heise security News

BSI: Checkliste für Vorgehen bei geknackten Konten

2025-10-28T12:35:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Das BSI hat eine Checkliste für Privatanwender veröffentlicht, die Hilfestellung zu Maßnahmen bei geknackten Zugängen liefert.

(Bild: Black Salmon/Shutterstock.com)

13:35 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zusammen mit dem Programm polizeiliche Kriminalprävention (ProPK) eine Checkliste veröffentlicht, die Privatanwendern helfen soll, wenn ihre Zugänge von Kriminellen übernommen wurden.

Die Checkliste liegt als PDF auf der Webseite des BSI vor. Darin warnt die Behörde vor den Auswirkungen: Kriminelle können dann nicht nur in gekaperten Konten hinterlegte Daten wie Anschrift oder Kreditkarteninformationen einsehen und missbrauchen, sondern etwa illegale Waren verkaufen oder Spam versenden. Besonders kritisch seien demnach geknackte E-Mail-Accounts. Das ermöglicht glaubwürdigere Kommunikation mit potenziellen weiteren Opfern, aber oftmals seien die auch hinterlegt, um Passwörter für andere genutzte Dienste zurückzusetzen.

Das BSI gibt Hinweise, wie Betroffene geknackte Konten erkennen können. Bei nicht mehr möglichem Zugriff könnte etwa das Passwort zurückgesetzt worden sein. Oder der Anbieter hat den Zugang wegen verdächtiger Aktivitäten blockiert. Weitere Punkte erklären, wie in diesem Fall am besten vorzugehen ist. Außerdem liefert die Checkliste noch Tipps zum besseren Schutz für Konten. Es findet sich etwa die Aktivierung von Zwei-Faktor-Authentifizierung – an zweiter Stelle nach der Umstellung auf Passkeys.

Umfrageergebnisse "Cybersicherheitsmonitor 2025"

Dass solch eine Handreichung nötig ist, unterstreichen die Ergebnisse des "Cybersicherheitsmonitors 2025". Dabei handelt es sich um eine "Computer Assisted Web Interviewing (CAWI)"-Umfrage von BSI und ProPK unter 3061 Personen der deutschsprachigen Bevölkerung ab 16 Jahren, die vom 3. bis 7. Februar 2025 durchgeführt wurde. Demnach erlebte fast jede zehnte Person, die im vergangenen Jahr von Cyberkriminalität betroffen war, einen Fremdzugriff auf einen Online-Account (8 Prozent).

Videos by heise

Karin Wilhelm, Expertin für Verbraucherschutz beim BSI, sagte dazu: "Ein Ernstfall kann schnell überfordern: Viele Menschen wissen im ersten Moment nicht, wie sie reagieren sollten. Gerade im Falle des E-Mail-Kontos kann schnelles Handeln jedoch weiteren Schaden abwenden. Behalten Cyberkriminelle unbefugten Zugang zu dem Konto, können sie sensible Daten auslesen, E-Mails an hinterlegte Kontakte verschicken oder auch Passwörter und Anmeldeverfahren bei weiteren Benutzerkonten zurücksetzen. Darum ist es so wichtig, sofort aktiv zu werden. Die Checkliste soll Betroffene handlungsfähig machen."

Das BSI bietet weitere hilfreiche Materialien an. Die Behörde hat etwa im September kostenlose Arbeitsblätter für Lehrkräfte und Eltern veröffentlicht, mit denen Jugendliche über Cyberrisiken aufgeklärt werden können.

(dmk)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

Proxmox Backup Server: Angreifer können Backup-Snapshots zerstören

2025-10-28T10:26:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Die Entwickler der Backuplösung Proxmon Backup Server haben Sicherheitslücken geschlossen. Bislang gibt es keine Berichte zu Attacken.

(Bild: Dilok Klaisataporn/Shutterstock.com)

11:26 Uhr

Lesezeit: 1 Min.

Security

Von

Dennis Schirrmacher

Verschiedene Versionen von Proxmon Backup Server sind verwundbar. Angreifer können an zwei Sicherheitslücken ansetzen.

Diverse Sicherheitsprobleme

Die Entwickler weisen im Forum auf die Schwachstellen hin. Bislang sind dazu keine CVE-Nummern und somit keine Einstufung des Bedrohungsgrads bekannt. Das CERT Bund vom BSI stuft die Gefahr als "hoch" ein.

Von einer Schwachstelle ist ausschließlich der Proxmon-Versionsstrang 3.x betroffen. Nutzen Angreifer die Lücke erfolgreich aus, können sie Backup-Snapshots manipulieren, sodass eine Wiederherstellung unmöglich wird. Hier schafft die Ausgabe 3.4.1-1 Abhilfe.

Videos by heise

Bei der zweiten Schwachstelle kommt es bei einer Konfiguration mit S3 zu Problemen, und Angreifer können unbefugt auf Daten zugreifen. Dagegen ist Proxmox Backup Server 4.0.18-1 gerüstet.

Ob es bereits Attacken gibt, ist zurzeit nicht bekannt. Unklar bleibt auch, woran Admins bereits attackierte Systeme erkennen können.

(des)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

"Darknet Diaries Deutsch": Angriffspunkt Mensch

2025-10-28T10:02:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Der Sicherheitsberater und Meister des Social Engineering Christopher Hadnagy erzählt spannende Geschichten aus seiner langen Karriere als Human Hacker.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Podcasts immer laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

11:02 Uhr

Lesezeit: 76 Min.

Von

Isabel Grünewald

Dies ist das Transkript der vierten Folge des neuen Podcasts "Darknet Diaries auf Deutsch". Im Englischen Original von Jack Rhysider trägt diese Episode den Namen "Human Hacker".

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint alle zwei Wochen auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

Die Ursprünge des Social Engineerings

JACK: Bevor es den Begriff „Social Engineer“ überhaupt gab, sprach man einfach von „Trickbetrügern“. Denn bei einer Betrugsmasche geht es darum, das Vertrauen von jemandem zu gewinnen und ihn dann übers Ohr zu hauen. Social Engineers gewinnen das Vertrauen von Leuten, um sie auszutricksen. Ist dasselbe. Einer meiner Lieblings-Trickbetrüger war George C. Parker. Er verdiente seinen Lebensunterhalt damit, Dinge zu verkaufen, die ihm gar nicht gehörten. Er lebte Anfang des 20. Jahrhunderts in New York City. Damals zogen viele Einwanderer in die Stadt, und er wollte ihre Ahnungslosigkeit ausnutzen. 1897 wurde Grant's Tomb erbaut, die letzte Ruhestätte von Ulysses S. Grant. Es steht mitten in Manhattan und ist ein wirklich beeindruckendes Denkmal. Man kann sogar hineingehen und sich den Sarg ansehen. Eine beliebte Touristenattraktion. Als George C. Parker sah, wie viele Menschen zu Grant's Tomb strömten, wollte er damit irgendwie Geld verdienen – aber nicht mit dem Verkauf von Popcorn, Hotdogs oder Blumen.

Nein, Georges Idee war es, Grant's Tomb selbst zu verkaufen, obwohl der ihm gar nicht gehörte. Er machte sich daran, gefälschte Dokumente aufzusetzen, die ihn als Enkel von Ulysses S. Grant auswiesen. Dann mietete er ein Büro, um solchen Geschäften einen seriösen Anstrich zu geben. Und anschließend zog er durch die Stadt, um nach Opfern zu suchen. In New York City sind viele Leute unterwegs, die sich die Schuhe putzen lassen oder eine Zeitung kaufen. Da kommt man leicht mit jedem ins Gespräch. George fand jemanden, der Interesse daran hatte, Grant's Tomb zu kaufen. Er fälschte einige Dokumente, die ihn als Besitzer auswiesen, und erzählte dem Opfer, es könne mit dem Ort eine Menge Geld verdienen, wenn es einfach Eintritt von den Leuten verlangen würde, die sich den Sarg ansehen wollen.

Also schlossen sie das Geschäft ab. Er verkaufte Grant's Tomb an jemanden, obwohl der ihm nicht gehörte. In den folgenden Jahrzehnten verkaufte George C. Parker Dutzende weitere Wahrzeichen in New York City. Er verkaufte die Rechte an Theaterstücken und Opern. Einmal verkaufte er den Madison Square Garden, ein anderes Mal das Metropolitan Museum of Art und sogar die Freiheitsstatue. Aber mein Lieblingsstück, das er verkauft hat, war die Brooklyn Bridge selbst. Er erzählte den Leuten, sie könnten ein Mauthäuschen auf der Brooklyn Bridge errichten und mit den ganzen vorbeifahrenden Autos ein Vermögen verdienen. Die Masche war so gut, dass George die Brooklyn Bridge manchmal zweimal pro Woche verkaufte. Die Stadtverwaltung musste oft anrücken und die Opfer davon abhalten, Mauthäuschen auf der Brücke zu errichten. Daher kommt die englische Redewendung: „Wenn du das glaubst, hab ich hier noch eine Brücke zu verkaufen.“

Der Weg von Chris Hadnagy zum „Human Hacker“

JACK: Wollen wir damit anfangen, wer Du bist und was Du machst?

CHRIS: Na klar, ist allerdings ne vielschichtige Frage. Ich bin Chris Hadnagy und in erster Linie CEO oder, witzigerer Titel, Chief Human Hacker von Social Engineer LLC. Ich betreibe aber auch social-engineer.org, eine kostenlose Anlaufstelle für Social Engineers oder Leute, die sich einfach fürs Thema interessieren. Und dann leite ich noch eine gemeinnützige Organisation namens „The Innocent Lives Foundation“.

JACK: Wie bist du zum Social Engineering gekommen?

CHRIS: Ja, das ist lustig. Ich habe in der Branche gearbeitet, hab aber eher Schwachstellenanalysen gemacht. Ich nehme an, viele von uns haben so angefangen, aber sicher bin ich mir da nicht. Damals habe ich mich also mit, ich würde sagen, sehr grundlegender Sicherheit beschäftigt und Schwachstellenanalysen durchgeführt. Dann habe ich einen Pentesting-Kurs belegt, wo ich also gelernt habe, gezielt in IT-Systeme einzudringen, und wurde geradezu süchtig danach. Ich habe mehr Zeit in den Pentesting-Übungsumgebungen verbracht, als es eigentlich gut für mich war, und da hab ich dann einen Server geknackt, den bis dahin noch niemand geknackt hatte, und bekam daraufhin ein Jobangebot von OffSec als deren Ops-Manager.

Während meiner Arbeit da habe ich dann gelernt, was echtes Pentesting ist und wie man's macht. Gemerkt hab ich dabei, was meine eigentliche Stärke in dem Bereich ist, nämlich der Umgang mit Menschen – mit ihnen zu reden und zu wissen, wie man sie beeinflusst. Dann hab ich angefangen, ein Framework für Social Engineering zu schreiben, immer noch auf der Webseite social-engineer.org zu finden. Als das veröffentlicht wurde, bekam ich dann ein Angebot, mein erstes Buch zu schreiben – das allerdings niemand gelesen hat – und daraus entstand dann meine Firma. Und jetzt, elf Jahre später, sind wir hier.

JACK: Vor über einem Jahrzehnt hat Chris die Webseite social-engineer.org ins Leben gerufen. Dort begann er, ein Framework für Social Engineering zu entwickeln – eine Art Anleitung, wie man dabei vorgeht. Er verfasste einen Ethikkodex, definierte eine Reihe von Begriffen und skizzierte viele der verschiedenen Methoden und Angriffe.

CHRIS: Ich wollte Social Engineering aus wissenschaftlicher, aber auch aus künstlerischer Sicht verstehen. Ich hab mir einfach mein Bücherregal angesehen - das Buch hier habe ich gelesen, weil ich dieses oder jenes Thema verstehen wollte - sagen wir mal ‚Einfluss‘: Robert Cialdinis Buch dazu habe ich gelesen, ja regelrecht studiert, um das Thema „Einflussnahme“ zu verstehen. Ich hab dann die Prinzipien daraus genommen und sie in einer Phishing-E-Mail ausprobiert oder als wir in ein Gebäude eingebrochen sind.Das habe ich dann aufgeschrieben. So habe ich meine Bücher durchforstet und einfach zusammengefasst, welche Fähigkeiten ich verwendet habe, wo und wie ich sie gelernt habe. Ich hab dann so neun oder zehn Monate gebraucht, um das Social-Engineering-Framework zu entwickeln, das heute noch auf der Website zu finden ist. Es wird natürlich immer aktualisiert.

JACK: Ja, Chris hier, der Chief Human Hacker, hat also buchstäblich das Standardwerk über Social Engineering geschrieben; inzwischen sind es sogar drei. Aber 2010 hat er zusätzlich zu dem Framework, an dem er schrieb, auch Newsletter über Social Engineering verfasst und einen Podcast dazu herausgebracht.

CHRIS: Dann haben Firmen angerufen, die das mitbekommen hatten - es war ja das erste Mal, dass das jemand so definiert hat - und die haben dann gefragt, ob wir ihre Firma testen könnten, ja, ob ihr nen Pen-Test bei machen könnten. Oder ob wir sie phishen könnten und dann erklären, wie wir das geschafft haben. Ich sagte: „Na klar, das können wir gerne versuchen.“ Es gab damals noch keine Firmen, die das gemacht haben. Und wir haben uns dann nicht nur gefragt, wie wir das denen berechnen, sondern auch ganz grundsätzlich, wie man daraus ein Geschäft aufbaut. Das haben wir dann alles nach und nach rausgefunden. Und so ist meine Firma entstanden, das war 2010, 2011, mein eigenes Unternehmen, das sich ausschließlich auf Social Engineering konzentriert.

JACK: Ihr wisst, was eine Phishing-E-Mail ist, oder? Eine E-Mail, die euch dazu bringen soll, auf einen Link zu klicken, der euch irgendwie schadet – sei es, dass ihr Malware herunterladet, betrogen werdet oder was auch immer. Wenn Chris einen Anruf bekommt, um eine Phishing-Kampagne gegen ein Unternehmen durchzuführen, bietet er zwei Optionen an.

CHRIS: Es gibt das Security-Awareness-Phishing und dann das Pen-Test-Phishing. Beim Security-Awareness-Phishing, also dem, das Sicherheitsbewusstsein schaffen soll, da geht um den Lerneffekt. Das wird normalerweise unternehmensweit gemacht, also bei allen, egal ob es 1.000 oder 100.000 Leute sind. Das machen wir jeden Monat, und das Ziel ist, die Leute dazu zu bringen, auf einen Link zu klicken, der sie dann auf eine Schulungsseite führt. Da geht es darum, ihnen beizubringen, wie sie Phishing erkennen und richtig melden. Beim Pen-Test-Phishing ist das Ziel ein anderes. Da wollen wir Anmeldedaten stehlen, da wollen wir ein "Implantat" installieren, um einen Trojaner oder Malware auf den Rechner zu bekommen. Wir haben also das Ziel, das Netzwerk und die Personen für den von uns durchgeführten Pen-Test anzugreifen, zu manipulieren und zu schädigen.

JACK: Nun, ich habe selbst als Sicherheitsingenieur mit, ich weiß nicht, Hunderten von Kunden gearbeitet. Und glaubt mir, keiner von ihnen war daran interessiert, dass ich Phishing-Angriffe auf ihre Mitarbeiter durchführe. Sogar meine eigene Firma, für die ich gearbeitet habe, wollte nicht, dass ich Phishing-Tests an unseren eigenen Mitarbeitern mache. Es ist heute schon selten, dass Firmen versuchen, ihre Mitarbeiter zu phishen, aber 2010 war es extrem selten.

CHRIS: Ich wurde von nem echt großen Finanzinstitut angerufen, die gesagt haben, dass sie intern schon ne Weile Social engineeren und dass sie jetzt unser Framework nutzen. Und die haben dann gefragt, ob wir bereit wären, mit ihnen zusammenzuarbeiten, um ihre Leute zu testen. Das hat mich richtig überrascht, denn ich hab ähnliche Erfahrungen gemacht wie du, da haben wir einen Pen-Test für einen Kunden durchgeführt und dann gefragt, ob wir nicht auch'n paar Phishing-Mails verschicken sollten, und die meinten auch nur: „Nö, interessiert uns nicht.“ Ich hab's ihnen dann kostenlos angeboten und meinte, wenn's euch gefällt, können wir ja über ne Bezahlung reden. Dann meinten sie: „Okay, ja, du kannst ein paar schicken.“ Die funktionierten dann immer, und dann sagten sie: „Nee, dafür wollen wir nicht bezahlen; die funktionieren zu gut.“ Ich hab nur gedacht, dass wir's ja genau deshalb machen sollten.

Es gab überall so eine Blockade, aber dann kam dieses große Finanzinstitut. Und plötzlich sind wir voll dabei, SE-Tests und Phishing und all diese anderen Arbeiten in einem großen, globalen Unternehmen durchzuführen, und das hat sich dann rumgesprochen. Dann kamen andere Firmen die meinten, okay, wenn ihr das bei denen macht, sollten wir das vielleicht auch in Betracht ziehen. Ja und das war der Moment, in dem wir dasaßen und nicht wussten, wie wir die ganzen Sachen eigentlich berechnen sollten. Man konnte ja auf keiner Plattform nachsehen, was ein typischer Social Engineer verdient. Wir haben's dann einfach nach und nach herausgefunden.

Aber die ersten fünf Jahre waren extrem mühsam. Wir haben Firmen angesprochen, denen aber oft nicht klar war, warum sie überhaupt machen sollten. Da war viel Aufklärungsarbeit nötig. Als die Medien dann aber anfingen darüber zu berichten - über Phishing-Angriffe, Vishing-Angriffe, also betrügerische Telefonanrufe oder über Social-Engineering-Angriffe mit Identitätsdiebstahl, kam immer mehr Aufmerksamkeit. Da hörten dann Firmen, auch die Führungsebenen davon und es wurde ihnen bewusst, dass das alles einfach ein echtes Problem darstellen kann. Dann wurde es einfacher, solche Dienstleistungen zu verkaufen. Heute wissen fast alle Unternehmen, dass sie Social-Engineering-Dienste benötigen. Aber na klar, heute gibt es, anders als früher, für uns auch viel mehr Konkurrenz. Es ist wie in jeder anderen Branche auch: Jetzt können sie sich aussuchen, mit wem sie zusammenarbeiten wollen.

Phishing und Security-Awareness-Training

JACK: Chris wird manchmal beauftragt, allen Mitarbeitern eines Unternehmens Phishing-Mails zu schicken. Das Ziel ist es, die Mitarbeiter für diese Art von Angriffen zu sensibilisieren und zu schulen.

CHRIS: Wir haben drei verschiedene Phishing-Mail-Stufen eingerichtet. Nehmen wir an, das Thema der Phishing-Mail ist bei allen das selbe: Eine Nachricht an die vielen Homeoffice-User, in der es um vermeintliche neue Homeoffice-Richtlinien geht. Eine Phishing-Mail auf der einfachsten Stufe sieht aus, als wäre sie komplett zufällig bei dir gelandet - sie ist nicht personalisiert, nicht im Firmendesign gehalten und hat Rechtschreib- und Grammatikfehler.

Die Stufe-zwei-Mail ist ebenfalls nicht personalisiert, aber fehlerfrei. Die sieht schon etwas realistischer aus. Und die Stufe-drei-Mail sieht aus, als käme sie tatsächlich direkt von deiner Personalabteilung. All diese Phishing-Mails sollen den Mitarbeitern zwei Dinge beibringen: Erstens, können sie die Phishing-Mail erkennen? Wir zeichnen dabei viele Daten auf. Und wurde es ordnungsgemäß gemeldet, wenn es erkannt wurde? Und wenn nicht, sind diese Leute auf die angegebene Landing Page gegangen und haben sie die Informationen gelesen in Bezug auf Sicherheitsbewusstsein - Informationen, die sonst gerne in zehn-, fünfzehn- oder zwanzigminütigen CBTs vermittelt werden.

JACK: CBTs sind computerbasierte Schulungen, also die typischen Security-Awareness-Trainings, die man in einer Firma bekommt.

CHRIS: Die sind nicht so toll. Sie können schon ihren Sinn haben, aber für das, worüber wir hier sprechen, sind sie eigentlich nicht ideal. Man will eigentlich jemandem Informationen geben, die er oder sie in 60 bis 90 Sekunden verarbeiten kann. Es sollte sowas sein wie: „Du hast gerade auf eine Phishing-Mail geklickt. So hättest du sie erkennen können. Bitte melde sie an diese Adresse.“ Ein solches Security-Awareness-Phishing-Programm trägt dazu bei, das haben wir festgestellt, dass die Idee des Phishings in den Köpfen hängenbleibt. Etwa einen Monat lang sind die Mitarbeiter dann viel aufmerksamer für alle Phishing-Mails.

JACK: Diese Art von Training funktioniert erstaunlich gut. Es bleibt wirklich bei den Mitarbeitern hängen, die auf den Link geklickt haben und gephisht wurden. Diese 60 Sekunden, in denen sie erfahren, dass sie auf einen bösartigen Link geklickt haben, sind ein starker Moment. Ihre Online-Wahrnehmung und digitale Hygiene werden sofort auf ein neues Level gehoben.

CHRIS: Wichtig ist ein einheitlicher Ansatz und dass dieser konsequent umgesetzt wird. Es dürfen keine möglicherweise verletzenden Botschaften enthalten sein. Wenn wir z.B. Leute mit Phishing-Mails belästigen, die lauten: „Unter diesem Link finden Sie heraus, wer im Büro mit einer ansteckenden Krankheit diagnostiziert wurde.“, dann könnte das verletzend sein, insbesondere wenn jemand ein Familienmitglied durch die Krankheit verloren hat.

Ein Programm muss also gestuft, konsequent, regelmäßig sein und darf keine moralische Grenze überschreiten. Ein gelungenes Beispiel dafür ist ein Kunde, den wir fünf Jahre lang gephisht haben. Nach drei Jahren konsequenten Phishings hatten sie eine 78-prozentige Reduzierung von tatsächlicher Malware in ihrem Netzwerk, weil die Leute Phishing-Mails erkannten und richtig meldeten, ohne darauf zu klicken.

JACK: Ziemlich beeindruckend, oder? Phishing-Kampagnen als Teil des Security-Awareness-Trainings für alle Mitarbeiter durchzuführen, scheint eine absolut naheliegende Maßnahme zu sein, um die Sicherheit eines Unternehmens zu verbessern. Denn ein Großteil der Malware gelangt in ein Unternehmen, weil Leute auf Phishing-Mails klicken. Es ist verrückt, dass diese Angriffe heute immer noch wirksam sind, obwohl die meisten Leute über Phishing Bescheid wissen und immer wieder ermahnt wurden, nicht auf verdächtige Links zu klicken. Wisst ihr, was ich bei manchen Firmen schon erlebt habe? Wo ich früher gearbeitet habe, gab es einen Bonus für Mitarbeiter, die gesundes Verhalten zeigten. Wenn du nicht geraucht hast, zur Vorsorgeuntersuchung gegangen bist und regelmäßig Sport getrieben hast, wurde das belohnt und du bekamst einen Gesundheitsbonus von 500 Dollar extra pro Jahr.

Aber einige Unternehmen gehen noch einen Schritt weiter und belohnen Mitarbeiter, die eine gute Sicherheitshygiene an den Tag legen. Wenn du zum Beispiel jeden Monat mit Phishing-Mails getestet wirst und bestehst, die Zwei-Faktor-Authentifizierung korrekt implementiert hast, einen Passwort-Manager verwendest und ein Jahr lang virenfrei bleibst, könntest du auch einen digitalen Gesundheitsbonus bekommen. Denn einige Unternehmen können wirklich Geld sparen, indem sie ihre Mitarbeiter dazu anspornen, wachsamer und sicherer zu sein, was zu weniger Infektionen im gesamten Unternehmen führt, weil der allgemeine Sicherheitsgewinn die Kosten überwiegt. Aber genug vom Security-Awareness-Training. Ich will eine Geschichte hören, in der Chris einen Penetrationstest bei einem Kunden durchführen musste.

Penetrationstests und reale Einsätze

CHRIS: Ich hatte gerade Ryan eingestellt. Er ist heute mein Betriebsleiter, wir haben gerade erst angefangen zusammenzuarbeiten; das war buchstäblich einer unserer ersten gemeinsamen Jobs, vor ein paar Jahren. Wir wurden beauftragt, in ein paar Banken auf Jamaika einzubrechen. Das war interessant, weil es mein erster Einbruch in Banken in einem anderen Land war. Wir wussten nicht, was uns da erwarten würde, zum Beispiel, ob die Leute bewaffnet sein würden, wenn wir ankamen oder wie feindselig sie auch reagieren könnten.

JACK: Ihre Aufgabe war es, mitten am Tag in die Bank zu gelangen. Es ging darum zu sehen, ob sie an der Sicherheit vorbeikommen und in die inneren Bereiche der Bank gelangen konnten, denn diese Bank war normalerweise kein Ort, an dem Kunden ein- und ausgehen. Zwei Ausländer, die einfach von der Straße hereinkommen, ohne dort etwas zu suchen zu haben, sollten nicht in dieses Gebäude gelangen können. Die Sicherheit sollte sie an der Eingangstür aufhalten, aber wenn sie reinkämen, sollten die Türen zu allen sicheren Bereichen im Gebäude verschlossen sein.

CHRIS: Eine unserer Aufgaben war es, einen USB-Stick in irgendwelche Computer zu stecken und das Netzwerk zu hacken. Wir hatten dafür verschiedene Software und Malware auf den USB-Sticks, und sollten zeigen, dass wir dazu in der Lage gewesen wären – wir durften nichts wirklich stehlen oder in sensible Bereiche der Bank eindringen. Aber wenn wir Zugang zum Netzwerk bekämen, wollten sie, dass wir beweisen, dass wir zerstörerisch hätten wirken können. Sie wollten, dass wir auch Software und Tools dabei hatten, die das Ganze aufzeichnen, damit wir ihnen richtig zeigen konnten, was wir da taten.

JACK: Zusätzlich sollten sie alle Sicherheitsprobleme melden, die sie auf dem Weg fanden. Das Ziel ist gesetzt; Zeit, sich an die Arbeit zu machen.

CHRIS: Wir hatten allerhand OSINT-Recherchen durchgeführt und dabei herausgefunden, dass die Bank gerade von einem amerikanischen Unternehmen überprüft wurde.

JACK: Okay, OSINT steht für Open-Source Intelligence, also das Sammeln von Informationen aus öffentlichen Quellen. Dabei sucht man in öffentlichen Online-Bereichen nach privaten Informationen über ein Unternehmen. Chris hat nicht gesagt, wie er es gemacht hat, aber so würde ich anfangen. Zuerst geht man zum LinkedIn-Profil des Unternehmens. Dort sind normalerweise eine Reihe von Mitarbeitern aufgeführt, die für dieses Unternehmen arbeiten. Von dort aus sieht man vielleicht Mitarbeiter, die direkt auf LinkedIn Dinge posten wie: „Ugh, schon wieder Audit-Zeit. Kaum zu fassen.“ Aber wenn keine solche Hinweise auftauchen, kann man noch einen Schritt weiter gehen. Man nimmt die Namen der Mitarbeiter von LinkedIn und versucht, ihre Facebook-Profile zu finden, um zu sehen, was sie dort posten, und schaut sich das alles an.

Wenn dort nichts zu finden ist, geht man noch einen Schritt weiter; man versucht, mit diesem Namen ihr Reddit-Profil oder ihren Stack-Overflow-Namen oder einen Twitter-Namen oder etwas anderes zu finden, um dann diese Beiträge zu durchforsten. Man hangelt sich immer weiter vor und findet schließlich jemanden, der irgendwo etwas postet, was er nicht posten sollte. In diesem Fall fand Chris Leute, die Informationen über eine Netzwerk-Sicherheitsüberprüfung posteten, die von einer amerikanischen Firma bei dieser jamaikanischen Bank durchgeführt wurde. Genauer gesagt war es ein PCI-Audit, was für Payment Card Industry steht. Im Grunde muss jedes Unternehmen, das Kreditkarten abwickeln will, ein jährliches PCI-Audit bestehen. Da Chris und Ryan beide aus den USA kommen und die Besonderheiten von PCI kennen, wäre das eine perfekte Tarnung oder ein perfekter Vorwand. Sie wollten sich als PCI-Prüfer ausgeben, um Zugang zum Gebäude zu erhalten.

CHRIS: Wir haben Visitenkarten und Hemden mit dem Namen dieser Firma drucken lassen, ein paar Klemmbretter mitgenommen und sind dann in Jamaika angekommen. Am ersten Tag sind wir zum Standort gefahren, um uns dort umzusehen. Es ist ein ziemlich großes Gebäude, drei oder vier Stockwerke hoch, riesig und quadratisch. Der gesamte Parkplatz ist von einem Zaun umgeben, an dem Stacheldraht angebracht ist. Wenn man auf den Parkplatz fährt, steht dort ein Wachmann und am Rand ist da ein Wachhäuschen mit zwei Wachleuten drin.

JACK: Sie fahren zum Wachposten, bereit, sich irgendwie hineinzulügen.

CHRIS: Da es tagsüber war, gingen da Kunden ein und aus. Wir wurden am Tor kurz gestoppt, haben dann aber einfach gesagt, dass wir Bankgeschäfte zu erledigen haben, und sie ließen uns direkt und ohne Probleme rein.

JACK: Als sie den Parkplatz betreten, sehen sie ein paar Typen auf Dirtbikes vorbeiflitzen. Sie waren nicht nur auf Dirtbikes, sondern als sie vorbeifuhren, sahen Chris und Ryan, dass an der Seite der Dirtbikes abgesägte Schrotflinten montiert waren.

CHRIS: Das war die Security, das Banksicherheitspersonal. In den USA ist das normalerweise ein Wachmann, der vielleicht eine Waffe am Gürtel hat, der aber am Schreibtisch sitzt oder vorne. Die Typen aber waren auf Dirtbikes unterwegs und fuhren über den Parkplatz. Als wir das sahen, dachten wir nur: „Was!?“ Als wir vorfuhren, ich erinner mich, sahen wir uns an und hatten beide den gleichen Gedanken: „Ziehen wir das jetzt wirklich durch?“ Ryan meinte dann auch: „Ey, das habe ich so nicht unterschrieben.“ Ich meinte: „Ja, aber der ganze weite Weg von Amerika nach Jamaika. Wär schon schade, wenn wir's nichtmal versuchen würden.“

Er meinte, „Ey, die heizen hier auf Dirtbikes rum und tragen Schrotflinten“, ich meinte, jaja, kommt schon'n bisschen strange rüber, aber im Grunde ... ist auch nur ne Waffe. In den USA brechen wir auch in bewaffnete Einrichtungen ein, da riskieren wir auch, erschossen zu werden. Ja, okay, die fahren da nicht auf Dirtbikes aufm Parkplatz rum, aber trotzdem, ob man nun von einer Schrotflinte, einem Gewehr oder einer Halbautomatischen getroffen zu werden, macht eigentlich keinen Unterschied; alles ätzend... wir machen halt solche Jobs. Insgesamt war das keine wirklich gute Argumentation, aber Ryan machte mit, wir wollten es also tun. Rückblickend würde ich aber sagen, dass das ein wirklich beängstigender Moment war.

JACK: Sie atmeten tief durch, fuhren durch den Parkplatz und parkten. Die Dirtbikes flitzten vorbei und sorgten für ein ganz neues Stresslevel, mit dem sie nicht gerechnet hatten. Sie stiegen aus dem Van und machten sich bereit. Sie zogen ein Hemd mit dem Namen der Firma an, die das Audit durchführte. Sie hatten ihre gefälschten Visitenkarten bereit und natürlich mein Favorit…

CHRIS: Das Klemmbrett, und das ist hohl, darin sind USB-Sticks und andere Werkzeuge, die wir brauchen könnten; Dietriche, eine Kamera, mit der wir Dinge filmen konnten. Lauter Sachen, die wir unsichtbar dabei haben, wenn wir da reingehen.

JACK: Sie sehen sich dieses Gebäude an.

CHRIS: Das Gebäude ist aus verspiegeltem Glas, man kann also beim Herangehen nicht durch die Fenster sehen.

JACK: Sie hatten sich ein paar Informationen darüber besorgt, was sich in diesem Gebäude befindet, bevor sie reinkamen, also wussten sie, wie es drinnen aussieht, bevor sie überhaupt reingehen.

CHRIS: Wenn man die Vordertüren öffnet, ist da direkt ein Schreibtisch, an dem Wachleute sitzen und daneben ein Metalldetektor. Man muss also direkt an den Wachleuten vorbei, um zur Treppe zu gelangen. Es ist der einzige Zugang zum Gebäude. Man kann zwar auch zur Rückseite gehen, wo ein paar Laderampen und andere Bereiche sind, aber die Vordertür und an den Wachleuten vorbei, das war der einzige Zugang, um zum Rest der Bank zu gelangen.

JACK: Sie gehen auf das Gebäude zu.

CHRIS: Als wir näher kamen, meinte ich zu Ryan: „Ich nehm einfach mein Handy und tue so, als ob ich ein Gespräch führe. Wenn wir drinnen sind, sage ich dann sowas wie ‚Mhh, alles klar, wir kommen jetzt hoch; warte einfach, wir beenden die Prüfung in einer Minute‘, und wir gehen einfach an der Security vorbei, als ob wir hierher gehören.“ „Und du meinst das klappt?“ meinte Ryan und ich: „Werden wir ja sehen.“ Ich öffne die Vordertür, gehe rein, nehme mein Handy, halte es mir ans Ohr. Ich sage: „Ja, ja, Jack, wir sind vorne. Wir kommen jetzt hoch.“ Wir gehen dabei direkt an der Security vorbei - - - und sie halten uns nichtmal an, sie zucken nicht mal mit der Wimper. Man hat da natürlich keine Zeit, innezuhalten und sich zu wundern. Aber als wir die Treppe erreichen, denken wir beide: „Was zum Teufel? Das war viel zu einfach.“

Oben angekommen bemerken wir, dass wir auch hier keine Zeit haben, anzuhalten oder durchzuatmen oder überhaupt herauszufinden, wohin wir gehen sollen. Ich biege einfach um die Ecke und da sehe ich einen Raum und ein Schild auf dem steht „ATM Testing Center“. Geldautomaten also. Eine Frau geht direkt vor uns in den Raum hinein. Ich entscheide mich einfach ihr hinterherzugehen. Ryan folgt mir. Wir betreten also hinter ihr den Raum, aber dann dreht sie sich um, sie wirkt einigermaßen erschrocken und schaut mich nur an, so als wollte sie sagen: „Was machen Sie hier?“ Ich sag dann: „Ah, wir sind hier, um die Prüfung für PCI durchzuführen. Wir sind aber auch bald fertig.“ Sie dann: „Oh, okay.“ Dann dreht sie sich einfach um und lässt uns in den Raum.

JACK: Sie haben es geschafft. Sie sehen sich in diesem Raum um. Es scheint der Ort zu sein, an dem sie Geldautomaten reparieren, große Maschinen, die vielleicht Bargeld enthalten oder auch nicht, aber sie sind alle in Einzelteilen im Raum verteilt.

CHRIS: Ryan klettert dann buchstäblich rein in diese riesigen Geldautomaten, macht Fotos von all den ganzen Platinen und Teilen. Da war ein Mann an einem Computer, der einen Geldautomaten testet, ich bin dann zu ihm und frage ihn, ob er mir erklären könne, was er da tut. Und er führt mich durch das Prozedere, wie sie ihre Geldautomaten programmieren und zeigt mir die Software. Er gibt mir im Grunde eine kostenlose Schulung über Geldautomaten, und ich filme das Ganze heimlich.Wir waren etwa dreißig Minuten in dem Raum, bis wir dann irgendwann dachten, dass es Zeit wäre zu gehen, weil es sonst vielleicht wirklich komisch aussähe, dass wir hier so tatenlos rumhängen und mit den Leuten reden. Wir meinten dann, dass wir hier fertig sind und gingen raus.

JACK: Denkt daran, sie sind in Jamaika, also fallen sie hier auf. Aber sie hatten einen Trick.

CHRIS: Wir sind die einzigen beiden weißen Männer in dem Gebäude. Kulturell auf jeden Fall ne interessante Situation, wir fielen wirklich auf. Deshalb haben wir uns dafür entschieden, so zu tun, als würde wir für diese US-amerikanische Wirtschaftsprüfungsfirma arbeiten. So machte es Sinn, dass wir da waren, dass wir also nicht so taten, als wären wir Einheimische, wodurch sie hätten skeptisch werden können. So sagten wir, dass wir gerade erst aus den USA eingeflogen sind, um die Prüfung abzuschließen.“

JACK: Sie wandern mit einem Klemmbrett in der Hand durch die Gänge und suchen nach etwas anderem Interessantem.

