Comretix Blog

Die neue US-Regierung hat alle nicht vom Staat entsandten Mitglieder verschiedener Beratungsgremien entlassen und damit unter anderem eine Untersuchung des verheerenden Cyberangriffs auf US-Provider abrupt gestoppt. Das berichtet die Nachrichtenagentur Reuters. Die Untersuchung des Angriffs durch das Cyber Safety Review Board sei damit "gestorben", zitiert der Cybersecurity-Journalist Eric Geller auf X eine mit dem Vorgang vertraute Quelle. Senator Ron Wyden (Demokraten) spricht von einem "massiven Geschenk an die chinesischen Spione, die auch Donald Trump und JD Vance ins Visier genommen haben".

Anzeige

Cisco warnt vor einer kritischen Sicherheitslücke im Meeting Management. Zudem hat der Hersteller Schwachstellen in Broadworks und ClamAV mit Sicherheitsupdates geschlossen.

Anzeige

Die gravierendste Sicherheitslücke betrifft die REST-API von Ciscos Meeting Management. "Eine Schwachstelle in der REST-API von Cisco Meeting Management ermöglicht entfernten authentifizierten Angreifern mit niedrigen Rechten, ihre Rechte auf betroffenen Geräten zu Administrator heraufzustufen", schreibt Cisco in der Sicherheitsmitteilung (CVE-2025-20156, CVSS 9.9, Risiko "kritisch").

Die Sicherheitslücke stamme daher, dass ordnungsgemäße Autorisierung von REST-API-Nutzern nicht erzwungen werde. Angreifer können das Leck missbrauchen, indem sie API-Anfragen an Endpunkte senden. Bei Erfolg können Angreifer Kontrolle auf Admin-Ebene über Edge-Nodes erhalten, die mit Ciscos Meeting Management verwaltet werden. Version 3.10 ist von der Lücke nicht betroffen, für Version 3.9 steht die Aktualisierung auf Cisco Meeting Management 3.9.1 bereit. Wer noch Fassung 3.8 oder ältere einsetzt, soll auf eine unterstützte Version migrieren.

Eine Denial-of-Service-Lücke betrifft Ciscos Broadworks. Das Unternehmen schreibt in einer Sicherheitsmeldung, dass im Subsystem zur SIP-Verarbeitung nicht authentifizierte Angreifer aus dem Netz die Verarbeitung eingehender SIP-Anfragen lahmlegen können (CVE-2025-20165, CVSS 7.5, hoch). Die Speicherbehandlung für bestimmte SIP-Anfragen ist unzureichend, was Angreifer durch das Senden einer großen Zahl von SIP-Anfragen missbrauchen können, um den Speicher aufzubrauchen, den Ciscos Broadworks zum Verarbeiten von SIP-Traffic reserviert. Sofern kein Speicher mehr verfügbar ist, verarbeiten die Netzwerkserver keine eingehenden Anfragen mehr. Der Fehler ist ab Version RI.2024.11 von Cisco Broadworks korrigiert.

Microsoft räumt Probleme bei der Authentifizierung mittels Authenticator in bestimmten Webbrowsern für Microsoft-365-Dienste ein. Anstatt Zugriff auf den gewünschten Dienst bekommen Betroffene eine Fehlermeldung zu Gesicht.

Anzeige

Auf der Statusseite zu den Microsoft-Diensten zeigt das Unternehmen an "Wir haben Probleme, aber wir arbeiten daran". Betroffen ist demnach Microsoft 365 in der Endkundenversion.

Das Problem beschreibt Microsoft konkret folgendermaßen: "Benutzer können sich nicht mit der Authenticator-App authentifizieren, wenn sie sich bei Microsoft 365-Diensten in einigen Browsern anmelden." Konkreter erklären die Redmonder, dass Betroffene bei einer Anmeldung mit Googles Chrome oder Microsofts Edge eine Fehlermeldung erhalten. Sie laute sinngemäß: "Wir haben eine Anmeldeanforderung an eine Microsoft-App gesendet, die Sie zur Genehmigung von Anmeldeanforderungen verwenden, aber wir haben Ihre Genehmigung nicht erhalten."

