Comretix Blog

Angreifer können IBM Storage Protect und InfoSphere Information Server ins Visier nehmen. Sicherheitsupdates schließen mehrere Softwareschwachstellen.

In einer Warnmeldung erläutern die Entwickler, dass Angreifer über einen bislang offensichtlich undokumentierten Admin-Account weitreichenden Zugriff auf Instanzen bekommen können. Es ist davon auszugehen, dass Angreifer nach dem Umgehen der Anmeldung Instanzen kompromittieren. Die Lücke (CVE-2025-3319) ist mit dem Bedrohungsgrad "hoch" eingestuft. Wie so eine Attacke ablaufen könnte, ist bislang unklar. Unbekannt ist derzeit auch, an welchen Parametern Admins bereits erfolgreich attackierte Systeme erkennen können.

Von dem Sicherheitsproblem sollen die Ausgaben 8.1.0.000 bis einschließlich 8.1.26.000 unter AIX Linux Windows bedroht sein. Die Entwickler geben an, die Lücke in der Version 8.1.27 geschlossen zu haben. Auch wenn es zurzeit keine Berichte zu Attacken gibt, sollten Admins mit der Installation des Sicherheitsupdates nicht zu lange warten.

InfoSphere Information Server ist über zwei Schwachstellen (CVE-2025-3221 "hoch", CVE-2025-3629 "mittel") angreifbar. An diesen Stellen können Angreifer DoS-Zustände auslösen oder Kommentare von Nutzern löschen. Von beiden Lücken sind den Entwicklern zufolge die Versionen 11.7.0.0 bis einschließlich 11.7.1.6 betroffen. Die Sicherheitspatches für die verwundbaren Ausgaben verlinkt IBM in einem Beitrag.

Erst kürzlich sorgte unter anderem eine "kritische" Schadcode-Lücke (CVE-2025-33117) in IBMs IT-Sicherheitslösung QRadar SIEM für Schlagzeilen.

Die am heutigen Dienstag erwartete Version 138 des Webbrowsers Chrome von Google unterstützt als letzte noch Android 8 (Oreo) und 9 (Pie). Anfang August soll Chrome 139 mindestens Android 10 voraussetzen.

Die Chrome-Entwickler erläutern das Abschneiden der alten Zöpfe in einem Support-Beitrag aus der Nacht. Wer neuere Versionen von Chrome nutzen will, muss demnach sicherstellen, dass Android 10.0 oder neuer auf dem Gerät läuft.

Ältere Versionen von Chrome funktionieren weiterhin, erörtern die Entwickler weiter. Aber es wird keine weiteren Updates für Nutzerinnen und Nutzer auf diesen veralteten Betriebssystemen geben. "Wenn du derzeit Android 8 oder 9 nutzt, möchten wir dich ermutigen, auf eine unterstützte Android-Version (oder neuer) zu wechseln, um sicherzustellen, dass du weiterhin die jüngsten Sicherheitsupdates und Chrome-Funktionen erhältst", schreiben sie im Support-Beitrag.

Den Sicherheitsaspekt sollten Betroffene nicht unterschätzen, schließlich dienen Smartphones inzwischen allumfassend dem Zugriff auf Dienste oder dem Online-Einkauf. Mangels der unter anderem künftig fehlenden Aktualisierungen etwa von Zertifikaten werden die Browser bald viele Webseiten gar nicht mehr öffnen können. Das Problem reicht jedoch noch tiefer. Die alten Android-Versionen enthalten ungepatchte Sicherheitslücken, von denen auch viele bereits im Netz angegriffen wurden und werden.

In der quelloffenen Kanban-Software Kanboard haben die Entwickler mit einer aktualisierten Software-Version eine hochriskante Schwachstelle ausgebessert. Angreifer können dadurch Kanboard-Konten übernehmen.

Die Kanboard-Entwickler erörtern die Sicherheitslücke in einer Sicherheitsmitteilung im Github-Repository. "Kanboard ermöglicht den Versand von E-Mails zum Zurücksetzen von Passwörtern mit URLs, die aus dem nicht überprüften Host-Header stammen, wenn die Konfiguration 'application_url' nicht gesetzt ist – was die Standardeinstellung von Kanboard ist. Angreifer können einen bösartigen Link zum Passwortrücksetzen erstellen, der das Token an eine Angreifer-kontrollierte Domain weiterleitet. Wenn Opfer – einschließlich Administratoren – auf den bösartig manipulierten Link klicken, können Angreifer das Konto übernehmen. Dies betrifft alle Benutzer, die ein Passwort-Reset anstoßen, während 'application_url' nicht gesetzt ist", schreiben sie dort (CVE-2025-52560 / EUVD-2025-18976, CVSS 8.1, Risiko "hoch").

Offenbar ist zudem etwas Social Engineering nötig, um potenzielle Opfer zum Anfordern eines Passwort-Resets zu bewegen. Der Fehler betrifft Kanboard vor der aktuellen Fassung 1.2.46. Am Sonntag haben die Entwickler das Update herausgegeben. Die Release-Notes zu Kanboard 1.2.46 nennen neben dieser Sicherheitskorrektur weitere Fehlerbehebungen und teils neue Funktionen. Ein wichtiger Hinweis ist etwa, dass PHP 7.4 nicht mehr unterstützt wird, Kanboard 1.2.46 setzt mindestens PHP 8.1 voraus; das Docker-Image nutzt standardmäßig PHP 8.4.

