Comretix Blog

Mit wenigen Klicks sollte jedermann in die Lage versetzt werden, leicht Ende-zu-Ende-verschlüsselte E-Mails versenden zu können – die Idee hinter der Volksverschlüsselung war es, Verschlüsselung einem breiten Publikum zugänglich zu machen. Nun wird die kostenlose Volksverschlüsselung-Software nach jahrelangem Betrieb zum 31. Januar 2026 eingestellt. Das gab das Fraunhofer Institut für Sichere Informationstechnologie (Fraunhofer SIT) bekannt.

"Um unsere Ressourcen für neu zu entwickelnde zukunftsorientierte Sicherheitslösungen einsetzen zu können, haben wir uns entschieden, den Volksverschlüsselungsdienst nicht weiterzuführen", heißt es in einer kurzen Erklärung. Der Blick zurück aber fällt positiv aus. Gemeinsam mit seinen Partnern, darunter die Deutsche Telekom, habe man dazu beitragen können, IT-Sicherheit in Deutschland einfacher und alltagstauglicher zu machen, heißt es. Hinter der Open-Source-Anwendung Volksverschlüsselung verbirgt sich eine Infrastruktur, mit der Schlüssel erzeugt, zertifiziert und verteilt werden, damit Anwender eine Ende-zu-Ende-Verschlüsselung beim E-Mail-Versand nutzen können. E-Mails signieren und verschlüsseln sollte so für jede und jeden leicht handhabbar sein.

Für die aktuellen Nutzerinnen und Nutzer ändert sich trotz der Ankündigung zunächst wenig. Der Zugriff auf bestehende Installationen und Zertifikate bleibt bestehen. Ab dem 31. Januar kommenden Jahres aber ist die Registrierung neuer Nutzerinnen und Nutzer nicht mehr möglich. Auch werden ab diesem Zeitpunkt keine Updates oder Support-Leistungen mehr bereitgestellt. Diverse Dienste, wie der Verzeichnis- und Sperrdienst, werden dann eingestellt.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Signal-Backups werden besser: Beim Plattformwechsel zwischen Android und iOS war bislang stets mit einem Verlust des Chatarchivs des Signal-Messengers zu rechnen. Mit einer neuen Beta-Version des Messengers zieht ein hauseigener Cloud-Backup ein, mit dem sorgenfrei zwischen iPhones und Android-Geräten umgezogen werden können soll. Die Beta ist derzeit nur für Android-Geräte über Github als APK-Datei verfügbar.

Im Juni dieses Jahres hatte Signal bereits einen eigenen Cloud-Backupdienst angekündigt. Diesen will das Unternehmen selbst hosten und sämtliche Nachrichten und Medien mittels Ende-zu-Ende-Verschlüsselung absichern, sodass nur der Nutzer oder die Nutzerin mit einem entsprechenden Schlüssel Zugriff darauf erhält.

Ein Vorteil dieser neuen Backup-Funktion ist laut Signal, dass im Unterschied zu den bisherigen Lösungen ein unabhängiges Backup-Format zum Einsatz, das alle Clients lesen können. Damit ist es etwa möglich, Backups auf Android zu erstellen und auf iOS wiederherstellen zu können – oder umgekehrt.

Der Signal.-Messenger erhält neue Backup-Funktionen. Derzeit als Beta für Android.

(Bild: Signal)

Schwachstellenbeschreibungen vom Wochenende erörtern teils hochriskante Sicherheitslücken in Staubsaugerrobotern aus dem Hause Ecovacs. Für die betroffenen Deebot-Modelle stehen bereits seit einiger Zeit Updates bereit, die die Sicherheitslecks abdichten. Besitzer sollten sicherstellen, die Basisstationen und Saugroboter auf den aktuellen Stand zu bringen.

Die US-amerikanische IT-Sicherheitsbehörde CISA hatte bereits im Juli eine aktualisierte Sicherheitsmitteilung veröffentlicht, die die Schwachstellen beschreibt. Die gravierendste Schwachstelle betrifft die Basisstationen der Saugroboter. Diese validieren Firmware-Updates nicht, sodass bösartige Over-the-Air-Updates sich über eine unsichere Verbindung zwischen Saugroboter und Basisstation an die Basis schicken lassen (CVE-2025-30199 / EUVD-2025-27021, CVSS4 8.6, Risiko "hoch").

Zwei weitere Schwachstellen erhalten eine niedrigere Risikoeinstufung. Einmal nutzen die Ecovacs-Geräte einen hartkodierten kryptografischen Schlüssel, mit dem Roboter und Basis eine WPA2-PSK-geschützte WLAN-Verbindung untereinander aufbauen – der Schlüssel lässt sich einfach aus der Geräte-Seriennummer ableiten (CVE-2025-30198 / EUVD-2025-27020, CVSS4 5.3, Risiko "mittel"). Dasselbe gilt aber auch für eine AES-verschlüsselte Verbindung zwischen den Geräten (CVE-2025-30200 / EUVD-2025-27023, CVSS4 5.3, Risiko "mittel").

Die Schwachstellen wurden bereits initial am 8. Mai von Ecovacs gemeldet. Im Juli standen dann für betroffene Geräte Firmware-Updates bereit. In den Fassungen 2.5.38 für X1S Pro und X1 Pro Omni, 2.4.45 für den X1 Omni und Turbo, 1.11.0 für die T10-Baureihe, 1.25.0 für die T20-Reihe und 1.100.0 für die T30-Baureihe der Deebot-Saugroboter und -Basisstationen sind die aufgelisteten Fehler korrigiert. Zum Wochenende wurden nun die CVE-Schwachstelleneinträge veröffentlicht.

Normalerweise sollte das automatische Update die entsprechenden Firmwares bereits angeboten haben. Wer die Updates noch nicht installiert hat, sollte das jedoch umgehend nachholen.

