Comretix Blog

Das Portal "nius.de" ist am gestrigen Samstag Opfer einer Cyberattacke geworden. Dabei wurde die Webseite etwas umgestaltet (Defacement). Außerdem haben die Angreifer eine Datenbank mit mutmaßlichen Informationen etwa über Abonnenten der Plattform veröffentlicht.

Das Portal präsentierte den Besuchern anstatt Überschriften einen Download-Link.

(Bild: heise medien)

Bei dem Defacement der Webseite wurden alle Überschriften auf der nius.de-Webseite durch eine URL ersetzt, ein Download-Link auf eine Datei, die json-Daten enthält. Die Datei lagert auf der Domain "direction.center" und umfasst offensichtlich Daten von rund 5700 Abonnenten: Vornamen und Namen, E-Mail-Adressen, verkürzte respektive pseudonymisierte Kreditkarten- oder Kontoinformationen sowie Informationen zu dem gewählten Abonnement-Typ.

Auf die Abonnenten-Daten folgen in der Datei Daten zu Squidex – einem quelloffenen Content-Management-System (CMS), das nius.de anscheinend verwendet. Schließlich folgen Informationen zu Swagger, mit dem man etwa mit RESTful APIs interagieren kann. Mit dem Tool war anscheinend nicht authentifizierter Zugriff auf das nius.de-CMS und die Kundendatenbank möglich. Die Datei ist zum Meldungszeitpunkt weiterhin zugreifbar.

Die Bundesregierung will die NIS2-Richtlinie der EU für den verpflichtenden Schutz wichtiger Anlagen und Unternehmen vor Cyberangriffen in Deutschland bis Anfang 2026 gesetzlich verankern. "Das Bundesinnenministerium treibt dieses Thema im Moment mit Hochdruck voran", sagte die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, der Deutschen Presse-Agentur. "Ich habe die Hoffnung, dass wir es schaffen, dass es Anfang 2026 in Kraft treten kann."

Zu dem Entwurf, der unter anderem die Pflicht zur Risikoanalyse und zur Meldung von Sicherheitsvorfällen bestimmt, wurden laut Innenministerium Anfang Juli die Länder und betroffene Verbände angehört. "Wichtig ist, dass die Unternehmen und Institutionen den Startschuss hören", sagt die BSI-Chefin.

Mit der Umsetzung der europäischen Richtlinie soll mehr Cybersicherheit von Unternehmen und Institutionen geschaffen werden. Als wichtige Einrichtung im Sinne des Gesetzes gelten unter anderem größere Unternehmen der Sektoren Energie, Verkehr, Trinkwasser, Lebensmittelproduktion, Abwasser und Telekommunikation. Die Idee dahinter: Wenn sie nicht mehr arbeitsfähig wären – etwa weil ein Hacker ihre Daten verschlüsselt oder den Zugriff darauf blockiert hat – hätte das erhebliche Auswirkungen auf die Bevölkerung.

Die Pflicht zur Umsetzung bestimmter Sicherheitsmaßnahmen zur Abwehr und Bewältigung von Cyberangriffen soll künftig schätzungsweise rund 29.000 Unternehmen betreffen und damit deutlich mehr als bisher. Aktuell betreut das BSI rund 4.500 Betreiber kritischer Infrastruktur, die bestimmte Standards in Sachen Cybersicherheit erfüllen müssen. Seit ungefähr vier Monaten ist die NIS-2-Betroffenheitsprüfung des BSI online. Damit kann jeder herausfinden, ob die geplanten strengeren Regeln für ihn gelten oder nicht. Der Test wurde laut BSI schon mehr als 200.000 Mal genutzt. Plattner hat dennoch den Eindruck: "Die Anforderungen, die auf die betroffenen Unternehmen und Einrichtungen zukommen, haben viele derjenigen, die es angeht, immer noch nicht richtig auf dem Schirm."

Die Frist für die NIS-2-Richtlinie ist am 17. Oktober 2024 abgelaufen. Bis zu diesem Datum hätten alle EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen müssen. Deutschland und zahlreiche andere EU-Staaten haben die Frist nicht eingehalten. Die Ampel-Koalition hatte im Juli 2024 im Kabinett einen entsprechenden Gesetzentwurf beschlossen. Nach dem Auseinanderbrechen der Koalition von SPD, Grünen und FDP fand sich dafür jedoch keine Mehrheit mehr im Bundestag.

Nach einem Cyberangriff Anfang Juni kann die Polizei in Mecklenburg-Vorpommern ihre Diensthandys nicht einsetzen. Untersuchungen der Attacke laufen. Nun liegen erste Ergebnisse vor. Es ist demnach möglich, dass bei dem Angriff Daten abgeflossen sind.

Wie der NDR berichtet, sind die Ermittler beim Nachstellen verschiedener Angriffswege auf einen nachgebauten Server darauf gestoßen, dass es Wege gibt, Daten auszuleiten und nur wenige Spuren dabei zu hinterlassen. Eine Ministeriumssprecherin des Schweriner Innenministeriums erörterte demnach, dass auf dem Management-Server keine Daten etwa aus Ermittlungs- oder Personalakten lagern, sondern etwa Rufnummern der Mobiltelefone, Gerätenummern und die Nutzernamen – also Namen der Polizeibeamten.

Diese Daten hatten die Einbrecher in einer großen Datei gesammelt, die sie offenbar versucht haben, in kleinen Päckchen auszuleiten, erörterte die Ministeriumssprecherin. Möglicherweise haben die Täter den nun von den Ermittlern gefundenen Weg zum Ausleiten eines Teils der Daten genutzt. Ob und in welchem Umfang Daten abgeflossen seien, sei jedoch unklar.

