Comretix Blog

Einen Tag nach der Veröffentlichung im Bundesgesetzblatt tritt das deutsche NIS2-Umsetzungsgesetz am Nikolaustag in Kraft. Dann werden etwa 30.000 statt bisher weniger als 5.000 Unternehmen und andere Institutionen unter die verschärften und novellierten Vorgaben für IT-Sicherheit fallen. Die Aufsicht über deren Einhaltung liegt federführend beim Bundesamt für Sicherheit in der Informationstechnik, das bereits jetzt einen Großteil der IT-Sicherheitsvorgaben für kritische Infrastrukturen und Betreiber kritischer Anlagen durchsetzen soll.

Mit der Neuregelung ändert sich auch die Einstufung kritischer Dienste: Schwellenwerte und betroffene Bereiche wurden angepasst, der Kreis der Stellen deutlich erweitert, die künftig zumindest Grundpflichten zur IT-Sicherheit und zur Meldung von Vorfällen erfüllen müssen. Spürbar und messbar werde sich mit der Umsetzung des NIS2-Gesetzes etwas an der IT-Sicherheitslage ändern, erwartet BSI-Präsidentin Claudia Plattner.

Ob die eigene Organisation unter die Vorgaben fällt, lässt sich mit dem vom BSI zur Verfügung gestellten NIS2-Checker vorab ermitteln – allerdings ist diese Auskunft nicht rechtsverbindlich. Wer dort aber als wahrscheinlich verpflichtet gilt, sollte das in jedem Fall zum Anlass nehmen, genauer zu prüfen.

Fällt ein Unternehmen in den Kreis der von der NIS2 erfassten Vorgaben, muss es sich sodann beim BSI registrieren. Dafür ist laut der Bonner Behörde eine Anmeldung über "Mein Unternehmenskonto Online" nötig. Ab Anfang 2026 soll dann beim BSI eine darauf aufbauende Registrierung im BSI-Portal möglich werden, was derzeit aber noch nicht existiert, vorher müssen IT-sicherheitsrelevante Vorfälle noch per klassischem Meldeformular angezeigt werden.

Da Deutschland die Umsetzung erst politisch verzögert, dann durch Neuwahlen ausgesetzt hatte, gibt es keinerlei Übergangsfristen für Unternehmen mehr, nachdem der Bundestag sich im November endlich einigte. Halten sich verpflichtete Unternehmen nicht an die Vorgaben des nun verkündeten Gesetzes, sind Strafen vorgesehen. „Je nach Art des Verstoßes drohen Bußgelder bis zu zehn Millionen Euro oder bis zu zwei Prozent des Gesamtumsatzes“, erklärt Stefan Hessel von der spezialisierten Anwaltskanzlei Reuschlaw. Der jeweils höhere Betrag bilde dabei die Obergrenze. „Allerdings ist vorerst nur in Extremfällen mit Bußgeldern zu rechnen, da das BSI eine wirtschaftsfreundliche Umsetzung anstrebt.“ Die Haftung für Geschäftsleitungen wurde gegenüber früheren Gesetzentwürfen deutlich abgemildert, schildert Hessel. Hier würden die allgemeinen Regeln zur Geschäftsführerhaftung gelten.

Kaum ist öffentlicher Exploitcode in Umlauf, gibt es erste Berichte zu Angriffen auf React-Server. Sicherheitspatches sind verfügbar.

Die „kritische“ Lücke (CVE-2025-55182 CVSS Score 10 von 10) ist erst seit wenigen Tagen bekannt und betrifft ausschließlich React-Server. Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Durch das Versenden von präparierten HTTP-Anfragen können Angreifer Schadcode auf Systeme schieben und diese so vollständig kompromittieren.

Die Entwickler versichern, die Schwachstelle in den React-Ausgaben 19.0.1, 19.1.2 und 19.2.1 geschlossen zu haben.

Wie aus einem Beitrag eines Sicherheitsforschers auf X hervorgeht, ist mittlerweile Exploitcode in Umlauf. Im gleichen Zeitraum meldet das IT-Sicherheitsteam von Amazon AWS bereits die ersten Attacken. Sie geben in einem Beitrag an, dass ihre AWS-Services von der Lücke nicht betroffen sind.

Die AWS-Sicherheitsforscher ordnen die Attacken staatlichen-chinesischen beziehungsweise chinafreundlichen Bedrohungsakteuren wie Earth Lamia und Jackpot Panda zu. Diese Gruppen haben weltweit primär staatliche Einrichtungen und kritische Infrastrukturen aus dem Energiesektor im Visier.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI NRW), Bettina Gayk, hat Bußgelder in Höhe von insgesamt 300.000 Euro gegen ein Telekommunikationsunternehmen verhängt. Auf konkrete Nachfrage bestätigte der Sprecher der LDI NRW, dass es sich bei dem Unternehmen um 1N Telecom handelt. Grund sind massive Verstöße gegen Datenschutzrechte und die hartnäckige Weigerung des Unternehmens, Transparenz über die eigene Datenverarbeitung herzustellen. „Selten bin ich auf so wenig Einsicht bei den Verantwortlichen gestoßen“, erklärte Gayk. Außerdem war das Unternehmen „trotz klarer gesetzlicher Vorschriften zur Mitwirkung und vieler Erinnerungen“ gegenüber der Behörde „nur sehr eingeschränkt kooperativ“.

Seit 2022 hatten sich zahlreiche Verbraucher bei der Behörde gemeldet. Sie erhielten personalisierte Werbeschreiben für einen Internet- und Telefonanschluss, obwohl sie nie zuvor Kontakt mit dem Unternehmen hatten. Die Schreiben enthielten neben Adresse und Festnetznummer auch einen vorausgefüllten Auftrag zum Anbieterwechsel, bei dem nur noch die IBAN ergänzt werden musste. Oft sei unklar gewesen, woher das Unternehmen die Daten hat. Laut Gayk blieb das Unternehmen „regelmäßig intransparent“.

„Durch die Aufmachung der Schreiben und die Namensähnlichkeit zu einem anderen, sehr bekannten Telekommunikationsanbieter war vielen Verbraucher:innen zudem nicht bewusst, dass es sich nicht um ein Angebot für einen anderen Tarif bei ihrem bisherigen Anbieter handelte – sondern um das Angebot zum Anbieterwechsel“, heißt es von der LDI. Widerriefen die Betroffenen den Vertrag, nachdem sie den Wechsel bemerkt hatten, forderte das Unternehmen oft eine Schadensersatzpauschale.

Unter anderem wegen der Missachtung der Betroffenenrechte und der Verletzung der Informationspflichten wurden Bußgelder in Höhe von 100.000 und 200.000 Euro verhängt. „Weder wurde auf Auskunftsansprüche der Betroffenen über die Verarbeitung ihrer Daten geantwortet noch auf den Wunsch nach Löschung oder auf Widersprüche gegen die Datenverarbeitung“, erläutert Gayk. „Dabei waren die Schreiben oder E-Mails dem Unternehmen entgegen seiner Einlassung in den meisten Fällen nachweisbar zugegangen.“ Angaben, etwa darüber, wer für die Datenerhebung verantwortlich ist, fehlten ebenfalls.

Gegen 1N Telecom aus Düsseldorf geht die Verbraucherzentrale seit Jahren vor. Auch hier wird Kunden durch irreführende Post und eine gezielte Namensähnlichkeit ein Anbieterwechsel untergeschoben. Der Bundesgerichtshof (BGH) hatte die Allgemeinen Geschäftsbedingungen des Unternehmens bereits für unwirksam erklärt. Dennoch versucht 1N Telecom laut Verbraucherschützern weiterhin über Inkassounternehmen wie TPI Investment Geld von Betroffenen einzutreiben, oft mit „Vergleichsangeboten“ unter Androhung weiterer rechtlicher Schritte.

Am Freitagvormittag gibt es offenbar erneut Probleme beim CDN-Anbieter Cloudflare. Verschiedene Webseiten sind nicht verfügbar – sie liefern lediglich einen HTTP-Fehler 500 aus. Die Ursache ist unklar, der Anbieter spricht von „API-Problemen“.

Fehler 500 beim Besuch von cloudflare.com

Stichproben einiger Webseiten wie cloudflare.com, aber auch die beliebten Störungsmelder downdetector.com und allestoerungen.de sind fehlerhaft oder komplett defekt: Mal fehlt die Startseite komplett, in anderen Fällen lediglich die per Cloudflare-CDN ausgelieferten Assets wie Bilder und Stylesheets

Cloudflares Statusseite hingegen ist, anders als beim vorherigen Ausfall im November, noch immer verfügbar. Sie spricht von Fehlern bei der Cloudflare API und dem Dashboard. „Customers using the Dashboard / Cloudflare APIs are impacted as requests might fail and/or errors may be displayed.“

Wie Cloudflare nun erläuterte, handelte es sich beim Ausfall um eine Auswirkung der kürzlich bekannt gewordenen kritischen „React2Shell“-Sicherheitslücke im React-Framework. Das Unternehmen habe für die Web Application Firewall, die neben Kundendomains offenbar auch die eigene Webseite schützt, eine Änderung eingespielt, um vor CVE-2025-55182 zu schützen. Was genau schiefgegangen sei, werde man später bekanntgeben, so das Unternehmen. Ein Cyberangriff liege nicht vor.

Die Cybersicherheitsagenturen der USA und Kanadas sowie die NSA warnen vor einem hochentwickelten Angriff auf VMware vSphere, bei dem sich Akteure in Diensten der Volksrepublik China dauerhafte Zugriffe auf Systeme von Regierungen und IT-Firmen sichern. Die Organisationen und der Nachrichtendienst haben die Hintertür „Brickstorm“ getauft. Bei der Cybersecurity and Infrastructure Security Agency gibt es eine ausführliche Analyse. Darin werden auch Anzeichen für eine Kompromittierung aufgeführt und Empfehlungen zum Schutz „gegen den weitverbreiteten Angriff“ aus China gegeben. Analysiert wurden dafür acht Proben von attackierten Organisationen.

Laut der Zusammenfassung kann die hochentwickelte Malware ihre Kommunikation verstecken, sich in infizierten Netzwerken ausbreiten und automatisch neu installieren, wenn es eine Unterbrechung gab. Die Verantwortlichen würden die Malware dafür nutzen, um sich einen dauerhaften Zugang zu sichern. Darüber könnten unter anderem Zugangsdaten erbeutet und versteckte virtuelle Maschinen erzeugt werden, ergänzt das kanadische Centre for Cyber Security. Betreiber von kritischer Infrastruktur – vor allem Behörden und IT-Firmen – sollten unbedingt prüfen, ob ihre Systeme kompromittiert sind und das dann gegebenenfalls melden.

