• Zwei neue Windows-Zero-Days erschüttern das Vertrauen in Microsofts Update-Kultur

    VonJ. Benjamin Espagné

    Am 15. Oktober 2025 veröffentlichte Microsoft Patches für 183 Sicherheitslücken — darunter zwei aktiv ausgenutzte Zero-Days, die grundlegende Fragen über den Zustand von Windows-Altcode aufwerfen.

    Die beiden Zero-Days

    CVE-2025-24990: Ein Treiber aus dem Jahr 2000

    Die erste Schwachstelle betrifft den Agere Modem Driver — eine Komponente, die auf jeder Windows-Version seit Windows 2000 installiert ist. Der Treiber ist auch auf Systemen vorhanden, die keine Modem-Hardware besitzen. Er wurde nie entfernt, weil er als inaktiv galt.

    Die Schwachstelle ermöglicht eine Privilegienerweiterung bis zu Systemrechten. Ein Angreifer, der bereits Code auf einem System ausführen kann (etwa nach einem erfolgreichen Phishing-Angriff), kann über den verwundbaren Treiber vollständige Kontrolle über das System erlangen.

    Microsoft kündigte an, den Treiber in zukünftigen Windows-Versionen vollständig zu entfernen — ein seltenes Eingeständnis, dass über zwei Jahrzehnte alte Komponenten ein Sicherheitsrisiko darstellen, das nicht durch Patches allein gelöst werden kann.

    CVE-2025-59230: Remote Access Connection Manager

    Die zweite Schwachstelle betrifft den Remote Access Connection Manager (RasMan) — einen Windows-Dienst, der VPN- und Einwahlverbindungen verwaltet. Auch hier ermöglicht die Lücke eine Privilegienerweiterung. RasMan läuft auf vielen Systemen als Dienst, auch wenn keine VPN-Funktionalität aktiv genutzt wird.

    Das eigentliche Problem: Legacy-Code als Angriffsfläche

    Beide Zero-Days illustrieren ein systemisches Problem: Windows trägt Altlasten aus über 25 Jahren Entwicklungsgeschichte. Treiber, Dienste und Subsysteme, die für Technologien aus den frühen 2000er Jahren entwickelt wurden, laufen auf modernen Systemen weiter — oft unbemerkt, ungepflegt und mit Privilegien, die sie längst nicht mehr haben sollten.

    Für Angreifer sind solche Legacy-Komponenten attraktiv:

    • Geringe Aufmerksamkeit: Veraltete Treiber werden selten im Security-Review berücksichtigt
    • Hohe Privilegien: Kernel-Mode-Treiber operieren mit maximalen Systemrechten
    • Universelle Präsenz: Wenn ein Treiber auf jeder Windows-Installation seit 2000 vorhanden ist, ist die Angriffsfläche global

    Das SANS Institute warnt seit Jahren, dass Privilege Escalation über Legacy-Treiber ein zunehmend genutzter Angriffsvektor ist. Die Technik ist unter der MITRE ATT&CK-ID T1068 (Exploitation for Privilege Escalation) dokumentiert.

    Was der Patch Tuesday enthielt

    Die 183 gepatchten Schwachstellen im Oktober-Update umfassten neben den beiden Zero-Days auch kritische Lücken in:

    • Microsoft Exchange Server
    • Windows Hyper-V
    • Microsoft Office
    • .NET Framework

    Die schiere Menge an Patches pro Monat — Microsoft hat 2025 durchschnittlich über 100 Schwachstellen pro Patch Tuesday behoben — verdeutlicht die Herausforderung für IT-Teams: Jeder Patch muss bewertet, getestet und deployed werden. Ohne automatisiertes Patch-Management und Priorisierung nach CISA-KEV und CVSS ist das nicht leistbar.

    Handlungsempfehlungen

    • Sofort patchen: Die beiden Zero-Days werden aktiv ausgenutzt. Priorisieren Sie CVE-2025-24990 und CVE-2025-59230 vor allen anderen Oktober-Patches
    • Legacy-Treiber auditieren: Identifizieren Sie veraltete Treiber und Dienste auf Ihren Systemen. Tools wie DriverView oder Autoruns von Sysinternals helfen bei der Bestandsaufnahme
    • Attack Surface Reduction (ASR) Rules: Microsoft Defender ASR-Regeln können die Ausnutzung verwundbarer Treiber erschweren
    • Privilege Escalation im SIEM überwachen: Alerts auf ungewöhnliche Prozesshierarchien einrichten — wenn ein Standardprozess plötzlich mit SYSTEM-Rechten läuft, ist das ein Alarm
    • Patch-Management automatisieren: Bei 100+ Patches pro Monat ist manuelles Patch-Management nicht skalierbar

  • Cybercrime auf Industrieniveau – Europol et al. zerschlagen kriminellen Dienstleister

    VonJ. Benjamin Espagné

    Europol, Eurojust und das FBI haben im Oktober 2025 ein weitreichendes Cybercrime-as-a-Service (CaaS)-Netzwerk zerschlagen. Sieben Personen wurden festgenommen, Server in Deutschland, den Niederlanden und der Tschechischen Republik beschlagnahmt. Das Netzwerk stellte anderen Kriminellen technische Infrastruktur, Schadsoftware, Hosting-Services und Zahlungssysteme zur Verfügung — ein vollständiges Ökosystem für Cyberkriminalität auf industriellem Niveau.

    Cybercrime als Dienstleistung: Das Geschäftsmodell

    Das zerschlagene Netzwerk operierte nach einem Modell, das in der Cybercrime-Szene zunehmend Standard ist: Arbeitsteilung und Spezialisierung. Statt alle Schritte eines Angriffs selbst durchzuführen, nutzen Cyberkriminelle spezialisierte Dienstleister:

    • Initial Access Broker verkaufen gestohlene Zugangsdaten und kompromittierte Systeme
    • Bulletproof Hosting Provider betreiben Server, die Takedown-Anfragen ignorieren
    • Malware-Entwickler erstellen und aktualisieren Schadsoftware als SaaS-Produkt
    • Money Mules und Krypto-Mixer waschen die Erlöse

    Laut Europol war das zerschlagene Netzwerk ein zentraler Bestandteil mehrerer größerer Ransomware-Kampagnen und diente als technischer Backbone für Betrugs- und Erpressungsoperationen. Die Ermittlungen deckten auf, dass Angriffe auf Banken, Unternehmen und öffentliche Einrichtungen europaweit koordiniert wurden.

    Die Industrialisierung der Cyberkriminalität

    Der Fall reiht sich ein in eine Serie internationaler Takedowns: Emotet (2021), Hive Ransomware (2023), LockBit (2024, Operation Cronos) und Qakbot (2023). Jede Zerschlagung zeigt dasselbe Muster: Professionelle Organisationsstrukturen, arbeitsteilige Prozesse und globale Infrastruktur.

    Der Europol Internet Organised Crime Threat Assessment (IOCTA) 2024 bestätigt den Trend: CaaS-Plattformen sind der primäre Wachstumstreiber für Cyberkriminalität. Sie ermöglichen es technisch wenig versierten Akteuren, ausgefeilte Angriffe durchzuführen — die Eintrittsbarriere sinkt, das Angriffsvolumen steigt.

    Für Unternehmen bedeutet das eine unbequeme Wahrheit: Die Gegenseite professionalisiert sich schneller als viele Verteidigungsarchitekturen. Wer seine eigene Sicherheit nicht ebenfalls industrialisiert — mit automatisierter Erkennung, 24/7-Monitoring und dokumentierten Prozessen — spielt gegen Gegner, die nach Wirtschaftlichkeitsprinzipien operieren.

    Was Takedowns bewirken — und was nicht

    Takedowns wie dieser sind wichtig: Sie unterbrechen kriminelle Infrastruktur, schaffen Ermittlungserkenntnisse und demonstrieren die Handlungsfähigkeit der Strafverfolgung. Aber sie lösen das Problem nicht grundsätzlich. Innerhalb von Wochen oder Monaten entstehen neue Plattformen, die die Lücke füllen.

    Die Konsequenz für die Verteidigung: Nicht auf die Zerschlagung einzelner Netzwerke hoffen, sondern die eigene Resilienz aufbauen.

    Handlungsempfehlungen

    • Threat Intelligence nutzen: IOCs aus Europol-Berichten und CISA-Advisories in die eigene Erkennung einbinden
    • SIEM mit aktuellen Detektionsregeln: Die Angriffsmuster der zerschlagenen CaaS-Plattformen sind bekannt — Detektionsregeln für die typischen TTPs (Phishing, Credential Theft, Lateral Movement, Ransomware Deployment) sollten aktuell sein
    • Incident-Response-Bereitschaft: Wenn CaaS-Kunden nach einem Takedown unter Druck geraten, können hastig durchgeführte Angriffe zunehmen. Die Wochen nach einem großen Takedown sind oft besonders aktiv
    • Lieferkettensicherheit: Prüfen, ob eigene Dienstleister oder Zulieferer von dem zerschlagenen Netzwerk betroffen waren

  • Shellshock-Angriffe sind wieder auf dem Vormarsch – was Sie jetzt wissen müssen

    VonJ. Benjamin Espagné

    Die Shellshock-Schwachstelle (CVE-2014-6271) wurde 2014 in der Unix-Shell Bash entdeckt und galt damals als eine der gefährlichsten Sicherheitslücken überhaupt. Über zehn Jahre später zeigen aktuelle Analysen: Shellshock-Angriffe nehmen wieder zu — und treffen Organisationen, die alte Systemkomponenten nicht aus ihrem Bestand entfernt haben.

    Was Shellshock ermöglicht

    Shellshock erlaubt Angreifern, beliebigen Code über manipulierte Umgebungsvariablen einzuschleusen, wenn Bash-Skripte in CGI-Anwendungen, SSH-ForceCommand-Konfigurationen oder DHCP-Client-Hooks verwendet werden. Ein einzelner präparierter HTTP-Request an einen verwundbaren Webserver genügt, um Befehle mit den Rechten des Webservers auszuführen.

    Die Schwachstelle betrifft alle Bash-Versionen bis 4.3. Patches wurden 2014 veröffentlicht. Dass die Schwachstelle ein Jahrzehnt später noch aktiv ausgenutzt wird, liegt an einem systematischen Problem: Legacy-Systeme, die niemand patcht, weil niemand weiß, dass sie noch laufen.

    Warum Shellshock 2025 noch relevant ist

    Laut einer Analyse von Barracuda aus dem Jahr 2024 gehört Shellshock weiterhin zu den am häufigsten gescannten und ausgenutzten Schwachstellen im Web. Die Gründe:

    • Embedded Systems und IoT: Router, NAS-Systeme, Netzwerk-Appliances und industrielle Steuerungen laufen oft mit veralteten Bash-Versionen — und werden selten oder nie gepatcht
    • Legacy-Webanwendungen: CGI-basierte Webseiten, die seit Jahren unverändert laufen, verwenden Bash zur Verarbeitung von Requests. Diese Anwendungen sind oft vergessen, aber weiterhin erreichbar
    • Automatisierte Exploit-Kits: Shellshock ist in praktisch jedem automatisierten Scanning-Tool enthalten. Die Exploitation ist trivial — ein einziger HTTP-Header reicht

    Die aktuelle Angriffswelle richtet sich laut Branchenberichten verstärkt gegen Banken und Finanzdienstleister — Branchen, die erfahrungsgemäß komplexe IT-Landschaften mit zahlreichen Legacy-Komponenten betreiben.

    Shellshock in der Lieferkette

    Ein unterschätzter Aspekt: Shellshock betrifft nicht nur eigene Systeme, sondern auch Produkte und Appliances von Drittanbietern. Netzwerk-Appliances, Firewalls, Load Balancer und IoT-Geräte können verwundbare Bash-Versionen enthalten, ohne dass der Betreiber davon weiß. Die Software Bill of Materials (SBOM) dieser Geräte — sofern überhaupt verfügbar — wird selten auf Legacy-Schwachstellen wie Shellshock geprüft.

    Erkennung und Prüfung

    Die Prüfung auf Shellshock-Verwundbarkeit ist einfach:

    env x='() { :;}; echo vulnerable' bash -c "echo test"

    Gibt das System „vulnerable” aus, ist Bash verwundbar. Für Netzwerk-Scans können Tools wie Nmap mit dem Shellshock-Skript oder spezialisierte Vulnerability-Scanner eingesetzt werden.

    Handlungsempfehlungen

    • Legacy-Inventar erstellen: Identifizieren Sie alle Systeme mit Bash — einschließlich Appliances, Embedded Systems und vergessener Webserver
    • Bash patchen oder ersetzen: Wo möglich, auf aktuelle Bash-Versionen aktualisieren. Wo nicht möglich, CGI-Anwendungen deaktivieren oder durch moderne Alternativen ersetzen
    • Netzwerksegmentierung: Legacy-Systeme, die nicht gepatcht werden können, in isolierte Netzwerksegmente verschieben
    • SIEM-Monitoring: HTTP-Logs auf typische Shellshock-Exploit-Muster überwachen (manipulierte User-Agent-Header, Cookie-Header mit Bash-Funktionsdefinitionen)
    • Lieferanten befragen: Appliance-Hersteller nach dem Bash-Versionsstand ihrer Produkte fragen — insbesondere bei Geräten, die vor 2015 ausgeliefert wurden

  • Kritische SAP-Lücke (CVE-2025-42957) aktiv ausgenutzt – wie sollten Sie reagieren?

    VonJ. Benjamin Espagné

    SecurityBridge Threat Research Labs entdeckte am 27. Juni 2025 eine kritische Code-Injection-Schwachstelle in SAP S/4HANA. CVE-2025-42957 erhielt einen CVSS-Score von 9,9 — nahezu die Höchstwertung. SAP veröffentlichte am 11. August 2025 einen Patch (Security Note 3627998). Die Ausnutzung der Schwachstelle wurde bereits bestätigt.

    Technische Details: Code Injection über RFC

    Betroffen sind On-Premise und Private Cloud Installationen von S/4HANA (S4CORE-Versionen 102–108). Ein Angreifer mit einem niedrig privilegierten Benutzerkonto kann beliebigen ABAP-Code per RFC (Remote Function Call) einschleusen. Damit umgeht er alle Autorisierungskontrollen und kann eine tarnfähige Hintertür installieren.

    Die Konsequenzen einer erfolgreichen Ausnutzung:

    • Vollständige Systemkompromittierung: Erstellung von Superuser-Konten (SAP_ALL)
    • Datendiebstahl: Zugriff auf Finanz-, HR-, Logistik- und Kundendaten
    • Passwort-Hash-Extraktion: Grundlage für weitere Angriffe
    • Geschäftsprozess-Manipulation: Änderung von Bestellungen, Rechnungen oder Zahlungsströmen
    • Ransomware-Deployment: Über die erlangte Kontrolle

    Warum SAP-Systeme besonders kritisch sind

    SAP S/4HANA ist das operative Rückgrat vieler Großunternehmen und Mittelständler. Finanzwesen, Einkauf, Produktion, Lagerhaltung und Personalwesen laufen über eine zentrale Plattform. Ein kompromittiertes SAP-System betrifft daher nicht eine Anwendung — es betrifft den gesamten Geschäftsbetrieb.

    Erschwerend kommt hinzu:

    • ABAP-Code ist offen lesbar: Die Programmiersprache ABAP erlaubt es Angreifern, veröffentlichte Patches zu reverse-engineeren und Exploits zu entwickeln
    • SAP-Patching ist komplex: SAP-Updates erfordern ausgiebige Tests, bevor sie in Produktionsumgebungen eingespielt werden. Viele Organisationen patchen SAP daher verzögert — teils um Wochen oder Monate
    • Legacy-Konfigurationen: Viele SAP-Installationen haben historisch gewachsene RFC-Konfigurationen, die weit mehr Funktionen exponieren als notwendig

    Erste Anzeichen aktiver Ausnutzung

    SecurityBridge hat die Ausnutzbarkeit der Schwachstelle verifiziert. Pathlock und das niederländische NCSC beobachteten bereits Anzeichen für Ausnutzungsversuche. Die offene Codebasis von ABAP erleichtert das Reverse Engineering der Patches — was bedeutet, dass Angreifer aus dem Patch selbst ableiten können, wo die Schwachstelle liegt.

    Sofortmaßnahmen

    1. Patch einspielen

    Security Note 3627998 auf alle S/4HANA-Installationen anwenden — On-Premise und Private Cloud. Keine Ausnahmen, keine Verzögerung.

    2. Angriffsfläche reduzieren

    • SAP UCON (Unified Connectivity) aktivieren, um nur genehmigte RFC-Funktionen zu erlauben. UCON ist die wirksamste Maßnahme, um die exponierte Angriffsfläche über RFC zu minimieren
    • Zugriff auf sensible RFCs (z.B. S_DMIS) auf das absolute Minimum beschränken

    3. Monitoring verstärken

    • Protokollanalysen auf ungewöhnliche RFC-Aufrufe, neue Admin-Nutzer und ABAP-Code-Deployments ausrichten
    • SIEM-Regeln für SAP-spezifische Anomalien konfigurieren: neue Reports, SAP_ALL-Zuweisungen, ungewöhnliche Transaktionen
    • Dateiänderungen im SAP-Transportverzeichnis über File Integrity Monitoring überwachen

    4. Resilienz schaffen

    • SAP-Umgebungen segmentieren: Produktiv-, Test- und Entwicklungssysteme strikt trennen
    • Regelmäßige, überprüfbare Backups der SAP-Datenbanken sicherstellen
    • Incident-Response-Prozesse und Eskalationspfade für SAP-spezifische Vorfälle definieren

    Einordnung

    CVE-2025-42957 ist nicht die erste kritische SAP-Schwachstelle — und wird nicht die letzte sein. SAP-Systeme sind Hochwertziele: Sie enthalten die sensibelsten Geschäftsdaten eines Unternehmens und bieten bei Kompromittierung maximalen Hebel. Die Kombination aus offener ABAP-Codebasis, komplexen Patch-Zyklen und historisch gewachsenen Berechtigungsstrukturen macht SAP-Umgebungen zu einer permanenten Herausforderung für Security-Teams.

  • Threat Analysis: ToolShell Zero-Day in Microsoft SharePoint – und wie unser SIEM schützt

    VonJ. Benjamin Espagné

    Ende Juli 2024 wurde eine Zero-Day-Schwachstelle in Microsoft SharePoint bekannt, die unter dem Namen ToolShell diskutiert wird. Angreifer nutzten gezielt die URL-Struktur /_layouts/15/ToolPane.aspx, um über Deserialisierungsfehler Schadcode einzuschleusen. Im Anschluss platzierten sie eine Webshell als .aspx-Datei im SharePoint-Verzeichnis — für dauerhaften Zugriff.

    Die Angriffskette im Detail

    Der Angriff folgt einem typischen Muster für Exploits auf Collaboration-Plattformen:

    1. Initialer Exploit über den fehlerhaften ToolPane-Endpoint — ein Deserialisierungsfehler ermöglicht Remote Code Execution
    2. Webshell-Deployment: Eine .aspx-Datei wird ins SharePoint-Webroot geschrieben (_layouts/15/ oder App_Data)
    3. Post-Exploitation: Aus dem IIS-Worker-Prozess w3wp.exe heraus werden PowerShell-Befehle ausgeführt — häufig Base64-kodiert, um Detection zu umgehen
    4. Persistenz: Zugriff auf Kryptografie-Keys ermöglicht dauerhafte Backdoors, die auch nach einem Neustart bestehen bleiben

    Patch-Status und Workarounds

    Microsoft hat Sicherheitsupdates für SharePoint 2019 und die Subscription Edition bereitgestellt. Für ältere Versionen wie SharePoint 2016 gelten gesonderte Workarounds. CISA und mehrere Security-Firmen haben Indicators of Compromise (IOCs) und TTP-Beschreibungen veröffentlicht.

    Die gute Nachricht: Auch ohne sofortigen Patch lassen sich die Aktivitäten des Angriffs über Logs und Verhaltensanalyse erkennen.

    Erkennungsmuster für SIEM-Monitoring

    ToolShell hinterlässt charakteristische Spuren, die ein SIEM mit den richtigen Regeln zuverlässig erkennt:

    • IIS-Logs: Zugriffe auf /_layouts/15/ToolPane.aspx mit verdächtigen Parametern — insbesondere POST-Requests mit ungewöhnlichen Payloads
    • File Integrity Monitoring (FIM): Neue .aspx-Dateien in SharePoint-Verzeichnissen, die nicht durch reguläre Deployments erstellt wurden
    • Prozessüberwachung: w3wp.exe startet powershell.exe oder cmd.exe — ein klarer Indikator für Post-Exploitation. Besonders verdächtig: Parameter wie -EncodedCommand oder FromBase64String
    • Netzwerk-Anomalien: Ausgehende Verbindungen des IIS-Workers zu externen IPs unmittelbar nach Dateiänderungen im Webroot

    SharePoint als Angriffsfläche

    SharePoint ist in vielen Unternehmen ein zentraler Knotenpunkt: Dokumentenmanagement, Intranet, Workflow-Automatisierung und Collaboration laufen über die Plattform. Ein kompromittierter SharePoint-Server bietet Angreifern Zugang zu internen Dokumenten, Zugangsdaten und lateraler Bewegung ins Unternehmensnetz.

    Die Kombination aus hoher Verbreitung, komplexer Konfiguration und häufig verzögertem Patching macht SharePoint zu einem wiederkehrenden Ziel. Frühere kritische Schwachstellen wie CVE-2023-29357 (Privilege Escalation) und CVE-2024-38094 (RCE) zeigen das Muster.

    Handlungsempfehlungen

    • Sofort patchen: SharePoint auf die aktuelle gepatchte Version aktualisieren — insbesondere SharePoint 2019 und Subscription Edition
    • IIS-Logs in SIEM einbinden: Zugriffe auf bekannte Exploit-Pfade überwachen und alarmieren
    • File Integrity Monitoring aktivieren: Neue Dateien in SharePoint-Verzeichnissen müssen erkannt und bewertet werden
    • Prozessbaseline erstellen: Definieren, welche Prozesse w3wp.exe normalerweise startet — alles andere ist ein Alarm
    • Compromise Assessment: Wenn SharePoint vor dem Patch aus dem Internet erreichbar war, auf Webshells und Backdoors prüfen

  • RMM-Systeme im Visier –N-able N-central Schwachstellen

    VonJ. Benjamin Espagné

    Am 15. August 2025 meldete die Shadowserver Foundation, dass über 1.000 N-able N-central Instanzen weltweit noch ungepatcht gegen die Sicherheitslücken CVE-2025-8875 und CVE-2025-8876 waren. Beide Schwachstellen wurden in den Known Exploited Vulnerabilities (KEV)-Katalog der CISA aufgenommen — eine Bestätigung, dass sie bereits aktiv ausgenutzt werden.

    Warum RMM-Systeme hochwertige Ziele sind

    N-central ist eine Remote-Monitoring-and-Management-Lösung (RMM), die vor allem von Managed Service Providern (MSPs) genutzt wird, um Kundensysteme zentral zu überwachen und zu administrieren. Ein kompromittiertes RMM-System ist für Angreifer der Jackpot: Es bietet administrative Kontrolle über hunderte oder tausende Endpunkte gleichzeitig — über alle Kunden des MSP hinweg.

    Die Angriffsfläche ist enorm: RMM-Tools haben per Design privilegierten Zugriff auf alle verwalteten Systeme. Wer das RMM kontrolliert, kann Software installieren, Konfigurationen ändern, Daten exfiltrieren und Ransomware ausrollen — auf allen verwalteten Geräten gleichzeitig. Der Kaseya-Vorfall im Juli 2021 demonstrierte dieses Szenario in der Praxis: Über eine Schwachstelle in Kaseya VSA wurden mehr als 1.500 Unternehmen weltweit mit REvil-Ransomware infiziert.

    Die Schwachstellen im Detail

    CVE-2025-8875 und CVE-2025-8876 ermöglichen Angreifern die nicht autorisierte Ausführung von Befehlen auf verwundbaren N-central-Instanzen. Laut Shadowserver sind die USA, Kanada, die Niederlande und Großbritannien besonders stark betroffen.

    N-able hat die Schwachstellen mit Version N-central 2025.3.1 behoben. Shadowserver integrierte die Erkennung beider CVEs Mitte August 2025 in seine täglichen Scans und benachrichtigt betroffene Betreiber direkt.

    Supply-Chain-Risiko durch MSPs

    Der Fall verdeutlicht ein strukturelles Problem: MSPs sind Single Points of Failure für ihre Kunden. Ein kompromittierter MSP kompromittiert potenziell alle seine Kunden — ein klassisches Supply-Chain-Risiko. Die NIS2-Richtlinie adressiert dieses Risiko explizit: Unternehmen müssen die Sicherheit ihrer IT-Dienstleister in ihr Risikomanagement einbeziehen.

    Für Unternehmen, die MSP-Dienste nutzen, stellen sich konkrete Fragen:

    • Welche RMM-Lösung nutzt mein MSP — und ist sie aktuell gepatcht?
    • Hat mein MSP einen dokumentierten Patch-Management-Prozess?
    • Wie schnell reagiert mein MSP auf CISA-KEV-Einträge?
    • Gibt es Netzwerksegmentierung zwischen den Kunden des MSP?

    Handlungsempfehlungen

    • Sofort patchen: Alle N-central-Instanzen auf Version 2025.3.1 oder höher aktualisieren
    • MSP-Kunden: Ihren Dienstleister aktiv nach dem Patch-Status fragen — nicht darauf warten, dass er sich meldet
    • RMM-Zugriffe im SIEM überwachen: Alle administrativen Aktionen über RMM-Tools protokollieren und auf Anomalien prüfen
    • Netzwerksegmentierung: RMM-Server in einem dedizierten Segment betreiben, nicht im gleichen Netz wie Produktionssysteme
    • Conditional Access: RMM-Zugriffe auf autorisierte IPs und Geräte beschränken

  • Citrix NetScaler CVE-2025-7775: Patching-Fortschritt im Fokus

    VonJ. Benjamin Espagné

    Am 26. August 2025 wurde eine kritische Zero-Day-Sicherheitslücke in Citrix NetScaler ADC und NetScaler Gateway bekannt. CVE-2025-7775 ist ein Memory Overflow, der Remote Code Execution (RCE) oder Denial of Service (DoS) ohne Authentifizierung ermöglicht. Citrix bestätigte aktive Angriffe in freier Wildbahn und empfahl sofortige Updates.

    CISA reagiert mit Notfall-Frist

    Die CISA nahm CVE-2025-7775 in ihren Known Exploited Vulnerabilities (KEV)-Katalog auf und setzte US-Bundesbehörden eine Frist bis zum 28. August 2025 — nur zwei Tage nach Bekanntwerden. Eine derart kurze Frist signalisiert: Die Bedrohung ist akut und der Exploit wird aktiv eingesetzt.

    Patching-Fortschritt: Europa patcht schneller

    Shadowserver-Scans zeigen den globalen Patching-Fortschritt in Echtzeit. Die Zahlen:

    • Ausgangslage: Rund 28.200 verwundbare NetScaler-Instanzen weltweit
    • Nach zwei Wochen: Etwa 12.400 Instanzen noch ungepatcht — ein Rückgang von 56 Prozent
    • Regionale Unterschiede: Europa patcht deutlich schneller als Nordamerika

    Dass nach zwei Wochen noch über 12.000 Instanzen verwundbar sind, ist alarmierend. NetScaler ADC und Gateway sind Per-Design aus dem Internet erreichbar — sie sind Load Balancer, VPN-Gateways und Application Delivery Controller. Jede ungepatchte Instanz ist ein offenes Tor.

    NetScaler: Wiederkehrendes Angriffsziel

    CVE-2025-7775 ist nicht die erste kritische NetScaler-Schwachstelle. Die Geschichte wiederholt sich:

    • CVE-2023-3519 (Juli 2023): RCE ohne Authentifizierung, aktiv ausgenutzt, CISA-KEV
    • CVE-2023-4966 „Citrix Bleed” (Oktober 2023): Session-Hijacking, massenhaft ausgenutzt durch LockBit und andere
    • CVE-2024-3519 (2024): Weitere RCE in NetScaler Gateway

    Das Muster ist konsistent: NetScaler-Appliances stehen am Netzwerkrand, haben hohe Privilegien und werden von Angreifern systematisch auf neue Schwachstellen gescannt. Organisationen, die NetScaler einsetzen, müssen Patching dieser Systeme als höchste Priorität behandeln — nicht als regulären Wartungszyklus.

    Warum Patching allein nicht reicht

    Der Zeitraum zwischen Bekanntwerden einer Schwachstelle und dem vollständigen Patching aller Instanzen beträgt selbst bei kritischen Zero-Days Wochen. In dieser Zeit sind ungepatchte Systeme exponiert. Zusätzliche Maßnahmen:

    • Web Application Firewall (WAF) Rules: Virtuelle Patches können die Ausnutzung blockieren, bis der offizielle Patch eingespielt ist
    • Network-Level-Einschränkungen: Management-Interfaces und unnötige Dienste von außen unzugänglich machen
    • SIEM-Monitoring: NetScaler-Logs in das zentrale Monitoring einbinden. Ungewöhnliche Anfragemuster, Zugriffe auf bekannte Exploit-Pfade und verdächtige Prozesse auf der Appliance überwachen
    • Compromise Assessment: Bei Systemen, die vor dem Patching exponiert waren, prüfen, ob bereits eine Kompromittierung stattgefunden hat. Patchen allein beseitigt keine bereits platzierten Backdoors

    Handlungsempfehlungen

    • Sofort patchen: Alle NetScaler ADC und Gateway-Instanzen auf die von Citrix empfohlene Version aktualisieren
    • Exponierte Instanzen identifizieren: Shadowserver-Benachrichtigungen prüfen oder eigene Scans durchführen
    • Post-Patch-Forensik: Systeme, die vor dem Patch aus dem Internet erreichbar waren, auf Kompromittierungsindikatoren prüfen
    • Schwachstellenmanagement-Prozess etablieren: CISA-KEV-Einträge als automatischen Trigger für Notfall-Patching definieren

  • Wenn Pflegebetrieb zur Zielscheibe wird — Ransomware bei der Sozial-Holding Mönchengladbach

    VonJ. Benjamin Espagné

    Am 17. März 2025 wurde die Sozial-Holding der Stadt Mönchengladbach GmbH Opfer eines Ransomware-Angriffs. Die städtische Tochtergesellschaft betreibt sieben Seniorenheime und liefert täglich Tausende Mahlzeiten aus. Server wurden verschlüsselt, E-Mail- und Telefoninfrastruktur waren zeitweise nicht nutzbar. Die Täter forderten ein Lösegeld von rund 100.000 Euro.

    Ablauf und Auswirkungen

    Die Sozial-Holding meldete den Vorfall bei Polizei und Datenschutzbehörden und arbeitete mit externen IT-Forensikern zusammen. Nach etwa zehn Tagen war das IT-Netz wieder aufgebaut. Die Versorgung der Bewohner sei laut Unternehmensangaben jederzeit sichergestellt gewesen — ein Lösegeld wurde offenbar nicht gezahlt.

    Unabhängige Medienberichte (dpa, WDR, CSO Online, Heise) bestätigten, dass sensible Daten betroffen sein könnten:

    • Personenstammdaten von Bewohnern und Mitarbeitenden
    • Gesundheits- und Pflegedaten
    • Personalakten und Zugangsdaten

    Die laufenden Ermittlungen verhinderten die Veröffentlichung technischer Details zur Angriffskette. Medienberichte deuten auf eine mögliche Beteiligung ausländischer Tätergruppen hin — eine gerichtliche Attribution stand zum Zeitpunkt der Berichterstattung noch aus.

    Gesundheits- und Sozialsektor als systematisches Ziel

    Der Angriff auf die Sozial-Holding ist kein Einzelfall. Gesundheits- und Sozialeinrichtungen sind überproportional häufig Ziel von Ransomware-Angriffen. Die Gründe sind strukturell:

    • Kritische Dienstleistungen: Pflege, medizinische Versorgung und Mahlzeitenlieferung können nicht pausieren. Der Druck, schnell wieder betriebsfähig zu sein, erhöht die Bereitschaft zur Lösegeldzahlung
    • Sensible Daten: Gesundheitsdaten gehören nach DSGVO zu den besonderen Kategorien personenbezogener Daten (Art. 9). Ihr Verlust oder ihre Veröffentlichung hat schwerwiegende Konsequenzen
    • Begrenzte IT-Budgets: Kommunale Träger und Sozialeinrichtungen investieren vergleichsweise wenig in IT-Sicherheit
    • Heterogene IT-Landschaften: Pflegedokumentation, Verwaltungssysteme, Abrechnungssoftware und Gebäudetechnik bilden eine komplexe, oft schlecht integrierte Systemlandschaft

    Der BSI-Lagebericht 2024 bestätigt: Das Gesundheitswesen gehört zu den am stärksten betroffenen Sektoren. Ähnliche Vorfälle trafen in den letzten Jahren das Klinikum Lippe, die Medizinische Hochschule Hannover und zahlreiche weitere Einrichtungen.

    Wahrscheinliche Angriffsvektoren

    Auch ohne öffentliche forensische Details lassen sich die wahrscheinlichsten Einfallstore benennen — basierend auf den typischen Angriffsmethoden gegen den Sektor:

    • Phishing und Credential Theft: Der häufigste Initialzugang, besonders in Umgebungen ohne flächendeckende MFA
    • Exponierte Remote-Access-Dienste: RDP, VPN oder RMM-Tools ohne ausreichende Härtung
    • Initial Access Broker: Kriminelle Marktplätze, auf denen gestohlene Zugangsdaten gehandelt werden
    • Ungepatchte Software: Bekannte Schwachstellen in Internetfacing-Systemen

    Handlungsempfehlungen für Sozial- und Gesundheitsträger

    • MFA für alle Zugänge: Insbesondere für Remote-Access, E-Mail und Administrations-Portale — ohne Ausnahme
    • Netzwerksegmentierung: Pflegedokumentation, Verwaltung und Gebäudetechnik in getrennte Segmente. Ein kompromittierter Verwaltungsrechner darf nicht die Pflegedokumentation erreichen
    • Backup-Strategie: 3-2-1-Regel mit mindestens einer Offline-Kopie. Recovery regelmäßig testen — nicht nur dokumentieren
    • Incident-Response-Plan: Wer wird informiert? Wer entscheidet? Wie kommuniziert die Einrichtung ohne E-Mail und Telefon? Wie wird die Pflege ohne IT-Systeme dokumentiert?
    • SIEM-Monitoring: Auch mit begrenztem Budget ist zentrales Log-Management möglich. Verdächtige Login-Versuche, Ransomware-Vorboten (Massenverschlüsselung, Shadow-Copy-Löschung) und laterale Bewegung erkennen

  • Komprimierte Katastrophe – WinRAR-Schwachstelle als Einfallstor

    VonJ. Benjamin Espagné

    Im Sommer 2023 wurde eine gravierende Sicherheitslücke in WinRAR entdeckt: CVE-2023-38831 ermöglicht es Angreifern, beliebigen Code auf den Systemen der Opfer auszuführen. Obwohl die Schwachstelle mit WinRAR Version 6.23 gepatcht wurde, sind weltweit Millionen Systeme weiterhin ungepatcht — und staatlich unterstützte Hackergruppen nutzen die Lücke gezielt aus.

    Wie der Exploit funktioniert

    Die Schwachstelle liegt in der Art, wie WinRAR Dateinamen innerhalb von ZIP-Archiven verarbeitet. Angreifer erstellen manipulierte Archive, die auf den ersten Blick harmlose Dateien enthalten — etwa ein PDF oder ein Bild. Beim Öffnen der vermeintlich harmlosen Datei wird jedoch automatisch ein verstecktes Skript ausgeführt, das Malware nachlädt.

    Das Perfide: Der Nutzer sieht eine erwartete Datei, klickt sie an und merkt nicht, dass im Hintergrund Code ausgeführt wird. Es gibt keinen offensichtlichen Warnhinweis, kein verdächtiges Verhalten — bis es zu spät ist.

    Group-IB, das Unternehmen, das die Schwachstelle entdeckte, dokumentierte, dass CVE-2023-38831 bereits seit April 2023 aktiv ausgenutzt wurde — Monate bevor sie öffentlich bekannt wurde. Die ersten Angriffe richteten sich gegen Händler auf Finanzmärkten.

    Staatliche Akteure steigen ein

    Nach der Veröffentlichung der Schwachstelle übernahmen staatlich unterstützte Gruppen den Exploit. Google Threat Analysis Group (TAG) dokumentierte Angriffe durch:

    • APT28 (Fancy Bear / Forest Blizzard): Russische Gruppe, Angriffe auf ukrainische Institutionen
    • APT40 (Leviathan): Chinesische Gruppe, Ziele in Papua-Neuguinea
    • Sandworm: Russische Gruppe, Angriffe auf ukrainische Energieinfrastruktur

    Die Angreifer verbreiten die manipulierten Archive über Spear-Phishing-E-Mails und kompromittierte Websites. Die Archive tarnen sich als Dokumente, Berichte oder Tabellenkalkulationen — Dateitypen, die im Geschäftsalltag routinemäßig geöffnet werden.

    Warum so viele Systeme ungepatcht bleiben

    WinRAR hat eine geschätzte Nutzerbasis von über 500 Millionen Installationen weltweit. Das Problem: WinRAR hat keinen automatischen Update-Mechanismus. Updates müssen manuell heruntergeladen und installiert werden. In Unternehmensumgebungen ohne zentrales Software-Deployment wird WinRAR oft vergessen — es ist „nur ein Hilfsprogramm”.

    Genau das macht es zum idealen Angriffsvektor: Eine Anwendung, die auf fast jedem Windows-Rechner installiert ist, aber in keinem Patch-Management-Prozess auftaucht.

    Handlungsempfehlungen

    • Sofort aktualisieren: WinRAR auf Version 6.23 oder höher. Alternativ auf das in Windows 11 integrierte native ZIP/RAR-Handling umsteigen
    • Software-Inventar erstellen: Identifizieren Sie alle WinRAR-Installationen in Ihrer Umgebung. Tools wie SCCM, Intune oder Open-Source-Alternativen helfen
    • Application Whitelisting evaluieren: In sicherheitskritischen Umgebungen sollte nur explizit freigegebene Software ausführbar sein
    • E-Mail-Security: Archive als Anhänge besonders streng prüfen. Sandbox-Analyse kann manipulierte Archive erkennen, bevor sie den Endnutzer erreichen
    • Endpoint-Monitoring: Verdächtige Prozessstarts nach dem Öffnen von Archiven überwachen — wenn WinRAR plötzlich PowerShell oder cmd.exe startet, ist das ein klarer Alarm

  • Lufthansa-Chef wird Opfer von Lufthansa Sicherheitslücke

    VonJ. Benjamin Espagné

    Im September 2022 wurde bekannt, dass der QR-Code der Bordkarte von Lufthansa-CEO Carsten Spohr ausgelesen und die darin enthaltenen persönlichen Daten extrahiert wurden. Der Vorfall offenbart ein grundsätzliches Problem: Lufthansa speichert in den QR-Codes ihrer Bordkarten nicht nur Fluginformationen, sondern auch Servicekartennummern, E-Mail-Adressen und Mobiltelefonnummern — und das lediglich codiert, nicht verschlüsselt.

    Was passiert ist

    Laut einem Bericht von DER SPIEGEL vom 23. September 2022 fotografierten Unbekannte die Bordkarte des Vorstandsvorsitzenden und lasen den QR-Code aus. Die darin enthaltenen Daten waren nicht kryptografisch geschützt, sondern lediglich im standardisierten BCBP-Format (Bar Coded Boarding Pass) codiert — ein Format, das mit jedem handelsüblichen QR-Code-Scanner lesbar ist.

    Die Ironie: Lufthansa selbst empfiehlt Passagieren, ihre Bordkarte „wie Bargeld” zu behandeln. Der eigene CEO hielt sich offenbar nicht daran.

    Das technische Problem: Codierung ist keine Verschlüsselung

    Der Kern des Problems liegt in der Verwechslung von Codierung und Verschlüsselung — ein Fehler, der in der Praxis erstaunlich häufig vorkommt:

    • Codierung (z.B. Base64, BCBP) wandelt Daten in ein anderes Format um, das von jedem mit dem passenden Decoder gelesen werden kann. Es bietet keinerlei Schutz gegen unbefugten Zugriff
    • Verschlüsselung macht Daten ohne den passenden Schlüssel unlesbar. Selbst wenn jemand den QR-Code scannt, bleiben die Daten geschützt

    Der BCBP-Standard der IATA, der den Inhalt von Bordkarten-Barcodes definiert, sieht keine Verschlüsselung vor. Das bedeutet: Jede Bordkarte — nicht nur die von Lufthansa — enthält potenziell sensible Daten im Klartext. Wer eine weggeworfene Bordkarte oder ein Foto davon in sozialen Medien findet, kann diese Daten extrahieren.

    Welche Daten gefährdet sind

    Je nach Airline und Buchungssystem können Bordkarten-QR-Codes folgende Informationen enthalten:

    • Vollständiger Name des Passagiers
    • Buchungscode (PNR) — ermöglicht Zugriff auf die gesamte Buchung
    • Vielfliegernummer und Statuslevel
    • E-Mail-Adresse und Telefonnummer
    • Sitzplatz, Flugroute und Reisedaten

    Mit dem Buchungscode allein lassen sich bei vielen Airlines Buchungen einsehen, ändern oder stornieren. In Kombination mit Name und Vielfliegernummer öffnen sich weitere Angriffsvektoren — von gezieltem Social Engineering bis zum Account-Takeover des Vielfliegerprogramms.

    Ein Problem weit über Lufthansa hinaus

    Der Fall betrifft nicht nur Lufthansa. Der BCBP-Standard wird von praktisch allen IATA-Mitgliedsairlines weltweit genutzt. Sicherheitsforscher wie Michal Špaček und Karsten Nohl weisen seit Jahren darauf hin, dass Bordkarten-Barcodes ein unterschätztes Datenschutzrisiko darstellen. Nohl demonstrierte bereits 2016 auf dem 33C3, wie sich aus Boarding-Pass-Barcodes vollständige Reiseprofile rekonstruieren lassen.

    Handlungsempfehlungen

    • Bordkarten nicht fotografieren oder in sozialen Medien teilen — auch nicht „zum Angeben”. Der QR-Code enthält mehr Daten, als auf der Karte gedruckt steht
    • Digitale Bordkarten bevorzugen und nach der Reise aus der Wallet-App entfernen
    • Papier-Bordkarten schreddern, nicht einfach in den Mülleimer werfen
    • Für Unternehmen: Prüfen Sie, ob Ihre eigenen optisch lesbaren Datenträger (QR-Codes, Barcodes auf Ausweisen, Zugangskarten) sensible Daten codiert statt verschlüsselt enthalten. Codierung bietet keinen Schutz

Keine weiteren News.

Keine weiteren News.

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse