Comretix Blog

Der brandenburgische Polizeipräsident Oliver Stepien ist offen für den Einsatz von Künstlicher Intelligenz in der Polizeiarbeit – unter bestimmten Voraussetzungen. "Wir müssen KI mit Nachdruck betreiben, weil das der Beginn einer Entwicklung ist, glaube ich, deren Umfang und abschließende Wirkung überhaupt noch nicht absehbar ist. Dem müssen wir uns stellen", sagte Stepien der Deutschen Presse-Agentur in Potsdam. "Wir müssen dafür offen sein."

Per Polizeigesetz, das bis Ende 2027 reformiert werden soll, muss die Polizei aus Sicht von Innenminister René Wilke mehr Möglichkeiten auch in Sachen KI und bei der Verwertung von Daten bekommen. "Da ist, glaube ich, noch ein Stückchen Weg vor uns, wo wir uns auch modernisieren müssen", sagte der parteilose Politiker vor Kurzem der dpa.

Zuletzt war eine Debatte um eine umstrittene Analyse-Software des US-Unternehmens Palantir zur Verbrechensbekämpfung entbrannt. Datenschützer warnen, dass sensible Daten abgezweigt werden könnten. Die Polizei in einigen Bundesländern nutzt die Software – Brandenburg nicht.

Innenminister Wilke äußerte sich zuletzt skeptisch dazu. Mit der Software namens Gotham, die in Bundesländern als angepasste Version unter den Namen Hessendata, DAR und VeRA läuft, kann die Polizei große Mengen an Daten auswerten und Verbindungen herstellen.

Die Polizei in Brandenburg nutze bislang KI beispielsweise zur Transkription von audiovisuellen Vernehmungen, aber noch keine Systeme, die etwa eigenständig Straftaten oder Straftäter an deren Verhalten erkennen könnten, so Stepien. "Für eine abschließende Strategie brauchen wir zuerst ein einheitliches Begriffsverständnis von KI, klare Rechtsgrundlagen und bestimmte Eingriffsbefugnisse." Es müssten immer auch ethische Fragen geklärt werden.

Google schränkt die freie Nutzung zertifizierter Android-Geräte ein. Ab Herbst 2026 können nur noch Anwendungen installiert werden, deren Herausgeber sich zuvor bei Google registriert und dann die jeweilige Anwendung signiert hat. Für Installationen über den Google Play Store gilt das schon seit 2023; nun wird die Anonymität auch für Sideloading abgeschafft, also für direkt am Gerät, ohne Nutzung des Play Store. installierte Programme.

Eine inhaltliche Prüfung der Software, beispielsweise auf Schadcode, führt Google dabei ausdrücklich nicht durch. Dennoch stellt Google den am Montag angekündigten Schritt als Sicherheitsmaßnahme dar. Umgesetzt wird er durch eine neue, verpflichtende Android Developer Console speziell für Sideloading. Kritiker vermuten einen Zusammenhang mit Bestrebungen von Behörden mehrerer Länder, die Öffnung Androids für alternative App-Stores zu erzwingen. Durch die Registrierungspflicht sichert sich Google auch bei diesen Einfluss erntet Daten.

Ab Oktober 2025 werden ausgewählte App-Entwickler das neue Prozedere für Google testen dürfen, im März 2026 sollen dann alle einsteigen können. Im September 2026 soll Sideloading anonymer Apps in Brasilien, Indonesien, Singapur und Thailand unmöglich werden. Ab 2027 folgt schrittweise der Rest der Welt.

Software-Herausgeber müssen im Zuge der Verifizierung personenbezogene Daten wie Name, Adresse, E-Mail-Adresse und Telefonnummer nachweisen, beispielsweise durch Rechnungskopien, und in vielen Ländern zusätzlich einen Lichtbildausweis hochladen. Für Menschen, die im deutschen Sprachraum leben, schreibt Google zudem vor, dass der Lichtbildausweis von einer Behörde im EWR oder der Schweiz herausgegeben sein muss. Wer das nicht hat, bleibt außen vor.

Juristische Personen müssen zusätzlich bei der Firma Dun & Bradstreet (D&B) eine sogenannte DUNS Nummer lösen. Das ist zwar gebührenfrei möglich, dauert aber bis zu 30 Tage. In manchen Ländern ist Expressbearbeitung gegen Gebühr möglich, was immer noch mehrere Werktage dauern kann.

Ein getarnter Malware-Strang aus der "Mirai"-Botnet-Familie hat die Aufmerksamkeit der IT-Forscher von Fortinet geweckt. Das Botnet nennen sie "Gayfemboy". Es greift Schwachstellen in Produkten von Cisco, DrayTek, Raisecom und TP-Link an. Die Malware hat einige interessante Eigenschaften.

Der Analyse von Fortinet zufolge stießen die Analysten im Juli auf ein Malware-Sample, das mehrere Schwachstellen missbrauchen kann. Die "Gayfemboy"-Kampagne ist in mehreren Ländern aktiv – Brasilien, Deutschland, Frankreich, Israel, Mexiko, der Schweiz, USA und Vietnam. Die attackierten Branchen umfassen etwa verarbeitende Industrie, Technologie, Baugewerbe, Medien und Kommunikation. Von den kontaktierten Adressen konnten sie bösartige Downloader-Skripte, Gayfemboy-Malware sowie XMRig-Coin-Miner herunterladen. Die Downloader-Skripte enthalten Hersteller- und Produktnamen wie "asus", "vivo", "zyxel" oder "realtek", die diese dann auch als Parameter in Anfragen nutzen.

Das untersuchte Sample war mit dem UPX-Packer gepackt, dessen Header "UPX!" jedoch durch nicht-druckbare Zeichen in Hexadezimalcode "10 F0 00 00" ersetzt wurde – das soll die einfache Entdeckung verhindern. Nach der Ausführung untersucht die Malware die Pfade jedes Prozesses in "/proc/[PID]/exe", um Informationen zu laufenden Prozessen und deren Orte im Dateisystem herauszufinden. Dort sucht die Malware nach bestimmten Schlüsselworten, die mit anderer Malware in Verbindung stehen – und beendet die Prozesse, um konkurrierende Infektionen zu entfernen.

Vier Hauptfunktionen hat Gayfemboy: Monitor, Watchdog, Attacker und Killer. Monitor überwacht Threads und Prozesse. Es lässt 47 Strings zu Befehlen in den Speicher und scannt alle Einträge in "/proc/[PID]/cmdline". Sofern eine Übereinstimmung vorliegt, beendet es den zugehörigen Prozess. Zu diesen Befehlen gehören etwa "ls -l", "reboot", "wget" und viele weitere. Monitor dient dem Selbsterhalt und der Sandbox-Erkennung. Wenn Gayfemboy erkennt, dass der Malware-Prozess beendet wurde, startet er ihn neu. Durch ein Delay von 50 Nanosekunden erkennt die Malware eine Sandbox – die kann mit so einem feingranuliertem Delay nicht umgehen, wodurch die aufgerufene Funktion fehlschlägt und die Malware das Ergebnis "fehlinterpretiert" und einen 27-stündigen Schlaf des Schädlings aktiviert.

Die Watchdog-Funktion registriert den UDP-Port 47272. Schlägt das fehl, nimmt die Malware an, dass eine andere Instanz des Watchdogs bereits läuft. Dann verbindet sie den Port auf localhost (127.0.0.1:47272) und sendet ein Paket mit der Angabe des Zeitstempels und der PID. Sendet die Malware diese Nachricht mehr als neunmal, ohne eine Antwort zu erhalten, schließt sie darauf, dass die Malware nicht mehr reagiert oder kompromittiert wurde und beendet sich selbst.

Ein von der Sicherheitsfirma Socket entdecktes Go-Modul führt zufällige Angriffe auf SSH-Ports durch, meldet einen Erfolg aber nicht nur dem aktuellen Nutzer, sondern auch dem Autor des Tools per Telegram. Weil die Telegram-API HTTPS verwendet, täuscht sie Sicherheitssysteme, da es sich beim Bot-Traffic um gewöhnliche Web-Requests handelt.

Das schädliche Go-Modul nennt sich golang-random-ip-ssh-bruteforce und lässt sich auf einen Cyberangreifer zurückverfolgen, der auf GitHub und im Go-Module-Ökosystem unter dem Namen IllDieAnyway zu finden ist. Seine GitHub-Seite hostete neben dem Go-Schädling weitere Tools wie einen Port-Scanner und einen Brute Forcer für das Datenbankwerkzeug phpMyAdmin – ebenfalls mit Backdoor. Mittlerweile sind die Webseiten von IllDieAnyway auf GitHub und Go-Module nicht mehr verfügbar.

golang-random-ip-ssh-bruteforce generiert kontinuierlich zufällige IPv4-Adressen und scannt damit parallel TCP-Port 22 auf ungeschützte SSH-Dienste. Dabei nutzt es HostKeyCallback: ssh.InsecureIgnoreHostKey(), um serverseitige Identitätschecks zu umgehen. Bei einem Treffer versucht der Schädling, eine Authentifizierung mit einer einfachen, lokalen Benutzername-Passwort-Liste durchzuführen. Nach einer erfolgreichen Anmeldung übermittelt golang-random-ip-ssh-bruteforce die IP-Adresse des Rechners und die Zugangsdaten an einen im Quellcode hartkodierten Telegram-Bot und meldet dem Nutzer den Erfolg. Anschließend beendet es sich selbst, um gegenüber dem Angriffspunkt möglichst verdeckt zu bleiben.

Socket hat einen Ausschnitt des Codes veröffentlicht und kommentiert:

Nach erfolgreicher Übermittlung der abgegriffenen Daten antwortet die Telegram-API mit "ok": true für eine gültige message_id für den Chat 1159678884. Der hartcodierte Austrittspunkt lautet:

Die Software cPanel dient zur Verwaltung von Konten und Webseiten bei Webhostern. Die Entwickler haben mehrere aktualisierte Fassungen veröffentlicht, die Sicherheitslücken darin schließen.

Die Sicherheitslücken stecken in Drittanbieter-Software, die cPanel und WHM mitbringen. Das Changelog zur Version 130.0.5 nennt etwa die Sicherheitslücke CVE-2024-38999, eine sogenannte Prototype-Pollution-Schwachstelle in jrburke requirejs 2.3.6. Sie erlaubt das Einschleusen und Ausführen von Schadcode oder Denial-of-Service-Attacken. Eine Einordnung des Schweregrads fehlt dem Schwachstelleneintrag jedoch.

Die cPanel-Zweige 130, 128, 126, 118 und 110 bringen außerdem eine fehlerhafte SQLite-Version mit. Eine Sicherheitslücke darin vor Version 3.50.2 kann dazu führen, dass die Anzahl der aggregierten Begriffe die Anzahl der verfügbaren Spalten übersteigt, was in unkontrollierte Speicherzugriffe mündet (CVE-2025-6965 / EUVD-2025-21441. CVSS 7.2, Risiko "hoch").

Um die Sicherheitslücken zu schließen, stellt der Hersteller die Versionen cPanel und WHM 130.0.5/6, 128.0.18, 126.0.28, 118.0.53 sowie 110.0.71 zum Herunterladen bereit. IT-Verantwortliche sollten sie zeitnah installieren, damit bösartige Akteure die dadurch ausgebesserten Schwachstellen nicht missbrauchen können.

Für die einzelnen Entwicklungszweige haben die Programmierer je ein eigenes Changelog veröffentlicht. Sie datieren auf den Donnerstag der vergangenen Woche:

IBMs Entwickler haben in QRadar SIEM zwei Schwachstellen geschlossen, über die Angreifer Systeme attackieren können. Bislang gibt es keine Hinweise auf bereits laufende Attacken.

Weil ein falsch konfigurierter Cronjob mit eigentlich unnötigen Berechtigungen ausgeführt wird, können sich Angreifer auf einem nicht näher beschriebenen Weg höhere Nutzerrechte verschaffen (CVE-2025-33120 "hoch").

Im zweiten Fall im Kontext des IBM QRadar SIEM Dashboards können Zugangsdaten leaken (CVE-2025-36042 "mittel").

Die IBM-Entwickler geben in einer Warnmeldung an, dass die Ausgaben 7.5 bis einschließlich 7.5.0 UP13 bedroht sind. Die Versionen IBM QRadar SIEM 7.5.0 UP13 IF01 und IBM QRadar Incident Forensics UP13 IF01.

Zuletzt haben die IBM-Entwickler die IT-Verwaltungssoftware Tivoli Monitoring vor möglichen Attacken gerüstet.

Das Landeskriminalamt Niedersachsen warnt vor einer kreativen und überzeugend aufgemachten Phishing-Masche. Die fängt mit gefälschter Post vom Anwalt an, die eine Gutschrift nach einem angeblichen Krypto-Werte-Betrug verspricht.

Auf dem Portal Polizei-Praevention.de des LKA Niedersachsens gehen die Beamten in die Details des Angriffs auf arglose Empfänger der Briefe. Demnach erhalten die potenziellen Opfer ein Schreiben, in dem eine (falsche) Anwaltskanzlei angibt, dass den Empfängern eine Schadenswiedergutmachung in Höhe von 50.000 Euro zustünden. Für das dafür eingerichtete Konto müssten diese sich lediglich noch legitimieren. Das LKA weist darauf hin, dass sowohl die Anwaltskanzlei als auch die im Anschreiben genannten Finanzdienstleister gefälscht sind.

Die erste Seite des gefälschten Anwaltsschreibens – das wirkt sehr authentisch.

(Bild: LKA Niedersachsen / polizei-praevention.de)

Die Masche wirkt glaubwürdig, da derzeit vermehrter Krypto-Betrug tatsächlich stattfindet. Etwa aus Call-Centern heraus finden systematisch Beutezüge statt, Europol hat davon bereits einige gefunden und schließen können. Bundesweit gibt es viele Geschädigte, die große Summen in angeblich sichere Systeme investiert haben, dabei jedoch betrogen wurden, erörtert das LKA aus Hannover.

In einer von Interpol koordinierten Aktion haben Strafverfolgungsbehörden von 18 afrikanischen Staaten fast 12.000 Netzwerke von Cyberkriminellen zerschlagen, insgesamt 1209 Personen festgenommen und fast 100 Millionen US-Dollar sichergestellt. Das hat die internationale Polizeibehörde mitgeteilt und erklärt, dass die Operation vom Juni bis August gedauert hat. Dabei sei es um die Verantwortlichen für "schwerwiegende und folgenschwere Cyberkriminalität" gegangen, beispielsweise mit Ransomware, Online-Betrug und betrügerischen E-Mails an Unternehmen. Das Vorgehen lief unter dem Namen "Operation Serengeti 2.0" und folgte der gleichnamigen Aktion vom Herbst des vergangenen Jahres.

Obwohl es sich um eine der ältesten Betrugsformen im Internet handelt, würden Scams um angebliche Erbschaften weiterhin erhebliche Gewinne einbringen, erläutert die Polizeiorganisation. In der Elfenbeinküste sei ein darauf spezialisiertes Netzwerk ausgehoben worden, das sich auf Deutschland spezialisiert habe. Es seien Hauptverdächtige festgenommen und Vermögenswerte in Form von Elektronikgeräten, Schmuck, Bargeld, Fahrzeugen und Dokumenten sichergestellt worden. Die Opfer wurden demnach dazu verleitet, Gebühren für die Inanspruchnahme falscher Erbschaften zu bezahlen. Die Verluste belaufen sich demnach auf schätzungsweise 1,6 Millionen US-Dollar.

Daten zur Operation

(Bild: Interpol)

Wie Interpol beispielhaft weiter ausführt, wurden in Angola 25 Cryptomining-Operationen ausgehoben, in denen 60 chinesische Staatsangehörige illegal Blockchain-Transaktionen validiert hätten, um Kryptowährung zu generieren. Zudem seien 45 illegale Stromquellen und Mining-Equipment im Wert von mehr als 37 Millionen US-Dollar konfisziert worden. Die Generatoren sollen nun in unterversorgten Gebieten der Stromerzeugung dienen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Anbieter von E-Mail-Diensten melden erste Erfolge bei einer gemeinsamen Aktion für mehr E-Mail-Sicherheit. Vor allem zwei technische Richtlinien des BSI sollen für eine bessere Absicherung sorgen, ohne dass die Endnutzer selbst etwas tun müssten.

Auch über 40 Jahre nach der ersten E-Mail in Deutschland ist Mail "nach wie vor der wichtigste Kanal", sagte BSI-Chefin Claudia Plattner am Freitag in Berlin. "Es ist aber leider auch das wichtigste Einfallstor für Cyberangriffe."

Von Phishing über Fake News bis hin zu Sabotageaktionen spiele E-Mail eine wichtige Rolle, sagte die BSI-Präsidentin. Die in vielen Organisationen gelebte Sensibilisierung der Nutzer sei zwar wichtig, allein aber nicht ausreichend. Genau da setze die Kampagne des BSI zur Erhöhung der E-Mail-Sicherheit an.

Deren Zwischenstand präsentierte Plattner am Freitag zusammen mit den Branchenverbänden und Bitkom. Für den Eco betont Norbert Pohlmann die Relevanz von E-Mail. Trotz aller Alternativen von Slack über Teams und Messenger sei Mail nach wie vor das Mittel der Wahl, da sie ein globaler Akteur ohne dominierende Akteure sei.

Doch bei der Sicherheit sieht Pohlmann viel Luft nach oben: "Wir haben ein echtes Problem mit unserer E-Mail-Infrastruktur." Pohlmann, der auch Inhaber einer Professur für IT-Sicherheit ist, sieht dabei auch die Unternehmen in der Pflicht, deutlich mehr zu tun.

Die PC-Reinigungssoftware Microsoft PC Manager ist in hiesigen Breitengraden noch gar nicht offiziell verfügbar, weist aber bereits eine kritische Sicherheitslücke auf. Die will Microsoft jedoch bereits geschlossen haben.

Die Rechner-Optimierungssoftware von Microsoft verspricht einfachen Zugriff auf Betriebssystemfunktionen zum Aufräumen und Optimieren des Rechners – und einige weitere Reinigungsfunktionen, die anders als kommerziell erhältliche Optimierungswerkzeuge den Betrieb von Windows und der Software nicht negativ beeinflussen sollen. Jetzt hat Microsoft jedoch eine Sicherheitsmitteilung veröffentlicht, die diese Annahme etwas trübt.

"Unzureichende Autorisierung in Microsoft PC Manager ermöglicht nicht autorisierten Angreifern, ihre Rechte über das Netzwerk zu erhöhen", schreiben die Entwickler so knapp wie kryptisch. Es bleibt vollkommen unklar, an welcher Stelle diese Autorisierung stattfindet (oder eben nicht) und wie der Missbrauch aussehen könnte – es lässt sich daher auch nicht ableiten, wie sich das erkennen lassen würde (CVE-2025-53795 / EUVD-2025-25500, CVSS 9.1, Risiko "kritisch").

Microsoft gibt keine Anweisungen, wie Betroffene sich vor der Lücke schützen können. Zur Begründung schreibt das Unternehmen: "Die Schwachstelle wurde bereits vollständig von Microsoft beseitigt. Nutzer dieses Dienstes müssen keine Maßnahmen ergreifen. Diese Mitteilung dient lediglich der Transparenz".

Es bleibt damit unklar, welche Versionen betroffen sind. Ein Link auf ein Dokument mit Bezug auf Schwachstelleneinträge zu Cloud-Diensten deutet jedoch an, dass es sich um eine Funktion handelt, die Microsoft serverseitig korrigieren konnte.

Microsoft setzt voll auf künstliche Intelligenz: Der KI-Assistent Copilot ist mittlerweile fester Bestandteil des cloudbasierten Office-Pakets M365. Viele Unternehmen nutzen diesen Dienst auch, um geheime Informationen zu be- und zu verarbeiten. Dass jedwede Zugriffe auf derlei sensible Dokumente protokolliert gehören, versteht sich von selbst. Allerdings sah Copilot das unter bestimmten Bedingungen anders. Microsoft wusste monatelang von der Lücke, behob sie jedoch erst vor wenigen Tagen. Das Unternehmen informierte weder Betroffene noch die Öffentlichkeit.

"Copilot, fasse mir bitte den Geschäftsbericht für das zweite Quartal 2025 zusammen" – so oder ähnlich könnte eine typische Anfrage lauten. Im "Audit-Log", also dem Protokoll aller Zugriffe auf Dokumente in der Microsoft-Cloud, taucht dann ein Lesezugriff auf das Quelldokument durch Copilot auf. Befragte man den virtuellen Assistenten auf eine spezielle Art zu einem in M365 gespeicherten Dokument, erzeugte das jedoch lediglich einen leeren Protokolleintrag. Um dieses Verhalten zu erzeugen, genügte die Bitte, das Dokument nicht in der Antwort zu verlinken, sondern lediglich zusammenzufassen.

Dieses seltsame Verhalten fiel Zack Korman, dem CTO eines SaaS-Startups, Anfang Juli 2025 auf. Es erschien ihm problematisch, denn nur mittels vollständiger Audit-Logs können Unternehmen ihre Sicherheits- und Compliance-Anforderungen umsetzen und sich das Abfließen von Dokumenten in unbefugte Hände erkennen. Ein allzu neugieriger oder gar von Angreifern bestochener Mitarbeiter konnte den Copilot-Fehler ausnutzen und sich unerkannt Informationen verschaffen – offenkundig sind verfälschte Protokolle ein Sicherheitsproblem.

Korman meldete sich also beim Microsoft Security Response Center (MSRC) und vertraute darauf, dass die Profis in Redmond ihren dokumentierten Ablauf einhalten, das Problem beheben und betroffene Kunden informieren würden. Seine anfängliche Euphorie wich jedoch schnell der Ernüchterung: Zwar begann das MSRC nur drei Tage nach seiner Meldung damit, das Problem nachzustellen, doch weitere drei Tage später, am 10. Juli, hatten die Techniker offenbar bereits stillschweigend eine Fehlerbehebung ausgerollt.

Das widersprach der eigenen Prozessbeschreibung – was Korman veranlasste, noch einmal bei den Redmondern anzuklopfen und den Status zu erfragen. Am 2. August meldete der Softwareriese Vollzug: Man werde zwei Wochen später, am 17. August, eine Aktualisierung für die M365-Cloud einspielen und Korman könne einen Tag später seinen Fund veröffentlichen. Als dieser nachfragte, wann er denn eine CVE-Schwachstellenkennung für die von ihm gefundene Lücke erhalte, antwortete das MSRC abschlägig. Man vergebe generell keine CVE-IDs für Lücken in Cloud-Produkten, wenn Endkunden nicht selbst handeln müssten.

Die Macher von Tails haben zwei neue Versionen im Köcher: Tails 6.19 und Tails 7.0rc2. Die 6.19er-Fassung aktualisiert im Wesentlichen zentrale Bestandteile. Der 7er-Release-Kandidat bringt kleine Verbesserungen – und ein schwankendes Release-Datum.

In Tails 6.19 sollen irrelevante Fehlermeldungen nicht mehr angezeigt werden.

(Bild: Tails)

Die Release-Ankündigung zu Tails 6.19 nennt die Aktualisierung unter anderem der zentralen Anonymisierungskomponenten. Der Tor-Browser kommt in Version 14.5.6 mit, der Tor Client hingegen in Fassung 0.4.8.17. Der Mail-Client Thunderbird ist auf Stand 128.13.0 dabei. Eine Fehlerkorrektur haben die Entwickler zudem vorgenommen. Bei der Konfiguration von Bridges in der Tor-Connection haben sie eine irrelevante Fehlermeldung entfernt, die lediglich Verwirrung stiftet.

Tails 6.19 steht als Image für USB-Sticks zum Herunterladen bereit, außerdem stellen die Maintainer ein ISO-Abbild für DVDs oder VMs zur Verfügung.

Angreifer können an zwei Sicherheitslücken in Dell Remote Access Controller (iDRAC) zum Verwalten von Servern ansetzen. Eine aktualisierte Version ist gegen mögliche Attacken abgesichert.

In einer Warnmeldung schreiben die Entwickler, dass konkret iDRAC Service Module unter Windows bedroht ist. Sie versichern, dass die Version 6.0.3.0 abgesichert ist. Alle vorigen Ausgaben sollen verwundbar sein.

Für beide Attacken benötigen lokale Angreifer bereits niedrige Nutzerrechte, Angriffe sind also nicht ohne Weiteres möglich. In beiden Fällen kann Schadcode auf Systeme gelangen und diese kompromittieren (CVE-2025-38742 "mittel", CVE-2025-38743 "hoch").

Weiterführende Details zu möglichen Angriffsszenarien gibt es derzeit nicht. Unbekannt bleibt auch, ob Angreifer die Lücken bereits ausnutzen. Um Attacken vorzubeugen, sollten Server-Admins sicherstellen, dass iDRAC auf dem aktuellen Stand ist.

Anfang August hat Dell Sicherheitslücken in der Backuplösung PowerProtect geschlossen.

In Episode 141 des c't-Datenschutz-Podcasts widmen sich Redakteur Holger Bleich und Heise-Justiziar Joerg Heidrich gemeinsam mit Dr. Sebastian Kraska den wichtigsten Datenschutzthemen für Website-Betreiber. Kraska ist Rechtsanwalt und Geschäftsführer der IITR Datenschutz GmbH, die Unternehmen bei Datenschutz und Informationssicherheit berät.

Dr. Sebastien Kraska klärt in der Auslegungssache über Datenschutz auf Websites auf.

Am Beispiel eines fiktiven Katzenfutter-Shops arbeiten die drei systematisch zentrale Anforderungen ab. Zunächst geht es um Cookie-Banner: Technisch notwendige Cookies für Warenkörbe oder Spracheinstellungen benötigen keine Einwilligung. Anders sieht es bei Tracking-Tools oder anderen nicht technisch erforderlichen Cookies aus. Hier müssen Website-Betreiber eine echte Wahlmöglichkeit bieten. Die Aufsichtsbehörden fordern dabei gleichwertige Ja- und Nein-Buttons auf derselben Ebene sowie granulare Einstellungsmöglichkeiten.

Bei der Datenschutzerklärung rät Kraska Betreibern kleinerer Websites zu Generatoren statt Eigenbauten. Die Erklärung muss transparent über alle Datenverarbeitungen informieren - von Tracking-Tools über Rechtsgrundlagen bis zu Empfängern der Daten. Je komplexer die Website, desto umfangreicher wird das Dokument. Die Datenschutzerklärung von heise.de umfasst beispielsweise etwa 14 Druckseiten, wie Heidrich anmerkt.

Ein weiteres Thema sind Datenübermittlungen in Drittländer, etwa durch Google Analytics oder eingebundene Schriftarten. Bei Google Fonts empfiehlt Kraska, die Schriften lokal zu hosten, statt von Google-Servern zu laden. So vermeidet man ungewollte Datenübertragungen. Für YouTube-Videos oder Google Maps können Overlays eingesetzt werden, die erst nach expliziter Zustimmung die Inhalte laden.

Der im Fall Modern Solution wegen strafbarer Computervergehen verurteilte Sicherheitsforscher hat nun Verfassungsbeschwerde eingelegt. Seine Anwälte halten die Verfahrensführung für unfair und sehen die verfassungsmäßigen Rechte ihres Mandanten verletzt. Die Verfassungsbeschwerde ist notwendig, weil der normale Rechtsweg ausgeschöpft ist.

Der selbstständige Programmierer hatte im Auftrag eines Dritten ein Problem mit der Software des Gladbecker Unternehmens Modern Solution GmbH & Co. KG untersucht und dabei eine Sicherheitslücke entdeckt, welche die Daten von knapp 700.000 deutschen Verbrauchern im Internet offengelegt hatte. Betroffen waren Shop-Plattformen unter anderem von Kaufland, Otto und Check24, die die Modern-Solution-Software einsetzten. Das Passwort zu dieser Datenbank war unverschlüsselt in einer ausführbaren Datei des Middleware-Produktes gespeichert und für alle Modern-Solution-Kunden gleich.

Nachdem der Programmierer die Sicherheitslücke an Modern Solution gemeldet hatte, machte er sie kurz darauf in Zusammenarbeit mit dem Betreiber eines branchennahen Blogs öffentlich. Modern Solution zeigte den Sicherheitsforscher daraufhin an, die Polizei durchsuchte seine Wohnung und beschlagnahmte sein Arbeitsgerät.

Ende Juli 2025 hatte das Oberlandesgericht Köln über die Revision des Angeklagten entschieden und das Urteil des Landgerichts Aachen vom 4. November 2024 bestätigt. Der Programmierer ist somit rechtskräftig zu einer Geldstrafe von 3000 Euro verurteilt und muss die Kosten des Verfahrens tragen.

Das Gericht sah es als erwiesen an, dass sich der Mann strafbar gemacht hatte, als er ein Passwort in der Software seines Kunden ausgelesen hatte, um Zugriff auf die dazugehörige Datenbank auf den Modern-Solution-Servern zu bekommen. Der Entwickler bestand bis zum Schluss darauf, er habe nur Zugriff auf diese Datenbank genommen, um einen Fehler in der Modern-Solution-Software zu finden, die zu Problemen bei seinem Kunden führte. Modern Solution hatte in seiner Anzeige bei der Polizei ausgesagt, der Programmierer habe dem Unternehmen Schaden zufügen wollen, da er selbst an einer Konkurrenz-Software zu dem Modern-Solution-Produkt arbeite.

Anfang August 2025 wurde das Mandala Bay Hotel in Las Vegas zum Treffpunkt der internationalen Security-Community. Im Rahmen der alljährlich stattfindenden Black-Hat-Konferenz kamen rund 20.000 Teilnehmer zusammen, um aktuelle Schwachstellen, spannende Security-Innovationen und künftige Cyberbedrohungen zu diskutieren. Unser Artikel stellt einige der diesjährigen Highlights vor und unternimmt zusätzlich einen Abstecher zu den auf der DEF CON verliehenen Pwnie Awards.

Malware und die Motivation ihrer Programmierer haben sich sehr gewandelt. Seien in den Anfängen vor allem Teenager am Werk gewesen, die einfach Spaß haben wollten, rückten ab etwa 2003 finanzielle Absichten in den Fokus, schilderte der finnische Computersicherheitsexperte Mikko Hypponen zum Auftakt der 28. Black Hat USA. Heute werde die Schadcode-Landschaft von Kriminellen dominiert, die ihre lukrativen Geschäfte immer rücksichtsloser abwickelten und sich laufend weiter professionalisierten.

Um das zu unterstreichen, zeigte Hypponen in seiner Keynote eine Art Werbespot der Ransomware-as-a-Service-Gang Global – mit durchdachtem Corporate Design und Einblicken in das schicke Nutzerinterface des Erpresserwerkzeugs. Ein spezielles Feature des Rundum-Sorglos-Erpresserpakets: ein KI-Assistent, der die Lösegeldverhandlungen übernimmt, damit Angreifer sich besser auf neue Opfer konzentrieren können.

Rückblick auf eine Welt überschaubarer Bedrohungen: Rund 150 Computerviren – einen Virus pro Diskette – sammelte und analysierte der IT-Security-Experte Mikko Hypponen zu Beginn seiner Karriere.

(Bild: Screenshot/blackhat.com)

Eigentlich sollen Passwort-Manager den Umgang mit vielen verschiedenen Passwörtern vereinfachen. Dazu bringen sie meist Browser-Erweiterungen mit, die Formularfelder mit Zugangsdaten automatisch befüllen können. Ein IT-Forscher hat eine Schwachstelle in den Browser-Erweiterungen diverser Passwort-Manager aufgedeckt, durch die bösartige Webseiten Zugangsdaten mit einer Clickjacking-Attacke abgreifen können.

Clickjacking-Angriffe sind eigentlich altbekannt. Dabei schieben Angreifer unsichtbare Elemente etwa vor Dialoge, und die Klicks der Besucher landen dann auf dem unsichtbaren Element und nicht in dem gewünschten Feld. Neu ist der DOM-basierte Angriff auf die Browser-Erweiterungen, den Marek Toth auf der Defcon 33 vorgestellt hat.

Den grundsätzlichen Angriff beschreibt Toth folgendermaßen. Zunächst muss eine bösartige Webseite ein Element aufweisen, das den Zugriff auf die Seite verwehrt, etwa ein Cookie-Banner, ein Captcha oder ähnliches. Die Webseite selbst benötigt ein Formular, etwa für persönliche Daten, wie ein Log-in. Für das Formular setzen Angreifer die Opacity (Deckkraft) auf 0.001, es wird dadurch unsichtbar. Mit der Funktion focus() wird nun das Formularfeld aktiviert, woraufhin das Dropdown-Menü zum Ausfüllen des Passwort-Managers erscheint. Neu ist nun, dass mit dem vorgestellten Angriff über das Document Object Model (DOM) das User-Interface der Browser-Erweiterung ebenfalls unsichtbar gemacht werden kann, indem die Deckkraft reduziert wird – hier passiert nun das DOM-basierte Clickjacking in der Browser-Erweiterung: Opfer klicken vermeintlich auf das Cookie-Banner oder Captcha und landen dabei auf dem unsichtbaren Dialog der Browser-Erweiterung. Die füllt die Formularfelder aus, die Angreifer gelangen an die Einträge im Formular.

Toth hat folgende Passwort-Manager untersucht: 1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords als Browser-Erweiterung, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass und RoboForm. Bei den Tests setzte Toth das manuelle Ausfüllen von Formularen durch die Passwort-Manager-Erweiterungen.

Bei den meisten Passwort-Managern können Angreifer nicht-Domain-spezifische Informationen wie Kreditkartendaten oder persönliche Daten wie Name, Telefonnummer, Anschrift und so weiter mit bösartig aufgesetzten Webseiten auslesen.

Zwar werden bereits in wenigen Wochen Apples große Upgrades auf iOS 26 und macOS 26 (Tahoe) erwartet, dennoch hat der Konzern nun noch einmal Aktualisierungen für die Vorversionen iOS 18, iPadOS 18 und macOS 15 (Sequoia) vorgelegt. Grund sind Sicherheitslücken in den Systemen, die laut Hersteller bereits aktiv ausgenutzt werden. Betroffen sind auch ältere iOS-Versionen, die Apple aber wie üblich nur teilweise patcht. Sonstige Neuerungen enthalten die Aktualisierungen nach Angaben des Unternehmens nicht.

Apple erwähnt in seinen Beipackzetteln für sicherheitsrelevante Veränderungen jeweils nur eine einzige Lücke: Einen Bug in der Bildverarbeitungsbibliothek Image I/O. Dazu heißt es, dass die Verarbeitung böswillig manipulierter Bilder zu einem Speicherfehler führen kann. "Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise in einem äußerst komplexen Angriff auf gezielt ausgewählte Personen ausgenutzt wurde." Das heißt in der Praxis, dass es sich wohl um staatliche Akteure handelte – oder Firmen, die diese unterstützten.