Um sich dennoch anzumelden, schlägt Microsoft vor, sich mit einem anderen Webbrowser als Chrome oder Edge anzumelden. Außerdem kann die Authentifizierung mit anderen Methoden ausgewählt werden, etwa einem Passwort, einem One-Time-Code oder etwa Passkey.

Aktuelle Versionen des Heimserver-Betriebssystems Unraid beheben verschiedene, teils kritische Sicherheitslücken. Das gab das Unraid-Team seinen Kunden in einem Newsletter bekannt. Updates stehen bereit und Admins sollten diese zügig einspielen.

Anzeige

Die schwerste der vier Sicherheitslücken ist ein Cross-Site-Scripting (XSS) wie aus dem Lehrbuch: Über einen URL-Parameter im webbasierten Dateibrowser können Angreifer Unraid-Admins Javascript-Code unterschieben. Sie müssen ihr Opfer jedoch dazu bringen, auf einen präparierten Link zu klicken, während es im Unraid-Webinterface eingeloggt ist. Auch in einem Parameter der Geräteeinstellungen von Unraid verbirgt sich ein XSS.

2003 hat angerufen: Dieser triviale XSS in der Unraid-Weboberfläche ist mit aktuellen Versionen behoben.

(Bild: heise security / cku)

Vor gut eineinhalb Jahren erlangte die französische IT-Sicherheitsfirma Sekoia Zugriff auf Kommandoserver-IP des Botnetzes Plug-X. Zehntausende infizierte Endgeräte meldeten sich dort. Sekoia machte sich auf die Suche nach Desinfektionsmöglichkeiten und wurde fündig. Die Malware enthält eine Desinfektionsroutine, die man mit einem simplen Befehl anstoßen kann. Doch das wollte die Firma lieber den mit entsprechenden Rechten ausgestatteten Behörden überlassen und bat um internationale Unterstützung. Unter anderem Frankreich und die USA desinfizierten tausende Systeme. In Deutschland klemmt es jedoch.

Anzeige

Mutmaßlich chinesische Angreifer entwickelten Plug-X ursprünglich als ein Remote Access Tool, das sie gezielt über USB-Sticks verbreiteten. Damit stahlen sie dann etwa bei VW in großem Stil vertrauliche Daten. Die Malware wurde später zu einer sich selbst weiterverbreitenden Plage erweitert; also einem Wurm, der daraufhin unkontrolliert seine Bahnen zog und Geräte rund um die Welt zu infizieren begann. Die französische Firma scheute davor zurück, selbst auf Systemen Dritter in aller Herren Länder aktiv zu werden. Stattdessen entwickelte Sekoia eine einfache Schnittstelle und startete einen internationalen Aufruf an staatliche Behörden weltweit, doch bitte mit den zur Verfügung gestellten Funktionen die Malware von den Geräten im eigenen Hoheitsbereich zu entfernen.

Sie könnten dazu, so beschreibt es Sekoia, mit einem Befehl an dem Host-Rechner ganz einfach einen Löschvorgang auslösen, den Plug-X bereits mitbringt. Damit ist es nicht erforderlich, eigene Software auf den Zielrechner zu bringen. Alternativ bietet Sekoia noch eine andere Reinigungsfunktion: Um angeschlossene USB-Geräte mitzusäubern, werde dabei eine Payload auf den Rechner geladen, die den Verzeichnisbaum von USB-Speichergeräten ändere. Sekoia selbst bezeichnete diese Variante als "höchst intrusiv" und warnte vor rechtlichen Schwierigkeiten.

Bereits im Sommer 2024 desinfizierten mit Sekoias Hilfe französische Behörden mehrere tausend Systeme in Frankreich. Jetzt zog das FBI nach und meldete vor wenigen Tagen Vollzug: 4200 Computer in den USA wurden im Zuge der Desinfektionsaktion bereinigt – zum Einsatz kam offenbar der einfache Kill-Befehl. Den Antrag dafür stellte ein FBI-Mitarbeiter aus Philadelphia. Denn im US-Recht ist das zur Schadensverhinderung legal, wenn ein Richter dies genehmigt. Die Beschreibung des genehmigten Antrags ist – wie im US-Justizsystem üblich – öffentlich einsehbar.

Die europäische NIS-2-Richtlinie (Network and Information Security Directive 2) stellt viele Unternehmen vor neue Herausforderungen im Bereich der Cybersicherheit. Bis Oktober 2024 mussten europäische Unternehmen die Vorgaben in nationales Recht umsetzen. In Deutschland geschieht dies durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Die Neuregelungen betreffen zahlreiche Unternehmen und erfordern eine gründliche Auseinandersetzung mit den Anforderungen sowie deren praktische Umsetzung.

Anzeige

Der Workshop NIS2: Anforderungen und Vorgaben bietet Teilnehmenden die Möglichkeit, die Kernaspekte der NIS2-Richtlinie und des deutschen NIS2UmsuCG kennenzulernen. Ein besonderer Fokus liegt dabei auf der Verbindung mit bestehenden ISO 27001-Maßnahmen. An zwei Vormittagen erwerben die Teilnehmer das notwendige Wissen, um Sicherheitsstrategien zu optimieren, Compliance zu gewährleisten und rechtliche Vorgaben zu erfüllen.

Der Workshop richtet sich primär an Personen mit Sicherheits- oder Compliance-Verantwortung. Er steht jedoch allen Interessierten offen, die einen Überblick über NIS2 im Zusammenspiel mit ISO 27001:2022 gewinnen möchten. Durch den Workshop führt Sebastian Renczikowski. Mit seinem Fachwissen zu Normen und regulatorischen Anforderungen entwickelt er passgenaue Lösungen für Unternehmen im Bereich Informationssicherheit, Compliance und beim Risiko- und Notfallmanagement.

Microsoft hat neue Vorgehensweisen einer kriminellen Einigung beobachtet, die das Unternehmen als "Star Blizzard" führt. Die russischen Cyberkriminellen hatten ursprünglich etwa Journalisten und Nicht-Regierungs-Organisationen (NGOs) im Visier. Zuletzt versuchten sie, mit einer Phishing-Kampagne WhatsApp-Konten zu übernehmen.

Anzeige

In einem Blog-Beitrag beschreibt Microsoft Details der Spear-Phishing-Kampagne. Zunächst gehe Star Blizzard wie bereits bekannt vor: Sie stellen initial Kontakt mit den Opfern mittels E-Mails her, um sie in einen Schriftverkehr zu verwickeln, bevor sie eine zweite Nachricht mit bösartigem Link senden. Die Absender-Adressen in dieser Kampagne imitieren die von US-Regierungsbeamten – eine bekannte Masche, bekannte politische oder diplomatische Persönlichkeiten nachzustellen.

Die initiale E-Mail enthält einen QR-Code, mit der Empfänger einer WhatsApp-Gruppe mit dem Thema "die jüngsten Nicht-Regierungs-Organisationen mit dem Ziel der Unterstützung ukrainischer NGOs" beizutreten. Der QR-Code ist jedoch defekt und leitet potenzielle Opfer zu keiner gültigen Domain, was die Empfänger zu einer Antwort an die Absender verleiten soll.

Sofern Opfer eine Antwort senden, schickt Star Blizzard eine zweite Mail mit einem durch t[.]ly verkürzten Link als angebliche Alternative, der WhatsApp-Gruppe beizutreten. Nach einem Klick auf den Link öffnet sich eine Webseite, die zum Einscannen eines QR-Codes auffordert, um endgültig in die Gruppe zu gelangen. Allerdings handelt es sich bei dem QR-Code um einen von WhatsApp genutzten Code, um ein Konto mit einem Gerät oder dem WhatsApp-Web-Portal zu verknüpfen.

Mehrere Quellen bestätigen großflächige Versuche, Zugangsdaten für Microsoft 365 durchzuprobieren; auch bei Heise hat es an der Tür gerappelt. Auch wenn es scheint, dass die akuten Angriffe bereits vorbei sind, sollten M365-Admins vorsichtshalber ihre Logs auf erfolgreiche Einbruchsversuche checken. Das geht recht schnell und einfach.

Anzeige

Die zuerst von Speartip vermeldeten Brute-Force-Angriffe kommen vor allem aus Brasilien, aber auch aus einigen anderen eher unüblichen Ländern wie Argentinien, Türkei und Usbekistan. Sie haben alle den User Agent "fasthttp" und lassen sich damit einfach in den Logs identifizieren. Speartip empfiehlt dazu folgenden schnellen Check:

Alternativ könne man auch eine Audit-Protokollsuche in Microsoft Purview mit dem Schlüsselwort "fasthttp" durchführen. Des Weiteren bietet Speartip ein Powershell-Skript zur Suche nach den verdächtigen Zugriffsversuchen in den Logfiles.

Solange alle Log-In-Versuche gescheitert sind, besteht kein akuter Handlungsbedarf; man sollte sich aber durchaus Gedanken darüber machen, ob die aktuellen Schutzmaßnahmen angesichts dieser Bedrohung noch ausreichend sind. Finden sich jedoch erfolgreiche Log-ins mit dem User-Agent "fasthttp", bedeutet das recht sicher, dass die Angreifer den Zugang übernehmen konnten. Wir empfehlen dann, die Credentials sofort zu resetten, aktive Sessions zu terminieren und weitere Incident Response einzuleiten.

Ein Foto einer Landschaft oder einer Stadt – nur: Wo ist es entstanden? Das US-Unternehmen Graylark Technologies hat eine Software entwickelt, die diese Frage beantworten kann. Allerdings ist sie nicht für die Allgemeinheit gedacht – aus guten Gründen.

Anzeige

Geospy heißt das System, das mithilfe von Künstlicher Intelligenz feststellen kann, wo ein Foto aufgenommen wurde. Es kann einen Ort relativ genau bestimmen – also etwa in welcher Stadt oder welcher Gegend ein Foto aufgenommen wurde; bis auf die Straße oder gar Hausnummer geht es jedoch nicht.

Um einen Ort zu bestimmen, analysiert Geospy auf dem Foto enthaltene Informationen wie Vegetation, Baustil von Gebäuden oder Abstand der Bebauung. Selbst die Art des Straßenbelags wird einbezogen. Zuvor wurde das System mit Millionen von Bildern aus aller Welt trainiert.

Besonders gut ist es nach Angaben des Unternehmens bei der Erkennung von Orten in den USA. Aber es könne auch Orte anderswo auf der Welt identifizieren. Damit ermöglicht Geospy es Ungeübten, etwas in kürzester Zeit zu erledigen, wofür die Experten für Open Source Intelligence (OSINT) jahrelang trainieren und jedes Mal wieder einige Mühe aufwenden müssen.

Offenbar sorgen KI-Bots seit Anfang des Jahres dafür, dass Webseiten reguläre Anfragen nur verzögert beantworten können. Der Gründer der Linux Weekly News (LWN-net), Jonathan Corbet, berichtet davon, dass die News-Seite deshalb öfter nur langsam reagiere.

Anzeige

Die KI-Scraper-Bots bewirken demnach einen DDoS, einen Distributed-Denial-of-Service-Angriff. Zeitweise würden die KI-Bots mit hunderten IP-Adressen gleichzeitig die Leitungen verstopfen, sobald sie entschieden hätten, die Inhalte der Seite abzugreifen. Auf Mastodon erklärt Corbet, dass nur noch ein kleiner Teil des Traffics derzeit echten menschlichen Lesern diene.

Diese KI-Bots würden sich selbst nicht als solche ausweisen. Das Einzige, was sie von der Webseite nicht lesen, sei die "robots.txt", schiebt Corbet nach. Er beschreibt die derzeitige Situation als "mehr als unhaltbar".

Die Betreiber müssten nun Zeit in eine Art aktiven Verteidigungsmechanismus stecken, nur um die Seite überhaupt online zu halten. "Ich denke, ich würde lieber über Buchhaltungssysteme schreiben, als mich mit dieser Sche*e herumzuärgern", fügt Corbet hinzu. Es betreffe nicht nur LWN: "Dieses Verhalten schrottet das Netz noch mehr, als es ohnehin schon schrottig ist", meint Corbet weiter. In der Diskussion führt er weiter aus: "Wir sehen in der Tat eine Art Muster. Jede IP bleibt unter dem Schwellwert für unsere Sicherungen, aber die Überlast ist überwältigend. Jede Form der aktiven Verteidigung muss wohl herausfinden, ganze Subnetze anstatt einzelner Adressen zu blockieren, und nicht einmal das könnte ausreichend sein."

Nachdem D-Trust, ein unter anderem für sichere Identitäten relevanter Anbieter, vergangene Woche über einen Angriff auf sein Antragsportal für Signatur- und Siegelkarten berichtet hatte, informiert die Tochter der Bundesdruckerei über aktuelle Erkenntnisse. Demnach konnten am 13. Januar Daten einer Schnittstelle des Portals "portal.d-trust.net" ausgelesen werden. Weitere Details, beispielsweise in welchem Umfang auf die Daten zugegriffen wurde, nennt das Unternehmen nicht.

Anzeige

Auch "Antragsdaten für Elektronische Heilberufsausweise (eHBA) und Praxis- bzw. Institutionsausweise (SMC-B)" seien betroffen. Diese speziellen Ausweise benötigen Ärzte, um Zugriff zur Telematikinfrastruktur – die für den Austausch von Daten im Gesundheitswesen gedacht ist – zu erhalten und Dokumente zu signieren. Wiederholt betont das Unternehmen, dass "Funktion und Sicherheit der ausgegebenen Signatur- und Siegelkarten sowie eHBA und SMC-B [...] Zugangsdaten (Login, Passwortdaten) und Zahlungsinformationen" nicht beeinträchtigt oder betroffen seien.

Nachdem der Vorfall bekannt wurde, hatte unter anderem die Ärztekammer Nordrhein zur Wachsamkeit insbesondere gegenüber Phishing-Mails gewarnt, wie das Ärzteblatt berichtete. Auch die Bundesärztekammer sei wegen des Vorfalls mit D-Trust im Austausch. Die Interessengemeinschaft Medizin hatte nach dem Bekanntwerden des Vorfalls einen Stopp der elektronischen Patientenakte gefordert.

Möglicherweise wurden "Vor- und Nachname, E-Mail-Adresse, Geburtsdatum und in einigen Fällen Adress- und Ausweisdaten" abgegriffen. Zudem heißt es, dass die Daten lediglich ausgelesen wurden, eine Manipulation der Daten habe nicht stattgefunden. Nach Angaben von D-Trust kooperiert das Unternehmen "eng mit den zuständigen Aufsichtsbehörden. Auch die Strafermittlungsbehörden sind infolge der Strafanzeige der D-Trust GmbH involviert", heißt es in einer aktualisierten Mitteilung.

Admins von Unternehmen mit Oracle-Anwendungen sollten die ab sofort verfügbaren Sicherheitsupdates zeitnah installieren. Geschieht das nicht, können Angreifer Systeme im schlimmsten Fall vollständig kompromittieren.

Anzeige

In einer Meldung zu Oracles Quartalssammelupdate Critical Patch Update schreibt der Softwareentwickler, dass sie insgesamt 318 Sicherheitsupdates veröffentlicht haben. Um möglichen Attacken vorzubeugen, rät Oracle zu zügigen Updates. Bislang gibt es noch keine Berichte über bereits laufende Angriffe. Außerdem sollten Admins sicherstellen, dass auch die Updates aus vergangenen Quartalsupdates installiert sind.

Schaut man sich die in Oracles Warnhinweis aufgelisteten betroffenen Anwendungen an, ist der Großteil des Softwareportfolios verwundbar. Darunter fallen beispielsweise Agile Engineering Data Management, Cloud Native Core Automated Test Suite und Identitiy Manager.

Angreifer können unter anderem an einer "kritischen" Lücke (CVE-2024-37371) in der Kerberos-Komponente von Communications Billing and Revenue Management ansetzen. Attacken sollen aus der Ferne möglich sein. Was Angreifer nach einer erfolgreichen Attacke konkret anstellen können, geht aus der Beschreibung nicht hervor. Es liest sich so, als würde das zu Speicherfehlern führen, was in der Regel die Basis für die Ausführung von Schadcode ist.

Das Softwareunternehmen JetBrains ist eine Partnerschaft mit Mend.io (ehemals WhiteSource) eingegangen – einem Unternehmen, das auf Anwendungssicherheit spezialisiert ist. Aus dieser Zusammenarbeit hervorgehend, kann JetBrains nun neue Sicherheitsfunktionen in seinen Entwicklungsumgebungen und im Codeanalyse-Tool Qodana anbieten.

Anzeige

Das JetBrains-Plug-in Package Checker war bisher bereits für die JetBrains-Entwicklungsumgebungen – darunter IntelliJ IDEA, Android Studio oder PyCharm – verfügbar. Nun bietet es erweiterte Funktionen und kann auf Basis der Mend.io-Partnerschaft bösartige Pakete des JavaScript-Paketmanagers npm oder des Python-Paketmanagers PyPI erkennen:

Der JetBrains Package Checker erkennt npm-Pakete mit Schadcode.

(Bild: JetBrains)

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel Active Directory: Effiziente Absicherung lernen Sie die wichtigsten Angriffstechniken wie Pass the Hash und Delegierungsschwachstellen kennen. Sie erfahren, wie Sie mit Werkzeugen wie PowerView und Bloodhound sowie Audit-Tools wie PingCastle Fehlkonfigurationen und Schwachstellen in Ihrem lokalen AD identifizieren und anschließend beheben, um das Herzstück Ihrer IT effektiv gegen Angriffe zu schützen.

Anzeige

Referent des zweitägigen Workshops ist Frank Ully. Als erfahrener Pentester konzentriert er sich auf relevante Entwicklungen im Bereich der offensiven IT-Sicherheit. Frank Ully gilt als ausgewiesener Experte auf seinem Gebiet und verfügt über zahlreiche Zertifikate wie Offensive Security Certified Expert (OSCE), Offensive Security Certified Professional (OSCP), Certified Red Team Operator (CRTO), Certified Red Team Professional (CRTP) und GIAC Reverse Engineering Malware (GREM).

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Angriffe auf und Absicherung von Entra ID.

Am Wochenende sorgten Medienberichte über eine geplante Gesetzesänderung für Aufregung: Mit dem geplanten "Solarspitzengesetz" seien Kontrollmöglichkeiten für Wechselrichter von Photovoltaikanlagen vorgesehen, die Netzbetreiber ermöglichen, bei Überangebot die Stabilität der Netze zu sichern. Da viele dieser Anlagen oder ihre Komponenten von chinesischen Herstellern stammen, schaffe die Gesetzesnovelle ein massives Sicherheitsrisiko. Einen solchen direkten Zusammenhang gibt es jedoch nicht, wie etwa der Bundesverband Solarwirtschaft e. V. auf Nachfrage bestätigt.

Anzeige

Die vorgeschlagenen Änderungen am Energiewirtschaftsgesetz waren Gegenstand einer Anhörung am Mittwoch vergangener Woche im Bundestagsausschuss für Klimaschutz und Energie. Ziel des Gesetzes ist es, die Spitzen in der Photovoltaikeinspeisung zu glätten. Eine zentrale Maßnahme: In Zeiten negativer Strompreise soll keine Einspeisevergütung gezahlt werden.

Geplant ist aber nicht nur diese finanzielle Maßnahme, sondern auch eine technische: Das Wort "Steuerung" taucht im Gesetzentwurf 171 Mal auf. Dass zur Abregelung bei Überschüssen etwa die Cloud-Dienste der Hersteller genutzt werden sollen, findet sich im Text nicht. Laut Medienberichten vom Wochenende hätte in diesem Zusammenhang das Bundesamt für Sicherheit in der Informationstechnik (BSI) Bedenken ob der IT-Sicherheit angemeldet. Das BSI will das auf Anfrage von heise online nicht bestätigen. Die Behörde äußere sich grundsätzlich nicht zu Gesetzesvorhaben, heißt es.

Zu den geplanten Änderungen wurde unter anderem der Bundesverband Solarwirtschaft als einer von zehn Experten vom Bundestagsausschuss für Klimaschutz und Energie angehört. heise online hat den Interessenverband daher gefragt, ob die Änderungsvorschläge oder das Gesetz die Steuerung über Hersteller-Clouds vorsehen oder andeuten. Die Antwort:

Algorithmen für Quantencomputer zum Brechen insbesondere von herkömmlicher Verschlüsselung machen Fortschritte, daher suchen Kryptologen nach Möglichkeiten, Kommunikation so zu verschlüsseln, dass die neue Computerklasse sich die Zähne daran ausbeißt. Das BSI hat nun die erste Smartcard zertifiziert, die quantensichere Verschlüsselung gewährleisten können soll.

Anzeige

Insbesondere, um Mitschnitte verschlüsselter Kommunikation nicht im Nachgang entschlüsseln zu können ("collect now, decrypt later"), entwickeln IT-Sicherheitsforscher konkrete Post-Quanten-kryptografische Algorithmen (PQC). Das US-amerikanische NIST hat erst im vergangenen August drei Verschlüsselungsstandards verabschiedet, die Angriffen durch Quantencomputern widerstehen sollen: FIPS203, FIPS204 und FIPS205. Die jetzt vom TÜV für das BSI zertifizierte Smartcard setzt auf einen Infineon-IC, der das PQC-Verfahren FIPS203, auch als ML-KEM bekannt, umsetzt.

Es handelt sich laut BSI um das weltweit erste Common-Criteria-Sicherheitszertifikat für eine konkrete Implementierung von FIPS203. Damit verschlüsselte Daten sollen auch den potenziell mächtigen Angriffen mit Quantencomputern widerstehen. Die Smartcards lassen sich etwa für Personalausweise, Gesundheitskarten, Kreditkarten oder SIM-Karten einsetzen, nennt das BSI einige konkrete Beispiele.

Das BSI sieht dringenden Handlungsbedarf, Verschlüsselung auf quantenresistente Algorithmen zu migrieren. Klassische Kryptografie sehe sich einem stärker werdenden Bedrohungsszenario durch Quantenalgorithmen ausgesetzt, erklärt die IT-Sicherheitsbehörde. Zusammen mit 17 europäischen Partnern ruft das BSI zur "aktiven Umstellung auf quantenresistive Verfahren bis spätestens 2030" auf.