CHRIS: Da ist ein langer Flur, und am Ende des Flurs sind da zwei Glastüren, durch die wir sehen, dass da ein Callcenter ist; ich kann all die Männer und Frauen an Telefonen und mit Headsets sitzen sehen, an Reihen von Computern. Direkt neben der Tür ist ein Chip-Lesegerät, wir gehen also davon aus, dass die Tür verschlossen ist. Wir können ja auch nicht einfach daran zerren. Ich gehe dann sehr langsam auf die Tür zu, in der Hoffnung, dass jemand rein- oder rausgeht, damit ich dann die Tür aufhalten oder mit dem Fuß abfangen kann, um also ohne Schlüssel da reinzukommen. Das kann man natürlich alles überhaupt nicht planen.

Als ich mich langsam der Tür nähere, kommt eine Frau heraus, ich sage dann: „Lassen Sie mich Ihnen die Tür aufhalten.“ Ich ziehe an der Tür, sie entriegelt sie, und ich halte sie für sie auf. Sie bedankt sich sehr freundlich, und Ryan und ich gehen ins Testzentrum.

JACK: Sie gelangen in diesen großen Büroraum. Reihen über Reihen von Schreibtischen und Kabinen sind hier, viele Leute überall mit Headsets, die mit Kunden am Telefon sprechen.

CHRIS: Wir versuchen da, nen ruhigen und freien Platz zu finden. Wir gehen also langsam die Gänge auf und ab, dann sehe ich einen Computer, der an ist, auf dem ein Sperrbildschirm zu erkennen ist. Eine Frau sitzt direkt daneben an ihrem Computer, und ich sprech sie einfach an: „Entschuldigung, ich bräuchte Sie mal, damit Sie an diesem Computer bitte Ihr Passwort eingeben.“ Sie schaut auf; hält inne, schaut mich und sagt: „Was, wieso, was meinen Sie?“ Ich sag dann: „Ich brauche Sie bitte, um sich an diesem Computer hier anzumelden.“ Sie sagt: „Aber ich benutze doch den hier.“ Ich dann: „Ja, ich weiß, aber ich brauche Sie, um sich auch an diesem Computer anzumelden.“ Dann sagt sie: „Okay.“ Sie steht auf, und als sie ihr Passwort eingibt, filme ich sie mit meinem Handy, ich halte es dafür über die Tastatur.

JACK: Sieht sie, wie du das machst?

CHRIS: Nein, sieht sie nicht, ich halte mein Handy auf der Rückseite von dem Klemmbrett. Ich schaue auch so ganz demonstrativ weg, so dass ich ihr das Gefühl gebe, dass ihr auf gar keinen Fall dabei zusehe, wie sie ihr Passwort eingibt. Aber ich nehm's halt währenddessen mit meinem Handy auf. Ich rufe zu Ryan rüber. Er setzt sich, holt einen der USB-Sticks heraus und beginnt, das Netzwerk von dort aus zu hacken.

Während er das macht, drehe ich mich einfach um und bemerke, dass da ein Typ an einem Schreibtisch direkt hinter uns sitzt, etwa zwei Meter entfernt, und dass der aufsteht, um, wie ich annehme, auf die Toilette zu gehen. Als er weggeht, lässt er seinen Computer ungesperrt da, er lässt seinen Ausweis auf dem Schreibtisch, er lässt alles da. Ich geh dann hin zu seinem Computer, setz mich und klick mich durch Bankbildschirme und Anwendungen, dann mache ich ein Foto von seinem Ausweis, um den vielleicht später kopieren zu können.

Dann kommt Ryan rüber und fängt an, diesen Computer zu hacken. Wir sind jetzt auf beiden Maschinen und denken uns, okay, wir waren im ATM-Testzentrum, wir haben das Netzwerk gehackt, wir haben zwei verschiedene Maschinen laufen - es ist Zeit, den Rückzug anzutreten.

JACK: Ryan und Chris fangen an, zusammenzupacken und ihre Flucht von dort zu planen.

CHRIS: Während wir darüber nachdenken, wie wir hier rauskommen, kommt eine Frau rüber und fragt: "Was machen Sie hier?" Ich sage sagen: „Ach so, wir schließen die PCI-Prüfungen ab, also testen nur die Geschwindigkeiten auf diesen Computern.“ Sie sagt: „Okay“, und geht weg. Ich denk mir: „Mann, das war viel zu einfach.“ Tja, und, zwei Minuten später, kommt sie zurück, bei ihr ein Manager , und der fragt dann, wer unser Ansprechpartner hier ist. Ich antworte ihm: „Ach, wissen Sie, eigentlich haben wir gar keinen Ansprechpartner.“ Sie sagt: „Jeder, der in die Bank darf, hat einen Ansprechpartner. Wie sind Sie hier reingekommen?“ Ich sage: „Wir arbeiten ja mit der amerikanischen Audit-Firma zusammen.“ Ich nenne den Namen und sie sagt: „Ja, die kenne ich. Die sind schon den letzten Monat hier.“ Ich sage: „Genau, und wir schließen nur das Audit zur Rechnergeschwindigkeit und anderen Dingen ab, mir wurde nur gesagt, ich soll den Test machen.“ „Ich kann Ihnen meinen amerikanischen Kontakt geben.“ sage ich, sie: „Nein, ich brauche Ihren lokalen.“ Und dann sagt sie: „Kommen Sie mit mir mit.“

JACK: Sie beginnt, Chris und Ryan zum Sicherheitsschalter am Eingang des Gebäudes zu eskortieren. Chris ist schon einen Schritt voraus. Er hat darüber nachgedacht, was er tun würde, wenn er erwischt wird, denn es ist nie vorbei, wenn man erwischt wird. Diese Mission hat sich einfach geändert, um zu sehen, ob man der Gefangennahme entkommen kann. Chris' Plan war ziemlich brillant. In ihrem Van auf dem Parkplatz dieses Gebäudes sitzt ein dritter Mann, den sie mitgebracht haben.

CHRIS: Ein Einheimischer aus Jamaika, der für eine Pen-Test-Firma arbeitet, deren Kunde die Bank war. Die, die uns beauftragt hatten, dahin zu kommen und den Social-Engineering-Teil zu machen. Ich meinte vorher zu ihm: „Also, du sitzt einfach im Van und bist unser lokaler Banker-Typ, und du benutzt diesen Namen, und wenn sie anrufen, meldest du dich als dieser, okay?“

JACK: Ziemlich clever. Jemand mit einem lokalen Akzent, der vorgeben kann, für sie zu bürgen, könnte ein ziemlich überzeugender, gefälschter Joker sein, um nicht im Gefängnis zu landen.

CHRIS: Sie bringt uns zur Security und sagt: „Überprüfen Sie diese Leute“, und dann geht sie. Ich sage dem Sicherheitsmann: „Möchten Sie vielleicht mit meinem Kontakt hier in der Bank sprechen?“ Er sagt: „Ja.“ Also rufe ich an.

JACK: Chris benutzt sein eigenes Handy, um seinen Kumpel anzurufen, der nur im Van auf dem Parkplatz ist, um sich als jemand auszugeben, der in dieser Firma arbeitet.

CHRIS: Ich sag also zu ihm: „Hey, ich brauche dich kurz, um mit dem Kollegen von der Security zu sprechen.“ Und der fragt ihn dann: „Kennen Sie diese beiden Leute?“ Er nennt die falschen Namen von den gefälschten Visitenkarten. Und unser Mann dann: „Oh ja, ja, na klar, die arbeiten für die Prüfungsfirma.“ Securitymann: „Ja, das steht auf ihrer Karte.“ Unser Mann dann: „Ja, sie sollen da einen Geschwindigkeits- und Internetverbindungstest durchführen.“ Security: „Ja, das haben sie gemacht.“ und dann sagt er: „Okay, das klingt alles in Ordnung.“ Unser Mann dann: „Ja super, dann lassen Sie sie bitte einfach ihre Arbeit fortsetzen.“ Der Securitymann dann zu uns, „Okay, Sie sind verifiziert.“ Ich meinte, „Okay, gut, wir machen aber erstmal ne Pause und kommen dann später wieder.“, ob das möglich gewesen wäre oder ob eine Rückkehr ins Gebäude uns vielleicht ne Verhaftung eingebracht hätte, war unklar.

Bei Jobs in den Staaten wurde ich schon oft verhaftet. Da wieder rauszukommen ist relativ einfach. Ich wusste aber nicht, wie es sein würde, in Jamaika verhaftet zu werden, also haben wir beschlossen, das Gebäude zu verlassen. Außerdem hatten wir ja das Netzwerk und die Geldautomaten-Sachen gehackt, also dachten wir, ja, eigentlich sind wir hier so gut wie durch. Wir verließen dann das Gebäude und gingen zu unserem nächsten Standort.

JACK: Alle Ziele im ersten Gebäude wurden erreicht; rein und raus, kein Problem, kinderleicht, zumindest für jemanden, der so geschickt ist wie Chris und Ryan. Zeit, zum zweiten Bankgebäude überzugehen. Das nächste ist jedoch der Standort ihres NOC. Das ist das Network Operations Center, der Raum, in dem eine Reihe von Netzwerktechnikern und -ingenieuren aktiv nach Netzwerksicherheitsvorfällen im Netzwerk der Bank suchen, um sie zu beheben. Nun, Chris und Ryan werden gleich zwei große Netzwerksicherheitsvorfälle sein, wenn sie ins NOC gelangen. Das sollte also ein interessantes Duell werden.

CHRIS: Innerhalb des Bankgeländes, das von außen übrigens genauso aussah wie das andere, mit Stacheldrahtzaun und dem ganzen Drum und Dran, gab es ein kleineres Gebäude, das von einem weiteren Stacheldrahtzaun umgeben war, und das war das NOC, das Network Operations Center. Wir klingeln, der Securitymann kommt raus und fragt uns, wie wir heißen. Ich erzähl ihm, was wir vorhaben, er schaut auf seine Liste und sagt: „Sie stehen nicht auf der Liste. Ich muss anrufen und eine Genehmigung einholen.“ Ich sag: „Oh Mann, wenn Sie können – schauen Sie, wir sind zwei US-Amerikaner und die Hitze hier einfach nicht gewohnt. Können wir vielleicht reinkommen und im klimatisierten Raum warten, während Sie die Anrufe tätigen und uns verifizieren?“ Er dachte ein paar Sekunden darüber nach und sagte dann: „Ja, okay.“ Er drückt den Knopf, entriegelt das Tor, und wir gehen rein. Ich denke, das ist es; während er in seinem Büro telefoniert, werden wir das ganze NOC hacken, und dann sind wir weg.

Er lässt uns also vorne rein, und setzt uns praktischerweise an zwei Computer, und ich denke mir, Ryan, sobald er geht, ist es soweit. „Okay, ihr wartet hier. Ich muss in mein Büro.“, meinte er. Wir: „Alles klar, kein Problem, wir rühren uns nicht. So schön hier bei der Klimaanlage sitzen. Ey, echt danke, dass Sie so cool sind.“ Er steht auf, geht um die Ecke und ruft dann aber irgendjemandem etwas zu. Ich konnte nicht verstehen, was es war. Aber ne Sekunde später, kommt ein Typ, das war ungelogen der größte Mann, den ich je in meinem Leben gesehen habe. Ich bin ja selbst keine kleine Person, aber der Kerl ließ mich wie einen Miniaturmenschen aussehen. Ich schätz, er war 2,10 Meter groß und noch dazu war so breit wie eine Tür. Er trug ne Schutzweste, in der in verschiedenen Abständen Messer steckten. Er hatte einen riesigen Schlagstock an seiner einen Hüfte. An der anderen hatte er ne abgesägte Schrotflinte, und dann war da noch eine Handfeuerwaffe am Gürtel auf der anderen Seite.

Der kommt also zu uns und stellt sich mit verschränkten Armen in den Türrahmen. Ich hatte mich gerade vorgebeugt, um den Computer zu berühren, er sah das und er machte nur „Mm-mm“. Genau so. Ich sagte: „Nein, nein, ich mache gar nichts, Mann. Gar nichts.“ Ryan beugt sich zu mir rüber und meinte: „Ich versuch's nicht.“ Ich sage: „Nein, nein versuch's nicht.“

JACK: Wir sind auf die LinkedIn-Website und haben nach Mitarbeitern der Bank gesucht. Wir haben da welche gefunden, die ihre Telefonnummern angegeben hatten. Wir wollten diejenigen anrufen, die in Positionen waren, von denen wir dachten, sie könnten unsere potenziellen Ansprechpartner sein, wenn wir tatsächlich Prüfer gewesen wären. Also die Verantwortlichen für die Sicherheit oder für IT. Wir haben sie also angerufen und ein paar seltsame Fragen gestellt, nichts über Prüfungen oder so. Einfach nur sowas wie: „Oh, hallo, ist da Joe?“ Die antworten dann: „Äh nein, hier ist nicht Joe“. Wir wollten nur ihre Stimmen hören, weil wir hofften, dass, wenn einer von ihnen unserem jamaikanischen Kontakt ähnlich klang, wenn sie also etwas älter waren und ne raue Stimme hatten, dann könnten wir unseren Mann die Rolle des Verantwortlichen etwa für die IT-Sicherheit spielen lassen, der uns dann per Telefon eine gefälschte Legitimation geben kann.

CHRIS: Wir gingen zu LinkedIn und haben die Mitarbeiter dieser Bank herausgesucht. Dann haben wir diejenigen gefunden, die ihre Telefonnummern angegeben hatten, und angefangen, Leute anzurufen, die in Positionen waren, von denen wir dachten, sie könnten unsere Ansprechpartner sein, wenn wir legitime Prüfer wären. Also den CISO oder den CIO anrufen. Wir wollten sie anrufen, ihnen ein paar seltsame Fragen stellen und nichts über Audits. Einfach so: „Oh, hallo, ist da Joe?“ Sie würden sagen: „Nein, hier ist nicht Joe“, um ihre Stimme zu hören, und wir hofften, dass, wenn einer von ihnen unserem jamaikanischen Kontakt sehr ähnlich klang, also wenn sie älter waren oder eine raue Stimme hatten oder was auch immer, wenn sie ähnlich klangen, dann könnten wir diesen Kerl die Rolle des CISO spielen lassen und uns dann diese gefälschte Erlaubnis geben lassen.

JACK: Ihr versteht das, oder? Sie versuchten, jemanden innerhalb der Firma zu finden, der so klang wie ihr dritter Mann im Van, damit er am Telefon so tun konnte, als sei er diese Person. Einer der Leute, die sie versuchten anzurufen, war der Chief Information Officer. Aber als sie den CIO anriefen, kamen sie nie durch.

CHRIS: Die Sekretärin sagte: „Nein, er ist leider nicht da heute. Er ist auf einer Geschäftsreise, auf eine andere Insel geflogen.“ Ich fragte dann einfach, wann er denn wohl zurück sei und sie meinte, nicht vor heute Nachmittag. Okay, super, meinte ich, wir rufen dann wieder an.

JACK: Nun, er nahm diese kleine Information, die er früher am Tag gelernt hatte, und sitzt im Gebäude mit dem NOC, und dieser riesige bewaffnete Wachmann starrt ihn an. Er wartet darauf, dass der andere Wachmann zurückkommt.

CHRIS: Als der Mann zurückkam, sagte er: „Also, ich kann Sie nicht verifizieren. Niemand weiß, wer Sie sind. Das macht mir ein bisschen Sorgen.“ Ich meinte dann: „Ah!, wissen Sie, der Typ, der unser Ansprechpartner sein sollte, ich habe gehört, er ist heute nicht auf der Insel. Er ist irgendwo auf Geschäftsreise.“ Und er meinte: „Ja, das wurde mir auch so gesagt.“

Und das war das Einzige, was uns gerettet hat, weil ich was wusste, was er gerade am Telefon erfahren hatte. Ich meinte dann: „Okay, ich versteh das, er ist nunmal unser Kontakt. Wissen Sie was, ich hab ne Idee: Er soll doch in ein paar Stunden zurück sein, also gehen wir jetzt einfach zu dem anderen Standort, wo wir noch einen Termin haben, erledigen da unsere Arbeit und in ein paar Stunden, wenn unser Anpsrechpartner zurück ist, kommen wir dann wieder. Er meinte: „Okay, alles klar.“

Wir haben uns verdammt noch mal von da verzogen und sind gegangen und nie wiedergekommen. Wir hatten natürlich keine anderen Standorte; wir wollten da einfach nur raus, bevor King Kong uns in kleine Stücke zerlegt. Wir haben da also gar nichts gemacht, nichts gehackt, wir haben's nicht geschafft. Der Typ hätte uns beide ohne nachzudenken in zwei Hälften brechen können.

JACK: Ein Fehlschlag ist in diesem Fall sogar gut. Es bedeutet, dass ihre Sicherheit besser war als die von Chris, und Chris ist ein Profi. An diesem Punkt schreiben Chris und Ryan einen vollständigen Bericht und haben ein Treffen mit dem Kunden, um alles durchzugehen.

CHRIS: Ja, das mag ich an der Arbeit mit solchen Kunden, sie waren echt zufrieden mit uns, nicht wütend oder sowas. Die fanden die Geschichten von beiden Standorten super und wie weit wir gegangen sind; sie fanden's aber auch gut, dass wir nicht versucht haben, jetzt jemanden zu schädigen oder so und dass wir alle Regeln befolgt haben. Aber am besten fanden sie, dass gezeigt haben haben, wo ihre Schwachstellen lagen. Sie haben gefragt, was uns besser hätte aufhalten können, und ich nannte ein paar Punkte, wo das ohne Probleme hätte geschehen können.

JACK: Ich bin neugierig auf diese Punkte.

CHRIS: Na klar. Der erste Punkt war - als wir das erste Gebäude mit Telefon in der Hand betraten, da hat der Sicherheitsmann uns nicht aufgehalten, was er aber hätte tun sollen. Er hätte sagen sollen: „Hey, Moment mal, bevor Sie nach oben wollen, sagen sie erstmal, wen Sie da eigentlich treffen wollen“Ich hätte denselben falschen Namen genannt, und er hätte gesagt: „Den seh ich hier nicht auf der Liste. Lassen Sie mich oben anrufen und sehen, ob Jack da ist“, und wenn er dann rausgefunden hätte, dass es keinen Jack gibt, wäre ich aufgehalten worden. Der zweite Punkt war, als ich mit Ryan das ATM-Center betrat und die Dame sich umdrehte und sagte: „Hey, was machen Sie hier?“ Ich sagte: „PCI-Prüfung.“ Sie hätte sagen sollen: „Ich habe Sie nicht für diesen Raum autorisiert. Dies ist ein privater Raum.“ Er verfügte über ein eigenes Sicherheitssystem. Sie hätte unten die Sicherheitskräfte anrufen und fragen können: „Hey, sollen hier eigentlich Prüfer im ATM-Center sein?“ Das hätte sie dazu veranlasst, nachzuschauen, und ich hätte dort aufgehalten werden können.

