Comretix Blog

Diese Entwicklung kam mit Ansage: Sicherheitsforscher sehen aktuell eine Zunahme KI-unterstützter Angriffe und damit einen Wendepunkt im Cyberwettrüsten. So sei jüngst eine russische Spionagesoftware entdeckt worden, die nachweislich mithilfe von Large Language Models (LLM) erstellt wurde und die Computer selbstständig nach sensiblen Daten durchsucht. Laut eines Berichts von NBC News nutzen russische Geheimdienste die Software, um an bestimmte Informationen zu gelangen, die von der Malware nach Moskau übertragen werden.

Ukrainische Behörden und mehrere Cybersicherheitsunternehmen konnten die Schadsoftware im Juli erstmals nachweisen. Der Angriff habe sich gezielt gegen ukrainische Nutzer gerichtet. Die Angreifer versendeten Phishing-E-Mails mit einem Anhang, der ein KI-Programm enthielt. Im Vergleich zu anderer Malware sei diese Schadsoftware viel zielgerichteter und komme ohne menschliche Interaktionen aus. Das mache sie deutlich effizienter.

Nach Angaben der Cybersicherheitsfirma CrowdStrike nehme der Einsatz von KI-Tools bei Angriffen zu. Besonders chinesische, russische und iranische Hacker sowie Cyberkriminelle würden verstärkt darauf setzen. Damit würde das Cyberwettrüsten ein neues Niveau erreichen.

Mit dem zunehmenden Einsatz von KI-Agenten sehen Experten ein neues Risiko für die Zukunft. Die Tools, die komplexe Aufgaben eigenständig ausführen können, brauchen für ihre Arbeit weitreichende Befugnisse in Unternehmen. Wenn diese von Angreifern zweckentfremdet werden, könnte von ihnen eine massive Gefahr aus dem Inneren hervorgehen.

Den Nachteilen gegenüber steht der Einsatz von KI zur Verbesserung der Sicherheit. Google etwa nutzt nach eigenen Angaben sein LLM Gemini, um die eigene Software nach Schwachstellen zu durchsuchen, bevor sie von Cyberkriminellen entdeckt werden. Mindestens 20 wichtige, bisher übersehene Schwachstellen seien auf diese Weise bereits entdeckt worden, wird Heather Adkins, Vice President of Security Engineering bei Google, zitiert.

Eine neue Studie von IT-Security-Forschern kommt zu einem ernüchternden Ergebnis für die IT-Sicherheitsbranche: Der praktische Nutzen gängiger Phishing-Trainingsprogramme in Unternehmen ist miserabel. Über einen Zeitraum von acht Monaten wurden bei einem großangelegten Feldversuch mehr als 19.500 Beschäftigte eines großen US-Gesundheitsdienstleisters mit zehn unterschiedlich gestalteten Phishing-Simulationen konfrontiert. Die Resultate zeigen, dass weder das Absolvieren regelmäßiger IT-Sicherheitsschulungen noch das sogenannte "Embedded Phishing Training" – bei dem nach Fehlverhalten direkt ein Trainingsangebot folgt – das Risiko signifikant senken, auf Phishing hereinzufallen.

Laut den Forschern lag die absolute Differenz der Fehlerquote zwischen trainierten und untrainierten Personen in den Tests bei lediglich 1,7 Prozent. Ein weiteres grundsätzliches Problem besteht darin, dass nur ein kleiner Teil der Teilnehmer das Trainingsmaterial nach einem Fehlklick tatsächlich aufmerksam wahrnahm oder abschloss. Über die Hälfte beendete das Lernangebot innerhalb von zehn Sekunden, weniger als ein Viertel absolvierte die Lektion bis zum Ende. Sehr perfide gestaltete Mail-Köder erzielten dabei eine Klickrate von bis zu 30 Prozent. Besonders erfolgreich waren angebliche Änderungen bei Urlaubsansprüchen oder interne Protokolle. Insgesamt klickten im Verlauf der Studie 56 Prozent der Teilnehmer mindestens einmal auf einen Phishing-Link – unabhängig vom Trainingsstatus.

Daher auch eine weitere Erkenntnis: Das übliche jährliche Pflichttraining zur IT-Sicherheit hatte keinen messbaren Einfluss auf die Anfälligkeit für Phishing-Angriffe. Ob und wie lange eine Schulung zurücklag, korrelierte weder mit weniger Fehlklicks noch mit gesteigerter Aufmerksamkeit. Auch die Art der Trainings spielte nur eine untergeordnete Rolle – einzig interaktive, speziell auf die konkrete Phishing-Mail zugeschnittene Trainingsformen führten zu einer moderaten Risikoreduktion von rund 19 Prozent. Allerdings blieben auch hier die Gesamteffekte aufgrund niedriger Abschlussquoten marginal.

