Comretix Blog

Verschiedene Komponenten in IBMs IT-Sicherheitslösung QRadar SIEM sind verwundbar. Nutzen Angreifer die Schwachstellen erfolgreich aus, können sie unter anderem DoS-Zustände erzeugen, sodass Dienste abstürzen. Fällt dadurch der eigentlich durch die Anwendung versprochene Schutz weg, kann das fatale Folgen haben.

Auch wenn es bislang keine Berichte zu Attacken gibt, sollten Admins mit der Installation der Sicherheitsupdates nicht zu lange zögern. In einer Warnmeldung geben die Entwickler an, dass konkret die Versionen 7.5 bis einschließlich 7.5.0 UP13 IF01 angreifbar sind. Sie versichern, die Ausgabe QRadar 7.5.0 UP13 IF02 repariert zu haben.

Den Beschreibungen zufolge ist die Anwendung nicht direkt, sondern über Sicherheitslücken in Komponenten wie dem Linux-Kernel attackierbar. Die geschlossenen Sicherheitslücken sind mit dem Bedrohungsgrad "hoch" eingestuft. Angreifer können primär Speicherfehler erzeugen und so Instanzen abstürzen lassen (etwa CVE2025-49083). Im schlimmsten Fall kann aber auch Schadcode auf Systeme gelangen und diese kompromittieren. Wie solche Attacken im Detail ablaufen könnten, ist derzeit unklar.

Über den Linux-Kernel hinaus sind noch Komponenten wie CPython, Cryptography und Podman verwundbar. Weiterhin haben die Entwickler noch eine Softwareschwachstelle (CVE-2025-0164 "niedrig") in QRadar SIEM direkt geschlossen, erläutern sie in einem Beitrag. Dafür muss ein Angreifer aber schon über bestimmte Rechte verfügen. Ist das gegeben, kann er die Konfiguration verändern.

Erst Ende August dieses Jahres haben die IBM-Entwickler QRadar SIEM gegen mögliche Attacken abgesichert. In diesem Fall konnten sich Angreifer höhere Nutzerrechte verschaffen.

Die berüchtigte Cybercrime-Bande "Scattered Lapsus$ Hunters" zieht sich vorerst aus dem kriminellen Geschäft zurück. Das behauptet sie zumindest in einer Stellungnahme, die auf einer der Domains des mittlerweile abgeschalteten Untergrundforums "Breach Forums" veröffentlicht wurde. Szenekundige halten das Statement für authentisch, doch in sozialen Medien brüstet die Gruppe sich weiter mit Angriffen. Ein besonders vergiftetes Abschiedsgeschenk macht sie Strafverfolgern.

"Wie ihr wisst, waren die letzten Wochen hektisch", schreiben die unbekannten Verfasser und listen vermeintliche und tatsächliche Opfer auf. Strafverfolger wie Unternehmen verspotten die Autoren und deuten verschiedene bekannte, aber auch unveröffentlichte Datenlecks an. Sie drücken den Angehörigen der inhaftierten Gruppenmitglieder von Lapsus$, Scattered Spider und ShinyHunters aus und kündigen dann an: "Unsere Ziele sind erfüllt, es ist nun Zeit, sich zu verabschieden". Einige Mitglieder könnten sich jetzt auf den Millionen ausruhen, die durch Erpressung und Sabotage zusammengekommen seien, andere würden weiter forschen.

Tatsächlich erschienen in einem der Social-Media-Kanäle der Gruppe kurz nach der Ankündigung liebevoll mit MS Paint bearbeitete Screenshots offenbar interner Systeme verschiedener US-Behörden. Auch einen Angriff auf die britische National Crime Agency (NCA) deutete das vorerst letzte Posting der Bande an. Offenbar ist ein Teil der Gruppierung noch nicht bereit, den Ruhestand anzutreten.

Ganze Arbeit hat der Designbeauftragte von Scattered Lapsus$ Hunters geleistet: Der sorgfältig redigierte Screenshot zeigt offenbar eine interne Eingabemaske des FBI-Abfragesystems NICS.

(Bild: Telegram)

Viele Softwareentwicklungsteams verwenden Container-Images aus offiziellen Registries wie Docker Hub. Diese Images enthalten häufig viele Komponenten. Scanner wie Trivy oder Grype finden dann sehr viele CVEs (siehe Teil 1 dieser Serie), ob zu Recht (True Positives) oder als Fehlalarme (False Positives). Obgleich offizielle Images meist kostenlos sind, kann die Prüfung (Triage) aller gemeldeten CVE darin ein Kostentreiber sein – sofern das Team nicht riskieren will, auf die Suche tatsächlich ausnutzbarer CVEs zu verzichten.

Minimale Container-Images – auch als "distroless", "gehärtete" oder "chiseled" bekannt – bieten eine Lösung für dieses Problem. Unter dem Motto "weniger Komponenten bedeuten weniger Schwachstellen" verzichten sie auf alle Komponenten (etwa Shells oder Paketmanager), die zur Laufzeit normalerweise nicht gebraucht werden, um die Angriffsfläche zu reduzieren.

Anhand einer Gegenüberstellung der Vor- und Nachteile sowie einer Liste von kostenlosen und kostenpflichtigen minimalen Images für die Anwendungsfälle Basis-Linux, PHP, Python, Java, C#/.NET und Node.js, soll dieser Artikel DevOps-Teams bei der Auswahl geeigneter Container-Images helfen.

Minimale Images enthalten nur die absolut notwendigen Komponenten, um die eigentlichen Basis-Funktionen auszuführen (beim postgres-Image ist etwa der PostgreSQL-Server die Basis-Komponente). Ziel ist, die Angriffsfläche für Hacker so weit wie möglich zu reduzieren (siehe Abbildung 1) und Komponenten auszuschließen, etwa:

Angreifer können mehrere Sicherheitslücken in Ciscos System IOS XR ausnutzen. Dieses System dient unter anderem für Router der ASR-9000-Serie als Basis. Bislang gibt es keine Berichte über Attacken.

Die Entwickler versichern, die Lücken in den IOS-XR-Versionen 24.2.21, 24.4.2, 25.1.1, 25.1.2 und 25.2.1 geschlossen zu haben. Cisco gibt an, dass es für die folgenden Ausgaben keine Sicherheitsupdates gibt: 7.10, 7.11, 24.1, 24.3 und 24.4.

Am gefährlichsten gilt eine DoS-Lücke (CVE-2025-20340 "hoch"), die sich in der Implementierung des Address Resolution Protocols (ARP) findet. An dieser Stelle können Angreifer ohne Authentifizierung das Managementinterface mit Anfragen überfluten, sodass Instanzen überlastet und nicht mehr nutzbar sind.

Setzen Angreifer erfolgreich an einer weiteren Schwachstelle (CVE-2025-20248 "mittel") an, können sie .iso-Images manipulieren, die dann installiert werden. Dafür müssen sie aber eine große Hürde überwinden und bereits als Root-Nutzer an verwundbaren Systemen angemeldet sein.

Über die dritte Schwachstelle (CVE-2025-20159 "mittel") können Angreifer Access Control Lists (ACL) umgehen.

Wiederholt ist eine Schwachstelle in bestimmten Firewalls von SonicWall im Visier von Angreifern. Sicherheitsupdates sind bereits seit rund einem Jahr verfügbar, aber offensichtlich weiterhin nicht flächendeckend installiert.

Die "kritische" Sicherheitslücke (CVE-2024-40766) ist seit August vergangenen Jahres bekannt. Bereits im September 2024 kam es zu ersten Attacken. Im Oktober gleichen Jahres nutzten dann die Ransomwarebanden Akira und Fog die Schwachstelle aus.

Im August dieses Jahres sorgten dann erneut Attacken auf SonicWall-Firewalls für Schlagzeilen. Sicherheitsforscher vermuteten erst eine Zero-Day-Lücke als Ansatzpunkt für Angreifer. Es stellte sich aber relativ schnell heraus, dass die Lücke aus 2024 erneut ausgenutzt wurde.

Wie aus der initialen Warnmeldung von SonicWall hervorgeht, sind von der Schwachstelle in der SSLVPN-Komponente bestimmte, in dem Beitrag aufgelistete Firewalls der Gen-5-, Gen-6- und Gen-7-Serie betroffen. Die Lücke ist ab den Versionen 5.9.2.14-13o, 6.5.2.8-2n (für SM9800, NSsp 12400, NSsp 12800), 6.5.4.15.116n (für andere Gen6-Firewall-Appliances) und 7.0.1-5035 geschlossen.

Sind Attacken erfolgreich, können Angreifer Instanzen abstürzen lassen und sich unbefugten Zugriff verschaffen. Neben der Installation der Sicherheitsupdates sollten Admins auch die Zugangsdaten ändern. Außerdem sollte sichergestellt sein, dass die Multi-Faktor-Authentifizierung (MFA) eingeschaltet ist.

In Großbritannien stecken Schüler oder Schülerinnen hinter mehr als der Hälfte der von Insidern ausgeführten Cyberattacken auf Schulen. Das hat eine Analyse der britischen Datenschutzbehörde ergeben, die über 200 Vorfälle aus der Zeit zwischen Januar 2022 und August 2024 ausgewertet hat. Bei knapp einem Drittel der Vorfälle waren demnach entwendete Zugangsdaten ursächlich für eine Datenschutzverletzung, und die seien zu 97 Prozent auf Kosten von Kindern oder Jugendlichen gegangen. Das Information Commissioner's Office (ICO) spricht von einem besorgniserregenden Trend und ergänzt, dass Nachlässigkeiten vonseiten der Schulen einen erheblichen Anteil an dem Problem hätten. Die sollten deshalb ihre Cybersicherheit verstärken.

Dabei nennt die Behörde einige Beispiele. So hätten sich drei 11-Jährige unrechtmäßig Zugang zu einem System ihrer weiterführenden Schule verschafft, in dem Daten zu mehr als 1400 Schülern vorgehalten wurden. Im Nachhinein hätten sie erklärt, sich für IT und Cybersicherheit zu interessieren. Sie hätten ihre Fähigkeiten testen wollen und Werkzeuge aus dem Internet benutzt, um Passwörter zu knacken. In einem anderen Fall habe ein Schüler genauso einen Zugang benutzt, Informationen in einer Datenbank zu 9000 Beschäftigten, Bewerbern und Schülern nicht nur einzusehen, sondern zu ergänzen und abzuändern. Der Fall landete demnach bei der Polizei.

Die Behörde fordert Schulen jetzt auf, "Teil der Lösung zu sein" und mehr für Datenschutz und Cybersicherheit zu tun. Aber auch Eltern sollten ihre Rolle wahrnehmen und regelmäßig mit ihren Kindern darüber sprechen, was diese online tun. Was spaßig wirke, könne sich schnell in "illegale und schädliche Aktivität" mit weitreichenden Konsequenzen ausarten. Das kann offenbar auch früher anfangen, als man denken sollte. So habe die britische Kriminalpolizei NCA ermittelt, dass jedes fünfte Kind zwischen 10 und 16 Jahren online illegal aktiv sei. Zu einem Programm, das auf die schiefe Bahn geratenen Menschen mit weitreichenden IT-Kenntnissen helfen soll, sei erst vor einem Jahr sogar ein gerade einmal sieben Jahre altes Kind vermittelt worden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Angreifer können an sechs Sicherheitslücken in der Softwareentwicklungsplattform GitLab ansetzen und Systeme attackieren. Die Entwickler geben an, die Schwachstellen geschlossen zu haben. Ihren Angaben zufolge laufen auf GitLab.com bereits gepatchte Versionen.

Admins von On-Premise-Instanzen müssen tätig werden und eine der reparierten Ausgaben von GitLab Community Edition (CE) und Enterprise Edition (EE) 18.1.6, 18.2.6, 18.3.2 installieren. Wie aus einer Warnmeldung hervorgeht, sind zwei Schwachstellen (CVE-2025-2256, CVE-2025-6454) mit dem Bedrohungsgrad "hoch" eingestuft. Im ersten Fall können Angreifer im Kontext von SAML-Responses DoS-Zustände auslösen. Im anderen Fall müssen Angreifer bereits authentifiziert sein. Dann können sie der Beschreibung zufolge bestimmte Anfragen im Proxy-Kontext manipulieren.

Durch das erfolgreiche Ausnutzen der verbleibenden Lücken können Angreifer unter anderem unberechtigt auf Informationen zugreifen. Bislang gibt es keine Berichte zu laufenden Attacken.

Mitte August dieses Jahres haben die Entwickler zwölf Sicherheitslücken in GitLab geschlossen.

Der KI-Coding-Assistent GitHub Copilot bekommt Verstärkung durch die Sicherheitstools der DevSecOps-Plattform JFrog. Copilot erkennt über JFrogs MCP-Server (Model Context Protocol) automatisch Schwachstellen sowie korrupte und nicht compliancegerechte Pakete im Code. Bei einem Fund bietet er sofort Korrekturvorschläge an. JFrog hat darüber hinaus einen Dienst zum Verwalten von KI-Modellen und -Ressourcen im Unternehmen vorgestellt sowie als Beta ein agentengesteuertes Repository für die Bereitstellung von Software.

Die Kommunikation vom GitHub Copilot zu JFrog erfolgt über das MCP-Protokoll, das Ressourcen von JFrogs Sicherheitsagent Curation und dem zugehörigen Schwachstellenkatalog bereitstellt. Copilot prüft den Code für Entwicklerinnen und Entwickler in der IDE auf CVE-Schwachstellen und Probleme in abhängigen Open-Source-Paketen, die entweder unsicher sind oder nicht den Complianceregeln des Unternehmens entsprechen. Die Developer erhalten inline Korrekturvorschläge im Kontext des Codes und können weitere Informationen zu den festgestellten Problemen abrufen. Diese Funktionen erfordern die JFrog-Produkte Ultimate oder Unified Security.

Gemeinsam mit GitHub bietet JFrog zudem künftig in Repositories eine Absicherung des kompletten Lebenszyklus einer Softwarekomponente bis über die Auslieferung hinaus. Diese Funktionen lassen sich über den Dienst Artifactory am Anschluss an die gängigen Tests in Actions einbinden.

Neben den Tools in Kooperation mit GitHub hat JFrog weitere Neuerungen veröffentlicht: Für die Verwaltung von KI-Ressourcen innerhalb des Unternehmens gibt es künftig den AI Catalogue. Er dient dem Management und der Bereitstellung aller KI-Modelle und -Ressourcen im Unternehmen. Außerdem schafft er abgesicherte Verbindungen zu externen Modellen wie von OpenAI oder Anthropic, Nvidia Nemotron oder denen auf Hugging Face. Entwicklerinnen und Entwickler können über den Katalog auf sichere und compliancegerechte KI-Ressourcen zugreifen.

"Kein Setup. Keine Skripte. Nur chatten, um zu bauen und bereitzustellen." – Damit wirbt das neue agentengestützte Repository JFrog Fly, das derzeit nur als Closed Beta nutzbar ist. Es soll den gesamten Lebenszyklus einer Software umspannen und per MCP mit anderen Komponenten und Repositories kommunizieren, wie GitHub oder Claude Code.

Googles Chrome ist unter Linux, macOS und Windows angreifbar. Eine reparierte Version steht zum Download bereit.

In einer Warnmeldung listen die Entwickler zwei nun geschlossene Sicherheitslücken (CVE-2025-10200 "kritisch", CVE2025-10201 "hoch") auf. Der knappen Beschreibung zufolge betrifft die kritische Schwachstelle die Serviceworker-Komponente. Hier können Angreifer auf einem nicht näher ausgeführten Weg Speicherfehler (Use after free) auslösen. In solchen Fällen gelangt üblicherweise Schadcode auf Systeme und kompromittiert sie.

Die konkreten Auswirkungen nach erfolgreichen Attacken auf die zweite Lücke sind bislang unklar. Gegen die geschilderten Angriffe sind die Chrome-Ausgaben 140.0.7339.127 (Linux), 140.0.7339.132/.133 (macOS) und 140.0.7339.127/.128 (Windows) gerüstet.

Standardmäßig aktualisiert sich der Webbrowser automatisch. Um die installierte Version zu prüfen und manuell ein Update anzustoßen, muss man unter "Hilfe" den Punkt "Über Google Chrome" aufrufen.

Angreifer können an mehreren Sicherheitslücken in Ivanti Connect Secure, Neurons for Secure Access, Policy Secure und ZTA Gateways ansetzen, um Systeme zu attackieren.

Über die Fernzugriffslösungen regeln Admins etwa den VPN- und Netzwerkzugriff in Unternehmen. Damit keine unberechtigten Zugriffe auf Firmennetzwerke stattfinden, sollten Admins die zum Download stehenden Sicherheitsupdates zeitnah installieren. Bislang gibt es noch keine Berichte über laufende Attacken.

Wie aus einer Warnmeldung hervorgeht, sind mehrere Lücken mit dem Bedrohungsgrad "hoch" eingestuft (CVE-2025-55145, CVE-2025-55147, CVE-2025-55148, CVE-2025-55141, CVE-2025-55142). Sind Attacken erfolgreich, können Angreifer unter anderem eigene Befehle ausführen, die Kontrolle über HTML5-Verbindungen erlangen oder Einstellungen verbiegen. Für Letzteres muss ein Angreifer aber bereits Admin sein.

Wie Attacken konkret ablaufen könnten, ist bislang unklar. Die Entwickler versichern, dass die folgenden Ausgaben gegen die geschilderten Attacken abgesichert sind:

Im Mai dieses Jahres kam es zu Attacken auf Ivantis Endpoint Manager Mobile (EPMM).

Es bleibt spannend in der IT-Sicherheitswelt – und abwechslungsreich, wie Sylvester und Christopher feststellen. Erneut haben sie so viele Themen auf dem Zettel, dass unmöglich alle in eine Folge passen. In der vierzigsten Ausgabe von "Passwort" sprechen sie nicht nur wie üblich ausgiebig über verschiedene Aspekte der WebPKI, sondern schauen sich auch zwei interessante Sicherheitsfehler im Detail an.

Mehrere Adobe-Anwendungen sind unter macOS und Windows verwundbar. In einigen Fällen sind auch noch andere Plattformen betroffen. Im schlimmsten Fall können Angreifer die volle Kontrolle über Computer erlangen.

Weil die Auflistung der Sicherheitsupdates den Rahmen dieser Meldung sprengt, sind die Warnmeldungen mit den aufgelisteten Versionen am Ende dieses Beitrags verlinkt. Wie üblich, verrät Adobe keinerlei Informationen zu möglichen Angriffsszenarien. Bislang gibt es keine Hinweise, dass Angreifer die Schwachstellen bereits ausnutzen. Admins sollten mit der Installation der Sicherheitsupdates aber nicht zu lange warten.

Über mehrere Lücken in verschiedenen Acrobat-Anwendungen kann Schadcode auf Systeme gelangen (etwa CVE-2025-54257 "hoch"). After Effects leakt nach erfolgreichen Attacken nicht näher beschriebene Inhalte aus dem Speicher (etwa CVE-2025-54239 "mittel"). Angriffe auf ColdFusion 2021, 2023 und 2025 können dazu führen, dass Angreifer schreibend auf das Dateisystem zugreifen können (CVE-2025-54261 "kritisch").

Im Kontext einer Schwachstelle (CVE-2025-54236 "kritisch") in Commerce können Angreifer Sicherheitsmechanismen umgehen. Das ist auch bei Experience Manager der Fall. Dreamweaver ist für eine CSRF-Attacke (CVE-2025-54256 "kritisch") anfällig. Premiere Pro kann Schadcode passieren lassen (CVE-2025-54242 "hoch"). Substance 3D Modeler und Substance 3D Viewer sind ebenfalls für Schadcode-Attacken empfänglich (etwa CVE2025-54243 "hoch").

Auflistung der Sicherheitspatches:

Angreifer können an mehrere Sicherheitslücken in unter anderem Azure, Defender, Hyper-V, Office, Windows und einem Xbox-Service ansetzen. Im schlimmsten Fall kann Schadcode auf Computer gelangen und Systeme vollständig kompromittieren. Eine Windows-Schwachstelle ist öffentlich bekannt und es können Attacken bevorstehen. Bislang gibt es aber noch keine Berichte zu Angriffen.

Die bekannte Lücke (CVE-2025-55234 "hoch") betrifft die SMB-Komponente von Windows. Daran können Angreifer für eine Relay-Attacke ansetzen. Dabei fangen Angreifer oft Anmeldedaten ab. In diesem Fall können sich Angreifer Microsoft zufolge höhere Nutzerrechte verschaffen. Davon sind unter anderem Windows 10, 11 und verschiedene Windows-Server-Versionen bedroht. Neben der Installation des Sicherheitsupdates empfiehlt Microsoft, Funktionen wie SMB Server signing gegen Relay-Attacken zu aktivieren.

Am gefährlichsten gilt eine Schwachstelle (CVE-2025-55232 "kritisch") in Microsofts Computercluster-Verwaltung High Performance Computer (HPC). Nutzen Angreifer die Lücke erfolgreich aus, können sie über ein Netzwerk Schadcode ausführen.

Microsoft stuft noch weitere Lücken als "kritisch" ein. Darunter unter anderem welche in Hyper-V (CVE-2025-55224 "hoch"), Windows Graphics Component (CVE-2025-55228 "hoch") und Windows NTLM (CVE-2025-54918 "hoch"). In diesen Fällen können sich Angreifer primär höhere Nutzerrechte verschaffen. Über eine Office-Lücke (CVE-2025-54910 "hoch") kann Schadcode auf Systeme gelangen.

Eine Lücke (CVE-2025-55245 "hoch") betrifft die App Xbox Gaming Services. Hier können Angreifer nach erfolgreichen Attacken Dateien auf einem System löschen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Medienpaket mit Arbeitsblättern und Erläuterungen für Heranwachsende, Lehrkräfte und Eltern veröffentlicht. Das Paket soll die Vermittlung grundlegender Cybersicherheitskompetenzen unterstützen und richtet sich vor allem an 10- bis 14-Jährige. Damit es möglichst sorgenfrei von pädagogischem Fachpersonal und Erziehungsberechtigten genutzt werden kann, stehen alle Materialien unter der Lizenz CC BY-NC frei zur Verfügung. Sie dürfen unter Nennung des BSI als Urheber weiterverwendet werden.

Das Medienpaket soll dazu beitragen, Jugendliche frühzeitig für digitale Risiken zu sensibilisieren und ihnen einen sicheren Umgang mit digitalen Medien vermitteln. Bisher gibt es Arbeitsblätter und Erläuterungen zu drei Themen: 1. Smartphone- und App-Sicherheit, 2. Methoden der Cyberkriminalität und Schadprogramme, und 3. Account-Schutz. Sie können einzeln oder auch als Gesamtpaket heruntergeladen werden. Zu jedem Thema stehen jeweils drei Dokumente zur Verfügung, die für die verschiedenen Zielgruppen verfasst wurden: Arbeitsblätter für Schülerinnen und Schüler, das Begleitmaterial für Pädagoginnen und Pädagogen und das Begleitmaterial für Eltern.

Die Arbeitsblätter verweisen über QR-Codes auf digitale Angebote des BSI – etwa auf weitergehende Informationsseiten des BSI oder Videos. Wollen Lehrkräfte die Arbeitsblätter also im Unterricht nutzen, müssen Schülerinnen und Schüler die Möglichkeit haben, über Endgeräte das Internet nutzen zu können. Dem BSI zufolge sind die Materialien auf die Lebenswelt von 10- bis 14-Jährigen ausgerichtet und didaktisch aufbereitet. In Schulen könnten sie in verschiedensten Unterrichtsfächern eingesetzt werden, eine außerschulische Nutzung in Volkshochschulen oder auch Jugendzentren sei ebenso möglich.

Das Arbeitsblatt ist für die interaktive Nutzung gedacht: ohne Endgerät kommen Schülerinnen und Schüler hier nicht weiter.

(Bild: Account-Schutz, Bundesamt für Sicherheit in der Informationstechnik (BSI))

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht Autos verstärkt als rollende Computer und sorgt sich um deren IT-Security. "Die digitalen Angriffsflächen im Automobilsektor wachsen rasant", betonte der Vizepräsident der Bonner Behörde, Thomas Caspers, angesichts der Publikation eines Berichts zur Cybersicherheit im Straßenverkehr 2025 im Vorfeld der Automesse IAA in München. Hersteller und Ausrüster in der Branche müssten daher die IT-Sicherheit von vornherein in die Technik einbauen und entsprechende Voreinstellungen treffen ("Security by Design and Default").

Digitale Dienste, Over-the-Air-Updates und vernetzte Steuergeräte prägten zunehmend die Fahrzeugarchitekturen, verdeutlicht das BSI in dem Papier. Zudem nehme der Einsatz von KI in Assistenzsystemen und automatisierten Fahrfunktionen kontinuierlich zu. Das bedeute: Autos würden auf dem Weg zum autonomen Fahren immer vernetzter, Systeme komplexer und die Fortbewegung generell digitaler. Die Absicherung des Automobil-Ökosystems werde damit zur Daueraufgabe.

Laut dem Bericht hat BSI zwischen Februar 2024 und März 2025 insgesamt 107 Meldungen zu IT-Schwachstellen und Vorfällen im Automobilbereich ausgewertet. Für die meisten der Fälle war demnach ein physischer Zugriff oder zumindest eine räumliche Nähe, beispielsweise über Bluetooth oder WLAN, zum Ausnutzen der Sicherheitslücken erforderlich. Es gab aber auch 18 Meldungen, bei denen die Schwachstellen über das Internet zugänglich waren.

Ein Großteil der Meldungen (46 von 59 klassifizierten) basierte auf Sicherheitsanalysen oder Forschungsarbeiten, bei denen die Beteiligten einen Machbarkeitsnachweis ("Proof of Concept") entwickelten. Im Vergleich dazu finde eine aktive Ausnutzung durch Kriminelle gegenwärtig noch eher selten statt, schreibt das BSI. Weitere Bedrohungen ergäben sich indes aus der Option der Einflussnahme durch digitale Produkte, die Herstellern Zugriff auf Informationen und Funktionen ermöglichten.

Vor dem Hintergrund aktueller geopolitischer Konfliktlagen vergrößerten komplizierte Lieferketten die Gefahren, heißt es. Ferner seien mit neuartigen Angriffsmöglichkeiten auf KI-Komponenten und Fahrzeugsensorik durch manipulative Eingaben auch Risiken verbunden. Angesichts der üblicherweise langen Lebenszyklen sowohl von Fahrzeugen als auch der Verkehrsinfrastruktur stelle zudem die Migration auf quantenresistente kryptografische Verfahren eine wichtige Aufgabe dar.

SAP hat in der neunten Ausgabe seines diesjährigen Sicherheits-Patchdays einundzwanzig neue Sicherheitslücken behoben und stuft vier der Lücken als "HotNews", also besonders kritisch, ein. Administratoren und Managed-Service-Provider sollten schnell reagieren.

Die vier HotNews beziehen sich auf:

Weitere Sicherheitsflicken aus dem Hause SAP gibt es für SAP Commerce Cloud, Datahub, HCM, BusinessObjects, Fiori und weitere Produkte des Softwarekonzerns. Immerhin liefert dieser interessierten Dritten eine Übersicht der behobenen Probleme – für Details und Patches benötigen Betroffene jedoch ein SAP-Konto.

Erst kürzlich waren aktive Angriffe auf eine kritische S/4HANA-Schwachstelle bekannt geworden, unter unsicherer Deserialisierung litt hingegen ein bekanntes Produkt von Mitbewerber Microsoft. Der Sharepoint-Exploit "ToolShell" sorgte im vergangenen Juli für Aufregung und wirkt bis heute nach – etwa durch ein Datenleck bei Infoniqa.

Signal-Backups werden besser: Beim Plattformwechsel zwischen Android und iOS war bislang stets mit einem Verlust des Chatarchivs des Signal-Messengers zu rechnen. Mit einer neuen Beta-Version des Messengers zieht ein hauseigener Cloud-Backup ein, mit dem sorgenfrei zwischen iPhones und Android-Geräten umgezogen werden können soll. Die Beta ist derzeit nur für Android-Geräte über Github als APK-Datei verfügbar.

Im Juni dieses Jahres hatte Signal bereits einen eigenen Cloud-Backupdienst angekündigt. Diesen will das Unternehmen selbst hosten und sämtliche Nachrichten und Medien mittels Ende-zu-Ende-Verschlüsselung absichern, sodass nur der Nutzer oder die Nutzerin mit einem entsprechenden Schlüssel Zugriff darauf erhält.

Ein Vorteil dieser neuen Backup-Funktion ist laut Signal, dass im Unterschied zu den bisherigen Lösungen ein unabhängiges Backup-Format zum Einsatz, das alle Clients lesen können. Damit ist es etwa möglich, Backups auf Android zu erstellen und auf iOS wiederherstellen zu können – oder umgekehrt.

Der Signal.-Messenger erhält neue Backup-Funktionen. Derzeit als Beta für Android.

(Bild: Signal)

Beim Hersteller des Medienservers Plex haben Cyberkriminelle Nutzerdaten geklaut. Das teilte die Plex Incorporated ihren Kunden per E-Mail mit. Die Angreifer hätten eine "begrenzte Teilmenge" der Daten einer Kundendatenbank unberechtigt abgerufen. Nun sind alle Plex-Nutzer aufgerufen, ihre Passwörter zu ändern und Medienserver neu zu verbinden.

Wie das Plex-Team weiter schreibt, sind E-Mail-Adressen, Benutzernamen und die Hashes der Passwörter abhandengekommen. Letztere seien "in Übereinstimmung mit anerkannten Praktiken" gehasht und somit nicht durch Angreifer lesbar. Kreditkartendaten seien nicht betroffen, versichern die Plex-Betreiber. Man habe den Vorfall schnell eingedämmt und die Sicherheitslücke geschlossen – den Datenabfluss aber nicht verhindern können.

Nutzer des selbst gehosteten Medienservers sollen unverzüglich ihr Passwort ändern und zudem alle verbundenen Geräte von ihrem Konto entkoppeln. Das betrifft alle Abspielgeräte (wie Smartphones, Tablets oder Smart-TVs), aber auch den Medienserver selbst, der dann neu an das Konto gebunden (im Plex-Jargon "claimed") werden muss. Für die Mehrarbeit entschuldigt sich das Plex-Team, rechtfertigt sie jedoch mit der erhöhten Kontosicherheit. Zudem legen sie ihren Kunden nahe, die Zwei-Faktor-Authentifizierung zu aktivieren.

Da die Kriminellen Benutzernamen und E-Mail-Adressen der Plex-Kunden erbeuteten, können sie jetzt sehr realistisch wirkende Phishing-Mails verfassen. Vor dieser Gefahr warnt der Sicherheitshinweis und weist darauf hin, dass man weder per E-Mail nach Passwörtern noch nach Zahlungsdaten frage.

In den Hilfeforen des Herstellers sowie im Plex-Subreddit häufen sich kurz nach der Ankündigung die Anfragen gestresster Kunden. Mehrere Betroffene konnten auf ihren Medienserver nach der Passwortänderung nicht mehr zugreifen, häufig aufgrund Besonderheiten bei containerbasierten oder NAS-Installationen. Wen nach der Passwortänderung ähnliche Schwierigkeiten plagen, der sollte zunächst den Support-Artikel sowie Foreneinträge wie diesen und diesen zu Rate ziehen.

Bereits zum dritten Mal seit 2023 wenden sich Wissenschaftlerinnen und Wissenschaftler von europäischen Forschungseinrichtungen in einem offenen Brief gegen EU-Pläne für eine sogenannte Chatkontrolle. In dem Schreiben an EU-Kommission und Europaparlament warnen rund 400 Forscher vor negativen Folgen für Sicherheit und Grundrechte.

Die Forscher nehmen Stellung zu den neuesten Entwürfen für eine Verordnung zur Chatkontrolle. Damit soll die Suche nach Darstellungen sexuellen Kindesmissbrauchs auf Endgeräten wie Smartphones verpflichtend werden – was nach Meinung der Wissenschaftler jegliche Ende-zu-Ende-Verschlüsselung und andere Methoden für Gerätesicherheit aushebelt.

Solche Mechanismen stellen nach Ansicht der Forschenden einen "single point of failure" dar, also einen Ansatzpunkt etwa für Schadsoftware. Zudem seien diese Detektoren nicht zuverlässig genug: "Bestehende Forschungsergebnisse bestätigen, dass Detektoren nach dem aktuellen Stand der Technik unannehmbar hohe Falsch-Positiv- und Falsch-Negativ-Raten aufweisen."

Auch KI sei dafür keine Lösung, weil sie unter anderem nicht erkennen könne, welche Parteien einander explizites Material schicken würden. Die Wissenschaftler verweisen hier auf Teenager, die einander eventuell Daten schicken könnten. Zudem böten heutige KIs ihrerseits eine große Angriffsfläche für Manipulation, die sich Kriminelle dann zunutze machen könnten, um die Mechanismen zu umgehen.

Überdies habe ein de-facto-Aus für verschlüsselte Chats auch Nebenwirkungen auf Menschen, die vertraulich kommunizieren müssen. Die Wissenschaftler nennen hier Politiker, Strafverfolger, Journalisten und Menschenrechtler. Diese seien auf Werkzeuge wie Signal angewiesen, das im Fall der Umsetzung der Chatkontrolle schon seinen Rückzug aus der EU angekündigt hat.

Ein großer Angriff auf die Lieferkette für Softwarepakete für die weit verbreitete Javascript-Laufzeitumgebung node.js ist am Montag entdeckt worden. Der Angreifer hat über den Paketmanager npm (vormals Node Package Manager) verschleierten Schadcode in zahlreiche populäre Pakete eingeschleust. Es dürfte sich um den bislang größten erfolgreichen Angriff auf npm handeln.

Bekannt sind rund 20 betroffene Pakete aus dem Repertoire des Entwicklers qix, die in Summe mehr als zwei Milliarden mal pro Woche (!) heruntergeladen werden. Schon allein dadurch wirkt der Angriff auf weite Teile des node.js-Universums. Zudem gibt es einen unbestätigten Hinweis darauf, dass auch Pakete anderer Entwickler mit Malware verunreinigt worden sein könnten.

Die bislang entdeckte und untersuchte Malware manipuliert laut JD Staerk bestimmte Browser-Routinen, um Daten im Webbrowser des Opfers abzufangen und zu manipulieren. Das trifft sowohl klassischen Netzwerk-Verkehr als auch solchen von und zu Programmierschnittstellen (API). Zusätzlich werden Routinen in gegebenenfalls installierten Browsererweiterungen für Kryptowährungsportemonnaies (Wallets) verändert.

Ziel des Angreifers ist offenbar der Diebstahl von Einheiten der Kryptowährungen Bitcoin (BTC), Bitcoin Cash (BCH), Ethereum (ETH), Litecoin (LTC), Solana (SOL) und Tron (TRX). Die Schadsoftware wartet auf Zeichenketten, die wie Wallet-Adressen aussehen, und ersetzt die legitimen Adressen durch andere Adressen, die mutmaßlich vom Angreifer kontrolliert werden.

Beauftragt das Opfer eine Überweisung über eine normale Webpage im Browser, ersetzt die Schadsoftware die Zieladresse durch eine falsche – aber nicht irgendeine, sondern eine, deren Zeichenkette optisch sehr ähnlich aussieht. Dazu bedient sich der Angreifer eines Algorithmus', der auf möglichst geringe Levenshtein-Distanz setzt. Das macht es menschlichen Augen schwer, die Unterschiede in der Zieladresse zu erkennen.