Die jetzt veröffentlichte Warnung unterstreiche die „gravierende Bedrohung“, die von der Volksrepublik China ausgeht und die damit verbundenen anhaltenden Cybersicherheitsrisiken und Kosten für die USA, deren Verbündete und die notwendige kritische Infrastruktur, meint CISA-Chef Madhu Gottumukkala: „Diese staatlich unterstützten Akteure infiltrieren nicht nur Netzwerke – sie nisten sich auch ein, um einen langfristigen Zugriff zu erhalten und Störungen sowie Sabotageakte zu ermöglichen“. Deshalb müsse auf die Bedrohung mit der gebotenen Ernsthaftigkeit reagiert werden. Gegenüber Reuters hat der VMware-Mutterkonzern Broadcoam erklärt, dass man um die Warnungen wisse und die Kundschaft zur Aktualisierung ihrer Technik dränge. China hat die Vorwürfe zurückgewiesen.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Mit der Mehrheit der Koalition aus CDU und SPD sowie den Stimmen der oppositionellen AfD hat das Berliner Abgeordnetenhaus am Donnerstag eine weitgehende Novelle des Allgemeinen Sicherheits- und Ordnungsgesetzes (ASOG) beschlossen. Die Reform stattet die Polizei mit Befugnissen aus, die tief in die Grundrechte eingreifen und bisherige rote Linien der Hauptstadt-Sicherheitspolitik überschreiten. Während Innensenatorin Iris Spranger (SPD) das Gesetz als notwendiges Update für das digitale Zeitalter und den Kampf gegen Terrorismus verteidigt, sehen Kritiker darin einen unverhältnismäßigen Angriff auf die Privatsphäre.

Ein Stein des Anstoßes ist die Kombination aus digitaler Überwachung und physischem Einbruch: Um verschlüsselte Kommunikation zu überwachen, dürfen die Ermittler künftig laut dem Senatsentwurf und den Änderungen der Abgeordneten nicht nur IT-Systeme hacken, sondern auch verdeckt die Wohnungen von Verdächtigen betreten. Die brisante Neuerung verbirgt sich in den Paragrafen 26a und 26b. Diese regeln die sogenannte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und die heimliche Online-Durchsuchung. Um Kommunikation noch vor der Ver- oder nach der Entschlüsselung auf Geräten wie Smartphones oder Laptops abzugreifen, darf die Polizei Schadsoftware wie Staatstrojaner einsetzen.

Doch das neue Polizeigesetz geht einen Schritt weiter: Sollte eine Ferninstallation der Spionagesoftware technisch nicht möglich sein, erlaubt Paragraf 26 den Ermittlern explizit das "verdeckte Betreten und Durchsuchen von Räumlichkeiten", um Zugriff auf die IT-Systeme zu erlangen. Faktisch legalisiert Berlin damit – wie zuvor Mecklenburg-Vorpommern – den staatlichen Einbruch in Privatwohnungen, um Trojaner physisch etwa via USB-Stick aufzuspielen. IT-Sicherheitsexperten warnen nicht nur vor dem Offenhalten von Schwachstellen. Sie sehen in der Verknüpfung von Wohnraumverletzung und digitaler Ausforschung auch einen Verfassungsbruch.

Bodycams, Handy-Fahndung und Kennzeichen-Scanning

Flankiert wird dieser Eingriff in die Unverletzlichkeit der Wohnung durch den Paragrafen 24c, der den Einsatz von Bodycams neu regelt. War deren Nutzung bisher auf den öffentlichen Raum fokussiert, dürfen Polizeikräfte die Kameras nun auch in privaten Wohnungen und anderen nicht öffentlich zugänglichen Räumen aktivieren, sofern tatsächliche Anhaltspunkte für eine Gefahr für Leib oder Leben bestehen. Zwar betont der Gesetzgeber den Aspekt der Eigensicherung. Doch Gegner befürchten, dass dies in der Praxis zu einer audiovisuellen Überwachung im intimsten Rückzugsort der Bürger führt.

Auch im öffentlichen Raum rüstet Berlin technisch auf. Mit Paragraf 26e wird die Funkzellenabfrage ausgeweitet. Die Polizei kann künftig von Netzbetreibern Verkehrsdaten aller Mobiltelefone anfordern, die sich zu einem bestimmten Zeitpunkt in einer definierten Funkzelle befunden haben. Dies ermöglicht die Erstellung von Bewegungsbildern Tausender unbescholtener Bürger per Rasterfahndung, die etwa zufällig an einem Demonstrationsort waren.

Ermittlern der Zentralstelle Cybercrime Bayern (ZCB) und der Kriminalpolizei Würzburg ist ein bedeutender Schlag gegen die Zulieferer-Industrie des sogenannten Cybertrading-Betrugs gelungen. Bei einer von Europol unterstützten Razzia am 25. November wurden 14 Objekte in Deutschland und Israel durchsucht, darunter in Tel Aviv und Düsseldorf. Ziel waren die Netzwerke, die mit gefälschter Werbung massenhaft Daten potenzieller Anleger generieren und an betrügerische Callcenter verkaufen.

Mit frei erfundenen Erfolgsgeschichten und dem Missbrauch von Bildern von Prominenten oder TV-Formaten wie „Die Höhle der Löwen“ werden Anleger auf unseriöse Plattformen gelockt. Laut gemeinsamer Pressemitteilung versprechen die Täter beispielsweise KI-optimierte Gewinne, doch am Ende stehen immer Verluste. Die Razzia richtete sich gezielt gegen die Akteure im Hintergrund, die die irreführenden Werbekampagnen erstellen, und ein großes Affiliate-Netzwerk in Israel, das die erbeuteten Kundendaten an die eigentlichen Betrugs-Callcenter weiterverkauft haben soll.

„Aufgrund der bisherigen Ermittlungen besteht der Verdacht, dass allein 3300 Datensätze deutscher Opfer über das Affiliate-Netzwerk betrügerisch arbeitenden Callcentern zur Verfügung gestellt wurden. Im weiteren Verlauf verloren nach bisherigen Erkenntnissen mindestens 120 deutsche Opfer einen Gesamtbetrag von über 1,3 Millionen EUR“, heißt es in der Mitteilung. Man gehe von einem beträchtlichen Dunkelfeld aus.

Erste Auswertungen deuten darauf hin, dass das Affiliate-Netzwerk Umsätze im hohen dreistelligen Millionenbereich generieren konnte. Die Auswertung der bei den Durchsuchungen sichergestellten umfangreichen Datenmengen wird nach Einschätzung der Behörden noch längere Zeit in Anspruch nehmen. Ob für das Bild- und Video-Material mit KI generiert sind, lässt sich noch nicht mit Sicherheit sagen, wie Oberstaatsanwalt Dr. Nino Goldbeck auf Anfrage sagte.

Bei der Erstellung der Werbemittel kam vermutlich auch KI zum Einsatz. Ob das im aktuellen Fall zutrifft und bereits Deepfakes zum Einsatz kamen, ist laut Goldbeck noch nicht gesichert. Die Masche selbst ist nicht neu. Bereits im Sommer hatte die Verbraucherzentrale davor gewarnt, dass Kriminelle Deepfakes nutzen, um täuschend echte Videos von Prominenten zu erstellen, die für unseriöse Finanzprodukte oder Gesundheitsmittel werben. Dabei werden Videos oder Bilder bekannter Persönlichkeiten so manipuliert, dass diese scheinbar persönliche Empfehlungen aussprechen.

In den USA sind zwei Zwillingsbrüder festgenommen worden, die als Angestellte eines technischen Dienstleisters zahlreiche Datenbanken von US-Behörden gelöscht haben sollen. Den 34-Jährigen wird vorgeworfen, im Februar rund 96 Datenbanken verschiedener Einrichtungen der US-Regierung gelöscht zu haben, darunter das US-Heimatschutzministerium. Betroffen seien unter anderem Akten und Dokumente von Verfahren nach dem US- Informationsfreiheitsgesetz (FOIA), teilte das US-Justizministerium am Mittwoch mit. Die Beschuldigten sollen damit auf die Beendigung ihres Arbeitsverhältnisses bei einem Dienstleister der Bundesbehörden reagiert haben.

Die Beschuldigten haben eine kriminelle Vergangenheit und bereits mehrjährige Haftstrafen für Computervergehen verbüßt. Einer der Brüder hatte ein Kosmetikunternehmen gehackt und Kreditkartendaten der Kunden entwendet. Der andere Beschuldigte hatte als Mitarbeiter der Konsularabteilung des US-Außenministeriums Daten von Visumsverfahren manipuliert. Später heuerten beide erneut bei einem Dienstleister für die US-Regierung an. Wie es trotz ihrer einschlägigen Vergangenheit dazu kommen konnte, war Gegenstand zweier interner Untersuchungen des Unternehmens.

Laut einem Bericht des Finanznachrichtendienstes Bloomberg vom Mai handelt es sich bei dem Dienstleister um Opexus, der Daten- und Prozessverwaltungssoftware für Behörden anbietet. Demnach haben die beiden ihren Insider-Angriff während eines virtuellen Meetings begonnen, in dem sie über ihre Entlassung informiert wurden.

Das US-Justizministerium bestätigt in seiner Mitteilung die zentralen Punkte des Bloomberg-Berichts. Demnach wurde die Vergangenheit der beiden Männer wohl nicht ausreichend geprüft, als sie bei Opexus eingestellt wurden. Dass sie für Cyberangriffe Haftstrafen verbüßt haben, ist demnach erst aufgefallen, als sie für einen staatlichen Einlagensicherungsfonds arbeiten sollten, wodurch sie weitreichende Zugriffe auf Finanzdaten bekommen hätten. Bei der dafür nötigen Überprüfung ihres Hintergrunds sei ihre Vergangenheit aufgefallen. Daraufhin wurden beide in ein Meeting zitiert, um sie über ihre Entlassung zu informieren.

Einer der Brüder soll noch während der Kündigung eine Datenbank der US-Steuerbehörde aufgerufen und anderen den Zugriff gesperrt sowie 33 staatliche Datenbanken gelöscht haben. Nach dem Ende des Meetings hat er demnach einen USB-Stick mit fast 2000 Daten in seinen Laptop gesteckt und die Inhalte gelöscht.

Softwareentwickler, die mit React arbeiten, sollten die JavaScript-Programmbibliothek aus Sicherheitsgründen umgehend auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer eine Schwachstelle ausnutzen und Systeme durch das Ausführen von Schadcode vollständig kompromittieren. Sicherheitsupdates sind verfügbar.

Aus einer Warnmeldung geht hervor, dass React Server Components von der „kritischen“ Lücke (CVE-2025-55182) mit Höchstwertung (CVSS Score 10 von 10) betroffen sind. Die Entwickler geben an, dass die Schwachstelle konkret die folgenden Komponenten der React-Ausgaben 19.0, 19.1.0, 19.1.1 und 19.2.0 bedroht:

Weiterhin führen sie aus, dass wahrscheinlich auch mit React erstellte Apps, die keine React-Server-Funktionen nutzen, verwundbar sind. Allein die Möglichkeit, sie nutzen zu können, reicht für einen möglichen Angriff aus.

