Comretix Blog

Angreifer haben zurzeit zwei ältere Sicherheitslücken in Sonicwall-Fernwartungslösungen der Secure-Mobile-Access-Serie (SMA) im Visier. Sicherheitspatches sind schon länger verfügbar, aber offensichtlich sind sie bisher nicht flächendeckend installiert. Admins sollten umgehend handeln und ihre SMA-Instanzen aktualisieren.

Beide Schwachstellen betreffen die SMA-Reihen SMA 200, 210, 400, 410 und 500v. Die Entwickler versichern, die Lücken ab der Firmware 10.2.1.14-75sv geschlossen zu haben.

Sind Attacken erfolgreich, können Angreifer Schadcode ausführen. Die "kritische" Lücke (CVE-2024-38475) betrifft die SMA-Komponente Apache HTTP Server. Daran können Angreifer mit präparierten URLs für Schadcode-Attacken ansetzen.

In einem aktualisierten Beitrag warnt Sonicwall nun vor Attacken. In welchem Umfang sie ablaufen, ist derzeit unklar. Die Entwickler raten Admins nach unautorisierten Log-in-Versuchen Ausschau zu halten. Außerdem führen sie aus, dass weitere Untersuchungen der Lücke gezeigt haben, dass Angreifer nach einer erfolgreichen Ausnutzung Sessions übernehmen können.

Um die zweite Schwachstelle (CVE-2023-44221 "hoch") ausnutzen zu können, muss ein entfernter Angreifer bereits über Adminrechte verfügen. Ist das gegeben, kann er am SSL-VPN-Management-Interface ansetzen, um eigene Befehle auszuführen, erläutern die Entwickler in einer Warnmeldung.

Anlässlich des Welt-Passwort-Tages am 1. Mai, hat Microsoft das Ende der Passwörter für Neukunden ausgerufen. Entsprechend hat das Unternehmen in seiner Ankündigung den "Welt-Passwort-Tag" in den "Welt-Passkey-Tag" umgetauft.

Für Bestandskunden ändert sich zunächst nichts: Sofern sie für ihr Microsoft-Konto noch ein Passwort verwenden, können sie es weiter nutzen. Allerdings steht ihnen schon seit einer Weile die Option zur Verfügung, ihr Passwort zu löschen und auf passwortlose Logins wie Passkeys umzusteigen.

Um den Umstieg zu erleichtern, hatte der Hersteller im März 2025 "moderne, einfachere Log-in- und Anmelde-Dialoge“ für Windows, Xbox, Microsoft 365 und weitere Angebote angekündigt. Die mit dem Redesign eingeführte neue Login-Logik soll einen besseren Ablauf für eine passwortlose und schlüsselfreie Nutzung ermöglichen.

Neuen Nutzern werden mehrere passwortfreie Optionen für die Anmeldung bei ihrem Konto angeboten und müssen nie ein Passwort eingeben. Ihnen werden anstelle der Eingabe eines Passworts "nur sicherere Methoden wie Passkeys, Push-Benachrichtigungen und Sicherheitsschlüssel" für den Log-in zur Wahl gestellt, schreibt das Unternehmen.

Ferner erklärt Microsoft, dass das Unternehmen die Anmeldung mit sichereren Optionen vereinfacht. Anstatt Nutzern alle möglichen Anmeldemethoden anzuzeigen, erkennt das System automatisch die beste verfügbare Methode für ein jeweiliges Konto und legt diese als Standard fest.

Der Datentransfer zwischen der EU und den USA steht erneut auf wackeligen Beinen. Nachdem der Europäische Gerichtshof (EuGH) bereits die Vorgängerabkommen "Safe Harbor" und "Privacy Shield" gekippt hatte, droht nun auch dem aktuellen "Transatlantic Data Privacy Framework" (TADPF) ein jähes Ende.

Dr. Stefan Brink beim Podcasten in der Auslegungssache

Im c't-Datenschutz-Podcast erläutern Redakteur Holger Bleich, heise-Verlagsjustiziar Joerg Heidrich und Dr. Stefan Brink die komplexe Gemengelage. Brink war bis Ende 2022 Landesdatenschutzbeauftragter in Baden-Württemberg, leitet nun das Wissenschaftliche Institut für die Digitalisierung der Arbeitswelt (wida) und kennt die Problematik aus nächster Nähe.

Das TADPF sollte den Datentransfer eigentlich endlich auf eine solide Basis stellen. US-Präsident Biden erließ dazu 2022 die Executive Order 14086, die den Zugriff von US-Geheimdiensten auf EU-Bürgerdaten einschränken und Beschwerdemöglichkeiten schaffen sollte. Doch die Umsetzung ist fragil.

Brink erläutert, dass die Executive Order jederzeit von US-Präsident Donald Trump wieder einkassiert werden könnte. Zudem ist das vorgesehene Kontrollgremium PCLOB faktisch lahmgelegt, da ihm die Mitglieder fehlen. Die EU-Kommission versucht nach Beobachtung von Bleich, die Probleme auszusitzen, doch im EU-Parlament wachse der Druck, den Angemessenheitsbeschluss aufzuheben.

Auf die Sicherheitslücken, die der Chaos Computer Club bereits einen Tag nach dem Start der elektronischen Patientenakte entdeckt und gemeldet hatte, gibt das Bundesamt für Sicherheit in der Informationstechnik auf Nachfrage von heise online eine Art Entwarnung. Denn anders als bei dem Angriff, der beim Chaos Communication Congress im Dezember öffentlich dargestellt wurde, ging es im aktuellen Fall nicht direkt um einen massenhaften Zugriff auf elektronische Patientenakten. Stattdessen brauchte es eine gezieltere Attacke, bei der die digitale Abrufbarkeit zur elektronischen Ersatzbescheinigung (eEB) durch Praxen genutzt werden konnte, um alle Daten zu erhalten, die dann wieder für einen Zugriff auf einzelne Patientenakten notwendig gewesen wären. Die Sicherheitsforscher aus dem CCC-Umfeld hatten über die ihnen bekannte Lücke das beim BSI angesiedelte CERT-Bund auch in diesem Fall am Dienstagabend vorab informiert. Daraufhin wurde gestern das eEB-Modul vorerst vom Betreiber abgeschaltet.

Bei der Einschätzung des gestern bekannt gewordenen Szenarios geht das BSI deshalb von "hohen technischen Hürden" aus. Insbesondere die Notwendigkeit von Hardware aus dem Gesundheitssystem sowie einem gültigen Identitätsnachweis sei eine Hürde, die zudem ein Aufdeckungsrisiko mit sich bringe. Allerdings gelte auch: "Die Frage, ob die für das Angriffsszenario notwendigen zusätzlichen Patienteninformationen strukturell angemessen geschützt sind, entzieht sich dem Aufgabenbereich des BSI", teilt eine Sprecherin der Bonner Behörde auf Anfrage mit. Die IT-Sicherheitsbehörde weist zudem darauf hin: "Das BSI hatte auf ein bestehendes Restrisiko für gezielte Angriffe auf die ePA durch ein solches potentielles Szenario hingewiesen und seine Stakeholder darüber vor dem bundesweiten ePA-Rollout informiert."

Damit sieht das BSI die Verantwortung klar bei den Betreibern der Infrastruktur der elektronischen Patientenakte: "Der bundesweite Rollout der ePA wird von unseren Sicherheitsteams gemeinsam mit dem BSI eng begleitet", hatte der Geschäftsführer der Gematik gestern erklärt, deren Hauptgesellschafter der Bund ist. Das Bundesamt für Sicherheit in der Informationstechnik ist zwar nach den einschlägigen Regelungen des Sozialgesetzbuchs V in die Erstellung der Technischen Richtlinien eingebunden.

Doch anders als vermutet werden könnte, ist dort nur ein "Benehmen" vorgesehen, das mit dem BSI hergestellt werden muss. Echte Prüf- oder Genehmigungspflichten würden aber mit der Formulierung des "Einvernehmens" juristisch vorgesehen. Dann dürfte das BSI dem Betreiber etwa auch den Betrieb untersagen oder Anforderungen eigenständig verschärfen. Im Zuge des starken politischen Willens dazu, die ePA trotz möglicher Bedenken nach 20 Jahren Diskussion endlich an den Start zu bekommen, wurden solche Mittel für Datenschutzbehörden oder BSI jedoch ausgeschlossen.

Infolge der im Dezember öffentlich gemachten strukturellen Sicherheitslücke war das BSI vom Bundesgesundheitsministerium zu einer sogenannten Sicherheitsbewertung aufgefordert worden. Diese werde von den IT-Sicherheitsspezialisten aus Bonn auch weiterhin aktualisiert, heißt es aus dem BSI. Allerdings sind diese Bewertungen für die Gematik nicht verpflichtend umzusetzen. "Aus der Sicherheitsbewertung ergibt sich, dass bei vollständiger Implementierung aller Mitigationsmaßnahmen ein angemessen sicherer Betrieb der elektronischen Patientenakte gewährleistet ist", erklärt die BSI-Sprecherin. Für die Implementierung allerdings bleibt weiterhin die Gematik als Betreiber der Infrastruktur und Ersteller der technischen Spezifikationen zuständig.

Trotz zusätzlicher Sicherheitsmaßnahmen weist die seit Dienstag für alle gesetzlich Versicherten verfügbare elektronische Patientenakte (ePA) weiterhin Schwachstellen auf. Am Mittwoch teilte die Gematik mit, sie habe mit einer "Sofortmaßnahme" eine weitere Sicherheitslücke geschlossen.

Hintergrund sind neue Erkenntnisse von Sicherheitsexperten aus dem Umfeld des Chaos Computer Clubs (CCC). Zusammen mit Christoph Saatjohann, Professor für IT-Sicherheit an der FH Münster, hatten Bianca Kastl und Martin Tschirsich entdeckt, dass sich die Anschrift und der Versicherungsbeginn über die elektronische Ersatzbescheinigung (eEB) abfragen lassen. Diese ist für Patienten gedacht, die ihre Gesundheitskarte vergessen haben. Damit ließ sich eine Sicherungsmaßnahme umgehen, die den unbefugten Zugriff verhindern soll.

Um auf eine Patientenakte zuzugreifen, benötigt man neben einem Zugang zur Telematikinfrastruktur die Krankenversichertennummer und die Gesundheitskartennummer des Patienten sowie einen Hashwert. Diese "Hash Check Value" (HCV) wird aus dem Versicherungsbeginn, der Straße und Hausnummer des Versicherten errechnet. Die Idee ist, dass diese Daten nur über den Chip auf der Gesundheitskarte zugänglich sind. Dem ist aber offenbar nicht so: Die Daten werden unter anderem über den KIM-Dienst versendet.

