Anfrage von heise online antwortete CEO Ernst Huber, dass Tradersplace derzeit "zu dem Vorfall keine konkreten Details veröffentlichen können, um die aktuell auf Hochtouren laufenden internen und behördlichen Ermittlungen nicht zu gefährden." Es bestehe die Möglichkeit, dass unbefugte Dritte Zugriff auf mehrere interne statische Auswertungen erhalten hätten, die personenbezogene Kundendaten enthalten. "Zu keinem Zeitpunkt waren die vom betroffenen Bereich vollständig getrennten Kern- und Kundensysteme gefährdet", schließt Huber die Stellungnahme ab.

Die Kunden-E-Mails mit PDF-Anhang sind daher als echt einzustufen, es gab einen IT-Vorfall bislang unbekannten Ausmaßes. Tradersplace empfiehlt Kundinnen und Kunden, "erhöhte Vorsicht bei E-Mails und sonstigen Kontaktaufnahmen, insbesondere, wenn diese einen ungewöhnlichen Inhalt aufweisen, Sie beispielsweise zur Bekanntgabe von Zugangs- oder Konto-/Depotdaten, Änderungen von Zugangsdaten oder Konto-/Depotdaten oder auch Zahlungen aufgefordert werden". Wer derartige E-Mails erhalte, bittet Tradersplace um Mitteilung, da dies bei der Aufklärung des "Cybercrimeangriffs" beitragen könne.

Derartige Vorfälle im Finanzsektor sind besonders brisant. Auf Nachfrage bestätigt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), dass die Traders Place GmbH & Co KGaA unter ihrer Aufsicht stehe, sie könne jedoch keine weiteren Angaben machen, da diese unter Verschwiegenheitspflicht fallen. Laut BaFin fallen nahezu alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors unter DORA, die europäische Verordnung über die digitale operationale Resilienz im Finanzsektor. DORA verpflichtet die Institute dazu, schwerwiegende IKT-bezogene Vorfälle zu melden.

Eine Sicherheitslücke in Citrix Netscaler ADC und Gateway entpuppte sich vergangene Woche als gravierend. Sie bekam daher von IT-Sicherheitsforschern den Titel "CitrixBleed 2" verpasst. Nun haben andere IT-Forscher Indizien entdeckt, die auf laufende Angriffe auf die Schwachstelle hindeuten. IT-Verantwortliche sollten schleunigst die bereitstehenden Updates anwenden.

Die IT-Forscher von Reliaquest beschreiben in einem Blog-Beitrag, dass sie Ende vergangener Woche Indizien für aktiven Missbrauch der Schwachstelle im Internet beobachtet haben. Ganz sicher sind sie sich jedoch nicht, denn sie schränken ein: "Mit mittlerer Sicherheit stufen wir ein, dass Angreifer aktiv die Schwachstelle attackieren, um initialen Zugriff auf Ziel-Umgebungen zu erlangen". Bei der "CitrixBleed 2"-Lücke handelt es sich um lesenden Speicherzugriff außerhalb vorgesehener Speichergrenzen, wodurch etwa Session-Token ausgelesen und zur Umgehung von Authentifizierung einschließlich Mehr-Faktor-Authentifizierung (MFA) missbraucht werden können (CVE-2025-5777 / EUVD-2025-18497, CVSS 9.3, Risiko "kritisch").

Sie haben übernommene Citrix-Web-Sessions auf Netscaler-Geräten beobachtet, schreiben die IT-Sicherheitsforscher. Authentifizierung sei ohne Kenntnis der User erlangt worden, was auf die Umgehung von MFA hindeute. Zudem wurden Session von mehreren IP-Adressen aus wieder genutzt, einschließlich Kombinationen von erwarteten und verdächtigen IP-Adressen. Weiterhin fanden LDAP-Anfragen statt, die üblicherweise mit Active-Directory-Reconnaissence-Aktivitäten, also erneutem Zugriff nach initialem Einbruch, in Verbindung stehen. Quer über die Umgebung fanden sich weiterhin Instanzen des "ADExplorer64.exe"-Tools, mit dem Domänen-Gruppen und Zugriffsrechte an mehrere Domain-Controller gestellt wurden. Außerdem stammten einige der Citrix-Sessions aus Rechenzentren-IP-Bereichen, die die Nutzung von Endkunden-VPN-Diensten nahelegen.

Die Reliaquest-Mitarbeiter empfehlen, umgehend die fehlerbereinigten Softwareversionen zu installieren und den Zugriff auf Netscaler einzuschränken. Zudem sollten Admins ungewöhnliche Aktivitäten überwachen, die auf Exploit-Versuche hindeuten. Das schließt die Wiederbenutzung von Sessions und die Webserver-Logs mit HTTP-Anfragen mit ungewöhnlichen Zeichenlängen ein. Als Beispiel verweisen die IT-Forscher auf das ursprüngliche "CitrixBleed", bei dem HTTP-GET-Anfragen an den API- Endpunkt "/oauth/idp/.well-known/openid-configuration HTTP/1.1" gerichtet wurden, bei denen der HOST_Header 24.812 Zeichen enthielt.