Die Entwickler versichern, das Sicherheitsproblem in den Versionen 19.0.1, 19.1.2 und 19.2.1 gelöst zu haben. Die React-Frameworks und Bundler next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc und rwsdk sind ebenfalls verwundbar. Eine Lösung zur Absicherung für diese Fälle wollen die Entwickler nachliefern. Weitere Hinweise zum Ablauf von Updates finden Admins in der Warnmeldung.

Angriffe sollen aus der Ferne und ohne Authentifizierung möglich sein. Bei der App-Entwicklung können Angreifer im Kontext der Kommunikation zwischen Clients und Servern HTTP-Anfragen manipulieren und letztlich Schadcode ausführen. Weitere Details zur Schwachstelle sollen zu einem späteren Zeitpunkt folgen.

Der Security-Podcast von heise gleicht einem Krankenlager. Bereits in der letzten Folge gesundheitlich angeschlagen, plagt sich Christopher von Hustenanfall zu Hustenanfall, ist aber nicht der einzige „Erkrankte“. Denn der Internet-Gigant Cloudflare hatte einen heftigen Schluckauf, den die Hosts sogleich thematisieren. Schließlich ist die Verfügbarkeit eine der drei wichtigen Faktoren für IT-Sicherheit.

Auch das npm-Ökosystem kränkelte und schlug sich wieder mit digitalen Parasiten herum. Eine neue Version des Shai-Hulud-Wurms infizierte hunderte Pakete und lud zehntausende Zugangsdaten auf Github hoch. Welche cleveren und gefährlichen Änderungen die unbekannten Autoren in der zweiten Ausgabe des recht nerdig benamten Gewürms unterbrachten, erzählt Christopher seinem Co-Host. Und anhand eines anderen „Internet-Wurms“ klärt Sylvester die grundsätzliche Frage: „Wat is’n Wurm?“

Die weitgehende Praxis des Schweizer Nachrichtendienstes des Bundes (NDB), die grenzüberschreitende Kommunikation mittels Funk- und Kabelaufklärung flächendeckend zu erfassen, steht vor dem Aus. Das eidgenössische Bundesverwaltungsgericht (BVGer) hat in einem Urteil vom 19. November entschieden, dass die aktuelle Informationsbeschaffung nicht mit der Bundesverfassung und der Europäischen Menschenrechtskonvention (EMRK) vereinbar ist (Az.: A-6444/2020). Hauptgrund: Die in der Schweiz praktizierte Form der "strategischen Fernmeldeaufklärung" (Sigint) biete keinen ausreichenden Schutz vor Missbrauch und verletze so die Grundrechte der Bürger.

Der NDB beschafft mit dem Abschnorcheln von Telekommunikation Informationen über sicherheitspolitisch bedeutsame Vorgänge im Ausland. Dazu wird die gesamte grenzüberschreitende Kommunikation erfasst und automatisiert anhand von Suchbegriffen (Selektoren) durchsucht. Rein schweizerische Kommunikation – also jeglicher Austausch, bei dem sich Sender und Empfänger in der Alpenrepublik befinden – darf zwar nicht verwendet werden. Doch die Erfassung breiter Datenströme als solche wurde bereits vom Bundesgericht (BGer) als Massenüberwachung eingestuft. Tatsächlich räumte der NDB auch selbst das Vornehmen einer verdachtsunabhängigen Rasterfahndung bereits ein.

Geklagt hatten der Verein Digitale Gesellschaft sowie mehrere Privatpersonen, darunter Journalisten und ein Rechtsanwalt. Sie monierten eine Verletzung ihrer Grundrechte: Aufgrund der anlasslosen Überwachung bestehe das Risiko, dass auch ihre Daten verarbeitet und möglicherweise ausgewertet würden. Das BGer hatte bereits 2019 festgestellt, dass die Beschwerdeführenden berechtigt sind, die Unterlassung der Funk- und Kabelaufklärung zu verlangen. Es wies das BVGer an, das System umfassend auf seine Konformität mit Verfassung und EMRK zu prüfen.

Das BVGer unterzog das Spionageregime einer strengen Überprüfung, orientiert an den Anforderungen des Europäischen Gerichtshofs für Menschenrechte (EGMR). Dieser verlangte im Urteil Big Brother Watch vs. Großbritannien durchgehende Garantien zum Schutz vor Missbrauch. Der EGMR legte dabei besonderes Gewicht auf die vorgängige unabhängige Genehmigung, die durchgehende Aufsicht durch eine unabhängige Behörde und das Bestehen eines wirksamen Rechtsmittels zur nachträglichen Überprüfung.

In seinem jetzt veröffentlichten Urteil hält das BVGer zwar fest, dass die Umstände, unter denen Kommunikation überwacht werden darf, hinreichend vorhersehbar seien. Es goutierte auch, dass die Kabelaufklärung vorab durch ein unabhängiges Gericht genehmigt werden muss. Dennoch kommt das Gericht zum Schluss, dass das anwendbare Recht keinen ausreichenden Schutz vor Missbrauch bietet. Insbesondere sei nicht gewährleistet, dass der NDB nur erhebliche und richtige Daten bearbeite.

Um Spionage, Sabotage und Störungen des Luftverkehrs besser unterbinden zu können, baut die Bundesregierung Abwehrkapazitäten auf und rechtliche Hürden ab. Fachleute sagen: Besser spät als nie.

Die Bundespolizei baut ihre Kapazitäten zur Abwehr von Drohnen erheblich aus. Eine neue Einheit, die unbemannte Luftfahrzeuge aufspüren, abfangen oder abschießen soll, hat Bundesinnenminister Alexander Dobrindt (CSU) jetzt in Dienst gestellt. Sie wird an Flughäfen, in der Hauptstadt und bundesweit in der Nähe sicherheitsrelevanter Objekte stationiert, um möglichst rasch am Einsatzort sein zu können.

Laut Bundesinnenministerium soll die neue Einheit rasch auf 130 Spezialkräfte anwachsen. Sie soll unter anderem KI-gestützte Störsysteme und automatische Abfangdrohnen einsetzen.

Die Bundesregierung hat zudem mit der geplanten Reform des Bundespolizeigesetzes und des Luftsicherheitsgesetzes Änderungen auf den Weg gebracht, die einerseits der Bundespolizei dort, wo sie ohnehin für die Sicherheit zuständig ist – zum Beispiel an Bahnhöfen und Flughäfen – mehr Befugnisse geben.

Außerdem soll die neue Einheit in Amtshilfe die Landespolizeien unterstützen, wenn dies nötig ist und entsprechende Kapazitäten zur Verfügung stehen. Alle Spezialkräfte der Bundespolizei, zu denen nun auch die Drohnenabwehreinheit zählt, unterstehen der in Berlin angesiedelten Bundespolizeidirektion 11. Deren Leiter, Olaf Lindner, sagte, mit der neuen Einheit sende man eine Botschaft in die deutsche Gesellschaft und „in Richtung unserer Gegner“.

Industrielle Steuerungs- und Automatisierungssysteme (ICS), vor allem in kritischen Infrastrukturen, gelten als besonders schützenswert. Demzufolge sollten Admins Sicherheitspatches zügig installieren. In einem aktuellen Fall gibt es derzeit aber kein Update, die Schwachstelle bleibt offen.

Die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) führt in einem Beitrag Sicherheitslücken in Industrial Video & Control Longwatch, Iskra iHUB and iHUB Lite, Mirion Medical EC2 Software NMIS BioDose, Mitsubishi Electric CNC Series und Mitsubishi Electric MELSEC iQ-R Series/iQ-F Series auf. Diese ICS werden weltweit unter anderem im Energiesektor eingesetzt.

Besonders hervorzuheben ist eine „kritische“ Lücke (CVE-2025-13510) in Iskra iHUB und iHUB Lite. Weil es keine Authentifizierung im Kontext von Systemeinstellungen gibt, kann ein entfernter Angreifer ohne Anmeldung etwa Systeme manipulieren. Die CISA gibt an, den Softwarehersteller kontaktiert zu haben. Bislang gab es der Behörde zufolge aber keine Antwort auf die Anfrage, und die kritische Lücke bleibt vorerst bestehen. Um ein Angriffsrisiko zu minimieren, sollten Systeme unter anderem nicht öffentlich über das Internet erreichbar sein.

Durch eine „kritische“ Lücke (CVE-2025-13658) in Industrial Video & Control Longwatch kann Schadcode auf Systeme gelangen. Dagegen ist die Ausgabe 6.335 gerüstet. In Mirion Medical EC2 Software NMIS BioDose können Angreifer etwa ausführbare Dateien manipulieren. Hier schafft die Ausgabe V23.0 Abhilfe.

Weiterführende Informationen zu den Schwachstellen und Sicherheitsupdates führt die CISA in einem Beitrag aus.

Kostenlose TLS-Zertifikate von Let’s Encrypt (LE) sind bald wesentlich kürzer gültig als gewohnt: Ihre Laufzeit sinkt von derzeit 90 Tagen auf die Hälfte. Als Certificate Authority (CA) setzt Let’s Encrypt damit eine Änderung der „Baseline Requirements“ um, die die Vergabe von Zertifikaten für die Web-PKI regeln. Zunächst schaltet LE im kommenden Mai einen Testbetrieb frei.

Am 13. Mai 2026 geht es los: Wer möchte, kann ab diesem Tag Zertifikate mit einer Laufzeit von 45 Tagen bestellen und muss dafür das optionale Zertifikatsprofil „tlsserver“ nutzen. Am 10. Februar 2027 sinkt die Laufzeit für alle neu ausgestellten Zertifikate dann zunächst auf 64 Tage und gut ein Jahr später, am 16. Februar 2028, auf 45 Tage.

Die meisten Administratoren, die für ihre Webserver die Zertifikate von Let’s Encrypt verwenden, dürften von der Änderung wenig bemerken: Ihre Automatisierung zur Erneuerung läuft künftig alle anderthalb statt drei Monate. Um derlei automatischen Helferlein zu assistieren, gibt es künftig eine Protokollerweiterung für ACME (Automatic Certificate Management Environment), die ACME Renewal Information (ARI).

Von einer manuellen Erneuerung der Zertifikate rät das Projekt schon seit langer Zeit ab, das Verfahren sei zu fehlerbehaftet und müsste nun doppelt so oft durchgeführt werden. Zudem sollten Administratoren sicherstellen, dass sie durch Monitoring-Systeme alarmiert werden, sobald eine Erneuerung fehlschlägt, empfiehlt Let’s Encrypt im Ankündigungs-Blogpost.

Wer sich noch immer mit der Automatisierung schwertut, goutiert womöglich die neue Verifizierungsmethode „DNS-PERSIST-01“. Hier muss ein DNS-Eintrag zur Überprüfung nur noch einmalig und nicht bei jeder Zertifikatserneuerung gesetzt werden. Allerdings muss DNS-PERSIST-01 noch durch die relevanten Gremien, also die IETF und das CA/Browser Forum, ratifiziert werden.

„Wie lassen sich zerfahrene und planetenfressende Prozesse power-cyclen, um sie neu und nachhaltiger zu denken?“ Diesen und vielen anderen Fragen will der Chaos Computer Club auf seinem 39. Jahreskongress unter dem Motto „Power Cycles“ auf den Grund gehen. Nun stellt der Club die erste Version des Kongressfahrplans vor: Über 160 Vorträge warten in sieben thematischen Tracks auf die Gäste.

Das Congress Center Hamburg (CCH) ist Heimat des größten fest bestuhlten Saals der Hansestadt – und dessen 3000 Plätze dürften wie in den Vorjahren heiß begehrt sein, um nach der Eröffnungszeremonie (27.12., 10:30 Uhr) Vorträgen von Bluetooth-Hacking bis zum traditionellen CCC-Jahresrückblick (28.12., 16:35 Uhr) zu lauschen. Auch in den anderen drei Sälen des CCH findet ein bunt gemischtes Programm aus sieben Bereichen statt: CCC & Community, Ethics, Society & Politics, Art & Beauty, Hardware, Science und natürlich Security.

Kängurufreunde kommen in diesem Jahr auch auf ihre Kosten: Die Figur des Autors Marc-Uwe Kling ruft am Eröffnungstag von 19:15 bis 20:15 Uhr gemeinsam mit ihrem Schöpfer und CCC-Sprecher Linus Neumann zum „Digital Independence Day“ auf.

Wie üblich für den Fahrplan behalten sich die Organisatoren Änderungen vor und versprechen einige Last-Minute-Überraschungen: Mehrere Vorträge geben sie erst kurz vor Kongressbeginn bekannt, der Fahrplan ist demnach noch eine Alphaversion. Und auch abseits der großen Bühnen finden in den Assemblies und überall im CCH weitere Events statt, die im „Hub“, dem zentralen Wiki des Kongresses, angekündigt werden.

Der 39C3 findet vom 27. bis 29. Dezember 2025 in Hamburg statt. Die Veranstaltung ist restlos ausverkauft, allenfalls auf dem Ticketmarkt sind möglicherweise noch einzelne Rückläufer-Tickets zu haben.

Derzeit haben es Angreifer auf Geräte mit Android 13, 14, 15 und 16 abgesehen und nutzen zwei Sicherheitslücken aus. Sicherheitspatches stehen für ausgewählte Smartphones und Tablets bereit.

Seit Juli dieses Jahres patcht Google monatlich nur noch besonders gefährliche Schwachstellen. Die verbleibenden Updates werden seitdem quartalsweise veröffentlicht. Dementsprechend gibt es im Vergleich zum November in diesem Monat jede Menge Sicherheitspatches.

Wie Google in einem Beitrag mitteilt, nutzen Angreifer derzeit zwei Lücken (CVE-2025-48572 „hoch“, CVE-2025-48633 „hoch“) aus. In welchem Umfang das geschieht, ist derzeit nicht bekannt. Google schreibt von „begrenzten und gezielten“ Attacken.

Über die erste Schwachstelle können sich Angreifer der knappen Beschreibung zufolge höhere Nutzerrechte verschaffen. Über die zweite Lücke können Informationen leaken. Wie die Angriffe ablaufen, ist derzeit unklar.

Weiterhin warnen die Entwickler vor einer „kritischen“ Schwachstelle (CVE-2025-48631) in der Framework-Komponente von Android 13, 14, 15 und 16. Weitere Lücken erlauben unter anderem DoS-Attacken.

Der YouTube-Client SmartTube für Android-TV war temporär kompromittiert. Angreifer konnten in die Entwicklung eingreifen, Schadcode in der App platzieren und diese über ein Update an Nutzer verteilen. Mittlerweile ist die Version offline und der Entwickler nimmt Stellung.

Wer die App installiert hat, sollte sie aus Sicherheitsgründen vorerst deinstallieren und auf die bereits angekündigte neue Version warten.

Auf GitHub teilt der Entwickler in einem Beitrag mit, dass ein Unbekannter Zugriff auf seinen privaten Schlüssel zum Signieren der App hatte. Damit ausgerüstet konnte er die mit Malware versehene App im Namen des Entwicklers signieren und somit als legitim aussehend in Umlauf bringen.

Doch Googles Schutzmechanismus Play Protect schlug bei einigen Nutzern an und blockierte die kompromittierte App. Einer der Betroffenen erstellte dann bei GitHub ein Bug-Ticket und schnell fanden sich weitere Opfer.

Es gibt bereits eine erste Analyse des Schadcodes. Der Code findet sich in der Bibliothek libalphasdk.so. Zum jetzigen Zeitpunkt funkt die App damit unter anderem Metriken an einen Server. Es gibt aber bislang noch keine Hinweise auf das Mitschneiden von Accountdaten oder DDoS-Aktivitäten. Das kann sich aber jederzeit ändern, da die manipulierte App den Analysen zufolge Anweisungen von den Angreifern empfangen kann.

Das indische Telekommunikationsministerium hat Smartphone-Hersteller aufgefordert, auf allen Neu-Geräten eine staatliche Cybersicherheits-App vorzuinstallieren, die nicht gelöscht werden kann. Die Regierung in Neu-Delhi begründet den Schritt mit dem Vorgehen gegen die Zunahme von Cyberkriminalität. Das berichtete am Montag die Nachrichtenagentur Reuters und beruft sich auf einen entsprechenden Regierungserlass.

Zu den von der neuen Verfügung betroffenen Unternehmen gehören der US-Konzern Apple, Samsung aus Südkorea oder chinesische Technologiekonzerne wie Vivo, Oppo und Xiaomi. Laut Reuters gibt die Verordnung vom 28. November den Herstellern neunzig Tage Zeit, um sicherzustellen, dass die staatliche Sanchar Saathi-App – so der Name der App – auf neuen Smartphones vorinstalliert ist. Nutzer dürfen sie nicht deinstallieren können, lautet eine der Auflagen.

Bei Mobiltelefonen, die bereits das Werk verlassen haben, soll die App über Software-Updates auf die Geräte übertragen werden, heißt es in der Verordnung. Diese wurde bislang nicht veröffentlicht, sondern nur ausgewählten Unternehmen zugestellt, schreibt Reuters. Eine Zustimmung der Nutzer ist nicht vorgesehen. Das Vorgehen erinnert an Russland. Die Regierung in Moskau ordnete Ende August an, dass der vom Staat geförderte Messenger MAX ab September auf allen verkauften Smartphones und Tablets vorinstalliert werden muss.

Die indische Regierung erklärte, die Sanchar Saathi-App sei unerlässlich, um eine Gefährdung der Cybersicherheit im Telekommunikationsbereich durch doppelte oder gefälschte IMEI-Nummern zu bekämpfen. Die IMEI (International Mobile Equipment Identity) ist eine 14- bis 17-stellige Nummer, die für jedes Mobiltelefon einzigartig ist. Sie wird zum Beispiel verwendet, um den Netzwerkzugang für als gestohlen gemeldete Telefone zu sperren. IMEI-Nummern ermöglichen aber auch Betrug und Netzwerkmissbrauch.

Die App wurde laut Reuters in erster Linie entwickelt, damit Nutzer verlorene oder gestohlene Smartphones über ein zentrales Register in allen Telekommunikationsnetzen sperren und verfolgen können. Zudem können sie mit der App betrügerische Mobilfunkverbindungen identifizieren und trennen. Seit ihrer Einführung im Januar wurde die App mehr als fünf Millionen Mal heruntergeladen. Nach Angaben der Regierung in Neu-Delhi hat die mobile Anwendung dazu beigetragen, mehr als 700.000 verlorene Mobiltelefone wiederzufinden und mehr als 3,7 Millionen gestohlene oder verlorene Mobiltelefone zu sperren, während mehr als 30 Millionen betrügerische Verbindungen gekappt wurden. Mit mehr als 1,2 Milliarden Menschen ist Indien einer der größten Telekommunikationsmärkte weltweit.

Mit der Unterstützung durch Europol haben Strafverfolger aus Deutschland und der Schweiz die Geldwäsche-Plattform „Cryptomixer“ zerschlagen. Domain und Server konnten die Verbrechensbekämpfer beschlagnahmen.

Wie Europol mitteilt, lief die gemeinsame „Operation Olympia“ vom 24. bis zum 28. November 2025. Das BKA datiert die Aktion auf den vergangenen Mittwoch, den 26.11.2025. Die Ermittler haben sich dabei auf das Stilllegen des illegalen Kryptowährungsmixers „Cryptomixer“ konzentriert. Das ist ein Dienst, der Kryptowährungen vermischt, um Quelle und Ziel von Transaktionen zu verschleiern und sie so anonymisiert. Vereinfacht werfen sie die Coins der Nutzer in einen Topf und verteilen sie von dort wieder an die Einzahler. Kriminelle nutzen das zur Geldwäsche.

Die Strafermittler konnten Kryptowährungen im Wert von rund 25 Millionen Euro beschlagnahmen. Außerdem stellten sie die in der Schweiz befindliche Infrastruktur, Mail-Konten und die Domain „cryptomixer.io“ sicher. Auch bei einem Filehosting-Dienst liegende Beweismittel konnten sie sichern und das zugehörige Konto deaktivieren. Die Webseite des illegalen Dienstes ziert nun ein Beschlagnahme-Banner der Strafverfolgungsbehörden.

Die Beamten erklären, dass „cryptomixer.io“ als einer der größten Bitcoin-Mixer galt und Umsätze in Milliardenhöhe verzeichnet, „welche größtenteils kriminellen Ursprungs waren“. Europol hat Umsätze in Höhe von 1,3 Milliarden Euro seit dem Gründungsjahr verzeichnet. Die Plattform bestand seit 2016. Sie ermöglichte anonyme Ein- und Auszahlungen und verschleierte so Finanzströme. Die Rückverfolgbarkeit erschwerte zudem, dass Maßnahmen zur Identitätsfeststellung von Kunden fehlten. Sie war sowohl im Clear- als auch im Darknet erreichbar gewesen.

Am Anfang des Jahres hatten Strafermittler mit Unterstützung von Europol zwei Cybercrime-Foren mit rund 10 Millionen Nutzern stillgelegt. Den Behörden gelingen immer wieder Ermittlungserfolge gegen Online-Kriminalität. Cyberkriminelle dürfen sich daher nicht zu sicher fühlen.