Admins sollten das Update zeitnah installieren, da die Risikoeinstufung "hoch" lautet. Die Kanboard-Entwickler stellen aktualisierte Quellen und auch Docker-Container bereit, sie verlinken sie in den Release-Notes und erörtern das Docker-Update.

Ein Cyberangriff auf Diensthandys der Polizei Mecklenburg-Vorpommerns hat offenbar weitreichendere Folgen als zunächst vermutet worden war. Nach unbestätigten Informationen könnten sämtliche für die polizeiliche Arbeit genutzten Smartphones unbrauchbar sein. Offenbar besteht die Gefahr, dass die Hacker auch nach einem Neustart Zugriff auf sensible Daten und den E-Mail-Verkehr der Polizei haben.

Laut Ministerium hatte es Anfang Juni über den Server, der die Mobiltelefone der Beamten (sogenannte mPol-Geräte) vernetzt, einen "Angriffsversuch" gegeben. Zunächst war davon die Rede, dass die Mobilgeräte nur "für einige Tage nicht in vollem Umfang im Streifendienst genutzt werden können". Doch sei noch immer in der Klärung, welche Auswirkungen der Angriff auf die Endgeräte hatte, hieß es.

Weder die Smartphones noch der betroffene Server befinden sich laut Ministerium im Einsatz. Eine Sprecherin des Innenministeriums bestätigte, dass die Landespolizei ihre Smartphones im alltäglichen Dienst nicht nutzt und stattdessen wieder auf die alte Funktechnik zurückgreifen müsse.

Damit solle auch eine Gefährdung der gesamten weiteren IT-Infrastruktur der Polizei ausgeschlossen werden. Zu den Hintermännern des Angriffs liefen strafrechtliche Ermittlungen. Informationen über laufende Ermittlungsverfahren der Polizei seien vom Hackerangriff nicht betroffen. Diese befänden sich auch auf anderen Servern der Landespolizei.

Mit Millionenaufwand war die Landespolizei mit speziell geschützten und auf den jeweiligen Nutzer gemünzten Diensthandys ausgestattet worden. Mit diesen Geräten konnten laut Ministerium auf Streifenfahrten und -gängen rasch online Abfragen nach Fahrzeughaltern erfolgen oder Prüfungen von Ausweispapieren und weitergehende Recherchen vorgenommen werden. Dies muss nun wieder umständlich über Funk im Polizeirevier abgefragt werden

Angreifer können an mehreren Sicherheitslücken in IBM QRadar SIEM ansetzen und im schlimmsten Fall Schadcode ausführen. Ein Sicherheitspatch schließt mehrere Lücken.

Wie die Entwickler in einer Warnmeldung aufführen, sind die Ausgaben 7.5 bis einschließlich 7.5.0 UP12 IF01 verwundbar. Am gefährlichsten gilt eine "kritische" Lücke (CVE-2025-33117/kein EUVD) im Kontext der Auto-Update-Funktion. Hier können Angreifer mit nicht näher ausgeführten Nutzungsrechten mit einer präparierten Autoupdate-Datei ansetzen. Darüber können sie dann eigene Befehle ausführen und Systeme kompromittieren. Außerdem können in zwei Fällen (CVE-2025-36050, Risiko "mittel"; CVE-2025-33121, "hoch") Daten unbefugt zugänglich werden. Wie solche Angriffe im Detail ablaufen könnten, ist zurzeit nicht bekannt.

Aus einer zweiten Warnmeldung geht hervor, dass noch weitere Komponenten bedroht sind. So kann es etwa bei der Verarbeitung eines manipulierten XML-Dokuments zu Speicherfehlern und schließlich zu Abstürzen kommen (CV-2024-8176, "hoch"). Zusätzlich können Angreifer Opfern mit Schadcode versehene Dateien im eigentlich vertrauenswürdigen Kontext unterschieben (CVE-2024-12087, "mittel").

Gegen die geschilderten Attacken ist IBM QRadar 7.5.0 UP12 IF02 gerüstet. Bislang gibt es keine Hinweise auf Attacken. IBMs Entwickler führen derzeit nicht aus, woran Admins bereits erfolgreich attackierte Instanzen erkennen können. Admins sollten mit der Installation nicht zu lange zögern.

Zuletzt gab es wichtige Sicherheitsupdate für IBM /AIX/VIOS und DataPower Gateway. An diesen Stellen sind Schadcode-Attacken vorstellbar. Sicherheitsupdates stehen auch in diesem Fall zum Download bereit.

In der Windows-Version von WinRAR können Angreifer eine Sicherheitslücke missbrauchen, um eingeschleusten Schadcode auszuführen. Eine Beta-Version steht als Aktualisierung bereit, die die Schwachstelle ausbessert.

In der Ankündigung der Beta-Version beschreiben die WinRAR-Entwickler die Lücke sehr oberflächlich als "beim Extrahieren von Dateien kann WinRAR, RAR, UnRAR, portable UnRAR sowie die UnRAR.dll dazu gebracht werden, einen Pfad zu nutzen, der in einem manipulierten Archiv vorgegeben wird, anstatt einen Nutzer-vorgegebenen Pfad zu verwenden". Die Entdecker des Sicherheitslecks bei Trend Micros Zero-Day-Initiative werden hingegen etwas präziser: "Der spezielle Fehler besteht im Umgang mit Pfaden innerhalb von Archiv-Dateien. Ein präparierter Dateipfad kann dazu führen, dass der Prozess in nicht vorgesehene Verzeichnisse wandert (traverse). Angreifer können das missbrauchen, um Schadcode im Kontext des aktuellen Users auszuführen" (CVE-2025-6218 / noch kein EUVD, CVSS 7.8, Risiko "hoch").

