Comretix Blog

Ab 2025 tritt in Deutschland die gesetzliche Verpflichtung zur strukturierten E-Rechnung im B2B-Bereich in Kraft. Das betrifft insbesondere Softwareentwickler und Hersteller von Faktura- oder ERP-Software, die nun ihre Produkte entsprechend anpassen müssen. Unser Workshop bietet Ihnen eine praxisnahe Anleitung, wie Sie die neuen XML-Formate des europäischen Rechnungsstandards EN16931, wie Cross Industry Invoice (CII), Universal Business Language (UBL), Factur-X und ZUGFeRD, sowie XRechnung im B2G-Bereich, unterstützen, prüfen und umwandeln können.

Anzeige

In unserem Workshop E-Rechnungspflicht: Software richtig implementieren erhalten Sie einen tiefgehenden Einblick in die Umsetzung der neuen gesetzlichen Vorgaben zur E-Rechnungspflicht. Sie beschäftigen sich mit den Rollen, den Darstellungsdetails, der Umwandlung, der Prüfung und Umsetzung der X(ML)-Rechnung. Dazu gehören praktische Übungen, in denen Sie die verschiedenen XML-Formate kennen und anwenden lernen.

Der Workshop findet vom 13. bis 17. Januar 2025 statt und richtet sich an Softwareentwickler und Projektleiter, die Software herstellen, Rechnungen erstellen oder einlesen, sowie an ERP-Softwarehersteller und Data Scientists, die Auswertungen erstellen. An drei Vormittagen (13., 15. und 17. Januar) treffen Sie sich online in der Gruppe mit dem Trainer. Für den zweiten und vierten Tag nehmen Sie Aufgaben mit, die Sie selbstständig lösen können und anschließend in der Gruppe besprechen.

Durch den Workshop führen Andreas Pelekies, technischer Erfinder des ZUGFeRD-Standards und (Co-)Autor verschiedener internationaler Standards, sowie Jochen Stärk, Diplom-Wirtschaftsinformatiker und Backend-Entwickler. Beide verfügen über langjährige Erfahrung in der Softwareentwicklung und haben sich auf Themen rund um die E-Rechnung spezialisiert.

In der Control-Panel-Software CyberPanel zur Verwaltung von (Web-)Servern wurden zwei Sicherheitslücken gemeldet. Sie erlauben Angriffe mit Cross-Site-Scripting oder das Einschleusen von Schadcode.

Anzeige

Eine der Sicherheitslücken ermöglicht Cross-Site-Scripting mittels Token oder Nutzernamen in plogical/phpmyadminsignin.php (CVE-2024-56112). Nutzern kann dadurch etwa mit manipulierten Links Code untergeschoben werden, der in ihrem Kontext ausgeführt wird. Die Entwickler haben die Lücke am 11. November im Quellcode gefixt.

Das zweite Sicherheitsleck betrifft CyberPanel vor Version 2.3.8 und erlaubt bösartigen Akteuren, nach Log-in in der Software beliebige Befehle mit Shell-Meta-Zeichen im phpSelection-Feld von der websites/submitWebsiteCreation-URI einzuschleusen und auszuführen (CVE-2024-53376).

Die Version 2.3.8 von CyberPanel erschien bereits am 1. November. Die Cross-Site-Scripting-Lücke ist in Version 2.3.9 offenbar nicht mehr dabei, ohne jedoch explizit im Changelog aufgeführt zu werden – dasselbe gilt jedoch auch für die Befehlsschmuggel-Lücke, die bereits die Vorgängerversion abdichtet.

Einige deutsche Unternehmen erhalten derzeit erheblich mehr Pakete als erwünscht. Urheber ist die russische dDoS-Bande NoName057(16), die gemeinsam mit Handlangern zu einer Aktion aufgerufen hat. Die Kriminellen erpressen dabei kein Lösegeld von Betroffenen, sondern nutzen die Angriffe als politische Botschaft.

Anzeige

In ihren Präsenzen auf der Plattform Telegram hat die von russischer Staatsräson beherrschte Gruppe mehrere Ziele bekannt gegeben, darunter der Waffenhersteller Walther und der Pressebereich des Vattenfall-Konzerns. Die Liste der Opfer wirkt wahllos, so enthält sie auch einen Hersteller von Holzwerkstoffen, Autozulieferer und ein Unternehmen für Bauchemie. Die angegriffenen Webseiten waren am Vormittag des 17. Dezember zwischenzeitlich schwer oder gar nicht erreichbar.

Am Vortag hatte sich die Paketflut unter anderem gegen zwei deutsche Bundesbehörden gerichtet: Die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) sowie die Bundesnetzagentur wurden angeblich von einer Unterstützergruppe der Russen attackiert. Die hat in ihrer Siegesmeldung offenbar etwas zu dick aufgetragen: Weder das BfDI noch dessen Hoster, das ITZBund, bemerkten Auswirkungen des Angriffs, die BfDI-Webseite war nach Aussage der Behörde durchgehend erreichbar. Die Bundesnetzagentur antwortete nicht unmittelbar auf eine Anfrage durch heise security.

Auch gegen deutsche Medien will die Gruppe offenbar vorgehen. So stellte sie mittels eines Telegram-Bots an ihre Unterstützer eine Aufgabe, 30 URLs und E-Mail-Adressen deutscher Medienunternehmen zu sammeln – bereits am 16. Dezember griff NoName057(16) die Webseiten des "nd" an.

Die Dateiübertragungssoftware CrushFTP ist verwundbar. Sind Attacken erfolgreich, können Angreifer Systeme vollständig kompromittieren. Ein Sicherheitsupdate ist schon seit November dieses Jahres verfügbar. Informationen zur geschlossenen Schwachstelle wurden aber erst jetzt veröffentlicht.

Anzeige

Wer CrushFTP nutzt, sollte sicherstellen, dass Version 10.8.3 oder 11.2.3 installiert ist. Für CrushFTP 7, 8 und 9 ist der Support ausgelaufen und diese Ausgaben bekommen keine Sicherheitsupdates mehr. Wer noch so eine Version nutzt, sollte aus Sicherheitsgründen ein Upgrade durchführen.

Weil Eingaben im Host Header fehlerhaft verarbeitet werden, kann ein Angreifer ohne Authentifizierung an der "kritischen" Lücke (CVE-2024-11986) ansetzen. Im Zuge der Attacke kann er dauerhaft Schadcode im Web-Application-Log platzieren (Stored XSS). Ruft ein Admin das Log auf, wird der Schadcode ausgeführt.

Ob es bereits Angriffe gibt, ist derzeit nicht bekannt. Unklar bleibt auch, woran Admins attackierte PCs erkennen können.

Die Verbraucherzentrale Nordrhein-Westfalen warnt vor einer aktuellen Betrugsmasche, bei der Kriminelle mit fremden Kontodaten auf Einkaufstour gehen. Schutz davor ist kaum möglich. Betroffene können sich aber wehren.

Anzeige

Im Zentrum der Kritik steht eine Paypal-Bezahloption, die sich "Zahlen ohne Paypal-Konto" nennt und auch als "Gast-Konto" oder "Gastzahlung" bekannt ist. Damit können Käufer über das Lastschrift-Verfahren zahlen, ohne dass ein Paypal-Konto angelegt wird. Dafür ist eine IBAN anzugeben. Auf die Frage, ob eine Prüfung stattfindet, ob die IBAN der bestellenden Person tatsächlich gehört, antwortete Paypal eher ausweichend gegenüber der Verbraucherzentrale: "PayPal führt im Rahmen der Maßnahmen zu Risikomanagement und Betrugsprävention Sicherheitsprüfungen bei der Abwicklung von Zahlungen durch."

In der Paypal-Community finden sich Diskussionen um den Missbrauch dieser Bezahloption. Die Verbraucherzentrale NRW hat Paypal darauf basierend befragt, warum das Unternehmen keine potenziellen Schutzmaßnahmen umsetzt. So könnten Verbraucher etwa ihre IBAN für Gastzahlungen sperren lassen oder Paypal bei Gastzahlungen einen Cent-Betrag mit einem Code im Verwendungszweck an die angegebene IBAN überweisen, den Käufer zur Verifikation angeben müssen. Eine Antwort gab es dazu jedoch nicht.

Nicht nur Paypal sei von dieser Betrugsmasche betroffen. Auch eine Discounter-App ermöglichte im Jahr 2021 durch Eingabe einer beliebigen IBAN die Zahlung, aktuell lassen zudem einige Verkehrsverbünde das Abonnement des Deutschlandtickets offenbar über beliebige IBANs zu. Die Datenherkunft der IBANs lässt sich nicht feststellen, aber es ist wahrscheinlich, dass sie etwa aus früheren Datenlecks bei Unternehmen, durch Einbrüche in Unternehmens-IT, aus Datensammlungen im Darknet oder dem Sammeln von Daten mit unseriösen Gewinnspielen stammen.

Als ITler wissen Sie recht gut, was für einen sicheren Betrieb des Unternehmens nötig wäre. Aber jetzt gilt es, die Geschäftsführung davon zu überzeugen. Dieses heise security Webinar liefert Ihnen die notwendigen Fertigkeiten, Ihrem Chef Themen aus der Informationssicherheit richtig "zu verkaufen". Wer dieses Jahr noch bucht, profitiert vom reduzierten Frühbucherpreis.

Anzeige

Die Kommunikation zwischen Sicherheitsspezialisten und Geschäftsführung scheitert oft schon an der Themenwahl; die eher technisch orientierten Fachleute finden keine gemeinsame Gesprächsebene mit den Entscheidungsträgern. Hinzu kommen fehlendes Geschick bei der Gesprächsführung und manchmal auch ungeschickt vorgebrachte Argumente.

Unsere sowohl in der Security als auch der C-Level-Kommunikation erfahrenen Referenten zeigen deshalb auf, welche Themen die Geschäftsleitung überhaupt bewegen und schlagen dann die Brücke zur Informationssicherheit. Zudem diskutieren sie, welchen Stellenwert Compliance und Co in diesem Zusammenhang haben und ob sie tatsächlich das Mittel zu einer größeren Akzeptanz der Informationssicherheit sind. Das ergänzen sie mit bewährten Techniken zur Vorbereitung und Führung eines Pitch-Gesprächs.

Das Webinar richtet sich an Sicherheits- und auch Datenschutzverantwortliche in Firmen, Organisationen und Behörden. Es handelt sich hierbei weder um eines der typisch technischen heise security Webinare noch um eine der verbreiteten Management-Schulungen. Die Referenten Christoph Wegener und Wilhelm Dolle haben zwar einen ausgeprägt technischen Background, aber auch reichlich Erfahrung in der Kommunikation mit Firmen-Chefs und Management. So können sie die Brücke schlagen und IT-Spezialisten die notwendigen Strategien und Techniken für erfolgreiche Kommunikation zu Security-Themen vermitteln.

Um unter anderem an Zugangsdaten für Onlinedienste zu gelangen, setzt die Gruppierung MUT-1224 auf eine perfide Methode: Sie schieben neben Sicherheitsforschern auch anderen Cyberkriminellen mit Malware verseuchte Fake-Security-Tools unter, die Log-in-Daten einsammeln und an sie verschicken.

Anzeige

Einem Bericht von Sicherheitsforschern von Datadog zufolge gelang das jüngst in einem Fall mit 390.000 Zugangsdaten von WordPress-Accounts. Um an die Daten zu kommen, stellten sie auf Github das mit Schadcode versehene Tool "yawpp" zum Überprüfen von Zugangsdaten zum Download. Dieses Werkzeug haben offensichtlich unzählige Cyberkriminelle und Sicherheitsforscher genutzt, sodass es hunderttausende Log-in-Daten an MUT-1224 schicken konnte.

Solche Attacken sollen die Kriminellen noch mit weiteren Tools und mit Hintertüren versehenem Proof-of-Concept-Code ausführen. Die Sicherheitsforscher gehen davon aus, dass zum jetzigen Zeitpunkt die Systeme von hunderten Opfern kompromittiert sind.

Mit Quick Share, ehemals als Nearby Share bekannt, hat Google eine Alternative zu Apples Airdrop im Programm. Um Daten sicherer mit anderen zu teilen, haben die Entwickler nun das Teilen mittels QR-Code eingeführt. Google verteilt die neue Funktion jetzt etappenweise an Endanwender.

Anzeige

Auf Wunsch kann Quick Share einen QR-Code erzeugen, den Empfänger lediglich einscannen müssen, um die geteilten Inhalte herunterzuladen.

(Bild: Screenshot / dmk)

In der Ankündigung des Android-Dezember-Updates hat Google die neue Funktion in Quick Share erläutert. Wer Bilder, Videos oder Dokumente mit anderen teilen will, kann diese einfach auswählen, das Teilen-Symbol antippen und schließlich die Schaltfläche "QR-Code" nutzen. Empfänger brauchen den QR-Code nur zu scannen, um Zugriff auf die Auswahl zu erlangen.

Microsoft hat eine neue Windows-Insider-Vorschau im Developer-Kanal herausgegeben, die Drittherstellern die Verwaltung von Passkeys im System ermöglichen soll. Außerdem erhält die Kamera-Verwaltung im System neue Einstellungen.

Anzeige

In der Versionsankündigung erklärt Microsoft die Neuerungen etwas konkreter. Demnach stellt Microsoft für Entwickler eine API für Drittanbieter-Passkey-Provider bereit. Dazu habe das Unternehmen mit Passkey-Manager-Partnern zusammengearbeitet – welche das sind, sagt Microsoft jedoch nicht.

Dazu aktualisieren Microsofts Entwickler die WebAuthn-APIs, sodass diese ein Plug-in-Authentifikations-Modell unterstützen. Neben der nativen Windows-Passkey-Verwaltung können Nutzerinnen und Nutzer "in den kommenden Monaten" einen Drittanbieter-Passkey-Provider auswählen und dabei die "Windows Hello Nutzererfahrung erhalten".

Die Nachrichten im WebAuthn-Flow werden an das Plug-in weitergereicht und die Antwort anschließend zurück an die WebAuthn-Client-App. Dadurch können Plug-ins auf Anfrage Passkeys erstellen und damit authentifizieren. Die "reibungslose Passkey-Nutzererfahrung" durch den Nutzer-Verifikationsmechanismus Windows Hello bleibe erhalten. Es solle weitere Aktualisierungen zu dieser Nutzererfahrung bezüglich der Passkey-Flows und Einstellungen zu den neuen Fähigkeiten geben. Programmierer finden detailliertere API-Informationen im zugehörigen Github-Projekt. Beim Bitwarden-Projekt wurde die API-Ankündigung bereits positiv aufgenommen. Es ist jedoch derzeit unklar, wann der Test eines Passkey-Managers startet, der die neue API-Erweiterung nutzt.

Der Anbieter dynamischer Stromtarife und dazu passender Gadgets Tibber hatte im November einen Datendiebstahl gegenüber heise security bestätigt. Jetzt hat das Have-I-Been-Pwned-Projekt die Datensätze zu den 50.002 kompromittierten Konten aufgenommen.

Anzeige

Laut des zugehörigen Eintrags vom Have-I-Been-Pwned-Betreiber Troy Hunt hat er den Datensatz direkt von "einer Quelle, die gefordert hat, als Threat Actor 888 bezeichnet zu werden", erhalten. Dieser Name tauchte bereits im November im Darknet-Angebot auf, wo die Daten zum Verkauf standen. Die Daten umfassen demzufolge Namen, E-Mail-Adressen, geografische Lokalisation in Form von Stadt und Postleitzahl sowie die Summe an Ausgaben. Der Einbruch in die Tibber-IT fand demnach am 10. November statt.

Damit bestätigt Hunt den Umfang der Daten: Tibber gab im November gegenüber heise security an, dass anders als im Darknet-Angebot angegeben nicht 243.000 Datensätze erbeutet wurden, sondern 50.000 – noch immer eine beträchtliche Anzahl. Es finden sich aber offenbar tatsächlich keine weiteren Informationen wie Passwörter, Zahlungs- oder Verbrauchsdaten. Beim Have-I-Been-Pwned-Projekt können Interessierte jetzt prüfen, ob ihre E-Mail-Adresse ebenfalls in dem Datenleck enthalten war. Kriminelle können diese Informationen etwa für authentischeres Phishing oder ähnliche Betrugsversuche nutzen.

Mitte November hat Tibber den Vorfall noch untersucht und zuständige Behörden eingeschaltet. Eine Anfrage von heise online zu Untersuchungsergebnissen konnte Tibber nicht unmittelbar beantworten. Wir reichen etwaige Informationen dazu von Tibber an dieser Stelle nach.

Der neue State of Open Source Security Report 2024 liegt vor und wirft einen besorgten Blick auf die aktuellen Trends im Bereich Software- und Supply-Chain-Security von Open-Source-Projekten.

Anzeige

Drei wesentliche Punkte identifiziert Herausgeber Snyk, Anbieter der gleichnamigen Developer-Security-Plattform, in seinem Dokument. Demnach geraten Teams durch steigende Sicherheitsanforderungen zunehmend unter Druck, was dazu führt, dass Sicherheitsmaßnahmen seltener umgesetzt werden. 52 Prozent der Teams schaffen es regelmäßig nicht, ihre SLA-Ziele (Service Level Agreement) zu erfüllen. Eine Kombination aus stagnierenden Sicherheitsmaßnahmen, fehlenden Ressourcen und wachsenden Anforderungen führt ferner zu einer Ermüdung in Sachen Anwendungssicherheit. Hier fehlt es nach Einschätzung von Snyk an nachhaltigeren Sicherheitspraktiken, um diesen Herausforderungen zu begegnen.

Unrealistische Ziele erschweren es vielen Teams, ihre SLAs einzuhalten.

(Bild: The State of Open Source Security Report 2024, snyk.com)

Microsofts Azure-Cloud bietet den Zugangsschutz mittels Mehr-Faktor-Authentifizierung (MFA) an. Bei der Umsetzung hat Microsoft bis vor kurzem jedoch einen Bock geschossen: Angreifer hätten Verfikationscodes für MFA erraten können. Inzwischen hat Microsoft das Problem gelöst.

Anzeige

Die IT-Forscher von Oasis führen in einem Blog-Beitrag aus, dass die Umgehung rund eine Stunde Zeit benötigte, keine Nutzerinteraktion erforderte und keine Benachrichtigung oder etwaige Hinweise für Kontoinhaber erzeugte. Die Angreifer hätten dann unbefugt Zugriff auf Outlook-E-Mails, Onedrive-Dateien, Teams-Chats, Azure Cloud und mehr erhalten können.

Nach der Eingabe eines gültigen Nutzernamens und Passworts werden User darum gebeten, ihre Identität zu bestätigen. Microsoft unterstützt mehrere MFA-Methoden dafür, etwa auch einen Verifikationscode eines Authenticators. In einer Session erlaubte Microsoft bis zu zehn Fehlversuche. Indem die IT-Forscher nun in schneller Folge neue Sessions erstellten und Verifikationscodes durchprobierten, war es rasch möglich, die eine Million Möglichkeiten des sechsstelligen Codes durchzuprobieren. Es ließen sich viele Versuche gleichzeitig starten.

Während dieser Versuchsperiode haben Kontoinhaber keinerlei Warnung über eine massive Anzahl von fehlgeschlagenen Versuchen erhalten, wodurch dieser Angriff sehr einfach auszuführen ist. Allerdings gibt es noch einen weiteren begrenzenden Faktor.

Admins sollten aus Sicherheitsgründen ihre Gitlab-Installation auf den aktuellen Stand bringen. Andernfalls können Angreifer an mehreren Schwachstellen ansetzen und Systeme kompromittieren.

Anzeige

In einem Beitrag schreiben die Entwickler, dass auf Gitlab.com bereits die abgesicherten Ausgaben laufen. Für selbstverwaltete Gitlab-Installation sind nun die Ausgaben 17.4.6, 17.5.4 und 17.6.2 in der Community Edition und Enterprise Edition erschienen.

Insgesamt haben die Entwickler zwölf Sicherheitslücken geschlossen. Zwei davon sind mit dem Bedrohungsgrad "hoch" eingestuft (CVE-2024-11274, CVE-2024-8233). Im ersten Fall können Angreifer durch Manipulation von Kubernetes-Proxy-Responses Accounts übernehmen. Im zweiten Fall sind DoS-Attacken vorstellbar.

Die verbleibenden Lücken sind mit "mittel" und "niedrig" eingestuft. Hier sind Zugriffe auf eigentlich abgeschirmte Informationen möglich (CVE-2024-10043). Die Entwickler raten zu einem zügigen Update. Bislang gibt es keine Berichte über laufende Attacken.

Verschiedene Computer von Dell sind verwundbar. Das geht in erster Linie auf Sicherheitslücken in Treibern zurück. Aber auch Docks und Software wie Avamar sind angreifbar. Patches sollen die Sicherheitsprobleme lösen.

Anzeige

Setzen Angreifer an mehreren Schwachstellen im Realtek-PCIe-Memory-Card-Reader-Treiber an, können sie unter anderem auf Speicherbereiche des Kernels zugreifen (CVE-2024-40431, Risiko "hoch"). Davon sind mehrere Modelle der Laptop-Serien Latitude, Precision und XPS betroffen. In einer Warnmeldung geben die Entwickler an, die Treiberversion 10.0.26100.21374 abgesichert zu haben.

Eine Lücke (CVE-2024-44074 "hoch") im Realtek-High-Definition-Audio-Treiber macht mehrere Alienware-Modelle angreifbar. Hier kann Schadcode auf Systeme gelangen. Die betroffenen PCs listet der Computerhersteller in einem weiteren Beitrag auf.

Verschiedene Docks können als Einfallstor für Angreifer dienen. Durch die Schwachstelle (CVE-2024-52537 "mittel") könne sie sich unter bestimmten Bedienungen höhere Rechte verschaffen. Die bedrohten Geräte und verfügbaren Sicherheitsupdates sind in einer Warnmeldung aufgelistet.

Dass eine Technik Fluch und Segen zugleich sein kann, wird etwa bei Tracking-Netzwerken besonders deutlich: Bösartige Individuen können damit kriminelle Machenschaften vorbereiten oder Menschen stalken, in den richtigen Händen schützt das jedoch etwa das Eigentum und hilft, es wieder aufzufinden. Google verbessert nun den Schutz in Android vor unerwünschter Nachverfolgung.

Anzeige

Vor unbekannten Trackern, die mitreisen, kann Android bereits seit über einem Jahr warnen.

(Bild: Google)

In einem Blog-Beitrag erklären Googles Entwickler, dass sie neue Funktionen in Android integrieren, um unerwünschtes Bluetooth-Tracking auszuhebeln. Android kennt die Funktion, vor unbekannten Trackern zu warnen, die in der Nähe mitreisen – bereits seit Mitte 2023. Neu sind nun Funktionen, um auf solche Warnungen zu reagieren.

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel Active Directory: Effiziente Absicherung lernen Sie die wichtigsten Angriffstechniken wie Pass the Hash und Delegierungsschwachstellen kennen. Sie erfahren, wie Sie mit Werkzeugen wie PowerView und Bloodhound sowie Audit-Tools wie PingCastle Fehlkonfigurationen und Schwachstellen in Ihrem lokalen AD identifizieren und anschließend beheben, um das Herzstück Ihrer IT effektiv gegen Angriffe zu schützen.

Anzeige

Referent des zweitägigen Workshops ist Frank Ully. Als erfahrener Pentester konzentriert er sich auf relevante Entwicklungen im Bereich der offensiven IT-Sicherheit. Frank Ully gilt als ausgewiesener Experte auf seinem Gebiet und verfügt über zahlreiche Zertifikate wie Offensive Security Certified Expert (OSCE), Offensive Security Certified Professional (OSCP), Certified Red Team Operator (CRTO), Certified Red Team Professional (CRTP) und GIAC Reverse Engineering Malware (GREM).

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Angriffe auf und Absicherung von Entra ID.

Rund 30.000 Geräte sind deutschlandweit mit der Malware BadBox infiziert. Dazu zählen Internet-of-Things-Geräte wie digitale Bilderrahmen oder Mediaplayer – die waren ab Werk mit der Schadsoftware ausgestattet; es sollen aber auch Smartphones und Tablets auf internationaler Ebene betroffen sein. Deren Kommunikation mit den Command-and-Control-Servern der kriminellen Hintermänner konnte das BSI nun unterbrechen.

Anzeige

Das BSI teilt am Donnerstag der Woche mit, dass in allen dem BSI bekannten Fällen bereits beim Kauf auf den jeweiligen Geräten – die typischerweise mit veralteten Android-Versionen daherkommen – die BadBox-Malware installiert war. Die Malware bietet eine Reihe Funktionen für die Drahtzieher an, mit denen sie Schaden anrichten können.

BadBox kann unbemerkt Konten für E-Mail- und Messenger-Dienste erstellen, über die etwa Fake-News verbreitet werden. Werbebetrug hat die Malware ebenfalls als Funktion eingebaut; sie kann im Hintergrund Webseiten ansurfen. Sie kann zudem als sogenannter Residential Proxy dienen, wodurch meist Kriminelle ihre Herkunft verschleiern. Die führen darüber dann illegale Aktionen wie Cyberangriffe oder Verbreitung illegaler Inhalte aus. Ins Visier von Strafverfolgern landen dann die IP-Adressen derjenigen, die solche infizierten Geräte betreiben.

Das BSI konnte nun mit einer sogenannten Sinkholing-Maßnahme die Kommunikation zwischen infizierten Geräten und Kontrollservern abwürgen. Dabei registriert die Behörde die für die Kommunikation der Malware genutzten Domains und leitet die Nachrichten auf eigene Server um.

Produkte "mit digitalen Elementen" wie Software dürfen in der EU bald nur noch auf den Markt kommen, wenn sie Mindestanforderungen an Cybersicherheit einhalten. Dies sieht der Cyber Resilience Act (CRA) vor, der am Mittwoch in Kraft getreten ist. Hersteller haben damit bis zu 36 Monate – also bis zum Dezember 2027 – Zeit, vernetzte Produkte an die neuen Vorgaben anzupassen. Diese müssen dann in der Regel mindestens fünf Jahre lang mit Sicherheitsupdates versorgt werden. Den Herstellern obliegt es, über den gesamten Lebenszyklus ihrer Produkte und Anwendungen die Verantwortung für deren Cybersicherheit zu übernehmen ("Security by Design"). Die Verordnung zur Cyber-Widerstandsfähigkeit verpflichtet auch Importeure und den Handel. Produkte, die das bekannte CE-Kennzeichen tragen, müssen künftig generell gegen IT-Angriffe gesichert sein.

Anzeige

Bereits ab September 2026 müssen EU-Hersteller zudem aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle im Zusammenhang mit ihren digitalen Produkten den zuständigen Behörden wie hierzulande dem Computer Security Incident Response Team (CSIRT) des Bundesamts für Sicherheit in der Informationstechnik (BSI) melden. Die Liste der erfassten Geräteklassen und Software ist lang. Sie reicht von Computern und Servern über Babyphones bis zu "smarten" Türklingeln. Ein Schwerpunkt liegt auf dem Internet der Dinge sowie auf "Plaste-Routern", die aufgrund vieler eingebauter Sicherheitslücken bislang häufig einfach angreifbar sind. Das reine Verfügbarmachen von Open-Source-Software wird nicht erfasst, solange die Hersteller damit keinen Gewinn erzielen wollen. Ausgenommen ist auch freie Software, die von einer öffentlichen Verwaltung ausschließlich für die eigene Verwendung entwickelt wird.

Beim CRA handelt es sich um eine Verordnung, die im Rahmen der vorgesehenen Übergangsfristen direkt in allen EU-Mitgliedsstaaten Geltung erlangt. Die Politik muss hierzulande aber etwa noch eine nationalen Marktaufsichtsbehörde benennen, die die Einhaltung der Vorgaben durch Hersteller und Händler gewährleistet. Dafür bringt sich das BSI in Stellung. "Als zentrale Cybersicherheitsbehörde des Bundes verfügen wir über umfassende Erfahrung mit Blick auf die Absicherung digitaler Produkte und Prozesse", betont der Vizepräsident des Bonner Amtes, Gerhard Schabhüser.

Die produktbezogenen Anforderungen des CRA und des vom BSI vergebenen IT-Sicherheitskennzeichens deckten sich auch bereits zu großen Teilen. Um die Anforderungen der Verordnung plastisch zu machen, hat das Amt eine technische Richtlinie (TR-03183) veröffentlicht. Bereits am Sonntag ist die reformierte Produkthaftungsrichtlinie in Kraft getreten, die Schadenersatzansprüche bei fehlerhaften Artikeln auch im IT-Bereich vorsieht.