Auf Mastodon hat die Shadowserver Foundation aktuelle Zahlen bekanntgegeben. Demnach waren Stand 29. Juni insgesamt noch 1289 aus dem Internet erreichbare Systeme verwundbar. Der Höhepunkt war am 24. Juni, mit 2804 verwundbaren Citrix-Netscaler-Instanzen. Im Telegramm-Stil verkünden die IT-Forscher zudem: "Top: US & DE", also, dass die meisten anfälligen Server in den USA und in Deutschland stehen.

Die Bundesregierung will gemeinsam mit Israel ein Zentrum für Cyberabwehr aufbauen und die Kooperation im Bereich Cybersicherheit deutlich ausbauen. Das hat Bundesinnenminister Alexander Dobrindt (CSU) bei einem Besuch vor Ort angekündigt, berichtet unter anderem die Tagesschau. Zusammen mit Israel soll außerdem ein "Cyberdome" entwickelt werden, der Name verweist dabei offenbar auf das israelische System zur Raketenabwehr, das den Namen "Iron Dome" trägt. Dabei geht es Dobrindt demnach auch um den Zivilschutz, um militärische und zivile Verteidigungsfähigkeit zu kombinieren.

Insgesamt hat Dobrindt demnach fünf konkrete Punkte aufgezählt, bei denen in Bezug auf Cybersicherheit und Sicherheit allgemein stärker mit Israel kooperiert werden soll. Neben der Zusammenarbeit bei der Cyberabwehr mit Israel, das in diesem Bereich als besonders fortschrittlich gilt, geht es dem Bericht zufolge auch um Drohnenabwehr. Auch hier soll die Expertise aus Israel helfen. Zudem sollen der Bevölkerungsschutz und das öffentliche Warnsystem ausgebaut werden, hier hat Israel ebenfalls eine Menge Erfahrung. Darüber hinaus soll die Zusammenarbeit zwischen den Geheimdiensten vertieft werden. Schließlich geht es um den Plan eines gemeinsamen Zentrums für Cyberabwehr.

Israel hat im Bereich Cybersicherheit und Bevölkerungsschutz viel Erfahrung, das Land ist immer wieder direkten Angriffen ausgesetzt – zuletzt unter anderem auch durch ballistische Raketen aus Iran, nachdem Israel die Islamische Republik angegriffen hat, um die Entwicklung von Atomwaffen zu behindern. Dobrindt hat jetzt in Israel die Kleinstadt Bat Jam südlich von Tel Aviv besucht, wo eine solche Rakete erhebliche Schäden angerichtet und mehrere Menschen getötet hat. Dort gebe es weit und breit keine militärischen Einrichtungen, hat Israels Außenminister Gideon Sa’ar demnach versichert. Inzwischen gilt der Krieg zwischen beiden Staaten als beendet.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.

Die Folgen eines Cyberangriffs auf den Pathologiedienstleister Synnovis im Juni 2024 werden immer deutlicher, wie aktuelle Untersuchungen zeigen. Demnach trug der Angriff – der zahlreiche Londoner Klinken massiv beeinträchtigt hatte –, auch zum Tod eines Patienten bei. Darüber berichtete unter anderem die BBC.

Laut NHS England liegt in diesem Fall ein "serious incident" vor, da Blutergebnisse durch die IT-Störung nicht rechtzeitig bereitgestellt werden konnten. Das führte nachweislich zu einer Verzögerung der Patientenversorgung und damit zum Tod eines Patienten. Die offiziellen Leitlinien betonen, dass auch "unbeabsichtigte oder unerwartete Vorfälle, Handlungen oder Unterlassungen, die zu Schaden oder Todesfällen führen", als schwerwiegende Sicherheitsvorfälle einzustufen sind.

Da der Tod des Patienten direkt auf die durch den Cyberangriff verursachte Verzögerung zurückzuführen ist, sind demnach eindeutig die Kriterien eines schwerwiegenden Vorfalls infolge eines "externen Ereignisses" im Gesundheitswesen erfüllt: "Acts and/or omissions occurring as part of NHS-funded healthcare [...] that result in: unexpected or avoidable death of one or more people."

Die verspätete Bereitstellung der Blutergebnisse wird als wesentlicher Hauptfaktor unter mehreren Ursachen angesehen, die letztlich zum Tod des Patienten beigetragen haben, wie auch das HIPAA Journal berichtet – ein Fachblatt für Datenschutz und IT-Sicherheit im Gesundheitswesen. Damit wäre das der erste Todesfall in Europa, der konkret mit Ransomware als Ursache in Zusammenhang gebracht wird.