Die WinRAR-Entwickler betonen, dass der Fehler die Windows-Versionen der Software betrifft. "Unix-Versionen von RAR, UnRAR, portable UnRAR Quellcode und die UnRAR-Bibliothek sowie RAR für Android sind nicht betroffen". Die Beta-Version schließt noch weitere Sicherheitslücken. So konnte beim Erstellen von Reports der Dateiname ungefiltert in die Berichts-HTML-Datei einfließen, was das Einschleusen von unsicheren HTML-Tags ermöglichte. Die Ersetzung der "< >"-Zeichen für Tags durch Strings für die Symbole korrigiert das Problem.

Auf der Download-Seite von WinRAR ist die Beta-Version recht unscheinbar über der Dateiliste mit Suchfiltern einsortiert. Sie lässt sich hier direkt herunterladen. Die Beta-Version verschwindet jedoch umgehend, sofern die Entwickler die finale Version von WinRAR 7.12 online stellen.

Bereits WinRAR 7.11 hatte eine Sicherheitslücke geschlossen. Ein präparierter symbolischer Link konnte dazu führen, dass der Mark-of-the-Web-Mechanismus (MotW) nicht griff, wodurch beim Ausführen und Öffnen potenziell gefährlicher entpackter Dateien aus dem Internet keine Warnmeldung von Windows erscheint.

Cloudflare hat Mitte Mai den "größten jemals registrierten" Denial-of-Service-Angriff (DDoS) mit bislang kaum für möglich gehaltenen 7,3 Terabit pro Sekunde (TBit/s) blockiert. Dies teilte der US-Anbieter rund um Lösungen für IT-Sicherheit und Internetperformance am Freitag mit. Diese Attacke war demnach rund 12 Prozent größer als der vorherige Rekord und lieferte ein massives Datenvolumen von 37,4 Terabyte in nur 45 Sekunden. Diese Menge sei heutzutage an sich zwar nicht atemberaubend, die für die Auslieferung benötigte sehr kurze Zeitspanne aber schon.

"Dies entspricht dem Überfluten Ihres Netzwerks mit über 9350 HD-Filmen in voller Länge oder dem ununterbrochenen Streamen von 7480 Stunden hochauflösendem Video" in weniger als einer Minute, veranschaulicht Cloudflare die Datenflut. "Stellen Sie sich vor, Sie könnten mit Ihrem Smartphone 12,5 Millionen hochauflösende Fotos schießen und hätten nie einen vollen Speicherplatz." Und das alles in 45 Sekunden.

Ziel des massiven Angriffs war ein Hosting-Provider, ließ der Dienstleister durchblicken, ohne dabei einen Namen zu nennen. Die Attacke sei erfolgreich abgewehrt worden. Die Cyberkriminellen hätten "durchschnittlich 21.925 Zielports einer einzelnen IP-Adresse unseres Kunden bombardiert, mit einem Spitzenwert von 34.517 Zielports pro Sekunde". Der Vorfall sei von einer ähnlichen Verteilung der Ursprungsports ausgegangen. Mitgewirkt hätten über 122.145 Quell-IP-Adressen, die sich über 5433 autonome Netzwerksysteme in 161 Ländern erstreckten.

Laut Cloudflare handelte es sich um einen Angriff unter Einsatz verschiedener Vektoren. Rund 99,996 Prozent des Verkehrs stufte das Unternehmen als sogenannte UDP-Floods ein. Ein Angreifer sendet eine riesige Menge von UDP-Paketen (User Datagram Protocol) an zufällige Ports auf einem Zielserver. Da UDP verbindungslos ist, fällt es Übeltätern damit leichter, die Absender-IP-Adresse der Pakete zu fälschen (IP-Spoofing). Das macht es schwieriger, die tatsächliche Quelle der Attacke zu identifizieren. Die Netzwerk- und Serverressourcen eines Ziels können so schnell überlastet werden.

Die restlichen 0,004 Prozent des Angriffsverkehrs, die 1,3 Gigabyte ausmachten, identifizierte Cloudflare als Attacken über diverse andere Internetprotokolle wie das Network Time Protocol (NTP), das Quote of the Day Protocol (QOTD) oder Echo und über Portmapper-Dienste, die zur Identifizierung von Netzwerkressourcen verwendet werden. Zudem seien ein oder mehrere Mirai-basierte Botnetze beteiligt gewesen. Diese bestehen typischerweise aus kompromittierten Routern in Privathaushalten und Büros, Webcams und anderen Geräten im Internet der Dinge.

Der jetzt geleakte Referentenentwurf des NIS2-Umsetzungsgesetzes vom 2. Juni scheint die Fassung zu sein, die derzeit zwischen Bundesministerium des Innern (BMI), Bundeskanzleramt (BKAmt) und Bundesfinanzministerium (BMF) abgestimmt wird. Der aktuelle NIS2-Entwurf ist wie alle bisherigen öffentlich gewordenen Fassungen bei der unabhängigen Interessensgemeinschaft AG KRITIS, bei der der Autor Gründer und Sprecher ist, öffentlich abrufbar.

