Comretix Blog

Am Mittwoch wurde bekannt, dass Schwachstellen in den Netscalern (ADC und Gateways) von Citrix angegriffen werden, die bereits als "Citrix Bleed 3" tituliert werden. Die Shadowserver Foundation hat am Mittwoch Zahlen veröffentlicht, denen zufolge weltweit am Dienstag noch mehr als 28.000 Systeme für die Lücke "Citrix Bleed 3" verwundbar sind. Angreifer können darauf vermutlich die Schwachstellen missbrauchen.

Die IT-Forscher der Shadowserver Foundation haben ihr Ergebnis für den Dienstag, den 26.08.2025, auf X veröffentlicht. Mehr als 28.200 verwundbare Instanzen für Citrix Bleed 3 (CVE-2025-7775) zählten sie da, auf Platz 1 die USA mit mehr als 10.000 Systemen, an zweiter Stelle Deutschland mit mehr als 4.300 anfälligen Netscalern.

Die Citrix-Netscaler-Systeme sind mit hoher Wahrscheinlichkeit für die am Mittwoch gemeldeten Schwachstellen CVE-2025-7775 (CVSS4 9.2, Risiko "kritisch"), CVE-2025-7776 mit CVSS 8.8 und Risiko "hoch" sowie CVE-2025-8424 (CVSS4 8.7, Risiko "hoch") anfällig. Für die stehen erst seit Dienstag dieser Woche Aktualisierungen bereit, die die sicherheitsrelevanten Fehler beseitigen. Als Einschränkungen für die Verwundbarkeit nennt Citrix:

IT-Verantwortliche sollten aufgrund der laufenden Attacken ihre Netscaler-Systeme rasch auf den aktuellen Stand bringen. Die Fehler korrigieren die Fassungen:

sowie neuere Versionen der Software.

WhatsApp hat eine KI-gestützte Schreibhilfe namens "Writing Help" veröffentlicht. Um dem Ruf als "Datenkrake" entgegenzuwirken, will der Mutterkonzern Meta die Verarbeitung privater Nachrichten mit einem außergewöhnlich hohen technischen Aufwand absichern. Zwei parallel veröffentlichte Sicherheitsaudits zeigen jedoch, dass die dafür entwickelte Architektur "Private Processing" anfangs erhebliche und teils gravierende Schwachstellen aufwies.

Mit "Writing Help" will WhatsApp seinen Nutzern künftig beim Formulieren von Nachrichten helfen. Eine solche Funktion wirft unweigerlich die Frage auf, wie die Inhalte privater Ende-zu-Ende-verschlüsselter Chats verarbeitet werden, ohne die Vertraulichkeit zu gefährden.

Metas Antwort darauf ist die seit Längerem entwickelte Architektur "Private Processing". Laut dem Konzern soll diese technisch sicherstellen, dass niemand – nicht einmal Meta-Mitarbeiter – auf die verarbeiteten Nachrichten zugreifen kann. Das System basiert laut Meta auf mehreren Säulen:

Metas "Private Processing": Die Architektur in der Übersicht

(Bild: Meta)

Online-Kriminelle haben mit Künstlicher Intelligenz eine mächtige neue Waffe bekommen. So wurde der KI-Chatbot Claude der Entwicklerfirma Anthropic bereits verwendet, um in Netzwerke einzudringen, Daten zu erbeuten und sie auszuwerten. Zudem hätten die Angreifer die Software benutzt, um "psychologisch zielgerichtete" Erpressungsnachrichten an die Opfer zu schreiben, berichtete Anthropic. Der Angreifer habe damit gedroht, gestohlene Informationen zu veröffentlichen, und zum Teil mehr als 500.000 Dollar von den Betroffenen verlangt.

Ziel der automatisierten Attacke seien allein im vergangenen Monat 17 Unternehmen und Organisationen aus Bereichen wie Gesundheitswesen, Regierung und Religion geworden, hieß es. Claude habe dabei zum Beispiel nach Schwachstellen gesucht sowie bei der Entscheidung geholfen, wie ein Netzwerk am besten angegriffen werden kann und welche Daten entwendet werden sollten.

Üblicherweise hätte man für eine solche Aktion ein Team aus Experten gebraucht, sagte der zuständige Anthropic-Manager Jacob Klein dem Tech-Blog "The Verge". Nun könne das eine Person mit Hilfe Künstlicher Intelligenz bewerkstelligen. Neuere KI-Systeme können auch als "Agenten" im Auftrag von Nutzern agieren und weitgehend eigenständig Aufgaben für die erledigen.

Anthropic listete in einem ausführlichen Papier auch weitere Fälle auf, in denen Claude für Online-Kriminalität missbraucht wurde. So sei der Chatbot zum Einsatz gekommen, als sich Nordkoreaner Homeoffice-Jobs als Programmierer in US-Unternehmen erschlichen, um Geld für die Regierung reinzuholen. Sie hätten sich dabei auf die KI-Software verlassen, um mit ihren Arbeitgebern zu kommunizieren – und auch um ihre Aufgaben zu erledigen. Dabei hätten sie augenscheinlich nicht genug Ahnung von Software-Entwicklung gehabt, um den Job ohne Hilfe von Claude auszuüben, stellte Anthropic fest. Früher habe Nordkorea dafür jahrelang Experten ausgebildet. "Aber durch KI fiel diese Einschränkung weg."

Außerdem entwickelten Cyberkriminelle mit Hilfe von Claude Betrugsmaschen, die sie im Netz zum Kauf anboten. Dazu gehörte laut Anthropic ein Bot für die Plattform Telegram zum Beziehungsbetrug – wobei den Opfern etwa eine romantische Verbindung vorgegaukelt wird, um Geld von ihnen zu erbeuten. Damit könne man Chats "mit hoher emotionaler Intelligenz" in verschiedenen Sprachen führen, hieß es.

In den letzten Jahren sind immer wieder Cyberangriffe von mutmaßlich chinesischen Akteuren auf internationale Netzwerksysteme bekannt geworden. Dabei konnten die wohl staatlich unterstützten Cyberangreifer die globale Telekommunikationsinfrastruktur infiltrieren und ausspähen. Dagegen haben sich die Sicherheitsbehörden verschiedener Länder verbündet und jetzt einen gemeinsamen und umfassenden Cybersicherheitsleitfaden veröffentlicht, der das Vorgehen der Angreifer beschreibt, Hinweise zur Entdeckung der Attacken gibt und Gegenmaßnahmen empfiehlt.

Vielen dieser Cyberangriffe gemein ist das Ausnutzen bereits bekannter, aber vom Betreiber nicht geschlossener Sicherheitslücken. Das war kürzlich auch bei einem nordamerikanischen Telekommunikationsanbieter der Fall. Cyberkriminelle nutzten eine ungepatchte Cisco-Sicherheitslücke als Einfallstor zu einem kanadischen Provider. Cisco hatte nach Bekanntwerden der Lücke eine aktualisierte Software bereitgestellt, aber der Telko-Anbieter hat diese offenbar über ein Jahr lang nicht installiert.

Das ist einer der Gründe, warum sich Sicherheitsbehörden aus Australien, Kanada, Neuseeland, Großbritannien, der Tschechischen Republik, Finnland, Deutschland, Italien, Japan, den Niederlanden, Polen sowie den USA zusammengetan und eine gemeinsame Cybersicherheitsempfehlung herausgegeben haben. Aus Deutschland waren der Bundesnachrichtendienst, das Bundesamt für Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) beteiligt.

Das bislang nur auf Englisch verfügbare "Joint Cybersecurity Advisory" nennt als Hauptakteure die Gruppen "Salt Typhoon", "OPERATOR PANDA", "RedMike", "UNC5807" und "GhostEmperor". Demnach wurden Aktivitäten dieser sogenannten APT-Akteure (Advanced Persistent Threat) in den USA, Australien, Kanada, Neuseeland und Großbritannien entdeckt, aber sie sollen auch andernorts weltweit tätig sein. Die Angreifer modifizieren vielfach Router, um ständigen und langfristigen Zugang zu den Netzwerken zu erlangen.

Das Bundesamt für Verfassungsschutz und das BSI greifen sich Salt Typhoon als Hauptakteur für den gemeinsamen Sicherheitshinweis heraus. Diese Gruppe ist demnach auch bekannt als GhostEmperor und FamousSparrow, denn die Cybergangs haben international unterschiedliche Namen. Hauptziele dieser Cyberkriminellen liegen bei der Telekommunikationsinfrastruktur. Sind die Angreifer in die Netzwerke eingedrungen, erlaubt es etwa den mit den Hackern verbundenen chinesischen Geheimdiensten, die Kommunikation einzelner Zielpersonen sowie deren Standorte zu überwachen.

Nach einer IT-Attacke auf den Klinikkonzern Ameos im Juli hat der Verbund nun ein Auskunftsformular veröffentlicht, auf der Patienten Auskunftsersuchen stellen können. "Ob im Einzelfall personenbezogene Daten betroffen sind, muss jeweils aufwendig und individuell geprüft werden. Daher können wir keine verlässliche Aussage dazu machen, wie viele Personen tatsächlich betroffen sind", sagte ein Sprecher gegenüber heise online.

Nach Ausfüllen des auf der Informationswebpage verlinkten Auskunftsformulars werde individuell geprüft, welche Daten in welchem Zeitraum betroffen waren. Dazu müssen sich Patienten identifizieren und eine Kopie ihres Ausweisdokuments hochladen.

"Betroffen sind die deutschen und österreichischen Einrichtungen der Ameos Gruppe", fügte der Sprecher hinzu. Möglich sei auch, dass keine personenbezogenen Daten betroffen sind, meinte eine Sprecherin gegenüber der dpa. Gemeinsam mit den zuständigen Behörden und externen Dienstleistern arbeite Ameos an der Aufklärung des Angriffs.

Um eine Auskunft darüber zu erhalten, ob Sie von dem Datenschutzvorfall betroffen sind, müssen Sie eine Kopie Ihres Ausweises hochladen.

(Bild: Screenshot/heise medien)

Ein "technisches Problem" bei Paypal führte offenbar dazu, dass Sicherheitssysteme ausgefallen sind. Die dienen der Erkennung und Filterung von betrügerischen Transaktionen. Deutsche Banken hatten deshalb laut Süddeutscher Zeitung Paypal-Lastschriften in einem Umfang von mehreren Milliarden Euro gestoppt.

Wie die SZ berichtet, haben am Montag mehrere deutsche Banken Zahlungen von Paypal in Höhe von möglicherweise mehr als zehn Milliarden Euro gestoppt. Demnach sei den Banken aufgefallen, dass in der Vorwoche "viele Millionen Lastschriften" von Paypal eingingen, die jedoch teils verdächtige oder betrügerische Merkmale getragen hätten. Paypal hat in Deutschland mehr als 30 Millionen Kunden, deren Zahlungen Paypal von hinterlegten Bankverbindungen oder Kreditkarten abbucht.

Paypal ist immer wieder Ziel von kriminellen Betrugsmaschen – kurz vor Weihnachten vergangenen Jahres warnte die Verbraucherzentrale Nordrhein-Westfalen etwa davor, dass Kriminelle mit fremden Kontodaten über Paypal auf Einkaufstour gingen. Informationen der SZ zufolge sind "Ende vergangener Woche" Sicherheitssysteme bei Paypal "komplett oder größtenteils" ausgefallen, die etwa solche betrügerischen Zahlungen ausfiltern sollen. In der Folge hat Paypal offenbar ungeprüft sämtliche Lastschriften an die Banken durchgereicht.

Daraufhin sind die Sicherheitssysteme mancher Banken angesprungen, die Ungereimtheiten feststellten. Diese Banken haben dann alle Paypal-Zahlungen blockiert, um die unrechtmäßige Abbuchung von Kundenkonten zu verhindern. Demnach haben etwa die Bayerische Landesbank, die Hessische Landesbank und die DZ Bank so reagiert, letztere ist Zahlungsabwickler für die Genossenschaftsbanken. Händler haben dadurch ihr Geld nicht erhalten, und es ist derzeit unklar, ob sich dadurch auch die Lieferungen der bestellten Waren verzögern.

Es hat sich ein größeres Backlog angestaut, das teils manuell abgearbeitet werden muss. Das könne noch einige Tage in Anspruch nehmen. Paypal gibt gegenüber heise online an, dass alles wieder im grünen Bereich sei. Es habe ein technisches Problem gegeben, kein Sicherheitsproblem, nannte ein Unternehmenssprecher als Ursache – eine recht kreative Beschreibung dafür, dass ein Sicherheitssystem "technisch" nicht verfügbar war.

Qnap hat zwei Sicherheitslücken in der NAS-Weboberfläche File Station 5 entdeckt und geschlossen. Angreifer können dadurch Speicherbereiche verändern oder die Geräte mit Denial-of-Service-Attacken lahmlegen.

In einer Sicherheitsmeldung erörtert Qnap, dass eine Sicherheitslücke auf einer NULL-Pointer-Dereference (zum Schmunzeln anregender Tippfehler bei Qnap: Deference, auf Deutsch "Ehrerbietung") basiert und Angreifer, die Zugriff auf ein Nutzerkonto auf dem Qnap-System erlangen, die Lücke für einen Denial-of-Service missbrauchen können. Schwachstellen dieses Typs führen in der Regel zum Absturz – der Programmcode erwartet einen gültigen Zeiger, der jedoch bereits auf NULL verweist, wodurch er bei erneutem Zugriff in undefinierte Bereiche führt (CVE-2025-29901 / EUVD-2025-25777, CVSS4 7.1, Risiko "hoch").

Die zweite Schwachstelle hingegen ermöglicht Angreifern, außerhalb vorgesehener Speicherbereiche zu schreiben und damit Speicherbereiche zu stören oder gezielt zu modifizieren. Qnap schreibt es nicht explizit, aber damit lässt sich in der Regel etwa (bösartiger) Programmcode im Speicher ablegen. Jedoch müssen Angreifer zuvor Zugriff auf ein Qnap-Konto erhalten (CVE-2025-47206 / EUVD-2025-25778, CVSS4 7.1, Risiko "hoch").

In der Sicherheitsmitteilung stuft Qnap die Lücken als "moderat" ein, obwohl die Bewertung nach CVSS-Standard ein hohes Risiko darin sieht. Wer den "Datei-Explorer" File Station 5 oder 5.5 nutzt, sollte dennoch zügig die aktualisierte Firmware installieren. Qnap gibt an, die Fehler in File Station 5 Version 5.5.6.4933 und neueren behoben zu haben. Das Update steht wie üblich bereits etwas länger bereit. Dass es Sicherheitslücken schließt, erklärt der Hersteller erst jetzt.

Ende vergangenen Jahres fielen ebenfalls Sicherheitslücken in Qnaps Netzwerkspeichern auf. Angreifer konnten sie missbrauchen, um eigene Befehle einzuschleusen und Geräte zu kompromittieren.

Fast auf den Tag genau zwei Monate nach Bekanntwerden des Sicherheitsfehlers "Citrix Bleed 2" droht erneut Ungemach für Verwender von Appliances des Typs NetScaler ADC und Gateway. Der Hersteller meldet gleich drei Probleme, eins davon kritisch. Admins sollten prüfen, ob ihre Geräte betroffen sind – Citrix hat dazu Handreichungen veröffentlicht.

Die betroffenen Firmware-Versionen unterscheiden sich dabei nicht, es handelt sich nach Citrix-Angaben jeweils um:

Alle drei Lücken sind jedoch nicht in den Standardeinstellungen ausnutzbar, sondern unter bestimmten Bedingungen. Beim schwersten der drei Sicherheitsfehler, einem Speicherüberlauf mit anschließender Möglichkeit, Code einzuschleusen (CVE-2025-7775, CVSS4 9.2/10, Schweregrad kritisch), muss eine von vier Vorbedingungen gegeben sein, wie Citrix im Advisory weiter ausführt:

Doch auch die zwei weniger kritischen Lücken tragen hohes Schadenspotential in sich. CVE-2025-7776 (CVSS 8.8, Schweregrad hoch) kann das Gerät destabilisieren, setzt aber eine Konfiguration als Gateway mit einem PCoIP-Profil (PC over Internet Protocol) voraus. CVE-2025-8424 (CVSS4 8,7/10, Schweregrad "hoch") hingegen verschafft Angreifern Zugriff auf geschützte Dateien. Dafür benötigen sie jedoch Zugriff auf das Management-Interface der Appliance, das Citrix-Angaben zufolge meist mit Zugriffslisten (ACLs) oder einer externen Authentisierungslösung geschützt sei.

Admins sollten nun zügig prüfen, ob ihre Geräte betroffen sind. Das gelingt, indem sie die Konfigurationsdatei "ns.conf" auf die notwendigen Vorbedingungen abklopfen – Citrix verrät in einem Support-Artikel, wie das geht.

Die sommerliche Urlaubszeit ist vorbei und die Hosts des Passwort-Podcasts machen sich gut erholt an die nächsten Folgen. Vom berüchtigten Sommerloch bemerken sie wenig: Gleich drei Folgen könnten sie mit den gesammelten Inhalten auf einen Schlag füllen.

Zunächst widmen Sylvester und Christopher sich einer Studie, die kürzlich auf der Security-Konferenz Black Hat vorgestellt wurde. Die großangelegte Untersuchung an einem kalifornischen Universitätsklinikum mit fast 20.000 Mitarbeitenden ergab, dass jährliche Awareness-Schulungen und Phishing-Tests per E-Mail praktisch wirkungslos sind. Christopher hatte eine Vorabversion der Studie bereits im vergangenen November unter die Lupe genommen und berichtet von den ernüchternden Ergebnissen.

Im Webbrowser Google Chrome haben die Entwickler eine Sicherheitslücke geschlossen, die als kritisches Risiko eingestuft wurde. Wer den Browser einsetzt, sollte sicherstellen, die jüngste Version zu nutzen.

In der Versionsankündigung bleibt Google bekannt schmallippig zu den Details der Schwachstelle. Es handelt sich um einen "Use after free"-Fehler, bei dem der Programmcode auf Ressourcen zugreift, die bereits freigegeben wurden und somit undefinierte Inhalte aufweisen. Dieser Fehler findet sich im WebGL-Render-Backend Angle (CVE-2025-9478 / EUVD-2025-25822, noch kein CVSS, Risiko laut Google jedoch "kritisch"). Der CVE-Eintrag verrät immerhin, dass Angreifer aus dem Netz einen Speicherfehler auf dem Heap etwa mit sorgsam präparierten HTML-Webseiten missbrauchen können – oftmals gelingt darüber das Einschleusen und Ausführen von Schadcode, was aufgrund des Schweregrads auch hier anzunehmen ist.

In den Versionen Google Chrome 139.0.7258.158 für Android, 139.0.7258.154 für Linux sowie 139.0.7258.154/.155 für macOS und Windows haben die Entwickler die Schwachstelle ausgebessert. Das Update steht nun zum Download bereit.

Ob die aktuelle Fassung des Webbrowsers läuft, verrät der Versionsdialog. Der öffnet sich nach Klick auf das Symbol mit drei aufgestapelten Punkten rechts von der Adressleiste. Dort geht es weiter über "Hilfe" – "Über Google Chrome".

Der Versionsdialog von Google Chrome zeigt den aktuell laufenden Softwarestand an. Gegebenenfalls startet er die Aktualisierung.

Der kriselnde US-Chiphersteller Intel bekommt einen neuen Großaktionär: Die US-Regierung erhält knapp zehn Prozent der Intel-Anteile. Diese direkte Beteiligung der US-Regierung an Intel dürfte bei Sicherheitsforschern außerhalb der USA starke Bedenken wecken. Denn in Prozessoren und Chipsätzen von Intel sind kryptografische Funktionen wie SGX und TDX verankert. Sie sind nur dann sinnvoll einzusetzen, wenn man dem Unternehmen Intel vertraut.

Doch wie vertrauenswürdig ist eine "Remote Attestation", die ein Intel-Server aus den USA der Trump-Regierung liefert? Die Einschätzung war für Firmen außerhalb der USA schon bisher schwierig, weil US-Firmen durch Gesetze wie den CLOUD Act zu Kooperation mit US-Behörden verpflichtet sind. Die direkte Beteiligung der US-Regierung am Unternehmen Intel verschärft dieses Problem.

Aus Sicht vieler europäischer Firmen dürfte eine verschlüsselte RAM-Enklave, die auf einer Zertifikatskette eines US-Unternehmens mit direkter Beteiligung der US-Regierung aufbaut, gerade keine allgemein "vertrauenswürdige Ausführungsumgebung" (Trusted Execution Environment/TEE) sein.

Genau das ist aber Daseinszweck der Trusted Domain Extensions (TDX) Intels, die beispielsweise dem "Confidential Computing" in der Cloud dienen sollen.

Manche Cloud-Dienstleister nutzen Funktionen wie TDX auch für sogenannte souveräne Clouds (Sovereign Cloud). Seit dem Amtsantritt Donald Trumps werden solche Angebote in Europa stärker beworben – gerade von US-Konzernen wie Amazon AWS, Microsoft Azure, Google Cloud und Oracle Cloud Infrastructure (OCI). Je nach Angebot dienen dabei aber auch andere Hardware-Sicherheitsmodule (HSM) als Schlüsselspeicher.

IT-Sicherheitsforscher von Zscalers ThreadLabz überwachen den Google Play Store und analysieren darüber verteilte bösartige Apps. Besonders im Fokus steht die Malware Anatsa (auch als Teabot bekannt), die Android-Geräte angreift und auf Finanz-Apps abzielt. Erste Samples wurden bereits 2020 entdeckt, nun hat sich die Malware jedoch deutlich weiterentwickelt.

In ihrer Analyse schreiben die Zscaler-Forscher, dass Anatsa ursprünglich als Banking-Trojaner startete, der Zugangsdaten stehlen, Keylogging betreiben und betrügerische Transaktionen ausführen konnte. Die jüngste Inkarnation kann inzwischen 831 Finanzinstitutionen weltweit angreifen. Außerdem sind Institute in Deutschland und Südkorea neu hinzugekommen – nebst Kryoptwährung-Plattformen. Die Auslieferung des bösartigen Codes haben die Drahtzieher verschlankt, indem sie das dynamische Laden von Dalvik-Executable-Payloads (DEX) aus dem Netz durch direkte Installation des Anatsa-Schadcodes ersetzt haben.

Viele der Tarn-Apps, die Anatsa mitbringen, haben Installationszahlen von mehr als 50.000 Downloads im Play Store, gibt Zscaler an. Mit Beifang, also Malware-Apps mit nicht-Anatsa-Schadcode, kommen die IT-Forscher auf 77 Apps, die insgesamt mehr als 19 Millionen Mal installiert wurden. Diese hat Zscaler an Google gemeldet.

Die vorhergehenden Anatsa-Kampagnen hatten noch mehr als 650 Finanzinstitutionen zum Ziel. Unter den etwa 180 hinzugekommenen finden sich mehr als 150 neue Banking- und Kryptowährungs-Apps. Anatsa setzt auf eine Dropper-Technik, bei der die bösartige App im Google Play Store bei Installation harmlos erscheint. Nach der Installation lädt Anatsa jedoch als Update getarnten Schadcode vom Command-and-Control-Server herunter. Dadurch umgeht Anatsa den Erkennungsmechanismen im Play Store und kann erfolgreich Geräte infizieren. Das Zscaler-Team analysiert zudem die Tarnmechanismen genauer. So kommt etwa ein defektes Archiv zum Einsatz, um eine DEX-Datei zu verstecken, die zur Laufzeit aktiviert wird. Standard-ZIP-Tools können wegen des Defekts die Datei nicht analysieren und die Malware vorbei schlüpfen.

Zugangsdaten leitet Anatsa aus, indem die Malware gefälschte Log-in-Seiten anzeigt, die sie vom Command-and-Control-Server herunterlädt. Die Seiten sind maßgeschneidert an die Apps der Finanzinstitute, die Anatsa auf dem Smartphone vorfindet.

Eine prorussische Hackergruppe steht den Ermittlungen zufolge im Verdacht, für den Cyberangriff auf die Webseite der Stadt Nürnberg im Juli verantwortlich zu sein. Dabei handle es sich um die Gruppierung "NoName057(16)", teilte ein Sprecher der Zentralstelle Cybercrime bei der Generalstaatsanwaltschaft Bamberg mit. Es werde noch geprüft, ob ein Zusammenhang zu den Ermittlungen der Generalstaatsanwaltschaft Frankfurt am Main und des Bundeskriminalamts bestehe.

Die Internetseite der Stadt Nürnberg war im Juli nach einer sogenannten DDoS-Attacke über Stunden nicht mehr zuverlässig erreichbar gewesen. Bei solchen Angriffen werden Websites mit massenhaften Zugriffen so überlastet, dass sie zusammenbrechen.

Deutsche und internationale Strafverfolgungsbehörden waren Mitte Juli gegen das Hacker-Netzwerk "NoName057(16)" vorgegangen und hatten dabei ein aus weltweit verteilten Servern bestehendes Botnetz abgeschaltet, das für gezielte digitale Überlastungsangriffe auf Internetseiten eingesetzt wurde. In Deutschland erließen die Ermittler sechs Haftbefehle gegen russische Staatsangehörige beziehungsweise in Russland wohnhafte Beschuldigte. Zwei von ihnen sollen die Hauptverantwortlichen hinter der Gruppe sein.

Bei NoName057(16)" handelt es sich laut BKA um ein ideologisch geprägtes Hacktivisten-Kollektiv, das sich als Unterstützer Russlands positioniert hat und im Kontext des Russland-Ukraine-Konflikts Cyberangriffe durchführt. Seit Beginn der Ermittlungen im November 2023 soll Deutschland Ziel von 14 Angriffswellen gewesen sein, die zum Teil über Tage dauerten.

HPs Security Manager dient zur Verwaltung und Absicherung sowie zur Sicherstellung der Richtlinienkonformität von HP-Druckern in Netzwerken. Eine Schwachstelle in der Verwaltungssoftware ermöglicht Angreifern aus dem Netz, Schadcode einzuschleusen und auszuführen.

Davor warnt HP in einer Sicherheitsmitteilung. "HP Security Manager ist möglicherweise anfällig für eine Schwachstelle, die das Ausführen von Code aus dem Netz durch den Einsatz von Microsofts OLE-Datenbank-Bibliothek in Version 18.4 für Microsoft SQL Server Express sowie Microsofts SQLServer ermöglicht", schreiben die Entwickler dort kärglich.

Die Schwachstelleneinträge datieren auf den April 2024, wo Microsoft die Sicherheitslücken zum Patchday mit aktualisierter Software geschlossen hat. Die Erläuterung dort ist jedoch noch kürzer: "Microsoft OLE DB-Treiber für SQL Server Remote-Code-Ausführungsschwachstelle", schreiben die Redmonder dazu (CVE-2024-28906 / EUVD-2024-25972; CVE-2024-29044 / EUVD-2024-26091; CVSS 8.8, Risiko "hoch"). Beide verpassen jedoch die Einordnung als "kritisches" Risiko nur äußerst knapp.

Die Sicherheitslücken finden sich in den mitgelieferten ODBC-Treibern von HP Security Manager 3.13 oder älteren Fassungen. In der Version 3.14 aktualisiert HP die Drittherstellerkomponenten und stopft damit die Sicherheitslecks. HPs Security Manager lässt sich etwa auf der zugehörigen Webseite von HP in der aktuellen Version herunterladen.

Manuelle Gegenmaßnahmen nennt HP zudem für Admins, die diese Software von HP nicht aktualisieren möchten. Wo der HP Security Manager mit einer entfernten MS SQL Server- oder MS SQL Server Express-Datenbank installiert wurde, kann der MS OLE DB-Treiber entfernt oder auf Stand 18.7 aktualisiert werden. Haben IT-Verantwortliche die Datenbank lokal installiert, können sie TCP/IP als Protokoll im SQL Configuration Manager aktivieren und den OLE DB-Treiber entweder entfernen oder aktualisieren. Wo Admins den Treiberstand 18.7 herbekommen, erörtert HP jedoch nicht.

Stimmen die Voraussetzungen, können Angreifer WordPress-Websites mit dem Plug-in Dokan Pro attackieren, um Admin-Accounts zu übernehmen und Seiten zu kompromittieren.

Mit dem Plug-in setzt man Onlineshops auf, in denen sich Nutzer als Verkäufer mit eigenen Marktplatzshops registrieren können. Nun weisen Sicherheitsforscher von Wordfence in einem Beitrag auf eine mittlerweile geschlossene Sicherheitslücke (CVE-2025-5931 "hoch") hin.

Um eine Attacke einleiten zu können, müssen Angreifer aber bereits authentifiziert sein. Ist das gegeben, können sie am fehlerhaften Code, über den sich Nutzer als Marktplatzverkäufer registrieren können, ansetzen und einen neuen Nutzer mit Adminrechten anlegen. Im Anschluss können sie ein eigenes Passwort festlegen und weitreichend auf die Website zugreifen. Darüber können sie etwa Hintertüren in Onlineshops verankern.

Die Entwickler versichern, dass sie die Version 4.0.6 gegen die geschilderte Attacke abgesichert haben. Alle vorigen Ausgaben sollen verwundbar sein. Unklar ist derzeit, ob es bereits Attacken gibt. Admins von WordPress-Websites mit diesem Plug-in sollten in den Einstellungen Ausschau nach unbekannten Accounts halten. Werden sie fündig, sollten sie die Konten umgehend löschen.

Zuletzt wurden Sicherheitslücken im WordPress-Plug-in UiCore Elements mit rund 40.000 aktiven Installationen geschlossen. An dieser Stelle konnten Angreifer eigentlich abgeschottete Informationen auf Servern einsehen.

Auf Admins der Cloud-basierten Fernwartungssoftware ScreenConnect läuft eine Spear-Phishing-Kampagne. Das haben IT-Sicherheitsforscher herausgefunden. Den Angreifern geht es dabei um initialen Zugriff auf Netzwerke, um Ransomware zu platzieren.

In einer Analyse der Speer-Phishing-Kampagne erörtert Mimecast, dass die Kampagne in mehreren Läufen seit 2022 aktiv ist. Die Angreifer versendeten in den einzelnen Durchgängen stets vergleichsweise wenige E-Mails, bis zu 1000. Dadurch bleiben sie weitgehend unentdeckt. Für den Mail-Versand nutzen die kriminellen Drahtzieher Amazon Simple E-Mail-Service-Konten (SES) und zielen auf leitende ITler ab, etwa Leiter, Manager oder IT-Security-Mitarbeiter mit erhöhten Zugangsrechten in ScreenConnect-Umgebungen. Die Angreifer haben es insbesondere auf Super-Admin-Zugänge abgesehen, die weitreichende Kontrolle über die Fernzugriff-Struktur ganzer Organisationen erlauben.

Die Phishing-Mails thematisieren Log-ins von neuen IP-Adressen in ScreenConnect, die die Admins überprüfen sollten.

(Bild: Mimecast)

Die Angreifer verwenden Logos und Optik von ScreenConnect respektive Hersteller Connectwise. In den Phishing-Mails thematisieren sie etwa einen Alarm wegen Zugriffen von neuen IP-Adressen. Die Schaltfläche "Review Security" in der Mail führt dann auf die Phishing-Seiten – die ebenfalls an die Original-Optik angelehnt sind. Auch die URLs wirken auf den ersten Blick korrekt. Sie verwenden unter anderem Top-Level-Domains, die Connectwise tatsächlich nutzen könnte, wie connectwise[.]com.ar oder connectwise[.]com.be.

Unter bestimmten Voraussetzungen können Angreifer GitHub Enterprise Server attackieren und auf eigentlich abgeschottete Informationen in Repositorys zugreifen. Dagegen abgesicherten Versionen stehen zum Download bereit.

Aus einem Eintrag zur Schwachstelle (CVE-2025-8447 "hoch") geht hervor, dass die Entwickler GitHub Enterprise Server 3.14.17, 3.15.12, 3.16.8 und 3.17.5 repariert haben. Um die Lücke ausnutzen zu können, benötigen Angreifer der Beschreibung zufolge Zugriff auf bestimmte Informationen von privaten Repositorys wie Branches oder Tags. Ist das gegeben, können sie über die Compare/Diff-Funktion die Authentifizierung umgehen und Code im jeweiligen Repository einsehen.

Bislang gibt es keine Berichte, dass bereits Attacken laufen. Unklar bleibt auch, woran man bereits attackierte Instanzen erkennen kann. Admins sollten sicherstellen, dass ihre Github-Server auf dem aktuellen Stand sind.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Der brandenburgische Polizeipräsident Oliver Stepien ist offen für den Einsatz von Künstlicher Intelligenz in der Polizeiarbeit – unter bestimmten Voraussetzungen. "Wir müssen KI mit Nachdruck betreiben, weil das der Beginn einer Entwicklung ist, glaube ich, deren Umfang und abschließende Wirkung überhaupt noch nicht absehbar ist. Dem müssen wir uns stellen", sagte Stepien der Deutschen Presse-Agentur in Potsdam. "Wir müssen dafür offen sein."

Per Polizeigesetz, das bis Ende 2027 reformiert werden soll, muss die Polizei aus Sicht von Innenminister René Wilke mehr Möglichkeiten auch in Sachen KI und bei der Verwertung von Daten bekommen. "Da ist, glaube ich, noch ein Stückchen Weg vor uns, wo wir uns auch modernisieren müssen", sagte der parteilose Politiker vor Kurzem der dpa.

Zuletzt war eine Debatte um eine umstrittene Analyse-Software des US-Unternehmens Palantir zur Verbrechensbekämpfung entbrannt. Datenschützer warnen, dass sensible Daten abgezweigt werden könnten. Die Polizei in einigen Bundesländern nutzt die Software – Brandenburg nicht.

Innenminister Wilke äußerte sich zuletzt skeptisch dazu. Mit der Software namens Gotham, die in Bundesländern als angepasste Version unter den Namen Hessendata, DAR und VeRA läuft, kann die Polizei große Mengen an Daten auswerten und Verbindungen herstellen.

Die Polizei in Brandenburg nutze bislang KI beispielsweise zur Transkription von audiovisuellen Vernehmungen, aber noch keine Systeme, die etwa eigenständig Straftaten oder Straftäter an deren Verhalten erkennen könnten, so Stepien. "Für eine abschließende Strategie brauchen wir zuerst ein einheitliches Begriffsverständnis von KI, klare Rechtsgrundlagen und bestimmte Eingriffsbefugnisse." Es müssten immer auch ethische Fragen geklärt werden.

Google schränkt die freie Nutzung zertifizierter Android-Geräte ein. Ab Herbst 2026 können nur noch Anwendungen installiert werden, deren Herausgeber sich zuvor bei Google registriert und dann die jeweilige Anwendung signiert hat. Für Installationen über den Google Play Store gilt das schon seit 2023; nun wird die Anonymität auch für Sideloading abgeschafft, also für direkt am Gerät, ohne Nutzung des Play Store. installierte Programme.

Eine inhaltliche Prüfung der Software, beispielsweise auf Schadcode, führt Google dabei ausdrücklich nicht durch. Dennoch stellt Google den am Montag angekündigten Schritt als Sicherheitsmaßnahme dar. Umgesetzt wird er durch eine neue, verpflichtende Android Developer Console speziell für Sideloading. Kritiker vermuten einen Zusammenhang mit Bestrebungen von Behörden mehrerer Länder, die Öffnung Androids für alternative App-Stores zu erzwingen. Durch die Registrierungspflicht sichert sich Google auch bei diesen Einfluss erntet Daten.

Ab Oktober 2025 werden ausgewählte App-Entwickler das neue Prozedere für Google testen dürfen, im März 2026 sollen dann alle einsteigen können. Im September 2026 soll Sideloading anonymer Apps in Brasilien, Indonesien, Singapur und Thailand unmöglich werden. Ab 2027 folgt schrittweise der Rest der Welt.

Software-Herausgeber müssen im Zuge der Verifizierung personenbezogene Daten wie Name, Adresse, E-Mail-Adresse und Telefonnummer nachweisen, beispielsweise durch Rechnungskopien, und in vielen Ländern zusätzlich einen Lichtbildausweis hochladen. Für Menschen, die im deutschen Sprachraum leben, schreibt Google zudem vor, dass der Lichtbildausweis von einer Behörde im EWR oder der Schweiz herausgegeben sein muss. Wer das nicht hat, bleibt außen vor.

Juristische Personen müssen zusätzlich bei der Firma Dun & Bradstreet (D&B) eine sogenannte DUNS Nummer lösen. Das ist zwar gebührenfrei möglich, dauert aber bis zu 30 Tage. In manchen Ländern ist Expressbearbeitung gegen Gebühr möglich, was immer noch mehrere Werktage dauern kann.