JACK: Ja, oder sie hätte einfach die Tür schließen und sagen können…

CHRIS: Ja, „Sie dürfen hier nicht rein.“ Das dritte Mal wo man uns hätte aufhalten können war im Callcenter. Als ich zu der Frau meinte: „Geben Sie hier Ihr Passwort ein.“ hätte sie sagen sollen: „Ich glaube nicht, dass ich das darf; lassen Sie mich meinen Manager holen“, oder einfach die Eingabe ihres Passworts verweigern. Das hat sie nicht getan. Das vierte Mal war, als wir zu dem Computer gingen, den der Typ nicht gesperrt hatte. Er hätte uns aufhalten können, indem er seinen Computer sperrt, bevor er auf die Toilette ging. Und das fünfte Mal war zurück bei den Sicherheitsleuten, als wir den falschen Jack anriefen und sagten: „Hey, ja, hier, sprechen Sie mit unserem Kontakt hier.“ Er glaubte das und wollte uns wieder reinlassen. Es hätte uns aufhalten können, wenn er gesagt hätte: „Ich nehme Ihr Telefon nicht entgegen. Ich möchte diesen Mann direkt über die mir bekannte Durchwahlnummer anrufen.“ Er nahm aber mein Telefon und sprach mit ihm als vermeintlicher Bankkontakt. Er hätte also einfach direkt die Durchwahlnummer anrufen sollen, anstatt mir zu vertrauen. Die fünf Punkte jedenfalls fanden sie sehr schlüssig. Ich gab den Ratschlag, bei der nächsten Schulung diese Punkte auf interessante und clevere Art näherzubringen, dann werden wir nächstes Mal nicht einbrechen können.

Von Kammerjägern und Vishern

JACK: Ein paar Jahre später waren Chris und Ryan wieder in den Vereinigten Staaten. Sie bekamen einen Auftrag, in ein Gebäude einzubrechen und Fernzugriff auf das Netzwerk im Inneren zu erlangen. Der Mann, der Chris und Ryan beauftragt hatte, den Einbruch zu versuchen, war der Leiter der Gebäude-Sicherheit. Der Sicherheitschef genehmigte dies, was das Ganze legal machte, und Chris hatte sich diesen Genehmigungsbrief ausgedruckt und in seine Tasche gesteckt, denn wenn alles schiefgeht, haben sie es immerhin schwarz auf weiß, dass der Sicherheitschef sie bezahlt hat, um diese Einrichtung zu testen. Also tüfteln Sie an einer Methode, um das Sicherheitsteam zu überlisten.

Sie wollen sich als Kammerjäger ausgeben, was ihnen Zugang zum Gebäude verschaffen könnte, und von dort aus könnten sie versuchen, einen USB-Stick in einen der Computer zu schmuggeln. Sie haben eine Uniform, Sprühflaschen, Kisten und mehr, um so auszusehen, als ob sie tatsächlich zur Schädlingsbekämpfung kommen würde. Sie beschließen, am Abend davor hinzugehen, um den Ort auszukundschaften. Es ist ein großes Bürogebäude; viele Glasfenster und sogar eine Glastür vorne. Sie gehen dort also nachts vorbei. Es ist keine Security da. Sie ziehen an den Türen, aber die sind verschlossen. Also beschließen sie, einen alten Trick zu versuchen.

CHRIS: Ja, es gab zwei Glastüren, die in den Ort führten, und dazwischen war ein Spalt, der breit genug war, um einen USB-Stick durchzuschieben.

JACK: Ihre Theorie ist, dass, wenn sie einen ihrer bösartigen USB-Sticks durch den Spalt der Tür ins Gebäude schieben, jemand, der ihn am nächsten Tag findet, neugierig genug sein könnte, um zu sehen, was darauf ist, und ihn in einen Computer steckt, was man übrigens niemals tun sollte. USB-Sticks können eine Menge übler Malware enthalten, die man vermeiden möchte. In diesem Fall wäre es so, dass wenn ein Benutzer eine der Dateien auf diesem USB-Laufwerk öffnet, das eine umgekehrte Verbindung zu Chris' Server herstellen würde, was ihm Fernzugriff auf den Computer ermöglichen würde, in den der Benutzer den USB-Stick gesteckt hat. Sie schoben diesen USB-Stick durch den Spalt der Tür.

CHRIS: Es gab zwei dieser Türen, die erste wäre super gewesen, wir haben die andere genommen - keine gute Idee, denn diese zweite Tür benutzt niemand, aber das wussten wir nicht. Unseren USB-Stick hat jemand am nächsten Morgen gefunden und dann gemeldet, dass der da an dieser Tür lag, die nie je jemand benutzt. Das hat dann den Sicherheitsdienst veranlasst, sich die Videoaufzeichnungen der vergangenen Nacht anzusehen. Sie haben dann Ryan und mich vor dem Gebäude gesehen, wie wir den Stick durch die Tür schoben. Aber das wussten wir zu dem Zeitpunkt ja nicht.

Am nächsten Tag fuhren wir da hin, ich bin rückwärts mit dem SUV in eine Parklücke rein. Und ich hatte mich gerade umgedreht, um sicherzustellen, dass ich nichts touchierte, da hörte ich, wie sich die Tür öffnete. Ich dachte, Ryan steigt aus, aber als ich mich wieder umdrehte, sah ich da einen Polizisten, der Ryan herausgerissen hatte – ein Securitymann, ein bewaffneter, der Ryan vom Vordersitz gerissen hatte, er knallte ihn auf die Motorhaube legte ihm dann Handschellen an.

Okay, Ryan weiß wie das jetzt eigentlich läuft, dann flieht zur Not wenigstens einer, damit er später zurückkommen und dann wieder einbrechen kann. Damit muss man dann klarkommen. Ich lege also den Vorwärtsgang ein, damit ich fliehen kann, und der Polizist schaut mich an und schüttelt den Kopf, als wollte er sagen: „Lass mich nicht allein, Mann.“ Ich sagte nur: „Bis dann, Trottel.“ Ich will gerade den Fuß von der Bremse nehmen, da springt eine Frau mit gezogener Waffe vor das Auto und sagt: „Steig aus dem Auto aus.“ Ich sage: „Ah jaja, steck die Waffe weg. Alles in Ordnung.“ Ich schalte auf Parken und sie sagt: „Steig aus dem Auto aus.“ Ich sage: „Ich steige nicht aus dem Auto aus, bevor Sie die Waffe wegstecken.“ Ich will, dass Sie die Waffe weglegen. Sie sagt: „Ich leg die Waffe nicht weg.“ Wir schreien uns gegenseitig an und schließlich steige ich aus dem Auto. Sie war klein, höchstens 1,60 m, ich bin 1,90 m groß. Aber sie hat mich so hart auf die Motorhaube geschleudert, dass meine Mütze und meine Sonnenbrille runterfielen und über die Motorhaube flogen.

Bevor mein Gesicht auf der Motorhaube aufschlug, hatte sie mir schon Handschellen angelegt. Das war so beeindruckend, dass ich sagte: „Wow, das war das schnellste Handschellenanlegen, das ich je erlebt habe.“ Das kam mir einfach so über die Lippen. Sie meinte daraufhin, dass ich Dreckskerl wohl ständig mit Handschellen gefesselt werde, woraufhin ich versucht habe, sie zu beruhigen: „Okay, ich sehe, dass Sie sehr wütend sind, aber ich weiß eigentlich nicht warum. Wir sind ja nur hierher gefahren, um eine Schädlingsbekämpfung durchzuführen." Sie meinte: „ähäh, Sie führen keine Schädlingsbekämpfung durch, Dreckskerl.“ Dann hebt sie mich hoch und stellt mich auf die Beine.

Ich meinte dann, dass es echt sehr heiß ist - es war Sommer und in wirklich einer sehr heißen Gegend - können wir uns vielleicht in den Schatten setzen? Sie brachte uns in den Schatten. Ryan und ich knien nun da, wie bei einer Hinrichtung, auf dem Boden. Wir sind auf den Knien, beide mit Handschellen hinter dem Rücken gefesselt. Sie fragt: „Was macht ihr hier?“ Ryan flüstert mir zu: „Gib ihr den Brief.“ Ich flüstere zurück: „Nein, nein, wir kommen hier raus.” Ich also: "Wir sind hier, um Schädlinge zu bekämpfen.“ Sie erwidert: „Nein, deshalb seid ihr nicht hier.” Ich entgegne: Doch, doch, schauen Sie in den Kofferraum, dann sehen Sie's" Wir hatten Sprühgeräte zur Schädlingsbekämpfung dabei und gefälschte Chemikalienkartons, alles mögliche. Irgendwann hat sie in den Kofferraum geschaut, meinte aber, dass sie uns nicht glaubt.

Ich meinte: „Ich weiß nicht, warum Sie mir nicht glauben, ich hab einen Arbeitsauftrag. Mein Klemmbrett liegt im Auto, wenn Sie ihn sehen wollen.“ Sie sagt: „Ich gehe nirgendwo hin, Dreckskerl. Was macht ihr hier?“ Ich sage: „Ich hab's Ihnen doch gesagt, ich weiß gar nicht, wie ich Ihnen das noch anders erklären soll.“ Ryan meinte, „Alter, der Brief.“ Die Polizisten werden wütend. Ich sage: „Nein, wir brauchen den Brief nicht.“

Dann kommt der Wachmann rüber und fragt: „Warum waren Sie gestern Abend um 23 Uhr hier?“ Shit, denke ich. In meinem Kopf rattert es und ich sage dann: „Wir wurden unter anderem beauftragt, gegen Skorpione zu sprühen, und die kommen tagsüber nicht raus. Diese Skorpionart kommt nur nachts heraus, also sind wir nachts gekommen, um die Gegend zu überprüfen und sicherzustellen, dass wir nachts sprühen können.“ Er sagt: „Wir haben euch auf dem Video gesehen. Es gab keine Sprühgeräte, ihr seid um das Gebäude rum und habt euch ganz genau unsere Türen angesehen." „Wir haben uns doch nur umgesehen.”, meinte ich und schlug vor, dass dass wir jetzt gerne mit unserer Sprüharbeit beginnen würden. Er fragt dann: „Ey, was macht ihr hier eigentlich wirklich?“ Ich nur: „Ey, das ist echt die Wahrheit.“ Ryan sagt: „Gib ihm den Brief, verdammt.“ Ich: „Nein, Mann, wir schaffen das.“ Und ich hab wirklich das Gefühl, dass wir hier rauskommen können. Dann aber fragt der Wachmann: „Was ist mit den USB-Sticks, die ihr fallen gelassen habt?“ Da denk ich, okay, shit, jetzt ist es vorbei.“

Ich sage: „Okay, alles klar, pass auf, in diesem Klemmbrett hier ist ein Brief, der alles erklärt.“ Er nur: „Ich nehm dein Klemmbrett nicht, dass könnte irgendein Gerät sein." Ich sage: „Nein, nein, nimm bitte einfach den Brief.“ Die Dame geht rüber, nimmt den Brief, öffnet ihn und sieht den Namen des Ansprechpartners, den sie auch persönlich kennt, und sie nur so, oh, diese mother***, ich kann's nicht glauben. Ich sage: Ja, ja, Sie haben vollkommen recht, jetzt könntet ihr uns bitte die Handschellen abnehmen. Wir sind ja Freunde. Sie sagt: Nee, machen wir nicht, Abschaum. Ich sage: Ey, komm, wir sind kein Abschaum mehr, ihr wisst doch jetzt, dass wir auf eurer Seite sind. Sie nur: Nein. Wir knieten tatsächlich noch etwa zehn Minuten auf dem Boden und warteten darauf, dass unser Kontaktmann rauskam. Als er dann endlich kam, meinte er, dass er im Gebüsch stand und alles gefilmt hat. Echt jetzt...?, meinten wir. Er war ganz begeistert und meinte, dass die Leute hier das richtig gut gemacht hätten. Jaja, das stimmt, sagte ich, aber du hättest uns echt früher retten können. Woraufhin er meinte: „Nein, nein das war alles ganz fantastisch so.“

JACK: Der Name auf dem Brief war tatsächlich der des Chefs des Sicherheitsmanns. Nachdem sie ihn angerufen hatten und er sagte: „Ja, das ist alles ein Test“, beruhigte sich die Situation, und die Sicherheitsleute fingen schließlich an, über die ganze Situation zu lachen und fragten Chris und Ryan, was ihre Jobs als Pen-Tester sind. Alle wurden freundlicher.

CHRIS: Ich hab sie die ganze Zeit mit Fragen gelöchert, um Infos zu bekommen. Ihr habt das wirklich gut gemacht, meinte ich. Wir hätten später kommen sollen, aber ihr seid wahrscheinlich rund um die Uhr hier, oder? Sie antworteten: „Nein, nein, nein. Nach 19 Uhr gibt's hier keine Sicherheitsvorkehrungen.“ Ich so: „Oh, ja, dann hätten wir diesen Zeitpunkt wählen sollen. Das ist schade.“ Im weiteren Gespräch habe ich dann ihre Dienstpläne herausgefunden.Am selben Abend sind wir dann gegen 21 Uhr zurückgekommen, kurz, nachdem sie gegangen sind, und sind in das Gebäude und in ihr Büro eingebrochen. Wir haben ihre Ausweise und einige ihrer Sachen gestohlen, um in andere Gebäude zu gelangen. Anschließend habe ich die ganze Schädlingsbekämpfungsausrüstung auf ihre Schreibtische gelegt, zusammen mit einer großen Dankeskarte und einigen Smiley-Herzen. Als sie am nächsten Tag kamen, wussten sie, dass wir alle Kameras ausgeschaltet und ihre Sachen gestohlen hatten. Sie fanden dann unsere Schädlingsbekämpfungsgeräte auf ihrem Schreibtisch. Ein kleiner, humorvoller Schlagabtausch.

JACK: Okay, zur nächsten Geschichte: Das ist ein seltener Fund, und ich habe schon eine ganze Weile nach so etwas gesucht, also war ich wirklich aufgeregt, als Chris sagte, er kann das übernehmen. Die Geschichte beginnt damit, dass Chris eine Phishing-Kampagne gegen ein Unternehmen durchführt, mit dem Ziel, das Sicherheitsbewusstsein des Unternehmens zu erhöhen.

CHRIS: Bei diesem Test haben wir mit einer Phishing-E-Mail begonnen, die an 1.000 Personen verschickt wurde. Man konnte angeblich brandneue iPhones gewinnen. Um sich für die Verlosung zu registrieren, musste man lediglich eine Website aufrufen und dort die Zugangsdaten für den eigenen Computer eingeben. Es handelte sich um eine von dem Unternehmen gesponserte Verlosung, sodass man eine Website aufrief, die wie die Website des Unternehmens aussah, wo man dann also die Daten eingab und dann an der Verlosung der iPhones teilnahm.

JACK: So viele Leute in dieser Firma wollten ein kostenloses iPhone, und die E-Mail sah aus, als wäre sie von der Firma selbst gesponsert, also dachten die Mitarbeiter: „Na klar, lass mich für dieses Ding registrieren.“ Allein durch diese E-Mail brachte Chris 750 Leute dazu, auf den Link zu klicken, auf seine Website zu gehen und ihren Benutzernamen und ihr Passwort für die Arbeit einzugeben. Es ist verrückt. An diesem Punkt könnte man jedem dieser Leute eine E-Mail schicken, in der erklärt wird, dass die Verlosung nur ein Test war und sie durchgefallen sind. Das könnte das Ende des Sicherheitstrainings sein. Aber neben der Sensibilisierung hatte Chris ein sekundäres Ziel, nämlich Fernzugriff auf das interne Netzwerk zu erlangen. Er schmiedet einen Plan.

CHRIS: Wir hatten ihren Benutzernamen und ihr Passwort, aber unsere eigentliche Aufgabe bestand darin, Remote-Zugriff auf ihr Netzwerk zu erhalten. Wir wollten dann jede dieser Personen anrufen und ihnen mitteilen, dass der Link, auf den sie gerade geklickt hatten, ein Phishing-Link war, und dass wir jetzt, da sie ihr Passwort daraufhin ändern mussten, nur sicherstellen wollten, dass keine Malware auf dem Computer zurückbleibt, die durch das Anklicken dieses Phishing-Links verursacht worden war. Um ihr System jetzt zu säubern, hätten wir für sie ein PC-Reinigungsprogramm erstellt, das ihre Rechner von jeglicher Malware befreien würde. Natürlich handelte es sich dabei nicht um ein PC-Reinigungsprogramm, sondern um einen Meterpreter-Reverse-Shell, ein Werkzeug, das uns Zugriff auf ihre Rechner verschaffte.

JACK: Das Ziel war es, etwa 25 Leute anzurufen, die auf den Link geklickt hatten, und sie irgendwie davon zu überzeugen, Malware auszuführen. Das ist Vishing, also Voice-Phishing, aber wie ich bereits sagte, ist es dasselbe, was Betrüger seit hundert Jahren tun. Chris verwandelte sich in Paul und tat so, als wäre er vom technischen Support. Er schickt einem der Leute, die auf den Phishing-Link geklickt hatten, eine E-Mail und sagt ihm: „Hey, schau mal, das war eine Phishing-E-Mail. Du hast darauf geklickt. Das hättest du nicht tun sollen; ändere sofort dein Passwort.“ Dann ruft Chris, oder jetzt Paul, den Mitarbeiter an. Hier ist der eigentliche Vishing-Anruf, der stattgefunden hat. Ich übernehme hierfür mal den Part des Mitarbeiters

CHRIS: Hier ist Paul vom technischen Support. Wie geht's so?

MITARBEITER: Gut.

CHRIS: Wir haben gesehen, dass Sie das Formular für das iPhone ausgefüllt haben, das iPhone…

MITARBEITER: Ja, ja.

CHRIS: Sie haben sich eingeloggt und Ihr Passwort geändert?

MITARBEITER: Ja, habe ich.

CHRIS: Okay, ausgezeichnet. Ich wollte Ihnen nur sagen, das war wirklich gut. Genau so hätte man es handhaben sollen.

MITARBEITER: Okay, ja. Sobald wir es bemerkt haben, haben sich zwei von uns sofort darum gekümmert.

CHRIS: Okay, es gab also noch einen anderen Mann in Ihrem Team, der – auch?

MITARBEITER: Ja, ich glaube, es war JR [ZENSIERT].

CHRIS: JR? Okay. Ich notiere mir nur, dass ich später mit ihm sprechen werde. Okay, lassen Sie uns gerade mal noch eine Sachen checken: Sind Sie gerade im VPN? Sie sind an Ihrem Arbeitsrechner?

MITARBEITER: Ja.

CHRIS: Okay, ich gebe Ihnen eine interne Adresse. Es ist eine FTP-Seite, die wir für die [ZENSIERT]-Mitarbeiter eingerichtet haben. Sie können dorthin gehen; Sie werden sehen, dass es dort eine Datei gibt, die Sie herunterladen können, und die wird einfach alle restlichen Spuren von dieser Website beseitigen, die wir – die wir für das Audit verwendet haben.

MITARBEITER: Okay.

CHRIS: Also, wenn Sie an Ihrem Rechner sind, öffnen Sie einfach einen Browser und ich gebe Ihnen die Adresse.

MITARBEITER: Sie meinen, so als ob ich eine E-Mail senden würde? Ich bin nicht so…

CHRIS: Nun, Internet Explorer? Den können Sie öffnen.

MITARBEITER: Okay, ja, ich habe das – okay.

CHRIS: Dann oben in der Adresszeile, geben Sie ftp ein…

MITARBEITER: Ftp?

CHRIS: Ja, F wie Fritz, T wie Theodor und dann P wie Paula, und dann ein Doppelpunkt. Dann zwei Schrägstriche, und das sind die Schrägstriche bei Ihrem Fragezeichen, dieselbe Taste wie Ihr Fragezeichen.

MITARBEITER: Verstanden; ftp. Okay.

CHRIS: Dann ist das Wort update- und der Strich ist wie das Minuszeichen.

MITARBEITER: Verstanden.

CHRIS: [ZENSIERT].com.

MITARBEITER: Okay.

CHRIS: Wenn Sie das schließen, sollte sich ein Fenster öffnen – es sollte „index sub“ anzeigen und eine Datei haben. Es gibt eine Datei namens [ZENSIERT] PC Checker.

MITARBEITER: Okay, ja, nein, die ist hier. Okay, Doppelklick darauf?

CHRIS: Ja, klicken Sie darauf.

MITARBEITER: Okay.

CHRIS: Es sollte heruntergeladen werden oder Sie fragen, ob Sie es Ausführen oder Speichern möchten. Klicken Sie auf Ausführen.

MITARBEITER: Okay.

CHRIS: Wenn alles gut geht, sollten Sie keine Warnungen erhalten. Wenn Sie ein Restproblem von dieser Seite haben, erhalten Sie eine Nachricht, aber wenn nichts passiert, ist alles sauber und gut und wir sind fertig.

MITARBEITER: Okay, ich habe gerade eine zweite Meldung bekommen. Da stand: „Der Herausgeber konnte nicht verifiziert werden. Sind Sie sicher, dass Sie diese Software ausführen möchten?“

CHRIS: Ja, klicken Sie auf OK.

MITARBEITER: Nochmals ausführen? Okay, jetzt bin ich wieder auf dem ursprünglichen Bildschirm.

CHRIS: Okay, das ist gut. Wenn Sie keine Fehlermeldung erhalten haben, sind Sie startklar. Sie sind sauber.

MITARBEITER: Okay, nun, danke für die Hilfe.

CHRIS: Kein Problem. Wir sprechen uns später.

MITARBEITER: Ja, tut mir leid, dass ich darauf geklickt habe.

CHRIS: Ist schon okay, danke, dass Sie danach darüber nachgedacht haben.

MITARBEITER: Okay, Mann. Alles klar, danke.

CHRIS: Tschüss.

JACK: Und einfach so hat Chris Fernzugriff auf den Computer dieses Mannes erlangt. Er kann jetzt alles damit machen, was er will; eine Webcam öffnen, das Mikrofon einschalten, Tastenanschläge aufzeichnen, Dateien übertragen, den Desktop screenshotten oder sich zu einem anderen Computer tiefer im Inneren bewegen. Das ist faszinierend, also lasst es mich für euch aufschlüsseln. Das Unternehmen hatte modernste Netzwerkausrüstung, eine Firewall, um alle schlechten Verbindungen zu blockieren, die ins Gebäude kommen oder aus dem Gebäude gehen, ein Intrusion-Detection-System, um den ein- und ausgehenden Verkehr zu inspizieren und alles zu blockieren, was bösartig aussieht. Die Mitarbeiter haben auch alle Antivirensoftware auf ihren PCs, um zu verhindern, dass schlechte Software ausgeführt wird. Aber natürlich hört keine ihrer Sicherheitsvorkehrungen auf Phishing-Anrufe.

Das umgeht alles. Das ist ein Problem. Dann brachte Chris den Mitarbeiter dazu, diese ausführbare Software herunterzuladen. Sie luden sie herunter und führten sie aus. Es gab eine Warnung; sind Sie sicher, dass Sie so etwas ausführen wollen? Aber der Computer hat die Ausführung nicht blockiert. Sobald das Programm ausgeführt wurde, startete es eine umgekehrte Verbindung zu Chris' Computer. Für alle Sicherheitsgeräte im Netzwerk sah dies einfach wie eine normale Webanfrage an Chris' Server aus, und von dort aus konnte Chris diese Verbindung zurück in den PC des Mitarbeiters nutzen und eindringen. Dies ist auch einfach einzurichten, mit einem Werkzeug namens Metasploit. Dies ist nur eine Reverse-Shell, die auf dem PC des Opfers platziert wird. Antivirus stoppt es auch nicht.

CHRIS: Nein, weil es nicht als Virus angesehen wurde.

JACK: Es nutzt die eingebauten Fernsteuerungsfunktionen von Windows selbst aus. Selbst ein vollständig aktualisierter Computer hat die Fähigkeit, Fernzugriffsbefehle auszuführen, und das ist alles, was dies tat. Wenn man jemanden innerhalb des Unternehmens dazu bringt, dieses Programm auszuführen, ist das alles, was es braucht, um alles zu umgehen, was einen aufhalten soll. Ziemlich beängstigend.

CHRIS: Die Leute sagen ja oft, wenn wir über dieses Thema sprechen, „Darauf würde ich nie reinfallen.“ Der Mann, den wir da eben gehört haben, klingt wie'n ganz normaler Typ, wie einer, mit dem zusammenarbeitet. Er ist nicht dumm, und er wirft das Thema Sicherheit bestimmt nicht einfach über Bord. Aber ihr habt's ja gehört: „Oh Gott, ich kann nicht glauben, dass ich auf diesen Phishing-Link geklickt habe. Danke für die Hilfe.“ Ich mag diesen Satz nicht, „Es gibt keinen Patch für menschliche Dummheit". Bei uns sagt den niemand, weil er bedeutet, dass jeder, der auf sowas hereinfällt, dumm ist, aber ich glaub ganz sicher nicht, dass das wahr ist. Der Mann war nicht dumm. Ich glaube, wenn die Leute den Anruf hören, können sie sich ihn hineinversetzen und sein Handeln verstehen.

Es hätte ja auch so passieren können. Es gibt sicher einige Maßnahmen, die Unternehmen ergreifen können, um solche Vorfälle zu verhindern. Das Ganze eben ist vor ein paar Jahren geschehen; heute müssten wir wahrscheinlich etwas ausgefeiltere Maßnahmen mit Meterpreter ergreifen. Vielleicht hätte ein Paketinspektionssystem das verhindern können. Wir haben es einfach in eine normale EXE-Datei eingebettet, über einen verschlüsselten Tunnel, und es enthielt keine Malware, keine Trojaner und keine Viren. Wir wollten auf den Rechner gelangen und ihn dann ausnutzen, sobald wir darauf waren. Es war buchstäblich so, als würde man einen SSH-Server auf dem Rechner öffnen. Das war's. Es wurde lediglich eine umgekehrte Verbindung hergestellt.

Lehren, Bücher und persönliche Erfahrungen

JACK: Nun, viele meiner Zuhörer fragen mich ständig, wie man Social Engineering üben kann. Also habe ich Chris gefragt.

CHRIS: Das ist eine Frage, die mir in meinen Kursen ständig gestellt wird, denn man kann ja nicht einfach losziehen und aus Spaß in Gebäude einbrechen oder Leute phishen. Ich sage dann immer: Bei SE geht es im Grunde genommen nur darum, zu lernen, wie man mit Menschen kommuniziert und zwar auf einer Ebene, die sie mögen, und wie man diese Person dann dazu bringt, sich einem zu öffnen. Das kann man auch tun, ohne Pen-Tester zu sein. Man könnte das auch mit einem Lieferanten oder wenn man das nächste Mal in ein Café geht ausprobieren.

Man kann sich mit einem völlig Fremden unterhalten und von diesem Fremden Informationen erhalten - ohne jede böse Absicht. Wie lautet der vollständige Name? Wo wohnt er? Welchen Beruf übt er aus? Wie viele Kinder hat er? Ist er verheiratet? Was hat er beruflich gemacht? Wo ist er zur Schule gegangen? All diese Fragen sind wichtig, um eine Person zu verstehen, die Sie – wenn Sie ein Pen-Tester sind – in einem normalen Gespräch erfahren können. Je wohler Sie sich dabei fühlen, einfach mit einem zufälligen Menschen zu sprechen, desto leichter wird es Ihnen fallen, Social Engineering zu betreiben, um damit auch Ihren Lebensunterhalt zu verdienen.

JACK: Wenn ihr mehr über Social Engineering wissen wollt, schaut euch Chris' Buch „Social Engineering: The Science of Human Hacking“ an. Achtet darauf, dass ihr die aktualisierte zweite Auflage bekommt. Das ist ein großartiges Buch, das alle Konzepte aufschlüsselt, wie man ein großartiger Social Engineer wird.

CHRIS: Das ist wahrscheinlich mein Lieblingsbuch, das ich geschrieben habe. Ich habe vier geschrieben, und bei diesem fühlt es sich an, als wären es elf Jahre meiner Erfahrung und die Wissenschaft dahinter. Anders als die erste Ausgabe, die sehr neu und nicht sehr gut geschrieben war, fühlt sich diese an, als wäre sie wirklich gut gemacht. Wie Cialdinis Buch „Influence“, das ist ein erstaunliches Buch. Joe Navarros Buch „What Every Body is Saying“ ist einfach ein phänomenales Buch. Ekmans Buch „Emotions Revealed“, alles über nonverbale Kommunikation, ist wirklich ein großartiges Buch.

Amy Cuddys Buch „Presence“ darüber, wie man sich in eine Rolle versetzt; ich könnte einfach Bücher über Bücher aufzählen, die ich gelesen habe, die für mein Leben wesentlich sind, die vielleicht nicht über Social Engineering handeln, aber über einen Aspekt der Kommunikation und des Social Engineering. Robin Dreekes Buch über die „Top 10 Ways to Build Rapport with Anyone Fast“. Diese Bücher sind entscheidend, um sie zu verstehen, wenn man ein Social Engineer sein will.

JACK: Natürlich werde ich Links zu all diesen Büchern und mehr in den Shownotes haben. Neben seiner Tätigkeit als Chief Human Hacker für seine Firma und dem Schreiben von Büchern darüber hat Chris noch so viel mehr erreicht. Er ist derjenige, der das Social Engineering Village auf der Defcon ins Leben gerufen hat, das beliebteste Village auf der Defcon. Es gibt dort einige großartige Vorträge, aber auch einen Wettbewerb, bei dem die Teilnehmer live auf der Bühne vor Publikum jemanden am Telefon social engineeren müssen. Es ist fantastisch anzusehen und neue Tricks zu lernen.

Darüber hinaus hat Chris eine gemeinnützige Organisation namens „The Innocent Lives Foundation“ gegründet, bei der Menschen OSINT- und Hacking-Fähigkeiten nutzen, um den Behörden zu helfen, Kinderpornografie-Täter oder Menschenhändler zu finden und zu fassen. Vielen Dank, dass du Deine Geschichte geteilt hast. Ich schließe mit dieser letzten Frage: Wurdest du jemals gephisht?

CHRIS: Ha, ja! Ich liebe die Frage. Die Leute in der Branche wollen ja manchmal nicht über sowas sprechen, wenn sie selbst gehackt wurden oder so. Aber ja, ich wurde knallhart gephisht. Wahrscheinlich ein paar Mal, aber einmal bin ich komplett darauf reingefallen. Ich bin Amazon-Junkie, ich kaufe alles, was ich kann, bei Amazon. Ich hab mich mal auf die Defcon vorbereitet und dafür so zehn, zwanzig Sachen für den Kinderwettbewerb in Vegas bei Amazon bestellt. Während ich also schon mal meinen Bürokram für die Defcon zusammenpacke, bekomme ich eine E-Mail, die genau wie eine Amazon-Bestell-E-Mail aussieht, in der stand, dass eine meiner letzten Bestellungen aufgrund einer abgelehnten Kreditkarte nicht versendet wird.

Alles, was ich meinen Kunden immer sage, ist, klickt niemals auf diese Links in der E-Mail. Öffnet euren Browser, geht zu amazon, loggt euch in euer Konto ein, und dort wird euch genau gesagt, was das Problem ist. Aber ohne kritisch nachzudenken, gestresst von der Defcon, meine Sachen packend, diese E-Mail sehend, dachte ich: „Oh Gott, wie kann meine Kreditkarte abgelehnt werden? Die wird nie abgelehnt.“ Ich habe auf den Link geklickt. Der Browser öffnet sich, ich gehe auf eine Seite, die aussieht wie die Amazon-Anmeldeseite. Sie sieht identisch aus, aber ich bin einer von denen, die ihren Benutzernamen gespeichert haben, aber nicht ihr Passwort. Ich fange an, mein Passwort einzugeben, und als ich auf den Senden-Button klicken will, kurz bevor ich klicke, merke ich, dass mein Benutzername nicht da steht. Ich bin verwundert, Mein Benutzername ist immer da. Dann schaue ich auf die URL-Leiste und da stand „irgendwas.ru“. Oh Gott, dachte ich, ich habe gerade auf einen Phishing-Link geklickt und bin buchstäblich auf eine russische Website hereingefallen.

Ich hab's meinem Team erzählt und meinte noch, dass ich das nie jemandem anders erzählen werde, weil es so peinlich ist. Eine Person meinte dann aber, ganz im Gegenteil, erzähl davon. Das kann so vielen Menschen helfen, weil du ja der Typ bist, über Phishing schreibt. Du musst die Geschichte erzählen, wie du selbst gephisht wurdest. Ja, guter Punkt, dachte ich mir. Ich erzähle jetzt davon, und ich wäre ohne Zweifel darauf hereingefallen, wenn ich nicht auf diese URL-Leiste geschaut hätte, dann hätte ich auf Senden geklickt und ihnen meine Anmeldeinformationen gegeben. Das Einzige, was mich erwischt hat, war der eine Fehler, dass mein Benutzername nicht in diesem Feld war.

Als ich mir später die E-Mail genauer angesehen habe, war es eine Bestellung für einen George Foreman Grill und ein paar Lee-Aufklebenägel. Keine Artikel, die ich jemals bestellen würde. Wenn ich nur die blöde E-Mail gelesen hätte, hätte ich es merken können. Genauso wenn ich auf die URL-Leiste geschaut hätte oder meinen Browser geöffnet und die Adresse selbst eingegeben hätte. Es gibt ungefähr fünf Wege, wie ich diesen Phishing-Versuch hätte erkennen können, und ich habe sie alle ignoriert, bloß weil ich im Stress war und mein kritisches Denken ausgesetzt hat. Ja, ja, ich wurde gephisht, Mann. Ich bin darauf hereingefallen.

JACK: Ein großes Dankeschön an Christopher Hadnagy, den Human Hacker, dass er hier war. Ihr könnt mehr über ihn erfahren, indem ihr social-engineer.org besucht oder seinen Podcast hört, der einfach „The Social Engineer Podcast“ heißt. (igr)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

Docker Desktop: Windows-Installer für Ausführung von Schadcode anfällig

2025-10-28T09:20:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Eine aktualisierte Docker-Desktop-Version schließt unter anderem eine DLL-Hijacking-Lücke im Windows-Installer.

(Bild: Da Da Diamond/Shutterstock.com)

10:20 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Der Windows-Installer von Docker Desktop lässt sich falsche DLLs unterschieben. Die Entwickler steuern mit einer aktualisierten Software-Version gegen.

Die Schwachstelle verpasst nur knapp die Einstufung als kritisches Risiko. "Docker Desktop Installer.exe ist aufgrund einer unsicheren DLL-Suchreihenfolge für eine DLL-Injektion anfällig", steht in der Schwachstellenbeschreibung. "Der Installer sucht nach benötigten DLLs im Download-Ordner der Nutzer, bevor er Systemverzeichnisse prüft, was lokale Rechteausweitung durch das Platzieren bösartiger DLLs ermöglicht" (CVE-2025-9164 / EUVD-2025-36191, CVSS 8.8, Risiko "hoch").

Docker schließt die Lücke mit Version 4.49.0. Die Release-Notes zur neuen Version weisen auf die Sicherheitslücke hin. Weitere Neuerungen umfassen etwa, dass "Docker Debug" nun kostenlos für alle User nutzbar ist. Natürlich darf KI nicht fehlen, nun macht Docker cagent in Docker Desktop verfügbar, womit sich KI-Agenten erstellen, verwalten und teilen lassen sollen; cagent gilt jedoch noch als experimentell.

Aktualisierte Komponenten und Fehlerkorrekturen

Das aktualisierte Installationspaket enthält zudem aufgefrischte Komponenten: Docker Engine ist in Version 28.5.1 an Bord, Docker Compose in Fassung 2.40.2. Das Nvidia Container Toolkit ist auf Stand 1.17.9. Docker Debug lässt sich in Version 0.0.45 einsetzen.

Videos by heise

Zu den Fehlerkorrekturen gehört, dass Docker Desktop jetzt keine abgelaufenen Proxy-Passwörter mehr nutzt, während es auf die Eingabe eines neuen Passworts wartet. Eine Fehlermeldung zu "chown" beim Start von Docker Debug ist nun ebenfalls passé. Unter macOS konnte der Start von Kubernetes hängen bleiben, wenn andere Kubernetes-Kontexte bereits aktiv waren. Sofern eine Rosetta-Installation abgebrochen wird oder fehlschlägt, deaktiviert Docker Desktop Rosetta nun.

Für die Installation ist nun Mindestvoraussetzung macOS Sonoma (Version 14) oder neuer. In den Release-Notes weisen die Docker-Entwickler zudem darauf hin, dass die Unterstützung für Windows 10 21H2 sowie Windows 11 22H2 ausgelaufen ist. Ab dem kommenden Release ist mindestens Windows 10 22H2 oder Windows 11 23H2 für die Installation erforderlich.

Zuletzt haben die Entwickler im August eine kritische Sicherheitslücke in Docker Desktop geschlossen. Die ermöglichte bösartigen Akteuren, auf das Host-System zuzugreifen.

(dmk)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

Angreifer können Authentifizierung bei Dell Storage Manager umgehen

2025-10-27T09:29:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

In einer aktuellen Version von Dells Storage Manager haben die Entwickler drei Sicherheitslücken geschlossen.

(Bild: Artur Szczybylo/Shutterstock.com)

27.10.2025, 10:29 Uhr

Lesezeit: 1 Min.

Security

Von

Dennis Schirrmacher

Angreifer können unter anderem an einer Schwachstelle in Dell Storage Manager ansetzen, um Sicherheitsbeschränkungen zu umgehen. Eine dagegen abgesicherte Ausgabe steht zum Download bereit.

Mehrere Sicherheitsprobleme

Wie aus einer Warnmeldung hervorgeht, gilt eine Sicherheitslücke (CVE-2025-43995) als "kritisch". Daran sollen entfernte Angreifer mit Fernzugriff ohne Authentifizierung ansetzen können. Klappt eine Attacke, sind unberechtigte Zugriffe möglich. Wie ein solcher Angriff im Detail ablaufen könnten, führen die Entwickler derzeit nicht aus.

Auch bei der zweiten Schwachstelle (CVE-2025-43994 "hoch") kommt es während der Authentifizierung zu Fehlern, und Angreifer können auf einem nicht näher beschriebenen Weg auf eigentlich abgeschottete Informationen zugreifen. Die dritte Lücke (CVE-2025-46425 "mittel") beschreibt abermals Authentifizierungsprobleme.

Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Um Systeme vor den geschilderten Attacken zu schützen, müssen Admins Dell Storage Manager Version 2020 R1.22 installieren. Alle vorigen Ausgaben sind den Entwicklern zufolge verwundbar.

Videos by heise

Zuletzt haben die Entwickler Sicherheitslücken in der Backuplösung PowerProtect Data Domain geschlossen.

(des)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

Ubiquiti UniFi Access: Angreifer können sich unbefugt Zugriff verschaffen

2025-10-27T08:27:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

In Ubiquitis UniFi Door Access klafft eine kritische Sicherheitslücke, die Angreifern unbefugten Zugriff ermöglicht.

(Bild: Ubiquity, Collage heise medien)

27.10.2025, 09:27 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

In der Zutrittssteuerungslösung Ubiquiti UniFi Access warnt der Hersteller vor einer kritischen Sicherheitslücke mit Höchstwertung. Sie ermöglicht Angreifern offenbar Zugriff auf eine Verwaltungs-Programmierschnittstelle (API) – ohne Authentifizierung. Aktualisierte Software zum Schließen des Sicherheitslecks steht bereit.

Ubiquiti hat eine Sicherheitsmitteilung zu dem Problem veröffentlicht (die Seite ist möglicherweise erst aufrufbar nach vorherigem Zugang über die Ubiquiti-Community-Release-Hauptseite). Die Umschreibung der Schwachstelle bleibt etwas nebulös: "Bösartige Akteure mit Zugriff auf das Verwaltungsnetzwerk können eine Fehlkonfiguration in UniFis Door-Access-Anwendung UniFi Access missbrauchen, die eine API ohne ordentliche Authentifizierung freilegt" (CVE-2025-52665, CVSS 10, Risiko "kritisch").

Welche Auswirkungen das genau hat und wie Angriffe aussehen könnten, erklärt Ubiquiti nicht. Vermutlich können sich Angreifer mit Netzwerkzugang dadurch unbefugt physischen Zutritt zu mit Ubiquiti-UniFi-Access-gesicherten Räumlichkeiten verschaffen. Die Risikoeinstufung legt eine leichte Ausnutzbarkeit nahe.

Ubiquiti UniFi Access: Updates verfügbar

Der Hersteller gibt an, den sicherheitsrelevanten Fehler in Version 3.3.22 von UniFi Access eingeführt zu haben, betroffen ist einschließlich Version 3.4.31. Nun stehen Version 4.0.21 oder neuer zur Verfügung, die die Schwachstelle ausbessern. Admins sollten die Aktualisierung umgehend vornehmen. Ubiquiti gibt diese Version als Migrationspfad an. Sie steht offenbar seit Mitte Oktober zur Installation bereit, das Changelog weist jedoch auf keine damit geschlossene Sicherheitslücke hin – deshalb könnten sie einige womöglich ausgelassen haben.

Videos by heise

Vor nicht einmal zwei Wochen musste Ubiquiti sich um eine als hochriskant eingestufte Schwachstelle in UniFi Talk Touch kümmern. Die Debugging-Funktion der IP-Telefonie-Lösungen wurde offenbar nicht wie eigentlich vorgesehen ab Werk deaktiviert, sodass Angreifer mit Zugriff auf das UniFi-Talk-Management-Netzwerk über die APIs darauf hätten zugreifen können.

(dmk)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

Collins Aerospace: Alte Passwörter und verzögerte Reaktion ermöglichen Datenklau

2025-10-26T19:13:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Neue Details zum Cyberangriff auf Collins Aerospace: Alte Passwörter ermöglichten Datenklau, wohl Millionen Passagierdaten betroffen – mehr als nur Ransomware.

(Bild: Nuno Andre/Shutterstock.com)

26.10.2025, 20:13 Uhr

Lesezeit: 5 Min.

Security

Von

Dr. Volker Zota

Der Cyberangriff, der Ende September den Flugverkehr an mehreren europäischen Flughäfen beeinträchtigte, zeichnet sich durch eine höhere Komplexität aus als zunächst angenommen. Während der Betreiber Collins Aerospace offiziell einen Ransomware-Angriff meldete, behauptet die Hackergruppe Everest, lediglich Daten über einen unsicheren FTP-Server abgezogen zu haben.

Die ursprüngliche Meldung Ende September 2025 schien eindeutig: Ein Cyberangriff auf das Passagierabfertigungssystem "MUSE" von Collins Aerospace hatte den Betrieb an Flughäfen wie Berlin (BER) oder Brüssel beeinträchtigt. Die offizielle Erklärung lautete Ransomware, was eine Notabschaltung der Systeme zur Folge hatte. Doch eine abweichende Darstellung der Hackergruppe Everest lenkt den Fokus nun auf einen weiteren, nicht minder gravierenden Vorfall.

Everests Version: Datenklau durch jahrelang offenes Tor

Laut eigenen Angaben verschaffte sich Everest bereits am 10. September Zugang zu einem FTP-Server (ftp.arinc.com) von Collins Aerospace. Die dafür genutzten Zugangsdaten waren auffallend simpel: Der Benutzername lautete aiscustomer, das Passwort muse-insecure. Besonders brisant: Die Analyse der Sicherheitsfirma Hudson Rock führt die kompromittierten Credentials auf eine Infostealer-Infektion von einem Mitarbeiter-PC aus dem Jahr 2022 zurück. Dass dieses Einfallstor offenbar über Jahre offenstand und simple Standardpasswörter nicht geändert wurden, wirft ein schlechtes Licht auf die Sicherheitskultur des Unternehmens.

Videos by heise

Über diesen Zugang will die Gruppe mehr als 50 Gigabyte an Daten abgezogen haben. Auffällig ist der Zeitverzug: Obwohl die Daten bereits am 10. September kopiert wurden, scheint eine ernsthafte Reaktion seitens RTX/Collins Aerospace erst über eine Woche später erfolgt zu sein. Everest legt dar, dass Verhandlungen mit einem Unterhändler von Collins Aerospace begannen, aber zwischen dem 18. und 24. September abbrachen – genau in dem Zeitfenster, in dem Collins die Systeme komplett herunterfuhr.

Laut Everest gab es bereits vor dem Shutdown der Boardingsysteme auf den Flughäfen Kontakt zu einem vermeintlichen RTX-Mitarbeiter.

(Bild: Everest)

Potenziell Millionen Passagiere in Europa betroffen

Die Auswirkungen des Datenlecks werden zunehmend sichtbar. Wie die Irish Times berichtet, sind potenziell Millionen von Passagieren betroffen, die im August den Flughafen Dublin nutzten. Die Dublin Airport Authority (DAA) bestätigte, dass Boarding-Pass-Informationen aus diesem Zeitraum kompromittiert wurden. Airlines wie SAS haben bereits damit begonnen, Kunden zu informieren.

Auch deutsche Reisende und Mitarbeiter dürften betroffen sein. Zumindest sind auf Screenshots, die Everest veröffentlicht hat, auch de-Domains und deutschsprachige Kontennamen zu erkennen. In Deutschland arbeiten vorwiegend Eurowings, Lufthansa City Airlines, Condor, EasyJet und Ryanair über Flughäfen wie BER, Köln/Bonn und Münster mit dem MUSE‑System. Es bleibt unklar, wie viele Personen aus dem DACH-Raum darunter sind, es ist jedoch davon auszugehen. Mit den erbeuteten Daten sind Identitätsdiebstahl und gezielte Phishing-Angriffe denkbar.

Auf einem Screenshot, den Everest veröffentlicht hat, sieht man das vermeintlich verwendete FTP-Einfallstor; da auch Zugangsdaten mit de/eu-Domains enthalten sind, könnten auch Mitarbeiter und Reisende aus dem DACH-Raum von dem Datenklau betroffen sein.

(Bild: Everest)

Ransomware-Meldung als Teil einer unklaren Kommunikation?

Auf der anderen Seite stehen die offiziellen Meldungen, die von einem Ransomware-Angriff sprechen. So meldete der Mutterkonzern RTX in einer Pflichtmeldung an die US-Börsenaufsicht SEC einen entsprechenden Vorfall. Diese Angabe wird durch das britische National Cyber Security Centre (NCSC) gestützt. Dessen Direktor, Dr. Richard Browne, erklärte laut einem Bericht von Cyber Daily am 23. September, dass dem NCSC sowohl der Angreifer als auch der verwendete Malware-Stamm bekannt sei.

Allerdings wird der Begriff Ransomware nicht immer trennscharf verwendet. Während er oft eine Verschlüsselung durch Malware impliziert, nutzen Unternehmen ihn in ihrer öffentlichen Kommunikation auch für Vorfälle, bei denen Daten lediglich gestohlen und mit einer Löschung oder Nicht-Veröffentlichung erpresst werden. Aus dieser Perspektive könnte die offizielle Meldung von Collins/RTX technisch korrekt, aber irreführend sein. Die späte Reaktion – der FTP-Zugang wurde erst eine Woche nach dem Datenabzug geschlossen – deutet auf interne Kommunikationsprobleme oder inkompetente Handhabung des Vorfalls hin. Anstatt von zwei parallelen Angriffen auszugehen, könnte es sich also um einen einzigen, aber schlecht gemanagten Vorfall handeln, bei dem die Notabschaltung der Systeme eine späte Maßnahme war, um die Kontrolle zurückzugewinnen und das Ausmaß des Schadens zu prüfen.

Nach dem Ablaufen eines ersten Countdowns hat die Cybergang Everest nun ein neues Zeitlimit gesetzt. Rund eine Woche hat Collins Aerospace demnach jetzt noch Zeit für Verhandlungen.

(Bild: Screenshot heise medien)

Everest selbst distanziert sich ausdrücklich von jeglicher Ransomware-Aktivität. Auf ihrer Seite im Tor-Netzwerk heißt es dazu wörtlich:

"Our current position on ransomware: Our group does not use or distribute ransomware. Many are aware that we have not used ransomware for many years and have not announced any plans to do so in the future."

Diese Abgrenzung würde zum strategischen Wandel der Gruppe in den vergangenen Jahren passen, die laut Berichten inzwischen eher als spezialisierter Initial Access Broker agiert. Dennoch muss man sich fragen, inwieweit man den Aussagen der Cyberkriminellen trauen kann. Die mangelnde Transparenz von Collins Aerospace seinen Partnern gegenüber wird unterdessen durch Recherchen des IT-Sicherheitsexperten Kevin Beaumont untermauert. Er schrieb auf Mastodon, dass mindestens eine der betroffenen Fluggesellschaften nicht über den Diebstahl ihrer Daten informiert worden war.

(vza)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

WSUS-Lücke: Bereits Attacken beobachtet

2025-10-25T06:57:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Microsoft hat am Freitagmorgen Notfallupdates für eine WSUS-Sicherheitslücke veröffentlicht. Die wird nun im Internet angegriffen.

(Bild: Skorzewiak/Shutterstock.com)

25.10.2025, 08:57 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Microsoft hat am Freitagmorgen dieser Woche Notfallpatches außer der Reihe veröffentlicht, die eine kritische Sicherheitslücke in den WSUS-Diensten schließt. IT-Sicherheitsforscher haben erste Angriffe auf die Schwachstelle beobachtet. IT-Verantwortliche sollten spätestens jetzt die Aktualisierung anwenden.

Der IT-Sicherheitsforscher Kevin Beaumont hat mit der Schwachstelle "herumgespielt" und kommt zu dem Ergebnis, dass die sich sehr einfach missbrauchen lässt. Es war offenbar leicht, Schadcode über die Lücke einzuschleusen. Dazu lasse sich zudem auf bereits existierende Forschung aufsetzen, um bösartig manipulierte Update-Pakete mit Schadcode über den kompromittierten WSUS im Netzwerk zu verteilen, schreibt er auf Mastodon.

Angriffe auf Sicherheitslücke beobachtet

Die IT-Forscher von Huntress haben derweil bereits Angriffe auf die WSUS-Sicherheitslücke im Internet beobachtet. Die attackierten WSUS-Dienste haben die TCP-Ports 8530 und 8531 offen im Internet zugänglich gemacht. "Die Angreifer nutzten exponierte WSUS-Endpunkte, um speziell präparierte Anfragen (mehrere POST-Aufrufe an WSUS-Webdienste) zu senden, die eine Deserialisierung-RCE [Remote Code Execution] gegen den Update-Dienst auslösten", schreiben sie in ihrer Analyse.

Sie erörtern weiter, dass ein Base64-kodiertes Skript in PowerShell dekodiert und ausgeführt wurde. Das Skript durchsucht Server nach sensiblen Netzwerk- und Benutzerinformationen auf und überträgt die Ergebnisse in einen Remote-Webhook. Die Angreifer setzten zudem auf Proxy-Netze, um ihre Angriffe auszuführen und verschleiern, erklären die Huntress-Forscher.

Videos by heise

Die Analyse listet noch einige Indizien für Angriffe (Indicators of Compromise, IOCs) auf, anhand derer Admins prüfen können, ob auch die von ihnen betreuten Systeme bereits im Visier von Cyberkriminellen sind. Dazu zählen einige auffällige Einträge in den Weblogs und WSUS-Protokollen zur Softwareverteilung.

Am Freitagmorgen hat Microsoft die Verteilung der Notfallupdates für die WSUS-Dienste angekündigt. Die konkrete Beschreibung lautet: "Die Deserialisierung nicht vertrauenswürdiger Daten im Windows Server Update Service ermöglicht es einem nicht autorisierten Angreifer, Code über ein Netzwerk auszuführen" (CVE-2025-59287, CVSS 9.8, Risiko "kritisch"). Die Sicherheitsmeldung dazu von Microsoft wird derzeit häufiger aktualisiert Inzwischen stellt Microsoft auch Stand-alone-Updates etwa für Server bereit, die Hotpatching verwenden. Die benötigen nach Installation jedoch einen Neustart, sofern sie WSUS-Dienste anbieten.

(dmk)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

AWS-Ausfall: Amazon legt vollständigen Ursachenbericht vor

2025-10-24T11:41:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Der AWS-Ausfall Anfang der Woche hat viele Internet-Dienste lahmgelegt. Amazon hat nun einen vollständigen Bericht veröffentlicht.

156

(Bild: JHVEPhoto/Shutterstock.com)

24.10.2025, 13:41 Uhr

Lesezeit: 7 Min.

Von

Dirk Knop

Der Ausfall von Amazons AWS-Cloud-Diensten am Montag dieser Woche bereitete nicht nur IT-Experten schlaflose Nächte, sondern etwa auch Besitzern von vernetzten Matratzen. Nun haben Amazons Techniker eine vollständige Analyse der Vorfälle veröffentlicht, die erklärt, wie es zu so weitreichenden Störungen kommen konnte.

Bereits der Titel der Amazon-Analyse weist auf einen Single-Point-of-Failure: "Zusammenfassung der Amazon DynamoDB-Dienst-Störung in der Region Nord Virginia (US-EAST-1)". Der dort aufgetretene Fehler sorgte nicht nur für Ausfälle von Amazon-Diensten wie Streaming mit Prime oder Amazon Music, sondern legte etwa den Messenger Signal über Stunden lahm. Umso spannender ist, wie es dazu kommen konnte.

AWS-Ausfall: Detaillierter Fehlerverlauf

Während die Techniker bei Wiederherstellung des Normalbetriebs, den Amazon gegen kurz nach Mitternacht zum Dienstag, 21. Oktober, verkündete, bereits eine erste knappe Zusammenfassung des Vorfalls bereitgestellt haben, geht die jetzige Analyse deutlich in die Tiefe. Aus Amazons Sicht hat sich die Fehlerkaskade in drei Etappen abgespielt. Zwischen 8:48 Uhr mitteleuropäischer Sommerzeit am 20. Oktober 2025 und 11:40 Uhr lieferte Amazons DynamoDB erhöhte Fehlerraten bei API-Zugriffen in der Region Nord Virginia (US-EAST-1). Das war laut Amazon die erste Phase der Störung.

Die zweite Phase folgte zwischen 14:30 Uhr und 23:09 Uhr, während der der Network Load Balancer (NLB) erhöhte Verbindungsfehler bei einigen Load Balancern in Nord Virginia aufwies. Dies ging auf Health-Check-Fehler in der NLB-Flotte zurück, die zu diesen erhöhten Verbindungsfehlern führten. Zudem kam die dritte Phase von 11:25 Uhr bis 19:36 Uhr, in der das Starten neuer EC2-Instanzen nicht klappte. Bei einigen der EC2-Instanzen, die ab 19:37 Uhr anliefen, kam es jedoch zu Verbindungsproblemen, die ihrerseits bis 22:50 Uhr andauerten.

