Comretix Blog

KI-Firmen greifen Inhalte von Webseiten oft ungefragt per Webcrawlern ab, etwa für die Internetsuche oder um KI-Modelle trainieren zu können. Der Betreiber hat außer einer höheren Belastung des Servers bislang nichts davon. Cloudflare will solche KI-Crawler ab sofort standardmäßig blockieren und bietet bald auch an, dass KI-Firmen die Website-Betreiber für dieses Content-Scraping bezahlen können, sollten ihnen die Inhalte wichtig genug sein.

Das Internet- und Netzwerkunternehmen bietet seinen Kunden bereits seit einiger Zeit per Option an, KI-Crawler auszusperren. Doch jetzt wird diese Scraping-Blockade beim Anlegen einer neuen Domain standardmäßig aktiviert. Zuvor hatte Cloudflare bereits weitere Maßnahmen ergriffen. Ein KI-Labyrinth soll unerwünschte Bots abwehren, indem die Webcrawler in einen Honeypot umgeleitet werden, statt Inhalte der Website abzugreifen.

Eine ähnliche Lösung hatte ein Entwickler Anfang dieses Jahres vorgestellt. Das Tool Nepenthes ist eine Teergrube für KI-Webcrawler, denn es lockt Crawler in ein unendliches Labyrinth oder füttert deren endlosen Datenhunger sogar mit massig sinnlosen Inhalten. Es geht aber nicht nur um Urheberrechtsschutz, denn KI-Crawler werden immer häufiger zum Server-Problem. Im Januar legten KI-Bots eine Linux-News-Seite und weitere lahm.

Cloudflare will diesem Problem mit der Blockierung der KI-Crawler begegnen. Website-Betreiber sollen laut Firmenmitteilung selbst bestimmen, "ob KI-Crawler überhaupt auf ihre Inhalte zugreifen können, und wie dieses Material von KI-Unternehmen verwertet werden darf." Denn KI-Firmen würden den Content für ihre eigenen Zwecke nutzen, ohne die Urheber daran zu beteiligen, sodass diese weniger daran verdienen. "Originäre Inhalte sind das, was das Internet zu einer der großartigsten Erfindungen des letzten Jahrhunderts macht", sagt Matthew Prince, Mitgründer und CEO von Cloudflare. "Deshalb ist es unbedingt nötig, dass Urheberinnen und Urheber diese auch weiter erschaffen."

Eine Möglichkeit der Finanzierung von Webseiten könnte "pay per crawl" sein, wie Cloudflare im eigenen Blog ausführt. Diese Initiative ermöglicht Website-Betreibern, KI-Firmen für den Zugriff auf die eigenen Inhalte bezahlen zu lassen, statt KI-Crawler komplett auszusperren oder vollen Zugriff ohne Entschädigung zuzulassen. Cloudflare nutzt dafür den nahezu vergessenen HTTP-Fehlercode 402: "Payment required". Sollte ein KI-Bot darauf stoßen, kann sich die betreffende KI-Firma an Cloudflare oder den Betreiber wenden, um eine bezahlte Vereinbarung abzuschließen, statt einfach per HTTP-403 (Forbidden) abgewiesen zu werden.

Eine kritische Sicherheitslücke klafft in dem Linux-Werkzeug "sudo" und macht unprivilegierte Nutzer im Handumdrehen zu "root", dem Systemverwalter. Grund der Malaise: Ein Fehler in der chroot-Funktion von sudo. Eigentlich soll diese Funktion Benutzer in ihrem Heimatverzeichnis "einsperren", ermöglicht ihnen aber den Ausbruch aus selbigem und die Erweiterung ihrer Rechte. Ein Update steht bereit, Admins von Mehrbenutzersystemen sollten zügig handeln.

Die Sicherheitslücke macht sich einen Fehler in der chroot-Implementation zunutze. Zwischen zwei Funktionsaufrufen ruft diese den "Name Service Switch" (NSS) auf, der wiederum die Datei /etc/nsswitch.conf lädt. Der Angreifer kann diese Funktion nun dazu bringen, eine von ihm präparierte Datei mit C-Code (eine dynamische .so-Bibliothek) zu laden und mit Root-Rechten auszuführen.

Die Lücke versteckt sich in verschiedenen sudo-Versionen – unklar ist, in welchen genau. Der Entdecker, Rich Mirch von "Stratascale Cyber Research Unit", konnte nicht alle Versionen testen. Er ist jedoch sicher, die Lücke sei in älteren Versionen vor sudo 1.8.32 nicht enthalten, da der schadhafte Code erst in dieser Version auftauchte. In den von ihm getesteten stabilen Versionen 1.9.14 bis 1.9.17 findet sich der Bug. Er hat die CVE-ID CVE-2025-32463 und eine CVSS-Bewertung von 9,2 (Priorität: "kritisch"). Der Entdecker stellt einen Beispielexploit bereit.

Das macht viele, möglicherweise Millionen Linux-Systeme angreifbar. Ubuntu in seiner aktuellen Version 24.04.1, Fedora 41 und potenziell viele andere Distributionsversionen sind gefährdet. Aktualisierte Pakete gibt es jedoch bereits, unter Ubuntu etwa für alle Versionen von Jammy bis Plucky. Sie portieren den Bugfix, der in sudo 1.9.17p1 enthalten ist, in die dort jeweils genutzte sudo-Version. Die aktuell stabile Debian-Version "Bookworm" ist nicht betroffen – ihre sudo-Version ist schlicht zu alt.

So schnell kann's gehen: Im Handumdrehen wird ein unprivilegierter Nutzer dank "chwoot" zum Systemadministrator.

Der Internationale Strafgerichtshof (IStGH) ist wieder Ziel einer Cyberattacke geworden. Die in Den Haag sitzende Institution sprach am Montag von einem "neuen, komplexen und gezielten Cybersicherheitsvorfall". Dieser sei Ende voriger Woche entdeckt und mittlerweile eingedämmt worden. Interne "Warn- und Reaktionsmechanismen" hätten funktioniert. Derzeit erfolge "eine gerichtsweite Folgenabschätzung", heißt es weiter. Es würden Maßnahmen ergriffen, um die Auswirkungen des Angriffs abzuschwächen.

Weitere Details etwa über kompromittierte Daten oder Konten hat der IStGH, der vor 23 Jahren mit der Ratifizierung des sogenannten römischen Statuts durch über 60 Staaten offiziell eingerichtet wurde, bislang nicht bekannt gegeben. Der Gerichtshof war bereits 2023 ins Visier eines damals als "beispiellos" bezeichneten Cyberangriffs geraten. Im Anschluss verdichteten sich Hinweise, dass es sich dabei um einen Versuch handelte, Spionage zu betreiben und den Auftrag der Einrichtung zu untergraben. Diese erhöhte im Anschluss die eigenen IT-Sicherheitsmaßnahmen. Potenzielle Täter wurden bislang nicht genannt.

Der IStGH sorgte in den vergangenen Jahren wiederholt für Schlagzeilen. So erließ er Haftbefehle gegen den israelischen Regierungschef Benjamin Netanjahu, den damaligen israelischen Verteidigungsminister Joav Gallant sowie mehrere Anführer der Hamas. Ihnen werden mutmaßliche Verbrechen gegen die Menschlichkeit und Kriegsverbrechen im Gaza-Krieg zur Last gelegt. Auch gegen den russischen Präsidenten Wladimir Putin liegt ein Haftbefehl vor. Einer der Vorwürfe gegen ihn: unrechtmäßige Verschleppung ukrainischer Kinder.

Jüngst sorgte die Meldung für Aufsehen, dass der IStGH-Chefankläger Karim Khan nach US-Sanktionen von seinem Microsoft-basierten E-Mail-Konto ausgeschlossen wurde. Der Softwareriese behauptet, von ihm ergriffene Maßnahmen hätten "in keiner Weise die Einstellung der Dienste für den IStGH" umfasst. Die Open Source Business Alliance (OSBA) sprach trotzdem von einem Weckruf für digitale Souveränität.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Google startet in Deutschland zusammen mit den Sparkassen ein Pilotprojekt für ein Altersverifikationssystem. Es basiert unter anderem auf Google Wallet, wobei die Sparkasse für die Altersverifikation verantwortlich zeichnet. Es soll unkompliziert ermöglichen, im Netz oder bei Einkäufen einen Altersnachweis zu erbringen – das Ganze auch noch datensparsam.

Google arbeitet bereits länger an einer digitalen Identität (DI), die persönliche Informationen in der Google Wallet speichert und selektiv freigeben kann. Anstatt wie beim Vorzeigen eines Ausweises alle Informationen wie Name, Adresse und weitere persönliche Daten zu teilen, erhalten anfragende Stellen so tatsächlich nur das Geburtsdatum zur Altersprüfung, erörtert Google. Mitte Juni hat Google ein Altersverifikations-Tool für Europa angekündigt, welches die hiesigen Besonderheiten berücksichtigt.

Google liefert mit der Credential Manager API eine sichere Möglichkeit, um Identitätsinformationen einschließlich des Alters zu teilen. Webseiten und Apps können dieses Tool nutzen, um etwa die Mobil-Wallet oder digitale Altersverifikations-App abzufragen – und erhalten ausschließlich die nötige Altersinformation, bekräftigt Google. Das soll eine der größten Herausforderungen der universellen Altersverifikation knacken. In einigen Bundesstaaten der USA und in Großbritannien können Interessierte ihre IDs bereits in der Google Wallet ablegen und damit ihr Alter nachweisen, verkündete Google Ende April.

Auf der Konferenz "Global Digital Collaboration Conference" in Genf hat die Sparkasse nun die Zusammenarbeit mit Google angekündigt. Die Sparkasse mit ihren rund 50 Millionen Kunden stellt den Altersnachweis aus. Der lässt sich dann mittels der Credential Manager API von Google unter Android und mit Chrome bei Apps und Webseiten mit einem Klick einfach freigeben. Kinder und Jugendliche lassen sich so vor ungeeigneten Inhalten schützen.

Weitere Details bleiben derzeit noch unklar. Das Projekt soll in den kommenden Monaten in die Pilotphase gehen. Wie genau der Altersnachweis der Sparkasse gegenüber den Google-Systemen aussieht, ist noch nicht bekannt. Aktuell lassen sich Sparkassenkarten nicht zur Google Wallet hinzufügen – das wäre ein Weg, wie sich die Volljährigkeit belegen ließe. Bislang können sich Sparkassenkundinnen und -kunden damit behelfen, ein Paypal-Konto in der Google Wallet zu hinterlegen und darüber mit der Wallet zu zahlen.

Aufgrund verschiedener verwundbarer Komponenten können Angreifer Systeme mit Dell OpenManage Network Integration attackieren. Sicherheitsupdates stehen zum Download bereit.

Mit Dell OpenManage Network Integration verwalten Admins unter anderem Ethernetswitches. Wie aus einer Warnmeldung hervorgeht, sind unter anderem die Komponenten Git, OpenSSH und Vim attackierbar. Setzen Angreifer erfolgreich an den Schwachstellen an, können sie etwa Speicherfehler auslösen (CVE-2024-22667 "hoch"), worüber in der Regel Schadcode auf Systeme gelangt. Außerdem sind Man-in-the-Middle-Attacken (CVE-2025-26465 "mittel") möglich.

Weiterhin wurden Sicherheitspatches für sehr viele Linux-Kernel-Lücken implementiert. Um Systeme abzusichern, müssen Admins Dell OpenManage Network Integration 3.8 installieren. Alle älteren Ausgaben sind verwundbar.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

"Politikerinnen und Politiker, aber auch alle anderen Menschen, die sich politisch aktiv einbringen, sind kein Freiwild", sagt die CDU-Politikerin Yvonne Magwas. Ihr eindringlicher Appell spiegelt die Erfahrungen wider, von denen Betroffene im heise-Podcast "Bits & Böses" berichten. Digitale Gewalt in Form von Hasskommentaren oder KI-generierten Fälschungen, sogenannten Deepfakes, trifft vor allem Frauen und Menschen, die in der Öffentlichkeit stehen. Die Schauspielerin Collien Ulmen-Fernandes, der c't-Journalist Jan-Keno Janssen und die Politikerin Yvonne Magwas erzählen, wie sie mit Anfeindungen umgehen und warum der Kampf dagegen oft aussichtslos erscheint.