Was gibt es Neues? Eine Differenzanalyse zum vorherigen Leak des Referentenentwurfs vom 26.5.2025 zeigt einige interessante Punkte auf.

Die vermutlich wichtigste Änderung für alle Betroffenen ist im § 28 (Besonders wichtige Einrichtungen und wichtige Einrichtungen) Absatz 3 zur Bestimmung der Einrichtungsart vorgenommen worden, denn der Absatz wurde neu beschrieben:

"Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind."

Die Gesetzesbegründung hierzu erklärt diese Änderung so:

Standardmäßig mehr Sicherheit für Microsoft 365: Für die Office-Anwendungen, Entra, SharePoint Online und OneDrive sind künftig viele Legacy-Protokolle ab Werk deaktiviert. Die Änderungen sind Teil der Secure Future Initiative (SFI), bei der Microsoft auf Basis des Secure-by-Default-Prinzips die Standardkonfiguration seiner Dienste anpasst. Betroffen sind explizit alle Microsoft-365-Tenants sowie Administratoren und Nutzer gleichermaßen.

Konkret blockiert M365 künftig den Webbrowser-Zugriff auf SharePoint und OneDrive über das RPS-Protokoll (Relying Party Suite). Es ist anfällig für Brute-Force-Angriffe und kam bislang bei alten Webbrowsern oder Client-Anwendungen zum Einsatz, die ohne moderne Authentifizierungstechnik auf Cloud-Dienste zugreifen mussten.

Außerdem blockiert M365 das FPRPC-Protokoll, über das sich bislang Office-Dokumente öffnen ließen. Der Name FrontPage Remote Procedure Call zeigt: Es stammt vom vor fast 20 Jahren abgekündigten Webdesign-Werkzeug FrontPage ab. Entsprechend veraltet und sicherheitsanfällig ist der Zugriff via FPRPC, es kommt allerdings noch immer wie RPS bei Legacy-Anwendungen und automatisierten Prozessen in Unternehmen zum Einsatz.

Schließlich fordert Microsoft künftig von Drittanbieter-Applikationen beim Zugriff auf Dateien und Seiten eine explizite Freigabe durch den Administrator ein. Anwender können standardmäßig also nicht mehr selbst diese Einwilligung erteilen. Verantwortliche können die zugehörigen Rechte granular steuern, indem sie zum Beispiel bestimmte Programme auf einzelne Nutzer oder Gruppen einschränken.

Die Auswirkungen der Änderungen sind zweischneidig: Zum einen erhöhen sie fraglos die Sicherheit der M365-Standardkonfiguration. Allerdings könnten bislang eingesetzte Applikationen ohne händisches Einschreiten der Administratoren von einem Tag zum anderen nicht mehr funktionieren – daher empfiehlt Microsoft, sofort betroffene Anwendungen zu identifizieren. Sollten Drittentwickler-Apps zusammen mit M365 eingesetzt werden, sollten Verantwortliche außerdem einen Workflow für die Freigabe des Zugriffs einrichten.

Im WordPress-Theme "Motors" haben IT-Sicherheitsforscher eine kritische Sicherheitslücke entdeckt. Sie ermöglicht Angreifern, ihre Rechte auszuweiten und in der Folge anfällige WordPress-Instanzen zu kompromittieren. Genau das findet seit Anfang Juni offenbar statt.

Die Sicherheitslücke besteht laut Schwachstellenbeschreibung darin, dass das Theme die Identität von Nutzern nicht korrekt validiert, bevor es Passwort-Änderungen übernimmt. Angreifer aus dem Netz können dadurch ohne vorherige Authentifizierung Passwörter beliebiger Nutzer ändern – einschließlich das des Admins, und dadurch Vollzugriff erlangen (CVE-2025-4322 / EUVD-2025-15813, CVSS 9.8, Risiko "kritisch").

Die Wordfence-Software hat Angriffe auf damit ausgestattete WordPress-Instanzen blockiert und protokolliert. Mehrere Angriffswellen waren zu beobachten.

(Bild: Wordfence)

Die IT-Sicherheitsforscher von Wordfence schreiben in einer Analyse, dass sie seit dem 7. Juni massenhaften Missbrauch der Schwachstelle in dem Theme beobachten. Das Theme heißt mit vollem Namen "Motors - Car Dealer, Rental & Listing". Laut Anbieter-Webseite wurde es rund 22.500 Mal verkauft. Es ist daher offenbar weit verbreitet im Einsatz.

Viele Medien berichten derzeit von einem angeblichen massiven Datenleck, bei dem 16 Milliarden Zugangsdaten etwa zu "Apple, Facebook, Google und anderen" (so titelt etwa die Forbes) in falsche Hände geraten seien. Quelle ist einmal mehr Cybernews – die bereits in der Vergangenheit mit massiven Übertreibungen und dem sensationsheischendem Anpreisen von Funden von Datenhalden mit alten, bereits längst bekannt geleakten Daten auffielen. Auch in diesem Fall ist Aufregung über vermeintliche Datenlecks deplatziert.

Nun schreibt Cybernews unter dem fast passenden Titel "Das 16-Milliarden-Einträge-Datenleck, von dem niemand je gehört hat", dass anonyme Sicherheitsforscher seit Jahresanfang 30 exponierte Datenhalden mit je zig Millionen bis zu 3,5 Milliarden Einträgen gefunden hätten, die sich auf 16 Milliarden Zugangsdaten summieren. Von den einzelnen Datenhalden seien keine Berichte zu finden, lediglich von einer mit 184 Millionen Zugängen. Die Datenhalden waren lediglich kurzzeitig zugreifbar, es handelte sich um zeitweilig zugreifbare ungesicherte Elasticsearch-Instanzen oder Objekt-Speicher-Instanzen.

"Die Forscher behaupten, dass die meisten Daten in den durchgesickerten Datensätzen eine Mischung aus Details von Infostealer-Malware, Credential-Stuffing-Sets und neu verpackten Lecks sind", beschreibt das Unternehmen die Datenfunde selbst. Die Daten hätten sie gar nicht effektiv abgleichen können, aber "es ist sicher anzunehmen, dass überlappende Einträge definitiv vorhanden sind. Mit anderen Worten ist es unmöglich zu sagen, wie viele Menschen oder Zugänge tatsächlich exponiert wurden".

Die Forscher hätten jedoch die meisten Informationen in klarer Struktur vorgefunden: URL gefolgt von Log-in-Details und Passwörtern, wie sie "moderne Infostealer" sammeln und ablegen. Die Datenbanken seien namentlich etwa "Logins" oder "Credentials", aber auch geografische Zuordnungen wie "Russian Federation" oder Dienste wie "Telegram" haben die Mitarbeiter gefunden. Auch das sind eher Hinweise, dass dort (bekannte) Daten aufbereitet wurden.

Daten von Infostealern landen meist in offen zugreifbaren Datenhalden, die oftmals auch entdeckt werden. Das Have-I-Been-Pwned-Projekt von Troy Hunt sammelt diese Daten inzwischen ebenfalls und kann registrierte Nutzerinnen und Nutzer warnen, sofern ihre Daten in solchen Datenfunden auftauchen. Hunt hatte bereits bei der "Mutter aller Datenlecks" (MOAB, "Mother of all Breaches"), wie Cybernews einen Datenfund Anfang 2024 übertrieben nannte, eingeordnet: Es handelte sich um eine Sammlung längst bekannter Daten. Auf unsere Anfrage zur Einschätzung dieser vermeintlich neuen Datenlecks hat Hunt bislang noch nicht reagiert.

Wer mit Krypto-Währungen und Assets hantiert, hat sicherlich zumindest mit Hardware-Wallets wie der von Ledger geliebäugelt. Einem Leser trudelte nun ein unzureichend frankierter Brief in die Hände. Damit versuchen Kriminelle, die Ledger-Krypto-Wallet zu übernehmen und leerzuräumen.

Der Brief trägt das offizielle Ledger-Logo und wirkt auch sonst professionell. Ein QR-Code prangt auf dem einseitigen Anschreiben. Den sollen Empfänger scannen und auf der Ziel-Webseite ihre Ledger-Wallet neu validieren. Die URL lautet renewledger[.]com, die zugehörige Webseite ist derzeit noch aktiv.

Beim Besuch der Webseite müssen potenzielle Opfer zunächst einen CAPTCHA lösen und belegen, dass sie Menschen sind. Danach erscheint direkt eine Eingabemaske für die 24 Wörter des Ledger-Recovery-Seeds. Die Seite sieht der originalen Ledger-Webseite recht ähnlich, jedoch fehlen Details wie Sprachumschaltung und Unterstützung für Darkmode, diverse aktuelle Produkte tauchen im Footer der Seite nicht auf. Alle Links auf der Webseite verweisen jedoch auf die echte ledger.com-Domain. Während die korrekte Ledger-Domain inzwischen etwa 30 Jahre auf dem Buckel hat, ist die gefälschte Seite seit rund 14 Tagen bei einem Web-Discounter registriert.

Sofern potenzielle Opfer tatsächlich ihre 24 Wörter des Recovery-Seeds eingeben und abschicken, ist es jedoch mit den Krypto-Assets vorbei. Die Betrüger erhalten dadurch Zugriff auf die Sicherheitskopie und können die Wallet blitzschnell leerräumen.

Im Juli 2020 hatte Ledger sich umfangreiche Kundendaten stehlen lassen. Bei rund 272.000 Kunden konnten Kriminelle so an Vor- und Nachnamen, Postanschrift und Telefonnummern gelangen. Diese Informationen sind im Darknet gelandet. Außerdem gelangten etwa eine Million E-Mail-Adressen in falsche Hände. Diese Daten dienen Kriminellen offenbar noch immer als Ausgangspunkt für ihre illegalen Machenschaften.

Zahlreiche Kunden, die ihren Urlaub bei Centerparks gebucht haben, erhalten derzeit eine E-Mail vom Unternehmen. Darin informiert es Empfänger darüber, dass es einen IT-Sicherheitsvorfall gegeben hat.

Dabei seien "einige Ihrer personenbezogenen Daten offengelegt" worden, wie Centerparks ausführen. Demnach kam es am 4. Juni 2025 zu einer Cyberattacke auf eine der Centerparks-Schnittstellen, die Kunden nutzen, die ihre Buchung telefonisch vorgenommen haben. "Sobald der Angriff erkannt wurde, wurde der Zugang zum System gesperrt und zusätzliche Sicherheitsmaßnahmen ergriffen", schreibt das Unternehmen dazu.

Es scheinen tatsächlich lediglich Kunden informiert zu werden, die per Telefon gebucht haben – Kollegen aus der Redaktion, die eine Onlinebuchung bei Centerparks vorgenommen haben, berichten, keine derartige Info-Mail erhalten zu haben.

Das Datenleck betreffe "möglicherweise" Vor- und Nachname, die E-Mail-Adresse, die Buchungsnummer sowie Aufenthaltsort und die Reisedaten. Nicht offengelegt wurden Centerparks zufolge die Bankdaten, Passwörter, Telefonnummern oder postalische Anschriften. Die Daten seien auch nicht von den Angreifern verändert worden.

Das Touristikunternehmen informiert Betroffene weiter, dass der Cyberangriff am 6. Juni gestoppt wurde. Den Vorfall habe das Unternehmen der französischen Datenschutzbehörde CNIL gemeldet. Zudem hat es Strafanzeige bei der Polizei eingereicht. "Cybersicherheitsexperten wurden beauftragt, unsere Systeme langfristig abzusichern", erklärt Centerparks weiter.

Im WordPress-Plug-in AI Engine können Angreifer eine Sicherheitslücke missbrauchen, um ihre Rechte auszuweiten und so die volle Kontrolle über die Webseite zu übernehmen. Das Plug-in ist auf mehr als 100.000 WordPress-Webseiten installiert. Ein Update zum Schließen des Sicherheitslecks steht seit kurzem zur Verfügung.

Die IT-Forscher von Wordfence haben die Sicherheitslücke entdeckt. Laut der Sicherheitsmitteilung von Wordfence geht das Problem auf eine unzureichende Autorisierung zurück, die die Ausweitung der Nutzerrechte über eine Schwachstelle in MCP (Model Context Protocol) im Plug-in AI Engine ermöglicht. "Die Schwachstelle können authentifizierte Angreifer ausnutzen, die Zugriffsrechte auf Subscriber-Level oder höher haben, um vollen Zugriff auf das MCP zu erlangen und diverse Befehle wie 'wp_update_user' auszuführen und so ihre Zugriffsrechte auf Administrator durch die Aktualisierung ihrer User-Role auszuweiten", erklären die IT-Sicherheitsforscher (CVE-2025-5071 / noch kein EUVD, CVSS 8.8, Risiko "hoch").

Die Schwachstelle lasse sich dann missbrauchen, wenn die Dev-Tools und das MCP in den Einstellungen aktiviert wurden. Standardmäßig sind diese abgeschaltet.

Die seit Mittwoch der Woche verfügbare Version 2.8.4 von AI Engine dichtet das Sicherheitsleck ab. Wer das Plug-in auf WordPress-Instanzen einsetzt, sollte die Aktualisierung nicht lange aufschieben, sondern zeitnah durchführen.

Mitte Mai wurden Sicherheitslücken in dem Plug-in TheGem bekannt, die mehr als 82.000 WordPress-Seiten gefährdet haben, sodass Angreifer hätten Schadcode einschleusen können. Ein Update steht dafür zur Verfügung. Für eine Sicherheitslücke in TI WooCommerce Wishlist von Ende Mai war das zunächst nicht der Fall, auch sie ermöglichte bösartigen Akteuren das Hochladen von Schadcode. Die mit CVSS-Höchstwert 10.0 von 10 möglichen Punkten als "kritisch" eingestufte Lücke klaffte bis in Version 2.9.2 des WordPress-Plug-ins. Inzwischen steht dort die Version 2.10.0 des Plug-ins zur Verfügung – laut Patchstack soll sie die Schwachstelle ausbessern.

Atlassian Bamboo Data Center and Server, Bitbucket Data Center and Server, Confluence Data Center and Server, Crowd Data Center and Server, Jira Data Center and Server und Jira Service Management Data Center and Server sind angreifbar.

Wie aus dem Sicherheitscenter von Atlassian hervorgeht, sind alle Schwachstellen mit dem Bedrohungsgrad "hoch" versehen. So können Angreifer ohne Authentifizierung etwa an einer Schwachstelle (CVE2025-24970) in Bitbucket Data Center and Server für DoS-Attacken ansetzen.

In Confluence Data Center und Server können Angreifer unter anderem die Anmeldung umgehen (CVE-2025-2228). Durch das erfolgreiche Ausnutzen einer Schwachstelle (CVE-2024-38816) in Crowd Data Center and Server können Angreifer unberechtigt auf Daten zugreifen. Auch wenn es zurzeit noch keine Hinweise auf Attacken gibt, sollten Admins zur Sicherheit mit dem Patchen nicht zu lange zögern.

Die folgenden Versionen enthalten Sicherheitsupdates:

In Apache Traffic Server (ATS), einem quelloffenen Proxy-Server, wurden zwei Sicherheitslücken entdeckt. Angreifer können sie missbrauchen, um damit Zugriffsbeschränkungen zu umgehen oder Denial-of-Service-Attacken auszuführen. Aktualisierte Quellen stehen bereit, um die Schwachstellen auszubessern.

Auf der oss-sec-Mailingliste haben die Entwickler Informationen zu den Sicherheitslecks veröffentlicht. Eine Schwachstelle betrifft das PROXY-Protokoll. Für die Anwendung von Zugriffskontrollen (ACLs) zieht der ATS die Client-IP-Adresse nicht heran, wodurch Unbefugte womöglich Zugriff erlangen können (CVE-2025-31698, kein CVSS-Wert, keine Risikoeinschätzung). Die aktualisierte Software bietet nun eine neue Konfigurationsoption an (proxy.config.acl.subjects), um vorzugeben, welche IP-Adresse für die ACLs der Optionen "ip_allow.config" und "remap.config" genutzt und als vertrauenswürdig eingestuft werden.

Die zweite Sicherheitslücke betrifft das ESI-Plug-in (Edge Side Includes). Angreifer können eine Denial-of-Service-Situation provozieren, da das Plug-in unter Umständen allen Speicher aufbraucht. Offenbar ist es möglich, eine unendliche Inclusion-Depth anzugegen (CVE-2025-49763, kein CVSS, keine Risikoeinschätzung). Das Software-Update fügt eine neue Einstellung für das Plug-in hinzu, den Parameter "--max-inclusion-depth" mit dem Standardwert 3. Das soll Endlos-Inklusionen verhindern.

Apache Traffic Server in den Versionen 9.0.0 bis 9.2.10 sowie 10.0.0 bis 10.0.5; die Korrekturen enthalten die Fassungen 9.2.11 und 10.0.6 oder neuere. Um die Schwachstellen auszubessern, müssen Admins die neuen Optionen konfigurieren; der Standardwert für die Inklusionstiefe des ESI-Plug-ins sollte jedoch ausreichend sein.

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat eine Einschätzung des Risikos durch die Sicherheitslücken vorgenommen. Der CERT-Bund-Sicherheitsmitteilung zufolge landet der CVSS-Wert bei 8.2, was dem Risiko "hoch" entspricht. IT-Verantwortliche sollten daher zügig die Aktualisierung auf die neuen Apache-Traffic-Server-Versionen vornehmen und die neuen Optionen konfigurieren, sofern sie die beiden Funktionen einsetzen.

Der Cisco AnyConnect VPN Server von Cisco Meraki MX und Z ist verwundbar. Außerdem können Angreifer an einer Schwachstelle in ClamAV ansetzen. Sicherheitspatches stehen zum Download bereit. Bislang gibt es keine Berichte zu Attacken.

In einer Warnmeldung führen die Entwickler aus, dass es bei der Initialisierung von VPN-Sessions zu Fehlern kommt, an denen Angreifer mit präparierten HTTPS-Anfragen ansetzen können. Das führt zu einem Neustart des VPN-Servers und einer Unterbrechung der Verbindung. Dementsprechend müssen sich Nutzer neu verbinden. Weil Angreifer die Attacke Cisco zufolge immer wieder ausführen können, kann es zu einer dauerhaften Unterbrechung kommen. Die Sicherheitslücke (CVE-2025-20271) ist mit dem Bedrohungsgrad "hoch" eingestuft.

Davon sollen die folgenden Produkte betroffen sein:

Die Entwickler geben an, das Sicherheitsproblem in den Ausgaben 18.107.13, 18.211.6 und 19.1.8 gelöst zu haben. Das Problem trete ab Version 16.2 auf. Da der Support für 16.2 und 17.6 bereits ausgelaufen ist, müssen Admins auf eine aktuelle Ausgabe upgraden.

ClamAV ist ebenfalls für eine DoS-Attacke anfällig. Die Lücke (CVE-2025-20234 "mittel") steckt in der Verarbeitung des Universal Disk Format (UDF). Scannt ClamAV präparierten UDF-Inhalte, kommt es zu Speicherfehlern und der Scanner stürzt ab. Das hat zur Folge, dass Appliances über keinen Virenschutz mehr verfügen.

Die zunehmende Nutzung von Cloud-Anwendungen des US-Softwareunternehmens Microsoft in Schweizer Bundes- und Kantons-Behörden, aber auch kommunalen Verwaltungen sowie anderen Amtsstellen, erzeugt in der Schweiz wachsenden Unmut.

Vielfach wird die Abhängigkeit von einem US-Konzern und die damit verbundene Gefährdung der digitalen Souveränität kritisiert. Die Bundesverwaltung selbst stellte dazu bereits 2023 in einer Mitteilung fest: "Faktisch ist die Bundesverwaltung heute abhängig von Office-Produkten des Herstellers Microsoft." Darüber hinaus sehen Kritiker diverse einhergehende Datenschutzrisiken, vor allem bei der Verarbeitung personenbezogener Daten in der Microsoft-Cloud.

Das hat die Grünen des Kantons Luzern nun dazu gebracht, in einem dringlichen Vorstoß einen sofortigen Stopp ("Marschhalt") des Projekts M365 (kurz für Microsoft Office 365) zu fordern. Das soll im Laufe dieses Jahres in der Verwaltung des Kantons ausgerollt werden. Die Investitionskosten sollen 5,8 Millionen Franken (ca. 6 Mio. Euro) betragen, die zusätzlichen Betriebskosten bis 2029 knapp 22 Millionen Franken (23 Mio. Euro).