Dem Bericht zufolge haben die bösartigen Akteure zwei Sicherheitslücken in der Verwaltungssoftware zum Management der Mobilfunkgeräte für den Cyberangriff missbraucht. Die Mobile-Device-Management-Software stamme von einem renommierten Hersteller, der jedoch ungenannt bleibt. Die Diensthandys, auch mPol-Geräte genannt, sind weiterhin nicht nutzbar. Die Beamten setzen sie etwa auf Streife dafür ein, Fahrzeughalter abzufragen oder Ausweispapiere zu prüfen. Der NDR gibt an, dass die Polizei in Mecklenburg-Vorpommern derweil statt auf die Smartphones nun ersatzweise auf alte, früher eingesetzte Funktechnik setzt. Wann die mPol-Geräte wieder nutzbar sein werden, ist derzeit unklar.

Ende Juni wurde bekannt, dass der Cybereinbruch in den Verwaltungsserver für die Diensthandys der Polizei in Mecklenburg-Vorpommern weitreichendere Folgen hatte, als zunächst angenommen. Es stellte sich heraus, dass sich die Diensthandys nicht mehr nutzen lassen.

In der Datentransfersoftware Wing FTP klafft eine Sicherheitslücke, die Angreifern aus dem Netz das Einschleusen und Ausführen von Schadcode ermöglicht. Sie erhält die höchstmögliche Risikobewertung "kritisch". IT-Forensiker haben den Missbrauch der Schwachstelle bereits am 1. Juli beobachtet.

Laut Schwachstellenbeschreibung behandelt das User- und Admin-Webinterface "\0"-Bytes fehlerhaft, die das Ende von Zeichenketten anzeigen. Ohne in die Details zu gehen, soll das Angreifern ermöglichen, beliebigen LUA-Code in User-Session-Files zu schleusen. Damit lassen sich wiederum beliebige Systembefehle mit den Rechten des FTP-Servers – standardmäßig "root" oder "SYSTEM" – ausführen. "Das ist daher eine Remote-Code-Execution-Lücke, die die vollständige Server-Kompromittierung garantiert", schreiben die Melder der Lücke. Sie lasse sich auch mit anonymen FTP-Konten ausnutzen (CVE-2025-47812 / EUVD-2025-21009, CVSS 10.0, Risiko "kritisch").

Über die beobachteten Angriffe auf die Sicherheitslücke berichten IT-Sicherheitsforscher von Huntress in ihrem Blog. Sie beschreiben Details der beobachteten Angriffe und liefern am Ende eine Liste von Indizien für Angriffe (Indicators of Compromise, IOCs).

Die Schwachstelle betrifft Wing FTP vor der aktuellen Fassung 7.4.4, die seit dem 14. Mai 2025 zum Herunterladen bereitsteht. Das Changelog nennt explizit die Sicherheitslücke, die damit geschlossen wird. Wing FTP steht auf der Download-Seite für Linux, macOS und Windows bereit. IT-Verantwortliche sollten zügig die Updates anwenden.

Datentransfersoftware ist für Cyberkriminelle interessant, da sie durch Schwachstellen darin oftmals auf sensible Daten zugreifen können, mit denen sie Unternehmen dann um Lösegeld erpressen können. So ging die Cybergang Cl0p auch vor, um Daten von vielen namhaften Unternehmen und gar von US-Behörden durch Schwachstellen in der Datenübertragungssoftware Progress MOVEit abzugreifen.

In der vergangenen Woche wurde bekannt, dass es einen Cyberangriff auf die australische Fluggesellschaft Qantas gegeben hat. Dabei haben sich Cyberkriminelle Zugang zu Daten von Millionen Qantas-Kunden verschafft. Jetzt hat die Airline erste Zwischenergebnisse der Untersuchung des Vorfalls veröffentlicht.

Auf einer eigens dafür eingerichteten Webseite liefert Qantas einen aktualisierten Status. Demnach hat die Fluggesellschaft Fortschritte bei der forensischen Analyse der Kundendaten auf dem kompromittierten System gemacht. Das Unternehmen bekräftigt, dass weder Kreditkarteninformationen, noch persönliche finanzielle Informationen oder Ausweis-Details auf dem System gespeichert wurden und daher auch nicht zugreifbar waren.

Daten von Qantas-Vielfliegern seien nicht betroffen – Passwörter, PINs und Log-in-Details wurden weder abgegriffen noch kompromittiert. Die Daten, die die Angreifer kompromittiert haben, seien nicht ausreichend, um Zugriff auf die Vielfliger-Accounts zu erlangen. Es gebe zudem keine Hinweise, dass die gestohlenen Daten veröffentlicht wurden. Qantas beobachtet mit der Unterstützung von Cyber-Sicherheitsexperten die Lage weiter.

Nachdem die Analysten die Dubletten entfernt haben, blieben noch 5,7 Millionen Kunden-Datensätze übrig. Einzelne spezielle Datenfelder variieren von Kunde zu Kunde, aber die Daten setzen sich offenbar folgendermaßen zusammen: 4 Millionen Datensätze beschränken sich auf den Namen, die E-Mail-Adresse und Qantas-Vielflieger-Details. Davon bestanden 1,2 Millionen Datensätze lediglich aus Namen und E-Mail-Adresse und bei 2,8 Millionen war auch die Vielflieger-Nummer enthalten; die Tier-Ebene war bei einem Großteil verzeichnet, bei einigen Kunden auch Punktestand und Status-Credits.

Die restlichen 1,7 Millionen Kundendaten bestehen aus einer Kombination von einigen der vorgenannten Datenfelder und zusätzlich noch einem oder mehreren der folgenden Punkte: Adressen (1,3 Millionen), Geburtsdatum (1,1 Millionen), Telefonnummern (900.000), Geschlecht (400.000) sowie Essensvorlieben (von 10.000 Kunden).

Eine international agierende Hackergruppe soll in Deutschland mindestens 170 Cyberangriffe verübt haben. "Ziel waren insbesondere Behörden, Krankenhäuser und größere Unternehmen", teilten die Ermittler zu den Taten zwischen 2018 und 2021 mit. "Der bislang dokumentierte Schaden beträgt 46 Millionen Euro – die tatsächliche Summe liegt vermutlich höher."