Collien Ulmen-Fernandes kämpft seit Jahren gegen gefälschte Nacktbilder von sich im Netz. Obwohl sie sich bewusst nie für Magazine wie den Playboy auszog, tauchen immer wieder KI-generierte Bilder auf, die genau danach aussehen. Mit anwaltlicher Hilfe ließ sie die Bilder entfernen, doch immer wieder entdeckt sie neue pornografische Deepfakes von sich im Netz. "Es fühlt sich ein bisschen so an wie ein Kampf gegen Windmühlen, weil mich das natürlich auch viel Geld gekostet hat", erklärt sie. Die psychische Belastung ist enorm. Judith Strieder, Psychologin bei der Hilfsorganisation HateAid, zieht Parallelen zu realem Missbrauch: "Viele betroffene Personen fühlen sich ohnmächtig, fühlen sich hilflos, haben große Schuld- und Schamgefühle." Die Folgen reichen von Schlafstörungen bis hin zu Suizidalität.

Auch der c't-Journalist und YouTuber Jan-Keno Janssen von "c't 3003" kennt den Hass im Netz. Seit er Videos produziert, wird er nicht nur für seine Arbeit, sondern auch für sein Äußeres angegriffen. Den einen ist er mit Brille und Vollbart zu sehr Hipster, den anderen ist er nicht männlich genug, wenn er mal ein rosa Shirt trägt. Seine Strategie: Persönliche Angriffe konsequent löschen. "Sobald da ein Kommentar ist, der uns irgendwie emotional anfasst, in irgendeiner Form, dann hat jeder absolut hundertprozentig das Recht, diesen Kommentar zu löschen", sagt Janssen. Jede und jeder habe das Recht, seine Arbeit zu kritisieren, aber Kritik an seiner Person und seinem Aussehen findet er deplatziert. Den oft gehörten Ratschlag, sich ein "dickeres Fell" zuzulegen, hält der Redakteur für problematisch, besonders wenn er von Menschen kommt, die solche Erfahrungen nie machen mussten. Aufgeben kommt für ihn nicht infrage, denn das würde bedeuten, den Pöblern das Feld zu überlassen und damit auch die Vielfalt im Netz zu schwächen.

Angreifer können an mehreren Sicherheitslücken in IBM App Connect Enterprise Container und MQ ansetzen und so Systeme attackieren. Bislang gibt es keine Berichte zu Attacken. Admins sollten aber nicht zu lange zögern und die Sicherheitsupdates zeitnah installieren, um ihre Instanzen vor möglichen Attacken zu schützen.

IBMs Integrationssoftwareangebot Connect Enterprise Container zum Zusammenfügen von Geschäftsinformationen aus unterschiedlichen Anwendungen ist über mehrere DoS-Schwachstellen (CVE-2025-47935 "hoch", CVE-2025-47944 "hoch", CVE-2025-48997 "hoch") attackierbar. Die Lücken betreffen die Node.js-Middleware Multer. Daran können Angreifer unter anderem mit präparierten Multi-Part-Upload-Anfragen ansetzen. Die Verarbeitung der Anfragen führt zu einem Crash.

Außerdem können Angreifer an einer weiteren Sicherheitslücke (CVE-2025-48387 "hoch") ansetzen, um sich Schreibzugriffe in einem bestimmten Kontext zu verschaffen. Die Entwickler geben in einer Sicherheitsmeldung an, dass dagegen die folgenden Versionen von IBM App Connect Enterprise Container abgesichert sind:

IBMs Middlewaresoftware MQ ist über mehrere mit dem Bedrohungsgrad "mittel" eingestufte Sicherheitslücken angreifbar. So können Angreifer etwa auf nicht näher beschriebenen Wegen DoS-Attacken ausführen (CVE-2025-3631, CVE-2025-3631) oder aufgrund von Fehlern bei der Überprüfung von Zertifikaten die Authentifizierung umgehen (CVE-2025-33181). Gegen die geschilderten Attacken sind die Versionen 9.3.0.30, 9.4.0.12 und 9.4.3 gerüstet.

Bereits Anfang des Jahres hatte Let's Encrypt angekündigt, keine Benachrichtigungsmails mehr verschicken zu wollen, wenn alte Zertifikate ablaufen. Nun erinnert das Projekt daran, dass es die Funktion zum 4. Juni eingestellt hat.

Das schreiben Let's-Encrypt-Beteiligte in einem News-Beitrag. Dort erörtern sie nochmals die Gründe, weshalb sie diesen Dienst nicht mehr anbieten. In den vergangenen zehn Jahren habe demnach eine zunehmende Zahl an Nutzern verlässliche Automatisierung für die Zertifikatserneuerung eingerichtet. Das Bereitstellen von Auslauf-Benachrichtigungen bedeute, dass Let's Encrypt Millionen an E-Mail-Adressen in Verbindung mit den Ausgabedaten vorhalten müssten; da die Organisation Privatsphäre wichtig nehme, sei ihr das Auflösen dieser Anforderung wichtig.

Zudem koste das Ausliefern von Zertifikatsablaufmails tausende US-Dollar jedes Jahr. Geld, das Let's Encrypt lieber für andere Aspekte der Infrastruktur aufwenden würde. Als letztes Argument nennt Let's Encrypt, dass der Mailversand der IT-Infrastruktur zusätzliche Komplexität hinzufüge, was Zeit und Aufmerksamkeit für die Verwaltung beanspruche und die Wahrscheinlichkeit erhöhe, dass Fehler passieren. Auf lange Sicht müsse die Organisation die allgemeine Komplexität einhegen. Insbesondere mit Hinblick auf das Hinzufügen neuer Dienst-Komponenten müssten daher alte Systemkomponenten gehen, die sich nicht länger rechtfertigen lassen.