Saatjohann erstellte laut einem Bericht des Spiegel ein Programm, mit dem diese Daten bei mehreren Krankenkassen abrufbar waren, darunter die Techniker Krankenkasse und die Barmer. Die Schnittstelle für elektronische Ersatzbescheinigungen ist relativ neu und bisher optional, daher unterstützen viele Praxisanwendungen sie bisher nicht. Saatjohann erwartet, dass sich dies ändern wird, wodurch Angreifer fertige Software nutzen könnten, um den Aufwand zu verringern.

"Gerade die großen Kassen bieten das Verfahren [die elektronische Ersatzbescheinigung, Anm. d. R.] schon seit vergangenem Jahr an. Vor dem Hintergrund, dass die elektronische Ersatzbescheinigung ab Juli 2025 von Krankenkassen verpflichtend anzubieten ist, haben die meisten Kassen diese bereits umgesetzt." Das Verfahren für die Ersatzbescheinigungen sei seit 2023 bekannt, sodass Angreifer genug Vorlauf gehabt hätten. Betroffenen, deren Anschrift und Versicherungsbeginn Dritten bekannt würden, bliebe nur der Umzug oder Kassenwechsel. "Das kann es nicht sein", meint Tschirsich.

Obwohl viele Daten mittlerweile drahtlos in die Cloud fliegen, stöpseln Smartphone-Nutzer ihre Geräte noch immer häufig per USB ans Ladegerät, Auto oder Laptop. Sicherheitsexperten ist es mit einem mehrstufigen Trick gelungen, über diese Gegenstellen Daten von den Geräten abzugreifen – obwohl das seit mehr als einem Jahrzehnt nicht mehr möglich sein dürfte. Eine Hintertür fanden Florian Draschbacher und Lukas Maar von der TU Graz in der USB-Implementation bei Android und iOS.

Ladegeräte, die nicht nur Strom liefern, sondern auch Daten abzapfen oder gar Malware aufspielen: Dieses Szenario beschreibt die Angriffsmethode "JuiceJacking". Bereits im Jahr 2011 prägte der Security-Journalist Brian Krebs den griffigen Namen für die Methode, die eine Gruppe Sicherheitsforscher mit öffentlichen Ladeterminals auf der Hackerkonferenz DefCon 19 vorgestellt hatte. Wer sein Smartphone dort anschloss, dem winkte eine Warnbotschaft auf dessen Bildschirm.

Apple und Google reagierten mit mehreren Gegenmaßnahmen, vor allem mit Warnmeldungen und Bestätigungsdialogen beim ersten Anschluss eines neuen USB-Geräts. Auch behoben die Hersteller Sicherheitslücken in den Mobil-Betriebssystemen, um Malware-Verbreitung per JuiceJacking zu vereiteln.

Die Neuauflage, von ihren österreichischen Entdeckern ChoiceJacking getauft, kann diese Gegenmaßnahmen jedoch teilweise überwinden. Dazu bedienen sich die Grazer Forscher eines zweiten Eingabekanals, nämlich eines ebenfalls gefälschten Bluetooth-Eingabegeräts. Wie die Doktoranden herausfanden, erlaubten iOS und Android einem frisch angesteckten USB-Gerät zwar nicht, Daten auszulesen, wohl aber Eingaben zu tätigen.

Diesen Umstand nutzten Draschbacher und Maar aus, um eine Bluetooth-Verbindung zum präparierten Eingabegerät aufzubauen. Dieses wiederum drehte den Spieß dann um und nickte eine USB-Datenabfrage ab, und zwar in Sekundenbruchteilen. Daher der Name: Die durch den Nutzer zu treffende Auswahl (engl. choice), bestimmte Geräteverbindungen zuzulassen, wird durch den Angriff "hijacked", also entführt. Möglich macht das der USB-Modus PD (Power Delivery), der eine Umkehrung der Rollen zwischen angestecktem Peripheriegerät und Host-Gerät gestattet.

Mehr als 400 IT-Sicherheitsexperten haben inzwischen einen offenen Brief der Electronic Frontier Foundation (EFF) unterzeichnet. Darin fordern die Unterzeichner die US-Regierung auf, den ehemaligen Chef der US-amerikanischen Cyber-Sicherheitsbehörde CISA Chris Krebs "in Ruhe zu lassen". US-Präsident Donald Trump hatte zuvor dem Unternehmen, bei dem Krebs nun arbeitet, Sicherheitsfreigaben entziehen lassen und eine Untersuchung von Krebs' Amtsführung angeordnet.

Nachdem Krebs in seiner Rolle als CISA-Chef die Behauptungen von US-Präsident Donald Trump bezüglich der vermeintlich "durch Joe Biden gestohlenen Wahl" im Jahr 2020 nicht gestützt hatte, feuerte der damalige und jetzige US-Präsident ihn kurzerhand über Twitter (heute X). Nach dem erneuten Amtsantritt 2025 hat Trump den Mitarbeitern der IT-Sicherheitsfirma SentinelOne die Sicherheitsfreigaben entzogen – dort war Krebs inzwischen beschäftigt. Mitte April hat Krebs nun SentinelOne verlassen, wie etwa Reuters berichtete, und postete eine E-Mail auf der Webseite des Unternehmens: "Dies ist meine Auseinandersetzung, nicht die des Unternehmens."

