Weitere News im März

Apple zieht Datenschutz-Tool nach Sicherheitsstreit mit der britischen Regierung zurück

Apple hat beschlossen, seine höchste Sicherheitsstufe, Advanced Data Protection (ADP), für Kunden im Vereinigten Königreich abzuschaffen, nachdem die britische Regierung Zugang zu den Nutzerdaten verlangt hat. ADP bietet eine Ende-zu-Ende-Verschlüsselung, die es nur Kontoinhabern ermöglicht, auf ihre gespeicherten Daten zuzugreifen. Die britische Regierung verlangte jedoch das Recht, diese Daten einzusehen.

Eine entsprechende Modifikation der Funktionalität hat Apple abgelehnt, weil diese die Sicherheit des Schutzmechanismus unterlaufen würde. Britische Apple-Nutzer können jedoch ADP nicht mehr aktivieren, und bestehende Nutzer werden den Zugang später verlieren. Damit fällt die Ende-zu-Ende-Verschlüsselung weg und Dritte, die Zugriff auf die Hintergrundsysteme haben, können prinzipiell die Kundendaten einsehen. Diese Entscheidung hat heftige Reaktionen von Datenschützern und Experten hervorgerufen, die diese Maßnahme als Schwächung der Online-Sicherheit und der Privatsphäre kritisieren.

Die Entscheidung von Apple, ADP in Großbritannien zu deaktivieren, zeigt die Spannungen zwischen Technologieunternehmen und Regierungen in Bezug auf Datenschutz und Sicherheit. Während die britische Regierung argumentiert, dass der Zugang zu verschlüsselten Daten für die Strafverfolgung notwendig sei, betonen Apple und Datenschützer die Bedeutung der Privatsphäre und die Risiken, die mit der Schaffung von „Hintertüren“ verbunden sind. Diese Entwicklung könnte als Präzedenzfall für andere Länder dienen und hat weitreichende Auswirkungen auf die globale Datensicherheit und den Schutz der Privatsphäre.

In Deutschland und der EU ist es aufgrund der strengen Datenschutzregelungen und der Unterstützung von Ende-zu-Ende-Verschlüsselung durch die DSGVO unwahrscheinlich, dass eine ähnliche Situation wie im Vereinigten Königreich entsteht.

https://www.bbc.com/news/articles/cgj54eq4vejo

https://www.heise.de/news/Vergleich-zu-China-Trump-kritisiert-Grossbritanniens-Backdoor-Anordnung-an-Apple-10302545.html

Cisco-Lücke in OpenH264 (CVE-2025-27091)

Eine Schwachstelle in den Decodierungsfunktionen der OpenH264-Bibliothek ermöglicht es einem nicht authentifizierten Angreifenden, aus der Ferne einen Heap-Überlauf auszulösen. Angreifende können einen bösartigen Bitstream in ein Video einbetten und das Opfer dazu bringen, das Video abzuspielen. Dies kann zu einem unerwarteten Absturz des Dekodier-Clients führen und möglicherweise beliebige Befehle auf dem System des Opfers ausführen.

Die betroffenen Versionen sind OpenH264 2.5.0 und vorherige.

OpenH264 sollte auf die neueste Version (2.6.0 oder höher) aktualisiert werden, um diese Schwachstelle zu beheben.

Firefox empfiehlt die Deaktivierung des H264-Features, wenn das Betriebssystem keinen Support für OpenH264 mitliefert.

https://github.com/cisco/openh264/security/advisories/GHSA-m99q-5j7x-7m9x

https://support.mozilla.org/de/kb/openh264-plugin-firefox

Herausforderungen und Chancen der neuen US-Regierung

Die neue US-Regierung unter Trump hat in den vergangenen Wochen viele Entscheidungen getroffen, die für Schlagzeilen gesorgt haben. Nach Anweisung des Secretary of Defense an das Cyber Command Ende Februar, alle Aktionen gegen Russland einzustellen, wurde dies Anfang März dementiert. Parallel arbeitete das Department of Goverment Efficiency („DOGE“) an der Entlassung des Red Teams der CISA bzw. an fragwürdigen Einstellungen ehemaliger Cyberkrimineller im Department of Homeland Security (DHS).

Neben den direkten Auswirkungen auf z. B. bestehende Konflikte sind auch die Verbündeten der USA unsicher über die weitere Zusammenarbeit. Auch die Sicherheits-Community ist von diesen Änderungen betroffen. Das Thema Threat Intelligence wurde in den letzten Jahren maßgeblich durch diese Institutionen geprägt, und bisher ist noch unklar, ob und in welcher Form Alternativen funktionieren.

https://therecord.media/hegseth-orders-cyber-command-stand-down-russia-planning

https://www.politico.eu/article/france-has-trouble-understanding-us-halt-on-cyber-operations-against-russia

https://www.csoonline.com/article/3839098/the-risks-of-standing-down-why-halting-us-cyber-ops-against-russia-erodes-deterrence.html

https://www.stripes.com/theaters/us/2025-03-04/cyber-hegseth-pentagon-russia-17031715.html

Sicherheitsrisiko IoT

Die Akira-Ransomware konnte trotz vorhandener Schutzsoftware im Firmennetzwerk durch den Einsatz eines nicht gepatchten IoT-Geräts (Webcam) in das Firmennetz eindringen und dort die Rechner infizieren. Die Angreifenden nutzten eine Schwachstelle in der Software der Webcam, die nicht von der Endpoint-Detection-and-Response-Software überwacht wurde, um die Ransomware zu verbreiten und Rechner im Firmennetzwerk zu infizieren.

Um derartige Angriffe zu unterbinden, ist eine möglichst feine Segmentierung der Netzwerke sowie eine Überwachung des Datenverkehrs, insbesondere im Zusammenhang mit IoT-Geräten, empfehlenswert.

https://www.heise.de/news/Akira-Ransomware-schluepft-ueber-Webcam-an-IT-Schutzloesung-vorbei-10307987.html

https://www.golem.de/news/cyberangriff-analysiert-hacker-verschluesseln-unternehmensdaten-ueber-eine-webcam-2503-194073.html

https://www.bleepingcomputer.com/news/security/ransomware-gang-encrypted-network-from-a-webcam-to-bypass-edr

Entwickler erstellt Schadcode für den Fall seiner Entlassung

Ein Entwickler installierte in Sorge um seine Entlassung Schadcode auf Systemen seines Arbeitgebers. Dieser Code detektierte die Entlassung bei einer Deaktivierung seines Active-Directory-Nutzers. Der Schadcode setzte Endlosschleifen ein, die darauf abzielten, Java-Virtual-Machines unbenutzbar zu machen und so den Zugriff auf Server zu unterbinden. Als sein Nutzerkonto deaktiviert wurde, führte der Schadcode dazu, dass tausende Anwendende weltweit keinen Zugriff mehr hatten, was zu erheblichen Schäden führte. Dies ereignete sich bereits im Jahr 2019 und führte nun zu einer Verurteilung des Entwicklers.

Regelmäßige Peer-Reviews und Quellcode-Audits, ggf. auch automatisierte Tests und Continuous Integration/Continuous Deployment (CI/CD)-Pipelines, die primär der Qualitätssicherung in der Softwareentwicklung dienen, hätten hier die Tat des Entwicklers vereiteln oder mindestens ihn einem erhöhten Entdeckungsrisiko aussetzen können.

https://www.heise.de/news/Zeitbombe-in-Code-versteckt-Entwickler-verurteilt-10311150.html

https://www.golem.de/news/kollegen-ausgesperrt-systeme-des-ex-arbeitgebers-mit-kill-switch-sabotiert-2503-194115.html

Weitere News im Februar

Die Grand Challenges der Informatik 2025

Die GI (Gesellschaft für Informatik e. V.) hat die „Grand Challenges der Informatik 2025“ vorgestellt. Es sollen die größten Herausforderungen sein, denen sich die Informatik in den kommenden Jahren stellen muss. Die GI hat fünf Herausforderungen identifiziert:

Internet of Everything – Die Vernetzung aller Elemente des täglichen Lebens erfordert effiziente und belastbare Lösungen für Industrie 4.0, Smart Cities und Telemedizin.

Dezentrale KI – KI-Modelle sollen direkt dort trainiert und ausgeführt werden, wo die Daten anfallen, was neue Forschungsfragen zu Handhabung und Sicherheit aufwirft.

Digitale Selbstbestimmung – Der Schutz der Selbstbestimmung der Nutzerinnen und Nutzer und die Förderung ihrer kritischen Kompetenz sind angesichts der Datenflut und der systematischen Verwertung von zentraler Bedeutung.

Vollautomatisierte Softwareentwicklung – Die Automatisierung in der Softwareentwicklung muss zuverlässig und ethisch reflektiert erfolgen.

World Wide Metaverse – Das Metaverse soll als erweiterter digitaler Lebensraum offen, frei und sicher gestaltet werden.

https://gi.de/grand-challenges

Datenlecks

In den letzten Wochen gab es weltweit eine Reihe bedeutender Cybersicherheitsvorfälle, die verschiedene Branchen und Unternehmen betrafen. Hier sind einige Ereignisse, die es in die Presse geschafft haben, zusammengefasst.

Potenzielles Datenleck bei OpenAI

OpenAI untersucht derzeit ein mögliches Datenleck, bei dem die Daten von 20 Millionen Nutzern gestohlen worden sein sollen. Cyberkriminelle behaupten, Zugangsdaten von ChatGPT-Nutzern im Darknet zum Verkauf anzubieten. Obwohl der Wahrheitsgehalt dieser Behauptungen noch unklar ist, nimmt OpenAI die Situation ernst und führt umfangreiche Untersuchungen durch.

https://www.heise.de/news/Cyberangriff-OpenAI-untersucht-potenzielles-Leck-von-20-Millionen-Nutzerdaten-10275538.html

https://www.golem.de/news/cybersicherheit-openai-benutzerdatenbank-angeblich-gehackt-2502-193173.html

Datenleck bei Thermomix

Ein Datenleck im Rezeptforum des Thermomix-Herstellers Vorwerk hat dazu geführt, dass die Daten von mehr als einer Million deutscher Nutzer im Darknet gelandet sind. Betroffen sind E-Mail-Adressen, Telefonnummern und andere persönliche Informationen. Vorwerk hat die Sicherheitslücke inzwischen geschlossen und die betroffenen Nutzer informiert.

https://www.heise.de/news/Datenleck-bei-Thermomix-Daten-von-1-Million-deutscher-Nutzer-im-Darknet-10273696.html

https://www.golem.de/news/thermomix-forum-hacker-erbeuten-millionenfach-nutzerdaten-von-vorwerk-2502-193119.html

Sicherheitslücken bei Legaltech-Unternehmen

Sicherheitsexperten haben triviale Datenlecks bei zwei Legaltech-Unternehmen aufgedeckt. Die Unternehmen, die automatisierte Rechtsdienstleistungen anbieten, hatten ungeschützte Daten im Netz, die leicht zugänglich waren. Nach Hinweisen des Chaos Computer Clubs (CCC) haben die betroffenen Firmen die Sicherheitslücken schnell geschlossen.

https://www.heise.de/news/Sicherheitsexperten-enthuellen-triviale-Datenlecks-bei-Legaltechs-10272273.html

https://www.ccc.de/de/updates/2025/ccc-deckt-datenlecks-bei-legal-tech-plattformen-auf

Datenleck in Reha-Kliniken

Ein massives Datenleck bei den ZAR-Reha-Kliniken in Deutschland hat potenziell Hunderttausende von Patienten betroffen. Hochsensible medizinische Daten waren ungeschützt zugänglich. Die betroffenen Kliniken haben die Sicherheitslücke inzwischen geschlossen und arbeiten an weiteren Sicherheitsmaßnahmen.

https://www.heise.de/news/Datenleck-in-Reha-Kliniken-Hunderttausende-Patienten-potenziell-betroffen-10262109.html

Ransomware-Angriff auf Tata Technologies

Der indische Technologiekonzern Tata Technologies wurde Opfer eines Ransomware-Angriffs, der zum vorübergehenden Ausfall einiger IT-Dienste führte. Das Unternehmen hat die betroffenen Dienste inzwischen wiederhergestellt und führt eine detaillierte Untersuchung durch, um die Ursache des Angriffs zu ermitteln und künftige Risiken zu minimieren.

https://therecord.media/tata-ransomware-attack-report-incident

Stealer-Apps im App Store

Zum ersten Mal wurden im Apple App Store Stealer-Apps entdeckt, die Passwörter aus Screenshots stehlen. Die unter dem Namen SparkCat bekannte Malware zielt auf Android- und iOS-Benutzer ab und durchsucht deren Foto-Bibliotheken nach sensiblen Informationen wie Krypto-Wallet-Seed-Phrasen. Apple hat die betroffenen Apps mittlerweile entfernt.

https://www.heise.de/news/Klaut-Passwoerter-aus-Screenshots-Stealer-Apps-erstmals-im-App-Store-gesichtet-10273411.html

Fazit

Diese Vorfälle unterstreichen die Bedeutung robuster Cybersecurity-Maßnahmen und die Notwendigkeit, ständig wachsam zu bleiben, um Datenlecks und Cyberangriffe zu verhindern. Auch wenn der folgende Artikel schon ein paar Jahr alt ist, bringt dieser die Problematik rund um Datenlecks auf den Punkt.

https://www.ccc.de/en/updates/2022/web-patrouille-ccc

Wo Unternehmen aufgrund eines Fehlers Daten abhandenkommen, will die britische Sicherheitsbehörde auf Basis des “Investigatory Powers Act“ einen dauerhaften Datenzugriff auf Benutzerdaten erhalten.

https://www.heise.de/news/Britische-Regierung-erzwingt-Zugriff-auf-Apples-verschluesselte-Cloud-Daten-10273896.html

Menschen, die gerne mal wissen wollen, ob ihr Passwort bei einem der vielen Datenlecks betroffen ist, können Seiten wie https://haveibeenpwned.com/Passwords verwenden. Doch Vorsicht mit der Eingabe von eigenen Passwörtern auf fremden Webseiten. Im Zweifel hat man sein Passwort gerade aus der Hand gegeben.

Seitenkanalangriff des Monats

Forscher vom Georgia Institute of Technology und von der Ruhr University Bochum haben zwei neue Seitenkanal-Schwachstellen in modernen Apple-Prozessoren entdeckt, die als „FLOP“ und „SLAP“ bezeichnet werden. Beide Seitenkanalangriffe zielen auf Funktionen ab, die die Verarbeitung beschleunigen sollen, indem sie zukünftige Anweisungen erraten, anstatt auf sie zu warten, und so Spuren im Speicher hinterlassen, um sensible Informationen zu extrahieren.

FLOP (False Load Output Prediction) ist ein Problem mit Apples neuesten M3-, M4- und A17-Prozessoren, die nicht nur die Speicheradressen vorhersagen, auf die sie zugreifen werden, sondern sogar die tatsächlich im Speicher gespeicherten Werte. https://predictors.fail/files/FLOP.pdf

SLAP (Speculative Load Address Prediction) betrifft Apples M2- und A15-Prozessoren und viele der späteren Modelle. Anstelle von FLOP, bei dem es darum geht, zu erraten, welchen Wert eine Speicherladung zurückgeben wird, geht es bei SLAP um die Vorhersage der Speicheradresse, auf die als Nächstes zugegriffen wird, genannt Load Address Prediction (LAP). https://predictors.fail/files/SLAP.pdf

Die FLOP- und SLAP-Angriffe sind von Bedeutung, da sie moderne und weitverbreitete Hardware betreffen und aus der Ferne ausgeführt werden können, ohne dass physischer Zugang erforderlich ist.

Hat ein Angreifer ein Opfer auf eine bösartige Seite locken können, kann der Angreifer mit diesen Schwachstellen Daten aus Webbrowsern stehlen.

Die Forscher haben auf ihrer Webseite Videos veröffentlicht, mit denen der Angriff demonstriert wird: https://predictors.fail/

https://www.bleepingcomputer.com/news/security/new-apple-cpu-side-channel-attack-steals-data-from-browsers

Elektronische Patientenakte (ePA): nicht so sicher

Die elektronische Patientenakte (ePA) soll Anfang 2025 in Deutschland flächendeckend eingeführt werden. Damit erhalten alle gesetzlich Versicherten automatisch eine ePA, sofern sie nicht widersprechen.

Martin Tschirsich und Bianca Kastl zeigten auf dem 38C3 jedoch auf, dass u. a. durch Fehlverhalten von Versicherern und/oder Ärzten bzw. deren Mitarbeitenden unberechtigte Dritte vollen Zugriff auf die Patientenakten einzelner Versicherter erhalten können. Dazu gehörten der Weiterverkauf von Konnektoren/Lesegeräten mit noch gestecktem elektronischen Heilberufsausweis (eHBA) oder Institutionsausweis (SMC-B) sowie der Versand eines eHBA durch Dienstleister oder einer eGK durch Versicherungen an eine fremde Adresse.

Solange solche Angriffsvektoren nicht ausreichend adressiert werden, werden die Stimmen, die vor einer Einführung warnen, laut bleiben.

https://aerzteblatt.de/nachrichten/156770/Aerzte-sorgen-sich-um-Datenschutz-bei-elektronischer-Patientenakte

https://bvkj.de/politik-und-presse/pressemitteilung/schwachstellen-in-der-epa-bvkj-fordert-datensicherheit-fuer-kinder-und-jugendliche/

https://heise.de/news/Kurz-vor-Start-Immer-mehr-Experten-warnen-vor-elektronischer-Patientenakte-10235091.html

NSO vs. Whatsapp

Ein anderer großer Player im mobilen Spyware-Markt ist NSO Group Technologies mit ihrer Software Pegasus. Nachdem die Firma 2019 von WhatsApp bzw. Meta verklagt wurde, gab das Gericht nun der Klage statt [1]. Auch wenn die Schadenssumme noch ausgehandelt wird, wird dies in der Branche als ein großer Schlag gegen Firmen wie NSO gedeutet. Einerseits stellte NSO ihre Malware unzureichend zur Verfügung. Andererseits wurde NSO auf Basis des Computer Fraud and Abuse Act (CFAA) und des California Comprehensive Computer Data Access and Fraud Act (CDAFA) verurteilt. Die Übertragbarkeit auf andere Rechtssysteme ist daher nicht zwingend gegeben.

Das Thema ist und bleibt spannend – insbesondere im Kontext der US-Sanktionen gegen die NSO Group [2].

[1] https://storage.courtlistener.com/recap/gov.uscourts.cand.350613/gov.uscourts.cand.350613.494.0.pdf

[2] https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list

Windows-BitLocker-Probleme

BitLocker ist die Microsoft-Implementierung der Verschlüsselung des gesamten Datenträgers. Es bietet mehrere Betriebsmodi, wobei die Secure-Boot-basierte Verschlüsselung am weitesten verbreitet ist. Diese ist bei neueren Windows-11-Installationen standardmäßig unter „Geräteverschlüsselung“ aktiviert. In diesem Modus ist die Festplatte im Ruhezustand verschlüsselt, wird aber automatisch entschlüsselt, wenn ein legitimes Windows gestartet wird. Der Benutzer muss sich lediglich mit seinem normalen Benutzerkonto anmelden. Die wenig bekannte Schwachstelle Bitpixie (CVE-2023-21563), die Microsoft seit 2022 nicht mehr gepatcht hat, kann ausgenutzt werden, um die BitLocker-Verschlüsselung auf einem brandneuen Windows-11-System mit Secure Boot durch einen Downgrade-Angriff zu umgehen.

https://media.ccc.de/v/38c3-windows-bitlocker-screwed-without-a-screwdriver

Kritische Abhängigkeiten in unserem (digitalen) Alltag

Wenn wir von IT-Sicherheit reden, dann meinen wir oft die Welt der Bits und Bytes. Aber auch der Layer 1 – der Physical Layer – ist Teil dieser Welt. So wurden zunächst im November zwei Unterseekabel in der Ostsee beschädigt und Anfang Dezember ein weiteres zwischen Finnland und Schweden. Ursächlich war wohl ein Schaden durch Bauarbeiten, wobei einige Beobachter auch von Sabotage ausgehen. Die Untersuchungen dauern aktuell noch an.

Kritische Abhängigkeiten kennen wir viele, aber einige sind uns auch unbekannt. Mein Kollege Manuel Atug (@HonkHase) skizziert in einem Interview die Vulnerabilität dieser für die Kommunikation kritischen Unterseekabel.
Kennen Sie Ihre Abhängigkeiten und deren Vulnerabilität?

https://www.hs.fi/suomi/art-2000010875402.html

iOS 18: Sicherheitsfeatures und Mythen über Mobilgeräte

Apple hat mit iOS 18.1 ein spannendes Sicherheitsfeature hinzugefügt: inactivity reboot. Diese Funktion erzwingt einen Neustart des Geräts, wenn es länger als drei Tage lang nicht benutzt wurde. Jiska hat dazu einen wunderbaren Artikel geschrieben, der auch die technischen Details beleuchtet. Einige Nachrichten behaupteten, dass sich iPhones gegenseitig zu Neustarts veranlassen konnten. Dabei handelte es sich offensichtlich um Falschinformationen. Nichtsdestotrotz sorgt das neue Feature dafür, dass Dritte, die ein inaktives Gerät in die Hände bekommen, für einen Zugriff darauf die Sicherungen vom BFU (before first unlock) state überwinden müssen, was einen erheblichen Schutz gegen physische Angriffe bietet.

Nutzende von GrapheneOS haben das Feature bereits seit 2021.

Die Sicherheitsmaßnahmen auf Mobilgeräten entwickeln sich kontinuierlich weiter und bieten so weiterhin eine hohe Sicherheit, wenn es um technische Geräte geht.

https://naehrdine.blogspot.com/2024/11/reverse-engineering-ios-18-inactivity.html https://grapheneos.social/@GrapheneOS/113450097776800819

Technische Geräte und Remote-Zugriffe durch Hersteller

Wenn es um die Sicherheit technischer Geräte geht, dann stehen IoT und Home Devices eher unten auf der Liste. Immer wieder hört man von Geräten, die bereits ab Werk mit Schadsoftware ausgestattet sind. In Südkorea wurden sechs Personen verhaftet, die Satellitenreceiver hergestellt und mit DDoS-Funktionalität ausgestattet hatten. Teilweise wurde diese bereits bei der Herstellung eingebaut, bei wesentlich mehr Geräten jedoch im Nachhinein per Firmwareupgrade hinzugefügt.

Ein anderer Fernzugriff geschah mit Solar-Anlagen der Marke „Deye“ in den USA. Dort wurden, anscheinend aufgrund eines Lizenzproblems, alle Inverter dieser Art deaktiviert. Diese Geräte werden ausschließlich vom Unternehmen Sol-Ark in den USA vertrieben. Mit der Deaktivierung sollten Geräte stillgelegt werden, die an diesem Vertriebskanal vorbei in Umlauf geraten waren.

Solche Fernzugriffe werden häufig für Updates genutzt, sind jedoch auch ein mögliches Einfallstor für Angreifende – entweder für einen Einbruch in das verbundene Netzwerk oder als Ausgangsbasis für Botnetze. Daher empfiehlt sich ein genauer Blick auf die Funktionalität und besondere Vorsicht beim Einbauen in die lokale Umgebung.

https://www.golem.de/news/ceo-verhaftet-satellitenreceiver-jahrelang-mit-ddos-funktion-ausgeliefert-2412-191354.html

https://solarboi.com/2024/11/17/sol-ark-oem-disables-all-deye-inverters-in-the-us/

DDoS-Attacke auf das Internet Archive: Ein Schlag gegen die digitale Bewahrung

Anfang Oktober wurde das „Internet Archive“, ein Web-Angebot, das sich zum Ziel gesetzt hat, die flüchtigen Inhalte des World Wide Web durch Archivierung dauerhaft recherchierbar zu machen, durch mehrere Angreifergruppen kompromittiert und war Ziel einer DDoS-Aktion. Neben dem Datenabfluss der dort gespeicherten Zugangsdaten ist jedoch auch eine fehlende Verfügbarkeit sowohl beim Abruf als auch bei der Archivierung der Seiten problematisch. Alle Links in diesem Blog könnten irgendwann nicht mehr funktionieren, wenn die ursprünglichen Zielseiten offline genommen werden oder die Linkstruktur sich ändert (Stichwort: link rot). Mit dem Internet Archive besteht die Möglichkeit, Inhalte permanent zu speichern und das Wissen zu erhalten: ein wichtiger Grundbestandteil unserer Kultur, den wir schützen sollten.

https://infosec.exchange/@briankrebs/113279512399397674