Nicht nur der Datenschutzbeauftragte des Kantons Luzern hatte in seinem Tätigkeitsbericht 2024 erhebliche Kritik am Projekt geäußert. Auch das Kantonsgericht und interne Sachverständige hätten vor diesem Schritt gewarnt, schreiben die Grünen in einer Mitteilung. Luzern solle sich unabhängiger von US-Konzernen machen und Open-Source-Lösungen prüfen, wie es etwa das Schweizer Bundesgericht oder andere Verwaltungen in Europa bereits tun, so die Partei.

Die Regierung habe die bisherige Kritik ignoriert und sogar einen internen Sachverständigen freigestellt. Zudem hätte die Exekutive darauf verzichtet, Alternativen zu Microsoft zu evaluieren.

Meta will Passkeys als neue Anmeldemethode für die Facebook-App einführen. Die Funktion wird zunächst für iOS- und Android-Geräte der Facebook-App ausgerollt. Für den Messenger ist die Einführung in den kommenden Monaten geplant, wie das Unternehmen mitteilte.

Passkeys ermöglichen Nutzern die Anmeldung ohne Passwort, indem sie stattdessen den Fingerabdruck, die Gesichtserkennung oder die PIN ihres Geräts verwenden. "Passkeys sind eine neue Methode zur Identitätsverifizierung und Anmeldung, die einfacher und sicherer ist als herkömmliche Passwörter", erklärt Meta in seiner Ankündigung.

Interessanterweise ist Facebook innerhalb des Meta-Konzerns selbst ein Nachzügler. Das ebenfalls zu Meta gehörende WhatsApp unterstützt Passkeys bereits seit Oktober 2023 auf Android und seit April 2024 auch auf iOS. Die Funktion wurde damals schrittweise für Nutzer freigeschaltet und ermöglicht seither die biometrische Anmeldung in der Messenger-App.

Mit der Implementierung folgt Meta zahlreichen anderen Diensten, die Passkeys bereits unterstützen. Google, Microsoft, Apple, Amazon, PayPal, eBay, Shopify und viele weitere Anbieter haben die Technik in den vergangenen zwei Jahren in ihre Plattformen integriert. Facebook gehört damit zu den letzten großen Plattformen, die Passkeys einführen.

Von der auf dem FIDO2-Standard aufsetzenden Technik verspricht sich Meta mehrere Vorteile: Sie ist resistent gegen Phishing-Angriffe, Passwörter können nicht erraten werden und es vereinfacht die Anmeldung. Sobald die Passkey-Unterstützung für den Messenger verfügbar ist, kann derselbe Passkey, den Nutzer für Facebook einrichten, auch für den Facebook Messenger genutzt werden.

"Die Überwachung verschlüsselter Nachrichten soll durch Installation eines Programms in dem zu überwachenden Computersystem erfolgen, welches ausschließlich gesendete, übermittelte, oder empfangene Nachrichten entweder vor der Verschlüsselung oder nach Entschlüsselung ausleitet." Dieses Amtsdeutsch beschreibt den offiziellen Plan der österreichischen Bundesregierung, Malware zu kaufen und zur Überwachung von Bürgern einzusetzen, die keiner Straftat verdächtig sind – wenn andere Ermittlungsmaßnahmen aussichtslos erscheinen.

Auf die entsprechende Novelle des Spionagegesetzes SNG (Staatsschutz- und Nachrichtendienst-Gesetz), des Sicherheitspolizeigesetzes, des Telekommunikationsgesetzes 2021 und weiterer Normen haben sich die Regierungsparteien ÖVP, SPÖ und NEOS am Mittwoch geeinigt. Im vorangegangenen öffentlichen Begutachtungsverfahren ist eine Flut ablehnender Stellungnahmen zu den Vorhaben eingelangt. Ausspioniert werden sollen nicht nur verschlüsselte Nachrichten, sondern auch unverschlüsselte Nachrichten und Informationen, also sonst gespeicherte Daten.

Die Regierung verfolgt laut offiziellen Dokumente zwei Ziele: Erstens "Vorbeugung bestimmter, besonders schwerwiegender verfassungsgefährdender Angriffe", die mit zehn Jahren oder längerer Haft bedroht sind, oder wenn es zur Spionageabwehr erforderlich ist. Und zweitens die Überwachung verschlüsselter Nachrichten. Nicht erforderlich ist der Verdacht, dass eine Straftat begangen worden ist. Es

Dennoch werden auch Dritte verpflichtet, heimlich an der Überwachung mitzuwirken. Als die Volksrepublik China solche Verpflichtungen Privater einführte, hagelte es in westlichen Ländern Kritik. Im Falle Österreichs werden private Unternehmen rund 2,5 Millionen Euro pro Jahr zur Unterstützung der Überwachungsmaßnahmen aufwänden müssen, schätzt die Regierung – denn Netzbetreibern sowie Betreibern von Messengerdiensten sollen nur 80 Prozent ihres Aufwandes ersetzt werden.

Das Innenministerium geht davon aus, jährlich etwa 30-mal die Ausspähung unverschlüsselter Nachrichten zu beantragen, und 5- bis 15-mal die Überwachung verschlüsselter Nachrichten. Erst wenn in einem Kalenderjahr 30-mal tatsächlich verschlüsselte Nachrichten ausgespäht werden, muss der Innenminister den ständigen Unterausschuss des Ausschusses für innere Angelegenheiten des Nationalrates informieren. (Der Nationalrat ist die direkt gewählte Kammer des österreichischen Parlaments, Anmerkung.)