Die EFF hat nun einen offenen Brief an US-Präsident Trump gerichtet. "Politische Vergeltung für das Aufdecken der Wahrheit schwächt die gesamte Infosec-Community und bedroht unsere Demokratie", heißt es in dem Schreiben. "Wenn der Präsident Krebs und SentinelOne ins Fadenkreuz nimmt ist das eine Warnung für Cybersicherheitsexperten, deren Erkenntnisse seinem Narrativ widersprechen, dass ihre Firmen und ihr Lebensunterhalt durch unberechtigte Vergeltungsmaßnahmen bedroht ist."

"Als Mitglieder des IT-Sicherheits-Berufsstandes und der Informationssicherheits-Community verteidigen wir mit Nachdruck unsere berufliche Verpflichtung, wahrheitsgemäße Ergebnisse zu melden, auch – oder gerade – dann, wenn sie nicht in das Schema der Mächtigen passen. Und wir stehen an der Seite von Chris Krebs, weil er genau das tut", betonen die Unterzeichner des Briefes weiter. "Eine unabhängige Infosec-Community ist von grundlegender Bedeutung für den Schutz unserer Demokratie und für den Berufsstand selbst."

Am Dienstag überschritt die Liste der Unterzeichner die Marke von 400 IT-Sicherheitsspezialisten. Es handle sich um "herausragende Persönlichkeiten aus der Wissenschaft, der Zivilgesellschaft und dem Privatsektor", erklärt die EFF. Dazu zählen Professoren insbesondere aus dem Informatikbereich von verschiedenen Universitäten, sowie ehemalige Mitarbeiter im Ruhestand von namhaften Unternehmen.

Dells PowerProtect Data Manager und diverse Laptopmodelle sind verwundbar. In aktuellen Versionen haben die Entwickler mehrere Softwareschwachstellen geschlossen. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.

In einer Warnmeldung führen die Entwickler aus, dass PowerProtect Data Manager über mehrere Lücken in Komponenten von Drittanbietern wie Golang und Spring Framework, aber auch über Lücken in der Anwendung selbst angreifbar ist. Sind Attacken erfolgreich, können sich Angreifer etwa mit lokalem Zugriff und niedrigen Rechten höhere Nutzerrechte verschaffen (CVE-2025-23375 "hoch").

Die Entwickler versichern, die Lücken in PowerProtect Data Manager 19.19.0-15 geschlossen zu haben.

Aufgrund von mehreren Schwachstellen (CVE-2025-530033 „hoch“, CVE-2025-530034 „hoch“) im Qualcomm-Chipset-Treiber sind Attacken auf diverse Laptop-Serien vorstellbar. Die betroffenen Modelle sind in einem Beitrag aufgelistet. Hier können Angreifer Speicherfehler auslösen. Das führt in der Regel zu Abstürzen. Darüber kann aber auch oft Schadcode auf Systeme gelangen. Der Treiber 2.1.0.30 schafft Abhilfe.

Frankreich wirft Russland offiziell vor, Cyberangriffe auf Einrichtungen des Landes auszuführen, um es zu destabilisieren. Dutzende französische Einrichtungen seien seit 2021 attackiert worden.

Das französische Außenministerium hat die Vorwürfe explizit gegen den russischen Militärgeheimdienst GRU erhoben. Seit 2021 habe dieser dutzende Einrichtungen wie Ministerien, Behörden, zivile Unternehmen und auch Sportorganisationen, die bei den Olympischen sowie Paralympischen Spielen 2024 beteiligt waren, angegriffen, um Frankreich zu destabilisieren. Die Attacken gingen demnach von der GRU-Cyber-Gruppierung APT28 von Rostow am Don in Südrussland aus. Die Vorwürfe westlicher Nationen gegen Russland sind nicht neu, allerdings handelt es sich erstmals um Vorwürfe aus Paris gegen Russland basierend auf eigenen Geheimdienst-Erkenntnissen. Ein Dokument des französischen CERT liefert weitere Details zu beobachteten Angriffen von APT28.

Das Außenministerium Frankreichs erklärte in einer Stellungnahme, dass die APT-28-Angriffe sogar bis ins Jahr 2015 zurückreichen, wo etwa der Fernsehsender TV5 Monde aufgrund einer Cyberattacke ausgefallen ist. Damals reklamierten mutmaßliche Mitglieder der Terrorgruppe Islamischer Staat die Täterschaft. Den französischen Erkenntnissen zufolge steckte jedoch APT28 hinter den Angriffen. Sie versuchten zudem, den Wahlprozess 2017 zu destabilisieren.

Russland setze APT28 auch ein, um im Rahmen des russischen Angriffskriegs auf die Ukraine die Infrastruktur zu stören. Zahlreiche europäische Partner seien ebenfalls ins Visier der Cybergruppierung geraten. Die EU reagierte mit Sanktionen gegen Personen und Organisationen, die für die Angriffe der Gruppe verantwortlich sind.

"Diese destabilisierenden Aktivitäten sind inakzeptabel und eines ständigen Mitglieds des Sicherheitsrats der Vereinten Nationen unwürdig. Sie stehen auch im Widerspruch zu den UN-Normen für verantwortungsvolles staatliches Verhalten im Cyberraum, die von Russland unterzeichnet wurden", stellt das französische Außenministerium klar. Frankreich sei fest entschlossen, mit seinen Partnern alle zur Verfügung stehenden Mittel zu nutzen, um Russlands böswilliges Verhalten im Internet vorherzusehen, Abschreckung zu betreiben und "gegebenenfalls darauf zu reagieren".

Die heimliche Entdeckung und Ausnutzung von Zeroday-Lücken wird überwiegend aus Steuergeld finanziert. Das legt eine Jahresanalyse der Google Threat Intelligence Group (GTIG) nahe, die zwei Drittel aller aktiv ausgenutzten 0days im Jahr 2024 auf staatliche Akteure zurückführt.

Zeroday (auch 0day) bezeichnet besonders gefährliche Sicherheitslücken: Sie werden ausgenutzt, bevor der Hersteller des angegriffenen IT-Produkts überhaupt weiß, dass er ein Sicherheitsproblem hat. Entsprechend gibt es keine Updates, die das Loch stopfen sollen. Ein zweiter Vorteil für Angreifer ist, dass sie sich oft längerfristig beim Opfer einnisten können.

Daher sind Informationen über solche Lücken auf dem Schwarzmarkt viel Geld wert, was eine unappetitliche Branche an 0day-Anbietern gezeitigt hat. Sie leben offenbar überwiegend von Steuergeld und müssen sich daher kaum vor Strafverfolgung fürchten.

2024 hat die GTIG 75 aktiv ausgenutzte Zerodays aufgespürt. Das ist zwar weniger als die 98 des Jahres 2023, aber mehr als der Durchschnitt der fünf Jahre 2019 bis 2023 (63,6). Die Tendenz bleibt also steigend. Für 34 der 75 0days konnten Googles Experten 34 mit hoher Wahrscheinlichkeit die dahinter stehenden Organisationen ausfindig machen. Das geht aus dem am Dienstag veröffentlichten Jahresbericht hervor.

Er sagt, dass zehn der 34 direkt für staatliche Spionage eingesetzt wurden, davon die Hälfte durch die Volksrepublik China. Russland, Südkorea und drei weitere Geheimdienste unbekannter oder ungenannter Provenienz komplettieren diese zehn. Hinzu kommen fünf weitere 0days, die von Nordkorea eingesetzt wurden, wobei dort das Motiv Raub zumindest gleichwertig mit Spionagezielen einzustufen ist.

Apple-Nutzer sollten umgehend prüfen, ob ihre AirPlay-tauglichen Geräte auf dem neuesten Software-Stand sind. Sicherheitsforscher haben am Dienstag erste Details zu mehreren, gravierenden Schwachstellen im AirPlay-Protokoll genannt. Diese "AirBorne" genannten Lücken können es Angreifern erlauben, AirPlay-fähige Geräte zu kompromittieren – wenn sie sich im selben WLAN befinden, wie die Sicherheitsfirma Oligo warnt. Für Apple-Geräte wie iPhones, iPads und Macs liegen seit Ende Januar Updates vor, um die Lücken zu schließen. Nach Angaben des Herstellers sind diese ab iOS 18.3 und macOS 15.3 beseitigt, für ältere Betriebssysteme und Geräte veröffentlichte Apple parallel ebenfalls Patches.

Auf Apple-Geräten ließen sich die AirPlay-Schwachstellen nur ausnutzen, wenn Nutzer die Standardeinstellungen geändert haben, betonte das Unternehmen gegenüber dem Magazin Wired. Nähere Details wurden dort nicht genannt: Vermutlich geht es um Änderungen in "Einstellungen > Allgemein > AirPlay & Integration". Nutzer, die ihr Gerät als AirPlay-Empfänger freigegeben haben, sollten prüfen, ob dies auf den eigenen Apple-Account beschränkt bleibt ("AirPlay erlauben für: Aktueller Benutzeraccount") und nicht "für alle" freigegeben ist.

Während sich iPhones & Co leicht patchen lassen und viele Nutzer die Apple-Updates gewöhnlich zügig einspielen, bleiben andere AirPlay-Geräte ein Problem. Die Zahl der AirPlay-fähigen Gerätschaften von diversen Herstellern, darunter Lautsprecher und Fernseher, bewegt sich wohl im zweistelligen Millionenbereich, so die Sicherheitsforscher. Bis hier alles gepatcht ist, werde es möglicherweise Jahre dauern – und manche Hardware bleibe wohl angreifbar. Solange ein Angreifer es schaffe, in das jeweilige WLAN zu gelangen, könne er solche AirPlay-Geräte übernehmen und etwa für weitere Attacken einsetzen. Da in solchen Accessoires mitunter auch Mikrofone integriert sind, seien Lauschangriffe zumindest denkbar.

Konkret demonstrierten die Sicherheitsforscher einen Angriff auf einen AirPlay-fähigen Bose-Lautsprecher: Ein AirBorne-Bild ersetzte dabei das Bose-Logo. Apple betonte gegenüber Wired, es gebe gewöhnlich nur begrenzte Nutzerdaten auf Smart-Home-Geräten, die dadurch betroffen sein könnten.

Auch für sein AirPlay-SDK hat Apple einen entsprechenden Patch bereitgestellt – ebenso wie für CarPlay. Das Infotainmentsystem im Auto sei über die Lücken ebenfalls angreifbar, so Oligo, allerdings müsse sich der Angreifer dafür erst mit dem Bordsystem verbinden. Andere Hersteller müssen die Patches nun ebenfalls integrieren und Nutzer letztlich daran denken, etwa ihre Lautsprecher und andere vernetzten AirPlay-Gerätschaften auf den neuesten Stand zu bringen.

Nach einem massiven Cyberangriff sind die Website sowie das Service-Portal des Landes Berlin unter der Domain berlin.de wieder erreichbar. "Vereinzelt" könne es noch zu Einschränkungen kommen, teilte die Senatskanzlei am Dienstagmorgen in Berlin mit. Zu einem Abfluss von Daten sei es nicht gekommen, auch auf die Urheber des Angriffs gebe es keine Hinweise.

Die Websites des Landes sowie des IT-Dienstleistungszentrums Berlin waren seit Freitagnachmittag offline. Die Senatskanzlei sprach auf Anfrage von einem "Überlastungsangriff", also einer "Distributed Denial of Service"-Attacke (DDos). Nach unseren Beobachtungen war die Webseite berlin.de am Freitagnachmittag und Samstag gar nicht erreichbar und am Sonntag nur eingeschränkt.

Statusmeldung von berlin.de am Sonntagnachmittag: Auch das Intranet war betroffen.

(Bild: Screenshot heise online)

Auf der zur Stunde nicht mehr erreichbare wiederhergestellten Statuswebseite status.berlin.de war am Wochenende unter anderem zu lesen, dass auch das Intranet der Stadt sowie diverse Subdomains von berlin.de betroffen waren. Zahlreiche Auskunfts- und digitale Dienstleistungen wie das Buchen von Terminen bei den Ämtern waren so nicht möglich.

Aktualisierte Softwarepakete von Docker Desktop schließen eine Sicherheitslücke, durch die Angreifer ihre Rechte im System ausweiten können. Betroffen ist die Windows-Version der Container-Softtware.

In den Release-Notes schreiben die Docker-Entwickler, dass die Version 4.41.0 eine Sicherheitslücke schließt, die Angreifern mit Zugriff auf die Maschine die Ausweitung der Zugriffsrechte ermöglicht, wenn Docker Desktop Updates installiert (CVE-2025-3224, CVSS 7.3, Risiko "hoch").

Bei einem Update versucht Docker Desktop, Dateien und Unterordner im Pfad "C:\ProgramData\Docker\config" mit erhöhten Rechten zu löschen. Standardmäßig existiert dieses Verzeichnis jedoch meistens nicht. "C:\ProgramData\" erlaubt zudem Nutzern mit einfachen Zugriffsrechten, eine bösartige "Docker\config"-Ordnerstruktur zu erstellen. Dadurch können Angreifer den privilegierten Update-Prozess dazu bringen, beliebige Systemdateien zu löschen oder manipulieren, was in erhöhten Rechten mündet.

Eine Beschreibung, wie mit Löschen von Dateien eine Rechteausweitung allgemein funktioniert, liefert die Trend Micros Zero-Day-Initiative. Die aktualisierte Fassung bringt einige weitere Neuerungen. Docker Desktop ist nun etwa in Microsofts App-Store erhältlich – was etwa dafür praktisch ist, dass der Store die lokal installierte Software selbständig aktualisiert.

Die oben verlinkten Release-Notes zählen zudem zahlreiche kleinere Bugfixes und Erweiterungen auf. Einige betreffen alle unterstützten Plattformen, etwa, dass DockerVMM eine ausufernde Anzahl offener Datei-Handles auf dem Host-System erzeugt hat. Unter macOS soll ein Fehler ausgebessert worden sein, der für eine erhöhte CPU-Last gesorgt hat. Neben dem Download und der Installation aus dem Microsoft Store bieten die Docker-Entwickler direkte Downloads der aktualisierten Docker-Desktop-Installationsdatei etwa für Windows, Windows ARM, Mac mit Apple Silicon, Intel-Mac sowie fertige Pakete für Debian, als RPM oder Arch an.

Mit dem bundesweiten Start der neuen elektronischen Patientenakte (ePA) wächst auch die Kritik an selbiger. Neben der IT-Sicherheit steht auch die Kommunikation rund um die ePA im Fokus. Bisher ist nur ein geringer Teil der Bevölkerung ausreichend informiert. Dabei sollte die ePA eigentlich für einen "mündigen Patienten" sorgen.

Ohne Informationen und Transparenz geht dies allerdings nicht. Der bundesweite Rollout und die Kommunikation rund um die ePA wird aus verschiedenen Richtungen scharf kritisiert. "Der bundesweite Start der ePA ist verfrüht, denn die technischen Sicherheitslücken sind nicht glaubhaft und nachprüfbar ausgeräumt", sagt dazu Manuel Hofmann von der Deutschen Aidshilfe gegenüber heise online. Zudem sei der Start intransparent, da Patienten nicht wissen können, "ob die jeweilige Praxis bereits auf die ePA zugreifen kann". Daher sei ein gutes Informationsangebot umso wichtiger.

Kritik an dem unzureichendem Informationsangebot kommt auch vom Verbraucherzentrale Bundesverband (vzbv). "Patient:innen müssen eine informierte Entscheidung für oder gegen die ePA treffen können. Die Aufklärung, insbesondere rund um mögliche Risiken der ePA, kam aus unserer Sicht bislang zu kurz. Eine niedrige Widerspruchsquote bei der ePA ist kein eindeutiges Zeichen für breite Zustimmung, sie kann ebenso Ausdruck mangelnder Information und Aufklärung sein. Wir erwarten, dass das Gesundheitsministerium als auch die Krankenkassen hier nachlegen", so Lucas Auer, Gesundheitsexperte beim vzbv.

Ursprünglich sollte die ePA bereits im Februar ausgerollt und nach vierwöchiger Testphase für Ärzte verpflichtend werden. Bei Ärzten hat das aufgrund verschiedenartiger Mängel für großen Unmut gesorgt, sodass es erstmal einen "Soft-Start" gibt, wie er inzwischen von den Beteiligten genannt wird. Im Oktober sollen Ärzte verpflichtet werden, ab 2026 dann mit Sanktionen.

"Betriebsorganisatorisch wird durch die erfolgte 'Ent-Pflichtung' die Herausforderung allerdings kein bisschen kleiner. Eher kommen durch die neuen Unklarheiten bei der praxisindividuellen Entscheidung, zu welchem Zeitpunkt, und ob überhaupt, man sich mit der ePA befasst, neue Kommunikations- und Organisationsherausforderungen auf die Leitungen medizinischer Versorgungszentren, beziehungsweise die der Praxen zu", ist dazu auf der Seite des Bundesverbands Medizinische Versorgungszentren zu lesen. Zudem müssten Verantwortliche in Praxen und MVZ das Überangebot an Detail-Informationen sortieren.

Die Windows-Druckertreiber von Seiko-Epson reißen eine Sicherheitslücke auf, durch die Angreifer ihre Rechte auf SYSTEM-Ebene ausweiten können. Aktualisierte Software steht bereit, die die zugrundeliegende Schwachstelle ausbessert.

In einer Sicherheitswarnung erklärt Epson, dass insbesondere die Windows-Treiber auf nicht-englischsprachigen Systemen das Problem haben. Um verwundbar zu werden, reicht auch die Umstellung der Sprache auf eine andere als Englisch aus. Es ist möglich, einige DLL-Dateien zu überschreiben, die der Druckertreiber verwaltet, wodurch alle Zugangsrechte erreicht werden (CVE-2025-42598, CVSS 8.4, Risiko "hoch").

In der CVE-Schwachstellenbeschreibung führen die Autoren aus, dass Nutzerinnen oder Nutzer dazu verleitet werden könnten, eine manipulierte DLL-Datei an einen von Angreifern vorgeschlagenen Ort im Dateisystem zu kopieren. Die bösartigen Akteure können damit beliebigen Code mit SYSTEM-Rechten auf Windows-Systemen ausführen, auf denen der Seiko-Epson-Druckertreiber installiert ist.

Epson stellt ein Programm namens "Epson Printer Driver Security Support Tool" zum Herunterladen bereit. Das kann auch der "Epson Software Updater" herunterladen. Durch die Installation des Tools soll das Sicherheitsleck abgedichtet werden.

Betroffen sind die Treiber für alle Windows-Versionen seit Windows XP. Epson listet Windows XP/XP Professional x64 Edition, Vista/Vista x64 Edition, 7/7 x64, 8/8 x64, 8.1/8.1 x64, 10/10 x64, 11 x64 sowie Windows Server 2003, 2008, 2016, 2019, 2022 und 2025 und damit viele alte Systeme auf, für die Microsoft selbst keinen Support mehr anbietet.

Der bekannte Leak-Experte und Sicherheitsforscher Guilherme Rambo hat in iOS eine problematische Lücke entdeckt, bei der sogenannte Darwin-Notifications verwendet werden können, um iPhones lahmzulegen. Der Fehler mit der CVE-ID CVE-2025-24095 wurde im Rahmen von iOS 18.4, iPadOS 18.4 und visionOS 2.4 behoben und ist ein Beispiel für ein Legacy-Problem, das erst nach einer ganzen Weile (wieder) auftaucht.

Rambo zufolge ist die entdeckte Lücke "sein Lieblingsbug", weil es "so einfach ist, einen Exploit zu implementieren". Der Angriff erfolge zudem auf eine öffentliche Legacy-API, "auf die sich immer noch viele Komponenten in Apples Kern-Betriebssystem verlassen". Darwin-Notifications sind einfacher als modernere Benachrichtigungen, die über NSNotificationCenter und NSDistributedNotificationCenter abgewickelt werden, die den meisten Entwicklern bekannt sind. Darwin-Notifications dienen unter anderem dazu, auf Low-Level-Ebene einfache Nachrichten zwischen Prozessen auszutauschen.

Der Fehler besteht nun darin, dass es lange möglich war, Darwin-Notifications auf System-Ebene zu versenden, ohne dass die Prozesse weitere Privilegien oder die von Apple zur Absicherung verwendeten Entitlements benötigen. Die größte Gefahr laut Rambo: Über Darwin-Notifications war es sogar durchführbar, mächtige Systemfunktionen wie den sogenannten "Restore in Progress"-Modus (also Apples Wiederherstellungsprozess) zu triggern. Mit einem einzigen notify_post-Befehl sei dies möglich gewesen. Da dadurch zwar der Wiederherstellungsmodus aktiviert wird, aber kein tatsächlicher Restore erfolgt, bleibt das iPhone hängen – der Nutzer muss es neu starten.

Im Rahmen eines Proof-of-Concept-Exploits (PoC), den Rambo "VeryEvilNotify" nannte, implementierte er den simplen Code im Rahmen einer Widget-Erweiterung für iOS. Diese werden regelmäßig als Hintergrundprozess vom System aufgeweckt. Damit ließ sich dann das Gerät tatsächlich "bricken": Widget ruft "Restore in Progress" auf, Nutzer startet neu, Widget läuft wieder los. Eine Art interner Denial-of-Service-Angriff, dem man nur dann entkommen kann, wenn man schnell genug ist und das Widget sofort nach Systemstart wieder löscht.

Es bleibt allerdings unklar, ob Apple solchen Code in seinen App Store gelassen hätte oder dieser durch die verwendeten Software-Scanner des Konzerns aufgefallen wäre. Rambo zufolge konnten Darwin-Notifications vor seiner Bug-Meldung empfangen und senden, ohne dass es spezielle Systemprivilegien brauchte. Zudem fehlte es an einer Möglichkeit, den Absenderprozess zu identifizieren. Rambo zufolge lief sein PoC schon mit iOS 18.3 nicht mehr, laut CVE-Meldung wurde der Bug aber in Gänze mit iOS 18.4, iPadOS 18.4 und visionOS 2.4 behoben. Gelöst wurde das Problem über das Verlangen spezifischer Entitlements auch für Darwin-Notifications. "In the wild" wurde der Exploit bislang nicht gesehen. Nutzer sollten ihr iPhone dennoch möglichst bald auf iOS 18.4.1 bringen, das eine weitere schwerwiegende Lücke schließt.

Außer der Reihe hat SAP am Freitag eine Sicherheitslücke in SAP Netweaver mit einem Patch bedacht. Es stellte sich später heraus, dass dieses Leck bereits in freier Wildbahn attackiert wird. IT-Forscher sehen derzeit noch immer hunderte verwundbare Systeme, die aus dem Internet erreichbar sind.

Die Sicherheitslücke erlaubt Angreifern aus dem Netz ohne vorherige Anmeldung, beliebigen Code einzuschleusen und auszuführen. IT-Verantwortliche sollten die Schwachstelle mit der verfügbaren Aktualisierung umgehend ausbessern, sofern das noch nicht geschehen ist. Die IT-Forscher der Shadowserver Foundation haben jedoch noch hunderte angreifbare Systeme entdeckt, die im Netz erreichbar sind.

Am Samstag konnten die Shadowserver-Mitarbeiter noch mehr als 450 IPs ausmachen, hinter denen angreifbare Netweaver-Instanzen steckten. Im zeitlichen Verlauf lassen sich interessante Einblicke gewinnen.

Bei den größten betroffenen Ländern sind die IT-Verantwortlichen offenbar aktiv geworden: Mehr als ein Viertel der anfälligen Systeme in den USA wurde seit Samstag abgesichert, in Indien fast ein Viertel, China nähert sich einer Fix-Quote von mehr als 40 Prozent an. In Australien und Deutschland sieht es hingegen eher mau aus: Eines von 30 Systemen wurde gesichert oder ist nicht mehr im Netz erreichbar, in Australien immerhin zwei von 37 – nachdem am Sonntag zunächst sogar eine verwundbare Instanz hinzugekommen war.

Admins sollten ihre SAP-Netweaver-Systeme unbedingt überprüfen und gegebenenfalls die Aktualisierung anwenden. Details zur Lücke und hilfreiche Hinweise wie Hinweise auf Angriffe (Indicators of Compromise, IOCs) finden sich etwa in einem Blog-Beitrag von Onapsis.

Derzeit ist der Cybercrime-Marktplatz BreachForums offline. Als Grund nennen die Hintermänner, dass Strafverfolger das Forum über eine Zero-Day-Sicherheitslücke gehackt und sich so Zugriff dazu verschafft haben.

Das geht aus einem Statement hervor (siehe Screenshot), das zum Zeitpunkt dieser Meldung beim Aufrufen der Website des Untergrundforums erscheint. Darin schreiben die Betreiber, dass sie Mitte April 2025 Informationen erhalten haben, dass sich "verschiedene Agenturen und andere globale Strafverfolgungsbehörden" nach dem erfolgreichen Ausnutzen einer Schwachstelle in der Forensoftware MyBB Zugriff verschafft haben.

Im Anschluss haben sie das Forum eigenen Angaben zufolge umgehend offline genommen und mit der Aufklärung des Sicherheitsvorfalls begonnen. Sie versichern, dass ihre Infrastruktur nicht kompromittiert ist und dass keine Daten abgezogen wurden. Außerdem warnen sie Nutzer vor BreachForums-Klonen, die von Sicherheitsforschern aufgestellte Fallen (Honeypots) sein können.

Verkehrte Welt: In der Summe liest sich das Statement so, wie von einer legitimen Firma, die einen IT-Sicherheitsvorfall erlitten hat.

Die Bordbetreiber entschuldigen sich bei ihrer Community für die intransparente Kommunikation zu dieser Zeit und versichern, dass die Sicherheit ihrer Nutzer die oberste Priorität habe. Onlinekriminelle haben sich in den vergangenen Jahren leider extrem professionalisiert. Sie richten sich etwa am Vorbild von Unternehmen inklusive Bewerbungsgesprächen und Krankengeld aus. Auch die Kommunikation klingt nach poliertem PR-Sprech.