Meldepflicht in der Schweiz für IT-Sicherheitsvorfälle
Sechs Monate nach Einführung der Meldepflicht für IT-Sicherheitsvorfälle bei kritischen Infrastrukturen in der Schweiz zieht das BACS (Bundesamt für Cybersicherheit) Bilanz. Insbesondere hebt es die gut funktionierende Zusammenarbeit und die größere Teilnahme am Informationsaustausch hervor. In Deutschland regelt bereits seit längerer Zeit das BSI-Gesetz in § 8b Absatz 4 eine ähnliche Meldepflicht. Die Einführung von NIS-2, und damit die deutliche Erweiterung der meldepflichtigen Stellen, bringt hoffentlich ähnlich positive Resultate.
https://www.news.admin.ch/de/newnsb/gezctyF6KYR7UkCjXBC5s
Datenreichtum bei Sonicwall
Einige unserer IR-Fälle der letzten Wochen standen im Zusammenhang mit dem Incident bei Sonicwall, bei dem Cloud- Back-ups durch Dritte einsehbar waren. Diese enthalten für Angreifende spannende Daten, um einen initialen Angriffsvektor in einer Umgebung zu finden. Es gab durchaus bereits einige solcher Lücken bei Firewall-Herstellern –Was diesen Vorfall aber so spannend macht, ist die weitere Entwicklung nach der Veröffentlichung: Während am 17. September noch von Auswirkungen für weniger als fünf Prozent der Anwender die Rede war, stellte sich nach umfassender Analyse heraus, dass Alle betroffen waren. Wichtige Erkenntnis: Schwachstellenmanagement hört nicht nach der initialen Meldung auf.
Wenn Kriminelle Exploits veröffentlichen
Dass eine Sicherheitslücke genutzt wird, um Ransomware zu verteilen, ist leider keine Seltenheit, in diesem Fall CVE-2025-61882 bei Oracle. Wenn aber die Existenz und das Ausmaß klar werden, weil eine andere kriminelle Organisation den genutzten Einfallsvektor veröffentlicht, dann lohnt sich ein Blick hinter die Kulissen.
SaaS-Integrationen als Schwachstelle: Discord und Zendesk
Ein aktueller Sicherheitsvorfall bei Discord, ausgelöst durch eine Kompromittierung der Zendesk-Integration, demonstriert die Risiken privilegierter API-Zugriffe. Zendesk, als Customer-Support-Plattform, operiert mit OAuth-Tokens, die oft weitreichende Rechte auf Kundendaten gewähren. Das erfolgreiche Abgreifen eines solchen Tokens oder eine unzureichend abgesicherte API-Routine können ausreichen, um Zugriff auf sensible Dokumente wie Regierungs-IDs zu erlangen. Auch wenn ein Cross-Tenant-Angriff über gemeinsam genutzte Cloud-Ressourcen (z. B. AWS) weniger wahrscheinlich ist, bleibt er technisch denkbar.
https://firecompass.com/discord-zendesk-support-system-data-breach
CRM-Systeme als Single Point of Failure: Qantas und Allianz Life
CRM-Plattformen wie Salesforce sind zentrale Datensilos – und damit hochattraktive Ziele. Im Fall Qantas nutzte die Gruppe „Scattered Spider“ Social Engineering gegen Administratoren, kombiniert mit SIM-Swapping zur Umgehung einer Multi-Faktor-Athentisierung. Nach Erlangung von Admin-Zugängen konnten über legitime Funktionen wie den Salesforce Data Loader große Datenmengen extrahiert werden – unauffällig und effizient.
Ein anderer Vorfall bei Allianz-Life zeigt, wie schwache Datenbanksegmentierung zu massiven Datenverlusten führen können. Moderne CRM-Systeme nutzen oft „Data Lakes“ mit schwacher Access Control, die über ETL-Pipelines zusätzliche Angriffsflächen bieten.
https://www.9news.com.au/national/qantas-data-breach-salesforce/cc149e0a-3ba5-4235-8c22-1c855e2ade01
https://databreach.com/news/21-28m-allianz-life-customer-records-stolen-in-salesforce-hack
https://www.cbsnews.com/news/allianz-life-insurance-data-breach
Fintech-Exposition: Bonify und die Identitätsdaten
Bonify, als Schufa-Tochter, verarbeitet hochsensible Identitätsdokumente. Diese werden typischerweise in Object-Storage-Systemen wie S3 oder Azure Blob gespeichert. Fehlkonfigurierte Bucket-Permissions oder kompromittierte IAM-Rollen können dann einen direkten Zugriff ermöglichen. Das Angebot des Unternehmens für Betroffene, für sechs Monate kostenlos den Identitätsschutz des Unternehmens zu nutzen, deutet auf eine längerfristige Exposition hin – möglicherweise durch undetektierte APTs.