Auslöser der Ermittlungen war ein Cyberangriff auf die Stadt Neustadt am Rübenberge (Region Hannover) im August 2019, der die Verwaltung monatelang lahmlegte. Die Täter forderten damals eine hohe Summe in Bitcoin und drohten andernfalls mit der Löschung sämtlicher Daten. Ermittlungen ergaben, dass sich die Angreifer offenbar über Wochen Zugriff auf die Systeme verschafft hatten.

Die Staatsanwaltschaft Verden und die Polizeidirektion Hannover suchten mit Behörden weltweit nach den Tätern. Sie regten nach eigenen Angaben internationale Haftbefehle gegen sechs Verdächtige an. Zwei von ihnen sollen hinter dem Angriff auf Neustadt am Rübenberge stecken. Außerdem fahnden die Ermittler nach fünf mutmaßlichen Geldwäschern.

Die Angreifer gelten als Teil des sogenannten "Wizard Spider"-Netzwerks – einer internationalen Gruppe, die unter anderem in Russland verortet wird.

"PerfektBlue" haben IT-Sicherheitsforscher eine Kombination aus Bluetooth-Sicherheitslücken in einem Bluetooth-Stack genannt, der in mehreren Auto-Entertainment-Systemen zum Einsatz kommt. Die Entdecker schreiben von "kritischen Lücken, die Over-the-Air-Angriffe auf Millionen Geräten in Autos und anderen Branchen" ermöglichen. Die Gefahr ist jedoch im Regelfall deutlich geringer als angedeutet.

Ein IT-Forscher-Team von PCA Cybersecurity hat die Schwachstellen in dem OpenSynergy Bluetooth Protocol Stack (BlueSDK) aufgespürt und analysiert. Dieser Stack kommt etwa in der Autobranche zum Einsatz, aber auch für andere – nicht erforschte – Geräte, etwa im IoT-Bereich. Darin klafften bis in den September 2024 die vier Sicherheitslücken, die OpenSynergy mit Patches korrigiert und an die betroffenen Hersteller verteilt hat.

Die IT-Sicherheitsforscher haben vier Schwachstellen ausgemacht. Die gravierendste stammt daher, dass das BlueSDK die Existenz eines Objekts nicht prüft, bevor es darauf Operationen vornimmt – eine Use-after-free-Lücke. Das mündet darin, dass eingeschleuster Schadcode ausführbar ist (CVE-2024-45434 / noch kein EUVD, CVSS 8.0, Risiko "hoch"). Hier weicht PAC Security von der CVSS-Einstufung ab und behauptet, die Lücke sei gar kritisch. Eine weitere Lücke lässt sich zur Umgehung einer Sicherheitsprüfung in RFCOMM und der Verarbeitung eingehender Daten missbrauchen (CVE-2024-45433 / noch kein EUVD, CVSS 5.7, Risiko "mittel").

Zudem nutzt das BlueSDK in der RFCOMM-Komponente eine falsche Variable als Funktionsargument, was unerwartetes Verhalten oder ein Informationsleck erzeugt (CVE-2024-45432 / noch kein EUVD; CVSS 5.7, Risiko "mittel"). Die L2CAP-Channel-ID (CID) prüft das BlueSDK nicht korrekt, wodurch Angreifer einen L2CAP-Kanal mit Null-Identifier als Remote CID anlegen können – die IT-Forscher erklären jedoch nicht, inwiefern das problematisch ist (CVE-2024-45431 / noch kein EUVD, CVSS 3.5, Risiko "niedrig").

Die IT-Sicherheitsforscher haben die Schwachstellenkombination auf Infotainment-Systemen von Mercedes Benz (NTG6 Head Unit), Volkswagen (MEB ICAS3 Head Unit) und Skoda (MIB3 Head Unit) getestet und verifiziert. Nicht genannte OEMs sollen ebenfalls anfällig sein. Auffällig ist, dass recht alte Firmware-Stände und Geräte getestet wurden. Es seien aber auch neuere Modelle anfällig, erklären die PAC-Mitarbeiter. Laut Timeline sollten etwa ab September 2024 fehlerkorrigierende Updates von den Autoherstellern verteilt werden.

GrapheneOS gilt als eine sichere und datensparsame Android-Version, die wegen ihrer hohen Sicherheitsanforderungen nur für Pixel-Geräte angeboten wird. Trotz herausfordernder neuer Umstände – Google hat die bisher mit AOSP ausgelieferten Device-Trees für Pixel-Geräte nicht mitgeliefert, die Custom-ROM-Entwickler für eine schnellere Kompilierung verwendeten –, ist GrapheneOS nun auf Basis von Android 16 einen Monat nach Veröffentlichung durch Google fertig.

Laut den GrapheneOS-Entwicklern entpuppte sich die Portierung auf Android 16 als schwieriger als erwartet. Um das Update zu realisieren, habe man die Android-16-Firmware und -Treiber auf Android 15 QPR2 zurückportiert.

Schließlich konnte die erste offizielle Version von Android 16 am 30. Juni veröffentlicht werden, nachdem eine experimentelle Version am Tag Probleme aufgewiesen hatte. Die Entwickler hatten sich für den Stable-Release noch ein wenig Zeit genommen, da es seitens Google kein Pixel-Update-Bulletin zu Sicherheitspatches für Juli 2025 gab. Am 10. Juli erreichte GrapheneOS auf Basis von Android 16 den Stable-Kanal.

Neuerungen sind auf den ersten Blick – wie bei Android 16 für Googles Pixel-Geräte – nicht zu erkennen. Die meisten Änderungen spielen sich unter der Haube ab. Unter anderem scheint immerhin die Live-Update-Funktion für Echtzeitinformationen für Lieferdienste und Co. an Bord zu sein.

Zudem schreibt Graphene in der Dokumentation, dass man eine recht neue Angriffstechnik, die als TapTrap bekannt ist und durch die Angreifer unbemerkt weitreichende Zugriffsrechte erhalten können, behoben habe. Google wird diese Schwachstelle erst später beheben, sagte ein Google-Sprecher dem Magazin Bleeping-Computer. Weitere Änderungen sind im Changelog zu finden.