Let's Encrypt weist zudem wieder darauf hin, dass es Drittanbieterdienste gebe, die die Organisation empfehle. Etwa Red Sift Certificates Lite, ehemals unter dem Namen Hardenize bekannt, liefere einen Überwachungsdienst, der kostenlos Ablaufmails für bis zu 250 Zertifikate umfasse.

Der Zertifikatsdienst Let's Encrpyt hat nun die E-Mai-Adressen gelöscht, die in der CA-Datenbank (Certificate Authority) in Verbindung mit den Ausgabe-Daten stehen. E-Mail-Adressen, die zum Abonnieren von Mailinglisten und anderen Systemen dienen, sind davon ausgenommen. Künftig speichert Let's Encrypt E-Mail-Adressen nicht mehr, die über die ACME API eintreffen; stattdessen landen die auf der Internet Security Research Group (ISRG)-Mailingliste, ohne mit etwaigen Kontodaten verknüpft zu sein. Sofern die E-Mail-Adresse bislang unbekannt ist, versendet der Dienst eine Onboarding-Mail. ISRG ist die Non-Profit-Mutter-Organisation von Let's Encrypt.

Google verteilt ein ungeplantes Update für den Webbrowser Chrome – auf eigentlich allen unterstützten Plattformen. Ursache ist eine bereits aktiv im Internet angegriffene Sicherheitslücke im Browser.

In der Versionsankündigung schreiben die Chrome-Entwickler, dass die Aktualisierung lediglich einen Sicherheitsfix enthält. Es handelt sich um eine Schwachstelle vom Typ "Type Confusion", bei dem unerwartete Datentypen an Programmcode-Teile übergeben werden. Das löst unerwartetes Verhalten aus und Angreifer können im konkreten Fall, der die JavaScrip-Engine V8 betrifft, das für beliebige Schreib- und Lesezugriffe durch sorgsam präparierte, bösartige Webseiten missbrauchen (CVE-2025-6554 / noch kein EUVD, kein CVSS, Risiko laut Google "hoch").

Gegenmaßnahmen durch eine Konfigurationsänderung hat Google bereits am 26. Juni für alle Plattformen im Stable-Kanal verteilt. Die Lücke hatte am 25. Juni die Google Threat Analysis Group entdeckt. Die Schwachstelle schließen die Entwickler nun jedoch korrekt mit Code-Änderungen. "Google ist bekannt, dass ein Exploit für CVE-2025-6554 in freier Wildbahn existiert", ergänzen die Entwickler zudem – die Sicherheitslücke wird also bereits von bösartigen Akteuren missbraucht.

Den Fehler bügeln die Versionen Chrome 138.0.7204.63 für Android, 138.0.7204.119 für iOS, 138.0.7204.96 für Linux, 138.0.7204.92/.93 für Mac und schließlich 138.0.7204.96/.97 für Windows aus. Die Extended-Stable-Fassungen hieven die Entwickler zudem auf die Versionen 138.0.7204.93 für macOS und 138.0.7204.97 für Windows.

Um zu prüfen, ob Chrome bereits auf dem aktuellen Stand ist, können Nutzerinnen und Nutzer den Versionsdialog aufrufen. Den erreichen sie durch Klick auf das Symbol mit den drei aufgestapelten Punkten rechts von der Adressleiste und dort den weiteren Weg über "Hilfe" hin zu "Über Google Chrome". Das stößt gegebenenfalls auch den Update-Vorgang an, wenn der Browser veraltet ist.

Kanadas Regierung hat dem dortigen Ableger von Hikvision untersagt, Geschäfte in Kanada zu machen und die Schließung verfügt. Das hat Industrieministerin Mélanie Joly bekannt gegeben. Hintergrund sei eine Überprüfung unter Gesichtspunkten der nationalen Sicherheit. Auf deren Grundlage sei Kanadas Regierung zu dem Schluss gekommen, dass eine Fortführung der Geschäftstätigkeit von Hikvision Canada schädlich wäre. Die Prüfung habe sich aber nur auf den kanadischen Ableger des chinesischen Herstellers von Überwachungskameras bezogen, andere seien nicht betroffen. Hikvision-Produkte aus dem Ausland könnten also weiter gekauft werden – auch wenn davon abgeraten wird. Nur staatlichen Stellen ist das jetzt untersagt.

Welche Gefahren für die nationale Sicherheit genau Kanadas Regierung durch die Produkte von Hikvision Canada sieht, geht aus der Mitteilung nicht hervor. Der betroffene Konzern hat die Entscheidung bereits harsch kritisiert. Ihr fehle es an einer Grundlage, einem fairen Prozess und Transparenz. Stattdessen scheine sie auf ungerechtfertigten Vorurteilen gegenüber dem chinesischen Heimatland des Mutterkonzerns zu beruhen. Man fordere die Regierung in Ottawa dringend dazu auf, Entscheidungen auf der Basis von Fakten zu treffen. Die Entscheidung bringe die Menschen und Firmen in Kanada um den Zugang zu bezahlbaren und technisch hochwertigen Überwachungskameras.

Hikvision steht schon längerem im Fokus westlicher Regierungen. In den USA ist die Einfuhr und der Verkauf von Hikvision-Produkten seit Jahren untersagt. In Großbritannien dürfen Geräte des chinesischen Herstellers nicht in bestimmten staatlichen Gebäuden benutzt werden. Hikvision wird unter anderem vorgeworfen, an der Unterdrückung der muslimischen Minderheit der Uiguren in der Provinz Xinjiang beteiligt zu sein. Ende 2023 sorgten Berichte für Aufsehen, laut denen das Unternehmen an einer Hochschule in China Überwachungstechnik installiert haben soll, die Verantwortliche automatisch alarmieren sollte, wenn Studierende beim Fasten ertappt werden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.

Die Sicherheitsbehörden in Niedersachsen müssen sich den wachsen Herausforderungen durch die Digitalisierung laut Innenministerin Daniela Behrens ständig neu stellen. Cyberangriffe, hybride Bedrohungen und vorsätzlich platzierte Desinformationen seien keine Zukunftsszenarien, sondern Realität, sagte die SPD-Politikerin. Sicherheitsbehörden müssen nach Behrens Worten ihre Denkweise
anpassen, um technologische Entwicklungen nicht nur nachvollziehen, sondern aktiv mitgestalten zu können.

Die Innenministerin äußerte sich anlässlich eines Symposiums des Landeskriminalamtes in Hannover, bei dem am Dienstag rund 100 Experten Sicherheitsherausforderungen im Rathaus der Landeshauptstadt diskutieren. "Nur wenn sie die Komplexität der digitalen Welt verstehen, können sie wirksame Schutzmechanismen entwickeln und Vertrauen in staatliches Handeln bewahren", sagte Behrens.

Die Experten vor Ort wollen unter anderem die sicherheitspolitischen Abhängigkeiten zwischen ziviler und militärischer Verteidigung in den Mittelpunkt stellen. Auch das subjektive Sicherheitsempfinden und die Rolle von Einsatzkräften im gesellschaftlichen Wandel soll ein Hauptaspekt des Treffens sein.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

In einer koordinierten Aktion sind US-Strafverfolgungsbehörden gegen Nordkoreas Programm zur Geldbeschaffung durch Jobs im Home-Office vorgegangen. Wie das US-Justizministerium mitteilt, sind in 16 US-Bundesstaaten 29 tatsächliche oder potenzielle "Laptop-Farmen" durchsucht, sowie dutzende Konten und 21 betrügerische Internetseiten übernommen worden, die damit in Verbindung standen. Bei den Betrügereien ging es einmal mehr um Menschen aus Nordkorea, die aus der Ferne für US-Unternehmen gearbeitet haben. Dabei hätten sie nicht nur Gehaltszahlungen für das nordkoreanische Regime erarbeitet, sondern auch Firmengeheimnisse oder sogar Kryptogeld entwendet.

Laut dem US-Justizministerium hatte Nordkorea bei dem Vorgehen die Hilfe von mehreren Individuen aus den USA, China, den Vereinigten Arabischen Emiraten und Taiwan. Die hätten den Remote-Angestellten dabei geholfen, Anstellungen bei über 100 US-Unternehmen zu bekommen. Dafür hätten sie beispielsweise in den USA an verschiedenen Standorten "Laptop-Farmen" eingerichtet, über die die Nordkoreaner ihre Tätigkeiten ausüben konnten, ohne dass sie nach Nordkorea hätten zurückverfolgt werden können. Außerdem hätten sie Scheinfirmen inklusive Internetauftritten eingerichtet, über die Tätigkeiten der angeblichen Angestellten bei früheren Arbeitgebern vorzutäuschen.

Bei dem ausgeklügelten Vorgehen ging es demnach nicht nur danach, den Nordkoreanern Gehaltszahlungen aus den USA zu ermöglichen, über die das Regime an den strikten US-Sanktionen vorbei US-Dollar bekommen kann. In einem Fall seien die Nordkoreaner dabei einem Dienstleister für das US-Militär aus der Ferne an sensible Arbeitnehmerdaten und Quelltexte gelangt, die unter die Regeln zur Exportkontrolle für Waffen gefallen sind. In einem anderen Fall hätten Nordkoreaner von ihren Arbeitgebern Kryptogeld im Wert von 900.000 US-Dollar gestohlen. Im Zusammenhang mit den Vorwürfen wurde eine Person in den USA festgenommen, die meisten Angeklagten sind aber außerhalb der Reichweite der US-Strafverfolgung.

Dass Nordkorea IT-Arbeiter mit verschleierter Herkunft in westliche Firmen entsendet, ist nicht neu. Schon 2022 hat die US-Regierung Unternehmen vor den Risiken gewarnt. Damals hieß es, dass das abgeschottete Regime Tausende von hoch qualifizierten IT-Arbeitern in alle Welt entsende, um mit deren Einnahmen das von den Vereinten Nationen sanktionierte Programm zur Waffenentwicklung zu finanzieren. Insgesamt geht es um Millionensummen, hat sich bereits ein Jahr später gezeigt. Im Oktober hat dann auch das Bundesamt für Verfassungsschutz deutsche Unternehmen vor den damit verbundenen Gefahren gewarnt. Dazu gehört auch das Risiko, dass man unwissentlich Sanktionen verletzt.

In Internetforen mehren sich Diskussionen über fehlerhafte Midea-PortaSplit-Klimaanlagen. Die Fernbedienung mit der App des Anbieters steuert bei Betroffenen offenbar nicht die eigenen, sondern fremde Klimaanlagen. Insbesondere jetzt, wo die Meteorologen für die Woche Temperaturspitzen von teils mehr als 39 °C im Schatten an mehreren Stellen Deutschlands vorhersagen, eher ungünstig.

Möglicherweise ist das jedoch auch ein Datenschutzproblem. In einer Diskussion auf Reddit sucht ein Betroffener etwa einen Midea-Besitzer, der ein WLAN-Netzwerk mit dem Namen "Guybrush" betreibt. Der User vermutet gar den gegenseitigen Austausch von Bluetooth-Kennwörtern zur Steuerung und merkt an, dass er dem Gesuchten offenbar die Temperatur heruntergeregelt hat. Dort äußern weitere Diskussionsteilnehmer Ängste, die Midea-Geräte ins Netz zu stellen. Andere geben den Hinweis, dass das kein Problem sei, sofern im Router die Internetfreigabe für die Klimaanlage deaktiviert wird – sie läuft dann nur im lokalen Netz.

In einem weiteren Reddit-Thread berichten weitere Nutzer, dass ihre Anlage nach längerer Offline-Zeit sich nach neuer Inbetriebnahme verselbstständigen, sofern sie mittels App ins WLAN angebunden wird. Die Vermutungen gehen dort in die Richtung, dass Geräte-IDs mehrfach vergeben wurden. Im speziellen Fall der deaktivierten Anlage zeigte der Verbrauchsverlauf zudem eine konstante Nutzung seit dem Juni 2024 – obwohl das Gerät im August 2024 gekauft wurde und mehrere Monate stromlos im Keller stand.