Der Angriff, der der Cyberkriminellengruppe Qilin zugeschrieben wird, legte zentrale IT-Systeme lahm und führte dazu, dass zahlreiche Londoner Krankenhäuser ihre Dienstleistungen stark einschränken mussten. Mehr als 10.000 ambulante Termine und über 1.700 geplante Eingriffe, darunter auch lebenswichtige Behandlungen wie Organtransplantationen und Krebstherapien, mussten verschoben werden.

Als Wake-up-Call für die Techbranche, Regierungen und User hatte WhatsApp Chef Will Cathcart die NSO-Attacken vor Jahren bezeichnet. Es folgte ein Rechtverfahren, im Mai 2025 sprach die erste Instanz Meta 168 Millionen US Dollar Schadenersatz zu. Trotzdem wächst die Spyware-Branche munter weiter, warnten Nichtregierungsorganisation aus Lateinamerika und Afrika bei der 20. Ausgabe des Internet Governance Forum (IGF) der Vereinten Nationen. Die Veranstaltung fand in dieser Woche im norwegischen Lillestrøm nahe Oslo statt.

Über 500 Firmen vertreiben Spyware an mindestens 65 Regierungen weltweit – die Geschäfte laufen prächtig, sagte Nighat Dad, Organisatorin eines IGF-Panels zum Thema. In den Industrieländern werde seit dem Pegasus-Schock zwar über Ethik, bessere Aufsicht und gesetzgeberische Schritte diskutiert, so die Gründerin der pakistanischen Digital Rights Foundation.

"Im globalen Süden blüht die Spyware-Branche auf und trifft hier auf unzureichenden rechtlichen Schutz, auf einen autoritären Impetus und auf die gezielte Einschränkung öffentlicher Räume," warnt die Juristin.

Mit der Aufarbeitung der NSO-Umtriebe ist es nicht getan, unterstrichen Apar Gupta, Gründer der indischen Internet Freedom Foundation (IFF), Ana Gaita von der mexikanischen Bürgerrechtsorganisation Red en Defensa de los Derechos Digitales (R3D) und Mohamed Najem von der vom Libanon für den arabischen Raum arbeitenden SMEX.

Bei SMEX beobachtet man nach großen Investitionen der Golfstaaten in die NSO inzwischen einen regelrechten Boom von Spyware-Start-ups. Aus den Vereinigten Arabischen Emiraten werde Spyware etwa an die Krieg führenden Rapid Support Forces im Sudan geliefert, so Najem.

Im vergangenen Jahr hatte CrowdStrike Millionen Windows-Systeme mit einem Update lahmgelegt. Langsam mahlen die Mühlen der Bürokratie – doch nun dringen die geplanten Änderungen zur künftigen Vermeidung solcher Vorfälle immer weiter auf die Geräte im Einsatz vor. Nun kündigt Microsoft einen weiteren Schritt an: Antivirensoftware darf nicht mehr in den Windows-Kernel langen.

Das kündigt Microsoft in einem Blog-Post zum aktuellen Stand der auf Microsoft-Hausmesse Ignite 2024 gegründeten "Windows Resiliency Initiative" (WRI) an. Einer der neuen Mechanismen soll den Windows-Start auch dann ermöglichen, wenn Boot-Probleme auftreten. In den Windows-Vorschau-Versionen für Insider ist die Quick Machine Recovery (QMR), die in solchen Fällen die Windows Recovery Environment (Windows RE) startet, bereits seit April des Jahres im Test.

Die QMR soll "später im Sommer allgemein verfügbar" werden, kündigt Microsoft dort an. Sie kommt für alle Windows-11-Geräte auf Stand 24H2 und soll auf Home-Geräten standardmäßig aktiv sein. IT-Admins behalten hingegen die volle Kontrolle darüber.

Das bedeutet jedoch auch weitreichende Änderungen für IT-Sicherheitssoftware in Windows. Eine weitere gegründete Initiative nennt Microsoft die "Microsoft Virus Initiative (MVI)", in der die Redmonder zusammen mit Partnerunternehmen Möglichkeiten ausloten, die Windows-Plattform zu verbessern, um das Ziel der verbesserten Resilienz ohne Verluste bei der Sicherheit zu erreichen. Inzwischen sind die Teilnehmer nun beim "MVI 3.0-Programm" angelangt, die bestimmte Aktionen seitens der Partnerunternehmen vorsehen.

Dazu gehört das Aufsetzen und Testen eines Vorfall-Reaktions-Prozesses und das Befolgen von sicheren Verteilpraktiken (Safe Deployment Practices, SDP) für Updates für Windows-Endgeräte. "Sicherheitsproduktupdates müssen schrittweise in Verteil-Ringen erfolgen und Überwachung einsetzen, um negative Einflüsse zu minimieren", erklärt Microsoft. Das passe sich in die Microsoft-Plattformen ein – so geht etwa auch Microsoft Autopatch für Windows Updates vor. Das führe zu größerer Stabilität, schnellerer Wiederherstellung und reduzierten Risiken im Einsatz bei Enterprise-Kunden, die sich auf eine sichere und verlässliche Windows-Umgebung stützen.