Im Zusammenhang mit Angriffen auf britische Unternehmen haben Strafverfolger vier mutmaßliche Mitglieder der Bande "Scattered Spider" festgenommen. Einer 20 Jahre alten Frau, zwei 19-jährigen Männern und einem Siebzehnjährigen werfen die Ermittler Computermissbrauch, Erpressung, Geldwäsche und Mitgliedschaft in einer kriminellen Organisation vor.

Die vier Verdächtigen sollen Mitglieder einer Gruppe namens "Scattered Spider" sein, die in den vergangenen Monaten mehrere Einzelhandelsunternehmen lahmlegte. Vor allem die Kaufhauskette "Marks & Spencer", Betreiberin hunderter Filialen in Großbritannien, litt unter den Angriffen und stellte Ende April sogar ihr Onlinegeschäft vorübergehend ein. Der Angriff kostete das Unternehmen Berichten zufolge bis zu 300 Millionen Pfund. Auch die Traditionsmarke Harrods und die Supermarktkette Co-Op Group beklagten Angriffe durch mutmaßliche Scattered-Spider-Mitglieder.

Die Gruppe ist personell mit Lapsus$ verbandelt, einer ebenfalls in Großbritannien aktiven kriminellen Cybergang, die sich ähnlicher Methoden bedient. Auch im Fall des Angriffs auf Marks & Spencer kam SIM-Swapping auf einen Dienstleister zum Einsatz, also die widerrechtliche Vervielfältigung von Mobilfunkkarten. Meist geht dem ein betrügerischer Anruf beim jeweiligen Mobilfunkanbieter voraus, in dem etwa der Diebstahl oder Verlust der Original-SIM behauptet und der zuständige Kundendienstmitarbeiter übertölpelt wird. SIM-Swapping ist in den USA und Großbritannien verbreitet, in Deutschland jedoch keine große Gefahr, wie uns Mobilfunkbetreiber bestätigten.

Die Bande bedient sich vorwiegend der Methoden aus dem Werkzeugkasten des Social Engineering, um sich in Unternehmensnetze einzumogeln. Dann exfiltrieren die Kriminellen Daten und erpressen ihre Opfer – ein Geschäftsmodell, auf das sich neuerdings auch Ransomware-Banden spezialisieren. Die Verschlüsselung von Daten, wie klassische Ransomware sie vornimmt, scheint nicht Teil des Scattered-Spider-Instrumentariums zu sein.

Der Journalist Brian Krebs hat die Bande und ihre Verbündeten von Lapsus$ seit Jahren im Auge. Er gibt an, dass einer der nun Festgenommenen bereits im April 2022 in einem internen Chat der Gruppe namentlich erwähnt und mutmaßlich bereits damals beim SIM-Swapping erwischt worden war. Wie Krebs schreibt, hatte der Nachwuchskriminelle seine Mittäter gebeten, Vorsicht walten zu lassen, um bei seinen Eltern keinen neuen Verdacht zu erregen. Offenbar war der mittlerweile 19-Jährige damals erst sechzehn Jahre alt. Sieben Mitglieder von Lapsus$ in Großbritannien waren im Jahr 2022 verhaftet worden, gegen fünf US-amerikanische Verdächtige erhoben Staatsanwälte im Jahr 2024 Anklage.

In der Nacht zum Freitag hat Trend Micro mehrere CVE-Schwachstelleneinträge veröffentlicht. Sie betreffen hochriskante Sicherheitslücken in mehreren Produkten des IT-Sicherheitsunternehmens.

In Trend Micros Cleaner One Pro können Angreifer ihre Rechte ausweiten und unbeabsichtigt Trend-Micro-Dateien mit erhöhten Rechten löschen, einschließlich der Cleaner-One-Pro-Dateien (CVE-2025-53503 / EUVD-2025-21043, CVSS 7.8, Risiko "hoch"). Laut Sicherheitsmitteilung von Trend Micro korrigiert Trend Micro Cleaner One Pro 6.8.333 den Fehler.

In der Endkundenversion von Trend Micros Passwort-Manager können Angreifer mit symbolischen Links und ähnlichen und anderen, nicht näher genannten Methoden eine Link-Verfolgungs-Lücke zur Rechteausweitung missbrauchen. Damit können beliebige Ordnern und Dateien löschen und ihre Rechte im System ausweiten (CVE-2025-52837 / EUVD-2025-21041, CVSS 7.8, Risiko "hoch"). Der Passwort-Manager in Version 5.8.0.1330 für Windows oder neuere Fassungen bessern die Schwachstelle aus.

Die Privatnutzer-Version Trend Micro Security 17.8 ist von einer vergleichbaren Sicherheitslücke betroffen. Die Software folgt Verknüpfungen, wodurch Angreifer unbeabsichtigt Dateien von Trend Micro mit erhöhten Rechten löschen können, einschließlich der eigenen (CVE-2025-52521 / EUVD-2025-21040, CVSS 7.8, Risiko "hoch"). Die Trend Micro Security-Produkte für Windows enthalten den Fehler ab Version 17.8.1476 nicht mehr.

Im Trend Micro Worry-Free Business Security Services (WFBSS) Agent können Angreifer aus dem Netz ohne vorherige Authentifizierung die Kontrolle übernehmen. Es fehlt einen Authentifizierungsprüfung (CVE-2025-53378 / EUVD-2025-21042, CVSS 7.6, Risiko "hoch"). Betroffen sind die Agents der SaaS-Cloud-Variante, die On-Premises-Version ist nicht anfällig. Der Fehler wurde bereits mit dem monatlichen Wartungsupdate korrigiert, Admins müssen daher nicht aktiv werden.

Seit Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) 2018 sind die Inhaberdaten von Domains weitgehend unter Verschluss. Was vorher über das sogenannte Whois-System frei zugänglich war, ist heute nur noch schwer zu bekommen. In Episode 138 des c't-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit dem Domainrecht-Experten Thomas Rickert über die Auswirkungen dieser Entwicklung.

Rickert ist geschäftsführender Gesellschafter der Rickert Rechtsanwaltsgesellschaft und außerdem im Rat der Generic Names Supporting Organization (GNSO Council) aktiv, die wiederum Teil der zentralen Domain-Verwaltung Internet Corporation for Assigned Names and Numbers (ICANN) ist. Darüber hinaus leitet der Rechtsanwalt beim eco-Verband die KG Names & Numbers.

Rechtsanwalt Thomas Rickert beim Podcasten in der Auslegungssache

Rickert schildert in der Episode, dass vor der DSGVO für jede Domainregistrierung über 70 Datenelemente erhoben und veröffentlicht werden mussten - vom Namen über die Adresse bis zur Faxnummer. Diese Praxis führte dazu, dass Datenhändler die Informationen massenhaft abgriffen und Domaininhaber kurz nach der Registrierung mit Spam überhäuft wurden.

Die ICANN reagierte auf die DSGVO mit einer Notlösung: Statt der Daten erscheint seitdem meist nur noch "Redacted for Privacy". Für Rechteinhaber wie Verlage, die gegen Urheberrechtsverletzungen vorgehen wollen, ist das ein Problem, betont Heidrich. Er berichtet frustriert, dass er bei offensichtlichen Rechtsverletzungen keine Kontaktmöglichkeit mehr findet. Die Täter verstecken sich bewusst hinter amerikanischen Anbietern, die keine Auskünfte erteilen.

Mexikos Generalstaatsanwaltschaft (FGR) hat nach Berichten mehrerer mexikanischer Medien eine Untersuchung gegen Mexikos früheren Präsidenten Enrique Peña Nieto über die angebliche Entgegennahme von Bestechungsgeldern in Millionenhöhe eingeleitet. Dieser soll nach Angaben der israelischen Zeitung The Marker 25 Millionen US-Dollar von zwei israelischen Geschäftsleuten als Schmiergeldzahlung für den Erwerb der Spionagesoftware Pegasus des israelischen Unternehmens NSO Group erhalten haben.

"Wir werden die israelischen Behörden unverzüglich über das System der internationalen Rechtshilfe bitten, diese Informationen, die sie in den Medien veröffentlicht haben, in eine Akte aufzunehmen, damit wir vorankommen können", erklärte der Leiter der FGR, Alejandro Gertz Manero, am Dienstag. Man werde die israelische Regierung formell um Rechtshilfe bitten, "damit diese Behauptungen innerhalb eines rechtlichen Rahmens aufgestellt werden und nicht in das gleiche Vakuum unbegründeter Anschuldigungen fallen", so Gertz weiter. Angesichts der schwierigen Zusammenarbeit mit Israels Behörden in anderen Fällen zeigte sich Gertz allerdings nicht sehr optimistisch, was die Überstellung der erforderlichen Unterlagen betrifft.

Die Informationen, die Mexikos früheren Präsidenten mit den Sponsoren der Spionagesoftware in Verbindung bringen, wurden in der vergangenen Woche von der israelischen Zeitung The Marker veröffentlicht und von mexikanischen Medien breit aufgegriffen. Die Veröffentlichung ist Teil eines Rechtsstreits zwischen zwei israelischen Geschäftsleuten, die behaupten, eine gemeinsame "Investition" in Höhe von 25 Millionen US-Dollar getätigt zu haben, um zwischen 2012 und 2018 Verträge mit der mexikanischen Regierung unter Peña Nieto zu erhalten. Unklar ist, ob der gesamte Betrag an den Ex-Präsidenten selbst geflossen sein soll oder ob andere Personen beteiligt waren.

Peña Nieto, der seit seinem Ausscheiden aus dem Amt zwischen Spanien und der Dominikanischen Republik lebt, hat die gegen ihn erhobenen Vorwürfe entschieden zurückgewiesen. Über seinen offiziellen X-Account, den er seit Monaten nicht mehr benutzt hatte, bezeichnete er den Marker-Artikel als "völlig falsch" und versicherte, dass die Anschuldigungen unbegründet seien. "Ich bedaure, auf Artikel zu stoßen, die ohne ein Mindestmaß an journalistischer Sorgfalt leichtfertige und bösartige Behauptungen aufstellen", schrieb er. Es handele sich um eine Unterstellung, "die jeglicher Grundlage entbehrt". Er ließ die Frage offen, wer von einer solchen Veröffentlichung profitieren würde. Später erklärte Peña Nieto in einem Radiointerview, dass er nie an der Vergabe von Aufträgen an Lieferanten beteiligt war. Auch kenne er keinen der beiden betreffenden Geschäftsleute.

Die Regierung Peña Nieto (2012-2018) hatte das Spionagesystem Pegasus mutmaßlich für 32 Millionen US-Dollar offiziell für nachrichtendienstliche Zwecke und zur Bekämpfung des organisierten Verbrechens eingekauft. Aktivistengruppen und Journalisten deckten später auf, dass Regierungseinrichtungen die Malware zum Ausspähen von Journalisten, Menschenrechtsaktivisten und Korruptionsbekämpfern nutzten. Die US-Tageszeitung New York Times fand heraus, dass Mexikos damaliger Staatssekretär für Menschenrechte, Alejandro Encinas, mit Pegasus ausgespäht wurde, als er Verfehlungen des mexikanischen Militärs untersuchte.

Der russische Basketballspieler Daniil Kasatkin ist auf Ersuchen der Vereinigten Staaten in Frankreich festgenommen worden. Die US-amerikanischen Behörden beschuldigen ihn der Beteiligung an einer Ransomware-Bande. Kasatkin, der aktuell für den Moskauer Klub MBA spielt und in der Saison 2018-19 kurzzeitig im US-College-Basketball für Penn State aktiv war, droht nach Angaben der Nachrichtenagentur AFP die Auslieferung an die Vereinigten Staaten.