In der Summe zeige sich, so die Autoren der Studie, dass klassische Awareness-Kampagnen und Phishing-Trainings in ihrer derzeitigen Form das wirkliche Risiko in Unternehmen kaum reduzieren. Somit stehe eine millionenschwere Branche vor einem massiven Glaubwürdigkeitsproblem. Die Ergebnisse wurden unter anderem auf der Sicherheitskonferenz Black Hat 2025 vorgestellt und bestätigen einen langfristigen Trend früherer Studien: Ohne echte Veränderung in der Lernmotivation oder grundlegende Verbesserungen bei der Trainingsgestaltung bleibt der Mensch das größte Einfallstor für Cyberangriffe dieser Art.

Die Studie finden interessierte Leser auf der Webseite der beteiligten Autorin Ariana Mirian. Auch die Präsentation von ihr und Christian Dameff auf der Black Hat 2025 steht öffentlich zur Verfügung.

In der relationalen SQL-Datenbank Firebird haben die Entwickler zwei Sicherheitslücken geschlossen. Die ermöglichten Angreifern, Server mit manipulierten Anfragen lahmzulegen – oder unter Umständen sogar unbefugten Zugriff auf eigentlich verschlüsselte Daten.

Die schwerwiegendere Schwachstelle betrifft den Pool externer Verbindungen (ExtConnPool). Ist der aktiv, werden darin gespeicherte Verbindungen nicht erneut überprüft, ob die bei ihrer Erstellung verwendeten CryptCallback-APIs tatsächlich noch vorhanden und geeignet sind. Dadurch können Zugriffe auf verschlüsselte Datenbanken erfolgen, wenn externe SQL-Anweisungen ausgeführt werden, auf die später mit Attachments zugegriffen wird, denen ein Schlüssel zur Datenbank fehlt. Bei derartigen verketteten Execute-Statements kann zudem ein Segfault auftreten, auch auf unverschlüsselten Datenbanken, und damit die Serverprozesse lahmlegen (Denial of Service). Die Schwachstelle hat den CVE-Eintrag CVE-2025-24975 / EUVD-2025-25030 mit einem CVSS-Wert von 7.1 und der Risikoeinschätzung "hoch" erhalten.

Davon ist FIrebirdSQL bis einschließlich 5.0.3 sowie 4.0.7 betroffen. Die Fehler korrigieren die Schnappschüsse 6.0.0.609, 5.0.2.1610 sowie 4.0.6.3183 und jeweils neuere.

Vor den Versionen 5.0.3, 4.0.6 und 3.0.13 können beim Verarbeiten von XDR-Nachrichten NULL-Pointer-Derefenzierungen auftreten, also bereits freigegebene Ressourcen erneut freigegeben werden. Das mündet in einem Prozess-Absturz, also einem Denial-of-Service (CVE-2025-54989 / EUVD-2025-25032, CVSS 5.3, Risiko "mittel").

IT-Verantwortliche sollten sicherstellen, die Firebird-Versionen auf die aktualisierten Stände zu bringen. Auf Github stehen die aktualisierten Quellcodes dafür bereit. Etwa die fehlerkorrigierte Fassung 5.0.3 ist seit Mitte Juli für diverse Betriebssysteme verfügbar. Die CVE-Einträge zu dem damit geschlossenen Sicherheitslücken wurden jedoch erst jetzt veröffentlicht.

Auch im Fall eines größeren Stromausfalls oder einer Naturkatastrophe sollen die Notfallkommunikation gewährleistet und Energienetze steuerbar sein. Dafür wird bundesweit ein spezielles Funknetz ausgebaut. In Baden-Württemberg hat der Dienstleistungsbereich des Netzbetreibers Netze BW den Hut auf – und nun den 100. Funkstandort fertiggestellt.

"Mit dem 450-MHz-Netz schaffen wir eine Infrastruktur, die nicht nur die Energiewende unterstützt, sondern auch in Krisensituationen zuverlässig funktioniert", sagte der technische Geschäftsführer Martin Konermann in Stuttgart. "Dieses Netz ist ein entscheidender Schritt, um die Energieversorgung auch im Störungsfall wiederherzustellen und sie angesichts zunehmender Komplexität zukunftsfähig aufzustellen."

Damit die Energiewende auch technologisch störungsfrei umgesetzt werden kann, braucht es ein ausfallsicheres Kommunikationsnetz für die Digitalisierung sogenannter kritischer Infrastrukturen wie Wasserwerke. Energieversorger dürfen die 450-Megahertz-Frequenzen (MHz) nutzen. Die 450connect GmbH baut die Plattform auf und wird in Baden-Württemberg unterstützt durch die Netze BW.

Durch modernste LTE-Technologie, digitale Steuerung und Überwachung sowie Versorgung mit Notstrom ist das Netz demnach krisensicherer als bisherige Technologien. Das sei wichtig für die Digitalisierung und die Steuerung von Stromnetzen, erneuerbaren Energien und Speichern. Dank der physischen Eigenschaften könnten 450MHz-Frequenzen Gebäude optimal durchdringen.

Im gesamten Bundesland werden nach früheren Angaben rund 170 Funkmasten benötigt. Sie stünden im Schnitt rund 15 Kilometer voneinander entfernt. Im Einzelfall könne die Distanz auch doppelt so groß sein.

Um Cloud- und Netzwerkumgebungen mit F5 BIG-IP-Appliances zu schützen, sollten Admins zeitnah die jüngst veröffentlichten Sicherheitsupdates installieren. Geschieht das nicht, können Angreifer an mehreren Sicherheitslücken ansetzen und Instanzen attackieren.

Im Sicherheitsbereich seiner Website listet F5 weiterführende zu seinen quartalsweise erscheinenden Sicherheitsupdates auf. Konkret betroffen sind BIG-IP APM (Sicherheitsupdates 16.1.6, 17.1.2.2), BIG-IP Client SSL (Sicherheitsupdates 16.1.6, 17.1.2.2), BIG-IP APM VPN Browser Client macOS (Sicherheitspatch 7.2.5.3), F5 Access for Android (Sicherheitsupdate 3.1.2).

Alle geschlossenen Sicherheitslücken sind mit dem Bedrohungsgrad "hoch" eingestuft. So können Angreifer etwa aufgrund eines Fehlers bei der HTTP/2-Implementierung an einer Lücke (CVE-2025-54500) für eine DoS-Attacke ansetzen. Angriffe sollen aus der Ferne und ohne Authentifizierung möglich sein.

Unter macOS können lokale Angreifer Sicherheitsmechanismen umgehen und sich höhere Nutzerrechte verschaffen (CVE-2025-48500). Auch wenn es derzeit noch keine Berichte zu laufenden Attacken gibt, sollten Admins mit dem Patchen nicht zu lange zögern. Schließlich könnten Angreifer nach erfolgreichen Attacken in Cloudinfrastrukturen von Unternehmen einsteigen und Unheil stiften.

Wer einen Computer von HP besitzt, sollte aus Sicherheitsgründen das BIOS auf den aktuellen Stand bringen. Andernfalls können Angreifer Systeme attackieren und im schlimmsten Fall Schadcode ausführen.

In einer Warnmeldung von HP ist die Schwachstelle (CVE-2025-5477) mit dem Bedrohungsgrad "hoch" aufgeführt. Erfolgreiche Attacken können dem Beitrag zufolge verschiedene Auswirkungen haben. Demzufolge können Angreifer etwa auf eigentlich abgeschottete Informationen zugreifen oder sogar eigenen Code ausführen. Letzteres führt in der Regel zu einer vollständigen Kompromittierung von PCs.

Doch aus der knappen Beschreibung der Lücke geht hervor, dass Attacken nicht ohne Weiteres möglich sind. Angreifer brauchen der Beschreibung zufolge physischen Zugriff auf ein Gerät und außerdem sei spezielles Equipment und Fachwissen nötig. Wie ein konkreter Angriff ablaufen könnte, ist bislang nicht bekannt. Unklar ist derzeit auch, ob es bereits Attacken gibt und woran man ein bereits erfolgreich attackiertes System erkennen kann.

In der Warnmeldung sind die verwundbaren Modelle aufgelistet. Darunter fallen Modelle folgender HP-Serien:

Ob Workstations bedroht sind, wird derzeit noch untersucht. Sicherheitsupdates liefert HP als Softwarepaket (SoftPaqs) aus. Deren Auflistung sprengt aber den Rahmen dieser Meldung. Besitzer von betroffenen PCs müssen in der Warnmeldung ihr Modell heraussuchen und das jeweilige Sicherheitsupdate herunterladen und installieren.

Der Mediaserver Plex ist verwundbar und Angreifer können an einer Softwareschwachstelle ansetzen. Ein Sicherheitsupdate steht zum Download bereit.

Auf die Lücke weisen die Entwickler im offiziellen Forum und in den Releasenotes der aktuellen Ausgabe 1.42.1.10060 hin. Weiterführende Informationen zur Lücke und auch eine CVE-Nummer nebst Einstufung des Bedrohungsgrads stehen aber noch aus.

Die Sicherheitslücke scheint aber so gefährlich zu sein, als dass die Verantwortlichen derzeit E-Mails an Nutzer schicken, die noch verwundbare Versionen nutzen. Die Entwickler geben an, dass die Ausgaben 1.41.7.x bis 1.42.0.x bedroht sind. Nutzer sollten so schnell wie möglich die abgesicherte Ausgabe installieren.

Auf Reddit tauschen sich Nutzer schon seit mehreren Tagen zur Sicherheitsproblematik aus.

Zuletzt sorgte Plex 2022 für Schlagzeilen, als Cyberkriminelle Nutzerdaten aus einer Datenbank kopieren konnten.

Netzwerkadmins, die IT-Sicherheitslösungen von Fortinet verwalten, sollten sicherstellen, dass die aktuellen Updates installiert sind. Derzeit macht Exploitcode die Runde und Angreifer werden FortiSIEM und FortiWeb mit hoher Wahrscheinlichkeit zeitnah attackieren. Erfolgreiche Attacken können weitreichende Folgen haben.

Beide Schwachstellen (FortiSIEM CVE-2025-25256 "kritisch", FortiWeb CVE-2025-52970 "hoch") haben die Fortinet-Entwickler am vergangenen Patchday geschlossen. Kurz darauf warnten sie davor, dass Exploitcode zum Ausnutzen der Lücke in FortiSIEM in Umlauf ist.

Weil bestimmte Eingaben nicht ausreichend überprüft werden, können Angreifer mit präparierten CLI-Anfragen an der Schwachstelle ansetzen. Klappt ein Angriff, können Angreifer eigenen Code ausführen. Dementsprechend ist davon auszugehen, dass Systeme im Anschluss vollständig kompromittiert sind.

FortiSIEM 7.4 soll einer Warnmeldung zufolge davon nicht betroffen sein. Die Ausgaben 6.7.10, 7.0.4, 7.1.8, 7.2.6 und 7.3.2 sind abgesichert. Der Support für FortiSIEM 6.2 bis 6.6 ist ausgelaufen, diese Versionen bekommen keine Sicherheitsupdates mehr. An dieser Stelle müssen Angreifer auf eine noch unterstützte Ausgabe upgraden.

Nutzen Angreifer die Lücke in FortiWeb erfolgreich aus, können sie einen privaten Schlüssel manipulieren, um im Anschluss legitime Authentifizierungscookies zu erzeugen. Damit ausgerüstet, können sie dann sogar als Admin auf Instanzen zugreifen. Dafür hat ein Sicherheitsforscher nun Exploitcode veröffentlicht. Die Schwachstelle hat er FortMajeure getauft. In einem Blogbeitrag führt er technische Details aus.(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die geplanten Novellen der schweizerischen Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF) sowie der zugehörigen Durchführungsbestimmung schlagen weiter hohe Wellen. Proton hat jetzt bestätigt, dass der Anbieter verschlüsselter Kommunikationsdienste aufgrund der mit dem Vorhaben verknüpften Rechtsunsicherheit mit dem Abzug von IT-Infrastrukturen aus der Schweiz begonnen hat. Der im Juli eingeführte KI-Chatbot Lumo, der mit mehr Datenschutz als ChatGPT & Co. punkten soll, ist das erste Produkt, das seinen Standort wechselt.

Schon in einem Blogbeitrag zum Start von Lumo erklärte Eamonn Maguire, Leiter für Missbrauchsbekämpfung und Kontosicherheit bei Proton, dass sich das Unternehmen aus Angst vor den drohenden Gesetzesänderungen für Investitionen außerhalb der Schweiz entschieden habe. Angesichts der Pläne der Schweizer Regierung "zur Einführung von Massenüberwachung", die in der EU verboten sei, verlagere der Anbieter "den Großteil seiner physischen Infrastruktur" aus der Alpenrepublik. Der Anfang erfolge mit dem Chatbot.

Protons CEO Andy Yen führte nach dem Start gegenüber der Nachrichtenagentur Keystone-SDA aus, dass sich das Unternehmen aufgrund der vorgesehenen VÜPF-Reform für Deutschland als Standort für die Server von Lumo entschieden habe. Zusätzlich baue die Firma Standorte in Norwegen auf. Ganz will Proton die Zelte in der eidgenössischen Heimat aber nicht abbrechen. "In Europa zu investieren bedeutet nicht, die Schweiz zu verlassen", erklärte ein Unternehmenssprecher gegenüber TechRadar. Gerüchte, wonach Proton das Land endgültig verlassen werde, bestätigte er so nicht.

Laut der umkämpften Initiative des Schweizer Bundesrats und des Eidgenössischen Justiz- und Polizeidepartements müssten künftig auch Online-Dienste, die mindestens 5000 Nutzer haben, Metadaten wie IP-Adressen und Portnummern sechs Monate auf Vorrat speichern sowie der Polizei und Geheimdiensten beim Entschlüsseln von Inhalten helfen. Neu dazukommen wird dem Plan nach auch eine Auflage für solche Betreiber, User zu identifizieren. Diese müssten eine Ausweis- oder Führerscheinkopie vorlegen oder zumindest eine Telefonnummer angeben.

Doch auch die EU-Kommission hat schon vor Jahren einen Entwurf für eine Verordnung zur massenhaften Online-Überwachung unter dem Aufhänger des Kampfs gegen sexuellen Kindesmissbrauch (Chatkontrolle) auf den Weg gebracht. Vor Kurzem legte die Brüsseler Regierungsinstitution zudem einen Fahrplan für "Entschlüsselung" und eine Neuauflage der Vorratsdatenspeicherung unter dem Aufhänger "ProtectEU" vor. Der Proton-Sprecher hielt dem entgegen, dass das obligatorische Aufbewahren elektronischer Nutzerspuren bereits mehrfach von europäischen Gerichten für rechtswidrig erklärt worden sei. Er unterstrich: "Wir werden die Entwicklungen in der EU jedoch selbstverständlich weiterhin genau beobachten. Das tun wir auch in anderen Rechtsräumen."

Die Zero Day Initiative (ZDI) von Trend Micro ist 20 Jahre alt. Anlässlich des Jubiläums verweist das Cybersicherheits-Unternehmen auf den eigenen Erfolg: Es hat sich in dieser Zeit zum größten herstellerübergreifenden Programm zur koordinierten Offenlegung (Coordinated Disclosure) von Schwachstellen in Software entwickelt. Seit zwei Jahrzehnten vermittelt Trend Micro die Ausschüttung von Prämien ("Bug Bounty") für entdeckte Sicherheitslücken.

Trend Micro erinnert daran, dass das Programm 2005 eher bescheiden angefangen hat. Ins Leben gerufen hat es die Cybersecurity-Firma Tipping Point. Ziel war es, Sicherheitsforscher finanziell zu belohnen, wenn sie bis dato unbekannte Sicherheitslücken an die jeweiligen Hersteller melden. Erst nachdem diese die Fehler beseitigt haben, veröffentlicht ZDI Details der Lücken. So sollen keine Attacken motiviert werden, bevor die Sicherheitslücken geschlossen sind.

Auch der Exploit-Wettbewerb Pwn2Own, der dieses Jahr erstmals in Berlin stattfand und einige der weltbesten Finder von Schwachstellen anzog, ist seit seiner Erfindung im Jahr 2007 eng mit der Zero Day Initiative verbunden. 2015 hat Trend Micro dann Tipping Point für 300 Millionen US-Dollar gekauft und damit auch die Verantwortung für die ZDI übernommen.

Laut einer von Trend Micro zitierten Zählung verantwortungsvoll offengelegter Sicherheitslücken wurden allein im Vorjahr 73 Prozent über die Zero Day Initiative weitergegeben. Trend Micro erklärt, dass sie ihre Kunden im Schnitt zwei Monate eher vor darüber gemeldeten Sicherheitslücken schützen können als die betroffenen Softwarehersteller.

Mittlerweile arbeiten in dem Unternehmen über 450 Forschende in 14 sogenannten Threat Centern. Außerdem tragen 19.000 unabhängige Forschende ihre Ergebnisse bei.

Ein wunder Punkt bei Online-Werbung sind etwa oftmals betrügerische Anpreisungen von vermeintlich sicheren Geldanlagen, bei denen die kriminellen Drahtzieher auf Namen und Gesichter prominenter Mitbürger setzen. Einige der Unternehmen, die diese Werbung ausspielen, reagieren jedoch nur langsam auf die Meldung derartiger Betrugsversuche. Insbesondere Meta fällt hier negativ auf, wie das Unternehmen Leakshield festgestellt hat.

Das Softwareunternehmen sucht für seine Kunden unter anderem nach betrügerischer Werbung in sozialen Netzwerken und versucht, deren Löschung zu veranlassen. Solche Werbeanzeigen sind auf diversen Plattformen von großen Playern platziert, etwa auch bei Google. Besonders perfide: Die einzelnen geschalteten Werbebilder sind jeweils nur wenige Stunden geschaltet – in der offiziellen Meta Ads Library lässt sich nachvollziehen, dass diese Werbungen lediglich eine bis zwölf Stunden aktiv gesetzt sind – und werden in rascher Folge ersetzt. Dadurch sinkt die Wahrscheinlichkeit, schnell entdeckt und frühzeitig blockiert zu werden, jedoch gelingt dies Unternehmen mit spezialisierten Tools.

Wenn eine Meldung so einer Werbung als betrügerisch erfolgt, sollte diese also rasch entfernt werden. Sonst laufen diejenigen, die sie angezeigt bekommen, Gefahr, Opfer der Betrugsmasche zu werden.

Insbesondere, wenn es sich um verlässliche Berichte handelt, die sich etwa mit einer sehr hohen Takedown-Quote durchaus belegen lassen, sollten Plattformen, die solche Werbung schalten, schnell reagieren. Anders als etwa bei Google dauert es bei Meta / Facebook jedoch im Median etwa 12 Tage, bis Scam-Werbung mit Frank Thelen gelöscht wird. Missbrauchen die Kriminellen den Namen und das Antlitz von Dirk Müller, sind es noch 4 Tage (Median), bis die Werbung von Meta verschwindet Wohlgemerkt, sie ist dann bereits ohnehin nicht mehr aktiv geschaltet.

Nicht nachvollziehbar ist dabei, dass die MD5-Checksummen der Werbebilder nach einer Sperrung nicht gefiltert werden. Die wiederholen sich, merkt Leakshield gegenüber heise online an, auch bei später geschalteter Scam-Werbung.

Der Anbieter für Finanzsoftware zur Lohnabrechnung oder für Human Resources (HR) Infoniqa wurde Ziel eines Cyberangriffs. Es kam offenbar zu Störungen der cloudbasierten Dienste. Die sollen inzwischen jedoch wieder verfügbar sein.

Auf Anfrage von heise online nennt Infoniqa als Angriffszeitpunkt die Nacht von Sonntag, den 3. August, auf Montag, 4. August. "Wir haben ihn am Montagmorgen erkannt und sofort unsere für solche Fälle vorbereiteten Schutzmaßnahmen ausgeführt. Teil davon war es unter anderem, die betroffenen Systeme herunterzufahren und zu trennen", sagte ein Unternehmenssprecher.

"Produkte und Lösungen von Infoniqa in Deutschland und Österreich standen den Kunden durchgehend zur Verfügung, etwaige technische Einschränkungen konnten per Dienstag, 12.8., gelöst werden", führt er weiter aus. Das fehlende "Die" am Anfang dieses Satzes scheint jedoch wichtig: Infoniqa benennt selbst technische Einschränkungen. Uns liegt zudem ein Leserhinweis vor, dass die Dienste für ihn über eine Woche lang nicht nutzbar waren.

Auch die weitere Stellungnahme vernebelt den Blick auf die tatsächlichen Auswirkungen. Demnach waren "In der Schweiz [...] alle Systeme und Dienstleistungen für unsere Kunden zu jeder Zeit ohne Einschränkungen funktionsfähig und sicher" – jedoch "mit Ausnahme von ONE Start Cloud, für das wir operative Alternativen zur Verfügung stellen konnten".

Zur Ursache möchte sich Infoniqa während der laufenden Untersuchungen des IT-Vorfalls noch nicht äußern. "Externe Cyber Security Experten und Forensiker analysieren derzeit den Incident. Dabei gilt durchgängig Gründlichkeit vor Geschwindigkeit", erörtert der Infoniqa-Sprecher. Daher könne das Unternehmen etwa auch noch keine Angaben dazu machen, ob und welche Daten abgeflossen sind.

Dass das Ende von Windows 10 naht, sollte inzwischen bekannt sein. Dennoch erinnert Microsoft daran, dass es in 60 Tagen so weit ist. Aber auch Windows-11-Versionen ziehen die Redmonder den Stecker.

Darauf weist Microsoft nun im Message Center der Windows Release Health Notizen hin. Der erste Hinweis gilt natürlich Windows 10 22H2. Die Ausgaben Home, Pro, Enterprise, Edu und IoT Enterprise erreichen am 14. Oktober 2025 ihr Lebensende. Ebenfalls betroffen sind Windows 10 2015 LTSB und Windows 10 IoT Enterprise LTSB 2015, ergänzt der Hersteller. Erstmalig können jedoch auch Privatanwender am Extended Security Updates (ESU) teilnehmen und so das Unvermeidliche um 12 Monate hinauszögern. Microsoft bevorzugt jedoch die empfohlene Lösung, dass Betroffene auf Windows 11 migrieren.

Aber auch da gibt es eigentlich nur eine Fassung, die als Migrationsziel dienen kann, da das Unternehmen älteren Builds den Support-Hahn abdreht. Microsoft weist nämlich darauf hin, dass auch für Windows 11 22H2 in 60 Tagen der Support endet. Die Versionen Enterprise, Edu, IoT Enterprise erreichen dann das Service-Ende – die Windows 11 22H2 Home- und Pro-Versionen waren bereits vor einem Jahr "fällig".

Da die Home- und Pro-Versionen von Windows 11 lediglich 24 Monate Support erhalten – siehe dazu auch die FAQ zum Windows-Produkt-Lebenszyklus von Microsoft –, hat der Hersteller auch eine Erinnerung 90 Tage vor dem Aus von Windows 11 23H2 für Privatanwender herausgegeben. Dort wird das Sicherheitsupdate zum November-Patchday das letzte sein.

Nach Oktober respektive November erhalten die genannten Windows-Versionen keine Funktions- und Sicherheitsupdates mehr. Sie stehen dann schutzlos vor neuen Bedrohungen und Sicherheitslücken. Microsoft empfiehlt daher, auf Windows 11 24H2 zu aktualisieren – die derzeit jüngste Windows-11-Version. In den Vorschau-Kanälen ist derzeit Windows 11 25H2 im Test. Der Build rückt in den Insider-Kanälen immer näher Richtung "Release", der in diesem Herbst zu erwarten ist. Einen genauen Zeitplan hat Microsoft dafür jedoch noch nicht genannt.

Im Internet der Dinge (IoT) gibt es viele kleine Gerätschaften wie Smart Cards, Steuergeräte oder RFID-Tags, die zu wenig Rechenkapazität haben, um klassische Kryptografieverfahren wie AES auszuführen. Deshalb hat das US-amerikanische National Institute of Standards and Technology (NIST) in den vergangenen Jahren in einem Auswahlverfahren nach sogenannten leichtgewichtigen Kryptografieverfahren gesucht, die Daten verschlüsseln oder Hashes produzieren, ohne an Sicherheit einzubüßen.

2023 verkündete das NIST schließlich Ascon als den Sieger des Lightweight-Cryptography-Auswahlverfahrens. Ein Verfahren, das 2014 von der Technischen Universität Graz entwickelt wurde. Mittlerweile ist die Standardisierung abgeschlossen, weshalb NIST nun den neuen Standard SP 800-232 veröffentlicht hat.

In diesem Paper stellt das NIST vier neue Standards vor, die allesamt auf dem Ascon-Algorithmus beruhen: Da wäre zum einen das Verschlüsselungsverfahren Ascon-128 AEAD, das man auch zum Authentifizieren verwenden kann. Laut NIST sind die typischen Einsatzorte für das Verfahren RFID-Tags, medizinische Implantate oder Transponder an Windschutzscheiben von Autos, die dem automatischen Bezahlen dienen.

Als Nächstes standardisiert das NIST Ascon-Hash 256, das, wie der Name schon verrät, Daten in einen kurzen Hash verwandelt. Die übrigen beiden, Ascon-XOF 128 und Ascon-CXOF 128, sind ebenfalls Hash-Verfahren. Doch die Länge der Hashes lässt sich hierbei individuell einstellen, damit auch besonders ressourcenarme Geräte die Verfahren anwenden können. Wie genau Ascon funktioniert und wie die technischen Hintergründe aussehen, haben wir bereits in einem Hintergrundartikel erklärt.

PowerShell 2.0 ist endgültig Geschichte: Die mit Windows 7 eingeführte Version des Shell-Programms wird ab August 2025 aus Windows 11 Version 24H2 und ab September 2025 aus Windows Server 2025 entfernt. Die Entscheidung kommt nach einer langen Phase der Abkündigung, die bereits 2017 begann, als Microsoft PowerShell 2.0 offiziell als veraltet erklärte. Dass sie aus Windows entfernt würde, gab Microsoft bereits bekannt – aber ohne konkreten Zeitplan.

PowerShell 2.0 war für Microsoft einst ein Meilenstein mit über 240 Cmdlets und wichtigen Funktionen wie Remoting, Hintergrund-Jobs und einer integrierten Scripting-Umgebung (ISE) – und wurde lange Zeit aus Kompatibilitätsgründen weiter mitgeführt. Dabei setzten insbesondere ältere Versionen von wichtigen Microsoft-Produkten wie Exchange Server, SQL Server oder SharePoint noch auf diese Version. Die Entfernung ist Teil einer umfassenderen Strategie von Microsoft, veralteten Legacy-Code zu entfernen, die Komplexität von PowerShell zu verringern und die allgemeine Sicherheit von Windows zu verbessern.

Die Eclipse Foundation hat den Start des OCCTET-Projekts bekannt gegeben: Hinter dem Namen "Open Source Compliance: Comprehensive Techniques and Essential Tools" verbirgt sich eine von der Europäischen Kommission finanzierte Initiative zum Thema Cyber Resilience Act (CRA). Sie bringt ein Konsortium aus Industriegrößen, Cybersecurity-Experten und Open-Source-Vertretern zusammen – mit dem Ziel, kleinen und mittleren Unternehmen (KMU) sowie Entwicklerinnen und Entwicklern die Compliance ihrer Open-Source-Software (OSS) mit dem CRA zu vereinfachen. Dazu stellt sie ein Toolkit an Ressourcen zur Verfügung.

Wie Mike Milinkovich, Executive Director der Eclipse Foundation, in der OCCTET-Ankündigung betont, ist die Compliance mit dem CRA eine mehrjährige Reise, die Unternehmen jetzt priorisieren müssen. Doch selbst solchen, die die Dringlichkeit verstehen, mangele es häufig an in-House-Expertise.

Dort setzt die neue Initiative an: Das bald erscheinende OCCTET Toolkit soll umfassende Ressourcen bereitstellen, die sich speziell an KMU richten. Dazu zählen unter anderem eine CRA-Compliance-Checkliste, Konformitäts-Assessment-Spezifikationen, automatisierte Evaluierung von Methoden und Tools und eine föderierte Datenbankplattform, um OSS-Komponenten-Assessments zu veröffentlichen und Beiträge mehrerer Stakeholder zu ermöglichen. Weiterführende Details zu den Inhalten des Toolkits liefert die OCCTET-Website, und zusätzlich ist eine Mailingliste verfügbar.

(Bild: Brigitte Pica2/Shutterstock)

Weil Foxit PDF Reader und Editor verwundbar sind, können Angreifer macOS- und Windows-Computer attackieren. Dagegen gerüstete Versionen stehen zum Download bereit. Derzeit gibt es keine Berichte, ob Angreifer die Schwachstellen bereits ausnutzen.

Wie aus dem Sicherheitsbereich der Foxit-Website hervorgeht, haben die Entwickler mehrere Sicherheitslücken geschlossen. Im schlimmsten Fall kann Schadcode auf Systeme gelangen und diese vollständig kompromittieren. Das kann etwa über mit JavaScript präparierte PDFs erfolgen (etwa CVE-2025-55313 "hoch"). Dabei ist aber davon auszugehen, dass Opfer mitspielen und so eine Datei öffnen müssen, damit eine Attacke eingeleitet werden kann.

Überdies können Angreifer manipulierte Dokumente legitim erscheinen lassen (CVE-2025-55311 "mittel"). Weiterhin können Informationen leaken (CVE-2025-55307 "niedrig") oder es kann zu Abstürzen kommen (CVE-2025-32451 "hoch").

Die Entwickler versichern, die folgenden Ausgaben gegen die geschilderten Angriffe abgesichert zu haben.

macOS/Windows:

In Organisationen, die Windows Updates mittels Windows Server Update Services (WSUS) verteilen, kann die Installation der Sicherheitsaktualisierungen im August unter Windows 11 24H2 mit einer Fehlermeldung fehlschlagen. Anstatt erfolgreichem Vollzug meldet Windows dann den Fehlercode 0x80240069. An einer Lösung arbeitet Microsoft derzeit noch.

Das schreibt Microsoft in den Windows Release Health Notizen. Der Fehler kann bei Installation des Sicherheitsupdates KB5063878 über WSUS-Server auftreten. Es handelt sich um das Update zum August-Patchday von Microsoft für Windows 11 24H2.

Microsoft nutzt den "Known Issue Rollback"-Mechanismus (KIR) zur temporären Lösung des Problems. Das Unternehmen setzt es dazu auf verwalteten Geräten in Unternehmensumgebungen ein. Für IT-Verantwortliche stellt Microsoft zudem Gruppenrichtlinien bereit, mit denen sie das ebenfalls in ihrer Organisation erreichen können. Sie steht als .msi-Datei zum Herunterladen für Windows 11 24H2 bereit. Sie bringt eine Gruppenrichtlinie mit dem Namen "Windows 11 24H2 and Windows Server 2025 KB5063878 250814_00551 Known Issue Rollback" mit.

Admins finden sie in den Gruppenrichtlinien unter "Computer Configuration" – "Administrative Templates". Zudem stellt Microsoft eine Anleitung bereit, wie Admins Gruppenrichtlinien zur Verteilung eines Known Issue Rollbacks nutzen können.

Als weitere Möglichkeit nennt Microsoft zudem, die Sicherheitsupdates aus dem August manuell über Windows Update oder aus dem Windows Update Katalog zu installieren. Die Entwickler aus Redmond arbeiten an einer Lösung des Problems, die mit einem künftigen Windows-Update verteilt werden soll. Sofern dieses Update bereitsteht, ist es nicht mehr nötig, die obige Gruppenrichtlinie zu installieren und konfigurieren, ergänzen sie.

NGINX führt eine native Unterstützung für das ACME-Protokoll ein – ein wichtiger Schritt zur Vereinfachung und Automatisierung der Verwaltung von SSL/TLS-Zertifikaten. Das ACME-Protokoll (Automated Certificate Management Environment) wurde ursprünglich von der Internet Security Research Group im Rahmen des Let’s-Encrypt-Projekts entwickelt, um den zeitaufwendigen und fehleranfälligen Prozess beim Ausstellen und Erneuern digitaler Zertifikate zu automatisieren. Mit ACME können Webserver direkt mit Zertifizierungsstellen kommunizieren, um Zertifikate selbsttätig zu beantragen, zu validieren, zu erneuern oder zurückzuziehen, ohne dass Administratoren per Hand eingreifen müssen.

Mit der neuen NGINX-Implementierung lässt sich ACME direkt über NGINX-Direktiven konfigurieren. Verantwortlich dafür ist das neue Modul ngx_http_acme_module, das in Rust programmiert ist und als dynamisches Modul sowohl in der Open-Source-Version von NGINX als auch in der kommerziellen Plus-Lizenz von F5 verfügbar ist. Durch diese native Integration entfällt die bisher notwendige Nutzung externer Tools wie Certbot. So wollen die Entwickler Fehlerquellen und Sicherheitsrisiken reduzieren und die Plattformunabhängigkeit verbessern.

Die Einrichtung geht schnell vonstatten: Sie umfasst das Spezifizieren des ACME-Servers (zum Beispiel Let's Encrypt), das Konfigurieren von Speicherbereichen für Zertifikate und Validierungsdaten sowie die Automatisierung der Zertifikatsausstellung und -erneuerung. Aktuell wird die HTTP-01-Challenge unterstützt, bei der ein Webserver den Besitz der Domain durch eine HTTP-Abfrage nachweist. Zukünftig sollen weitere Challenges wie TLS-ALPN oder DNS-01 folgen. Administratoren können mit einfachen NGINX-Direktiven definieren, für welche Domains Zertifikate bereitgestellt werden sollen, und NGINX kümmert sich um den gesamten Zertifikatslebenszyklus.

Zum Start befindet sich die ACME-Integration in einer Preview. Eine Anleitung findet sich in der Ankündigung von NGINX. Technische Details führt außerdem die Moduldokumentation auf GitHub auf.