Comretix Blog

Viele Medien berichten derzeit von einem angeblichen massiven Datenleck, bei dem 16 Milliarden Zugangsdaten etwa zu "Apple, Facebook, Google und anderen" (so titelt etwa die Forbes) in falsche Hände geraten seien. Quelle ist einmal mehr Cybernews – die bereits in der Vergangenheit mit massiven Übertreibungen und dem sensationsheischendem Anpreisen von Funden von Datenhalden mit alten, bereits längst bekannt geleakten Daten auffielen. Auch in diesem Fall ist Aufregung über vermeintliche Datenlecks deplatziert.

Nun schreibt Cybernews unter dem fast passenden Titel "Das 16-Milliarden-Einträge-Datenleck, von dem niemand je gehört hat", dass anonyme Sicherheitsforscher seit Jahresanfang 30 exponierte Datenhalden mit je zig Millionen bis zu 3,5 Milliarden Einträgen gefunden hätten, die sich auf 16 Milliarden Zugangsdaten summieren. Von den einzelnen Datenhalden seien keine Berichte zu finden, lediglich von einer mit 184 Millionen Zugängen. Die Datenhalden waren lediglich kurzzeitig zugreifbar, es handelte sich um zeitweilig zugreifbare ungesicherte Elasticsearch-Instanzen oder Objekt-Speicher-Instanzen.

"Die Forscher behaupten, dass die meisten Daten in den durchgesickerten Datensätzen eine Mischung aus Details von Infostealer-Malware, Credential-Stuffing-Sets und neu verpackten Lecks sind", beschreibt das Unternehmen die Datenfunde selbst. Die Daten hätten sie gar nicht effektiv abgleichen können, aber "es ist sicher anzunehmen, dass überlappende Einträge definitiv vorhanden sind. Mit anderen Worten ist es unmöglich zu sagen, wie viele Menschen oder Zugänge tatsächlich exponiert wurden".

Die Forscher hätten jedoch die meisten Informationen in klarer Struktur vorgefunden: URL gefolgt von Log-in-Details und Passwörtern, wie sie "moderne Infostealer" sammeln und ablegen. Die Datenbanken seien namentlich etwa "Logins" oder "Credentials", aber auch geografische Zuordnungen wie "Russian Federation" oder Dienste wie "Telegram" haben die Mitarbeiter gefunden. Auch das sind eher Hinweise, dass dort (bekannte) Daten aufbereitet wurden.

Daten von Infostealern landen meist in offen zugreifbaren Datenhalden, die oftmals auch entdeckt werden. Das Have-I-Been-Pwned-Projekt von Troy Hunt sammelt diese Daten inzwischen ebenfalls und kann registrierte Nutzerinnen und Nutzer warnen, sofern ihre Daten in solchen Datenfunden auftauchen. Hunt hatte bereits bei der "Mutter aller Datenlecks" (MOAB, "Mother of all Breaches"), wie Cybernews einen Datenfund Anfang 2024 übertrieben nannte, eingeordnet: Es handelte sich um eine Sammlung längst bekannter Daten. Auf unsere Anfrage zur Einschätzung dieser vermeintlich neuen Datenlecks hat Hunt bislang noch nicht reagiert.

Wer mit Krypto-Währungen und Assets hantiert, hat sicherlich zumindest mit Hardware-Wallets wie der von Ledger geliebäugelt. Einem Leser trudelte nun ein unzureichend frankierter Brief in die Hände. Damit versuchen Kriminelle, die Ledger-Krypto-Wallet zu übernehmen und leerzuräumen.

Der Brief trägt das offizielle Ledger-Logo und wirkt auch sonst professionell. Ein QR-Code prangt auf dem einseitigen Anschreiben. Den sollen Empfänger scannen und auf der Ziel-Webseite ihre Ledger-Wallet neu validieren. Die URL lautet renewledger[.]com, die zugehörige Webseite ist derzeit noch aktiv.

Beim Besuch der Webseite müssen potenzielle Opfer zunächst einen CAPTCHA lösen und belegen, dass sie Menschen sind. Danach erscheint direkt eine Eingabemaske für die 24 Wörter des Ledger-Recovery-Seeds. Die Seite sieht der originalen Ledger-Webseite recht ähnlich, jedoch fehlen Details wie Sprachumschaltung und Unterstützung für Darkmode, diverse aktuelle Produkte tauchen im Footer der Seite nicht auf. Alle Links auf der Webseite verweisen jedoch auf die echte ledger.com-Domain. Während die korrekte Ledger-Domain inzwischen etwa 30 Jahre auf dem Buckel hat, ist die gefälschte Seite seit rund 14 Tagen bei einem Web-Discounter registriert.

Sofern potenzielle Opfer tatsächlich ihre 24 Wörter des Recovery-Seeds eingeben und abschicken, ist es jedoch mit den Krypto-Assets vorbei. Die Betrüger erhalten dadurch Zugriff auf die Sicherheitskopie und können die Wallet blitzschnell leerräumen.

Im Juli 2020 hatte Ledger sich umfangreiche Kundendaten stehlen lassen. Bei rund 272.000 Kunden konnten Kriminelle so an Vor- und Nachnamen, Postanschrift und Telefonnummern gelangen. Diese Informationen sind im Darknet gelandet. Außerdem gelangten etwa eine Million E-Mail-Adressen in falsche Hände. Diese Daten dienen Kriminellen offenbar noch immer als Ausgangspunkt für ihre illegalen Machenschaften.

Zahlreiche Kunden, die ihren Urlaub bei Centerparks gebucht haben, erhalten derzeit eine E-Mail vom Unternehmen. Darin informiert es Empfänger darüber, dass es einen IT-Sicherheitsvorfall gegeben hat.

Dabei seien "einige Ihrer personenbezogenen Daten offengelegt" worden, wie Centerparks ausführen. Demnach kam es am 4. Juni 2025 zu einer Cyberattacke auf eine der Centerparks-Schnittstellen, die Kunden nutzen, die ihre Buchung telefonisch vorgenommen haben. "Sobald der Angriff erkannt wurde, wurde der Zugang zum System gesperrt und zusätzliche Sicherheitsmaßnahmen ergriffen", schreibt das Unternehmen dazu.

Es scheinen tatsächlich lediglich Kunden informiert zu werden, die per Telefon gebucht haben – Kollegen aus der Redaktion, die eine Onlinebuchung bei Centerparks vorgenommen haben, berichten, keine derartige Info-Mail erhalten zu haben.

Das Datenleck betreffe "möglicherweise" Vor- und Nachname, die E-Mail-Adresse, die Buchungsnummer sowie Aufenthaltsort und die Reisedaten. Nicht offengelegt wurden Centerparks zufolge die Bankdaten, Passwörter, Telefonnummern oder postalische Anschriften. Die Daten seien auch nicht von den Angreifern verändert worden.

Das Touristikunternehmen informiert Betroffene weiter, dass der Cyberangriff am 6. Juni gestoppt wurde. Den Vorfall habe das Unternehmen der französischen Datenschutzbehörde CNIL gemeldet. Zudem hat es Strafanzeige bei der Polizei eingereicht. "Cybersicherheitsexperten wurden beauftragt, unsere Systeme langfristig abzusichern", erklärt Centerparks weiter.

Im WordPress-Plug-in AI Engine können Angreifer eine Sicherheitslücke missbrauchen, um ihre Rechte auszuweiten und so die volle Kontrolle über die Webseite zu übernehmen. Das Plug-in ist auf mehr als 100.000 WordPress-Webseiten installiert. Ein Update zum Schließen des Sicherheitslecks steht seit kurzem zur Verfügung.

Die IT-Forscher von Wordfence haben die Sicherheitslücke entdeckt. Laut der Sicherheitsmitteilung von Wordfence geht das Problem auf eine unzureichende Autorisierung zurück, die die Ausweitung der Nutzerrechte über eine Schwachstelle in MCP (Model Context Protocol) im Plug-in AI Engine ermöglicht. "Die Schwachstelle können authentifizierte Angreifer ausnutzen, die Zugriffsrechte auf Subscriber-Level oder höher haben, um vollen Zugriff auf das MCP zu erlangen und diverse Befehle wie 'wp_update_user' auszuführen und so ihre Zugriffsrechte auf Administrator durch die Aktualisierung ihrer User-Role auszuweiten", erklären die IT-Sicherheitsforscher (CVE-2025-5071 / noch kein EUVD, CVSS 8.8, Risiko "hoch").

Die Schwachstelle lasse sich dann missbrauchen, wenn die Dev-Tools und das MCP in den Einstellungen aktiviert wurden. Standardmäßig sind diese abgeschaltet.

Die seit Mittwoch der Woche verfügbare Version 2.8.4 von AI Engine dichtet das Sicherheitsleck ab. Wer das Plug-in auf WordPress-Instanzen einsetzt, sollte die Aktualisierung nicht lange aufschieben, sondern zeitnah durchführen.

Mitte Mai wurden Sicherheitslücken in dem Plug-in TheGem bekannt, die mehr als 82.000 WordPress-Seiten gefährdet haben, sodass Angreifer hätten Schadcode einschleusen können. Ein Update steht dafür zur Verfügung. Für eine Sicherheitslücke in TI WooCommerce Wishlist von Ende Mai war das zunächst nicht der Fall, auch sie ermöglichte bösartigen Akteuren das Hochladen von Schadcode. Die mit CVSS-Höchstwert 10.0 von 10 möglichen Punkten als "kritisch" eingestufte Lücke klaffte bis in Version 2.9.2 des WordPress-Plug-ins. Inzwischen steht dort die Version 2.10.0 des Plug-ins zur Verfügung – laut Patchstack soll sie die Schwachstelle ausbessern.

Atlassian Bamboo Data Center and Server, Bitbucket Data Center and Server, Confluence Data Center and Server, Crowd Data Center and Server, Jira Data Center and Server und Jira Service Management Data Center and Server sind angreifbar.

Wie aus dem Sicherheitscenter von Atlassian hervorgeht, sind alle Schwachstellen mit dem Bedrohungsgrad "hoch" versehen. So können Angreifer ohne Authentifizierung etwa an einer Schwachstelle (CVE2025-24970) in Bitbucket Data Center and Server für DoS-Attacken ansetzen.

In Confluence Data Center und Server können Angreifer unter anderem die Anmeldung umgehen (CVE-2025-2228). Durch das erfolgreiche Ausnutzen einer Schwachstelle (CVE-2024-38816) in Crowd Data Center and Server können Angreifer unberechtigt auf Daten zugreifen. Auch wenn es zurzeit noch keine Hinweise auf Attacken gibt, sollten Admins zur Sicherheit mit dem Patchen nicht zu lange zögern.

Die folgenden Versionen enthalten Sicherheitsupdates:

In Apache Traffic Server (ATS), einem quelloffenen Proxy-Server, wurden zwei Sicherheitslücken entdeckt. Angreifer können sie missbrauchen, um damit Zugriffsbeschränkungen zu umgehen oder Denial-of-Service-Attacken auszuführen. Aktualisierte Quellen stehen bereit, um die Schwachstellen auszubessern.

Auf der oss-sec-Mailingliste haben die Entwickler Informationen zu den Sicherheitslecks veröffentlicht. Eine Schwachstelle betrifft das PROXY-Protokoll. Für die Anwendung von Zugriffskontrollen (ACLs) zieht der ATS die Client-IP-Adresse nicht heran, wodurch Unbefugte womöglich Zugriff erlangen können (CVE-2025-31698, kein CVSS-Wert, keine Risikoeinschätzung). Die aktualisierte Software bietet nun eine neue Konfigurationsoption an (proxy.config.acl.subjects), um vorzugeben, welche IP-Adresse für die ACLs der Optionen "ip_allow.config" und "remap.config" genutzt und als vertrauenswürdig eingestuft werden.

Die zweite Sicherheitslücke betrifft das ESI-Plug-in (Edge Side Includes). Angreifer können eine Denial-of-Service-Situation provozieren, da das Plug-in unter Umständen allen Speicher aufbraucht. Offenbar ist es möglich, eine unendliche Inclusion-Depth anzugegen (CVE-2025-49763, kein CVSS, keine Risikoeinschätzung). Das Software-Update fügt eine neue Einstellung für das Plug-in hinzu, den Parameter "--max-inclusion-depth" mit dem Standardwert 3. Das soll Endlos-Inklusionen verhindern.

Apache Traffic Server in den Versionen 9.0.0 bis 9.2.10 sowie 10.0.0 bis 10.0.5; die Korrekturen enthalten die Fassungen 9.2.11 und 10.0.6 oder neuere. Um die Schwachstellen auszubessern, müssen Admins die neuen Optionen konfigurieren; der Standardwert für die Inklusionstiefe des ESI-Plug-ins sollte jedoch ausreichend sein.

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat eine Einschätzung des Risikos durch die Sicherheitslücken vorgenommen. Der CERT-Bund-Sicherheitsmitteilung zufolge landet der CVSS-Wert bei 8.2, was dem Risiko "hoch" entspricht. IT-Verantwortliche sollten daher zügig die Aktualisierung auf die neuen Apache-Traffic-Server-Versionen vornehmen und die neuen Optionen konfigurieren, sofern sie die beiden Funktionen einsetzen.

Der Cisco AnyConnect VPN Server von Cisco Meraki MX und Z ist verwundbar. Außerdem können Angreifer an einer Schwachstelle in ClamAV ansetzen. Sicherheitspatches stehen zum Download bereit. Bislang gibt es keine Berichte zu Attacken.

In einer Warnmeldung führen die Entwickler aus, dass es bei der Initialisierung von VPN-Sessions zu Fehlern kommt, an denen Angreifer mit präparierten HTTPS-Anfragen ansetzen können. Das führt zu einem Neustart des VPN-Servers und einer Unterbrechung der Verbindung. Dementsprechend müssen sich Nutzer neu verbinden. Weil Angreifer die Attacke Cisco zufolge immer wieder ausführen können, kann es zu einer dauerhaften Unterbrechung kommen. Die Sicherheitslücke (CVE-2025-20271) ist mit dem Bedrohungsgrad "hoch" eingestuft.

Davon sollen die folgenden Produkte betroffen sein:

Die Entwickler geben an, das Sicherheitsproblem in den Ausgaben 18.107.13, 18.211.6 und 19.1.8 gelöst zu haben. Das Problem trete ab Version 16.2 auf. Da der Support für 16.2 und 17.6 bereits ausgelaufen ist, müssen Admins auf eine aktuelle Ausgabe upgraden.

ClamAV ist ebenfalls für eine DoS-Attacke anfällig. Die Lücke (CVE-2025-20234 "mittel") steckt in der Verarbeitung des Universal Disk Format (UDF). Scannt ClamAV präparierten UDF-Inhalte, kommt es zu Speicherfehlern und der Scanner stürzt ab. Das hat zur Folge, dass Appliances über keinen Virenschutz mehr verfügen.

Die zunehmende Nutzung von Cloud-Anwendungen des US-Softwareunternehmens Microsoft in Schweizer Bundes- und Kantons-Behörden, aber auch kommunalen Verwaltungen sowie anderen Amtsstellen, erzeugt in der Schweiz wachsenden Unmut.

Vielfach wird die Abhängigkeit von einem US-Konzern und die damit verbundene Gefährdung der digitalen Souveränität kritisiert. Die Bundesverwaltung selbst stellte dazu bereits 2023 in einer Mitteilung fest: "Faktisch ist die Bundesverwaltung heute abhängig von Office-Produkten des Herstellers Microsoft." Darüber hinaus sehen Kritiker diverse einhergehende Datenschutzrisiken, vor allem bei der Verarbeitung personenbezogener Daten in der Microsoft-Cloud.

Das hat die Grünen des Kantons Luzern nun dazu gebracht, in einem dringlichen Vorstoß einen sofortigen Stopp ("Marschhalt") des Projekts M365 (kurz für Microsoft Office 365) zu fordern. Das soll im Laufe dieses Jahres in der Verwaltung des Kantons ausgerollt werden. Die Investitionskosten sollen 5,8 Millionen Franken (ca. 6 Mio. Euro) betragen, die zusätzlichen Betriebskosten bis 2029 knapp 22 Millionen Franken (23 Mio. Euro).

Nicht nur der Datenschutzbeauftragte des Kantons Luzern hatte in seinem Tätigkeitsbericht 2024 erhebliche Kritik am Projekt geäußert. Auch das Kantonsgericht und interne Sachverständige hätten vor diesem Schritt gewarnt, schreiben die Grünen in einer Mitteilung. Luzern solle sich unabhängiger von US-Konzernen machen und Open-Source-Lösungen prüfen, wie es etwa das Schweizer Bundesgericht oder andere Verwaltungen in Europa bereits tun, so die Partei.

Die Regierung habe die bisherige Kritik ignoriert und sogar einen internen Sachverständigen freigestellt. Zudem hätte die Exekutive darauf verzichtet, Alternativen zu Microsoft zu evaluieren.

Meta will Passkeys als neue Anmeldemethode für die Facebook-App einführen. Die Funktion wird zunächst für iOS- und Android-Geräte der Facebook-App ausgerollt. Für den Messenger ist die Einführung in den kommenden Monaten geplant, wie das Unternehmen mitteilte.

Passkeys ermöglichen Nutzern die Anmeldung ohne Passwort, indem sie stattdessen den Fingerabdruck, die Gesichtserkennung oder die PIN ihres Geräts verwenden. "Passkeys sind eine neue Methode zur Identitätsverifizierung und Anmeldung, die einfacher und sicherer ist als herkömmliche Passwörter", erklärt Meta in seiner Ankündigung.

Interessanterweise ist Facebook innerhalb des Meta-Konzerns selbst ein Nachzügler. Das ebenfalls zu Meta gehörende WhatsApp unterstützt Passkeys bereits seit Oktober 2023 auf Android und seit April 2024 auch auf iOS. Die Funktion wurde damals schrittweise für Nutzer freigeschaltet und ermöglicht seither die biometrische Anmeldung in der Messenger-App.

Mit der Implementierung folgt Meta zahlreichen anderen Diensten, die Passkeys bereits unterstützen. Google, Microsoft, Apple, Amazon, PayPal, eBay, Shopify und viele weitere Anbieter haben die Technik in den vergangenen zwei Jahren in ihre Plattformen integriert. Facebook gehört damit zu den letzten großen Plattformen, die Passkeys einführen.

Von der auf dem FIDO2-Standard aufsetzenden Technik verspricht sich Meta mehrere Vorteile: Sie ist resistent gegen Phishing-Angriffe, Passwörter können nicht erraten werden und es vereinfacht die Anmeldung. Sobald die Passkey-Unterstützung für den Messenger verfügbar ist, kann derselbe Passkey, den Nutzer für Facebook einrichten, auch für den Facebook Messenger genutzt werden.

"Die Überwachung verschlüsselter Nachrichten soll durch Installation eines Programms in dem zu überwachenden Computersystem erfolgen, welches ausschließlich gesendete, übermittelte, oder empfangene Nachrichten entweder vor der Verschlüsselung oder nach Entschlüsselung ausleitet." Dieses Amtsdeutsch beschreibt den offiziellen Plan der österreichischen Bundesregierung, Malware zu kaufen und zur Überwachung von Bürgern einzusetzen, die keiner Straftat verdächtig sind – wenn andere Ermittlungsmaßnahmen aussichtslos erscheinen.

Auf die entsprechende Novelle des Spionagegesetzes SNG (Staatsschutz- und Nachrichtendienst-Gesetz), des Sicherheitspolizeigesetzes, des Telekommunikationsgesetzes 2021 und weiterer Normen haben sich die Regierungsparteien ÖVP, SPÖ und NEOS am Mittwoch geeinigt. Im vorangegangenen öffentlichen Begutachtungsverfahren ist eine Flut ablehnender Stellungnahmen zu den Vorhaben eingelangt. Ausspioniert werden sollen nicht nur verschlüsselte Nachrichten, sondern auch unverschlüsselte Nachrichten und Informationen, also sonst gespeicherte Daten.

Die Regierung verfolgt laut offiziellen Dokumente zwei Ziele: Erstens "Vorbeugung bestimmter, besonders schwerwiegender verfassungsgefährdender Angriffe", die mit zehn Jahren oder längerer Haft bedroht sind, oder wenn es zur Spionageabwehr erforderlich ist. Und zweitens die Überwachung verschlüsselter Nachrichten. Nicht erforderlich ist der Verdacht, dass eine Straftat begangen worden ist. Es

Dennoch werden auch Dritte verpflichtet, heimlich an der Überwachung mitzuwirken. Als die Volksrepublik China solche Verpflichtungen Privater einführte, hagelte es in westlichen Ländern Kritik. Im Falle Österreichs werden private Unternehmen rund 2,5 Millionen Euro pro Jahr zur Unterstützung der Überwachungsmaßnahmen aufwänden müssen, schätzt die Regierung – denn Netzbetreibern sowie Betreibern von Messengerdiensten sollen nur 80 Prozent ihres Aufwandes ersetzt werden.

Das Innenministerium geht davon aus, jährlich etwa 30-mal die Ausspähung unverschlüsselter Nachrichten zu beantragen, und 5- bis 15-mal die Überwachung verschlüsselter Nachrichten. Erst wenn in einem Kalenderjahr 30-mal tatsächlich verschlüsselte Nachrichten ausgespäht werden, muss der Innenminister den ständigen Unterausschuss des Ausschusses für innere Angelegenheiten des Nationalrates informieren. (Der Nationalrat ist die direkt gewählte Kammer des österreichischen Parlaments, Anmerkung.)

Online-Betrüger haben einen weiteren Weg gefunden, wie sie mit manipulierten Werbelinks in Suchergebnissen Opfer finden können. Sie schieben dabei Webseiten falsche Telefonnummern unter.

Die Websuche liefert offenbar Werbelinks auf die echten Webseiten – die enthalten aber unsichtbare "Extras".

(Bild: Malwarebytes)

Vor der Betrugsmasche warnt Malwarebytes aktuell. Die Täter schalten Werbeanzeigen, die auf die Support-Seiten von renommierten Unternehmen verweisen, unter anderem Apple, Bank of America, Facebook, HP, Microsoft, Netflix und Paypal. Oftmals leiten Betrüger solche Werbelinks auf gefälschte Webseiten um. In diesem Fall landen potenzielle Opfer aber tatsächlich auf den echten Webseiten der Unternehmen. Dort landen sie auf den Support-Seiten – anstatt der echten Telefonnummer zeigen sie jedoch die Telefonnummer der Betrüger an.

Die Adressleiste des Webbrowsers zeigt die korrekte Domain des gesuchten Anbieters an, wodurch bei Besuchern kein Misstrauen aufkommt. Jedoch bekommen Besucherinnen und Besucher irreführende Informationen angezeigt, da der Werbelink so manipuliert wurde, dass die Webseite die betrügerische Telefonnummer in einem Feld anzeigt, das nach einem Suchanfragenfeld aussieht.

AMD hat im Juni aktualisierte Firmware veröffentlicht, die teils hochriskante Sicherheitslücken in den Prozessoren schließt. Betroffen sind etwa die Krypto-Coprozessoren sowie das Firmware-TPM moderner Ryzen- und zum Teil auch der abgespeckten Athlon-CPUs.

In einem Sicherheits-Bulletin schreibt AMD, dass ein IT-Sicherheitsforscher eine Sicherheitslücke gemeldet hat, durch die Angreifer mit erhöhten Rechten auf die Register des Krypto-Coprozessors zugreifen können. Der ist Teil des AMD Secure Prozessor (ASP). Bei dem wiederum handelt es sich um einen integrierten Controller aller jüngeren Systems-on-Chip (SoCs), der ein Trusted Execution Environment (TEE) und eine in der Hardware verankerte Root of Trust bereitstellt und etwa den Systemstart absichert.

Durch unzureichende Zugriffskontrolle des ASP können der Beschreibung zufolge Angreifer unbefugt auf die Register des Krypto-Coprozessors des ASPs zugreifen. Das kann in den Verlust der Kontrolle über Pointer und Indizes kryptografischer Schlüssel führen, was einen "Verlust an Integrität und Vertraulichkeit" bewirkt (CVE-2023-20599 / EUVD-2023-24778, CVSS 7.9, Risiko "hoch").

Bemerkenswert: Am Abdichten der Schwachstelle hat AMD zwei Jahre gebastelt, die wurde bereits 2023 gemeldet. OEMs stellt AMD aktualisierte Firmware bereit, die Liste der betroffenen Prozessoren im Sicherheits-Bulletin bleibt überschaubar.

AMD stellt zudem ein Firmware-basiertes Trusted Platform Modul (fTPM) in vielen Prozessoren bereit. Es nutzt ebenfalls den ASP und setzt auf der TPM-2.0-Referenzimplementierung der Trusted Computing Group auf. In dieser Referenzumsetzung erlaubt eine Schwachstelle, über das Ende vorgesehener Speicherbereiche hinaus zu lesen, erörtert AMD in einer Sicherheitsnotiz. Apps im Usermode können bösartig präparierte Befehle an das fTPM schicken und damit darin abgelegte Daten auslesen oder "die Verfügbarkeit des TPM beeinflussen", sprich, es zum Absturz bringen (CVE-2025-2884 / EUVD-2025-17717, CVSS 6.6, Risiko "mittel"). "AMD hat den Bericht der Trusted Computing Group untersucht und geht davon aus, dass AMDs Firmware-TPM von der Schwachstelle betroffen ist", schreiben die Ingenieure weiter.

Wenn Angreifer Sicherheitslücken in Veeam Backup & Replication und Veeam Agent for Windows erfolgreich ausnutzen, können sie im schlimmsten Fall Backup-Server mit Schadcode kompromittieren. Sicherheitspatches stehen zum Download bereit.

Wie die Entwickler in einer Warnmeldung ausführen, haben sie insgesamt drei Softwareschwachstellen geschlossen. Über eine "kritische" Lücke (CVE-2025-23121) kann ein Angreifer, der als Domainnutzer identifiziert ist, Schadcode ausführen. Damit Attacken auf die zweite Schwachstelle (CVE-2025-24286 "hoch") klappen, muss ein Angreifer als Backup Operator authentifiziert sein. Ist das gegeben, kann er Schadcode ausführen.

Die Entwickler versichern, beide Sicherheitslücken in Veeam Backup & Replication 12.3.2 (build 12.3.2.3617) geschlossen zu haben.

Veeam Agent for Windows ist ebenfalls für Schadcode-Attacken anfällig (CVE-2025-24287 "mittel"). An dieser Stelle schafft die Version 6.3.2 (build 6.3.2.1205) Abhilfe. Wie Attacken in allen Fällen ablaufen könnten, ist bislang unklar. Derzeit gibt es keine Berichte zu Attacken. Das kann sich aber schnell ändern. Dementsprechend sollten Admins ihre Systeme zeitnah auf den aktuellen Stand bringen.

Zuletzt haben die Entwickler im März dieses Jahres eine kritische Sicherheitslücke in Veeam Backup & Replication geschlossen.

Vor Sicherheitslücken in mehreren Produkten warnt Citrix aktuell. In Netscaler ADC und Gateway klafft etwa ein kritisches Sicherheitsleck, aber auch der Citrix Secure Access Client und die Workspace App für Windows weisen Schwachstellen auf. Citrix hat aktualisierte Software bereitgestellt, die die Lücken schließt.

In Netscaler ADC und Gateway können Angreifer auf nicht näher erläutertem Wege Speicherbereiche außerhalb vorgesehener Grenzen lesen, was auf unzureichende Prüfung von übergebenen Daten zurückgeht (CVE-2025-5777 / EUVD-2025-18497, CVSS 9.3, Risiko "kritisch"). Zudem nutzt das Netscaler Management Interface unzureichende Zugriffskontrollen und ermöglicht dadurch offenbar unbefugte Zugriffe (CVE-2025-5349 / EUVD-2025-18494, CVSS 8.7, Risiko "hoch"). Die Schwachstellen haben die Entwickler laut Sicherheitsmitteilung in den Versionen Netscaler ADC und NetScaler Gateway 14.1-43.56 sowie 13.1-58.32, Netscaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.235 sowie in Netscaler ADC 12.1-FIPS 12.1-55.328 ausgebessert. Auch Secure Private Access on-prem und Secure Private Access Hybrid-Instanzen sind verwundbar.

In einer weiteren Sicherheitswarnung beschreibt Citrix eine Lücke in Netscaler Console und SDX, durch die Angreifer beliebige Daten lesen können (CVE-2025-4365 / EUVD-2025-18493, CVSS 6.9, Risiko "mittel"). Netscaler Console 14.1.47.46 und 13.1.58.32 stopfen das Leck ebenso wie Netscaler SDX (SVM) 14.1.47.46 und 13.1.58.32.

Außerdem berichtet Citrix von einer Sicherheitslücke in Secure Access Client für Windows. Aufgrund unzureichender Rechteverwaltung können lokale Nutzer ihre Rechte zu SYSTEM ausweiten (CVE-2025-0320 / EUVD-2025-18498, CVSS 8.5, Risiko "hoch"). Wie bei den anderen Lücken erörtern die Entwickler nicht, wie das konkret zustande kommt und wie Angriffe aussehen können. Das Problem korrigiert jedoch Citrix Secure Access Client für Windows 25.5.1.15.

Schließlich klafft noch in der Citrix Workspace App für Windows eine Sicherheitslücke. Auch hier nennen die Entwickler nur allgmein eine unzureichende Rechteverwaltung, die Nutzern die Ausweitung ihrer Rechte auf SYSTEM ermöglichen (CVE-2025-4879 / EUVD-2025-18569, CVSS 7.3, Risiko "hoch"). Citrix Workspace App für Windows 2409, 2402 LTSR CU2 Hotfix 1 und 2402 LTSR CU3 Hotfix 1 bringen Fehlerkorrekturen zum Ausbessern der Schwachstelle mit.

Die Internetriesen Meta und Yandex sind beim Tracken ihrer Nutzer erwischt worden. Das klingt kaum nach einer Neuigkeit, doch der Knackpunkt ist die Art und Weise dieses Trackings: Facebook, Instagram, Yandex Maps und einige andere Yandex-Apps haben Nutzer auch dort verfolgt, wo es weder vertretbar noch technisch möglich erscheint: im Browser außerhalb der App.

"23andme hat dabei versagt, grundlegende Maßnahmen zum Schutz personenbezogener Daten zu setzen", zeiht John Edwards, Chef der britischen Datenschutzbehörde, das US-Unternehmen für Genanalysen, "Ihre Sicherheitssysteme waren inadäquat, die Warnsignale waren da und die Firma hat langsam reagiert." Das Ergebnis ist bekannt: Fast sieben Millionen Datensätze von Kunden 23andmes gelangten 2023 in falsche Hände und im Darknet zum Verkauf. Edwards Behörde verhängt nun eine Strafe von umgerechnet gut 2,7 Millionen Euro über die Genfirma.

Die der Strafe zugrundeliegende Untersuchung war gemeinsame Arbeit der britischen und der kanadischen Bundesdatenschutzbehörde. Letztere darf, sehr zum anhaltenden Ärger ihres Chefs Philippe Dufresne, keine Strafen verhängen, sondern muss sich auf die Feststellung beschränken, dass 23andme kanadisches Datenschutzrecht verletzt hat. Von der illegalen Offenlegung dürften etwa 320.000 Kanadier und rund 150.000 Briten betroffen sein.

Die Methode des Angreifers war banal: Credential Stuffing. Dabei werden Logins und Passwörter, die bei Einbrüchen in andere Dienste offengelegt worden sind, ausprobiert. Hat der User die gleiche Kombination eingesetzt, und gibt es keine Multifaktor-Authentifizierung, kann sich der Angreifer einloggen. Das ist bei 23andme im Jahr 2023 bei über 18.000 Konten gelungen. Viele 23andme-Kunden haben in ihren Konten die Option aktiviert, ihre Daten mit Verwandten zu teilen. Daher konnte der Angreifer über gut 18.000 Konten die Daten von fast sieben Millionen Menschen abgreifen.

Fünf Monate lang, ab Ende April 2023, konnte der Täter ungestört ein Passwort nach dem anderen ausprobieren. Denn, so die kanadische und die britische Behörde, 23andme hatte ineffektive Erkennungssysteme sowie unzulängliches Logging und Monitoring. Zudem sei die Untersuchung von Anomalien inadäquat gewesen, sonst hätte 23andme die Vorgänge Monate früher als erst im Oktober 2023 erkannt.

Hinzu kommt unzureichende Vorbeugung. Die beiden Behörden kritisieren, dass 23andme keine verpflichtende Multifaktor-Authentifizierung (MFA) hatte, dass es nicht überprüft hat, ob Kunden anderswo kompromittierte Passwörter wiederverwenden, dass es keine zusätzliche Überprüfung bei der Anforderung der Gen-Rohdaten gab, und dass die Passwortregeln zu lasch waren: 23andme schrieb mindestens achtstellige Passwörter mit "minimalen Komplexitätsregeln" vor; eine Richtlinie der britischen Datenschutzbehörde ICO (Information Commissioner's Office) empfiehlt mindestens zehnstellige Passwörter ohne Zwang der Verwendung von Sonderzeichen und ohne Längenbeschränkung.

Im Kampf gegen die internationale Wirtschaftskriminalität im Internet und betrügerische Plattformen haben baden-württembergische Behörden fast 800 illegale Websites beschlagnahmt. Das Cybercrime-Zentrum bei der Generalstaatsanwaltschaft Karlsruhe und das Landeskriminalamt (LKA) Baden-Württemberg arbeiteten dafür mit der europäischen Polizeibehörde Europol und bulgarischen Strafverfolgungsbehörden zusammen.

"Die beschlagnahmten Domains wurden auf eine vom Landeskriminalamt Baden-Württemberg gehostete Beschlagnahmeseite umgeleitet und können nun nicht mehr zur Begehung von Straftaten genutzt werden", hieß es weiter. "Durch die Maßnahmen wurden die kriminellen Akteure erheblich geschwächt, indem ihre technische Infrastruktur gezielt außer Kraft gesetzt wurde." Allein seit der Umleitung in den vergangenen zwei Wochen stellten Strafverfolger den Angaben nach rund 616.000 Zugriffe auf die übernommenen Seiten fest.

Es geht dabei um eine relativ neue Betrugsmasche namens "Cybertrading Fraud". Die Kriminellen machen gutgläubigen Opfern Hoffnung, per Mausklick vor allem im Bereich Kryptowährungen große Gewinne zu erzielen. Im Internet bewerben sie ihre Angebote laut dem Sicherheitsbericht des Innenministeriums auf seriös wirkenden Seiten. In der Regel sei eine einfache Registrierung erforderlich.

Dann meldeten sich vermeintliche Brokerinnen und Broker telefonisch, um eine erste Investition von meist 250 Euro zu fordern. Diese sei scheinbar sofort erfolgreich. Gelegentlich gebe es sogar kleinere Auszahlungen. "Diese Erfolge sowie das geschickte und intensive Einwirken der vermeintlichen Brokerin oder des vermeintlichen Brokers verleiten dazu, mehr Geld zu investieren", schreiben die Fachleute. Die Kriminellen übten oft massiven Druck aus. Doch sobald die Menschen ihre angeblichen Gewinne ausgezahlt haben wollten, seien Internetseite und Ansprechpersonen häufig nicht mehr erreichbar.

Laut dem Sicherheitsbericht 2024 registrierten die Behörden einen Anstieg auf 1036 Fälle. Mehr als doppelt so viele Taten seien zudem aus dem Ausland begangen worden. "Erklärungen hierfür sind die hohe Reichweite der Internetplattformen, die Hoffnung vieler Geschädigter, per Mausklick eine große Rendite zu erwirtschaften und deren Gutgläubigkeit", heißt es.

Die Diskussionskultur im Internet hat sich in den letzten 25 Jahren verändert, nicht immer zum Guten. Kai-Uwe Lassowski, zuständig für das heise-Forum, das es seit über 25 Jahren gibt, beobachtet, dass das Internet "immer mehr zu einem Abbild der Gesellschaft wurde und dementsprechend auch ähnliche Probleme mit sich gebracht hat". War es früher ein "kleiner Haufen Nerds, die da sich freundlich und interessiert ausgetauscht haben", ist es heute eine "viel, viel breitere Masse", die "ein anderes Empfinden hat an die Standards, die da herrschen sollten".

Um einen freundlichen Umgangston zu gewährleisten, gibt es Nutzungsbedingungen, die Beleidigungen, diskriminierende Äußerungen oder Aufrufe zu Straftaten verbieten. Beiträge, die dagegen verstoßen, können gemeldet und gesperrt werden. Kai-Uwe Lassowski erklärt, dass im heise-Forum nur "zwei, drei Prozent aller Beiträge" gesperrt werden. Die Moderation erfolgt anlassbezogen durch User-Meldungen oder durch ein System mit Schlagwörtern. Dabei muss der Kontext genau geprüft werden, denn manche Begriffe wie "Goldstück" sind, obwohl auf den ersten Blick harmlos, im Kontext von Diskussionen über Flüchtlinge eine "rassistische Bezeichnung".

Jutta Brennauer von den Neuen Deutschen Medienmacher*innen sieht einen Zusammenhang zwischen Hass im Netz und rechtsextremer Gewalt im analogen Raum. Zahlen des BKA belegen, dass die "große Mehrheit von digitaler Gewalt aus dem rechtsextremen Spektrum stammt". Hasspostings verzeichneten 2024 einen Anstieg von 34 %. Die Studie "Lauter Hass, leiser Rückzug" zeigt, dass fast jede zweite Person online beleidigt wurde und ein Viertel mit körperlicher Gewalt bedroht wurde. Jutta Brennauer betont: "Hass im Netz kann zwar alle treffen, aber er trifft nicht alle gleich." Besonders betroffen sind "junge Frauen, Menschen mit Rassismuserfahrung, queere Menschen, Menschen mit sichtbarem Migrationshintergrund".

Digitale Gewalt hat ernste Folgen, die oft unterschätzt werden. "Nur weil er online erlebt wird, auf sozialen Medien zum Beispiel, hat er aber auch Auswirkungen auf die Offline-Welt", erklärt Brennauer. Betroffene leiden unter "körperlichen, psychischen Folgen, aber auch beruflichen Folgen", wie Depressionen oder Schlafstörungen. Journalist*innen ziehen sich aufgrund dieser Erfahrungen aus ihrem Beruf zurück. Die Verharmlosung digitaler Gewalt wird der Schwere des Themas nicht gerecht.

Die gemeinnützige, internationale Organisation "Save the Children" hat einen kostenfreien Leitfaden für öffentliche Einrichtungen wie Schulen, Kindergärten oder auch Vereine herausgegeben, um stärker dafür zu sensibilisieren, wie Pädokriminelle im Internet veröffentlichte Fotos und Videos von Kindern für ihre Zwecke missbrauchen. Er klärt darüber auf, wie Einrichtungen ihre eigene Medienarbeit so verändern können, dass Kinder und Jugendliche im Netz besser geschützt werden. Dafür enthält er auch konkrete Beispiele, wie Pädokriminelle vorgehen, welches Material sie gerne suchen, kommentieren und weiterverarbeiten. Jugendschutz.net ist als Kooperationspartner am Leitfaden beteiligt.

Abwehrende Sätze, wie diese, hat vermutlich schon jeder Mensch einmal gehört, der die Veröffentlichung von einem Kinderfoto im Netz beispielsweise im Bekanntenkreis kritisiert hat: "Das ist doch nur ein schönes Foto!"; "Das macht gute Laune!", "Das ist doch total harmlos!". Genau hier setzt der Leitfaden von Save the Children an. Was für die einen völlig harmlos erscheint, sogar als geteilte Freude gilt, ist für die anderen neues Material für ihre Missbrauchsfantasien.

Wie Save the Children klarmacht, werden sogenannte Alltagsaufnahmen von Kindern und Jugendlichen gezielt aus sozialen Netzwerken und von Webseiten gestohlen und in speziellen Internetforen von Pädokriminellen hochgeladen. Dort werden sie "milliardenfach aufgerufen, getauscht und kommentiert. Das geschieht etwa mit sexualisierenden Texten, sexuellen Lauten oder bestimmten Hashtags und Emojis." In Zeiten von leicht zugänglichen KI-Tools gehen Pädokriminelle aber auch noch einen Schritt weiter. Sie können mittels KI-Tools existierende Aufnahmen täuschend echt verändern. Mit Deepnude-Generatoren oder auch Nudifiern können dadurch auch Bilder von bekleideten Kindern mit wenigen Klicks zu Nacktaufnahmen werden.

Jasmin Wahl, Leiterin des Bereichs Sexualisierte Gewalt bei jugendschutz.net, erklärt hierzu: "Die Sexualisierung von Aufnahmen, die Kinder und Jugendliche in alltäglichen Situationen zeigen, ist ein Phänomen, welches wir seit Jahren bei der Bearbeitung von Hinweisen und Recherchen beobachten – in zum Teil drastischen Ausprägungen. Neue technologische Entwicklungen, die eine Manipulation von Bildern und Videos ermöglichen, verstärken das Problem. Das Bewusstsein für Risiken auch in Institutionen und Organisationen zu schärfen, ist deshalb von großer Relevanz". Jugendschutz.net ist das gemeinsame Kompetenzzentrum von Bund, Ländern und Landesmedienanstalten für den Schutz von Kindern und Jugendlichen im Internet, das unter anderem in seinem jüngsten Jahresbericht schon auf die Deep-Nude-Problematik aufmerksam machte.

Normalweise wurden in den vergangenen Jahren insbesondere Eltern immer wieder auf die Gefahren von Kinderfotos im Internet hingewiesen. Britt Kalla, Expertin für institutionellen Kinderschutz bei Save the Children Deutschland und Autorin des Leitfadens, unterstreicht allerdings, dass Pädokriminelle überall dort nach Material suchen, wo es zur Verfügung gestellt wird. Da mittlerweile auch Kindergärten, Schulen, Horte, Sport- und Musikvereine und andere Organisationen über Internetauftritte oder Social-Media-Profile verfügen und dort gerne auch werbliche Fotos hochladen, richtet sich der Leitfaden (PDF) nun an diese Einrichtungen – er soll eine publizistische Lücke schließen. "Wir möchten Verantwortlichen in Institutionen und Organisationen Wissen an die Hand geben, um informiert zu entscheiden, welche Bilder sie teilen und welche besser nicht. Dabei schauen wir auch kritisch auf unsere eigenen Veröffentlichungen – immer mit dem Ziel, Kinder und ihre Rechte bestmöglich zu schützen."

Eine Sicherheitslücke klafft in diversen Betriebssystemen von Apple – und Angreifer nutzen die bereits in freier Wildbahn aus. Der Hersteller stellt aktualisierte Betriebssystemversionen bereit, die die Schwachstelle ausbessert. Nutzerinnen und Nutzer sollten sicherstellen, dass sie installiert sind.

Die neu attackierte Schwachstelle betrifft nach Apples Angaben Messages. "Ein Logikfehler kann bei der Verarbeitung von bösartig präparierten Fotos oder Videos auftreten, die mittels eines iCloud-Links geteilt wurden", schreiben die Entwickler dazu (CVE-2025-43200 / EUVD-2025-18428, CVSS steht noch aus, Risikoeinstufung fehlt derzeit). Sie erklären weiter: "Apple weiß von einem Bericht, demzufolge dieses Problem in einem extrem ausgeklügelten Angriff gegen bestimmte Zielpersonen ausgenutzt worden sein könnte." Das Problem löst Apple, indem aktualisierte Betriebssysteme hier verbesserte Prüfungen vornehmen.

Der Schwachstelleneintrag stammt vom Montag dieser Woche. Sicherheitsmitteilungen zu den diversen Betriebssystemen und -versionen hat Apple hingegen bereits am Donnerstag vergangener Woche aktualisiert oder neu veröffentlicht.

Ein weiteres Sicherheitsleck, das in einigen Mitteilungen zu den Sicherheitsupdates Erwähnung findet und bereits in Angriffen missbraucht wurde, betrifft den Teilbereich Barrierefreiheit. Es geht dabei um den USB-Anschluss von gesperrten Geräten, wobei Angreifer den USB Restricted Mode umgehen konnten; der Missbrauch dieser Schwachstelle wurde bereits im Februar bekannt (CVE-2025-24200 / EUVD-2025-3671, CVSS 6.1, Risiko "mittel").

Die neu bekannt gewordene und im Netz angegriffene Sicherheitslücke schließen folgende Betriebssystemversionen: