Comretix Blog

Der Klinikkonzern Ameos kämpft aktuell mit einem massiven IT-Ausfall, der alle deutschen Standorte betrifft. Eine Sprecherin der Schweizer Konzerngruppe bestätigte auf Anfrage der dpa, dass alle deutschen Einrichtungen von einer Netzwerkstörung betroffen seien. Diese sei bereits Montagabend aufgetreten, auch bei heise online war ein entsprechender Hinweis eingegangen – auf eine Anfrage hatte das Unternehmen nicht reagiert.

Die Technik habe das Problem identifiziert, es sei aber noch nicht klar, wann die Störung behoben werden könne. Details nannte die Unternehmenssprecherin laut dpa nicht. Untersuchungen könnten teilweise nicht vorgenommen werden, die Patientenversorgung insgesamt sei nicht gefährdet.

Die Folgen sind spürbar: In mehreren Bundesländern, darunter Sachsen-Anhalt, können Rettungsdienste Ameos-Kliniken derzeit nur eingeschränkt anfahren. Teilweise könnten unter anderem keine Röntgen- oder Laboruntersuchungen mehr vorgenommen werden, hieß es. Das Unternehmen war hierzu zunächst nicht erreichbar.

Ameos zählt mit mehr als 100 Einrichtungen an über 50 Standorten und rund 18.000 Beschäftigten zu den größten privaten Klinikbetreibern in Deutschland. Jährlich werden nach eigenen Angaben über 500.000 Patientinnen und Patienten behandelt. So betreibt der Konzern etwa Kliniken in Aschersleben, Bernburg, Haldensleben, Halberstadt und Schönebeck, daneben auch mehrere Polikliniken. Mehr als 18.000 Menschen sind bei Ameos beschäftigt.

Bei Stellenausschreibungen für IT-Sicherheits-Experten sind die Arbeitgeber laut dem aktuellen Dekra-Arbeitsmarktreport nicht mehr so sehr auf Hochschulabsolventen fixiert. Zwar werde ein Informatik-Studium in rund 61 Prozent der Stellenanzeigen immer noch am häufigsten als Qualifikation genannt. Die IT-Berufsausbildung folge darauf aber mit fast 43 Prozent und in rund 37 Prozent der Fälle komme eine Berufsausbildung auch als Alternative zu einem Studium infrage. Bei der dualen IT-Ausbildung präzisierten Arbeitgeber oft auch nicht, welche Spezialisierung sie wünschen.

2018 sah das laut Dekra noch ganz anders aus – nur ein Viertel der IT-Security-Stellen habe damals Bewerbern ohne Studium offen gestanden. Berufserfahrung falle inzwischen einfach mehr ins Gewicht als formale Abschlüsse, folgert die Prüfgesellschaft. Für die Analyse des Security-Jobmarkts, die Teil eines umfassenderen Arbeitsmarktreports ist, hat die Dekra eigenen Angaben nach 250 Stellenangebote untersucht.

Unabhängig vom Abschluss sind Zertifizierungen und Weiterbildungen für Bewerber im Security-Bereich von Vorteil: In jedem fünften Fall müssten Jobinteressierte IT-Security-Weiterbildungen und Zertifizierungen vorweisen. Die internationalen Zertifizierungen CISSP Certified Information Systems Security Professional (14 Prozent) sowie CISM Certified Information Security Manager (11 Prozent) führten als konkrete Nennungen die Liste an.

Trotz des allgegenwärtigen Hypes spielt KI in den Ausschreibungen für Security-Pros weder bei den Kenntnissen noch bei den Aufgaben eine Rolle. Am häufigsten würden bei den Kenntnissen "Allgemeinwissen" in der IT und Cybersicherheit verlangt (84 Prozent), ferner in Normen, Gesetze und Standards (63 Prozent) sowie in Netzwerktechnik (59 Prozent). In 44 Prozent der Fälle werde von Jobsuchenden auch erwartet, mit dem Konzept eines Managementsystems für Informationssicherheit vertraut zu sein sowie mit der ISO/IEC-27000-Reihe. In den Stellenangeboten finden sich einige weitere Normen und Standards, wie IT-Grundschutz (BSI), NIST, ITIL, NIS2 und vereinzelt branchenspezifische Standards.

Bei den gefragten Softskills hat die Dekra leichte Verschiebungen festgestellt: 2018 waren Eigenschaften wie Durchsetzungsfähigkeit und sicheres Auftreten noch bei einem Drittel der Anzeigen gewünscht – inzwischen aber noch bei 17 Prozent. Auch die früher bei fast einem Viertel geforderte Reisebereitschaft wird derzeit nur noch bei rund 10 Prozent gefragt – was der veränderten Bürokultur mit Videotelefonaten und Homeoffice geschuldet sein dürfte. Weiterhin gefragt sind Kommunikationsstärke, Teamfähigkeit, analytisches Denken, strukturiertes Arbeiten und inzwischen mit 32 Prozent doppelt so häufig wie 2018: Verantwortungsbewusstsein.

Aufgrund von mehreren Softwareschwachstellen können Angreifer Systeme mit den Adobe-Anwendungen After Effects, Audition, ColdFusion, Connect, Dimension, Experience Manager Forms, Experience Manager Screens, FrameMaker, Illustrator, InCopy, InDesign, Substance 3D Stager und Substance 3D Viewer attackieren. Bislang gibt es Adobe zufolge keine Hinweise auf Attacken.

Von den Schwachstellen sind macOS und Windows betroffen. Am gefährlichsten gilt eine "kritische" Lücke (CVE-2025-49535) in ColdFusion, über die Angreifer lesend auf Systemdateien zugreifen können. Wie so eine Attacke ablaufen könnte, ist bislang nicht bekannt. Dagegen sind die Ausgaben ColdFusion 2021 Update 21, ColdFusion 2023 Update 15 und ColdFusion 2025 Update 3 geschützt.

Ebenfalls als "kritisch" eingestuft sind Schwachstellen in Connect (CVE-2025-27203) und Experience Manager Forms (CVE-2025-2025-49533). An diesen Stellen kann Schadcode auf PCs gelangen. Ein Sicherheitspatch ist in Connect Windows App 25.1 und Experience Manager (AEM) Forms on JEE 6.5.0.0.202505270 implementiert. Auch InCopy und InDesign sind anfällig für Schadcode-Attacken. Wenn Angreifer eigenen Code auf Systemen ausführen, übernehmen sie in der Regel im Anschluss die volle Kontrolle über Systeme.

Die verbleibenden Sicherheitspatches listet Adobe in den verlinkten Warnmeldungen auf. Aus den Beiträgen geht leider nicht hervor, woran Admins bereits attackierte Systeme erkennen können.

Microsoft schließt mehrere Sicherheitslücken in seinem Softwareportfolio. Davon stuft der Hard- und Softwareentwickler mehrere Schwachstellen als "kritisch" ein. In vielen Fällen kann Schadcode Computer vollständig kompromittieren.

Eine Lücke (CVE-2025-49719 "hoch") in Microsoft SQL Server ist öffentlich bekannt und es können Angriffe bevorstehen. Daran können der Beschreibung der Schwachstelle zufolge Angreifer ohne Authentifizierung ansetzen, um über ein Netzwerk auf eigentlich abgeschottete Informationen zuzugreifen. Die dagegen geschützten Versionen sind in einem Beitrag aufgelistet.

Mehrere Schadcodelücken, die Angreifer aus der Ferne ausnutzen können sollen, stuft Microsoft als "kritisch" ein, auch wenn die CVE-Einstufung niedriger ist. Davon sind unter anderem Office (etwa CVE-2025-49695 "hoch"), SharePoint (CVE-2025-49704 "hoch") und Hyper-V (CVE-2025-48822 "hoch") betroffen. Die Office-Sicherheitsupdates sind aber Microsoft zufolge bisher nicht komplett verfügbar. Sie sollen aber so schnell wie möglich folgen.

Die genannte SharePoint-Lücke haben Sicherheitsforscher während des Hacker-Wettbewerbs Pwn2Own in Berlin entdeckt. Dafür haben sie eine Prämie von 100.000 US-Dollar kassiert. 

Überdies können Angreifer noch an Softwareschwachstellen in unter anderem BitLocker, Edge und verschiedenen Windows-Komponenten wie dem Kernel ansetzen. An diesen Stellen können sie sich etwa höhere Nutzerrechte aneignen oder Dienste via DoS-Attacke abstürzen lassen.

Eine Reihe moderner x86-Prozessoren der aktuellen und letzten Generationen weist neue Sicherheitslücken auf, durch die Angreifer sensible Informationen abgreifen könnten. Da diese vier entweder als wenig oder mittelmäßig gefährlich eingestuften Schwachstellen von Microsoft präventiv gefunden wurden, wurden sie bislang offenbar nicht ausgenutzt. AMD hat die betroffenen CPU-Modelle der Athlon-, Ryzen- und Epyc-Serien genannt, aber ob Intel-Prozessoren betroffen sind, ist noch offen.

Bereits letzten Monat hat AMD Updates gegen Sicherheitslecks in Krypto-Coprozessor und TPM der eigenen Prozessoren und Plattformen veröffentlicht, doch dabei handelt es sich um hochriskante Sicherheitslücken. Die jetzt gefundenen "Transient Scheduler Attacks" (TSA) stuft AMD dagegen als lediglich mittelmäßig gefährlich ein (CVE-2024-36350 und CVE-2024-36357). Durch sogenannte Seitenkanalangriffe könnten Daten aus nicht für das eigentliche Programm reservierten Speicherstellen oder aus dem L1D-Cache abgegriffen werden, was zum Abfluss sensibler Informationen führen könnte.

Den beiden weiteren Lücken (CVE-2024-36348 und CVE-2024-36349) gibt AMD einen niedrigeren Schweregrad, auch wenn diese ebenfalls zu unberechtigtem Datenabfluss führen könnten. Doch in diesen Fällen müssten Prozesse spekulativ ins Kontrollregister eingreifen oder einen bestimmten Befehl zum Auslesen von Informationen ausführen, obwohl dieses eigentlich unterbunden wurde. In diesen zwei Fällen verzichtet AMD auf Patches, denn laut Hersteller sind dabei keine sensiblen Informationen betroffen. Für die beiden zuvor genannten Schwachstellen gibt es hingegen neue Firmware-Versionen, die AMD seinen Partnern für entsprechende BIOS-Updates zur Verfügung gestellt hat.

Sollten darüber hinaus Betriebssystem-Updates notwendig sein, verweist AMD auf die entsprechenden Anbieter. Die Linux-Community hat bereits reagiert und einen Kernel-Patch gegen TSA freigegeben, schreibt Phoronix. Dabei wurden die Sicherheitslücken von Microsoft gefunden. Der Software-Konzern hat ein Programm entwickelt, um x86-Prozessoren auf Lecks in der Mikroarchitektur zu untersuchen. Dabei wurden diese vier neuen Lecks entdeckt. Mit diesem Tool will Microsoft präventive Sicherheitsprüfungen in CPU-Designs bieten, statt wie oftmals mit Patches auf Lücken reagieren zu müssen.

Bei den von den beiden als mittel gefährlich eingestuften Sicherheitslücken betroffenen AMD-Prozessoren handelt es sich überwiegend um Modelle mit den Architekturen Zen 3 und 4. Allerdings sind nicht alle CPUs dieser Mikroarchitekturen berührt. So sind laut AMD nur Epyc-Prozessoren der dritten (Milan) und vierten Generation (Genoa, Bergamo und Siena) betroffen, mit Ausnahme der Epyc Gen.4 mit dem Codenamen Raphael. Die beiden vorherigen Epyc-Generationen (Naples und Rome) haben diese Schwachstellen nicht, schreibt AMD.

Einen Fahndungserfolg im Fall der 2020 und 2021 weltweit durchgeführten Angriffe auf Microsoft Exchange Server meldet das US-Justizministerium: Italien hat demnach den chinesischen Staatsbürger Xu Z. in Mailand verhaftet. Die USA streben seine Auslieferung an. Eine am Dienstag veröffentlichte US-Anklage wirft dem 33-Jährigen sowie seinem 44 Jahre alten Landsmann vor, in die Angriffswelle involviert gewesen zu sein. Ebenfalls angeklagt sind zwei namentlich noch nicht genannte Spione der Volksrepublik, die die beiden Täter geführt haben sollen.

Dabei sollen sie zwar bei einem chinesischen Unternehmen angestellt gewesen sein, tatsächlich aber im Auftrag der chinesischen Staatssicherheit gehandelt haben. Ziel der Angriffe auf die Exchange-Server sei die Ausspähung von Forschungsergebnissen zum Coronavirus gewesen sein, das die weltweite COVID-19-Pandemie verursacht hat. Die Vorwürfe sind bislang unbewiesen, für die beiden Angeklagten gilt die Unschuldsvermutung.

Die zielgerichteten Angriffe gegen Universitäten, Immunologen und Virologen haben laut Anklageschrift bereits im Februar 2020 begonnen. Ende 2020 begannen die Täter damit, damals noch unbekannte Sicherheitslücken in Microsoft Exchange Server auszunutzen, um dort einzudringen und dauerhafte Hintertüren zu installieren (Advanced Persistant Threats, APT). Anfang Januar 2021 bemerkte die Sicherheitsfirma Volexity Angriffe auf Exchange-Server. Noch bevor Microsoft die Lücken stopfen konnte, wurden die Angriffe Ende Februar 2021 verstärkt und gingen in die Breite, um möglichst viele Systeme mit einer Hintertür versehen zu können.

Als Microsoft Anfang März 2021 Sicherheitsupdates veröffentlichte, wurden die Angriffe ein weiteres Mal verstärkt. Offenbar wollten sich die Angreifer noch schnell in möglichst vielen Systemen verankern, bevor die Lücken geschlossen wurden. Die Angriffe trafen in den USA Behörden, Rüstungskonzerne, Forschungseinrichtungen, die an Covid-19 forschen, sowie weitere Unternehmen.

Mehr als 100.000 Exchange-Server sollen in den USA betroffen gewesen sein, in Deutschland mehrere Zehntausend. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ging davon aus, dass alle Exchange-Systeme, die nicht abgesichert waren, mit einer Hintertür infiziert wurden. Weltweit sollen nach Schätzung des britischen Außenministeriums und des National Cyber Security Centers mehr als eine Viertelmillion Server kompromittiert worden sein.

In der Windows-Version des Shooters "Call of Duty WW2" lauert offenbar eine schwere Sicherheitslücke. Wie mehrere Spieler mittels Videoaufzeichnung zeigten, scheinen Unbekannte einen Weg gefunden zu haben, Schadcode auf den Windows-PCs ihrer Mitspieler auszuführen. Betroffen ist wohl die in Microsofts Game Pass enthaltene Version des 2017 erschienenen Shooters. Onlinespiele sind nicht mehr möglich, das weitere Vorgehen unklar.

Kurze Videos zeigen, wie eine blutige Spielszene vor Weltkriegskulisse plötzlich pausiert und zwei Fenster auf dem Bildschirm erscheinen: Zuerst die typische Transferanzeige des Kommandozeilen-Downloadprogramms cURL, wenige Sekunden später ein weiteres Kommandozeilenfenster und dann der Windows-Editor Notepad: "Marc E Mayer just RCEd your ass please contact Mitchell Silberberg and Knupp LLP", besagt die Botschaft des mutmaßlichen Angreifers auf dem PC des Opfers.

RCE steht für "Remote Code Execution", also Codeausführung aus der Ferne. Und genau das ist hier offenbar passiert: Über eine im Spielclient enthaltene Sicherheitslücke konnte ein Spieler offenbar Schadcode auf den PC seines Mitspielers schleusen. Die kurze Botschaft ist möglicherweise eine Protestnote an Activisions Adresse. Bei "Mitchell Silberberg & Knupp LLP" handelt es sich um eine US-Anwaltskanzlei, die Activision in der Vergangenheit vertreten hat – und zwar unter anderem gegen den deutschen Cheat-Anbieter EngineOwning. Marc E. Mayer ist ein Partner jener Kanzlei, der Activision in vielerlei juristischen Auseinandersetzungen gegen Bot-Hersteller, Anbieter privater Multiplayer-Server und Konkurrenzunternehmen repräsentierte.

Microsoft und Activision haben mehreren Berichten zufolge, unter anderem bei Rock Paper Shotgun, die Server offline genommen. Wir haben das getestet und konnten das Spiel installieren und starten – der Versuch, einer Online-Partie beizutreten, blieb jedoch ebenso erfolglos wie der Versuch, ein lokales Match zu starten. Auch eine Anfrage bei der Microsoft-Pressestelle blieb kurzfristig unbeantwortet. Wir werden diese Meldung gegebenenfalls aktualisieren.

Auch im Steam-Forum zu Call of Duty: WW2 sammeln sich erste Betroffene. In Rezensionen warnen Spieler davor, die Online-Version zu starten und raten Opfern zu Malware-Scans. Die Steam-Version hat ihr letztes Update im Jahr 2020 erfahren.

Am Patchday im Juli haben die SAP-Entwickler insgesamt fünf "kritische" Sicherheitslücken geschlossen. Im schlimmsten Fall kann Schadcode Systeme kompromittieren. Bislang gibt es keine Hinweise, dass Angreifer Lücken bereits ausnutzen.

In der Warnmeldung zum aktuellen Patchday finden Admins Hinweise auf die verfügbaren Sicherheitsupdates.

Die kritischen Lücken betreffen NetWeaver Enterprise Portal Administration (CVE-2025-42964), NetWeaver Enterprise Portal Federated Portal Network (CVE-2025-42980), S/4HANA und SCM (CVE-2025-42967) sowie NetWeaver Application Server for Java (CVE-2025-42963).

Verfügt ein Angreifer über Privilegien auf Benutzerebene, kann er auf einem nicht näher ausgeführten Weg Schadcode ausführen und so die volle Kontrolle über Systeme erlangen. In den anderen Fällen können angemeldete Angreifer mit Schadcode präparierte Daten hochladen, um Computer zu kompromittieren.

Außerdem können sich bereits angemeldete Angreifer im Kontext von NetWeaver Application Server for ABAP aufgrund von Fehlern bei der Authentifizierung höhere Nutzerrechte verschaffen (CVE-2025-42953).

Google hat im Juli keine Fehlerkorrekturen für Android im Gepäck. Auch die Pixel-Smartphones bedenkt das Unternehmen nicht mit Aktualisierungen.

Diese überraschenden Neuigkeiten schreibt Google in den Sicherheitsmitteilungen zu den Patchday-Übersichten. Sowohl für die Android-Patchday-Übersicht als auch die Pixel-Aktualisierungsliste schreibt das Unternehmen lediglich: "Es gibt keine [Android|Pixel]-Sicherheitspatches in [Android|Pixel] Security-Mitteilung im Juli 2025."

Vermutlich ist Android jedoch nicht mit einem Schlag komplett sicher geworden. Zu den Gründen, warum die Entwickler keine aktualisierten Pakete geschnürt haben, die die Sicherheit von Android-Smartphones erhöhen, lässt sich Google allerdings nicht aus.

Im Juni hatte Google noch diverse Schwachstellen in Android 13, 14 und 15 ausgebessert. Die gravierendsten erlaubten die Ausweitung der Rechte im System. Zudem haben bösartige Akteure Sicherheitslücken in Qualcomm-SoCs zu dem Zeitpunkt attackiert.

Jack Dorsey, bekannt als Mitgründer Twitters, hat den gemeinfreien Sourcecode für eine neue Software namens Bitchat online gestellt. Sie ermöglicht digitale Chats über Bluetooth, ganz ohne Internetverbindung und zentrale Server, vorerst für iOS und MacOS. Bei Bitchat stehen Datenschutz und Ausfallsicherheit im Vordergrund.

Nutzer müssen sich nirgends anmelden oder ausweisen; es gibt keine zentralen Server oder andere Instanzen, die Metadaten ernten und über die das Projekt korrumpiert oder stillgelegt werden könnte. Die Übertragungen werden komprimiert und Ende-zu-Ende verschlüsselt. Zudem sollen Dummy-Nachrichten und zufällige Verzögerungen es erschweren, bestimmte Nachrichten oder Usernamen einzelnen Nutzern aufgrund deren Nutzungsverhaltens zuzuordnen.

Die Übertragung erfolgt zunächst ausschließlich über Bluetooth Low Energy. Dessen Reichweite ist auf einige Dutzend Meter beschränkt, weshalb Bitchat Mesh-Netze aufspannen möchte. Teilnehmer in Reichweite übernehmen die verschlüsselten Nachrichten und leiten sie an andere Teilnehmer weiter, bis die Nachricht den adressierten Empfänger erreicht. Bis zu sieben Übertragungen sind vorgesehen. Besonders häufig kontaktierte Geräte speichern Nachrichten theoretisch unbeschränkt zwischen, auf anderen Geräten werden sie gelöscht, wenn sie nach zwölf Stunden nicht zugestellt werden konnten.

Ein kommerzielles Geschäftsmodell drängt sich nicht auf, womit aber auch keine Spamfilter für die verschlüsselten Nachrichten absehbar sind. Ob Bitchat reüssieren wird, hängt an den Teilnehmern allein. Ein Whitepaper denkt bereits daran, zu Bluetooth Low Energie noch Übertragungen mittels direkten WLAN-Verbindungen sowie LoRa hinzuzunehmen.

Der Name mag unglücklich gewählt sein, verleitet er doch zur Aussprache als "bitch at", zu Deutsch: anschnauzen. Dorseys Name sorgt jedenfalls für Aufmerksamkeit, auch wenn das Grundkonzept nicht neu ist. Für Android gibt es seit Jahren die App Briar, die verschlüsselte Nachrichten zwischen Teilnehmern über Bluetooth, direkte WLAN-Verbindungen oder das internetbasierte Tor-Netz leitet. Im Notfall kann Briar Mitteilungen sogar als Dateien auf Datenträgern auf die Reise schicken.

Ein Revierkampf zweier krimineller Ransomware-Gruppen könnte zu mehr Cyberangriffen und größeren Schäden für betroffene Unternehmen führen. Das berichtete am Montag die britische Tageszeitung Financial Times mit Verweis auf Cyber-Sicherheitsexperten, die die Auseinandersetzungen in dem wachsenden kriminellen Ransomware-Sektor verfolgen.

Demnach sind DragonForce, eine Gruppe überwiegend russischsprachiger Cyberkrimineller, und einer ihrer größten Konkurrenten, RansomHub, aneinandergeraten. Die Sicherheitsexperten warnen, dass der Konflikt "die Risiken für Unternehmen erhöhen könnte, einschließlich der Gefahr, zweimal erpresst zu werden", schreibt die Financial Times.

Die DragonForce-Gruppe trat erstmals im August 2023 in Erscheinung. Nach Angaben des Cybersicherheitsunternehmens Group-IB verzeichnete sie in den darauffolgenden zwölf Monaten insgesamt 82 Opfer auf ihrer Dark-Web-Seite. RansomHub wurde ebenfalls 2023 bekannt. Diese Gruppe wird für einige spektakuläre Cyberattacken verantwortlich gemacht, wie jene auf den US-amerikanischen Gas- und Öl-Dienstleister Halliburton, einen der weltweit größten Öl-Dienstleister, auf das renommierte britische Auktionshaus Christie's oder die Non-Profit-Organisation Planned Parenthood, die unter anderem medizinische Dienste zu Schwangerschaftsabbrüchen anbietet.

Nun scheinen DragonForce und RansomHub untereinander in Konflikt geraten zu sein. "Die meisten Cyber-Kriminalitätsgruppen haben ein tief verwurzeltes Bedürfnis nach Ruhm und Überlegenheit, das sie dazu bringen könnte, zu versuchen, einander zu übertreffen, indem sie versuchen, dasselbe Ziel anzugreifen und zu erpressen", zitiert Financial Times Toby Lewis, globaler Leiter der Bedrohungsanalyse bei der britischen Cybersicherheitsfirma Darktrace. Gruppen wie die beiden genannten verkaufen laut dem Blatt die Werkzeuge und die Infrastruktur, die erforderlich sind, um auf die internen Systeme von Unternehmen zuzugreifen und diese gegen Geld zu erpressen. Sie operieren vornehmlich im Dark Web. Ihre Kunden sind sogenannte "Affiliates" wie Scattered Spider, also Gruppen, die Cyberangriffe begehen wollen.

Die Beziehung zwischen DragonForce und RansomHub habe sich verschlechtert, so Financial Times weiter, nachdem sich DragonForce im März in ein "Kartell" umbenannt und sein Angebot an "Dienstleistungen" und seine Reichweite erweitert hat, um mehr Affiliate-Partner zu gewinnen.

Der global agierende IT-Distributor Ingram Micro ist Opfer eines Cyberangriffs geworden. Die Webseite ist für deutsche Kunden im Wartungsmodus. Das Unternehmen hat einen andauernden Systemausfall gemeldet.

Als börsennotiertes Unternehmen hat Ingram Micro am Samstag eine Ad-hoc-Meldung dazu veröffentlicht. "Ingram Micro hat jüngst Ransomware auf bestimmten internen Systemen entdeckt. Umgehend nach Erkennung des Problems hat das Unternehmen Schritte unternommen, um die relevante Umgebung abzusichern. Dazu gehört das proaktive Offline-Nehmen bestimmter Systeme und die Implementierung weiterer Gegenmaßnahmen", schreibt das Unternehmen dort.

"Das Unternehmen hat zudem eine Untersuchung angestoßen, mit der Unterstützung führender Cybersecurity-Experten, und die Strafverfolger informiert." Ingram Micro arbeite fleißig daran, die betroffenen Systeme wiederherzustellen, sodass es Aufträge verarbeiten und versenden kann. "Das Unternehmen entschuldigt sich für die Störungen, die der Vorfall bei den Kunden, Verkaufspartnern und anderen auslöst", schließt die kurze Börsennotiz ab. Auf den Börsenkurs hat der Vorfall bislang keinen signifikanten Einfluss.

Weitere Details sind derzeit noch unklar. Ingram Micro schreibt von Ransomware, aber bislang hat die dahinterstehende Cybergruppe sich noch nicht öffentlich geäußert. Es ist sehr wahrscheinlich, dass eine Lösegeldforderung vorliegt, aber auch da erwähnt das Unternehmen nichts zur Höhe. Einen Zeitplan, wann die Systeme wieder normal einsatzfähig sind, hat Ingram Micro ebenfalls nicht vorgelegt.

Zuletzt wurde vergangene Woche bekannt, dass Cyberkriminelle in Norwegen die Kontrolle über einen Staudamm am Risevatnet-Stausee erhalten hatten. Über Stunden konnten sie dessen Ventile steuern und hatten diese voll geöffnet.

Die Malware-Schutzsoftware von Comodo, genauer Comodo Internet Security Premium, enthält Schwachstellen, durch die Angreifer Schadcode einschleusen und ausführen können. Unklar ist der derzeitige Patch-Status – es scheint, der Hersteller hat zum Meldungszeitpunkt noch kein Update zum Schließen der Lücken parat.

Die Comodo-Software hat einige Fans damit gewonnen, dass die "Antivirus"-Version kostenlos erhältlich ist. Die etwas größere kommerzielle Variante Internet Security Premium 2025 hat ein IT-Sicherheitsforscher genauer unter die Lupe genommen – und dabei haarsträubende Fehler entdeckt.

Comodos Update-Server halten in der Datei "cis_update_x64.xml" Metadaten von Binärdateien für Software-Updates vor. Die Client-Software überprüft die Authentizität und Integrität dieser Datei nicht, sodass Angreifer in einer Man-in-the-Middle-Position – etwa durch eine DNS-Spoofing-Attacke – dadurch bösartige Skripte einschleusen können, die mit SYSTEM-Rechten laufen. (CVE-2025-7096 / EUVD-2025-20153, CVSS 9.2, Risiko "kritisch"). Diese Manifest-Datei kennt einen Tag "exec", der das Ausühren von Binärdateien mit Parametern erlaubt. Angreifer können beliebige Befehle ausführen lassen, um die Kontrolle zu übernehmen – mit SYSTEM-Rechten (CVE-2025-7097 / EUVD-2025-20157, CVSS 9.2, Risiko "kritisch").

Die Comodo-Software nutzt den Wert in der Sektion "name" sowie "folder" als Download-Dateiname ohne weitere Filterung. Dadurch können Angreifer eine Path-Traversal-Schwachstelle in der Manifest-Datei missbrauchen und damit eine bösartige Datei im Startup-Ordner anlegen lassen; damit können sie nach einem Neustart die Maschine übernehmen (CVE-2025-7098 / EUVD-2025-20155, CVSS 6.3, Risiko "mittel"). Die letzte Schwachstelle betrifft die Verbindung zum Update-Server "download.comodo.com". Der Comodo-Client prüft das SSL-Zertifikat des Servers nicht, wodurch Angreifer etwa mit einer DNS-Spoofing-Attacke den Traffic auf einen falschen Update-Server unter ihrer Kontrolle umleiten können (CVE-2025-7095 / EUVD-2025-20154, CVSS 6.3, Risiko "mittel").

Betroffen ist der vollständigen Analyse mit Proof-of-Concept-Exploits zufolge Comodo Internet Security Premium 12.3.4.8162. Diese war zum Zeitpunkt der Dokumentation Mitte Juni mit allen verfügbaren Updates anfällig. Da die kostenlose Antivirus-Software wahrscheinlich denselben Code für Updates nutzt, dürfte sie ebenfalls verwundbar sein. Der IT-Forscher hat Comodo kontaktiert, jedoch keinerlei Rückmeldung erhalten.

Solche Nachrichten sieht man eher selten auf Darknet-Webseiten von kriminellen Banden: "Nach sorgsamer Abwägung und im Lichte jüngster Entwicklungen haben wir entschieden, das Hunters International-Projekt einzustellen". Das schreibt die Ransomwaregruppe auf ihrem Darknet-Auftritt.

Der ist weitgehend leergeräumt. Informationen zu Unternehmen, bei denen die Kriminellen eingebrochen sind und von denen sie Daten entwendet haben, finden sich nicht mehr auf der Darknet-Webseite.

"Diese Entscheidung haben wir nicht leichtfertig getroffen, und wir erkennen den Einfluss an, den sie auf Organisationen hat, mit denen wir interagiert haben", schreiben die Cybergangster weiter. Wo sonst Strafverfolger nach dem Ausheben von Cybergangs deren Decryptoren zum Enschlüsseln von mit Ransomware verschlüsselten Daten veröffentlichen, wollen Hunters International den eigenen Angaben nach nun "als Geste des guten Willens und zum Helfen derjenigen, die von unseren früheren Aktivitäten betroffen sind, kostenlose Decryptor-Software für alle Unternehmen anbieten, die von unserer Ransomware betroffen sind".

Die Täter schreiben weiter: "Unser Ziel ist es, sicherzustellen, dass Sie ihre verschlüsselten Daten wiederherstellen können, ohne die Last der Zahlung eines Lösegelds". Der poliert klingende Text geht weiter mit: "Wir verstehen die Herausforderungen, die Ransomware-Angriffe darstellen, und hoffen, dass diese Initiative Ihnen hilft, schnell und effizient wieder Zugriff auf Ihre kritischen Informationen zu erlangen."

Um Zugriff auf die Decryption-Tools und Anleitung zum Wiederherstellungsprozess zu erhalten, sollen Betroffene die offizielle Webseite besuchen. "Wir danken Ihnen für Ihr Verständnis und Ihre Mitarbeit während dieser Übergangsphase. Unser Engagement für die Unterstützung der betroffenen Organisationen bleibt auch nach Abschluss unserer Tätigkeit unsere Priorität", schließen die Cyberkriminellen.

Das weit verbreitete Kompressionswerkzeug 7-Zip ist am Wochenende in Version 25.00 erschienen. Es beschleunigt einige Kompressionsalgorithmen – und schließt auch Sicherheitslücken.

In dem Entwicklungsverlauf auf der 7-Zip-Homepage fasst der Entwickler Igor Pavlov die Neuerungen knapp zusammen. 7-Zip kann unter Windows nun mehr als 64 CPU-Threads für die Kompression nach zip, 7z und xz nutzen. Auch der eingebaute Benchmark unterstützt nun mehr Threads. Sofern mehrere Prozessorgruppen in Windows auf Systemen mit mehr als 64 Prozessorkernen bereitstehen, verteilt 7-Zip die laufenden CPU-Threads auf die unterschiedlichen CPU-Gruppen.

Die Kompression nach bzip2 konnte Pavlov um 15 bis 40 Prozent beschleunigen. Die "deflate"-Kompression für zip respektive gz läuft immerhin noch 1 bis 3 Prozent flotter. Wie er Geschwindigkeitsgewinne erzielen konnte, erörtert der Programmierer jedoch nicht. Die Unterstützung für zip-, cpio- und fat-Archive hat er ebenfalls auf nicht genannte Art verbessert. Außerdem korrigiert die neue Fassung "einige Fehler und Schwachstellen", wobei er keine der letzteren konkret benennt. Dennoch sollten 7-Zip-Nutzer deshalb das Update auf die aktuelle Fassung zügig vornehmen.

Da 7-Zip keinen integrierten Update-Mechanismus besitzt, müssen Nutzerinnen und Nutzer die Aktualisierung manuell herunterladen und installieren. Die Dateien dafür stehen auf der 7-Zip-Webseite direkt zum Download bereit.

Zuletzt wurden in 7-Zip öfter Schwachstellen bekannt, die das sogenannte "Mark of the Web" (MotW) betreffen – Angreifer haben solche MotW-Sicherheitslücken in 7-Zip auch erfolgreich angegriffen. Durch den Mechanismus führt Windows Programme nicht einfach aus, die aus dem Internet heruntergeladen wurden, sondern zeigt zumindest eine Warnung davor an und fordert eine Bestätigung der Nutzer ein.

Dells Backuplösung Data Protection Advisor ist verwundbar. In einer aktuellen Version haben die Entwickler reihenweise Sicherheitslücken geschlossen. Auffällig ist, dass sie zum Teil zwölf Jahre alte Schwachstellen geschlossen haben. Warum das erst jetzt passiert, ist bislang unklar.

Viele Lücken betreffen Komponenten der Backuplösung wie Apache HttpClient, OpenSSL und SQLite. Die Anwendung ist aber auch direkt betroffen. Sind Attacken erfolgreich, können Angreifer in den meisten Fällen Denial-of-Service-Attacken (DoS) ausführen, was zu Abstürzen führt (etwa CVE-2016-0705 / EUVD-2016-0740, CVSS 9.8, Risiko "kritisch"; CVE-2021-46877 / EUVD-2023-0856, CVSS 7.5, Risiko "hoch").

In der Warnmeldung zu den Lücken gibt es derzeit keine Informationen, wie Attacken ablaufen könnten und ob es bereits Angriffe gibt. Die Entwickler versichern, die Sicherheitsprobleme in der Ausgabe 19.12 Service Pack 1 gelöst zu haben. Admins sollten sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind.

In der vergangenen Woche hatte Dell mit Sicherheitslücken in Secure Connect Gateway zu tun. Sie gefährdeten den Remote-IT-Support.

Das Let's-Encrypt-Projekt hat in der vergangenen Woche das erste IP-Zertifikat ausgestellt. Es will zunächst noch Erfahrungen damit sammeln, bevor die allgemeine Verfügbarkeit später im Jahr folgt.

Das hat Let's Encrypt in einem Artikel mitgeteilt. Nur wenige Dienste haben bisher IP-Zertifikate angeboten, bei Let's Encrypt wird es sie sogar kostenlos geben. Das Projekt sieht jedoch eine Beschränkung für die IP-Zertifikate vor.

Normalerweise rufen Interessierte den Domain-Namen einer Webseite für den Zugriff darauf auf – der lässt sich viel einfacher merken als eine IP-Adresse. Dennoch gibt es einige Einsatzszenarien, in denen der Zugriff auf IP-Adressen sinnvoll ist – und die technischen und Richtlinien-Standards für Zertifikate erlauben die Ausstellung für IP-Adressen. Let's Encrypt nennt ein paar Beispiele, wo sie einen sinnvollen Einsatz von IP-Zertifikaten sehen. Etwa für eine Standard-Seite von Hosting-Providern, für den Fall, dass jemand die IP-Adresse des Servers anstatt den individuellen Seitennamen aufruft; dies führt bislang zu einer Fehlermeldung im Browser.

Wenn es keinen Domain-Namen für eine Webseite gibt, sind IP-Zertifikate ebenfalls sinnvoll. Ein weiteres Szenario ist die Absicherung von DNS über HTTPS (DoH) oder anderen Infrastrukturdiensten. Auch zur Sicherung von Fernzugriffen etwa auf Geräte daheim wie NAS-Server oder IoT-Geräte lässt sich so auch ohne Domain-Namen absichern. Schließlich können sich so temporäre Verbindungen innerhalb von Cloud-Hosting-Infrastruktur absichern.

Als Einschränkung gibt Let's Encrypt vor, dass für IP-Zertifikate lediglich die neu eingeführten 6-Tage-Zertifikate dienen dürfen. Diese kurzlebigen Zertifikate sollen möglichen Missbrauch einschränken. Das bedeutet jedoch, dass die Let's-Encrypt-Client-Apps dafür vorbereitet sein müssen. Sie müssen etwa den Entwurf der ACME-Profil-Spezifikation unterstützen und so konfiguriert sein, das "shortlived"-Profil anzufordern. Zum Beweis der Kontrolle über eine IP-Adresse lässt sich natürlich nicht die DNS-Challenge-Methode nutzen, das gelingt lediglich mit den "http-01"- und "tls-alpn-01"-Methoden.

Die EU-Staaten haben sich mit der Verordnung für eine europäische elektronische Identität (EUid) verpflichtet, ihren Bürgern bis Anfang 2027 digitale Brieftaschen für ihren Online-Ausweis zur Verfügung zu stellen. Damit sollen Nutzer künftig etwa Führerscheine oder Zeugnisse bei verschiedenen Online-Diensten digital einsetzen können. Bevor eine solche Wallet für die European Digital Identity (EUDI) verwendet werden kann, muss sie an den User gekoppelt und dafür mit dessen Identitätsmerkmalen versehen werden. Eine mögliche Technologie für dieses sogenannte Onboarding sind Verfahren für die videobasierte Fernidentifikation (VideoIdent). Experten warnen hier vor mangelhafter Security.

Um Vertrauen und Sicherheit zu gewährleisten, müssen die Onboarding-Verfahren für alle bestehenden und künftigen Dienste und Anwendungen rund um die EUDI-Wallet gemäß den Anforderungen der überarbeiteten eIDAS-Verordnung ein hohes Vertrauensniveau aufweisen. Das betonen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und seine französischen Behörde ANSSI in einer jetzt publizierten gemeinsamen Handreichung. Zu den diskutierten Methoden gehören demnach "evaluierte und zertifizierte Verfahren zur Identitätsprüfung aus der Ferne".

Solche etwa von der SIM-Aktivierung oder Kontoeröffnung bekannten Ansätze sind den beiden Behörden zufolge zwar beliebt, da sie flexibel, ortsunabhängig und jederzeit genutzt werden könnten. Insbesondere der Einsatz videobasierter Methoden mithilfe biometrischer Merkmale bringe aber "auch erhebliche technische und sicherheitsrelevante Herausforderungen mit sich". So könnten Identitäten mithilfe von KI generiert werden, vorgezeigte Dokumente gefälscht sein oder Angreifer sogar "die vollständige Kontrolle über übermittelte Informationen" erlangen.

Eine videobasierte Identitätsprüfung sei "grundsätzlich anfällig für wiederholbare, skalierbare und unsichtbare Angriffe wie Präsentations- und Injektionsbedrohungen", führen die Verfasser aus. Zudem dürften elektronische Daten aus Ausweisdokumenten derzeit in vielen Staaten gesetzlich noch nicht von Diensteanbietern ausgelesen werden. Könnten gespeicherte Lichtbilder als Referenz für den biometrischen Abgleich – sowie weitere verifizierbare Daten wie Name, Geltungs- und Geburtsdatum – genutzt werden, würde dies erhebliche Vorteile für die Sicherheit solcher Verfahren bieten.

Nötig sei daher "ein umfassender und europaweiter Ansatz für Prüfung, Zertifizierung und Standardisierung" in diesem Bereich, heben BSI und ANSSI hervor. Nur so ließen sich eine hohe Sicherheit bei Onboarding-Prozessen, Interoperabilität zwischen nationalen Systemen und ein nachhaltiges Vertrauen von Nutzern und Aufsichtsbehörden gewährleisten. Aktuell arbeiten die zwei Sicherheitsämter nach eigenen Angaben mit daran, bestehende Standards für die Video-Identifizierung anzupassen und neue in europäischen Normungsgremien zu entwickeln.