DynamoDB-Fehler

Die Probleme mit der DynamoDB erklärt Amazon mit "einem latenten Defekt" im automatischen DNS-Management, wodurch die Namensauflösung der Endpunkte für die DynamoDB fehlschlug. "Viele der größten AWS-Dienste stützen sich in hohem Ausmaß auf DNS, um nahtlose Skalierbarkeit, Fehlerisolierung und -behebung, geringe Latenz und Lokalität zu gewährleisten. Dienste wie DynamoDB verwalten Hunderttausende von DNS-Einträgen, um eine sehr große heterogene Flotte von Load Balancern in jeder Region zu betreiben", schreiben die Techniker. Automatisierung ist nötig, um zusätzliche Kapazitäten hinzuzufügen, sofern sie verfügbar sind, und um etwa korrekt mit Hardwarefehlern umzugehen. Zwar sei das System auf Resilienz ausgelegt, jedoch war die Ursache für die Probleme eine latente Race-Condition im DynamoDB-DNS-Management-System, die in einen leeren Eintrag für den regionalen Endpunkt "dynamodb.us-east-1.amazonaws.com" mündete. Interessierte erhalten in der Analyse dazu einen tiefen Einblick in die DNS-Management-Struktur.

Sowohl der eigene als auch der Traffic von Kunden, die auf DynamoDB aufsetzen, war davon betroffen, da diese mangels korrekter Namensauflösung nicht mehr zu der DynamoDB verbinden konnten. Um 9:38 Uhr haben die ITler den Fehler im DNS-Management gefunden. Erste temporäre Gegenmaßnahmen griffen um 10:15 Uhr und ermöglichten die weitere Reparatur, sodass gegen 11:25 Uhr alle DNS-Informationen wiederhergestellt wurden.

Videos by heise

Nicht startende EC2-Instanzen

Die EC2-Instanzen starteten ab 8:48 Uhr nicht mehr, da dieser von sogenannten DropletWorkflow Manager (DWFM) auf verschiedene Server verteilt werden. Die DWFM überwachen den Status der EC2-Instanzen und prüfen, ob etwa Shutdown- oer Reboot-Operationen korrekt verliefen in sogenannten Leases. Diese Prüfungen erfolgen alle paar Minuten. Dieser Prozess hängt jedoch von der DynamoDB ab und konnte aufgrund deren Störung nicht erfolgreich abschließen. Statusänderungen benötigen einen neuen Lease. Die DWFM versuchten, neue Leases zu erstellen, die jedoch zwischen 8:48 Uhr und 11:24 Uhr zunehmend in Time-Outs liefen. Nachdem die DynamoDB wieder erreichbar war, konnten die EC2-Instanzen jedoch mit dem Fehler "insufficient capacity errors" nicht starten. Das Backlog der ausstehenden Leases erzeugte einen Flaschenhals, sodass neue Anfragen dennoch in Time-Out-Situationen kamen. Gegen 14:28 Uhr konnten die DWFM alle Leases zu allen Droplets genannten Instanzen wieder herstellen, nachdem Neustarts der DWFMs die Warteschlangen geleert hatte. Aufgrund einer temporären Anfragendrosselung, die die IT-Mitarbeiter zur Reduktion der Gesamtlast eingerichtet hatten, kam es jedoch etwa zu Fehlermeldungen der Art "Request limit exceeded".

Die Droplets/EC2-Instanzen erhalten von einem Network Manager Konfigurationsinformationen, die ihnen die Kommunikation mit anderen Instanzen in der gleichen Virtual Private Cloud (VPC), mit VPC-Appliances und dem Internet erlaubt. Die Verteilung hatte durch die Probleme mit den DWFM ein großes Backlog erzeugt. Ab 15:21 Uhr kam es dadurch zu größeren Latenzen. Zwar starteten neue EC2-Instanzen, sie konnten mangels gültiger Netzwerkkonfigurationen jedoch nicht im Netzwerk kommunizieren. Das haben die ITler gegen 19:36 Uhr in den Griff bekommen, sodass EC2-Starts wieder "normal" verliefen.

Verbindungsfehler durch Network Load Balancer

Die Network Load Balancer (NLB) von AWS nutzen ein Überwachungssystem (Health-Check-System). Sie umfassen Lastverteilung-Endpoints und verteilen Traffic auf die Backend-Systeme, bei denen es sich typischerweise um EC2-Instanzen handelt. Das Health-Check-System überprüft regelmäßig alle NLB-Knoten und entfernt alle Systeme, die dabei als "ungesund" auffallen. Die Prüfungen schlugen bei der Störung jedoch zunehmend fehl, da die vom Health-Check-System neu gestarteten EC2-Instanzen keinen Netzwerk-Status melden konnten. Die Prüfungen schlugen in einigen Fällen fehl, obwohl NLB-Knoten und die Backend-Systeme korrekt funktionierten. Die Ergebnisse der Prüfung lieferten abwechselnd korrekten Status und Fehler zurück, wodurch NLB-Knoten und Backend-Systeme aus dem DNS entfernt wurden, um beim nächsten erfolgreichen Durchlauf wieder hinzugefügt zu werden. Das fiel in der Netzwerküberwachung gegen 15:52 Uhr auf.

Die Last im Health-Check-System stieg durch die alternierenden Prüfergebnisse an, wodurch es langsamer wurde und Verzögerungen bei Health-Checks auftraten. Dadurch wurden schließlich Load-Balance-Kapazitäten reduziert, da diese außer Dienst gestellt wurden. Dadurch kam es zu vermehrten Verbindungsfehlern von Anwendungen, wenn die übriggebliebene noch laufende Kapazität nicht zum Verarbeiten der Anwendungslast ausreichte. Um 18:36 Uhr hat das IT-Team die automatischen Prüfungen für die NLB deaktiviert, wodurch alle verfügbaren, noch in Funktion befindlichen NLB-Knoten und Backend-Systeme wieder in Dienst gestellt werden konnten. Nachdem auch die EC2-Systeme sich erholt hatten, konnten die Health-Checks gegen 23:09 Uhr wieder aktiviert werden.

Im Weiteren erörtert Amazon noch, wie von den gestörten Hauptsystemen abhängige Amazon-Services der zeitliche Störungsverlauf aussah. Das IT-Team will einige Änderungen als Folge der größeren Cloud-Störungen umsetzen. Etwa der DynamoDB "DNS Planner" und "DNS Enactor"-Automatismus wurde weltweit deaktiviert. Das soll so bleiben, bis unter anderem die aufgetretene Race-Condition gelöst wurde. Die Network Load Balancer sollen eine Geschwindigkeitskontrolle erhalten, die begrenzt, wie viele Kapazitäten ein einzelner NLB nach fehlschlagenden Health-Checks entfernen kann. Für die EC2-Systeme entwickelt Amazon zusätzliche Test-Suites, um etwa den DWFM-Workflow zu analysieren und künftige Regressionen zu vermeiden.

(dmk)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

Atlassian Jira Data Center: Angreifer können Daten abgreifen

2025-10-24T10:20:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Sicherheitsupdates lösen IT-Sicherheitsprobleme in Atlassian Confluence Data Center und Jira Data Center.

(Bild: AFANASEV IVAN/Shutterstock.com)

24.10.2025, 12:20 Uhr

Lesezeit: 1 Min.

Security

Von

Dennis Schirrmacher

Admins von Atlassian-Software sollten zeitnah Confluence Data Center und Jira Data Center auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer an zwei Sicherheitslücken ansetzen, um Systeme zu attackieren.

Jetzt Systeme schützen

Eine Schwachstelle (CVE-2025-22167 "hoch") betrifft Jira Software Data Center und Jira Software Server. An dieser Stelle können Angreifer im Zuge einer Path-Traversal-Attacke unrechtmäßig auf Daten zugreifen. In einer Warnmeldung versichern die Entwickler, dass sie die Lücke in den Versionen 9.12.28, 10.3.12 und 11.1.0 geschlossen haben.

Die Schwachstelle (CVE-2025-22166 "hoch") in Confluence Data Center dient einem Beitrag zufolge als Ansatzpunkt für DoS-Attacken. An dieser Stelle schaffen die Ausgaben 8.5.25, 9.2.7 und 10.0.2 Abhilfe.

Videos by heise

Auch wenn es noch keine Berichte zu laufenden Angriffen gibt, sollten Admins mit der Installation der Sicherheitsupdates nicht zu lange warten.

(des)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

Angreifer attackieren kritische Lücke in Adobe Commerce und Magento

2025-10-24T07:11:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Im September hat Adobe Updates für Commerce und Magento veröffentlicht, die eine kritische Lücke schließen. Die wird nun angegriffen.

(Bild: janews/Shutterstock.com)

24.10.2025, 09:11 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Für eine kritische Sicherheitslücke in Adobes Shop-Systemen Commerce und Magento stehen seit September Updates zum Schließen bereit. Die sollten Admins zügig installieren – Attacken auf die Schwachstellen laufen inzwischen.

Adobe hat die Sicherheitsmitteilung zur Schwachstelle inzwischen angepasst und ergänzt, dass das Unternehmen von Angriffen im Internet auf die Lücke weiß. Richtig konkret wird das Unternehmen bei der Schwachstellenbeschreibung nicht, sondern zieht sich abstrakt auf "Common Weakness Enumeration"-Einordnung der Probleme zurück. Demnach handelt es sich um eine unzureichende Eingabeprüfung (Improper Input Validation, CWE-20), die zur Umgehung von Sicherheitsfunktionen führt (CVE-2025-54236, CVSS 9.1, Risiko "kritisch"). Im zugehörigen CVE-Eintrag findet sich der konkretere Hinweis, dass "erfolgreiche Angreifer das missbrauchen können, um Sessions zu übernehmen". Nutzerinteraktion ist zum Missbrauch nicht nötig.

Eine technisch tiefergehende Analyse findet sich bei NullSecurityX. Es handelt sich um eine Deserialisierungs-Schwachstelle, die die IT-Forscher "SessionReaper" genannt haben. "Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, REST-, GraphQL- oder SOAP-API-Endpunkte auszunutzen, was zu einer Übernahme der Sitzung oder unter bestimmten Bedingungen (etwa dateibasierter Session-Speicher) zur Ausführung von Code aus dem Netz (RCE) führen kann", erörtern sie dort.

Cyberangriffe haben begonnen

Die IT-Analysten von Sansec haben nun seit Mittwoch aktive Angriffe auf die Sicherheitslücke "SessionReaper" beobachtet. Den Autoren des Sicherheitsberichts zufolge haben derzeit lediglich 38 Prozent der Adobe-Commerce und -Magento-Stores die Sicherheitsupdates installiert – mehr als 60 Prozent der Shops sind damit noch verwundbar. IT-Sicherheitsforscher von Assetnote haben eine Analyse des Patches vorgelegt und die Deserialisierungslücke darin vorgeführt.

Videos by heise

Erste Angriffe haben die IT-Forscher bereits beobachtet, Proof-of-Concept-Exploits sind öffentlich verfügbar. Daher rechnen die Analysten damit, dass nun massive Angriffe bevorstehen. Cyberkriminelle nehmen den Exploit-Code in ihre Werkzeugkästen auf und scannen das Netz automatisiert nach verwundbaren Instanzen. IT-Verantwortliche sollten die von ihnen betreuten Magento- und Commerce-Shops umgehend mit den bereitstehenden Aktualisierungen versorgen.

(dmk)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

Microsoft WSUS: Notfallupdate stopft kritische Codeschmuggel-Lücke

2025-10-24T06:07:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Am Freitagmorgen hat Microsoft ein Notfall-Update für eine kritische Sicherheitslücke in WSUS veröffentlicht. Ein Exploit wurde gesichtet.

(Bild: heise online / dmk)

Update 24.10.2025, 08:07 Uhr

Lesezeit: 3 Min.

Security

Von

Dirk Knop

Microsoft hat am frühen Freitagmorgen ein Update außer der Reihe für die Windows Server Update Services (WSUS) veröffentlicht. Es schließt laut Microsoft eine kritische Sicherheitslücke korrekt, durch die Angreifer Schadocde einschleusen und ausführen können. Ein Proof-of-Concept-Exploit ist den Redmondern zufolge inzwischen aufgetaucht. Admins sollten daher zügig handeln und den neuen Patch anwenden.

Darauf weist ein Eintrag in Windows-Release-Health-Message-Center von 4 Uhr mitteleuropäischer Sommerzeit am Freitagmorgen hin. "Microsoft hat eine Remote-Code-Execution-Schwachstelle (RCE) im Berichtswebdienst der Windows Server Update Services (WSUS) entdeckt", schreiben die Entwickler dort. "Ein Update-außer-der Reihe (Out-of-band, OOB) wurde am 23. Oktober veröffentlicht, um das Problem anzugehen" – durch die Zeitverschiebung ist es zum Meldungszeitpunkt an der Pazifikküste der USA noch Donnerstag. Microsoft führt weiter aus: "Es handelt sich um ein kumulatives Update. [..] Sofern Sie die Windows-Sicherheitsupdates aus dem Oktober noch nicht installiert haben, empfehlen wir, das Update-außer-der-Reihe stattdessen anzuwenden." Nach der Aktualisierung ist ein Neustart erforderlich.

Angriff ohne vorherige Authentifizierung möglich

Microsoft hat zum Oktober-Patchday bereits einen Softwareflicken zum Schließen der Lücke veröffentlicht. Die Beschreibung der Schwachstelle lautet: "Die Deserialisierung nicht vertrauenswürdiger Daten im Windows Server Update Service ermöglicht es einem nicht autorisierten Angreifer, Code über ein Netzwerk auszuführen" (CVE-2025-59287, CVSS 9.8, Risiko "kritisch").

Die Entwickler schreiben dort im Widerspruch zum Eintrag im Message Center, dass zum vollständigen Korrigieren der Schwachstelle Kunden mit Windows-Servern das Update-außer-der-Reihe anwenden sollen. Sie nennen auch einen Workaround, der unbedingt bis zur Installation der Updates angewendet werden sollte: Entweder deaktivieren Admins den WSUS, oder sie blockieren den Zugriff auf dessen Ports 8530 und 8531 auf der Host-Firewall und machen ihn so unerreichbar.

Videos by heise

Das Update steht für diverse Server zur Verfügung:

Windows Server 2025 (KB5070881)
Windows Server, version 23H2 (KB5070879)
Windows Server 2022 (KB5070884)
Windows Server 2019 (KB5070883)
Windows Server 2016 (KB5070882)
Windows Server 2012 R2 (KB5070886)
Windows Server 2012 (KB5070887)

Inzwischen hat der IT-Sicherheitsforscher Kevin Beaumont auf Mastodon mitgeteilt, dass der Missbrauch der mit den Updates geschlossenen Lücke sehr einfach ist und sich offenbar durch Anpassen bekannter Vorarbeiten bewerkstelligen lässt. Er rät daher dringend dazu, die Aktualisierung anzuwenden.

Es handelt sich bereits um das zweite ungeplante Update im Oktober. Am Dienstag hat Microsoft ein Update außer der Reihe veröffentlicht, das ein Problem mit der Windows-Wiederherstellungsumgebung korrigiert. Die ließ sich nach den Sicherheitspatches vom Oktober nicht mehr mit USB-Tastaturen und -Mäusen bedienen.

Update 25.10.2025, 07:45 Uhr

Ergänzt, dass sich die Sicherheitslücke laut IT-Forscher Beaumont offenbar leicht ausnutzen lässt.

(dmk)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

LKA Niedersachsen warnt vor Guthabenkarten-Betrugsmasche

2025-10-23T12:29:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Das LKA Niedersachsen sieht eine Häufung von Betrugsversuchen, bei denen Täter sich als Bekannte ausgeben und Guthabenkarten wollen.

(Bild: Portrait Image Asia/Shutterstock.com)

23.10.2025, 14:29 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Das Landeskriminalamt Niedersachsen warnt vor einer aktuellen Häufung einer Betrugsmasche, bei der die Kriminellen Guthabenkarten von den Opfern ergaunern wollen. Die Masche ist perfide, da die Täter mit Namen von Bekannten der potenziellen Opfer arbeiten, was die Mails glaubwürdiger erscheinen lässt.

Die initiale Mail der Betrüger nutzt eine persönliche Anrede und verlangt die Kontaktaufnahme über eine Mail-Antwort.

(Bild: polizei-praevention.de)

Die Kriminalbeamten warnen auf dem Portal Polizei Prävention davor, dass es in jüngster Zeit vermehrt zu Fragen zu dieser Masche kommt, die Betrüger sie also häufiger einsetzen. Die Täter nutzen die Namen von Bekannten der Opfer und richten sich sogar darauf lautende E-Mail-Adressen ein. Diese sind laut LKA jedoch gefälscht.

Antworten potenzielle Opfer, reagieren die Betrüger mit einer Forderung nach Guthabenkarten.

(Bild: polizei-praevention.de)

Die Opfer sollen Guthabenkarten, etwa von Apple, kaufen und den Tätern die freigerubbelten Codes von der Rückseite der Karten übermitteln. Aufgrund der persönlichen Ansprache und des echten Namen von Bekannten können Opfer leichter auf diese Masche hereinfallen.

Masche bekannt

Die Masche, dass Opfer Guthabenkarten kaufen und übermitteln sollen, ist nicht neu. Allerdings ist die Qualität der aktuellen Phishing-Welle eine andere, sie ist glaubwürdiger. Wer den Betrügern die Guthaben-Codes übermittelt, ist das Geld auf jeden Fall los.

Laut LKA Niedersachsen nutzen die Täter die Codes jedoch nicht selbst, sondern verkaufen sie für einen geringeren Betrag an ahnungslose Personen weiter. Das erschwert die Rückverfolgung. Die Kontaktdaten holen die Täter etwa von Vereinswebseiten, erklären die Strafverfolger. Anschreiben gingen dann etwa vom vermeintlichen Vereinsvorsitzenden an Vereinsmitglieder. Zwar sei auch andere Herkunft der Daten denkbar, etwa E-Mails, Adressbücher, Inhalte in sozialen Netzwerken oder Infostealer auf Rechnern. Die derzeit gehäuft gemeldeten Fälle gingen jedoch auf Daten von Vereinswebseiten zurück.

