Comretix Blog

Angreifer können mit vergleichsweise wenig Aufwand auf Dell Elastic Cloud Storage (ECS) und ObjectScale zugreifen. Damit setzten Firmen unter anderem Cloudspeicher auf. Liegen dort wichtige Daten, können unbefugte Zugriffe weitreichende Folgen haben. Sicherheitsupdates schließen die Schwachstelle.

In einer Warnmeldung führen die Entwickler aus, dass lokale Angreifer ohne Authentifizierung aufgrund eines hartkodierten SSH-Schlüssels auf Instanzen zugreifen können (CVE-2025-26476 "hoch"). Ob es bereits Attacken gibt, geht derzeit aus der Meldung nicht hervor. Admins sollten besser die Logdateien auf unbekannte Zugriffe abklopfen.

Um Systeme vor der geschilderten Attacke zu schützen, müssen Admins die mit einem Sicherheitspatch versehenen Ausgaben ECS 3.8.1.5 oder ObjectScale 4.0.0.0 installieren. Alle vorigen Versionen sind den Entwicklern zufolge für Angriffe empfänglich.

Nach einer "frischen" Neuinstallation sind Instanzen der Warnmeldung zufolge direkt geschützt. Wer eine ältere Version aktualisiert, muss für einen wirksamen Schutz noch zwingend die SSH-Schlüssel über die Funktion "Rotate SSH Keys" erneuern.

Zuletzt schützte Dell Anfang Juli seine Backuplösung Data Protection Advisor vor möglichen Attacken.

Ohne DNS geht im Internet nicht viel. Die Auflösung von sprechenden Host- und Domainnamen zu schwer merkbaren IP-Adressen erleichtert den Zugang zum Netz ungemein und macht das Web in der heutigen Form erst möglich. Doch das Domain Name System ächzt unter der Last seiner Verantwortung: Die über unverschlüsselte und leicht fälschbare UDP-Pakete übertragenen DNS-Daten stellen ein Sicherheitsrisiko dar. Das soll DNSSEC beheben, die Domain Name System Security Extensions: Indem alle Antworten eines Nameservers digital signiert werden, sind Fälschungen leicht erkennbar.

Am Donnerstag hat die Orange-Tochter Orange Cyberdefense die Übernahme des schweizerischen Mitbewerbers Ensec verkündet; einen Tag später hat Orange einen erfolgreichen IT-Angriff auf die eigene Infrastruktur bemerkt. Als Reaktion hat der französische Telecom-Konzern infizierte Bereiche isoliert, was Störungen bei "bestimmten Management-Diensten und Plattformen für einige unserer Geschäftskunden sowie einigen Diensten für Verbraucher, vorwiegend in Frankreich" verursache.

Das hat Orange am Montag bekanntgegeben. An dem Tag hat der Konzern auch Anzeige erstattet. Bis Mittwochvormittag sollen wieder alle Systeme laufen. "In diesem Stadium der Untersuchung gibt es keinen Beweis, der darauf hindeutet, dass irgendwelche internen Daten oder Kundendaten ausgeleitet worden sind", teilt das Unternehmen noch mit.

Aus vermeintlich "offensichtlichen" Gründen lehnt Orange jeden weiteren Kommentar ab. Damit bleibt unklar, ob Orange überhaupt Systeme hatte, die die Ausleitung von Daten bemerken und Alarm schlagen würden. Auch können andere Unternehmen nicht aus Oranges Fehlern lernen, was für die Täter von Vorteil sein mag.

Seit 2022 ist Orange Cyberdefense in der Schweiz tätig und bietet dort insbesondere proaktive Sicherheitslösungen feil. Zum Stichtag 23. Juli hat der Unternehmen den Zürcher Anbieter Ensec mit 40 Experten für IT-Sicherheit übernommen. Sie stoßen nun zu den rund 100 schweizerischen IT-Mitarbeitern der Orange Cyberdefense hinzu.

Das soll laut Mitteilung die Marktposition des Unternehmens in der Deutschschweiz stärken. Finanzielle Details der Übernahme verraten die Beteiligten nicht.

Angreifer können an Sicherheitslücken in IBMs Serververwaltung Informix HQ und dem Reportingtool Cognos Analytics ansetzen. Im schlimmsten Fall kann es zur Ausführung von Schadcode kommen. Sicherheitsupdates sind verfügbar.

