Comretix Blog

In der aktuellen Folge 136 des c't-Datenschutz-Podcasts sprechen Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich mit Carolin Loy über die Arbeit und Haltung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Loy (LinkedIn-Profil) leitet dort den Bereich Digitalwirtschaft, ist Pressesprecherin und hat Einblick in viele aktuelle Datenschutzthemen – von Künstlicher Intelligenz bis hin zu Cookie-Bannern. Sie hatte die vorvergangene Episode 134 im heise-Forum kritisch kommentiert und folgte postwendend einer darauffolgenden Einladung von Heidrich.

Carolin Loy in der Auslegungssache

Zum Start geht es aber zunächst um ein 45-Millionen-Euro-Bußgeld gegen die deutsche Vodafone GmbH. Die Bundesdatenschutzbeauftragte verhängte diese Summe, weil Vodafone Partneragenturen nicht ausreichend kontrollierte und die Kundenauthentifizierung bei E-SIMs mangelhaft war. Auffällig: Vodafone akzeptierte das Bußgeld schnell, arbeitete bei der Aufklärung mit und spendete zusätzlich an gemeinnützige Organisationen.

Einen zweiten Schwerpunkt bildet ein Beschluss des Oberlandesgerichts Köln zu Metas Plänen, öffentliche Facebook- und Instagram-Profile zum Training von KI-Systemen zu nutzen. Das Gericht entschied im Eilverfahren, zu dem noch keine schriftliche Begründung vorliegt: Meta darf diese Daten ohne ausdrückliche Einwilligung der Nutzer heranziehen. Die Interessen von Meta seien berechtigt, zudem hätte Meta Nutzern Widerspruch ermöglicht.

In der Podcast-Episode geht es unter anderem um die Frage, ob Nutzer wirklich damit rechnen müssen, dass alte und öffentliche Posts zu KI-Zwecken verarbeitet werden, und ob der Umgang mit sensiblen Daten ausreichend berücksichtigt wird. Loy betont, dass die Rechtslage nicht immer dem Bauchgefühl entspricht und verweist auf europäische Vorgaben, nach denen das KI-Training grundsätzlich auch ohne Einwilligung möglich sein kann, solange bestimmte Bedingungen erfüllt sind.

Palo Alto Networks hat Sicherheitsmitteilungen zu Schwachstellen in mehreren Produkten wie dem PAN-OS-Betriebssystem oder der GlobalProtect-App herausgegeben. Angreifer können die Sicherheitslücken missbrauchen, um Befehle einzuschleusen und mit erhöhten Rechten auszuführen, Schadcode einzuschleusen und auszuführen oder unbefugt Traffic einzusehen.

Der Hersteller spielt das Risiko der Sicherheitslücken in seinen Mitteilungen herunter, da er lediglich die Einstufung im Zeitverlauf (CVSS-BT) verwendet und nicht die für das akute Risiko (CVSS-B), das stets höher ist und das auch andere Hersteller verwenden. Im PAN-OS-Betriebssystem meldet Palo Alto drei Sicherheitslücken, von denen zwei hochriskant sind. Authentifizierte administrative User können aufgrund einer Befehlsschmuggel-Lücke Aktionen als "root"-Nutzer ausführen. Das Risiko ist größer, wenn das Management-Interface im Internet erreichbar ist (CVE-2025-4231 / noch kein EUVD, CVSS 8.6, Risiko "hoch"). PAN-OS 11.0.3 sowie 10.2.8 und neuer korrigieren das Problem.

Ähnlich gelagert ist die zweite Befehlsschmuggel-Lücke in PAN-OS, die zudem das Umgehen von Sicherheitsbeschränkungen ermöglicht und beliebige Befehle als "root" ausführt. Angreifer müssen dafür authentifziert sein und Zugriff auf das Kommandozeilen-Interface haben (CVE-2025-4230 / noch kein EUVD, CVSS 8.4, Risiko "hoch"). PAN-OS 11.2.6, 11.1.10, 10.2.14 sowie 10.1.14-h15 und jeweils neuere bessern die Schwachstelle aus; Admins mit älteren Fassungen sollen auf diese unterstützten Versionen migrieren. Das SD-WAN-Feature von PAN-OS weist zudem eine Schwachstelle auf, durch die Unbefugte unverschlüsselte Daten einsehen können, die die Firewall durch das SD-WAN-Interface schickt (CVE-2025-4229, CVSS 6.0, Risiko "mittel"). PAN-OS 11.2.7 (soll im Juni erscheinen), 11.1.10, 10.2.17 und 10.1.14-h16 (im Juli erwartet) dichten das Leck ab.

Im VPN-Client GlobalProtect filtert die Log-Funktion unter macOS einige Zeichen nicht korrekt, wodurch nicht-Admins ihre Rechte zu "root" ausweiten können (CVE-2025-4232, CVSS 8.5, Risiko "hoch"). Die GlobalProtect-App 6.3.3 und 6.2.8h2 (im Junin erwartet) für Mac stopfen die Lücke. Durch unzureichende Zugriffskontrolle können einige Pakete unverschlüsselt bleiben, anstatt ordentlich gesichert über den VPN-Tunnel zu laufen (CVE-2025-4227, CVSS 2.0, Risko "niedrig"). GlobalProtect 6.3.2-566, 6.3.3-h1 sowie 6.2.8-h2, die letzten beiden werden im Juni erwartet, für macOS und Windows bessern den Fehler aus.

Zudem ermöglicht eine Sicherheitslücke in Palo Alto Networks Cortex XDR Broker VM authentifizierten Admins, bestimmte Dateien in der Broker-VM auszuführen und dabei ihre Rechte auf "root" auszuweiten (CVE-2025-4228 / noch kein EUVD, CVSS 4.6, Risiko "mittel").

Sicherheitslücken in Schutzsoftware von Trend Micro machen Computer angreifbar. Betroffen sind die Produkte Apex Central2019, Apex CentrallAll, Apex OneAll, Apex One as a Service2019, Apex One as a ServiceAll, Internet Security, Maximum Security, Worry-Free Business Security und Worry-Free Business Security Services.

Am gefährlichsten gelten zwei "kritische" Schwachstellen (CVE-2025-49219, CVE-2025-49220) in Apex Central2019 und Apex CentrallAll. Wie aus der knappen Beschreibung der Warnmeldung hervorgeht, können Angreifer daran aus der Ferne für Schadcode-Attacken ansetzen. Wie solche Angriffe im Detail ablaufen könnten, ist bislang unklar. Die Entwickler versichern, die Lücken in den Ausgaben Apex Cental (on-prem) CP B7007 und Apex Central as a Service April 2025 Monthly Release geschlossen zu haben.

Apex One ist einem Beitrag zufolge in mehreren Versionen attackierbar. Im schlimmsten Fall können Angreifer in diesem Kontext Schadcode ausführen (CVE-2025-49155 "hoch"). Es gibt aber noch weitere Lücken. Repariert sind die Ausbaben Apex One SP1 CP Build 14002 und Apex One as a Service Security Agent Version: 14.0.14492.

In Internet Security 17.8.1464 haben die Entwickler eine Schwachstelle (CVE-2025-49384 "hoch") geschlossen. Darüber können sich Angreifer höhere Nutzerrechte verschaffen. Maximum Security ist in der Ausgabe 17.8.1464 (CVE-2025-49385 "hoch") geschützt. Über eine Sicherheitslücke (CVE-2025-49154 "hoch") in Worry-Free Business Security können Angreifer unberechtigt auf Systeme zugreifen.

Zuletzt sorgten mehrere Schwachstellen etwa in Deep Security Agent von Trend Micro im April für Schlagzeilen. Hier sind unter anderem DoS-Attacken möglich.

Die vergangene Woche bekanntgewordene kritische Sicherheitslücke in Roundcube Webmail wird inzwischen im Netz attackiert. Die Shadowserver Foundation sieht derzeit noch zigtausende verwundbare Instanzen, die frei im Netz zugreifbar sind. IT-Verwalter sollten zügig die verfügbaren Updates herunterladen und installieren.

Auf Mastodon informiert die Shadowserver Foundation über tausende verwundbare Roundcube-Systeme. Sie alle sind anfällig für eine Schwachstelle, durch die authentifizierte User Schadcode einschleusen und ausführen können, da der "_from"-Parameter einer URL in "program/actions/settings/upload.php" nicht überprüft wird, was zur Deserialisierung von PHP-Objekten führt (CVE-2025-49113 / EUVD-2025-16605, CVSS 9.9, Risiko "kritisch"). Die Sicherheitslücke missbrauchen Kriminelle im Internet, die US-amerikanische IT-Sicherheitsbehörde CISA hat sie deshalb Anfang der Woche in den Katalog der ausgenutzten Schwachstellen (Known Exploited Vulnerabilities Catalogue, KEV) aufgenommen.

Insgesamt sah die Shadowserver Foundation am Mittwoch 66.801 Roundcube-Webmail-Instanzen weltweit, die verwundbar sind. Davon stehen in den USA mehr als 15.000 Systeme, in Indien 12.000 und bereits an dritter Stelle folgt Deutschland mit noch mehr als 10.500 anfälliger Systeme. Insgesamt fiel die Gesamtzahl um rund 18.000 Systeme, am Dienstag der Woche waren weltweit noch knapp 85.000 Systeme mit der Schwachstelle im Netz.

Einige Admins kommen also ihrer Aufgabe nach und patchen die verwundbaren Systeme bereits. IT-Verantwortliche sollten nun dringend das Update auf die nicht mehr verwundbaren Versionen Roundcube 1.5.10 und 1.6.11 oder neuere vornehmen und so ihre Netzwerkumgebung vor Angriffen absichern. Leider nennen die CISA und auch Roundcube keine Indizien für Angriffe (Indicators of Compromise, IOCs), anhand derer Admins prüfen können, ob ihre Systeme bereits (erfolgreich) angegriffen wurden.

Die Mozilla-Entwickler haben das Mailprogramm Thunderbird in aktualisierten Fassungen veröffentlicht. Sie schließen eine Sicherheitslücke beim Verarbeiten von HTML-E-Mails, durch die Angreifer unter anderem unbefugt an Zugangsdaten gelangen können.

Die Mozilla-Stiftung hat zwei Sicherheitsmitteilungen dazu veröffentlicht, eine für Thunderbird 129.0.2 und eine für Thunderbird 128.11.1. Angreifer können die Sicherheitslücke durch den Einsatz von sorgsam präparierten "mailbox:///"-Links missbrauchen. Diese Links können laut Schwachstellenbeschreibung automatisch unaufgefordert zum Herunterladen von PDF-Dateien auf den Desktop oder in das User-Verzeichnis von Thunderbird-Nutzerinnen und -Nutzern führen, ohne ein Rückfrage zu erzeugen. Und das sogar dann, wenn Auto-Speichern nicht aktiviert ist.

Dadurch könnten Angreifer die Festplatte mit Müll-Daten verstopfen, schreiben die Entwickler, etwa durch die Nutzung von "/dev/urandom" unter Linux. Wenn bösartige Akteure sorgsam präparierte E-Mails mit derartig aufbereiteten SMB-Links an potenzielle Opfer schicken, kann die Anzeige der Mail im HTML-Modus zur Übermittlung von Windows-Zugangsdaten führen.

Die Mozilla-Programmierer schränken ein, dass Nutzerinteraktion nötig sei, um PDF-Dateien durch die Lücke herunterzuladen. Jedoch könne optische Verschleierung den Download-Auslöser verstecken. Das einfache Anzeigen von HTML-E-Mails reicht bereits aus, um externe Inhalte herunterzuladen.

Die Schwachstelle hat den CVE-Eintrag CVE-2025-5986 erhalten, die Enisa führt sie unter der Nummer EUVD-2025-18099. Mit einem CVSS-Wert von 6.5 gelangt sie zur Risikoeinstufung "mittel". Die Mozilla-Entwickler schätzen die Schwachstelle hingegen als Risiko "hoch" ein.

Mehrere Produkte von Fortinet sind verwundbar. Angreifer können an Sicherheitslücken in FortiADC, FortiAnalyzer, FortiClientEMS, FortiClientWindows, FortiManager, FortiManager Cloud, FortiOS, FortiPAM, FortiProxy, FortiSASE und FortiWeb ansetzen. Im schlimmsten Fall kann es zur Ausführung von Schadcode kommen.

Wie aus dem Sicherheitsbereich der Fortinet-Website zu entnehmen ist, ist der Großteil der Schwachstellen mit dem Bedrohungsgrad "mittel" eingestuft. Dort finden Admins auch Hinweise zu den gepatchten Versionen. Die Auflistung in diesem Beitrag sprengt den Rahmen dieser Meldung.

Am gefährlichsten gilt eine Lücke (CVE-2025-31104 / EUVD-2025-17797, CVSS 7.0, Risiko "hoch") in FortiADC. Weil bestimmte Teile von OS-Befehlen nicht ausreichend bereinigt werden, können authentifizierte Angreifer über präparierte HTTP-Anfragen Schadcode einschleusen und ausführen.

Nutzen Angreifer eine Schwachstelle (CVE-2024-54019 / EUVD-2025-17801, CVSS 4.4, Risiko "mittel") in FortiClientWindows erfolgreich aus, können sie etwa via DNS-Spoofing VPN-Verbindungen umleiten. Solche Attacken sollen ohne Authentifizierung möglich sein.

FortiOS ist unter anderem über eine Lücke (CVE-2024-50562 / kein EUVD, CVSS 4.4, Risiko "mittel") attackierbar und Angreifer können sich unbefugt Zugriff auf das SSL-VPN-Portal verschaffen. Dafür müssen sie aber im Besitz eines entsprechenden Cookies sein.

"Einfach und digital" sollen Übernachtungen mit dem Angebot des Berliner Start-ups Numa sein – also ohne Rezeption und vergleichbare Interaktionen, bei denen Reisende auf eine Anwesenheit anderer Menschen angewiesen sind. Doch etwas zu einfach geraten war wohl auch das Verständnis von Datensicherheit und Datenschutz bei Numa, wie zuerst Zeit Online berichtete.

Ein Mitglied des Chaos Computer Clubs (CCC), das den Anbieter nutzte, stellte erst fest, dass nicht nur die Rechnungsnummern buchhalterisch korrekt fortlaufend waren, wie der CCC auch in einer eigenen Mitteilung erörtert. Sondern auch die IDs der digitalen Dokumente – und konnte so durch simplen ID-Austausch in der Webadresse theoretisch alle Rechnungen des Anbieters einsehen, inklusive aller abrechnungsrelevanten Daten der Kunden.

Numa verlangte von den Nutzern zudem im Prozess des digitalen Check-ins das Hochladen einer amtlich bestätigten Identität, also etwa eines Personalausweises oder Reisepasses. Doch nach dem digitalen Check-in auf der Anbieterwebsite fand der CCCler laut Darstellung des Clubs auch noch ein JSON-Objekt "mit Name, E-Mail-Adresse, Telefonnummer und Ausweisdaten. Wir konnten weder nachvollziehen – noch verstehen – welchem Zweck dieses JSON-Objekt dienen sollte." Auch hier war laut Darstellung des Chaos Computer Clubs der Zugriff auf die Identitätsdaten Dritter möglich.

Der CCC informierte daraufhin den Betreiber sowie die zuständige Berliner Datenschutzaufsichtsbehörde. Laut Zeit Online informierte auch der Betreiber die Berliner Datenschutzbeauftragte von der Datenlücke. Laut Berliner Landesdatenschutzbeauftragter erfolgte die Meldung durch den CCC am 5. Juni und durch das Unternehmen am 6. Juni. Unklar ist, ob alle Betroffenen durch Numa bereits informiert wurden – Zeit Online berichtet, dass der Schritt bereits erfolgt sei, laut Berliner Datenschutzaufsicht soll dies im Laufe dieser Woche passieren.

Zwar scheint die Reaktion des Unternehmens schnell erfolgt zu sein. CCC-Sprecher Matthias Marx sieht aber ein grundsätzlicheres Problem: "Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden. Die Ausweisdaten hätten schlicht nie verarbeitet werden dürfen."

Die Sicherheitsupdates vom Juni-Patchday haben unter Windows 11 24H2 offenbar zu Kompatibilitätsproblemen geführt. Microsoft hat daher seit der Nacht zum Mittwoch das Update gestoppt und inzwischen durch ein ungeplantes Update außer der Reihe ersetzt.

Darauf weist Microsoft selbst im Windows Message Center hin. "Das Sicherheitsupdate aus dem Juni 2025 für Geräte, auf denen Windows 11 Version 24H2 läuft, wurde veröffentlicht und schrittweise seit dem 10. Juni 2025 verteilt. Wir haben jedoch ein Kompatibilitätsproblem festgestellt, das eine begrenzte Anzahl der Geräte mit Version 24H2 betrifft. Diese erhalten stattdessen das ungeplante Update KB5063060, das am 11. Juni 2025 veröffentlicht wurde", erklärt Microsoft dort.

In der Beschreibung zu KB5063060, das Windows 11 24H2 auf die Build-Nummer 26100.4351 hebt – anstatt 26100.4349 durch das reguläre Patchday-Sicherheitsupdate – erörtern Microsofts Entwickler das Problem etwas genauer. "Dieses Update löst ein Problem, durch das Windows unerwartet neu starten kann, wenn User Spiele starten, die den Easy Anti-Cheat-Dienst nutzen. Easy Anti-Cheat installieren bestimmte Spiele, um die Sicherheit zu verbessern und Betrügerein (Cheating) in Multiplayer-Online-Spielenvorzubeugen", schreibt das Unternehmen dort.

Das ungeplante Update außer der Reihe verteilt Microsoft automatisch über Windows Update und Microsoft Update auf Geräten, auf denen Easy Anti-Cheat installiert ist und auf denen das reguläre Patchdaya-Update KB506842 noch nicht angewendet wurde. MIcrosoft weist darauf hin, dass es sich um ein kumulatives Update handelt und es alle Sicherheitskorrekturen und Verbesserungen aus KB506842 ebenfalls enthält.

In der Nacht zum Mittwoch dieser Woche hat Microsoft die Sicherheitsupdates zum Juni-Patchday für diverse Systeme veröffentlicht. Die Software-Flicken stopfen etwa Sicherheitslücken in Internet-Explorer-Komponenten, die bereits in freier Wildbahn angegriffen und von Kriminellen missbraucht werden. Daher sollten die Aktualisierungen unbedingt installiert werden.

Nutzer von Microsoft 365 Copilot waren über Monate von einer kritischen Sicherheitslücke bedroht. Der KI-Assistent für Firmensoftware konnte dazu gebracht werden, sensible und andere Informationen preiszugeben. Dafür war lediglich eine E-Mail mit geschickt formulierten Anweisungen notwendig, es erforderte keinen menschlichen Mausklick. Denn die Künstliche Intelligenz (KI) hat die E-Mail selbstständig gelesen und verarbeitet. Microsoft hat dieses Problem aber bereits behoben.

M365 Copilot ist der KI-Assistent für die Microsoft 365-Anwendungen wie die Office-Produkte Word, Excel, Powerpoint, Outlook und Teams. Durch die Integration in das Netzwerk des Unternehmens hat der auf dem großen Sprachmodell GPT-4 von OpenAI basierende KI-Agent Zugriff auch auf teilweise sensible Firmendaten. Das können sich Angreifer zunutze machen, da die KI selbstständig agiert und etwa E-Mails an Mitarbeiter liest und verarbeitet. Im Gegensatz zu den bekannten Phishing-Mails ist hier kein Mausklick nötig.

Dieses Vorgehen haben die Sicherheitsforscher von Aim Security aufgedeckt. Doch selbst ohne menschliches Zutun erfordert das Ausnutzen dieser Sicherheitslücke besondere Formulierungen innerhalb der E-Mail, einschließlich speziell ausgeprägter Links. Auch sollten die Anweisungen für den KI-Agenten nicht zu offensichtlich für den menschlichen Leser sein, damit der Angriff nicht schnell nachvollzogen werden kann. Zwar sieht das Copilot-Zugriffssystem vor, dass jeder Mitarbeiter nur Zugriff auf seine eigenen Daten hat, aber auch diese könnten sensible Inhalte umfassen.

Microsoft führt diese von Aim Security "EchoLeak" genannte Sicherheitslücke als CVE-2025-32711 und beschreibt sie als "kritisch". Allerdings ist sie laut Konzern bislang nicht ausgenutzt worden und wurde jetzt geschlossen. Nutzer von M365 Copilot müssen nichts weiter unternehmen. Die Veröffentlichung als Security-Update dient demnach lediglich der Transparenz. Ein Microsoft-Sprecher sagte gegenüber Fortune die Implementierung "zusätzlicher tiefgreifender Verteidigungsmaßnahmen" zu, um "die Sicherheit weiter zu stärken".

Die Sicherheitsforscher haben die Lücke bereits im Januar dieses Jahres entdeckt und Microsoft gemeldet. Der Softwarekonzern hat allerdings rund fünf Monate gebraucht, um das Problem zu beheben. Adir Gruss, Mitgründer und Technikvorstand von Aim Security, bezeichnete die Reaktionszeit Microsofts gegenüber Fortune als "auf der (sehr) hohen Seite". Das dürfte daran gelegen haben, dass es sich um eine neuartige Sicherheitslücke handelt und es Zeit gebraucht hat, um die korrekten Teams und Mitarbeiter für die Gegenmaßnahmen zu finden und zu instruieren.

Kompromittierte persönliche Daten befeuern die digitale Unterwelt und ein kriminelles Ökosystem, das von Online-Betrug und Ransomware bis hin zu Kindesmissbrauch und Erpressung reicht. Davor warnt Europol in seiner am Mittwoch veröffentlichten Bedrohungsanalyse der organisierten Kriminalität im Internet für 2025. Die Ermittler zeichnen dabei nach eigenen Angaben "das düstere Bild einer Cyberkriminalitätswirtschaft, die auf Zugriff basiert – auf Ihre Systeme, Ihre Identität und Ihre sensibelsten Informationen".

Für eine Vielzahl von Kriminellen seien kompromittierte Daten "äußerst wertvoll", schreibt Europol in der Internet Organised Crime Threat Assessment (IOCTA). "Sie nutzen sie als eigenständige Ware, aber auch als Ziel für andere Zwecke, einschließlich der Begehung weiterer krimineller Aktivitäten."

Die zunehmende Verbreitung großer Sprachmodelle (LLMs) und anderer Formen generativer Künstlicher Intelligenz (KI) verbessere die Wirksamkeit von Social-Engineering durch die individuelle Kommunikation mit den Opfern und die Automatisierung krimineller Prozesse. KI und andere Schlüsseltechnologien beschleunigten so "die Schattenseiten der digitalen Revolution". Cyberkriminelle bauten darauf, "um Umfang und Effizienz ihrer Operationen zu steigern".

Ein florierender Teil des kriminellen Ökosystems dreht sich laut Europol um den Verkauf von Zugang zu kompromittierten Systemen und Konten. "Initial Access Brokers" (IABs) bewerben diese Dienste und zugehörige Produkte zunehmend auf spezialisierten Plattformen mit zahlreichen Nutzern. Datenbroker verteilen demnach ihre Aktivitäten auf mehrere Plattformen, um sich besser der Verfolgung entziehen zu können.

Auch Ende-zu-Ende-verschlüsselte Messenger haben die Strafverfolger auf dem Kieker. Sie würden zunehmend genutzt, "um Verkaufstransaktionen mit kompromittierten Daten auszuhandeln und durchzuführen sowie um persönliche Informationen von Opfern, einschließlich Kindern, weiterzugeben".

Der TÜV-Verband befragte Unternehmen zu ihrer Einschätzung der IT-Sicherheitslage – und die zogen ein optimistisches Fazit. Bei der Vorstellung der Umfrage in Berlin äußerte die BSI-Präsidentin Claudia Plattner deutliche Zweifel an dieser Selbsteinschätzung und warnte vor Sorglosigkeit.

15 Prozent der Firmen waren im vergangenen Jahr von konkreten IT-Sicherheitsvorfällen betroffen, bei denen Incident-Response-Teams tätig werden mussten, ergab eine Befragung von über 500 deutschen Unternehmen durch den TÜV-Verband. Und 91 Prozent der Unternehmen gaben zu Protokoll, dass sie bei der Cybersicherheit eher gut oder gar gut aufgestellt seien.

Dieses Ergebnis sieht die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit einiger Sorge: "Das ist ein Stück weit Wunschdenken", mahnte Claudia Plattner, "da sind wir nicht!". Die BSI-Erfahrungen aus dem Alltag sprächen regelmäßig eine ganz andere Sprache, ordnete Plattner die Umfrageergebnisse ein. Selbst beim "Seepferdchen" der IT-Sicherheit, Plattners Kosename für den Cyberrisiko-Check, fielen bei Unternehmen regelmäßig Probleme auf. Bei Betreibern kritischer Infrastrukturen gebe es ebenfalls, etwa beim Informationssicherheits- und Business Continuity Management (BCM) regelmäßig "deutlich Luft nach oben", auch wenn das BSI hier Verbesserungen sehe, so die Amtschefin.

Überrascht gaben sich TÜV-Verbandspräsident Michael Fübi und Claudia Plattner auch von einem anderen Ergebnis der Befragung: Gerade einmal 50 Prozent der Befragten wollen bislang überhaupt von der überarbeiteten Netzwerk- und Informationssicherheitsrichtlinie (NIS2) gehört haben. Die stellt neue Sicherheitskriterien für Betreiber kritischer Infrastrukturen auf und wird voraussichtlich fast 30.000 Unternehmen in Deutschland betreffen.

Das deutsche Umsetzungsgesetz der NIS2-EU-Richtlinie ist derzeit wieder in Arbeit. Nicht nur die EU macht Druck, auch die BSI-Präsidentin sprach sich zum wiederholten Male dafür aus, hier möglichst zügig voranzukommen. Mehr Sensibilität in Führungsetagen erhofft sich Plattner von der erweiterten Geschäftsführerhaftung, die mit der NIS2 kommt und Sorgfaltspflichten für Unternehmenslenker festschreibt.

Zwei unterschiedliche Sicherheitslücken in diversen UEFI-BIOS-Versionen mehrerer Anbieter ermöglichen die Umgehung des SecureBoot-Mechanismus. In UEFI-BIOSen von Insyde können Angreifer sogar die Firmware austauschen. Verwundbare Systeme lassen sich damit vollständig kompromittieren. Proof-of-Concept-Code dafür ist öffentlich verfügbar. Systemhersteller arbeiten an BIOS-Updates zum Schließen der Lücken.

In beiden nun bekannt gewordenen Fällen gehen die Schwachstellen auf den Missbrauch von nicht geschützten NVRAM-Variablen zurück. Die können Angreifer manipulieren, obwohl das UEFI-BIOS sie als vertrauenswürdig behandelt – was die Kompromittierung von Systemen ermöglicht.

UEFI-Firmware setzt sich aus mehreren Komponenten zusammen, die oftmals von mehreren Herstellern stammen. Wie das CERT in einer Sicherheitsmitteilung vom Dienstag dieser Woche erklärt, lässt sich aufgrund der Schwachstellen in den UEFI-Firmware-Apps "DTBios" und "BiosFlashShell" von DTResearch SecureBoot umgehen. "Die Schwachstelle entspringt der unsachgemäßen Handhabung einer Laufzeit-NVRAM-Variable, die beliebig geschrieben werden kann. Das kann kritische Firmware-Strukturen verändern, einschließlich des globalen Security2-Architektur-Protokolls, das die SecureBoot-Verifizierung verwendet. Da die betroffenen UEFI-Apps von der Microsoft UEFI-Zertifizierungsstelle signiert sind, kann diese Schwachstelle auf jedem UEFI-kompatiblen System ausgenutzt werden, sodass unsignierter Code während des Bootvorgangs ausgeführt werden kann", fasst das CERT das Problem zusammen (CVE-2025-3052 / EUVD-2025-17820, CVSS 8.2, Risiko "hoch").

Etwas konkreter lautet die Beschreibung, dass die Microsoft-signierten UEFI-Apps die NVRAM-Variable "IhisiParamBuffer" als Zeiger für Speicheroperationen einsetzt – einschließlich dem Überschreiben des globalen Sicherheitsparameters "gSecurity2". Dadurch lässt sich die Security2-Architektur-Protokoll-basierte Verifikation umgehen, die die LoadImage-Funktion zum Erzwingen von SecureBoot nutzt, und jedwede unsignierte UEFI-Binärdatei unabhängig von der SecureBoot-Einstellung des UEFI-Bios ausführen. Einige Implementierungen verriegeln die Variable "IhisiParamBuffer" früh im Boot-Prozess ("lock" der Variablen), wo das nicht stattfindet, lässt sich die Lücke jedoch missbrauchen. Die Entdecker der Schwachstelle von Binarly haben eine tiefergehende Analyse online gestellt. Microsoft hat 14 neue Hashes zu der DBX-Datenbank der "verbotenen Signaturen" hinzugefügt, die das Ausführen der verwundbaren UEFI-Apps unterbinden sollen. Abhilfe schaffen Software-Updates der Anbieter. Nach derzeitigem Kenntnisstand ist das DTResearch, die aktualisierte Komponenten "DTBios" und "BiosFlashShell" bereitstellt, insbesondere für die Insyde-BIOSse. Das CERT pflegt eine Liste mit betroffenen und nicht betroffenen Herstellern in der Sicherheitsmitteilung.

In einer Insyde H2O UEFI Firmware-App können Angreifer hingegen aufgrund unsicherer Nutzung einer NVRAM-Variable digitale Zertifikate einschleusen. Das CERT fasst in seiner Mitteilung die Details zusammen. Die Firmware-Apps betrachten die Variable "SecureFlashCertData" als vertrauenswürdigen Speicher für digitale Zertifikate in der Vertrauenskette. Angreifer können darin jedoch eigene Zertifikate ablegen und in der Folge beliebige Firmware laufen lassen, die damit zertifiziert ist – bereits im frühen BBoot-Prozessinnerhalb der UEFI-Umgebung (CVE-2025-4275 / EUVD-2025-18070, CVSS 7.8, Risiko "hoch"). Der Entdecker der Lücke hat ihr einen Spitznamen gegeben, "Hydroph0bia" als Wortspiel zu "Insyde H2O" (H2O als chemische Summenformel für Wasser). In seiner eigenen detaillierten Analyse stellt er auch Proof-of-Concept-Code (PoC) bereit, der den Missbrauch der Schwachstelle demonstrieren soll.

"Brass Typhoon" ist "Wicked Panda", und "Ghost Blizzard" entspricht "Berserk Bear": Diese und weitere eindeutige Namenszuordnungen von APT- und Cybercrime-Gruppen sind das erste sichtbare Resultat einer frisch ins Leben gerufenen Zusammenarbeit von Microsoft und CrowdStrike.

Ziel der Bemühungen ist ein vollständiger und in Bezug auf neue Bedrohungen jeweils möglichst zeitnaher Taxonomie-Abgleich der beiden Hersteller. Auch Googles Mandiant-Team sowie Palo Altos Unit 42 wollen sich laut Microsofts Ankündigung in Zukunft an der Kooperation beteiligen.

So weit der Plan. Aber was bringt der Abgleich eigentlich in der Praxis, und was können Sicherheitsverantwortliche mit den resultierenden Taxonomie-Mappings konkret anfangen? Wir ordnen die aktuelle Entwicklung ein, schauen uns den bisherigen Zwischenstand des Namensabgleichs an und checken, wie nützlich er bis hierhin ist.

Zunächst einmal ist festzuhalten, dass die Zusammenarbeit zwischen Microsoft und CrowdStrike nur auf einen systematischen Namensabgleich abzielt; an der unterschiedlichen Benennung der Cybercrime-Akteure durch die Firmen ändert sich auch in Zukunft nichts.

Dennoch stellt die Tatsache, dass sich zwei Hersteller zusammentun, um auf Basis gesammelter Bedrohungsinformationen gemeinsam klare Zuordnungen zu treffen, einen echten Fortschritt beim Entwirren des Cybercrime-Namenschaos dar. Denn bislang erfolgten Mappings der Herstellerbezeichnungen primär "von außen" – etwa durch das BSI oder im Rahmen der Wissensdatenbank MITRE ATT&CK. Offiziell von den betreffenden Unternehmen abgesegnet sind die Gleichsetzungen nicht. Deren Kooperation und der direkte Austausch lässt nun auf verlässlichere – und vor allem verbindliche – Namenszuordnungen hoffen.

Angreifer können an Sicherheitslücken in Adobe Acrobat, Commerce, Experince Manager, InCopy, InDesign, Substance 3D Painter und Substance 3D Sampler ansetzen. Im Rahmen des Juni-Patchdays stellt Adobe Updates zum Download bereit.

Den Großteil der Lücken stuft Adobe als kritisch ein. So können Angreifer etwa an einer Schwachstelle (CVE-2025-43573 / EUVD-2025-17828, CVSS 7.8, Risiko "hoch") in Acrobat und Reader unter macOS und Windows ansetzen, um auf einem nicht näher ausgeführten Weg Speicherfehler (Use After Free) auszulösen. Im Anschluss können sie Schadcode ausführen, was in der Regel zur vollständigen Kompromittierung eines Computers führt.

Auch Adobe Commerce und Magento Open Source sind für Schadcode-Attacken anfällig (etwa CVE-2025-47110 / EUVD-2025-17706, CVSS 9.1, Risiko "kritisch"). Zusätzlich können Angreifer hier Sicherheitsfunktionen umgehen (CVE-2025-43585 / EUVD-2025-17708, CVSS 8.2, Risiko "hoch").

Weiterführende Informationen zu den Sicherheitslücken und gepatchten Versionen finden Admins in den verlinkten Warnmeldungen:

Um derzeit laufende Attacken auf verschiedene Windows- und Windows-Server-Versionen vorzubeugen, müssen Admins sicherstellen, dass sie Windows Update aktiviert haben und die aktuellen Patches installieren lassen. Außerdem gibt es noch Sicherheitsupdates für weitere Microsoft-Produkte.

Wie aus einer Warnmeldung von Microsoft hervorgeht, nutzen Angreifer derzeit eine Windows-Lücke aus (CVE-2025-33053 / EUVD-2025-17721, CVSS 8.8, Risiko "hoch"). Darüber schieben sie Schadcode auf Systeme und kompromittieren sie. Die Schwachstelle betrifft verschiedene Komponenten des mittlerweile eingestellten Internet Explorers 11. Darunter etwa EdgeHTML und MSHTML. Etwa WebView nutzt die EdgeHTML-Plattform. Die Komponenten werden aber auch von anderen Legacy-Anwendungen genutzt.

Damit Attacken erfolgreich sind, müssen Opfer aber auf einen präparierten Link klicken. Kriegen Angreifer das hin, können sie Schadcode ausführen. Davon sind Microsoft zufolge alle im Support befindlichen Windows- und Windows-Server-Versionen betroffen, aber auch nicht mehr unterstützte Ausgaben wie Windows Server 2008, die offensichtlich aufgrund der Gefährlichkeit der Lücke trotzdem Sicherheitspatches bekommen.

Unklar ist zurzeit, in welchem Umfang die Angriffe ablaufen und woran Admins bereits attackierte Systeme erkennen können.

Eine Lücke in Windows SMB (CVE-2025-33073 / EUVD-2025-17737, CVSS 8.8, Risiko "hoch") ist öffentlich bekannt und es können Attacken bevorstehen. Aufgrund von unzureichenden Zugriffskontrollen können sich Angreifer in diesem Kontext höhere Nutzerrechte verschaffen. Mehrere Lücken (etwa CVE-2025-47162 / EUVD-2025-17768, CVSS 8.4, Risiko "hoch") in unter anderem Office und SharePoint Server stuft Microsoft als kritisch ein. An diesen Stellen kann Schadcode auf PCs gelangen. Ansatzpunkt ist bei den Office-Lücken die Vorschaufunktion. Die Sicherheitsupdates für Microsoft 365 sollen folgen.

Hotels in Südtirol haben vermehrt mit kompromittierten Extranet-Zugängen bei Booking.com zu tun. Das geht aus einer E-Mail an die Mitglieder des Hotel- und Gastwirteverbands (HGV) hervor. Ein Extranet-Zugang soll einen gesicherten und kontrollierten Zugang und Datenaustausch mit einem Unternehmen ermöglichen, in diesem Fall Booking.com. Doch jetzt meldeten Betriebe dem HGV vermehrt Fälle, bei denen über Booking.com Phishing-E-Mails an Hotelgäste versandt wurden. Jetzt mutmaßen die Betroffenen über die Ursache, so steht etwa der HGV selbst oder deren Channel Manager (Wubook) in Verdacht.

Der HGV stehe im Austausch mit den betroffenen Betrieben. Laut dem HGV sollte Booking.com "den konkreten Benutzer" identifizieren können, "der zum Zeitpunkt des Mailversands im Extranet eingeloggt war". Weder der HGV noch Booking.com haben bisher auf eine Anfrage von heise online reagiert.

Als dringende Schutzmaßnahmen empfiehlt der HGV seinen Mitgliedern, das Versenden von Links im Extranet-Postfach zu deaktivieren, das Passwort zum Booking.com-Extranet-Zugang zu ändern, verknüpfte Geräte zu trennen und die Einstellungen für automatisierte Nachrichten zu kontrollieren. Zudem sollen die Verbandsmitglieder die bisherige Kommunikation mit Gästen auf "ungewöhnliche oder fremde Nachrichteninhalte" untersuchen und potenziell betroffene Gäste über mögliche Phishing-Mails informieren.

Außerdem empfiehlt der HGV, Mitarbeiter entsprechend zu schulen und erstmal über verdächtige Links in E-Mails drüberzuhovern, um sich die Zieladresse anzeigen zu lassen.

Immer wieder gibt es Berichte über Phishing-Vorfälle in Zusammenhang mit Booking.com. In der Vergangenheit gaben sich Betrüger als Hotelgäste aus und schafften es, Hotelmitarbeitern Malware unterzuschieben, um an Daten für den Zugang zum Extranet von Booking.com zu kommen. Anschließend konnten glaubhafte Phishing-Mails an Gäste verschickt werden, etwa mit dem Ziel, Hotelgäste dazu zu bringen, Anzahlungen zu tätigen. Anfang des Jahres gelang das beispielsweise beim V8-Hotel in Böblingen, wie SWR berichtete.

Ich habe Desinfec’t wie im Heft beschrieben unter Windows mit dem offiziellen Installationstool Desinfect2USB installiert. Dann habe ich den Stick, wie im Artikel erwähnt, beim ersten Start in einen nativen Stick konvertiert. Das hat aber glaube ich nicht richtig geklappt, denn wenn ich den PC jetzt vom Stick starte, taucht der Punkt zum Umwandeln wieder im Desinfec’t-Bootmenü auf. Was mache ich falsch?

Sie haben gar nichts falsch gemacht, und der Stick ist vollständig konvertiert. Dabei handelt es sich um einen Bug im Grand Unified Bootloader (GRUB) zum Starten von Linux-Systemen, der in Verbindung mit Desinfec’t auf manchen Computern auftaucht. Leider sind wir diesem Fehler bislang nicht auf die Spur gekommen und konnten ihn deshalb bisher nicht bereinigen. Wählen Sie einfach den Punkt "Desinfec’t starten" aus. Im Anschluss sollte der Eintrag nicht mehr auftauchen.

Ich habe einen brandneuen Laptop mit einem Wi-Fi-7-Modul. Leider findet Desinfec’t mein WLAN nicht und ich kann keine Internetverbindung herstellen. Haben Sie einen Tipp für mich?

Das klingt so, als würde der Treiber für das WLAN-Modul fehlen. Desinfec’t hat für solche Fälle den alternativen Kernel 6.14 implementiert, der Treiber für sehr neue Hardware mitbringt. Um das System damit zu starten, wählen Sie einfach den entsprechenden Eintrag im Desinfec’t-Bootmenü aus. Bei einem Testsystem mit Wi-Fi 7 hat das bei uns geklappt.

Um Desinfec't 2025 über die c’t-App herunterzuladen, müssen Sie lediglich auf "inkl. DVD als Download" tippen und im Anschluss für die Versendung des Downloadlinks Ihre Mailadresse ein.

Eine perfide Masche nutzen Cyberkriminelle derzeit im Netz, um arglose Nutzer zur Installation von Malware zu bewegen. Bei der Suche nach Standardbefehlen für macOS leiten die Ergebnisse auf Webseiten, die zwar Befehle anzeigen – anstatt die gesuchte Funktion auszuführen, verankern die jedoch Infostealer im System.

Werbung zu den Suchergebnissen leitet auf eine Malware-Seite.

(Bild: heis eonline / cku)

Die Suche auf Google etwa nach dem macOS-Befehl zum Entleeren des DNS-Cache mittels "mac flush dns cache" liefert in der Werbung der Ergebnisliste eine Webseite zurück, die vorgibt, den Befehl zu erläutern. Die URL mac-safer[.]com zeigt nach Klick an, wie der Befehl aufzurufen sei.

Die beworbene Webseite zeigt einen Befehl an, der jedoch Schadsoftware herunterlädt und installiert.

Die EU bietet nun einen eigenen DNS-Auflösungsdienst (Resolver) an und möchte ihren Bürgern damit helfen, unabhängiger von Angeboten großer US-Unternehmen wie Cloudflare und Google zu werden. Der Dienst heißt DNS4EU und filtert Internetadressen auf Nutzerwunsch vor: Neben Phishing- und Betrugsseiten sperrt er jugendgefährdende Websites und Werbung.

Ein DNS-Resolver gehört zu den fast unsichtbaren Basisdiensten für stabile Internetzugänge: Er werkelt im Hintergrund, meist beim Provider und sorgt dafür, dass Internetadressen wie www.heise.de zu IP-Adressen wie 2a02:2e0:3fe:1001:7777:772e:2:85 übersetzt werden. Doch in vielen Ländern – auch in Deutschland – werden Sperrverfügungen durch Lobbyverbände oder Jugendschutzbehörden oft auf DNS-Ebene umgesetzt. Deswegen und aus Geschwindigkeitsgründen behelfen sich Nutzer oft mit alternativen Anbietern wie Google, die mit dem Resolver 8.8.8.8 nicht nur eine der schönsten IP-Adressen nutzen, sondern auch über eine Billion Anfragen am Tag beantworten. Auch Cloudflare (1.1.1.1) und Quad9 (9.9.9.9) betreiben offene Resolver. Problematisch: Viele dieser Server sind in den USA, weswegen das Quad9-Konsortium seinen Sitz bereits nach Zürich verlegte.

Mit DNS4EU möchte die EU nun eine eigene Alternative zu den Anbietern außerhalb des Unionsgebiets schaffen und startet mit einem Angebot für Bürger. Sie können einen DNS-Resolver auswählen (und z.B. als DNS-Server im Router eintragen), der ihre Bedürfnisse abdeckt. Zum Start gibt es vier verschiedene Varianten, die zudem kombinierbar sind:

Der Dienst steht sowohl mit Resolver-Adressen in IPv4 und IPv6 als auch per DoH (DNS over HTTPS) oder DoT (DNS over TLS) bereit. Die Adressen finden sich auf der Projekt-Webseite (welche ironischerweise CloudFlare als Proxy und dDoS-Schutz verwendet) nach Filterzweck geordnet. Um die Ausfallsicherheit zu verbessern, liefert DNS4EU sowohl für DNS-Abfragen in IPv4 als auch für solche in IPv6 jeweils eine zweite IP-Adresse mit.

Für die Filterlisten bedient sich DNS4EU nach eigenen Angaben öffentlicher Listen wie der Bon-Apetit-Liste pornografischer Domains und der Werbe-Blockliste Goodbyeads. Falls eine Domain fälschlich blockiert wird oder in einer Liste fehlt, stellt der Anbieter ein Meldeformular bereit.