Wer von dem Angriff betroffen war, teilte Apple nicht mit. Der Konzern nennt sich selbst als Entdecker der Lücke, die die CVE-ID CVE-2025-43300 trägt. Der Fehler wurde behoben, indem ein Out-of-Bounds-Schreibproblem behoben wurde – durch verbessertes Bounds-Checking. Der Bug könnte Teil einer ganzen Exploit-Kette sein, bei der Image I/O wahrscheinlich als Einfallstor verwendet wird – beispielsweise über den Versand eines manipulierten Bildes via iMessage. Technische Details fehlen jedoch noch – ob Apple diese zu einem späteren Zeitpunkt kommuniziert, bleibt offen.

Der ausnutzbare Fehler steckt interessanterweise offenbar nur in macOS, iPadOS und iOS – zumindest hat Apple bislang keine Aktualisierungen für seine anderen Betriebssysteme watchOS, visionOS und tvOS vorgelegt, obwohl auch diese die Image-I/O-Bibliothek enthalten. tvOS hat keine eigene Nachrichten-App, visionOS und watchOS hingegen schon. Die jeweils aktuellen Version sind nun iOS 18.6.2 und iPadOS 18.6.2 sowie macOS 15.6.1. Auf einem Test-Mac war die Aktualisierung mit 1,5 GByte ziemlich mächtig, könnte also auch noch andere Neuerungen enthalten. Warum Apple für einen ausgenutzten Fehler sein dafür geeignetes Rapid-Security-Response-System nicht nutzt, bleibt unklar.

Nutzer älterer macOS- und iPadOS-Versionen erhalten ebenfalls Updates, iOS-17-Nutzer müssen auf iOS 18 aktualisieren. Aktuell sind nun iPadOS 17.7.10, macOS 13.7.8 Ventura und macOS 14.7.8 Sonoma. Einzige von Apple kommunizierte Änderung ist die Behebung des Image-I/O-Bugs.

Angreifer können Systeme attackieren, auf denen Firefox oder Thunderbird installiert ist. Davon ist auch die iOS-Version von Firefox betroffen. Sicherheitsupdates schließen unter anderem Schadcode-Lücken.

Im Sicherheitsbereich der Mozilla-Website sind die jüngst geschlossenen Schwachstellen aufgelistet. Unklar bleibt, welche Betriebssysteme konkret betroffen sind. Gegen mögliche Attacken sind die folgenden Ausgaben abgesichert:

Angreifer können im Kontext der Audio/Video-GMP-Komponente auf einem nicht näher ausgeführten Weg einen Speicherfehler auslösen und so aus der Sandbox ausbrechen. Die Sicherheitslücke (CVE-2025-9179) ist mit dem Bedrohungsgrad "hoch" eingestuft. Sie betrifft Firefox und Thunderbird.

Darüber hinaus kann über weitere Speicherfehler (CVE-2025-9185 "hoch") Schadcode auf Systeme gelangen. Im Anschluss gelten Computer in der Regel als vollständig kompromittiert. Unter iOS sind unter anderem XSS-Attacken vorstellbar (CVE-2025-55032 "hoch").

Bislang gibt es noch keine Informationen über laufende Attacken. Unklar bleibt bislang auch, woran man bereits erfolgreich attackierte Systeme erkennen kann. Nutzer sollten sicherstellen, dass sie eine gegen die geschilderten Attacken abgesicherte Version installiert haben.

In der Container-Software Docker Desktop können Angreifer aus bösartigen Containern auf die Docker-Engine und in der Folge auf das Dateisystem des Host-Systems zugreifen. Aktualisierte Software steht bereit, um die Sicherheitslücke zu schließen.

In der Versionsankündigung fasst Docker knapp zusammen: Bösartige Container, die in Docker Desktop laufen, können auf die Docker-Engine zugreifen und weitere Container starten, ohne, dass der Docker-Socket gemountet sein müsste. Dies kann unautorisierten Zugriff auf Nutzerdateien im Host-System ermöglichen, Enhanced Container Isolation (ECI) richtet nichts gegen diese Schwachstelle aus (CVE-2025-9074 / EUVD-2025-25308, CVSS 9.3, Risiko "kritisch").

Die Schwachstellenmeldung selbst geht weiter ins Detail. Lokal laufende Linux-Container können die Docker-Engine-API über das konfigurierte Subnetz erreichen, standardmäßig unter 192.168.65.7:2375. Die Schwachstelle tritt unabhängig davon auf, ob Enhanced Container Isolation (ECI) aktiviert oder wie die Option "Expose daemon on tcp://localhost:2375 without TLS" konfiguriert wurde. Dadurch lassen sich eine Reihe an privilegierten Befehlen an die Docker-Engine-API ausführen, einschließlich der Kontrolle anderer Container, Erstellen neuer Container, Verwalten von Images und so weiter. Unter Umständen, etwa wenn Docker Desktop für Windows mit WSL-Backend läuft, erlaubt das auch das Mounten des Hostlaufwerks mit den Rechten des Nutzerkontos, in dem Docker Desktop läuft.

Um das zu verhindern, sollten IT-Verantwortliche auf Docker Desktop 4.44.3 oder neuer aktualisieren. Darin haben die Entwickler die sicherheitsrelevanten Fehler ausgebügelt.

Die aktualisierten Docker-Pakete stehen direkt zum Herunterladen bereit: