Autor: Abraham Söyler

Meldepflicht in der Schweiz für IT-Sicherheitsvorfälle

Sechs Monate nach Einführung der Meldepflicht für IT-Sicherheitsvorfälle bei kritischen Infrastrukturen in der Schweiz zieht das BACS (Bundesamt für Cybersicherheit) Bilanz. Insbesondere hebt es die gut funktionierende Zusammenarbeit und die größere Teilnahme am Informationsaustausch hervor. In Deutschland regelt bereits seit längerer Zeit das BSI-Gesetz in § 8b Absatz 4 eine ähnliche Meldepflicht. Die Einführung von NIS-2, und damit die deutliche Erweiterung der meldepflichtigen Stellen, bringt hoffentlich ähnlich positive Resultate.

https://www.news.admin.ch/de/newnsb/gezctyF6KYR7UkCjXBC5s

https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/Kritische-Infrastrukturen/KRITIS-FAQ/FAQ-zur-Meldepflicht/faq-zur-meldepflicht_node.html

Datenreichtum bei Sonicwall

Einige unserer IR-Fälle der letzten Wochen standen im Zusammenhang mit dem Incident bei Sonicwall, bei dem Cloud- Back-ups durch Dritte einsehbar waren. Diese enthalten für Angreifende spannende Daten, um einen initialen Angriffsvektor in einer Umgebung zu finden. Es gab durchaus bereits einige solcher Lücken bei Firewall-Herstellern –Was diesen Vorfall aber so spannend macht, ist die weitere Entwicklung nach der Veröffentlichung: Während am 17. September noch von Auswirkungen für weniger als fünf Prozent der Anwender die Rede war, stellte sich nach umfassender Analyse heraus, dass Alle betroffen waren. Wichtige Erkenntnis: Schwachstellenmanagement hört nicht nach der initialen Meldung auf.

https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330

Wenn Kriminelle Exploits veröffentlichen

Dass eine Sicherheitslücke genutzt wird, um Ransomware zu verteilen, ist leider keine Seltenheit, in diesem Fall CVE-2025-61882 bei Oracle. Wenn aber die Existenz und das Ausmaß klar werden, weil eine andere kriminelle Organisation den genutzten Einfallsvektor veröffentlicht, dann lohnt sich ein Blick hinter die Kulissen.

https://www.bleepingcomputer.com/news/security/oracle-zero-day-exploited-in-clop-data-theft-attacks-since-early-august

https://www.bleepingcomputer.com/news/security/oracle-patches-ebs-zero-day-exploited-in-clop-data-theft-attacks/#:~:text=Exploit%C2%A0leaked%20by%C2%A0Scattered%20Lapsus%24%20Hunters

SaaS-Integrationen als Schwachstelle: Discord und Zendesk

Ein aktueller Sicherheitsvorfall bei Discord, ausgelöst durch eine Kompromittierung der Zendesk-Integration, demonstriert die Risiken privilegierter API-Zugriffe. Zendesk, als Customer-Support-Plattform, operiert mit OAuth-Tokens, die oft weitreichende Rechte auf Kundendaten gewähren. Das erfolgreiche Abgreifen eines solchen Tokens oder eine unzureichend abgesicherte API-Routine können ausreichen, um Zugriff auf sensible Dokumente wie Regierungs-IDs zu erlangen. Auch wenn ein Cross-Tenant-Angriff über gemeinsam genutzte Cloud-Ressourcen (z. B. AWS) weniger wahrscheinlich ist, bleibt er technisch denkbar.

https://firecompass.com/discord-zendesk-support-system-data-breach

https://discord.com/press-releases/update-on-security-incident-involving-third-party-customer-servicelinks

CRM-Systeme als Single Point of Failure: Qantas und Allianz Life

CRM-Plattformen wie Salesforce sind zentrale Datensilos – und damit hochattraktive Ziele. Im Fall Qantas nutzte die Gruppe „Scattered Spider“ Social Engineering gegen Administratoren, kombiniert mit SIM-Swapping zur Umgehung einer Multi-Faktor-Athentisierung. Nach Erlangung von Admin-Zugängen konnten über legitime Funktionen wie den Salesforce Data Loader große Datenmengen extrahiert werden – unauffällig und effizient.

Ein anderer Vorfall bei Allianz-Life zeigt, wie schwache Datenbanksegmentierung zu massiven Datenverlusten führen können. Moderne CRM-Systeme nutzen oft „Data Lakes“ mit schwacher Access Control, die über ETL-Pipelines zusätzliche Angriffsflächen bieten.

https://www.obsidiansecurity.com/blog/shinyhunters-and-scattered-spider-a-merger-of-chaos-in-the-2025-salesforce-attacks

https://www.9news.com.au/national/qantas-data-breach-salesforce/cc149e0a-3ba5-4235-8c22-1c855e2ade01

https://databreach.com/news/21-28m-allianz-life-customer-records-stolen-in-salesforce-hack

https://eu.usatoday.com/story/tech/2025/07/28/us-customers-data-stolen-cyberattack-allianz-life/85406949007

https://www.cbsnews.com/news/allianz-life-insurance-data-breach

Fintech-Exposition: Bonify und die Identitätsdaten

Bonify, als Schufa-Tochter, verarbeitet hochsensible Identitätsdokumente. Diese werden typischerweise in Object-Storage-Systemen wie S3 oder Azure Blob gespeichert. Fehlkonfigurierte Bucket-Permissions oder kompromittierte IAM-Rollen können dann einen direkten Zugriff ermöglichen. Das Angebot des Unternehmens für Betroffene, für sechs Monate kostenlos den Identitätsschutz des Unternehmens zu nutzen, deutet auf eine längerfristige Exposition hin – möglicherweise durch undetektierte APTs.

https://www.heise.de/news/Datenschutzvorfall-Identitaetsdaten-bei-Schufa-Tochter-Bonify-abgeflossen-10689766.html

https://www.computerbild.de/artikel/News-Internet-Etliche-Kundendaten-von-Schufa-Tochter-Bonify-gestohlen-40400105.html

Warum klassische Phishing-Simulationen ausgedient haben – und was wirklich hilft

Phishing-Simulationen galten lange als Standard, um Mitarbeitende für E-Mail-Bedrohungen zu sensibilisieren. Neue Daten zeigen jedoch: Der Lerneffekt bleibt oft gering. Eine aktuelle Studie mit über 19.000 Beschäftigten fand selbst bei regelmäßigen Kampagnen kaum messbare Verhaltensänderungen – weder durch klassische Schulungen noch durch direkt eingeblendete Lernhinweise nach Fehlklicks.

Was läuft schief?

• Simulationen erreichen vor allem diejenigen, die auf die Mail hereinfallen; alle anderen bleiben passiv.
• Interaktive Schulungsmaterialien werden häufig ignoriert oder schnell vergessen.
• Die Melderate – entscheidend für eine schnelle Reaktion – wird selten konsequent gemessen und trainiert.

Was hilft stattdessen?

Phishing-Simulationen sind nicht nutzlos, aber allein nicht ausreichend. Wirkung entfalten sie erst im Zusammenspiel mit:

• technischen Schutzmaßnahmen (z. B. FIDO2, Zero Trust),
• einer offenen Meldekultur,
• zielgruppenspezifischen, praxisnahen Trainings.

Der Phishing-Drill als Paradigmenwechsel

Ein Lösungsvorschlag ist der Wechsel von der Phishing-Simulation zum Phishing-Drill. Dabei wird die Phishing-Mail bewusst als Übung gekennzeichnet und mit klaren Hinweisen zur Erkennung und Behandlung versehen. Ziel ist es, alle Mitarbeitenden einzubinden, den Meldeprozess aktiv zu üben und interne Abläufe zu verankern – vergleichbar mit einer Brandschutzübung.

Mehr Details, technische Hintergründe und Handlungsempfehlungen finden Sie in unserem vollständigen Blogbeitrag: „Klassische Phishing-Simulationen sind tot, lang lebe der Phishing-Drill“: https://research.hisolutions.com/2025/09/klassische-phishing-simulationen-sind-tot-lang-lebe-der-phishing-drill/

Google erzwingt Developer-Verifikation

Aufgrund der steigenden Anzahl an Malware auf Android-Geräten hat Google ein neues Sicherheitsfeature vorgestellt. Ab 2026 müssen Entwickelnde in vereinzelten Regionen eine Verifikation ihrer Identität durchführen, um Apps außerhalb des Play Stores anbieten zu können. Damit erweitert der Anbieter eines der größten Mobil-Ökosysteme seine bestehenden Store-Voraussetzungen auf alle Entwickelnden.

Diese Entscheidung erntet aber auch massiv Kritik. Nicht nur findet dadurch eine massive Einschränkung der Freiheiten der Nutzenden statt, auch ist der erhoffte Sicherheitseffekt fragwürdig. Denn auch im Play Store befinden sich viele schadhafte Apps, die diesen Kriterien bereits unterliegen.

https://developer.android.com/developer-verification/guides

https://android-developers.googleblog.com/2025/08/elevating-android-security.html

Behörde veröffentlicht Tool als freie Software

Die digitale Souveränität der Verwaltung ist aktuell ein heiß diskutiertes Thema. Einen weiteren Schritt in diese Richtung tat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) mit der Veröffentlichung eines Werkzeuges „zum Auffinden personenbezogener Daten in großen Datenmengen“ als freie Software (EUPL) auf OpenCode. Neben der Souveränität in der Infrastruktur ist es eben auch wichtig, dass die eingesetzten Werkzeuge die notwendigen Freiheiten ermöglichen.

https://datenschutz.hessen.de/presse/hbdi-veroeffentlicht-programmcode-auf-opencodede

https://gitlab.opencode.de/hbdi/pbd-toolkit

Unser Top-Thema im August: Erkenntnisse aus dem Stackoverflow Developer Survey 2025

Datengarantien von Microsoft in der EU

Ein Dauerthema in der Diskussion um digitale Souveränität wird aktuell wieder heiß diskutiert: die Abhängigkeit von US-Cloud-Anbietern. In einer Anhörung um die französische UGAP (Union des Groupements d’Achats Publics) sagte der Chefjustiziar von Microsoft France, Anton Carniaux, dass ein Auskunftsersuchen durch die US-Behörden bei formeller Korrektheit erfüllt werden muss. Was dies für die großen Investitionen der Hyperscaler, wie die AWS Sovereign Cloud bedeutet, bleibt abzuwarten.

https://www.heise.de/news/Nicht-souveraen-Microsoft-kann-Sicherheit-von-EU-Daten-nicht-garantieren-10494684.html

https://noyb.eu/en/project/eu-us-transfers

Daten-Archäologie im Internet

Die Internetkultur hat sich seit der Entstehung und Popularisierung stetig weiterentwickelt. In einigen Fällen trifft man aber auch heute noch auf Artefakte aus einer anderen Zeit. Auf einem ecuadorianischen FTP-Server konnte Firmware für einen US Robotics ISP Modem Pool aus den 90er Jahren wiederentdeckt werden.

Nehmen Sie es als Anlass, selbst in die Tiefen des Internets auf Entdeckungsreise zu gehen!

https://www.searchftps.net