Kriminelle geben sich derzeit wiederholt am Telefon als PayPal aus und behaupten, auf Ihrem Konto stehe eine hohe Überweisung bevor. Meist wird eine hohe Summe genannt. Am anderen Ende spricht eine Computerstimme. Oft wird von einer unterdrückten Nummer angerufen, in jüngsten Fällen waren aber auch Telefonnummern erkennbar.

Die Computerstimme fordert dazu auf, eine Taste zu drücken, um die angebliche Zahlung zu stoppen. Wer das tut, wird mit einer echten Person verbunden, die versucht, an persönliche Daten wie Bankinformationen oder E-Mail-Adressen zu gelangen – oder sogar Geldtransfers auszulösen. Die Methoden, die die Betrüger anwenden, variieren. Die Kriminellen versuchen es oft nicht nur auf einem Weg, daher sollten Nutzer bei ungewöhnlichen Anrufen oder Nachrichten aufmerksam sein.

Doch PayPal und andere Unternehmen kontaktieren Kunden auf diese Weise nicht. Solche Anrufe sind immer ein Betrugsversuch. Daher sollten Sie am besten auflegen und keine Daten preisgeben. Sie können Ihr Konto direkt in der offiziellen App oder auf der Webseite prüfen. Bei Unklarheiten können Sie den Kundenservice über den offiziellen Kanal kontaktieren. Erst Anfang des Jahres und im Mai traten derartige Fälle vermehrt auf.

Die Verbraucherzentrale warnte im Juni vor Phishing-Versuchen, die gezielt Kundinnen und Kunden von Banken, Online-Diensten und Versandunternehmen ansprechen. Die Betrüger versuchen, an persönliche Daten und Zugangsdaten zu gelangen. Bei DHL wird beispielsweise behauptet, eine Lieferung könne wegen einer fehlerhaften Adresse nicht zugestellt werden. Deutsche-Bahn-Kunden hingegen ködern Betrüger mit Rückerstattungen. Phisher versuchen außerdem, an die Daten von Netflix und ING zu gelangen. Auch Apo-Bank-Kunden müssen vorsichtig sein.

Microsofts erste Secure-Boot-Zertifikate laufen ab Juni 2026 ab. Damit Systeme mit Secure Boot startbar bleiben, müssen sie bis dahin aktualisierte Zertifikate erhalten. "Bereite dich auf das erste globale, großflächige Secure-Boot-Zertifikat-Update vor", warnt Microsoft daher nun. Das betrifft nicht nur Windows-Systeme, sondern auch solche mit anderen Betriebssystemen wie Linux oder macOS.

In einem Blog-Beitrag erörtert Microsoft die Folgen des Zertifikatsablaufs und gibt Hinweise, wie Admins sich unter Windows behelfen können. Zusammenfassend eröffnet Microsoft: "Die Microsoft-Zertifikate, die in Secure Boot verwendet werden, sind die Vertrauensbasis für die Sicherheit des Betriebssystems, und alle laufen ab Juni 2026 aus. Um automatisch und rechtzeitig Updates für neue Zertifikate für unterstützte Windows-Systeme zu erhalten, müssen Sie Microsoft die Verwaltung Ihrer Windows-Updates überlassen, zu denen auch Secure Boot gehört." Für Microsoft ist daher auch eine enge Zusammenarbeit mit Original Equipment Manufacturers (OEMs) wichtig, die Secure-Boot-Firmware-Updates verteilen sollen.

Wer noch keine Option zur Verteilung der aktualisierten Zertifikate gewählt hat, sollte damit nun damit anfangen, rät Microsoft. Secure Boot soll verhindern, dass Schadsoftware bereits früh im Bootvorgang von Rechnern startet. Es ist mit dem UEFI-Firmware-Signierprozess verknüpft. Secure Boot setzt dabei auf kryptografische Schlüssel, die als Certificate Authorities (CA) bekannt sind, um zu verifizieren, dass Firmware-Module aus vertrauenswürdigen Quellen stammen. Im Juni 2026 fangen die Secure-Boot-Zertifikate – die Bestandteil des Windows-Systems sind – nach 15 Jahren an, auszulaufen. Windows-Geräte benötigen daher neue Zertifikate, um weiter zu funktionieren und geschützt zu sein, erklärt Microsoft.

Betroffen sind physische und virtuelle Maschinen mit unterstützten Versionen von Windows 10, Windows 11 und Windows Server 2025, 2022, 2019, 2016, 2012 sowie 2012 R2, mithin alle Systeme, die seit 2012 veröffentlicht wurden, einschließlich der Long-Term-Servicing-Channels (LTSC). Neuere Copilot+-PCs, die seit 2025 herausgekommen sind, haben bereits neuere Zertifikate.