Angreifer missbrauchen eine kritische Sicherheitslücke in SAPs ERP-System S/4HANA. Sie können dadurch Schadcode einschleusen. SAP hatte zum August-Patchday ein Update veröffentlicht, mit dem IT-Verantwortliche die Schwachstelle ausbessern können.

IT-Sicherheitsforscher von SecurityBridge schreiben in einer Mitteilung, dass sie einen Exploit in freier Wildbahn entdeckt haben. Sie konnten zudem verifizieren, dass bösartige Akteure im Internet den Exploit einsetzen. Daher "ist unmittelbares Patchen zwingend erforderlich", schreiben die Autoren.

Die attackierte Schwachstelle hat den CVE-Eintrag CVE-2025-42957 erhalten (EUVD-2025-24203, CVSS 9.9, Risiko "kritisch"). SAP selbst beschrieb die Auswirkung als "Backdoor mit dem Risiko der vollständigen Kompromittierung des Systems". Kurzgefasst können Angreifer mit niedrigen Rechten im System die vollständige Kontrolle darüber übernehmen. Diese Zugriffsrechte können sie beispielsweise mittels Phishing erlangen, die Lücke lässt sich über das Netz ohne weitere Nutzerinteraktion missbrauchen.

Ein weitverbreiteter Missbrauch sei noch nicht gemeldet worden, schreiben die IT-Forscher. Jedoch haben sie konkreten Missbrauch der Schwachstelle verifizieren können. Angreifer wissen demnach, wie der Exploit zu nutzen ist, was nicht gepatchte SAP-Systeme dem ausliefere. Außerdem sei es ein Leichtes, den Patch von SAP mittels Reverse Engineering für die Erstellung eines Exploits zu nutzen, da der SAP ABAP-Code offen für jeden einsehbar sei.

Die Security-Bridge-Mitarbeiter empfehlen als Gegenmaßnahme, so schnell wie möglich die Sicherheitsupdates vom SAP-Patchday im August anzuwenden. Admins sollten zudem die Implementierung von SAP UCON zur Einschränkung der Nutzung von RFC in Betracht ziehen und den Zugriff auf das Objekt "S_DMIS activity 02" begrenzen. Die Überwachung der Log-Dateien und Prüfung auf verdächtige RFC-Aufrufe, neuer Admin-Nutzer oder unerwartete ABAP-Code-Änderungen empfehlen sie weiter. Allgemein sei eine Härtung der Systeme mittels Segmentierung, Backups und SAP-spezifischem Monitoring anzuraten.

Eine frei verfügbare Malware namens Stealerium hält für Opfer eine besonders unangenehme Bedrohung bereit. Die Schadsoftware ist dazu in der Lage, nach einer Infektion zu erkennen, wenn der Nutzer im Browser pornografische Seiten aufruft. Wenn dies erkannt wird, fertigt die Software heimlich Screenshots und Webcam-Aufnahmen an, die per Internet verschickt werden. Damit können Cyberkriminelle an Aufnahmen gelangen, mit denen sie ihre Opfer später erpressen können.

Bereits seit Jahren kursierten Scam-E-Mails, die vorgeben, dass Kriminelle an Fotos von einer Selbstbefriedigung des Nutzers vor dem Computer gelangt seien. Damit sollten die Opfer dazu erpresst werden, Geldzahlungen zu leisten. Allerdings handelte es sich hierbei nur um einen Bluff.

Die Gefahr, die von Stealerium ausgeht, sei hingegen real, befinden Sicherheitsforscher der Firma Proofpoint, die die auf GitHub frei verfügbare Malware untersucht haben. Die in der Programmiersprache C# verfasste Software wird dabei zunächst auf klassischem Wege verbreitet, indem Opfer eine E-Mail mit einem Anhang erhalten, die sie öffnen sollen. Statt eines Bestellbogens oder einer Tabelle installiert sich in Wirklichkeit die Malware.

Stealerium verfüge über eine Vielzahl von Funktionen, um das Gerät des Opfers nach verwertbaren Informationen zu durchsuchen. Dazu zählen ein Keylogger, der Tastatureingaben aufzeichnet, das Auslesen von Bank- und Kryptowährungsdaten, das Ausspähen von Passwörtern, der Zwischenablage und Browser-Datenbanken. Inmitten dieser vielen Funktionen verbirgt sich die Webcam-Funktion zur sogenannten Sextortion (Erpressung, bei der Täter mit der Veröffentlichung von Nacktfotos des Opfers drohen). Die Malware sei in der Lage, verschiedene Schutzmechanismen eines Computers auszuhebeln und zu umgehen.

Die gefundenen Daten verschickt Stealerium wahlweise per E-Mail, über Discord, Telegram oder andere Dienste. Seit Mai 2025 sei eine vermehrte Zahl von Stealerium-basierten Angriffen zu verzeichnen. Der anonyme Urheber der Malware hat diese angeblich zu "Bildungszwecken" online gestellt.

Eine Zertifizierungsstelle (CA) aus Kroatien hat mehrere Zertifikate für die IP-Adresse 1.1.1.1 ausgestellt, ohne die notwendige Genehmigung dafür eingeholt zu haben. Die Adresse gehört zu Cloudflares frei nutzbarem DNS-Server, der auch Anfragen per verschlüsselter HTTP-Verbindung entgegennimmt. Publik wurde der Lapsus eher zufällig, die CA leistete sich jedoch noch mehr Schnitzer.

Digitale Zertifikate sind essenziell für die sichere Kommunikation im Web, daher ist ihre Vergabe an strenge Richtlinien gebunden. Die kroatische CA Fina hielt sich an diese Richtlinien offenbar nicht immer – und das, obwohl sie zumindest in Microsoft-Browsern und der EU-Infrastruktur für qualifizierte Webseiten-Zertifikate (QWAC) als vertrauenswürdig gilt.

Vertrauen unbegründet? Diese Produkte und Infrastrukturen akzeptieren von der Fina-CA ausgestellte Zertifikate.

Ein Nutzer des Forums Hacker News fand ein von Fina ausgestelltes Zertifikat, das ihm seltsam vorkam und mit dem er eine weitreichende Untersuchung in Gang setzte. Es war für die IP-Adresse 1.1.1.1 ausgestellt, die das US-Unternehmen Cloudflare seit 2018 für einen freien DNS- und VPN-Dienst verwendet. Dieser unterstützt auch DNS over HTTPS (DoH) und braucht dafür ein gültiges Zertifikat. Das stammt jedoch nicht von Fina, sondern von DigiCert – die kroatische CA hatte die IP-Adresse offenbar nur für Testzwecke verwendet.

Das hätte sie aber nicht gedurft. Denn: Um ein digitales Zertifikat zu erhalten, muss der Antragsteller seine Berechtigung am Subjekt des Zertifikats – üblicherweise eines vollqualifizierten Domainnamens (FQDN) oder einer IP-Adresse – nachweisen. Das gilt auch, wenn die CA selber ein Zertifikat ausstellt, etwa zu Testzwecken. Und so landete der Vorgang rasch auf der zuständigen Mailingliste des Browserherstellers Mozilla und rief die Experten auf den Plan.

Zum 1. Oktober 2025 will Microsoft die Anmeldung mit zweitem Faktor, die Mehrfaktorauthentifizierung oder kurz MFA, für weitere Azure-Cloud-Dienste zwingend einführen. Die Phase 1 der MFA-Erzwingung startete im Februar dieses Jahres, sie brachte die verbesserte Sicherheit für das Azure-Portal, Microsofts Entra-Admin-Center und das Intune-Admin-Center.

In einem Support-Artikel zu Entra-ID hat Microsoft jetzt die aktualisierten Daten vorgestellt. Demnach kommen die Dienste Azure CLI, Azure PowerShell, Azure Mobile App, IaC-Tools und REST-API-Endpunkte zu denjenigen hinzu, für die Microsoft eine erzwungene MFA vorsieht. Zumindest für die Operationen Create, Delete oder Update. Read-Operationen benötigen keine MFA, erörtert Microsoft, das weicht davon ab, was für die Phase-1-Apps gilt.

Auch für „Notfallzugriffskonten“ gelte die MFA-Anforderung, weshalb die Redmonder empfehlen, für diese bereits jetzt Passkeys (FIDO2) oder zertifikatsbasierte Authentifizierung einzurichten. Beides genüge den MFA-Anforderungen. Wer nutzerbasierte Konten für Dienste verwendet, sollte diese zudem auf "Workload Identities" migrieren, was in der Regel Anpassungen an Skripten und Automatisierungsprozessen erfordert.

Microsoft bietet betroffenen Kunden an, gegebenenfalls mehr Zeit für die MFA-Vorbereitungen zu erhalten. Das gilt für Kunden mit komplexen Umgebungen oder technischen Hürden. Die Phase 1 können sie bis zum 30. September hinauszögern. Das sorgt gleichzeitig dafür, dass Phase 2 bis zum selben Zeitpunkt verschoben wird. Für Phase 2 lässt sich jedoch ein späterer Startzeitpunkt auswählen – maximal bis zum 1. Juli 2026. Die Auswahl erlaubt dabei Drei-Monats-Sprünge.

Microsofts Artikel liefert noch Handreichungen für Admins, wie sie die MFA-Anforderungen erfüllen und etwa Tests ihrer Umgebungen vornehmen können. Zudem geben die Redmonder Hinweise, etwa für Anpassungen bei OAAuth-Systemen oder den Umgang mit föderierten Identitätsprovidern.

Google hat Best Practices für Entwicklerinnen und Entwickler vorgestellt, die die User ihrer Apps zu Passkeys migrieren möchten. Passkeys werden zunehmend beliebter, da sie sicherer sind als Passwörter – zum Beispiel vor Phishing-Angriffen schützen – und dabei eine hohe Benutzerfreundlichkeit aufweisen. Bei der Anwendung von Passkeys kann der Sign-in zu Apps und Websites mittels biometrischem Sensor – etwa per Fingerabdruck oder Gesichtserkennung –, PIN oder Muster erfolgen.

Für Android-Developer steht die Jetpack-API Credential Manager bereit, um Usern die Passkey-Anwendung zu ermöglichen, während sie gleichzeitig traditionelle Sign-in-Methoden wie Passwörter unterstützt.

(Bild: Alexander Supertramp/Shutterstock.com)

Nvidias KI- und Netzwerktechnik BlueField, ConnectX, Cumulus Linux, DGX, DOCA, HGX und Mellanox DPDK sind verwundbar. Nach erfolgreichen Attacken können sich Angreifer in den meisten Fällen höhere Nutzerrechte erschleichen. Bislang gibt es noch keine Berichte zu laufenden Attacken. Sicherheitspatches sind verfügbar.

Wie aus einer Warnmeldung hervorgeht, gilt eine Lücke (CVE-2025-23256, Risiko "hoch") in BlueField am gefährlichsten. Hier können Angreifer unter anderem Daten manipulieren. Dafür müssen sie aber lokalen Zugriff auf das Managementinterface haben. Ist das gegeben, können sie an einer kaputten Authentifizierung ansetzen und sich so unbefugt Zugriff verschaffen, um die Konfiguration des Systems zu manipulieren. Wie solche Angriffe konkret ablaufen könnten, ist bislang unklar.

Über die Schwachstellen in DOCA (CVE-2025-23257 "hoch", CVE-2025-23258 "hoch") können sich Angreifer höhere Nutzerrechte verschaffen. Damit das klappt, müssen sie aber bereits über niedrige Rechte verfügen. Auf Mellanox DPDK, ConnectX und Cumulus Linux sind unter anderem DoS-Attacken möglich. Klappt ein solcher Angriff, stürzen Dienste oder Services ab. Außerdem können Angreifer auf eigentlich abgeschottete Daten zugreifen. Im Kontext von DGX und HGX sind ebenfalls für DoS-Angriffe anfällig.

Die Nennung aller Sicherheitspatches sprengt den Rahmen dieser Meldung. Nvidia hat sie in ihren Warnmeldungen aufgelistet. Um mögliche Attacken vorzubeugen, sollten Admins sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind.

Erst kürzlich haben die Entwickler von Nvidia mehrere Sicherheitslücken in KI-Software wie Apex und Megatron LM geschlossen.

In WhatsApp-Gruppen versuchen Betrüger, an das Geld potenzieller Opfer zu gelangen. Davor warnt aktuell die Verbraucherzentrale Nordrhein-Westfalen. Es handelt sich um Anlagebetrug.

Die Verbraucherzentrale gibt in ihrer Warnung an, zahlreiche Berichte von Betroffenen erhalten zu haben. Demnach wurden sie über WhatsApp-Gruppen in vermeintlich lukrative Geldanlagen gelockt. In den Chats werden sie aufgefordert, bestimmte Kryptowährungen zu erstehen oder auf Online-Handelsplattformen damit zu handeln, oder bestimmte Finanzprodukte zu kaufen. Die Opfer verlieren dabei viel oder alles eingesetzte Geld, anstatt die versprochenen Gewinne einzufahren.

Die Betrüger missbrauchen dabei bekannte Markennamen in den WhatsApp-Gruppen, etwa von bekannten Finanzunternehmen, Börsen- und Finanzexpertinnen und -Experten, Promis oder Politikern. Damit locken die Täter Opfer in die WhatsApp-Gruppen, erklärt die Verbraucherzentrale. Sie werden mit schönen Geschichten geködert: Ein Prominenter habe etwa großen Erfolg mit einem bestimmten Anlagemodell gehabt, oder eine vermeintliche Börsenexpertin erkläre, warum jetzt eine bestimmte Aktie gekauft werden soll. Die missbrauchten Namen haben nichts mit der WhatsApp-Gruppe und den dort beworbenen Angeboten zu tun. Betroffene können in der Regel nicht einmal nachvollziehen, wer tatsächlich hinter den WhatsApp-Gruppen steckt und die dubiosen Empfehlungen gibt.

Die Betrüger arbeiten mit weiteren psychologischen Tricks. So suggerieren sie etwa den Gruppenmitgliedern, zu einer exklusiven Gruppe mit nur begrenzter Mitgliederzahl zu gehören. Sie könnten sich glücklich schätzen, ausgewählt worden zu sein. Wenn die Mitglieder den Anweisungen der angeblichen Experten folgen, könnten sie hohe Gewinne erwarten. Die Gruppen betreut nach Erkenntnissen der Verbraucherzentrale eine Assistenz, es gebe einen regelmäßigen Austausch über Tage und Wochen. Sie beantwortet Fragen und stellt das vermeintliche Anlagemodell näher vor, es gebe sogar Trainings und Workshops dazu.

Die Betrügereien nutzen unterschiedliche Vehikel, den Opfern ihr Geld abzunehmen. Etwa unseriöse Tradingplattformen, auf denen Opfern gelegentlich zunächst sogar kleine Gewinne angezeigt werden, sodass sie größere Summen überweisen – die dann jedoch nicht angelegt werden, sondern bei den Betrügern landen. Eine weitere Variante bringt Opfer dazu, an einer seriösen Kryptobörse Geld in einen Stablecoin zu investieren – und diesen dann auf eine Wallet der Betrüger zu transferieren, womit das Geld ebenfalls futsch ist.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor derzeit laufenden Angriffen auf Schwachstellen in Android, Linux und Sitecore. IT-Verantwortliche sollten die bereitstehenden Updates installieren, um die Lücken abzudichten.

Details nennt die CISA in ihrer Meldung nicht, sondern schreibt lediglich, auf welche Sicherheitslücken bereits Angriffe beobachtet wurden. Etwa im Linux-Kernel attackieren bösartige Akteure eine Time-of-Check Time-of-Use (TOCTOU)-Schwachstelle. Der Beschreibung nach handelt es sich um eine Race-Condition bei den Posix-TImern in den Funktionen handle_posix_cpu_timers() und posix_cpu_timer_del() (CVE-2025-38352 / EUVD-2025-22297, CVSS 7.4, Risiko "hoch"). Informationen zu der Schwachstelle sind seit dem 22. Juli des Jahres bekannt; Patches stehen bereit, die die Linux-Distributionen seitdem aufnehmen konnten. Anfällig sind laut Enisa-Eintrag die Linux-Versionen bis 2.6.36, 5.4.295, 5.10.239, 5.15.186, 6.1.142, 6.6.94, 6.12.34, 6.15.3, 6.16-rc2 und 6.16.

Im Android-Betriebssystem können Angreifer aufgrund einer Use-after-Free-Schwachstelle aus der Chrome-Sandbox ausbrechen und system_server von Android attackieren. Das mündet in einer Rechteausweitung und erfordert keinerlei Nutzerinteraktion (CVE-2025-48543 / EUVD-2025-26791, CVSS 8.8, Risiko "hoch"). Die Lücke hat Google mit den Updates zum September-Patchday geschlossen. Sie betrifft Android 13, 14, 15 und 16.

Zudem bestätigt die CISA auch den Missbrauch einer Schwachstelle im Sitecore-CMS. Es handelt sich um eine Schwachstelle des Typs "Deserialisierung nicht vertrauenswürdiger Daten", durch die Angreifer Schadcode einschleusen können, der zur Ausführung gelangt (CVE-2025-53690 / EUVD-2025-26629, CVSS 9.0, Risiko "kritisch"). Die hat Mandiant bei der Untersuchung eines Angriffs entdeckt. Sie basiert auf einer fehlerhaften Konfiguration mit Beispiel-Maschinen-Schlüsseln in ASP.NET. Gegenmaßnahmen finden sich in unserer Schwachstellenmeldung.

Da Aktualisierungen zum Stopfen der Sicherheitslecks bereitstehen, sollten IT-Verantwortliche nicht zögern, diese auch anzuwenden.

Am 12. September wird der Data Act der EU wirksam. Es steht zu befürchten, dass viele Unternehmen darauf kaum vorbereitet sind. In Episode 142 des c't-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit Carolin Loy vom Bayerischen Landesamt für Datenschutzaufsicht über die weitreichenden Folgen der neuen Verordnung.

Carolin Loy von der bayerischen Datenschutzaufsicht in der Auslegungssache

Der Data Act soll Datensilos aufbrechen und Nutzern Zugang zu Daten verschaffen, die bei der Verwendung vernetzter Geräte entstehen, vom Auto über die Kaffeemaschine bis zur Solaranlage. Bisher kontrollieren viele Hersteller diese Daten exklusiv. Künftig müssen sie sie auf Verlangen herausgeben, auch an Dritte. Die EU-Kommission erhofft sich davon jährlich mehr als 200 Milliarden Euro zusätzliches Wirtschaftswachstum durch neue datenbasierte Geschäftsmodelle.

Die praktische Umsetzung stellt Unternehmen vor massive Probleme. Sie müssen ab sofort Datenlizenzverträge mit Nutzern schließen und Schnittstellen zur Datenherausgabe schaffen. Die von der EU-Kommission versprochenen Mustervertragsklauseln existieren zehn Tage vor dem Stichtag nur als Entwurf. "Das schadet vor allem denjenigen, die das Gesetz anwenden müssen", kritisiert Loy die mangelhafte Vorbereitung.

Besonders komplex stellt sich die Abgrenzung von personenbezogenen und nicht-personenbezogenen Daten dar. Bei personenbezogenen Daten greift weiterhin die DSGVO mit Vorrang. Das heißt, Unternehmen benötigen eine Rechtsgrundlage für die Herausgabe. Dies führt zu einem Dilemma: Verweigern sie die Herausgabe mangels Rechtsgrundlage, verstoßen sie möglicherweise gegen den Data Act. Geben sie Daten ohne Rechtsgrundlage heraus, verletzen sie die DSGVO.

Sicherheitsforscher weisen auf eine Kampagne offenbar nordkoreanischen Ursprungs hin, die das Ziel hat, an neuen Jobs interessierten Personen Kryptowährung zu stehlen. Dabei kontaktieren falsche Personalvermittler Beschäftigte der Kryptobranche, etwa auf der Plattform LinkedIn, und bieten diesen neue Stellen an. Doch es geht nur darum, Zugang zu den PCs der Interessenten zu erlangen, um diese um digitale Güter zu erleichtern.

Nordkorea wird schon seit Langem vorgeworfen, mit dem Diebstahl von Kryptowährung sein sanktioniertes Waffenprogramm zu finanzieren. Die Regierung in Pyongyang bestreitet dies jedoch regelmäßig. Überwiegend wird Nordkorea beschuldigt, dass Agenten des Landes als falsche IT-Fachkräfte in zahlreichen US-Firmen per Homeoffice arbeiten, um mit ihren Gehältern Einnahmen für die nordkoreanische Regierung zu generieren. Diese Kampagne wurde offenbar auch auf Europa ausgeweitet. Im Herbst letzten Jahres warnte der Verfassungsschutz deutsche Firmen vor angeblichen Freelancern aus Nordkorea.

Jetzt berichtet Reuters von einer anderen Kampagne Nordkoreas zur Finanzierung des Landes. Durch "Social Engineering" werden potenziell wechselwillige Mitarbeiter von vermeintlichen Personalvermittlern angesprochen, die ihnen neue Jobs anbieten. Ziele sind vorrangig in der Kryptobranche beschäftigte Personen, sodass es sich oft um Stellen mit Bezug zur Blockchain handelt. Oft wird ein Kontakt über Netzwerke wie LinkedIn oder auch Telegram hergestellt.

Betroffene beschreiben den Prozess nach der ersten Kontaktaufnahme als zunächst typischen Austausch über Einzelheiten zur Tätigkeit und der Vergütung. Dann aber versucht der vermeintliche Personalvermittler, den Bewerber auf eine obskure Webseite zu leiten, um dort einen Eignungstest durchzuführen und ein Video aufzuzeichnen. Vielen Interessenten kam dies verdächtig vor. Warum kein Bewerbungsgespräch auf einer bekannten Videoplattform wie Teams oder Zoom?

Während die meisten der Betroffenen den Kontakt an dieser Stelle abgebrochen haben, berichtet ein Produktmanager einer US-Kryptofirma, der anonym bleiben wollte, dass er den Anweisungen des angeblichen Personalvermittlers gefolgt ist und das Video aufgenommen hat. Am Abend desselben Tages stellte er jedoch fest, dass seiner digitalen Wallet, die er auf seinem Computer speichert, Ethereum und Solana im Wert von rund 1000 US-Dollar fehlten. Das LinkedIn-Profil des angeblich bei der Blockchainfirma Ripple Labs beschäftigten Personalvermittlers war ebenfalls verschwunden.

Cyberkriminelle und staatliche Angreifer setzen immer häufiger auf KI zur Unterstützung ihrer digitalen Attacken. Wie sehr ihnen Veröffentlichungen von Sicherheitsforschern dabei die Arbeit erleichtern, haben nun Sicherheitsforscher von Trend Micro untersucht. Sie spannten unbeschränkte Large Language Models (LLMs) ein, um anhand eigener Blog-Beiträge Malware zu schreiben.

Dass sich Schadsoftware-Autoren Inspiration bei ihren Gegenspielern in Sicherheitsunternehmen holen, ist bekannt, etwa aus den Conti-Leaks. Die Befürchtung: Mit KI-Unterstützung müssen Cyberkriminelle mittlerweile weder lesen noch programmieren können. Sie verfüttern einfach detaillierte Sicherheitsanalysen an ein LLM und lassen sich Schadsoftware schreiben. Ob das klappt, untersuchten Mitarbeiter der Securityfirma Trend Micro.

Dazu nahmen sie die Softwaresammlung einer in Asien und Lateinamerika aktiven Cyberbedrohung namens "Earth Alux" als Vorbild für eine Nachahmer-Malware. In ihrem Experiment nutzten die Forscher LLMs, die keine Beschränkungen (Guardrails) gegen die Erstellung maliziöser Programme enthalten. Die mussten sie mitnichten in dunklen Ecken besorgen – sie stehen auf Hugging Face zum Download zur Verfügung. Der resultierende Quellcode benötigte jedoch noch etwas Nacharbeit, die kriminelle Karriere bedarf also nach wie vor etwas Fachwissens. Doch ähnelte der Schadsoftware-Klon seinem Vorbild in jedem veröffentlichten Detail.

Attraktiv scheint dieses "Nachahmer-Vibecoding" also nicht vorrangig für Einsteiger ins digitale Verbrechen, sondern eher für Gruppierungen, die Ermittler auf falsche Fährten locken wollen. So könnten sie Angriffe mittels nachgeahmter Taktiken, Techniken und Prozeduren (TTPs) einer feindlichen Gruppe unterschieben, was die ohnehin oft wacklige und chaotische Attributierung weiter erschwert.

Malware-Vibecoding mit Cline: Aus einem Blogartikel baut das Programmier-LLM eine Schadsoftware.

Das als Cloud- und On-Premises-Lösung verfügbare CMS Sitecore Experience Manager (XM) und Sitecore Experience Platform (XP) ist von einer kritischen Schwachstelle betroffen. Angreifer können ohne vorherige Anmeldung Schadcode einschleusen und ausführen. Offenbar wird die Lücke bereits im Internet angegriffen.

Sitecore beschreibt das Problem in einer Sicherheitsmitteilung. Es handelt sich um eine Schwachstelle des Typs "Deserialisierung nicht vertrauenswürdiger Daten", durch die Angreifer Schadcode einschleusen können, der zur Ausführung gelangt (CVE-2025-53690 / EUVD-2025-26629, CVSS 9.0, Risiko "kritisch"). Mandiant hat einen aktiven Angriff auf eine sogenannte "ViewState Deserialisation" im Sitecore-CMS untersucht und dabei die Sicherheitslücke entdeckt. In Anleitungen zur Einrichtung von Sitecore aus dem Jahr 2017 und davor wurde ein Beispiel-Machine-Key genutzt – den dadurch offengelegten ASP.NET-Machine-Key haben Angreifer zur Ausführung von Code aus dem Netz missbraucht, erklären die IT-Forscher.

Es handelt sich damit um eine verwundbare Konfiguration von Sitecore, die Kunden betrifft, die eine anfällige Sitecore-Version mit dem Beispiel-Key in den öffentlichen Anleitungen ausgestattet haben; insbesondere SItecore XP 9.0 und Active Directory 1.4 und jeweils frühere Versionen hebt Mandiant hervor. Den genauen Angriffsverlauf erörtern die IT-Sicherheitsforscher in der Analyse, dort nennen sie auch einige Indizien für eine Infektion (Indicators of Compromise, IOCs).

Als potenziell anfällig nennt Sitecore in der Sicherheitsmitteilung Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) und Managed Cloud. Wer mit diesen Software-Paketen die Installationsanleitungen für XP 9.0 und AD 1.4 oder früher zusammen mit dem Sample-Machine-Key eingesetzt hat, der etwa mit der Zeichenkette "BDDFE367CD..." anfängt und einen Validation Key "0DAC68D020..." nutzt, sollte umgehend handeln.

Sitecore empfiehlt dann, die Umgebung auf verdächtiges oder anormales Verhalten zu untersuchen, die Machine-Keys in der "web.config"-Datei zu ersetzen, zudem sicherzustellen, dass alle System-<machineKey>-Elemente der "web.config" verschlüsselt sind, Zugriff auf die "web.config" auf Admins beschränken und anschließend das regelmäßige Austauschen statischer Machine-Keys umsetzen.

Angreifer können kritische Infrastrukturen mit industriellen Kontrollsystemen (ICS) von Delta Electronics, Fuji Electric, Hitachi und SunPower attackieren. Beispielsweise im Energiesektor können erfolgreiche Attacken weitreichende Folgen für die Bevölkerung haben. Dementsprechend sollten Admins die bislang nur teilweise verfügbaren Sicherheitsupdates zeitnah installieren.

Auf die Sicherheitslücken und die von ihnen ausgehenden Gefahren weist die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag hin.

Am gefährlichsten gilt eine "kritische" Lücke (CVE-2025-9696) im System zur Überwachung von Solaranlagen SunPower PVS6, für die es bislang keinen Sicherheitspatch gibt. Aufgrund von hartcodierten Zugangsdaten können Angreifer in Bluetooth-Reichweite Geräte vollständig kompromittieren und sich etwa einen Fernzugriff via SSH einrichten. Die CISA gibt an, dass ihnen bislang keine Attacken bekannt sind. Davon sind die Versionen bis einschließlich 2025.06 build 61839 betroffen. Wann ein Update erscheint, ist bislang unklar.

Hitachi Energy Relion 650, 670 und SAM600-IO sind für DoS-Attacken (CVE-2025-2403 "hoch") empfänglich. An dieser Stelle sollen Angreifer kritische Funktionen wie Line Distance Communication Module (LDCM) lahmlegen können. Die Sicherheitsupdates sind in einer Warnmeldung aufgelistet.

Auf Fuji Electric FRENIC-Loader 4 sind Schadcode-Attacken (CVE-2025-9365 "hoch") möglich. Die Ausgabe ab 1.4.0.1 ist dagegen gerüstet. Delta Elcetronics EIP Builder kann sensible Informationen leaken (CVE-2025-57704 "mittel). Die Version 1.12 enthält ein Sicherheitsupdate.

Der Europäische Gerichtshof (EuGH) hat am Donnerstag seine Rechtsprechung zum Ausgleich von Schäden auf Basis der Datenschutz-Grundverordnung (DSGVO) erneut präzisiert. Ein Arbeitssuchender hat demnach bei einem Datenschutzverstoß des potenziellen Arbeitgebers prinzipiell Anspruch auf Schadenersatz und Schmerzensgeld, auch wenn er keinen materiellen Schaden nachweisen kann. Ausgelöste negative Gefühle können ausreichen.

Hintergrund des Falls: Ein Bewerber, der sich bei der Berliner Quirin-Privatbank Online-Karrierenetzwerk beworben hatte, erhielt eine unerwartete Benachrichtigung. Auslöser: Eine Mitarbeiterin des Finanzinstituts hatte über den Messenger-Dienst des Netzwerks eine vertrauliche Nachricht an den Jobsuchenden an eine dritte Person geschickt, die der Bewerber kannte. Die Nachricht enthielt vertrauliche Informationen über die Gehaltsverhandlungen des Bewerbers, insbesondere die Ablehnung seiner Gehaltsvorstellungen und ein neues Gehaltsangebot. Sie war eigentlich nicht für Außenstehende bestimmt.

Der Dritte, ein ehemaliger Kollege des Bewerbers, leitete die Nachricht an ihn weiter, um herauszufinden, ob er auf Jobsuche war. Daraufhin reichte der Arbeitssuchende Klage gegen die Quirin-Bank ein. Er forderte von ihr, die Verarbeitung seiner Bewerbungsdaten einzustellen, um weitere unbefugte Offenlegungen zu verhindern. Zudem verlangte er Schadensersatz für den immateriellen Schaden, den er erlitten hatte.

Dieser Schaden entstand ihm zufolge, weil er sich Sorgen machte, dass die vertraulichen Informationen von der dritten Person aus der Branche an frühere oder potenzielle Arbeitgeber weitergegeben werden könnten. Der Bewerber befürchtete zudem einen Wettbewerbsnachteil und fühlte sich durch die Offenlegung seiner gescheiterten Gehaltsverhandlungen gedemütigt. Der Bundesgerichtshof (BGH) verwies den Fall an den EuGH zur Klärung von Fragen zur DSGVO.

Die Luxemburger Richter haben mit ihrem am Donnerstag verkündeten Urteil in der Rechtssache C-655/23 nun entschieden: Negative Gefühle wie Sorge, Ärger oder der Eindruck des Kontrollverlusts über die eigenen Daten können einen immateriellen Schaden darstellen. Eine finanzielle Entschädigung ist möglich, wenn der Kläger nachweisen kann, dass er diese negativen Gefühle tatsächlich empfunden hat.

Rufen Windows-Nutzerinnen und -Nutzer mit gewöhnlichen Benutzerrechten nach der Installation der August-Updates bestimmte Programme oder etwa die Reparaturfunktion von MSI-Installern auf, erhalten sie neuerdings einen Benutzerkontensteuerungs-Prompt (UAC). Installationen können deshalb auch fehlschlagen. Darauf weist Microsoft jetzt hin.

In einem Beitrag in den Windows-Release-Health-Notizen erklärt Microsoft das neue Verhalten von Windows. Grundsätzlich will Microsoft mit dem Update eine Sicherheitslücke im Windows-Installer schließen, durch die Angreifer aufgrund "schwacher Authentifizierung" ihre Rechte im System ausweiten können (CVE-2025-50173 / EUVD-2025-24338, CVSS 7.8, Risiko "hoch"). Der Lösungsansatz besteht darin, einen Prompt der Benutzerkontensteuerung zum Vergeben der nötigen Administratorrechte anzuzeigen, sofern Aktionen des Windows-Installers (MSI) wie Reparaturen und ähnliche ausgeführt werden sollen.

Microsoft listet auf, dass diese Änderung nun in Benutzerkontensteuerungs-Rückfragen in einigen Szenarien sorgen kann: Beim Aufruf von MSI-Reparaturoperationen (etwa mittels "msiexec /fu" [sic!]), beim Start von Autodesk-Apps, AutoCAD, Civil 3D oder Inventor CAM, sowie bei der Installation einer MSI-Datei, nachdem Nutzer sich das erste Mal in der App angemeldet haben. Außerdem können UAC-Prompts bei Installation von Apps auftreten, die sich als Benutzer installieren lassen, beim Start von Windows-Installern bei einem Active Setup, beim Verteilen von Paketen mittels Manager Configuration Manager (ConfigMgr), die auf Nutzer-spezifische "Advertising"-Konfigurationen zurückgreifen und beim Aktivieren des Secure Desktops.

Weiter erklären Microsofts Entwickler, dass Installationen mit einer Fehlermeldung fehlschlagen können. Das passiert etwa, wenn Nutzer mit Standardrechten eine MSI-Reparaturfunktion anstoßen, die keine Dialoge anzeigt. Als Beispiel nennen die Redmonder die Installation und den Start von Microsoft Office Professional Plus 2010 als Standardnutzer. Im Konfigurationsvorgang erscheint dann der Fehler 1730.

Als Gegenmaßnahme empfiehlt Microsoft, die App nach Möglichkeit als Administrator zu starten. Etwa aus dem Startmenü oder aus den Suchergebnissen heraus durch Rechtsklick und der Auswahl "Als Administrator ausführen". IT-Verwalter können bei Microsofts Support for Business eine spezielle Gruppenrichtlinie anfordern, die dann offenbar Standardnutzern die Möglichkeit bietet, Apps als Admin auszuführen.

Nach einem IT-Angriff auf Jaguar Land Rover stehen in Großbritannien Produktion und Vertrieb still. Am Dienstag wurden zahlreiche Mitarbeiter nach Hause geschickt, weil sie ohne die heruntergefahrenen IT-Systeme nicht arbeiten können. Auf einer Messaging-App sind nun öffentliche Bekenntnisse zu der Tat aufgetaucht.

Eine Bande namens Scattered Lapsus$ Hunters prahlt mit der Straftat und hat als Beweis des erfolgreichen Eindringens in die Computer Jaguar Land Rovers (JLR) Screenshots gepostet. Das berichtet die BBC (British Broadcasting Corporation). Die Postings sind auf Englisch verfasst. Außerdem hat sich eine Person, die sich als Sprecher der Bande geriert, in nicht öffentlich ausgetauschten Textnachrichten auf Englisch verständigt.

Daraus gehe hervor, dass JLR erpresst werden soll. Der Autohersteller hat bislang keine Details zur Vorgehensweise, zur Art der kopierten Daten oder zu etwaigen Geldforderungen gemacht. Nur soviel: Es gäbe zum jetzigen Zeitpunkt keine Hinweise darauf, dass Kundendaten heruntergeladen wurden.

Ein weiteres Indiz, das, neben der Sprachwahl, auf inländische Täter deutet, ist der Name, den sich die Gruppe gegeben hat. Er soll offenbar darauf hinweisen, dass es sich um versprengte Mitglieder dreier krimineller Gruppen handelt, die sich vor allem aus jungen Briten zusammensetzen. Dazu gehört Scattered Spider, die im April und May die Einzelhändler M&S (Marks & Spencer), Co-op und Harrods angegriffen hat. Im Juli wurden in England eine 20 Jahre alte Frau, zwei 19-jährige Männer und ein siebzehnjähriger Bursche verhaftet.

Lapsus$ ist seit Jahren amtsbekannt, hat sie doch prominente Einrichtungen angegriffen: Zu den bekannten Opfern zählen Rockstar Games, das brasilianische Gesundheitsministerium, Nvidia, Samsung, Ubisoft, T-Mobile, Microsoft, Uber und die British Telecom. Ende 2023 wurde ein minderjähriger Brite schuldig befunden, ein gerade großjährig gewordener Landsmann in die forensische Psychiatrie gesteckt. Seine Begier, weitere IT-Straftaten zu begehen, ist so groß, dass er als Gefahr für die Öffentlichkeit eingestuft werden musste. Der Dritte im Bunde, Shinyhunters ist vor allem für den Einbruch bei Ticketmaster und den einstigen Mitbetrieb des Breachforums bekannt.

Der letzte rekordverdächtige Überlastungsangriff ist noch gar nicht so lange her, da vermeldet Cloudflare schon den nächsten beobachteten Spitzenwert. Am Montag erreichte ein Distributed-Denial-of-Service-Angriff (DDoS) in der Spitze eine Last von 11,5 Terabit pro Sekunde. Das entspricht umgerechnet mehr als 1,4 Terabyte je Sekunde oder dem Inhalt von 184 randvollen DVDs.

Das hat Cloudflare am Montagabend auf der Platform X mitgeteilt. "Cloudflares Abwehrmechanismen haben Überstunden geschoben. Über die vergangenen Wochen haben wir autonom hunderte hochvolumige DDoS-Attacken blockiert", schreibt das Unternehmen dort. "Die Größten erreichten Spitzenwerte von 11,5 Tbps". Dabei sendeten die Angreifer 5,1 Milliarden Pakete pro Sekunde (Bpps). Bei letzterer handelte es sich demnach um eine UDP-Flood-Attacke, die ihren Ausgangspunkt hauptsächlich in der Google-Cloud hatte. Die Zeitspanne, die der Höchstlast-Angriff einnahm, war etwa 35 Sekunden lang, schreibt Cloudflare weiter.

Details noch unklar

Weitere Details bleiben derzeit unklar, etwa, wer Ziel der Angriffe war und ist. Cloudflare hat jedoch eine vollständige Übersicht in einem "kommenden Bericht" angekündigt. Darin dürften dann auch das konkrete Datenvolumen der Attacke und ähnliche Details zu finden sein.

Erst Mitte Juni hat Cloudflare zuletzt einen Rekordwert für DDoS-Angriffe gemeldet. Dort sprach das IT-Unternehmen von dem "'größten jemals registrierten' Denial-of-Service-Angriff (DDoS) mit bislang kaum für möglich gehaltenen 7,3 Terabit pro Sekunde (TBit/s)", den es Mitte Mai dieses Jahres blockiert habe. In 45 Sekunden kam dabei ein Datenvolumen von 37,5 Terabyte zusammen.

Zuvor hat es Mitte April 2025 die bis dahin größte Attacke mit 6,5 TBit/s gegeben, wie Cloudflare im Threat-Report des ersten Quartals anmerkte. Dafür kamen 4,8 Milliarden Pakete pro Sekunde seitens der Täter zum Einsatz.