Die Festnahme erfolgte bereits am 21. Juni, wurde aber erst jetzt nach einer Anhörung in Paris bekannt. Kasatkin war unmittelbar nach seiner Ankunft in Frankreich auf dem Flughafen Charles de Gaulle in Paris verhaftet worden. Laut AFP war der Sportler zusammen mit seiner Verlobten, der er gerade einen Heiratsantrag gemacht hatte, in die französische Hauptstadt gereist.

Die Vereinigten Staaten werfen Kasatkin vor, Teil einer Ransomware-Bande zu sein, die von 2020 bis 2022 rund 900 Unternehmen, darunter zwei US-Bundeseinrichtungen, angegriffen hat. Zum entstandenen Schaden wurden keine Angaben gemacht. Die US-Justiz beschuldigt den Basketballer, die Lösegeldzahlungen im Rahmen dieses kriminellen Netzwerks ausgehandelt zu haben. Gegen ihn liegt ein US-Haftbefehl wegen "Verschwörung zur Begehung von Computerbetrug" und "Verschwörung zum Computerbetrug" vor, wie die französische Tageszeitung Le Monde berichtet.

Der 26-jährige Kasatkin, der seit dem 23. Juni in Auslieferungshaft sitzt, bestreitet alle Vorwürfe. Sein Anwalt Frederic Belot erklärte, sein Mandant sei unschuldig und beantragte, Kasatkin freizulassen. "Er hat einen gebrauchten Computer gekauft. Er hat absolut nichts getan. Er fällt aus allen Wolken", sagte Bélot gegenüber Journalisten, darunter AFP, so Le Monde weiter. "Er hat keine Ahnung von Computern und ist nicht einmal in der Lage, eine Anwendung zu installieren. Der Computer wurde entweder gehackt oder der Hacker hat ihn ihm verkauft, damit er unter dem Deckmantel einer anderen Person agieren kann." Der stellvertretende russische Außenminister Sergej Rjabkow erklärte am Donnerstag, das russische Außenministerium beobachte die Situation Kasatkins genau.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Gegen fünf junge Männer aus mehreren Bundesländern wird wegen des Verdachts der Computersabotage ermittelt. Sie sollen über mehrere Wochen lang die Telefone von Polizeidienststellen für jeweils kürzere Zeit blockiert haben. Insgesamt seien seit Anfang des Jahres über 800 Dienststellen in Deutschland und benachbarten Ländern von den Attacken betroffen gewesen, teilte die Polizei in Osnabrück mit. Ende Juni wurden mehrere Wohnungen der Tatverdächtigen durchsucht.

Die fünf Beschuldigten im Alter zwischen 16 und 19 Jahren sollen per Telefonkonferenz die Leitungen der Polizei blockiert haben. Dabei nutzten sie eine Dial-Out-Konferenz, bei der die Teilnehmer sich nicht ins Konferenzsystem einwählen, sondern angerufen werden. Die betroffenen Dienststellen seien wiederholt angerufen worden, was dazu führte, dass die Leitungen für andere Anrufer blockiert wurden. Die Ausfallzeiten hätten zwar nur von wenigen Momenten bis zu 74 Sekunden betragen. Allerdings konnten sich die Angerufenen der wiederholten Anrufe nicht erwehren, sodass in der Summe eine längere Zeit der Blockade zustande kam. Für die Beamten sei es auch nicht möglich gewesen, den Vorgang zu stoppen.

Einsatzkräfte des Fachkommissariats Cybercrime der Zentralen Kriminalinspektion Osnabrück durchsuchten Ende Juni mehrere Wohnobjekte in Schleswig-Holstein, Nordrhein-Westfalen, Baden-Württemberg und Bremen. Die Maßnahmen richteten sich unter anderem gegen Adressen in Wentorf bei Hamburg, Mülheim an der Ruhr, Eppingen und Bremen. Die Durchsuchungsbeschlüsse waren durch die Staatsanwaltschaft Osnabrück - Zentralstelle Internet- und Computerkriminalität (Cybercrime) - beantragt worden.

"Cyberangriffe auf die Polizei sind kein Kavaliersdelikt - sie können den Arbeitsalltag unserer Kolleginnen und Kollegen massiv beeinträchtigen", sagt Laura-Christin Brinkmann, Pressesprecherin der Polizeidirektion Osnabrück laut einer Pressemitteilung. "Gerade in Zeiten, in denen schnelle Erreichbarkeit entscheidend sein kann, wiegen solche Störungen besonders schwer."

Bei den Durchsuchungen wurden zahlreiche elektronische Geräte sichergestellt, darunter Smartphones, Laptops, externe Speichermedien und Netzwerktechnik.

Cybernation: Das ist der Begriff, mit dem die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) Claudia Plattner seit bald zwei Jahren mehr Bewusstsein für Cybersicherheit und Digitalisierungsfragen fordert. Die Idee: Möglichst alle staatlichen und privaten Akteure, Institutionen und Ebenen sollten das Cybersicherheitsthema gemeinsam adressieren. Bei ihrem Amtsantritt, berichtete Plattner, sei es in Regierungskreisen keineswegs selbstverständlich gewesen, dass Cybersicherheit auch eine Frage nationaler Sicherheit ist.

Bei einer zweitägigen Veranstaltung mit Vertretern aus Politik und Wirtschaft in Berlin macht sich der Wirtschaftsrat der CDU diese Idee nun zu eigen – ein Verein, der einigen Beobachtern als der derzeit maßgebliche Think-Tank der CDU-Wirtschaftspolitik gilt. Cybersicherheit sei keine rein technische Disziplin, sondern auch eine Standort- und Vertrauensfrage, erklärt Wirtschaftsrat-Präsidentin Astrid Hamke. Sie sieht wirtschaftliche Chancen: "Innovation in der Sicherheitstechnologie kann zu einem echten Exportschlager werden." Dass dabei auch Politik eine wesentliche Rolle spiele, daran ließen die Diskutanten im Waldorf Astoria-Hotel keinen Zweifel.