Zu den betroffenen Systemen gehört auch macOS – das liege jedoch außerhalb des Microsoft-Support-Bereichs. Für Dual-Boot-Systeme mit Linux und Windows soll das Windows-Betriebssystem die Zertifikate aktualisieren, auf die Linux angewiesen ist.

Angreifer haben derzeit eine "kritische" Sicherheitslücke in Citrix NetScaler ADC und Gateway im Visier und attackieren Instanzen. Sicherheitsupdates sind verfügbar. Für einige Versionen ist aber der Support ausgelaufen.

In einer Warnmeldung erläutern die Entwickler, dass die folgenden Versionen über die Schwachstelle (CVE-2025-6543 / EUVD-2025-19085, CVSS 9.2, Risiko "kritisch") angreifbar sind:

Die Ausgaben 13.1-37.236-FIPS und NdcPP, 13.1-59.19 und 14.1-47.46 sind gegen die laufenden Attacken abgesichert. Für die Versionen 12.1 und 13.0 ist der Support ausgelaufen und es gibt keine Sicherheitsupdates mehr. Diese Ausgaben bleiben also verwundbar und Admins müssen ein Upgrade auf eine noch unterstützte Version durchführen.

Admins von On-premise-Instanzen sollten die Updates umgehend installieren. Die von Citrix gemanageten Cloudinstanzen sind eigenen Angaben zufolge bereits abgesichert. Die Entwickler weisen darauf hin, dass Secure Private Access On-Prem- oder Secure Private Access Hybrid-Implementierungen, die NetScaler-Instanzen verwenden, ebenfalls von der Sicherheitslücke betroffen sind.

Die Entwickler führen aus, dass Instanzen nur angreifbar sind, wenn NetScaler als Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) oder AAA-Virtual-Server konfiguriert ist. Ist das gegeben, können Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler auslösen, was zu DoS-Zuständen führt. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt.

Ärzte und Apotheker sollten vorsichtig sein, wenn sie Briefe, E-Mails, SMS oder Anrufe im Namen der Apobank erhalten. Regelmäßig versuchen Betrüger, an Kundendaten zu gelangen, doch die Vorfälle häufen sich derzeit. In E-Mails werden die potenziellen Opfer dazu aufgefordert, persönliche Angaben zu bestätigen. Wie bei Phishing-Mails üblich, steht darin eine Frist, um Druck aufzubauen. Für den Fall, dass Empfänger diese nicht einhalten, drohen die Betrüger mit einer Bearbeitungsgebühr. In einer weiteren Phishing-Mail-Variante ist von "ungewöhnlichen Kontoaktivitäten" die Rede. Darüber berichtete Apotheke Adhoc.

Doch die Betrüger versuchen es auch über das Telefon, wo vermeintliche Apobank-Mitarbeiter von angeblich "auffälligen Buchungen" sprechen. Laut Apotheke Adhoc wurde unter anderem die 0211-5998-8000 angezeigt, also die korrekte Rufnummer der Apobank gespooft. Auf der Website der Apobank warnte das Geldinstitut Ende Mai auch vor Phishing-Mails mit einer "3-Fragen-Umfrage", für deren Teilnahme eine kurzzeitig kostenlose Kontoführung in Aussicht gestellt wurde. Die Betrüger erfragten darin unter anderem IBAN, Geburtsdatum und Telefonnummer. Ebenso warnt die Bank, keine gefälschten apoTAN-Apps herunterzuladen. Laut Apotheke Adhoc sind derzeit zudem auch betrügerische SMS im Umlauf.

Im März warnte die Bank außerdem vor Quishing, bei dem kriminelle Täter Briefe verschicken, auf denen ein QR-Code abgedruckt ist, der einen betrügerischen Link enthält. Die Kassenärztliche Bundesvereinigung (KBV) warnt, "auf keinen Fall" den Aufforderungen in den Briefen zu folgen.

Betrüger versuchen, ihre Opfer dazu zu verleiten, den QR-Code zu scannen und ihre Daten zu verifizieren.

(Bild: KBV)

Angreifer attackieren mehrere Sicherheitslücken in freier Wildbahn, warnt die US-amerikanische IT-Sicherheitsbehörde CISA. Am gefährlichsten sind laufende Angriffe auf die Fernwartungsfirmware in AMI MegaRAC, die etwa in Servern von Asus, Asrock Rack, HPE oder Lenovo steckt. Zudem laufen Angriffe auf Sicherheitslecks in D-Links DIR-859-Routern sowie auf eine uralte FortiOS-Firmware-Hintertür.