Mit Informix HQ verwalten Admins Datenbankserver auf Basis von Informix Dynamic Server. Weil eine Logoutfunktion fehlerhaft ist (CVE-2024-49342 "hoch"), können entfernte Angreifer einer Warnmeldung zufolge via Brute-Force-Attacken auf Server zugreifen. Außerdem sind in diesem Kontext XSS-Attacken vorstellbar (CVE-2024-49343 "mittel).

Die Entwickler geben an, die Informix-HQ-Versionen 3.0.0, 12.10.xC16W2 und 14.10.xC11W1 gegen die geschilderten Attacken abgesichert zu haben. Bislang sind keine Informationen zu bereits laufenden Angriffen bekannt. Admins sollten mit dem Patchen aber nicht zu lange zögern.

Wie IBMs Entwickler in einem Beitrag ausführen, ist Cognos Analytics über eine Schwachstelle (CVE-2025-27607 "hoch") in Python JSON Logger angreifbar. An dieser Stelle kann es zur Ausführung von Schadcode aus der Ferne kommen. Dagegen sind die Ausgaben 11.2.4 FP6, 12.0.4 FP1 und 12.1.0 IF2 gerüstet.

Der Bereich TCC (Transparency, Consent and Control) ist für Apple immer wieder ein Sorgenkind: Mit der Technik soll macOS eigentlich vor Datenabflüssen an Apps bewahrt werden, die der Nutzer nicht wünscht. Doch Bugs in diesem Zustimmungs- und Überprüfungs-Framework treten immer wieder auf – oftmals durch die Hintertür. Ein Beispiel ist ein aktueller Bug, den Sicherheitsforscher bei Microsoft aufgefunden haben. Die Lücke namens Sploitlight nutzt Apples hauseigene Spotlight-Suchfunktion samt Fehlern in Apple Intelligence, um sensible Daten, darunter Ortsangaben, Metainfos und sogar Gesichtserkennungsinformationen, abzugreifen. Apple hat den Bug glücklicherweise bereits mit macOS 15.4 Ende März gefixt.

TCC soll eigentlich dafür sorgen, dass nicht ohne Nutzerfreigabe auf persönliche Informationen zugegriffen werden kann. Dafür nutzt Apple ein breites Sandboxing – so breit, dass die vielen Nachfragen viele User sogar nerven. Im Rahmen von Sploitlight zeigte Microsoft nun, dass es möglich ist, auf von Apples KI-System Apple Intelligence im Cache vorgehaltene Daten zuzugreifen. Dazu manipulierten die Forscher Spotlight-Plugins so, dass sie über übliche Spotlight-Funktionen wie mdfind (Spotlight auf der Kommandozeile) einen TCC-Bypass schaffen konnten. Dabei muss ein Angreifer wissen, welche Dateitypen er oder sie auslesen will. Die Plugins sind sogar unsigniert, sie lassen sich also deutlich einfacher durch Angreifer ausführen als "normale" Apps.

Microsoft gelang es weiterhin, Fotoalben und geteilte Alben auszulesen, Nutzeraktivitäten im Bereich Fotos zu tracken, anzusehen, welche Fotos und Videos gelöscht wurden sowie den Bildklassifizierer zu missbrauchen, der feststellt, was ein Bild zeigt.

Einige der Leaks benötigen ein aktives Apple Intelligence, andere offenbar nicht. Laut Microsoft wäre es auch möglich, andere Cache-Dateien auszulesen, darunter solche von ChatGPT (das in Apple Intelligence integriert ist) oder E-Mail-Zusammenfassungen.

Offenbar ist von der Lücke teilweise auch das iPhone betroffen. Microsoft deutet an, dass es vom Mac aus möglich ist, abgeglichene Daten abzugreifen. Apple hat in iOS 18.4 mehrere Lücken gefixt, die dazu passen. Microsoft lieferte insgesamt drei Fehlerberichte für macOS 15.4 und iOS 18.4, darunter auch ein Bug im Kontext der Überprüfung von Symlinks und einen "State Management"-Fehler. Nutzer sollten ihr System dringend auf den aktuellen Stand bringen. macOS 15.5 und iOS 18.5 sind die aktuellen Versionen.

Aufgrund derzeit laufender Angriffe sollten Admins sicherstellen, dass sie eine aktuelle Ausgabe der Druckermanagementsoftware PaperCut NG/MF installiert haben. Sind Attacken erfolgreich, können Angreifer im schlimmsten Fall Schadcode auf Systeme schieben und ausführen. Sicherheitsupdates sind schon länger verfügbar.

Vor den Attacken warnt die US-Sicherheitsbehörde CISA (Cybersecurity & Infrastructure Security Agency) in einem aktuellen Beitrag. Die Lücke (CVE-2023-2533 "hoch") ist schon zwei Jahre alt; seitdem gibt es auch Sicherheitspatches. Doch offensichtlich sind diese nicht flächendeckend installiert, sodass Angreifer noch an der Softwareschwachstelle ansetzen können.

Im Zuge einer Cross-Site-Request-Forgery-Attacke (CSRF) nehmen Angreifer an verwundbaren PCs angemeldete Admins ins Visier, um im Namen der Opfer Aktionen auszuführen. Klappt eine Attacke, können Angreifer Sicherheitseinstellungen verbiegen oder sogar eigenen Code ausführen und so Systeme kompromittieren.

In welchem Umfang und wie genau solche Attacken in diesem Fall ablaufen, ist derzeit nicht bekannt. Aus der zwei Jahre alten Sicherheitswarnung des Softwareherstellers geht hervor, dass die Version PaperCut NG/MF 22.1.1 gegen die Angriffe abgesichert ist. Darin haben die Entwickler eigenen Angaben zufolge die Konfigurationen von bestimmten Komponenten vom Admin-Interface separiert. Davon sollen alle Betriebssysteme, für die es die Druckermanagementsoftware gibt, bedroht sein. Sie geben an, dass die Versionen 20.1.8 und 21.2.12 nicht von der Softwareschwachstelle betroffen sind.

Woran Admins bereits attackierte Computer erkennen können, geht aus dem Beitrag der Entwickler leider nicht hervor.

Das Sicherheits- und Computer-Notfallteam des Elektrotechnik- und IT-Verbands VDE spielt international seit wenigen Tagen eine wichtigere Rolle. Die Branchenvereinigung teilte am Freitag mit, dass das eigene Computer Emergency Response Team CERT@VDE zur zentralen Stelle im Kampf gegen IT-Sicherheitslücken im Bereich der Industrieautomation mit Fokus auf kleine und mittlere Unternehmen aufgestiegen sei. Dessen Arbeit zur Koordination von Security-Problemen in diesem Sektor erhält damit eine weltweite Bedeutung.

Sicherheitslücken in Industrieprodukten haben bereits etwa in der Strom- und Wasserversorgung, in Krankenhäusern oder in großen Fertigungsstätten für teils existenzielle Bedrohungen gesorgt. Wenn Angreifer solche Schwachstellen ausnutzen, kann das weitreichende und schwerwiegende Folgen für Mensch, Umwelt und Gesellschaft haben. Um das zu verhindern, müssen diese Lücken weltweit bekannt gemacht und behoben werden.

Dafür gibt es das CVE-System (Common Vulnerabilities and Exposures), das vor über 25 Jahren in den USA eingeführt wurde. Es fungiert wie eine große Datenbank, in der jede bekannte Sicherheitslücke eine eigene, eindeutige Nummer hat. Das soll dabei helfen, Missverständnisse bei der Behebung von Problemen zu vermeiden, da jeder genau weiß, welche Schwachstelle gemeint ist. Seit 1999 gilt das CVE-System als wichtiger globaler Standard, der IT-Sicherheitsexperten und Unternehmen hilft.

Doch nicht jeder soll einfach CVE-IDs vergeben können, um Chaos zu vermeiden. Dazu berechtigt sind nur bestimmte Organisationen und Firmen. Sie sind als "CVE Numbering Authorities (CNAs)" bekannt. Diese teilen sich die Zuständigkeiten für verschiedene Produkte und Bereiche auf. CERT@VDE ist bereits seit 2020 eine solche CNA für seine Partner. Das Zentrum hat sich dafür im Rahmen von Prüfungen durch die US-Normungsbehörde NIST einen hohen Qualitätsstandard für seine CVEs erarbeitet. Die NIST betreibt auch die NVD (National Vulnerability Database), eine staatliche Datenbank, die das CVE-System um technische Details und Bewertungen ergänzt.

Über den normalen CNAs gibt es noch sogenannte Root-CNAs. Das sind die Schaltzentralen, die die Arbeit der untergeordneten Zulieferer koordinieren und überwachen. Zu diesen Root-CNAs gehören bereits große Namen wie MITRE, die US-Cybersicherheitsbehörde CISA, Google und Red Hat aus den USA, das japanische JPCERT/CC, das spanische INCIBE Cert sowie der französische Konzern Thales. Seit Mitte Juli dient nun CERT@VDE als die erste deutsche Root-CNA.

Die MyASUS-App kann zum Einfallstor für Angreifer werden. Schuld sind zwei Sicherheitslücken, die aber mittlerweile geschlossen sind. Wer das Tool nicht aktualisiert, riskiert unbefugte Zugriffe auf bestimmte Services.

Das geht aus einer Warnmeldung des Computerherstellers hervor. Von den beiden Schwachstellen (CVE-2025-4569 "hoch", CVE-2025-4579 "mittel") sind Computer des Herstellers aus den Bereichen All-in-One-PCs, Desktop, NUCs und Laptops betroffen.

Aufgrund von hartkodierten Zugangsdaten in Form eines Tokens können Attacken stattfinden. Damit ausgestattet können Angreifer auf bestimmte, nicht näher spezifizierte Dienste zugreifen. Die Entwickler geben an, die Sicherheitsprobleme in den Ausgaben 4.0.36.0 (x64) und 4.2.35.0 (ARM) gelöst zu haben. Ob es bereits Attacken gibt, ist zurzeit nicht bekannt.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die Netzwerkkamera LNV5110R von LG Innotek sollte nicht mehr benutzt werden: Die US-Sicherheitsbehörde CISA (Cybersecurity & Infrastructure Security Agency) warnt vor einer Sicherheitslücke, für die es kein Sicherheitsupdate mehr geben wird.

Wie aus einem Beitrag der Behörde hervorgeht, ist der Support für das Modell ausgelaufen und die Netzwerkkamera bekommt keine Sicherheitspatches mehr. Die Schwachstelle bleibt also bestehen und Angreifer können die Netzwerkkamera attackieren.

Weil Angreifer nach einer erfolgreichen Attacke Schadcode ausführen können, gilt die Lücke (CVE-2025-7742 "hoch") als besonders gefährlich. Für das Einleiten einer Attacke soll das Versenden von präparierten HTTP-POST-Anfragen ausreichen. Im Anschluss sollen Angreifer eigenen Code mit Adminrechten ausführen können. Danach ist davon auszugehen, dass das Gerät vollständig kompromittiert ist.

Unklar bleibt, ob Angreifer die Schwachstelle als Sprungbrett in Netzwerke nutzen können. Bislang gibt es noch keine Berichte zu Attacken. Wie man bereits attackierte Geräte erkennt, führt die CISA derzeit nicht aus. Aufgrund des beschriebenen Angriffsszenarios ist es wahrscheinlich, dass Angreifer sich Admin-Accounts anlegen. Sieht man in der Verwaltungsoberfläche unbekannte Accounts, sollte man sie umgehend löschen.

Um die Netzwerksicherheit zu wahren, sollte man dieses Netzwerkkameramodell nicht mehr nutzen und auf ein aktuelles, noch im Support befindliches Modell umsteigen. Wenn das nicht direkt möglich ist, sollte man die Internetverbindung der Kamera kappen und sie mit Firewallregeln isolieren. Ist ein Fernzugriff unabdingbar, sollte das über eine passwortgeschützte und verschlüsselte VPN-Verbindung geschehen.

Besitzer von Nvidia-Grafikkarten sollten sicherstellen, dass aktuelle GPU-Treiber installiert sind und die vGPU-Software auf dem aktuellen Stand ist. Andernfalls können Angreifer an mehreren Sicherheitslücken ansetzen, um Linux- und Windows-PCs zu attackieren.

Wie aus einer Warnmeldung hervorgeht, kann dabei im schlimmsten Fall Schadcode auf Systeme gelangen und diese vollständig kompromittieren. Der Großteil der Softwareschwachstellen in GPU-Treibern für Linux und Windows ist mit dem Bedrohungsgrad "hoch" eingestuft (etwa CVE-2025-23276 und CVE-2025-23277).

Setzt ein Angreifer erfolgreich an der ersten Lücke an, kann er sich höhere Nutzerrechte verschaffen und im Anschluss eigenen Code ausführen. In der Regel erlangen Angreifer in solchen Fällen die volle Kontrolle über Computer. Im zweiten Fall können unter anderem Informationen leaken oder es kommt zu DoS-Zuständen, was Abstürze auslöst.

Wie solche Attacken ablaufen könnten, ist bislang unklar. Derzeit gibt es keine Berichte zu Attacken. Das kann sich aber schnell ändern und Admins sollten zeitnah reagieren und gegen die geschilderten Angriffe abgesicherte Versionen installieren.

Nvidia vGPU-Software ist an mehreren Stellen verwundbar. Zwei Schwachstellen sind mit dem Bedrohungsgrad "hoch" versehen (CVE-2025-23283, CVE-2025-23284). Sie betreffen im Kontext von Linux-Hypervisoren den virtuellen GPU-Manager. An diesen Stellen kann es etwa zur Ausführung von Schadcode kommen. Außerdem könnten Angreifer Daten manipulieren und Dienste crashen lassen.

Die Ransomware-Gang Blacksuit muss wohl vorerst auf Einnahmen aus Erpressungen verzichten: Eine Gruppe aus internationalen Strafverfolgern unter deutscher Beteiligung hat im Rahmen der "Operation Checkmate" ihre Darknet-Infrastruktur lahmgelegt. "This Domain has been seized", verkündet die von den Ermittlern platzierte Botschaft.

Blacksuit hieß früher einmal Royal und war unter diesem Namen schon seit 2022 aktiv. Im August 2024 erfolgte dann die Umbenennung – eine beliebte Strategie vor allem dann, wenn Ermittler den Gangstern allzu dicht an den Fersen kleben.

Wie viele andere Akteure bedient sich Blacksuit einer doppelten Erpressungsstrategie: Vor dem Verschlüsseln exfiltriert sie sensible Daten von Unternehmen und Organisationen, um diese dann mit der Veröffentlichung zu erpressen. Laut einer älteren Sicherheitswarnung der Cybersecurity and Infrastructure Security Agency (CISA) zu Blacksuit bewegen sich die typischen (Bitcoin-)Forderungen der Gruppe zwischen einer und zehn Millionen US-Dollar. Insgesamt habe die Gruppe (Stand August 2024) über 500 Millionen US-Dollar gefordert; mittlerweile dürften zahlreiche weitere Erpressungen hinzugekommen sein.

Sowohl die Veröffentlichung exfilitrierter Daten (und deren Androhung) als auch die Lösegeld-Verhandlungen selbst erfolgten über die nun beschlagnahmten Onion-Sites. Die Gruppe wird also erst einmal umbauen müssen. Zudem bleibt abzuwarten, ob nicht noch weitere Maßnahmen im Rahmen von "Operation Checkmate" ihr Fortbestehen und ihre Operationen beeinträchtigen werden. Bislang ist über Haftbefehle, Hausdurchsuchungen oder gar Festnahmen nichts bekannt geworden.

Derweil berichtet Ciscos Talos Intelligence Group über verstärkte Aktivitäten einer noch recht neuen Ransomware namens Chaos.

Ein Software-Supply-Chain-Angriff hat das beliebte JavaScript-Paket is getroffen, das es auf knapp 2,7 Millionen Downloads pro Woche bringt.

Der Maintainer Jordan Harband schreibt auf Bluesky, dass Angreifer den Account eines anderen Projektverantwortlichen übernommen hatten. Betroffen sind die Versionen 3.3.1 und 5.0.0 des Pakets.

Die Sommerflaute nutzen die beiden Hosts des c't-Datenschutz-Podcasts für einen bunten Ritt durch die Datenschutzwelt. Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich präsentieren in Episode 139 ihre persönliche Auswahl aktueller Fälle und Entwicklungen.

Den Auftakt macht das obligatorische "Bußgeld der Woche", diesmal aus Italien: Die Autostrade per l'Italia muss 420.000 Euro zahlen, weil sie private Facebook-Posts und WhatsApp-Nachrichten einer Mitarbeiterin für ein Disziplinarverfahren verwendet hatte. Die italienische Datenschutzbehörde Garante betont, dass online verfügbare Daten nicht automatisch für jeden Zweck genutzt werden dürfen. Die Behörde sah darin einen Verstoß gegen die Zweckbindung personenbezogener Daten. Bleich und Heidrich diskutieren, ob zumindest öffentliche Social-Media-Posts tatsächlich nicht für andere Zwecke verwendet werden dürfen.

Einiges Rumoren in der Datenschutz-Community erzeugt ein Urteil des Landgerichts (LG) Leipzig: 5000 Euro Schadensersatz sprach es einem Nutzer zu, der sich von den Meta-Business-Tools im Web überwacht fühlt. Viele Website-Betreiber nutzen diese Tools, etwa in Form von Social-Plug-ins. Meta könne damit allerdings "jeden Nutzer zu jeder Zeit individuell erkennbar [machen], sobald er sich auf Drittwebseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Instagram- oder Facebook-Account angemeldet hat", so das Gericht.

Die Höhe des Schmerzensgeldes nach Art. 82 DSGVO müsse demnach über die in der nationalen Rechtsprechungspraxis etablierten Beträge hinausgehen. Das Gericht sieht eine systematische Überwachung und spricht von einem Signal gegen Meta. Die Hosts zeigen sich überrascht von der Höhe des Schadensersatzes, der ohne konkrete Schadensdarlegung allein auf Basis eines "Überwachungsgefühls" zugesprochen wurde. Dies könne für Meta tatsächlich gravierende Folgen haben, wenn sich die Ansicht des LG Leipzig an anderen Gerichten durchsetzen sollte.

Derweil gerät Microsoft in Erklärungsnot: Nachdem der Konzern vollmundig eine undurchlässige "EU Data Boundary" für die Kundschaft in der EU versprochen hatte, räumte der französische Chefjustiziar nun ein, dass US-Behörden über den Cloud-Act weiterhin auf europäische Kundendaten zugreifen können. Bleich zeigt sich wenig überrascht, aber verärgert über die irreführenden Versprechen. Ein weiteres Mal stehe die Glaubwürdigkeit von Datenschutzversprechen großer US-Tech-Konzerne in Frage.

Eine kritische Sicherheitslücke bedroht drei Produkte für den sicheren mobilen Fernzugriff (Secure Mobile Access, SMA) aus der SMA100-er Serie von Sonicwall: SMA 210, 410 und 500v.

Der Hersteller rät dringend zum zügigen Firmware-Upgrade, auch wenn es bislang noch keine Hinweise auf aktive Exploits gebe. Ein "potenzielles Risiko" bestehe; insbesondere vor dem Hintergrund, dass Googles Threat Intelligence Group kürzlich in einer Veröffentlichung auf aktuelle Attacken in freier Wildbahn hinwies, die allerdings auf ältere, schon früher bekannte Sicherheitslücken in der SMA 100er-Serie abzielen.

Ausdrücklich nicht von der aktuellen Schwachstelle betroffen sei die SMA1000er-Serie.

Verwundbar sind Firmware-Versionen bis einschließlich 10.2.1.15-81sv. Versionen ab 10.2.2.1-90sv aufwärts sind abgesichert. Einen Workaround gibt es nicht. Dringend zu beachten sind die zusätzlichen Hinweise im Abschnitt "Comments" von Sonicwalls Sicherheitswarnung mit Schritt-für-Schritt-Handlungsanweisungen, insbesondere für SMA 500v:

Die betreffende kritische Lücke mit der ID CVE-2025-40599 (CVSS-Score 9.1) kann laut Sonicwall unter bestimmten Voraussetzungen von einem entfernten Angreifer ausgenutzt werden, um beliebige Dateien auf das System zu schleusen und schlimmstenfalls Code zur Ausführung zu bringen (Remote Code Execution). Voraussetzung hierfür ist allerdings, dass er über Admin-Rechte verfügt.

Gelingt Strafverfolgungsbehörden ein größerer Schlag gegen Akteure und Infrastrukturen des Cybercrime, so ist der Rückgang der verbrecherischen Aktivitäten selten von Dauer: Nach ein paar internen Umbauten setzen sie ihre Angriffe häufig fort, als sei (fast) nichts geschehen.

So auch im Falle zweier Gruppen, die erst kürzlich zum Ziel internationaler Operationen wurden: Sicherheitsforscher haben neue Aktivitäten des berüchtigten Infostealers Lumma beobachtet, und auch die politisch motivierte russische dDoS-Gruppe (distributed Denial-of-Service) NoName057(16) attackierte schon nach wenigen Tagen Funkstille wieder munter deutsche Websites.

Parallel dazu wächst offenbar eine neue Bedrohung heran: US-Behörden haben eine gemeinsame Warnmeldung zu einer Ransomware namens Interlock veröffentlicht. Die ist zwar schon länger aktiv, soll nun jedoch ihre Aktivitäten ausgeweitet haben.

Erst Ende Mai dieses Jahres war einem Kollektiv aus Cloud- und Sicherheitsunternehmen, angeführt von Europol und Microsoft, ein empfindlicher Schlag gegen Lumma gelungen. Nachdem Microsoft allein zwischen Mitte März und Mitte Mai rund 400.000 infizierte Windows-Rechner registriert hatte, schlug das Unternehmen zu: Es leitete die Kommunikation zwischen dem Schadprogramm und den Command-and-Control-Servern (C2) der Angreifer zu eigenen Servern um (Sinkholing) und unterband so die kriminellen Aktivitäten. Außerdem wurden nach Angaben Microsofts im Austausch mit Europol ermittelte Angreifer-Domains identifiziert und beschlagnahmt.

Zur "Zerschlagung" des Lumma-Stealers, der auf infizierten Rechnern unter anderem Browserdaten, Krypto-Wallets, VPN-Konfigurationen und Dokumente im PDF- oder Word-Format abgreift, reichte das aber nicht. Sicherheitsforscher von Trend Micro haben beim gezielten Monitoring von Lumma-Aktivitäten festgestellt, dass der Informationsdiebstahl mittlerweile wieder in vollem Gange ist.

Im internationalen Kampf gegen Cyberkriminalität ist den französischen und ukrainischen Behörden offenbar ein weiterer Coup gelungen. Koordiniert durch Europol, verhafteten Beamte des SBU (Служба безпеки України, Inlandsgeheimdienst der Ukraine) und der französischen Polizei einen Mann in Kyjiw. Er habe eine Schlüsselrolle beim Betrieb des Untergrundforums XSS gespielt und über Jahre mehr als sieben Millionen Euro damit verdient, sagen die Behörden.

Der Hauptverdächtige habe nicht nur die technische Plattform verwaltet, sondern kriminelle Geschäfte ermöglicht, lautet der Vorwurf. Er habe als vertrauenswürdiger Dritter ("Escrow") Transaktionen abgesichert und Meinungsverschiedenheiten zwischen Cyberganoven geschlichtet. Für diese sogenannte Arbitrage gibt es bei XSS ein eigenes Unterforum. Durch Provisionen und Werbeeinnahmen habe er mehr als sieben Millionen Euro Umsatz erwirtschaftet.

Das Forum existiert seit mehr als 20 Jahren und wurde 2004 unter dem Namen DaMaGeLaB gegründet – der nun Festgenommene soll fast ebenso lange Verbindungen zu Cyberkriminellen gepflegt haben. Bei XSS gingen prominente Namen ein und aus – etwa der Kopf hinter der Lockbit-Ransomware, von Ermittlern als der Russe Dmitry K. identifiziert. Oder "Lumma", der oder die Erfinder der gleichnamigen Infostealer-Malware. Beide haben derzeit Hausverbot bei XSS und Ärger mit internationalen Ermittlungsbehörden.

Kurz nach Bekanntgabe der Verhaftung schien es, als sei auch das Forum nebst aller Nutzerdaten den Ermittlern in die Hände gefallen: Auf der Domain "xss.is" prangt das für derlei digitale Razzien übliche Banner der beteiligten Ermittlungsbehörden. Auch die über das Tor-Netzwerk erreichbare Onion-Adresse von XSS war am 23. Juli offline, ist mittlerweile jedoch wieder erreichbar. Im Forum herrscht jedoch Misstrauen: Viele Nutzer gehen davon aus, dass Europol die Administration übernommen hat und für eine Weile mitliest, um die Ermittlung voranzutreiben.

Das war wohl niXSS: Ermittler haben eine Domain des Untergrundforums beschlagnahmt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit dem eco-Verband und dem Bitkom das E-Mail-Sicherheitsjahr 2025 ausgerufen. Ziel des Ganzen ist, den E-Mail-Verkehr in Deutschland flächendeckend sicherer zu gestalten.

Alle Unternehmen und Organisationen werden aufgerufen, als Teil der Cybernation mitzuwirken. Unabhängig von ihrer Größe dürfen sie sich noch bis zum 15. August 2025 zur Teilnahme anmelden und sich für die Hall of Fame des BSI bewerben.

Unternehmen und Organisationen, die eine eigene E-Mail-Infrastruktur betreiben oder eine solche Kunden anbieten, werden vom BSI aufgerufen, zwei Technischen Richtlinien zum Sicheren E-Mail-Transport (BSI TR-03108) und zur E-Mail-Authentifizierung (BSI TR-03182) umzusetzen. Die beiden umzusetzenden technischen Richtlinien adressieren dabei sechs Maßnahmen:

Das BSI setzt dabei nicht voraus, dass Unternehmen und Organisationen jetzt schon alle Kriterien erfüllen. Aber das verbindliche Zugeständnis, diese bald umzusetzen und schon gestartet zu haben, reicht aus, um auf der Hall of Fame gelistet zu werden.

Zur Erklärung und Umsetzung gibt es weitere Hilfestellungen seitens der BSI Allianz für Cybersicherheit. Des Weiteren werden vom BSI Webinare, How-to-Guides, Tipps & Tricks via E-Mail, Live-Veranstaltungen, Podcasts, Kooperationsprogramme, Starterpakete, Kompetenzgruppentreffen, E-Mail-Checker, Beratungen, Messungen, Vernetzungen und Best-Practices-Austausche zwischen den Unternehmen und Organisationen angeboten. All das soll den Umstieg in eine sichere E-Mail-Umgebung gemeinsam erleichtern.

Die neue Version 141 von Mozillas Browser Firefox ist da und hat Security-Fixes im Gepäck. Auch den ESR-Versionen (Extended Support Releases) hat Mozilla Sicherheitsverbesserungen in Gestalt der abgesicherten Versionen ESR 115.26, ESR 128.13 und ESR 140.1 spendiert. Gleiches gilt für den Mail-Client Thunderbird, der jetzt ebenfalls in Version 141 sowie in den gefixten ESR-Fassungen 128.13 und 140.1 vorliegt.

Die gefährlichsten unter den geschlossenen Sicherheitslücken wurden mit "High" bewertet; Einstufungen als "kritisch" sind nicht dabei. Ein Warnhinweis des Bundesamts für Sicherheit in der Informationstechnik (BSI) fasst die Bedrohungen kurz zusammen. Demnach könnten einige der Lücken unter bestimmten Voraussetzungen aus der Ferne ausgenutzt werden, um etwa im Kontext der Software Programmcode auszuführen, Denial-of-Service-Zustände hervorzurufen oder an sensible Daten zu gelangen.

Wer sich für nähere Schwachstellen-Details interessiert, findet diese in Mozillas Advisories zu den jeweiligen neuen Versionen.

Zu den neuen Features in Firefox 141 zählen unter anderem ein KI-Assistent für die Tab-Organisation, eine bessere Anpassbarkeit der vertikalen Tableiste sowie diverse Optimierungen für einen reduzierten RAM-Bedarf. Den Details haben wir eine eigene Meldung gewidmet:

Für Googles Chrome-Browser gab es am gestrigen Dienstag ein sogenanntes Stable Channel Update auf die Versionen 138.0.7204.168/.169 (Windows, macOS) beziehungsweise 138.0.7204.168 (Linux).

Ende Juni warnte Cisco erstmals vor den kritischen Sicherheitslücken CVE-2025-20281 und CVE-2025-20282 in der Identity Services Engine (ISE) und im ISE Passive Identity Connector (ISE-PIC). Mitte Juli kam mit CVE-2025-20337 eine dritte, verwandte Lücke hinzu.

Alle drei wurden mit dem höchstmöglichen Schweregrad (10.0, kritisch) eingestuft. Angreifer können sie missbrauchen, um aus dem Netz ohne vorhergehende Authentifizierung beliebige Befehle oder Schadcode ins Betriebssystem einzuschleusen und diese(n) dann im Kontext des root-Users auszuführen.

Nun hat das Unternehmen die Sicherheitsmitteilung zu den drei Schwachstellen nochmals aktualisiert: Das interne Product Security Incident Response Team habe aktive Angriffe in freier Wildbahn beobachtet.

Wer die verfügbaren ISE-Patches noch nicht angewendet hat, sollte das jetzt nachholen. Das Release 3.4 Patch 2 ist grundsätzlich nicht bedroht; für die verwundbaren Releases nebst verschiedenen Hotpatch-Konstellationen gibt Ciscos Advisory Update-Empfehlungen zum Absichern.

Seit Veröffentlichung der ersten Fassung der Sicherheitsmitteilung hat das Unternehmen nach eigenen Angaben verbesserte, abgesicherte Releases veröffentlicht. Somit sollten auch Nutzer, die bereits gepatcht haben, noch einmal einen Blick auf die aktualisierten Informationen werfen.