Denn bereits heute gibt es eine relevante Cybersicherheitsbranche in Deutschland. Oft spielt sie allerdings maximal in der mittleren Gewichtsklasse, wie Torsten Henn von Secunet beschreibt: Mit 1.100 Mitarbeitern, 400 Millionen Euro Umsatz jährlich und einem Börsenwert von etwa 1,4 Milliarden Euro sei sein Unternehmen aus politischer Sicht eben zu klein, um als industriepolitisch relevanter Player wahrgenommen zu werden.

Dass der Staat als Kunde wie als Regulierer eine maßgebliche Rolle spielt, prägte Teile der Diskussion. "Viele ambitionierte Projekte sind auch daran gescheitert, dass wir nicht rechtzeitig die Nachfragemacht generieren konnten", berichtete Iris Plöger, die beim Bundesverband der deutschen Industrie für Digitalfragen zuständig ist. Dabei spielt auch der Staat eine Rolle, insbesondere wenn es um die Anforderung digitaler Souveränität geht.

Der CDU-Abgeordnete Henri Schmidt definierte diese kurzerhand so: Es gelte, "alles dafür zu tun, keinen Vendor Lock-In zu haben." Aber die 300.000 Microsoft Office-Nutzer in der Bundesverwaltung "schmeiße ich erst dann raus, wenn ich ein Äquivalent habe." Doch da wäre man bislang trotz aller Bemühungen wie OpenDesk nicht, so Schmidt. Bis auf Weiteres scheinen Wirtschaft wie Verwaltung also auf US-Anbieter angewiesen. Die versuchen, den Bedenken Rechnung zu tragen – mit gekapselten und mehrschichtigen Sicherheitsmechanismen oder, wie Amazon mit seiner European Cloud, gleich mit einer kompletten und infrastrukturell eigenständigen Ausgründung seiner Clouddienstleistungen.

Juniper Networks hat am Mittwoch dieser Woche insgesamt 28 Sicherheitsmitteilungen herausgegeben. Der Hersteller behandelt darin Schwachstellen in diversen Appliances und den Betriebssystemen – bis hin zum Schweregrad "kritisch".

IT-Verantwortliche sollten prüfen, ob sie die anfälligen Geräte und zugehörige Software einsetzen und zeitnah die bereitgestellten Aktualisierungen anwenden. Das Spektrum der Sicherheitslücken und ihrer Auswirkungen ist breit: Angreifer können etwa Schadcode einschleusen und ausführen, ihre Rechte ausweiten, Denial-of-Service-Attacken starten, Sicherheitsmaßnahmen umgehen oder unbefugt Daten lesen oder gar manipulieren.

Die Suche von Juniper liefert eine Übersicht der jüngsten Sicherheitsmitteilungen der Entwickler. Zum Meldungszeitpunkt stammen die jüngsten 28 Veröffentlichungen vom Mittwoch dieser Woche. Die betroffenen Systeme umfassen Junos OS, Junos OS Evolved, die ACX-, MX-, SRX-Baureihen und Juniper Apstra.

Im Juniper Networks Security Director können nicht authentifizierte Angreifer aus dem Netz auf sensible Ressourcen über das Web-Interface zugreifen oder diese manipulieren. "Zahlreiche API-Endpunkte von Juniper-Security-Director-Appliances überprüfen die Authentifizierung nicht und liefern Aufrufern Informationen außerhalb ihres Autorisierungs-Levels aus. Die erhaltenen Informationen lassen sich dazu nutzen, Zugriff auf weitere Informationen zu erhalten oder andere Angriffe auszuführen, die sich auf von der Appliance verwaltete Geräte auswirken", erklärt Juniper in der Sicherheitsmitteilung (CVE-2025-52950 / kein EUVD, CVSS 9.6, Risiko "kritisch").

Angreifer in einer Position zwischen Radius-Client und -Server von Junos OS und Junos OS Evolved können die Authentifizierung umgehen. Ursache ist eine unzureichende Prüfung eines Inetgritäts-Prüfwerts und unzureichende Erzwingung von Nachrichtenintegrität auf einem Kommunikationskanal, erörtern Junipers Entwickler (CVE-2024-3596 / EUVD-2024-32175, CVSS 9.0, Risiko "kritisch").

Für einen Fehler des AMD Secure Processor (ASP) Firmware-Trusted-Platform-Moduls (fTPM) diverser AMD-Ryzen-Prozessoren stellt AMD bereits seit 2022 korrigierte Firmware-Updates bereit. Nutzerinnen und Nutzer bleiben jedoch weiterhin betroffen, da Motherboard-Hersteller den Fix nicht in ihre BIOS-Versionen einbauen und verteilen.

Darüber beschwert AMD sich in einem Support-Artikel vom Montag dieser Woche. Der Fehler im fTPM führt dazu, dass Prüfungen mit dem TPM unter Windows den Fehlercode 0x80070490 liefern, anstatt solche Überprüfungen positiv zu quittieren. Das hat praktische Auswirkungen für Betroffene.

AMD erklärt, dass einige Apps Funktionen deaktivieren, wenn die TPM-Prüfung fehlschlägt. Als Beispiel nennt der Hersteller, dass Gamer etwa nicht an mit Preisgeld notierten Online-Turnieren teilnehmen könnten. Eine Korrektur steht bereits seit 2022 bereit, für betroffene Prozessoren der Ryzen-Baureihen 1000 bis 5000 sowohl für Desktops als auch für Notebooks.

Der Prozessorhersteller schreibt, dass einige Mainboard-Hersteller sich dazu entscheiden, dieses TPM-Firmware-Update nicht zu verteilen. Gleich darauf folgt auch ein möglicher Grund: Wer Bitlocker einsetzt, sollte bei solch einem TPM-Update die Bitlocker-Nutzung aussetzen. Der Update-Vorgang kann das TPM außerhalb der Windows-APIs löschen. Bei aktiviertem Bitlocker könnte der Rechner dann beim Neustart in den Wiederherstellungsmodus gehen und den Bitlocker-Recovery-Key oder ein Passwort für den Computer-Zugriff verlangen. Wer an dieser Stelle kein Backup des Bitlocker-Wiederherstellungsschlüssels etwa auf Papier, in einer Datei auf USB-Stick oder in einem Microsoft-Konto hat, könnte alle Daten auf dem Rechner verlieren.

Betroffen sind Versionen 3.*.0.* des AMD fTPM; Die fTPM-Fassungen 3.*.2.* sowie 6.*.*.* (wobei * eine beliebige Ziffer darstellt) bringen den Fehler nicht mit. Die fTPM-Version zeigt der Befehl "Powershell.exe -Command Get-TPM" an der Eingabeaufforderung an. Temporäre Umgehungsmaßnahmen, mit denen sich die Auswirkungen des Fehlers eindämmen ließen, nennt AMD nicht. Betroffene sollen den Hersteller ihres Mainboards kontaktieren, um ein gegebenenfalls verfügbares Firmware-Update zu erhalten.

Die App NINA, die zum Beispiel vor starken Unwettern oder bei Hochwasser warnt, wird ausgebaut. Künftig sollen auch Hinweise auf angedrohte Gewalttaten wie zum Beispiel Bombendrohungen oder Warnungen vor gefährlichen Straftätern auf die Smartphones geschickt werden, kündigte das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) an.

Die Polizeibehörden haben bereits in den vergangenen Jahren vereinzelt die App für solche Warnungen und Hinweise zu herausragenden Vorfällen genutzt. Nun wird dieser Polizei-Bereich ausgebaut: Mit dem Update zum Ende der Woche kommt dafür auch ein eigenes Icon in die App.

Außerdem soll die App in Notlagen und bei drohenden Katastrophen dann zuverlässiger Warnmeldungen schicken können, berichtet das BBK. Die Funktionalität und die Technik im Hintergrund wurden so optimiert, dass die Datenmengen verringert werden können, die zur zielgenauen Zustellung von Push-Nachrichten nötig sind. Das helfe bei der Übertragung in Situationen, in denen die Behörden besonders viele Warnmeldungen verschicken müssen.

Die Warn-App NINA ist kostenlos in den gängigen App-Stores erhältlich. Der Name steht für "Notfall-Informations- und Nachrichten-App".

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Fortinet hat Sicherheitsupdates für mehrere Produkte veröffentlicht. Sie schließen Sicherheitslücken, die teils als kritisches Risiko eingestuft wurden.

Am schwerwiegendsten ist eine Sicherheitslücke in FortiWeb. Nicht angemeldete Nutzer aus dem Netz können eine SQL-Injection-Schwachstelle angreifen, da bestimmte Elemente in einem SQL-Befehl nicht ausreichend gefiltert werden. Dadurch können Angreifer unbefugt SQL-Code oder Befehle mit sorgsam präparierten HTTP- oder HTTPS-Anfragen einschleusen (CVE-2025-25257, CVSS 9.6, Risiko "kritisch"). Die FortiWeb-Versionen 7.6.4, 7.4.8, 7.2.11 sowie 7.0.11 und neuere stopfen das Sicherheitsleck.

In FortiVoice hingegen können Angreifer mit Zugriffsrechten beliebigen Code oder Befehle mit manipulierten HTTP-/HTTPS- oder Kommandozeilen-Anfragen einschleusen. Gleich an zwei Stellen fehlen ausreichende Filter für bestimmte Elemente, die in Kommandozeilen-Befehle eingebaut werden (CVE-2025-47856, CVSS 7.2, Risiko "hoch"). In FortiVoice 7.2.1, 7.0.7 und 6.4.11 und jeweils neueren Versionen haben die Programmierer diese Sicherheitslücken geschlossen.

Zudem stopfen die Entwickler Sicherheitslecks in weiteren Fortinet-Produkten. IT-Verantwortliche sollten prüfen, ob sie diese einsetzen, und die Aktualisierungen zeitnah anwenden.

Die Sicherheitsmitteilungen von Fortinet nach Risiko sortiert:

Das WordPress-Plug-in SureForms kommt auf mehr als 200.000 aktive Installationen. IT-Sicherheitsforscher haben eine Sicherheitslücke darin entdeckt, die die vollständige Kompromittierung von verwundbaren WordPress-Instanzen ermöglicht. Updates stehen bereit, die die Lücke schließen.

In einem Blog-Beitrag analysieren IT-Forscher von Wordfence die Schwachstelle. Das Plug-in heißt in voller Länge "SureForms – Drag and Drop Form Builder for WordPress". In der Funktion delete_entry_files() findet keine ausreichende Prüfung von Dateipfaden statt. Dadurch können Angreifer aus dem Netz ohne vorherige Anmeldung beliebige Dateien auf dem Server löschen. Das kann schließlich zur Ausführung beliebigen Codes aus der Ferne führen, wenn bösartige Akteure etwa die "wp-config.php"-Datei löschen und so die WordPress-Instanz in den Setup-Modus versetzen und damit an eine von ihnen kontrollierte Datenbank anschließen (CVE-2025-6691 / EUVD-2025-20783, CVSS 8.1, Risiko "hoch").

Betroffen ist etwa SureForms 1.7.3. Die Entwickler haben gleich mehrere Versionszweige mit Aktualisierungen versehen. Die Fassungen SureForms 1.7.4, 1.6.5, 1.5.1, 1.4.5, 1.3.2, 1.2.5, 1.1.2, 1.0.7 und 0.0.14 stehen bereit und stopfen das Sicherheitsleck.

IT-Verantwortliche mit WordPress-Instanzen sollten prüfen, ob die von ihnen betreuten Systeme bereits auf diesen aktualisierten Ständen sind. Gegebenenfalls sollten sie die Aktualisierung rasch anstoßen, um die Angriffsfläche zu minimieren.

Eine ähnliche Sicherheitslücke wurde bereits vergangene Woche in dem WordPress-Plug-in Forminator bekannt. Das Plug-in kommt sogar auf mehr als 600.000 Webseiten zum Einsatz. Auch dort ermöglichte die Lücke Angreifern, die "wp-config.php" zu löschen und damit in weiterer Folge die komplette Instanz zu übernehmen.