Weitere News im März

Apple zieht Datenschutz-Tool nach Sicherheitsstreit mit der britischen Regierung zurück

Apple hat beschlossen, seine höchste Sicherheitsstufe, Advanced Data Protection (ADP), für Kunden im Vereinigten Königreich abzuschaffen, nachdem die britische Regierung Zugang zu den Nutzerdaten verlangt hat. ADP bietet eine Ende-zu-Ende-Verschlüsselung, die es nur Kontoinhabern ermöglicht, auf ihre gespeicherten Daten zuzugreifen. Die britische Regierung verlangte jedoch das Recht, diese Daten einzusehen.

Eine entsprechende Modifikation der Funktionalität hat Apple abgelehnt, weil diese die Sicherheit des Schutzmechanismus unterlaufen würde. Britische Apple-Nutzer können jedoch ADP nicht mehr aktivieren, und bestehende Nutzer werden den Zugang später verlieren. Damit fällt die Ende-zu-Ende-Verschlüsselung weg und Dritte, die Zugriff auf die Hintergrundsysteme haben, können prinzipiell die Kundendaten einsehen. Diese Entscheidung hat heftige Reaktionen von Datenschützern und Experten hervorgerufen, die diese Maßnahme als Schwächung der Online-Sicherheit und der Privatsphäre kritisieren.

Die Entscheidung von Apple, ADP in Großbritannien zu deaktivieren, zeigt die Spannungen zwischen Technologieunternehmen und Regierungen in Bezug auf Datenschutz und Sicherheit. Während die britische Regierung argumentiert, dass der Zugang zu verschlüsselten Daten für die Strafverfolgung notwendig sei, betonen Apple und Datenschützer die Bedeutung der Privatsphäre und die Risiken, die mit der Schaffung von „Hintertüren“ verbunden sind. Diese Entwicklung könnte als Präzedenzfall für andere Länder dienen und hat weitreichende Auswirkungen auf die globale Datensicherheit und den Schutz der Privatsphäre.

In Deutschland und der EU ist es aufgrund der strengen Datenschutzregelungen und der Unterstützung von Ende-zu-Ende-Verschlüsselung durch die DSGVO unwahrscheinlich, dass eine ähnliche Situation wie im Vereinigten Königreich entsteht.

https://www.bbc.com/news/articles/cgj54eq4vejo

https://www.heise.de/news/Vergleich-zu-China-Trump-kritisiert-Grossbritanniens-Backdoor-Anordnung-an-Apple-10302545.html

Cisco-Lücke in OpenH264 (CVE-2025-27091)

Eine Schwachstelle in den Decodierungsfunktionen der OpenH264-Bibliothek ermöglicht es einem nicht authentifizierten Angreifenden, aus der Ferne einen Heap-Überlauf auszulösen. Angreifende können einen bösartigen Bitstream in ein Video einbetten und das Opfer dazu bringen, das Video abzuspielen. Dies kann zu einem unerwarteten Absturz des Dekodier-Clients führen und möglicherweise beliebige Befehle auf dem System des Opfers ausführen.

Die betroffenen Versionen sind OpenH264 2.5.0 und vorherige.

OpenH264 sollte auf die neueste Version (2.6.0 oder höher) aktualisiert werden, um diese Schwachstelle zu beheben.

Firefox empfiehlt die Deaktivierung des H264-Features, wenn das Betriebssystem keinen Support für OpenH264 mitliefert.

https://github.com/cisco/openh264/security/advisories/GHSA-m99q-5j7x-7m9x

https://support.mozilla.org/de/kb/openh264-plugin-firefox

Herausforderungen und Chancen der neuen US-Regierung

Die neue US-Regierung unter Trump hat in den vergangenen Wochen viele Entscheidungen getroffen, die für Schlagzeilen gesorgt haben. Nach Anweisung des Secretary of Defense an das Cyber Command Ende Februar, alle Aktionen gegen Russland einzustellen, wurde dies Anfang März dementiert. Parallel arbeitete das Department of Goverment Efficiency („DOGE“) an der Entlassung des Red Teams der CISA bzw. an fragwürdigen Einstellungen ehemaliger Cyberkrimineller im Department of Homeland Security (DHS).

Neben den direkten Auswirkungen auf z. B. bestehende Konflikte sind auch die Verbündeten der USA unsicher über die weitere Zusammenarbeit. Auch die Sicherheits-Community ist von diesen Änderungen betroffen. Das Thema Threat Intelligence wurde in den letzten Jahren maßgeblich durch diese Institutionen geprägt, und bisher ist noch unklar, ob und in welcher Form Alternativen funktionieren.

https://therecord.media/hegseth-orders-cyber-command-stand-down-russia-planning

https://www.politico.eu/article/france-has-trouble-understanding-us-halt-on-cyber-operations-against-russia

https://www.csoonline.com/article/3839098/the-risks-of-standing-down-why-halting-us-cyber-ops-against-russia-erodes-deterrence.html

https://www.stripes.com/theaters/us/2025-03-04/cyber-hegseth-pentagon-russia-17031715.html

Sicherheitsrisiko IoT

Die Akira-Ransomware konnte trotz vorhandener Schutzsoftware im Firmennetzwerk durch den Einsatz eines nicht gepatchten IoT-Geräts (Webcam) in das Firmennetz eindringen und dort die Rechner infizieren. Die Angreifenden nutzten eine Schwachstelle in der Software der Webcam, die nicht von der Endpoint-Detection-and-Response-Software überwacht wurde, um die Ransomware zu verbreiten und Rechner im Firmennetzwerk zu infizieren.

Um derartige Angriffe zu unterbinden, ist eine möglichst feine Segmentierung der Netzwerke sowie eine Überwachung des Datenverkehrs, insbesondere im Zusammenhang mit IoT-Geräten, empfehlenswert.

https://www.heise.de/news/Akira-Ransomware-schluepft-ueber-Webcam-an-IT-Schutzloesung-vorbei-10307987.html

https://www.golem.de/news/cyberangriff-analysiert-hacker-verschluesseln-unternehmensdaten-ueber-eine-webcam-2503-194073.html

https://www.bleepingcomputer.com/news/security/ransomware-gang-encrypted-network-from-a-webcam-to-bypass-edr

Entwickler erstellt Schadcode für den Fall seiner Entlassung

Ein Entwickler installierte in Sorge um seine Entlassung Schadcode auf Systemen seines Arbeitgebers. Dieser Code detektierte die Entlassung bei einer Deaktivierung seines Active-Directory-Nutzers. Der Schadcode setzte Endlosschleifen ein, die darauf abzielten, Java-Virtual-Machines unbenutzbar zu machen und so den Zugriff auf Server zu unterbinden. Als sein Nutzerkonto deaktiviert wurde, führte der Schadcode dazu, dass tausende Anwendende weltweit keinen Zugriff mehr hatten, was zu erheblichen Schäden führte. Dies ereignete sich bereits im Jahr 2019 und führte nun zu einer Verurteilung des Entwicklers.

Regelmäßige Peer-Reviews und Quellcode-Audits, ggf. auch automatisierte Tests und Continuous Integration/Continuous Deployment (CI/CD)-Pipelines, die primär der Qualitätssicherung in der Softwareentwicklung dienen, hätten hier die Tat des Entwicklers vereiteln oder mindestens ihn einem erhöhten Entdeckungsrisiko aussetzen können.

https://www.heise.de/news/Zeitbombe-in-Code-versteckt-Entwickler-verurteilt-10311150.html

https://www.golem.de/news/kollegen-ausgesperrt-systeme-des-ex-arbeitgebers-mit-kill-switch-sabotiert-2503-194115.html

KI-Agenten anfällig für einfache gefährliche Angriffe

Es lässt sich eine signifikant zunehmende Verwendung von KI-Agenten in verschiedenen Bereichen zur Automatisierung von Aufgaben und zur Unterstützung bei Entscheidungsprozessen beobachten (i. d. R. mit Large Language Models – LLM). Die Kompetenz, diese KI-Systeme effektiv zu nutzen und zu steuern, gewinnt damit an Bedeutung.

Doch wie sicher sind diese KI-Agenten?

Eine aktuelle Studie mit dem Titel „Commercial LLM Agents Are Already Vulnerable to Simple Yet Dangerous Attacks“ beleuchtet die Sicherheits- und Datenschutzlücken von kommerziellen LLM-Agenten und zeigt, dass diese oft anfällig für einfache, aber gefährliche Angriffe sind.

Die Autoren der Studie haben eine umfassende Taxonomie der Angriffe erstellt, die Bedrohungsakteure, Ziele, Einstiegspunkte, Sichtbarkeit des Angreifenden, Angriffstechniken und die inhärenten Schwachstellen der Agenten-Pipelines kategorisiert. Die systematische Analyse zeigt, dass die Integration von LLMs in größere Systeme neue Sicherheitsherausforderungen mit sich bringt, die über die bekannten Schwachstellen isolierter LLMs hinausgehen.

Um die praktischen Auswirkungen dieser Schwachstellen zu demonstrieren, führten die Autoren eine Reihe von Angriffen auf populäre Open-Source- und kommerzielle Agenten durch, die bemerkenswert einfach umzusetzen waren und keine speziellen Kenntnisse im Bereich maschinelles Lernen erforderten. Dies unterstreicht die Dringlichkeit, Sicherheitsmaßnahmen zu verbessern und die Robustheit dieser Systeme zu erhöhen.

https://arxiv.org/html/2502.08586v1

https://www.linkedin.com/pulse/wenn-ki-agenten-zu-komplizen-werden-roger-basler-de-roca-qnrre

Wie funktioniert eigentlich Malware auf Handys?

Dass einige Staaten unliebsame Journalisten und Oppositionelle über Mobilgeräte überwachen, ist mittlerweile keine große Neuigkeit mehr. Oftmals wird die israelische Firma Cellebrite in dem Kontext genannt. Wie genau dieser Prozess abläuft, wird von Amnestys SecurityLab [1] am Beispiel NoviSpy beschrieben. Neben den technischen Details, die natürlich für die IT-Security Community spannend sind, ist insbesondere die Art der initialen Kompromittierung fundamental für die Entwicklung des eigenen Threat Models.

Werden Mobilgeräte (oder überhaupt technische Geräte) durch einen Dritten in einen anderen Raum geschafft, beispielsweise bei einer Grenzkontrolle, so kann man davon ausgehen, dass diese Geräte möglicherweise kompromittiert sind. Erst nach ausreichender Untersuchung sollten solche Geräte wiederverwendet werden. Warum diese Untersuchungen nicht durch Hersteller wie Apple angeboten werden, kann man auf techcrunch [2] nachlesen.

Bei IT-Sicherheit wird oft als Erstes an Windows-Clients, Firewalls und Ransomware gedacht. Aber unsere kleinen Taschencomputer haben einen oft unterschätzten Anteil an unserem täglichen Leben, sei es privat oder bei der Arbeit. Auch dort sollte das Thema Sicherheit bedacht werden.

[1] https://securitylab.amnesty.org/latest/2024/12/serbia-a-digital-prison-spyware-and-cellebrite-used-on-journalists-and-activists/

[2] https://techcrunch.com/2024/12/20/why-apple-sends-spyware-victims-to-this-nonprofit-security-l

NSO vs. Whatsapp

Ein anderer großer Player im mobilen Spyware-Markt ist NSO Group Technologies mit ihrer Software Pegasus. Nachdem die Firma 2019 von WhatsApp bzw. Meta verklagt wurde, gab das Gericht nun der Klage statt [1]. Auch wenn die Schadenssumme noch ausgehandelt wird, wird dies in der Branche als ein großer Schlag gegen Firmen wie NSO gedeutet. Einerseits stellte NSO ihre Malware unzureichend zur Verfügung. Andererseits wurde NSO auf Basis des Computer Fraud and Abuse Act (CFAA) und des California Comprehensive Computer Data Access and Fraud Act (CDAFA) verurteilt. Die Übertragbarkeit auf andere Rechtssysteme ist daher nicht zwingend gegeben.

Das Thema ist und bleibt spannend – insbesondere im Kontext der US-Sanktionen gegen die NSO Group [2].

[1] https://storage.courtlistener.com/recap/gov.uscourts.cand.350613/gov.uscourts.cand.350613.494.0.pdf

[2] https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list

Windows-BitLocker-Probleme

BitLocker ist die Microsoft-Implementierung der Verschlüsselung des gesamten Datenträgers. Es bietet mehrere Betriebsmodi, wobei die Secure-Boot-basierte Verschlüsselung am weitesten verbreitet ist. Diese ist bei neueren Windows-11-Installationen standardmäßig unter „Geräteverschlüsselung“ aktiviert. In diesem Modus ist die Festplatte im Ruhezustand verschlüsselt, wird aber automatisch entschlüsselt, wenn ein legitimes Windows gestartet wird. Der Benutzer muss sich lediglich mit seinem normalen Benutzerkonto anmelden. Die wenig bekannte Schwachstelle Bitpixie (CVE-2023-21563), die Microsoft seit 2022 nicht mehr gepatcht hat, kann ausgenutzt werden, um die BitLocker-Verschlüsselung auf einem brandneuen Windows-11-System mit Secure Boot durch einen Downgrade-Angriff zu umgehen.

https://media.ccc.de/v/38c3-windows-bitlocker-screwed-without-a-screwdriver

Lageberichte und Erkenntnisse aus dem Jahr 2024

Wie jedes Jahr beglücken uns das BSI und ähnliche Organisationen mit ihren Lageberichten und Erkenntnissen. Welche Defekte in diesem Jahr besonders häufig in Software festgestellt wurden, kann man der Top 25 CWE (Common Weakness Enumeration) von MITRE entnehmen.

Ein beunruhigender Trend ist die ungewöhnlich häufige Nutzung von 0-day-Schwachstellen durch Ransomware-Gruppen. So kommt nun zu der mittlerweile hoffentlich bekannten Empfehlung, Patches zeitnah einzuspielen, die Frage hinzu, wie man mit 0-days umgeht. Eine Lösung: Security by Design. Auch wenn es sich dabei meist um sicheres Architekturdesign im Software Engineering handelt, kann und sollte dieses Prinzip beim Thema Netzwerkarchitektur ebenfalls bedacht werden. Im Rahmen einer Risikoanalyse werden für jede Komponente die Gefahr einer Kompromittierung und weiteren Bewegung möglicher Angreifer erörtert und entsprechende Maßnahmen getroffen. Oftmals hört man in diesem Kontext Begriffe wie „Zero Trust“ und „Defense-in-Depth“. Die so erreichte Resilienz schützt auch gegen bisher unbekannte Lücken in vielfältig ausgenutzten Komponenten wie z. B. VPN-Zugängen.

Gerade in Deutschland konnten wir auch erleben, welche Auswirkungen diese Angriffe auf die Supply-Chain und Dienstleister haben. Der Vorfall bei der Südwestfalen-IT ist zwar nicht der erste seiner Art, mit circa 1,7 Millionen Betroffenen aber einer der Größeren. Mit der zunehmenden Digitalisierung wächst auch die Abhängigkeit und damit die mögliche Auswirkung solcher Angriffe. Nicht umsonst möchte der Gesetzgeber mit NIS-2 gegensteuern.

Es bleibt abzuwarten, ob sich diese Trends im Jahr 2025 fortsetzen werden, oder ob uns etwas ganz Neues überraschen wird. Klar ist, dass IT-Sicherheit auch im nächsten Jahr ein wichtiges Thema bleibt.

https://cwe.mitre.org/top25/archive/2024/2024_cwe_top25.html https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.pdf?__blob=publicationFile&v=5

Kritische Abhängigkeiten in unserem (digitalen) Alltag

Wenn wir von IT-Sicherheit reden, dann meinen wir oft die Welt der Bits und Bytes. Aber auch der Layer 1 – der Physical Layer – ist Teil dieser Welt. So wurden zunächst im November zwei Unterseekabel in der Ostsee beschädigt und Anfang Dezember ein weiteres zwischen Finnland und Schweden. Ursächlich war wohl ein Schaden durch Bauarbeiten, wobei einige Beobachter auch von Sabotage ausgehen. Die Untersuchungen dauern aktuell noch an.

Kritische Abhängigkeiten kennen wir viele, aber einige sind uns auch unbekannt. Mein Kollege Manuel Atug (@HonkHase) skizziert in einem Interview die Vulnerabilität dieser für die Kommunikation kritischen Unterseekabel.
Kennen Sie Ihre Abhängigkeiten und deren Vulnerabilität?

https://www.hs.fi/suomi/art-2000010875402.html

iOS 18: Sicherheitsfeatures und Mythen über Mobilgeräte

Apple hat mit iOS 18.1 ein spannendes Sicherheitsfeature hinzugefügt: inactivity reboot. Diese Funktion erzwingt einen Neustart des Geräts, wenn es länger als drei Tage lang nicht benutzt wurde. Jiska hat dazu einen wunderbaren Artikel geschrieben, der auch die technischen Details beleuchtet. Einige Nachrichten behaupteten, dass sich iPhones gegenseitig zu Neustarts veranlassen konnten. Dabei handelte es sich offensichtlich um Falschinformationen. Nichtsdestotrotz sorgt das neue Feature dafür, dass Dritte, die ein inaktives Gerät in die Hände bekommen, für einen Zugriff darauf die Sicherungen vom BFU (before first unlock) state überwinden müssen, was einen erheblichen Schutz gegen physische Angriffe bietet.

Nutzende von GrapheneOS haben das Feature bereits seit 2021.

Die Sicherheitsmaßnahmen auf Mobilgeräten entwickeln sich kontinuierlich weiter und bieten so weiterhin eine hohe Sicherheit, wenn es um technische Geräte geht.

https://naehrdine.blogspot.com/2024/11/reverse-engineering-ios-18-inactivity.html https://grapheneos.social/@GrapheneOS/113450097776800819

Technische Geräte und Remote-Zugriffe durch Hersteller

Wenn es um die Sicherheit technischer Geräte geht, dann stehen IoT und Home Devices eher unten auf der Liste. Immer wieder hört man von Geräten, die bereits ab Werk mit Schadsoftware ausgestattet sind. In Südkorea wurden sechs Personen verhaftet, die Satellitenreceiver hergestellt und mit DDoS-Funktionalität ausgestattet hatten. Teilweise wurde diese bereits bei der Herstellung eingebaut, bei wesentlich mehr Geräten jedoch im Nachhinein per Firmwareupgrade hinzugefügt.

Ein anderer Fernzugriff geschah mit Solar-Anlagen der Marke „Deye“ in den USA. Dort wurden, anscheinend aufgrund eines Lizenzproblems, alle Inverter dieser Art deaktiviert. Diese Geräte werden ausschließlich vom Unternehmen Sol-Ark in den USA vertrieben. Mit der Deaktivierung sollten Geräte stillgelegt werden, die an diesem Vertriebskanal vorbei in Umlauf geraten waren.

Solche Fernzugriffe werden häufig für Updates genutzt, sind jedoch auch ein mögliches Einfallstor für Angreifende – entweder für einen Einbruch in das verbundene Netzwerk oder als Ausgangsbasis für Botnetze. Daher empfiehlt sich ein genauer Blick auf die Funktionalität und besondere Vorsicht beim Einbauen in die lokale Umgebung.

https://www.golem.de/news/ceo-verhaftet-satellitenreceiver-jahrelang-mit-ddos-funktion-ausgeliefert-2412-191354.html

https://solarboi.com/2024/11/17/sol-ark-oem-disables-all-deye-inverters-in-the-us/