In einer Sicherheitsmeldung warnt die CISA vor den laufenden Attacken und erklärt, sie dem "Known Exploited Vulnerabilities"-Katalog, kurz KEV, hinzugefügt zu haben. Für US-Behörden ist das ein Handlungsbefehl, aber auch für IT-Verantwortliche in Deutschland, Österreich und der Schweiz sollte das ein Weckruf sein, Gegenmaßnahmen wie Firmware- und Software-Updates auszuführen.

Die bereits attackierte Sicherheitslücke in der Fernwartungsfirmware AMI MegaRAC wurde Mitte März bekannt. Diese Firmware läuft auf Baseboard Management Controllern (BMCs) von Servern unter anderem von Asus, Asrock Rack, HPE und Lenovo. Sie hat den maximalen CVSS-Wert 10.0 von 10 erreicht, gilt daher als höchst kritisches Risiko. Sie steckt dort in einem Modul für die Fernwartungs-API Redfish und wurde daher als "Redfish Authentication Bypass" bezeichnet: Es lässt sich die Anmeldung der Fernwartung umgehen (CVE-2024-54085 / EUVD-2024-54252, CVSS 10.0, Risiko "kritisch"). AMI hat den Serverherstellern Informationen und Patches bereitgestellt, diese mussten sie jedoch erst in ihre Firmwares einbauen und Admins die Aktualisierungen schließlich auch anwenden.

Das ist offenbar zumindest in Teilen nicht geschehen, sodass Server-Systeme mit AMI MegaRAC auch jetzt noch verwundbar sind. Möglicherweise haben Admins auch die "Best Practices" ignoriert oder übersehen, dass die BIOS-Einstellungen die Fernwartung standardmäßig aktivieren und zugleich Zugriff über die für Nutzdaten gedachten Netzwerkbuchsen aktivieren, anstatt sie lediglich für ein separates Wartungsnetzwerk einzuschränken. Diese sind zudem in vielen Fällen sogar im Internet exponiert.

Außerdem steht eine Schwachstelle in den D-Link-Routern DIR-859 unter Beschuss, die der Hersteller abweichend vom CVSS-Wert Anfang 2024 als kritisch eingestuft hat (CVE-2024-0769 / EUVD-2024-16557, CVSS 5.3, Risiko "mittel"). Sicherheitslücken in diesen Routern wurden jedoch bereits Mitte 2023 attackiert, vom Mirai-Botnet. Erschreckende Erkenntnis: Bereits damals waren die Geräte am End-of-Life angelangt und sollten durch noch vom jeweiligen Hersteller unterstützte Hardware ersetzt werden. Offenbar setzen einige Organisationen sie aber immer noch ein.

Sommer, Hitze, (etwas) kürzere Podcast-Episode – doch die Themen sind alles andere als heiter: In Folge 137 des c't-Datenschutz-Podcasts sprechen Redakteur Holger Bleich und Verlagsjustiziar Joerg über aktuelle Fälle und Urteile. Ein Fall aus Niedersachsen führt direkt zu akustischem Kopfschütteln: Eine öffentlich zugängliche, schwenkbare Webcam filmte einen FKK-Strand und übertrug die Bilder live ins Netz – ohne Hinweis für die Besucher. Die niedersächsische Datenschutzbehörde griff ein, ließ die Bilder verpixeln und prüft ein Bußgeld.

Ebenfalls aus Niedersachsen stammt das "Nicht-Bußgeld der Woche": Weil ein Staatsanwalt in Hannover vergaß, eine Beschwerde gegen ein Gerichtsurteil zu unterschreiben, verfällt ein gegen den Volkswagen-Konzern erhobenes DSGVO-Bußgeld von satten 4,3 Millionen Euro. Diese Summe entgeht nun der Landeskasse. Ein Sprecher der Staatsanwaltschaft Hannover spricht von einer "Verkettung unglücklicher Umstände".

Im Zentrum der Podcast-Folge steht ein jetzt schriftlich veröffentlichtes Urteil des Oberlandesgerichts (OLG) Köln: Meta darf öffentliche Facebook- und Instagram-Postings für das Training seiner Sprach-KI verwenden. Die Verbraucherzentrale NRW hatte versucht, das mit einer einstweiligen Verfügung zu verhindern, ist aber gescheitert. Das Gericht sieht ein berechtigtes Interesse von Meta am KI-Training und argumentiert, dass die Daten ohnehin öffentlich sind. Außerdem habe Meta Maßnahmen zum Schutz der Nutzer ergriffen und eine – wenn auch schwer auffindbare – Widerspruchsmöglichkeit angeboten.

Doch die Entscheidung bleibt umstritten. Eine Syndikusanwältin der Verbraucherzentrale kritisierte in einem Kommentar an die Auslegungssache, dass das Gericht den Digital Markets Act (DMA) der EU nicht ausreichend berücksichtigt habe. Nach Lesart der Verbraucherzentrale hätte Meta für die Zusammenführung von Daten aus verschiedenen Plattformen eine ausdrückliche Einwilligung der Nutzer gebraucht. Das OLG Köln sieht das anders und meint, beim KI-Training würden keine personenbezogenen Daten gezielt zusammengeführt, sondern Daten lediglich in einen großen Trainingspool geworfen.

Die Moderatoren sehen dies als Anzeichen dafür, dass die Rechtslage rund um KI und Datenschutz weiterhin völlig offen ist. Sie diskutieren, ob Nutzer wirklich ausreichend informiert wurden und ob frühere Facebook-Postings für neue Zwecke wie KI-Training genutzt werden dürfen. Einig sind sie sich: Diese Fragen werden Gerichte, Gesetzgeber und Datenschützer noch lange beschäftigen, weil KI-Training nicht recht in die bestehende EU-Gesetzgebung passt.

Das IT-Sicherheitsunternehmen Rapid7 hat acht Schwachstellen in insgesamt 748 Multifunktionsdruckern, Scannern und Etikettendruckern von fünf verschiedenen Herstellern aufgedeckt. Angreifer könnten sich dadurch die Zugangsdaten zum Gerät selbst und dem angeschlossenen Netzwerk verschaffen. Die betroffenen Unternehmen Brother, Fujifilm, Ricoh, Toshiba und Konica Minolta haben Firmware-Updates bereitgestellt, aber eine Sicherheitslücke kann lediglich manuell umgangen werden. Erst mit neuen Modellversionen wird diese geschlossen.

Die gefährlichste Schwachstelle ist die Umgehung der Authentifizierung (CVE-2024-51978, kritisch), wodurch Angreifer die Kontrolle über das Gerät erlangen können. Ähnlich wie bei den Multifunktionsdruckern Xerox Versalink, die ihre Zugangsdaten preisgegeben haben, basiert das Standard-Kennwort auch bei diesen 748 Geräten auf der Seriennummer. Diese Kennzeichnung kann wiederum durch eine andere Sicherheitslücke (CVE-2024-51977) in den HTTP-, HTTPS- und IPP-Diensten erlangt werden. Die Seriennummer ist aber auch durch PJL- und SNMP-Anfragen herauszufinden, schreibt Rapid7.

Anwender sollten deshalb dringend ein eigenes Passwort anlegen, denn diese Funktion des Standard-Kennworts ist laut Brother nicht per Firmware zu ändern. Das Standard-Kennwort wird während der Produktion automatisch gesetzt. Sollten sich die Angreifer die Zugangsdaten zum Gerät beschafft haben, können sie eigene Passwörter setzen, das Gerät umkonfigurieren oder Funktionen des Geräts nutzen, die autorisierten Nutzern vorbehalten sind.

Andere Schwachstellen (CVE-2024-51979, CVE-2024-51982 und CVE-2024-51983) könnten Angreifer nutzen, um Pufferüberläufe zu produzieren und das Gerät zum Absturz zu bringen. Weitere Sicherheitslücken (CVE-2024-51980 und CVE-2024-51981) erlauben Angreifern Netzwerkfunktionen mit dem Gerät sowie den Zugriff auf Zugangsdaten externer Dienste wie LDAP oder FTP (CVE-2024-51984). Damit könnten Angreifer weiter in das Netzwerk vordringen und möglicherweise sensible Daten abgreifen.

Zu den betroffenen Geräten gehören 689 verschiedene Multifunktionsdrucker, Scanner und Etikettendrucker von Brother, 46 Druckermodelle von Fujifilm, fünf Drucker von Ricoh, zwei Druckermodelle von Toshiba und sechs Modelle von Konica Minolta. Allerdings verkaufen auch andere Hersteller wie Dell die Multifunktionsdrucker von Brother unter der eigenen Marke. So ist der Dell E514dw ein umbenannter Brother MFC-L2700dw mit leichten Modifizierungen. Ob auch die entsprechenden Dell-Modelle diese Schwachstellen besitzen, konnte Rapid7 auf Nachfrage von heise online nicht beantworten. "Uns liegen keine Informationen darüber vor, dass Dell-Modelle betroffen sind", erklärte Stacey Holleran von Rapid7. Entsprechende Anfragen an Brother und Dell sind bislang unbeantwortet.

IT-Sicherheitsforscher beobachten Preissteigerungen bei aktuellen Betrugsmaschen mit Sextortion-E-Mails. Offenbar sind auch die Betrüger inflationsgebeutelt und brauchen mehr Geld.

Davon berichtet Malwarebytes in einem aktuellen Blog-Beitrag. Solche Betrugsmails laufen häufig in Wellen in die Postfächer von Empfängern ein, die IT-Sicherheitsforscher nennen typische Anreden wie "Hello pervert". Die Absender behaupten üblicherweise, die Empfänger bei ihren Online-Bewegungen beobachtet und bei schlüpfrigen Aktivitäten erwischt zu haben, die lieber im Privaten blieben. Im Klartext lauten die Behauptungen meist, dass potenzielle Opfer angeblich beim Anschauen pornografischen Materials erwischt wurden und es Aufnahmen davon gebe, was sie geschaut und dabei gemacht hätten.

Damit die Erpresser diese Aufnahmen nicht an die Leute auf der E-Mail- und Social-Media-Kontaktliste weiterverbreiten, sollen Empfänger ihnen Geld zahlen. Der Tonfall sei allgemein bedrohlich, manipulativ und darauf ausgerichtet, Angst und Dringlichkeit zu provozieren, erklären Malwarebytes Mitarbeiter. Das Unternehmen beobachte, dass diese E-Mails ein großes Problem darstellen, da tausende Besucher wöchentlich auf deren Webseite kommen und Informationen zu Sextortion-Mails suchen. Eine jüngst empfangene Mail fiel den IT-Forschern jedoch besonders auf.

Dort behaupten die Absender, den Empfängern von ihrem eigenen Microsoft-Konto aus die Mail zu senden. Dahinter verbirgt sich die einfache Möglichkeit, Absenderadressen zu fälschen. Der Mailtext macht Verweise auf die Pegasus-Spyware, von der die Opfer sicherlich gehört hätten, die auf Computern und Smartphones installiert werden kann und Hackern ermögliche, die Aktivitäten der Geräteinhaber zu verfolgen. Dabei erlaube die Spyware Zugriff auf Webcam, Messenger, E-Mails und so weiter; das sei auf Android, iOS, macOS und Windows lauffähig. Der Mailtext baut damit bereits Druck auf, dass eine Spyware auf irgendeinem Gerät des Opfers offenbar lauffähig sei.

Weiter behaupten die Täter, bereits vor einigen Monaten diese Spyware auf allen Geräten des Empfängers installiert und danach Einblick in alle Aspekte des Privatlebens erhalten zu haben. Besonders wichtig sei dem Erpresser jedoch, dass er viele Videos "von dir beim Selbstbefriedigen zu kontroversen Pornovideos" gemacht habe. Nach einigen weiteren Volten im Text geht es um eine Ablasszahlung: Für 1650 US-Dollar in Litecoin (LTC), die Opfer auf die Kryptowallet des Betrügers transferieren sollen, lösche er alle Videos und deinstalliere die Pegasus-Spyware. Schließlich bauen die Betrüger zeitlichen Druck auf und geben den Opfern 48 Stunden Zeit.

Teamviewer warnt vor einer Sicherheitslücke in Teamviewer Remote Management für Windows, die Angreifern die Ausweitung ihrer Rechte am System ermöglicht. Aktualisierte Software-Pakete der Fernwartungslösung zum Stopfen des Sicherheitslecks stehen bereit.

In einer Sicherheitsmitteilung erklären die Teamviewer-Entwickler, dass Nutzerinnen und Nutzer mit niedrigen lokalen Rechten aufgrund der Schwachstelle Dateien mit SYSTEM-Rechten löschen können. Dies könne zur Ausweitung ihrer Rechte missbraucht werden (CVE-2025-36537 / EUVD-2025-19030, CVSS 7.0, Risiko "hoch"). Detaillierter lautet die Erklärung, dass eine nicht korrekte Rechtezuweisung für eine kritische Komponente im Teamviewer Client – sowohl Full, als auch Host – von Teamviewer Remote und der Monitoring-Komponente Tensor unter Windows es Usern mit niedrigen Privilegien ermöglicht, das Löschen beliebiger Dateien mit SYSTEM-Rechten anzustoßen. Das kann über den MSI-Rollback-Mechanismus ausgelöst werden.

Das betreffe lediglich die Fernverwaltungsfunktionen Backup, Monitoring und Patch-Verwaltung. Installationen unter Windows, die keine dieser Komponenten laufen haben, seien demnach nicht anfällig. Anzeichen für Angriffe über das Internet habe Teamviewer noch nicht entdeckt. Die Teamviewer-Software in Version 15.67 korrigiert den sicherheitsrelevanten Fehler. Teamviewer empfiehlt den Kunden, auf die jüngste verfügbare Version zu aktualisieren.

Auch für ältere Versionszweige stellt Teamviewer Updates bereit: Der Teamviewer Remote Full Client für Windows und Teamviewer Remote Host für Windows enthält das Sicherheitsleck in den Versionen 15.67, 14.7.48809, 13.2.36227, 12.0.259325 und 11.0.259324 nicht mehr. Außerdem gibt es für die Software unter Windows 7 und 8 noch das Update auf 15.64.5. Sie stehen auf der Downloadseite von Teamviewer zum Herunterladen bereit.

Auch im Januar hatte Teamviewer eine Sicherheitslücke zu vermelden, die bösartigen Akteuren das Ausweiten ihrer Rechte ermöglichte. Auch da war insbesondere die Windows-Software betroffen.