Schließlich findet sich ein Thread mit einer Problemzusammenfassung, ebenfalls auf Reddit. Demnach hat Midea im September 2024 bereits Kunden bestätigt, dass es bei einigen Geräten zu den genannten Problemen kommt. Dort ließ sich offenbar noch nicht eingrenzen, welche Geräte betroffen sind. Midea riet den Kunden, die nächste Kühlperiode abzuwarten und bei weiterhin bestehendem Problem ab März oder April 2025 einen Austausch des Geräts zu veranlassen. Die User haben die Kontaktadresse Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. für Support-Mailanfragen als Anlaufstelle ausgemacht.

Wir konnten das Problem mit einer Midea-PortaSplit-Klimaanlage nicht nachstellen. Das Gerät hat der Hersteller jedoch im Laufe des Tests einmal ausgetauscht. Dies könnte solche Probleme vermeiden, so wurde auch auf Reddit von einigen Nutzern angegeben, dass sie auf Nachfrage ein Austauschgerät erhalten haben. Eine Server- oder App-seitige Korrektur scheint nicht möglich.

Der gemeinnützige Verein Deutsche Welthungerhilfe e.V. ist Opfer eines Cyberangriffs geworden. Das bestätigte die Hilfsorganisation heute gegenüber heise online. Die Täter wollen 20 Bitcoins erpressen. Bei dem Kurs zum Meldungszeitpunkt von etwa 91.825 Euro entspricht das rund 1,8 Millionen Euro Lösegeldforderung.

Auf dem Darknet-Auftritt von Rhysida deuten die Erpresser ein paar der kopierten Daten wie Ausweiskopien an und fordern eine Zahlung von 20 Bitcoin.

(Bild: Screenshot / dmk)

Die kriminellen Täter bauen Druck auf, dass die Welthungerhilfe noch etwas mehr als fünf Tage Zeit hat, bevor die Daten veröffentlicht werden. Den Erpressern ist dabei gleich, von wem das Geld kommt: "Nutzt die Möglichkeit, auf exklusive, einzigartige und beeindruckende Daten zu bieten. Öffnet eure Brieftaschen und seid bereit, exklusive Daten zu kaufen. Wir verkaufen nur an einen, keine Weiterverkäufe, du bist der einzige Besitzer!", versprechen sie im Darknet.

Auf Nachfrage von heise online erklärte eine Sprecherin der Organisation, dass sie den Einbruch in die IT-Systeme bestätigen kann. "Der genaue Kreis der betroffenen Personen, deren Daten nach außen gelangt sind, lässt sich leider nicht ermitteln", führte sie weiter aus, die zuständige Datenschutzbehörde habe man informiert, die Polizei sei bereits involviert; der Austausch mit den Behörden sei eng.

Bei dem Wertpapierinstitut Tradersplace.de gab es einen "Cybercrimevorfall", wie das Unternehmen gegenüber heise online bestätigt. Betroffene Kunden werden offenbar mittels E-Mail mit PDF-Anhang darüber informiert.

In dem Schreiben an Kundinnen und Kunden der Handelsplattform unter anderem für diverse Krypto-Währungen und -assets oder ETFs erörtert das Unternehmen, dass unter anderem "Verfügernummer, Vorname, Name, Kontakt- und Adressdaten sowie Depotwert Stand November/Dezember 2023" möglicherweise in unbefugte Hände gelangt sind. Dem PDF zufolge habe das Unternehmen "Sicherungsmaßnahmen zur Verhinderung unberechtigter Zugriffe auf Konten-/Depots und Vermögensverschiebungen getroffen". Weiterhin hätten "intensive interne Prüfungen bislang keine Anhaltspunkte für eine missbräuchliche Verwendung der Daten ergeben".

"Der unberechtigte Zugriff wurde am 19.06.2025 erfolgreich beendet und der Vorfall bereits der Datenschutzbehörde gemeldet", ergänzt Tradersplace. Auf Anfrage von heise online antwortete CEO Ernst Huber, dass Tradersplace derzeit "zu dem Vorfall keine konkreten Details veröffentlichen können, um die aktuell auf Hochtouren laufenden internen und behördlichen Ermittlungen nicht zu gefährden." Es bestehe die Möglichkeit, dass unbefugte Dritte Zugriff auf mehrere interne statische Auswertungen erhalten hätten, die personenbezogene Kundendaten enthalten. "Zu keinem Zeitpunkt waren die vom betroffenen Bereich vollständig getrennten Kern- und Kundensysteme gefährdet", schließt Huber die Stellungnahme ab.

Die Kunden-E-Mails mit PDF-Anhang sind daher als echt einzustufen, es gab einen IT-Vorfall bislang unbekannten Ausmaßes. Tradersplace empfiehlt Kundinnen und Kunden, "erhöhte Vorsicht bei E-Mails und sonstigen Kontaktaufnahmen, insbesondere, wenn diese einen ungewöhnlichen Inhalt aufweisen, Sie beispielsweise zur Bekanntgabe von Zugangs- oder Konto-/Depotdaten, Änderungen von Zugangsdaten oder Konto-/Depotdaten oder auch Zahlungen aufgefordert werden". Wer derartige E-Mails erhalte, bittet Tradersplace um Mitteilung, da dies bei der Aufklärung des "Cybercrimeangriffs" beitragen könne.

Derartige Vorfälle im Finanzsektor sind besonders brisant. Auf Nachfrage bestätigt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), dass die Traders Place GmbH & Co KGaA unter ihrer Aufsicht stehe, sie könne jedoch keine weiteren Angaben machen, da diese unter Verschwiegenheitspflicht fallen. Laut BaFin fallen nahezu alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors unter DORA, die europäische Verordnung über die digitale operationale Resilienz im Finanzsektor. DORA verpflichtet die Institute dazu, schwerwiegende IKT-bezogene Vorfälle zu melden.

Eine Sicherheitslücke in Citrix Netscaler ADC und Gateway entpuppte sich vergangene Woche als gravierend. Sie bekam daher von IT-Sicherheitsforschern den Titel "CitrixBleed 2" verpasst. Nun haben andere IT-Forscher Indizien entdeckt, die auf laufende Angriffe auf die Schwachstelle hindeuten. IT-Verantwortliche sollten schleunigst die bereitstehenden Updates anwenden.

Die IT-Forscher von Reliaquest beschreiben in einem Blog-Beitrag, dass sie Ende vergangener Woche Indizien für aktiven Missbrauch der Schwachstelle im Internet beobachtet haben. Ganz sicher sind sie sich jedoch nicht, denn sie schränken ein: "Mit mittlerer Sicherheit stufen wir ein, dass Angreifer aktiv die Schwachstelle attackieren, um initialen Zugriff auf Ziel-Umgebungen zu erlangen". Bei der "CitrixBleed 2"-Lücke handelt es sich um lesenden Speicherzugriff außerhalb vorgesehener Speichergrenzen, wodurch etwa Session-Token ausgelesen und zur Umgehung von Authentifizierung einschließlich Mehr-Faktor-Authentifizierung (MFA) missbraucht werden können (CVE-2025-5777 / EUVD-2025-18497, CVSS 9.3, Risiko "kritisch").

Sie haben übernommene Citrix-Web-Sessions auf Netscaler-Geräten beobachtet, schreiben die IT-Sicherheitsforscher. Authentifizierung sei ohne Kenntnis der User erlangt worden, was auf die Umgehung von MFA hindeute. Zudem wurden Session von mehreren IP-Adressen aus wieder genutzt, einschließlich Kombinationen von erwarteten und verdächtigen IP-Adressen. Weiterhin fanden LDAP-Anfragen statt, die üblicherweise mit Active-Directory-Reconnaissence-Aktivitäten, also erneutem Zugriff nach initialem Einbruch, in Verbindung stehen. Quer über die Umgebung fanden sich weiterhin Instanzen des "ADExplorer64.exe"-Tools, mit dem Domänen-Gruppen und Zugriffsrechte an mehrere Domain-Controller gestellt wurden. Außerdem stammten einige der Citrix-Sessions aus Rechenzentren-IP-Bereichen, die die Nutzung von Endkunden-VPN-Diensten nahelegen.

Die Reliaquest-Mitarbeiter empfehlen, umgehend die fehlerbereinigten Softwareversionen zu installieren und den Zugriff auf Netscaler einzuschränken. Zudem sollten Admins ungewöhnliche Aktivitäten überwachen, die auf Exploit-Versuche hindeuten. Das schließt die Wiederbenutzung von Sessions und die Webserver-Logs mit HTTP-Anfragen mit ungewöhnlichen Zeichenlängen ein. Als Beispiel verweisen die IT-Forscher auf das ursprüngliche "CitrixBleed", bei dem HTTP-GET-Anfragen an den API- Endpunkt "/oauth/idp/.well-known/openid-configuration HTTP/1.1" gerichtet wurden, bei denen der HOST_Header 24.812 Zeichen enthielt.

Auf Mastodon hat die Shadowserver Foundation aktuelle Zahlen bekanntgegeben. Demnach waren Stand 29. Juni insgesamt noch 1289 aus dem Internet erreichbare Systeme verwundbar. Der Höhepunkt war am 24. Juni, mit 2804 verwundbaren Citrix-Netscaler-Instanzen. Im Telegramm-Stil verkünden die IT-Forscher zudem: "Top: US & DE", also, dass die meisten anfälligen Server in den USA und in Deutschland stehen.

Die Bundesregierung will gemeinsam mit Israel ein Zentrum für Cyberabwehr aufbauen und die Kooperation im Bereich Cybersicherheit deutlich ausbauen. Das hat Bundesinnenminister Alexander Dobrindt (CSU) bei einem Besuch vor Ort angekündigt, berichtet unter anderem die Tagesschau. Zusammen mit Israel soll außerdem ein "Cyberdome" entwickelt werden, der Name verweist dabei offenbar auf das israelische System zur Raketenabwehr, das den Namen "Iron Dome" trägt. Dabei geht es Dobrindt demnach auch um den Zivilschutz, um militärische und zivile Verteidigungsfähigkeit zu kombinieren.

Insgesamt hat Dobrindt demnach fünf konkrete Punkte aufgezählt, bei denen in Bezug auf Cybersicherheit und Sicherheit allgemein stärker mit Israel kooperiert werden soll. Neben der Zusammenarbeit bei der Cyberabwehr mit Israel, das in diesem Bereich als besonders fortschrittlich gilt, geht es dem Bericht zufolge auch um Drohnenabwehr. Auch hier soll die Expertise aus Israel helfen. Zudem sollen der Bevölkerungsschutz und das öffentliche Warnsystem ausgebaut werden, hier hat Israel ebenfalls eine Menge Erfahrung. Darüber hinaus soll die Zusammenarbeit zwischen den Geheimdiensten vertieft werden. Schließlich geht es um den Plan eines gemeinsamen Zentrums für Cyberabwehr.

Israel hat im Bereich Cybersicherheit und Bevölkerungsschutz viel Erfahrung, das Land ist immer wieder direkten Angriffen ausgesetzt – zuletzt unter anderem auch durch ballistische Raketen aus Iran, nachdem Israel die Islamische Republik angegriffen hat, um die Entwicklung von Atomwaffen zu behindern. Dobrindt hat jetzt in Israel die Kleinstadt Bat Jam südlich von Tel Aviv besucht, wo eine solche Rakete erhebliche Schäden angerichtet und mehrere Menschen getötet hat. Dort gebe es weit und breit keine militärischen Einrichtungen, hat Israels Außenminister Gideon Sa’ar demnach versichert. Inzwischen gilt der Krieg zwischen beiden Staaten als beendet.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.

Die Folgen eines Cyberangriffs auf den Pathologiedienstleister Synnovis im Juni 2024 werden immer deutlicher, wie aktuelle Untersuchungen zeigen. Demnach trug der Angriff – der zahlreiche Londoner Klinken massiv beeinträchtigt hatte –, auch zum Tod eines Patienten bei. Darüber berichtete unter anderem die BBC.

Laut NHS England liegt in diesem Fall ein "serious incident" vor, da Blutergebnisse durch die IT-Störung nicht rechtzeitig bereitgestellt werden konnten. Das führte nachweislich zu einer Verzögerung der Patientenversorgung und damit zum Tod eines Patienten. Die offiziellen Leitlinien betonen, dass auch "unbeabsichtigte oder unerwartete Vorfälle, Handlungen oder Unterlassungen, die zu Schaden oder Todesfällen führen", als schwerwiegende Sicherheitsvorfälle einzustufen sind.

Da der Tod des Patienten direkt auf die durch den Cyberangriff verursachte Verzögerung zurückzuführen ist, sind demnach eindeutig die Kriterien eines schwerwiegenden Vorfalls infolge eines "externen Ereignisses" im Gesundheitswesen erfüllt: "Acts and/or omissions occurring as part of NHS-funded healthcare [...] that result in: unexpected or avoidable death of one or more people."

Die verspätete Bereitstellung der Blutergebnisse wird als wesentlicher Hauptfaktor unter mehreren Ursachen angesehen, die letztlich zum Tod des Patienten beigetragen haben, wie auch das HIPAA Journal berichtet – ein Fachblatt für Datenschutz und IT-Sicherheit im Gesundheitswesen. Damit wäre das der erste Todesfall in Europa, der konkret mit Ransomware als Ursache in Zusammenhang gebracht wird.

Der Angriff, der der Cyberkriminellengruppe Qilin zugeschrieben wird, legte zentrale IT-Systeme lahm und führte dazu, dass zahlreiche Londoner Krankenhäuser ihre Dienstleistungen stark einschränken mussten. Mehr als 10.000 ambulante Termine und über 1.700 geplante Eingriffe, darunter auch lebenswichtige Behandlungen wie Organtransplantationen und Krebstherapien, mussten verschoben werden.

Als Wake-up-Call für die Techbranche, Regierungen und User hatte WhatsApp Chef Will Cathcart die NSO-Attacken vor Jahren bezeichnet. Es folgte ein Rechtverfahren, im Mai 2025 sprach die erste Instanz Meta 168 Millionen US Dollar Schadenersatz zu. Trotzdem wächst die Spyware-Branche munter weiter, warnten Nichtregierungsorganisation aus Lateinamerika und Afrika bei der 20. Ausgabe des Internet Governance Forum (IGF) der Vereinten Nationen. Die Veranstaltung fand in dieser Woche im norwegischen Lillestrøm nahe Oslo statt.

Über 500 Firmen vertreiben Spyware an mindestens 65 Regierungen weltweit – die Geschäfte laufen prächtig, sagte Nighat Dad, Organisatorin eines IGF-Panels zum Thema. In den Industrieländern werde seit dem Pegasus-Schock zwar über Ethik, bessere Aufsicht und gesetzgeberische Schritte diskutiert, so die Gründerin der pakistanischen Digital Rights Foundation.

"Im globalen Süden blüht die Spyware-Branche auf und trifft hier auf unzureichenden rechtlichen Schutz, auf einen autoritären Impetus und auf die gezielte Einschränkung öffentlicher Räume," warnt die Juristin.

Mit der Aufarbeitung der NSO-Umtriebe ist es nicht getan, unterstrichen Apar Gupta, Gründer der indischen Internet Freedom Foundation (IFF), Ana Gaita von der mexikanischen Bürgerrechtsorganisation Red en Defensa de los Derechos Digitales (R3D) und Mohamed Najem von der vom Libanon für den arabischen Raum arbeitenden SMEX.

Bei SMEX beobachtet man nach großen Investitionen der Golfstaaten in die NSO inzwischen einen regelrechten Boom von Spyware-Start-ups. Aus den Vereinigten Arabischen Emiraten werde Spyware etwa an die Krieg führenden Rapid Support Forces im Sudan geliefert, so Najem.

Im vergangenen Jahr hatte CrowdStrike Millionen Windows-Systeme mit einem Update lahmgelegt. Langsam mahlen die Mühlen der Bürokratie – doch nun dringen die geplanten Änderungen zur künftigen Vermeidung solcher Vorfälle immer weiter auf die Geräte im Einsatz vor. Nun kündigt Microsoft einen weiteren Schritt an: Antivirensoftware darf nicht mehr in den Windows-Kernel langen.

Das kündigt Microsoft in einem Blog-Post zum aktuellen Stand der auf Microsoft-Hausmesse Ignite 2024 gegründeten "Windows Resiliency Initiative" (WRI) an. Einer der neuen Mechanismen soll den Windows-Start auch dann ermöglichen, wenn Boot-Probleme auftreten. In den Windows-Vorschau-Versionen für Insider ist die Quick Machine Recovery (QMR), die in solchen Fällen die Windows Recovery Environment (Windows RE) startet, bereits seit April des Jahres im Test.

Die QMR soll "später im Sommer allgemein verfügbar" werden, kündigt Microsoft dort an. Sie kommt für alle Windows-11-Geräte auf Stand 24H2 und soll auf Home-Geräten standardmäßig aktiv sein. IT-Admins behalten hingegen die volle Kontrolle darüber.

Das bedeutet jedoch auch weitreichende Änderungen für IT-Sicherheitssoftware in Windows. Eine weitere gegründete Initiative nennt Microsoft die "Microsoft Virus Initiative (MVI)", in der die Redmonder zusammen mit Partnerunternehmen Möglichkeiten ausloten, die Windows-Plattform zu verbessern, um das Ziel der verbesserten Resilienz ohne Verluste bei der Sicherheit zu erreichen. Inzwischen sind die Teilnehmer nun beim "MVI 3.0-Programm" angelangt, die bestimmte Aktionen seitens der Partnerunternehmen vorsehen.

Dazu gehört das Aufsetzen und Testen eines Vorfall-Reaktions-Prozesses und das Befolgen von sicheren Verteilpraktiken (Safe Deployment Practices, SDP) für Updates für Windows-Endgeräte. "Sicherheitsproduktupdates müssen schrittweise in Verteil-Ringen erfolgen und Überwachung einsetzen, um negative Einflüsse zu minimieren", erklärt Microsoft. Das passe sich in die Microsoft-Plattformen ein – so geht etwa auch Microsoft Autopatch für Windows Updates vor. Das führe zu größerer Stabilität, schnellerer Wiederherstellung und reduzierten Risiken im Einsatz bei Enterprise-Kunden, die sich auf eine sichere und verlässliche Windows-Umgebung stützen.