Videos by heise

Wer solche Mails erhalten hat, sollte die vermeintlichen Absender über den korrekten bekannten Kontakt darüber informieren. Auch der potenziell betroffene Freundeskreis oder Vereinsmitglieder sollten dann informiert werden. Außerdem können sie eine Anzeige bei der örtlichen Polizei oder der Online-Wache stellen. Eine Prüfung auf Schädlingsbefall des Rechners ist dann zudem sinnvoll. Betreiber etwa von Vereinswebseiten sollten sparsam mit Kontaktdaten umgehen, empfehlen die Beamten weiter.

Zuletzt hatte das LKA Niedersachsen Ende August vor einer Betrugsmasche gewarnt, bei der angebliche Anwaltsschreiben per herkömmlicher Post Gutschriften nach Krypto-Betrug versprachen. Diese Schreiben enthielten Links auf Phishing-Seiten, auf denen die Opfer um ihr Geld gebracht werden sollten.

(dmk)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

Sicherheitslücken: GitLab-Entwickler raten zu zügigem Update

2025-10-23T10:13:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Die Softwareentwicklungsplattform GitLab ist attackierbar. Angreifer können unter anderem DoS-Attacken ausführen.

(Bild: Tatiana Popova/Shutterstock.com)

23.10.2025, 12:13 Uhr

Lesezeit: 2 Min.

Security

Von

Dennis Schirrmacher

Um GitLab-Instanzen gegen mögliche Angriffe zu schützen, sollten Admins die verfügbaren Sicherheitspatches zeitnah installieren. Geschieht das nicht, können Angreifer an sieben Sicherheitslücken ansetzen.

In einer Warnmeldung versichern die Entwickler, dass sie die Schwachstellen in den Versionen 18.3.5, 18.4.3 und 18.5.1 von GitLab Community Edition (CE) und Enterprise Edition (EE) geschlossen haben. Auf GitLab.com sollen bereits die abgesicherten Ausgaben laufen. Auch wenn es bislang keine Berichte zu Attacken gibt, raten die Entwickler dringend, die Patches so schnell wie möglich zu installieren.

Verschiedene Gefahren

Drei Lücken (CVE-2025-11702, CVE-2025-10497, CVE-2025-11447) sind mit dem Bedrohungsgrad "hoch" eingestuft. Setzen authentifizierte Angreifer mit bestimmten Rechten an der ersten Schwachstelle erfolgreich an, können sie die Kontrolle über Project Runner erhalten. Dabei handelt es sich um ein Helferlein, das im Kontext von Softwareprojekten CI-Jobs ausführt. In den beiden anderen Fällen sind ohne Authentifizierung DoS-Attacken möglich, was in der Regel zu Abstürzen führt. Diese drei Lücken wurden über das Bug-Bounty-Programm HackerOne gemeldet.

In den verbleibenden Fällen können Angreifer unter anderem unrechtmäßig auf bestimmte Bereiche zugreifen und so etwa Softwareprojekte einsehen. Diese Lücken sind mit dem Bedrohungsgrad "mittel" und "niedrig" versehen.

Neben dem Lösen von Sicherheitsproblemen haben die Entwickler in den aktuellen Ausgaben eigenen Angaben zufolge noch verschiedene Bugs aus der Welt geschafft.

Videos by heise

Zuletzt gab es im September Sicherheitsupdates für GitLab, um mehrere DoS-Sicherheitslücken zu schließen.

(des)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

OpenWrt: Updates schließen Sicherheitslücken in Router-Betriebssystem

2025-10-23T06:24:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Zwei als hochriskant geltende Sicherheitslücken haben die Entwickler des quelloffenen Router-Betriebssystems OpenWrt geschlossen.

(Bild: Sashkin/Shutterstock.com)

23.10.2025, 08:24 Uhr

Lesezeit: 3 Min.

Security

Von

Dirk Knop

Im quelloffenen Linux-Betriebssystem OpenWrt haben die Entwickler zwei Sicherheitslücken geschlossen. Sie ermöglichen unter Umständen das Einschleusen und Ausführen von Schadcode sowie die Ausweitung von Rechten. Die Schwachstellen gelten als hochriskant. Wer OpenWrt einsetzt, sollte daher die aktualisierten Images installieren.

Eine der Sicherheitslücken betrifft den ubusd (Microbus-Daemon). Darüber kommunizieren in OpenWrt Clients – etwa Daemons oder Anwendungen – mit Diensten. Es handelt sich um ein System zur Interprozesskommunikation. Im Code zur Verarbeitung von Event-Registrierungen können Angreifer einen Heap-basierten Pufferüberlauf auslösen und dadurch möglicherweise Schadcode im Kontext des ubus-Daemons ausführen. Da der Code vor Zugriffsberechtigungsprüfungen ausgeführt wird, können alle ubus-Clients derartige manipulierte Nachrichten senden und die Schwachstelle missbrauchen, erörtern die OpenWrt-Entwickler in ihrer Sicherheitsmitteilung (CVE-2025-62526, CVSS 7.9, Risiko "hoch"). Nähere Erläuterungen, wie Angriffe aussehen könnten, die ubus-Clients zum Senden solcher manipulierter Nachrichten bringen, macht das Projekt nicht.

Die andere Schwachstelle ermöglicht die Ausweitung der Rechte von lokalen Usern. Die können beliebigen Kernel-Speicher durch die IOCTLs des ltq-ptm-Treibers lesen und beschreiben, der für den Datenpfad des DSL-Modems bedient, schreibt OpenWrt in der Sicherheitsmeldung (CVE-2025-62525, CVSS 7.9, Risiko "hoch"). OpenWrt laufe standardmäßig als Single-User-System, jedoch befinden sich einige Dienste in einer Sandbox. Die Schwachstelle ermöglicht Angreifern, aus einer ujail-Sandbox oder anderen Beschränkungen auszubrechen. Davon betroffen sind lediglich die Lantiq-Build-Targets mit Unterstützung für xrx200-, Danube- und Amazon-SoCs (System-on-Chip) von Lantiq, Intel und MaxLinear. Dazu müsse DSL im PTM-Modus genutzt werden, was zumeist bei VDSL-Anbindungen der Fall sei, während ADSL-Anbindungen in der Regel den ATM-Modus nutzen, erklären die Programmierer. Sie erklären zudem, dass der VRX518-DSL-Treiber nicht verwundbar sei.

Videos by heise

Aktualisierte Softwareversionen

Die Schwachstellen haben die Programmierer in Version 24.10.4 und neueren von OpenWrt ausgebessert. Snapshots-Builds seit dem 18. Oktober 2025 enthalten die Korrekturen, der ltq-ptem-Treiber ist seit 15. Oktober korrigiert. Alle älteren OpenWrt-Versionen sind verwundbar, schreibt das Projekt. OpenWrt-Versionen wie 23.05 oder 22.03 sind jedoch am End-of-Life angelangt und erhalten daher keine Sicherheitsupdates mehr.

Ende vergangenen Jahres hatte OpenWrt eine als kritisch eingeordnete Sicherheitslücke in den SysUpgrade-Server geschlossen. Angreifer hätten manipulierte Firmware-Images erstellen und damit versehene OpenWrt-Geräte kompromittieren können.

(dmk)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

Experten: Cyberangriff auf Jaguar ist teuerster in britischer Geschichte

2025-10-23T04:38:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Der Cyberangriff auf den britischen Autobauer Jaguar Land Rover war nach Einschätzung von Experten der wirtschaftlich schädlichste in der Geschichte des Landes.

(Bild: dvoevnore/Shutterstock.com)

23.10.2025, 06:38 Uhr

Lesezeit: 1 Min.

Security

Von

Wochenlang stand die Produktion von Jaguar Land Rover still. Das hatte nicht nur auf den britischen Autobauer erhebliche Auswirkungen.

Die Einbußen durch den wochenlangen erzwungenen Produktionsstopp belaufen sich demnach auf geschätzte 1,9 Milliarden Pfund (knapp 2,2 Milliarden Euro). Die Schätzung schließe den Schaden für Zulieferer und Händler mit ein, hieß es in einer Mitteilung des Cyber Monitoring Centre, einer unabhängigen Expertengruppe. Demnach waren mehr als 5000 Organisationen von dem Cyberangriff betroffen.

Regierung bürgte für Milliardenkredit

Videos by heise

Das zum indischen Tata-Konzern gehörende Unternehmen war Ende August zum Ziel eines Cyberangriffs geworden, der es zum Herunterfahren der IT-Systeme und einem weltweiten Produktionsstopp zwang. Inzwischen wurde die Produktion wieder schrittweise aufgenommen.

Die britische Regierung musste dem Autobauer mit der Garantie für einen Milliardenkredit unter die Arme greifen. Mit bis zu 1,5 Milliarden Pfund (umgerechnet 1,7 Mrd. Euro) solle die Lieferkette des Unternehmens abgesichert werden, hatte die Regierung Ende September mitgeteilt. Der Kredit kam von einer Geschäftsbank.

(dmk)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

Windows: Netzwerkprobleme durch geklonte Installationen

2025-10-22T11:24:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Seit den Update-Vorschauen aus dem August klemmt die Netzwerkanmeldung von geklonten Windows-Installationen mit identischen SIDs.

180

(Bild: heise online / dmk)

22.10.2025, 13:24 Uhr

Lesezeit: 3 Min.

Security

Von

Dirk Knop

Wer Windows mit geklonten oder duplizierten Installationen im Netzwerk betreibt, kann seit der Update-Vorschau von Ende August oder den Sicherheitsupdates vom Microsoft-September-Patchday unerwünschtes Verhalten im Netzwerk beobachten. Anmeldungen schlagen fehl, die Kommunikation zwischen Stationen und Servern will nicht mehr.

Das räumt Microsoft nun in einem Support-Artikel ein. Uns liegt auch ein Leserhinweis zu diesen Problemen vor. Die Problembeschreibung lautet konkret, dass es zu Authentifizierungsfehlern mit Kerberos und NTLM auf Geräten kommt, bei denen duplizierte Security Identifier (SIDs) vorliegen. Betroffen sind Windows 11 24H2 und 25H2 sowie Windows Server 2025, nach der Installation der Update-Vorschauen aus August oder der Patches vom September.

Vielfältige Symptome

Microsoft listet diverse mögliche Symptome auf, die bei Nutzerinnen und Nutzer in solch einer Situation auftreten können: Etwa wiederholte Aufforderungen zur Eingabe der Zugangsdaten oder Zugangsanfragen mit gültigen Zugangsdaten, die zu Fehlermeldungen wie "Anmeldeversuch fehlgeschlagen", "Login fehlgeschlagen/Ihre Zugangsdaten haben nicht funktioniert", "Es gibt eine partielle Nicht-Übereinstimmung der Machine-ID" oder schlicht "Nutzername oder Passwort ist inkorrekt" führen.

Weitere Effekte umfassen, dass der Zugriff auf Netzwerkfreigaben weder mittels IP-Adresse noch Hostnamen gelingt, Remote-Desktop-Sitzungen nicht aufgebaut werden können, "Failover Clustering" mit einer "Zugriff verweigert"-Meldung fehlschlägt oder in den Ereignisprotokollen etwa im Sicherheits-Log die Meldung "SEC_E_NO_CREDENTIALS" oder im System-Log die LSASS-Event-ID 6167 mit der Nachricht "There is a partial mismatch in the machine ID. This indicates that the ticket has either been manipulated or it belongs to a different boot session." auftauchen.

Videos by heise

Ursachen und Abhilfe

Zur Ursache erörtert Microsoft, dass die Windows-Updates seit Ende August als zusätzliche Schutzmaßnahme erzwungene Überprüfungen der SIDs einführen, die nun Authentifizierungsfehler bei SID-Dubletten auslösen. Die Design-Änderung blockiert Authentifizierung-Handshakes zwischen solchen Geräten.

Lesen Sie auch

Vorinstallieren ohne Nutzerkonto: Windows-PCs optimal zur Weitergabe vorbereiten

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

Kritische Schadcode-Lücken bedrohen TP-Link Omada Gateways

2025-10-22T11:12:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Wichtige Sicherheitspatches schließen Schwachstellen in Omada Gateways. Netzwerkadmins sollten zügig handeln.

(Bild: Alfa Photo/Shutterstock.com)

22.10.2025, 13:12 Uhr

Lesezeit: 2 Min.

Security

Von

Dennis Schirrmacher

Verschiedene Gateway-Modelle von Omada TP-Link sind verwundbar. Im schlimmsten Fall können Angreifer als Root auf Systeme zugreifen oder sogar Schadcode ausführen.

Mehrere Sicherheitsprobleme

Die Entwickler geben in den folgenden Warnmeldungen an, insgesamt vier Sicherheitslücken (CVE-2025-6541 "hoch", CVE-2025-6542 "kritisch", CVE-2025-7850 "kritisch", CVE-2025-7851 "hoch") geschlossen zu haben.

Durch das erfolgreiche Ausnutzen der ersten beiden Schwachstellen können entfernte Angreifer ohne Authentifizierung Schadcode ausführen und Systeme so vollständig kompromittieren. Wie solche Attacken im Detail ablaufen könnten, ist bislang nicht bekannt.

Im dritten Fall können Angreifer ebenfalls Schadcode ausführen, dafür muss aber bereits ein Admin authentifiziert sein. Die letzte Schwachstelle ermöglicht Angreifern den Zugriff auf eine Root-Shell. Bislang gibt es keine Hinweise, dass Angreifer die Lücken bereits ausnutzen. Das kann sich aber schnell ändern und Netzwerkadmins sollten zügig reagieren.

Videos by heise

Instanzen absichern

Diese Liste zeigt die konkret bedrohten Modelle und die jeweils abgesicherte Firmware auf. Alle vorigen Versionen sollen verwundbar sein.

ER8411 1.3.3 Build 20251013 Rel.44647
ER7412-M2 1.1.0 Build 20251015 Rel.63594
ER707-M2 1.3.1 Build 20251009 Rel.67687
ER7206 2.2.2 Build 20250724 Rel.11109
ER605 2.3.1 Build 20251015 Rel.78291
ER706W 1.2.1 Build 20250821 Rel.80909
ER706W-4G 1.2.1 Build 20250821 Rel.82492
ER7212PC 2.1.3 Build 20251016 Rel.82571
G36 1.1.4 Build 20251015 Rel.84206
G611 1.2.2 Build 20251017 Rel.45512
FR365 1.1.10 Build 20250626 Rel.81746
FR205 1.0.3 Build 20251016 Rel.61376
FR307-M2 1.2.5 Build 20251015 Rel.76743

(des)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

Warnung vor Angriffen auf Apple-, Kentico-, Microsoft- und Oracle-Lücken

2025-10-22T09:31:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Die IT-Sicherheitsbehörde CISA warnt vor laufenden Attacken auf Lücken in Produkten von Apple, Kentico, Microsoft und Oracle.

(Bild: Titima Ongkantong/Shutterstock.com)

22.10.2025, 11:31 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Die US-amerikanische IT-Sicherheitsbehörde CISA hat fünf Schwachstellen neu in den "Known-Exploited-Vulnerabilities"-Katalog aufgenommen. Demnach attackieren Angreifer derzeit Schwachstellen in Produkten von Apple, Kentico, Microsoft und Oracle.

Eine der Sicherheitslücken, die die CISA als bekannt attackiert auflistet, stammt bereits aus dem Jahr 2023 und betrifft mehrere Apple-Produkte. Details nennt der CVE-Eintrag nicht, Apple berichtet dort jedoch, dass das Problem durch verbesserte Begrenzungsprüfungen korrigiert wurde – das klingt nach einem potenziellen Pufferüberlauf, den Apple in tvOS 15.6, watchOS 8.7, iOS und iPadOS 15.6, macOS 12.5 sowie Safari 15.6 korrigiert hat (CVE-2022-48503, CVSS 8.8, Risiko "hoch").

Auch junge Schwachstellen im Visier

In der Kentico-Xperience-Umgebung hat der Hersteller im März dieses Jahres kritische Sicherheitslücken gestopft, die Angreifern die Umgehung der Authentifizierung über den Staging Sync Server ermöglichten (CVE-2025-2746, CVE-2025-2747, CVSS 9.8, Risiko "kritisch"). Auf beide Lücken haben es Angreifer inzwischen abgesehen. Ebenso auf eine Lücke im Windows-SMB, durch die angemeldete Angreifer ihre Rechte über das Netzwerk ausweiten können – und die Microsoft bereits im Juni mit einem Update geschlossen hat (CVE-2025-33073, CVSS 8.8, Risiko "hoch").

Videos by heise

Schließlich wurden nun auch Attacken auf die in der vergangenen Woche mit einem Notfall-Update geschlossene Sicherheitslücke in der Oracle E-Business-Suite beobachtet. Es handelt sich um eine CrossServer-Side-Request-Forgery (SSRF), die laut Oracle aus dem Netz ohne vorherige Authentifizierung ausnutzbar ist (CVE-2025-61884. CVSS 7.5, Risiko "hoch"). Sie ermöglicht den Zugriff auf sensible Informationen.

IT-Verantwortliche sollten die bereitstehenden Software-Aktualisierungen zügig herunterladen und installieren, um die Angriffsfläche zu minimieren. Die CISA nennt wie üblich keine Details zu den Angriffen, sodass derzeit keine Indizien für Angriffe (Indicators of Compromise, IOCs) verfügbar sind, mit denen sich diese erkennen ließen.

(dmk)

Top 10: Die beste Smartwatch im Test – Apple Watch bleibt Testsieger

Top 10: Die besten Saugroboter im Test – Roborock, Ecovacs, Eufy, Dreame & Co.

Top 10: Mähroboter ohne Begrenzungskabel im Test – jetzt besonders günstig

Schwachstelle in Rust-Library für tar-Archive entdeckt

2025-10-22T08:51:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Die Library async-tar und ihre Forks enthalten eine als TARmageddon benannte Schwachstelle. Der am weitesten verbreitete Fork tokio-tar bekommt keinen Patch.

(Bild: Andrii Yalanskyi/Shutterstock.com)

22.10.2025, 10:51 Uhr

Lesezeit: 3 Min.

Developer

Von

Rainald Menge-Sonnentag

Die Rust-Library async-tar enthält eine Schwachstelle, die es Angreifern ermöglicht, versteckte Inhalte in tar-Archiven einzuschleusen.

Das auf sichere Laufzeitumgebungen spezialisierte Unternehmen Edera hat den Fehler veröffentlicht und ihm den etwas dramatischen Namen TARmageddon gegeben. Das Unternehmen hatte einen eigenen Fork der Library gepflegt, der inzwischen archiviert ist, aber noch einen Patch erhält.

Die Library async-tar dient dazu, tar-Archive asynchron zu lesen und zu schreiben. Sie ist deutlich performanter als die synchron arbeitende tar-Library für Rust.