• Wenn Pflegebetrieb zur Zielscheibe wird — Ransomware bei der Sozial-Holding Mönchengladbach

    VonJ. Benjamin Espagné

    Am 17. März 2025 wurde die Sozial-Holding der Stadt Mönchengladbach GmbH Opfer eines Ransomware-Angriffs. Die städtische Tochtergesellschaft betreibt sieben Seniorenheime und liefert täglich Tausende Mahlzeiten aus. Server wurden verschlüsselt, E-Mail- und Telefoninfrastruktur waren zeitweise nicht nutzbar. Die Täter forderten ein Lösegeld von rund 100.000 Euro.

    Ablauf und Auswirkungen

    Die Sozial-Holding meldete den Vorfall bei Polizei und Datenschutzbehörden und arbeitete mit externen IT-Forensikern zusammen. Nach etwa zehn Tagen war das IT-Netz wieder aufgebaut. Die Versorgung der Bewohner sei laut Unternehmensangaben jederzeit sichergestellt gewesen — ein Lösegeld wurde offenbar nicht gezahlt.

    Unabhängige Medienberichte (dpa, WDR, CSO Online, Heise) bestätigten, dass sensible Daten betroffen sein könnten:

    • Personenstammdaten von Bewohnern und Mitarbeitenden
    • Gesundheits- und Pflegedaten
    • Personalakten und Zugangsdaten

    Die laufenden Ermittlungen verhinderten die Veröffentlichung technischer Details zur Angriffskette. Medienberichte deuten auf eine mögliche Beteiligung ausländischer Tätergruppen hin — eine gerichtliche Attribution stand zum Zeitpunkt der Berichterstattung noch aus.

    Gesundheits- und Sozialsektor als systematisches Ziel

    Der Angriff auf die Sozial-Holding ist kein Einzelfall. Gesundheits- und Sozialeinrichtungen sind überproportional häufig Ziel von Ransomware-Angriffen. Die Gründe sind strukturell:

    • Kritische Dienstleistungen: Pflege, medizinische Versorgung und Mahlzeitenlieferung können nicht pausieren. Der Druck, schnell wieder betriebsfähig zu sein, erhöht die Bereitschaft zur Lösegeldzahlung
    • Sensible Daten: Gesundheitsdaten gehören nach DSGVO zu den besonderen Kategorien personenbezogener Daten (Art. 9). Ihr Verlust oder ihre Veröffentlichung hat schwerwiegende Konsequenzen
    • Begrenzte IT-Budgets: Kommunale Träger und Sozialeinrichtungen investieren vergleichsweise wenig in IT-Sicherheit
    • Heterogene IT-Landschaften: Pflegedokumentation, Verwaltungssysteme, Abrechnungssoftware und Gebäudetechnik bilden eine komplexe, oft schlecht integrierte Systemlandschaft

    Der BSI-Lagebericht 2024 bestätigt: Das Gesundheitswesen gehört zu den am stärksten betroffenen Sektoren. Ähnliche Vorfälle trafen in den letzten Jahren das Klinikum Lippe, die Medizinische Hochschule Hannover und zahlreiche weitere Einrichtungen.

    Wahrscheinliche Angriffsvektoren

    Auch ohne öffentliche forensische Details lassen sich die wahrscheinlichsten Einfallstore benennen — basierend auf den typischen Angriffsmethoden gegen den Sektor:

    • Phishing und Credential Theft: Der häufigste Initialzugang, besonders in Umgebungen ohne flächendeckende MFA
    • Exponierte Remote-Access-Dienste: RDP, VPN oder RMM-Tools ohne ausreichende Härtung
    • Initial Access Broker: Kriminelle Marktplätze, auf denen gestohlene Zugangsdaten gehandelt werden
    • Ungepatchte Software: Bekannte Schwachstellen in Internetfacing-Systemen

    Handlungsempfehlungen für Sozial- und Gesundheitsträger

    • MFA für alle Zugänge: Insbesondere für Remote-Access, E-Mail und Administrations-Portale — ohne Ausnahme
    • Netzwerksegmentierung: Pflegedokumentation, Verwaltung und Gebäudetechnik in getrennte Segmente. Ein kompromittierter Verwaltungsrechner darf nicht die Pflegedokumentation erreichen
    • Backup-Strategie: 3-2-1-Regel mit mindestens einer Offline-Kopie. Recovery regelmäßig testen — nicht nur dokumentieren
    • Incident-Response-Plan: Wer wird informiert? Wer entscheidet? Wie kommuniziert die Einrichtung ohne E-Mail und Telefon? Wie wird die Pflege ohne IT-Systeme dokumentiert?
    • SIEM-Monitoring: Auch mit begrenztem Budget ist zentrales Log-Management möglich. Verdächtige Login-Versuche, Ransomware-Vorboten (Massenverschlüsselung, Shadow-Copy-Löschung) und laterale Bewegung erkennen

  • Komprimierte Katastrophe – WinRAR-Schwachstelle als Einfallstor

    VonJ. Benjamin Espagné

    Im Sommer 2023 wurde eine gravierende Sicherheitslücke in WinRAR entdeckt: CVE-2023-38831 ermöglicht es Angreifern, beliebigen Code auf den Systemen der Opfer auszuführen. Obwohl die Schwachstelle mit WinRAR Version 6.23 gepatcht wurde, sind weltweit Millionen Systeme weiterhin ungepatcht — und staatlich unterstützte Hackergruppen nutzen die Lücke gezielt aus.

    Wie der Exploit funktioniert

    Die Schwachstelle liegt in der Art, wie WinRAR Dateinamen innerhalb von ZIP-Archiven verarbeitet. Angreifer erstellen manipulierte Archive, die auf den ersten Blick harmlose Dateien enthalten — etwa ein PDF oder ein Bild. Beim Öffnen der vermeintlich harmlosen Datei wird jedoch automatisch ein verstecktes Skript ausgeführt, das Malware nachlädt.

    Das Perfide: Der Nutzer sieht eine erwartete Datei, klickt sie an und merkt nicht, dass im Hintergrund Code ausgeführt wird. Es gibt keinen offensichtlichen Warnhinweis, kein verdächtiges Verhalten — bis es zu spät ist.

    Group-IB, das Unternehmen, das die Schwachstelle entdeckte, dokumentierte, dass CVE-2023-38831 bereits seit April 2023 aktiv ausgenutzt wurde — Monate bevor sie öffentlich bekannt wurde. Die ersten Angriffe richteten sich gegen Händler auf Finanzmärkten.

    Staatliche Akteure steigen ein

    Nach der Veröffentlichung der Schwachstelle übernahmen staatlich unterstützte Gruppen den Exploit. Google Threat Analysis Group (TAG) dokumentierte Angriffe durch:

    • APT28 (Fancy Bear / Forest Blizzard): Russische Gruppe, Angriffe auf ukrainische Institutionen
    • APT40 (Leviathan): Chinesische Gruppe, Ziele in Papua-Neuguinea
    • Sandworm: Russische Gruppe, Angriffe auf ukrainische Energieinfrastruktur

    Die Angreifer verbreiten die manipulierten Archive über Spear-Phishing-E-Mails und kompromittierte Websites. Die Archive tarnen sich als Dokumente, Berichte oder Tabellenkalkulationen — Dateitypen, die im Geschäftsalltag routinemäßig geöffnet werden.

    Warum so viele Systeme ungepatcht bleiben

    WinRAR hat eine geschätzte Nutzerbasis von über 500 Millionen Installationen weltweit. Das Problem: WinRAR hat keinen automatischen Update-Mechanismus. Updates müssen manuell heruntergeladen und installiert werden. In Unternehmensumgebungen ohne zentrales Software-Deployment wird WinRAR oft vergessen — es ist „nur ein Hilfsprogramm”.

    Genau das macht es zum idealen Angriffsvektor: Eine Anwendung, die auf fast jedem Windows-Rechner installiert ist, aber in keinem Patch-Management-Prozess auftaucht.

    Handlungsempfehlungen

    • Sofort aktualisieren: WinRAR auf Version 6.23 oder höher. Alternativ auf das in Windows 11 integrierte native ZIP/RAR-Handling umsteigen
    • Software-Inventar erstellen: Identifizieren Sie alle WinRAR-Installationen in Ihrer Umgebung. Tools wie SCCM, Intune oder Open-Source-Alternativen helfen
    • Application Whitelisting evaluieren: In sicherheitskritischen Umgebungen sollte nur explizit freigegebene Software ausführbar sein
    • E-Mail-Security: Archive als Anhänge besonders streng prüfen. Sandbox-Analyse kann manipulierte Archive erkennen, bevor sie den Endnutzer erreichen
    • Endpoint-Monitoring: Verdächtige Prozessstarts nach dem Öffnen von Archiven überwachen — wenn WinRAR plötzlich PowerShell oder cmd.exe startet, ist das ein klarer Alarm

  • Lufthansa-Chef wird Opfer von Lufthansa Sicherheitslücke

    VonJ. Benjamin Espagné

    Im September 2022 wurde bekannt, dass der QR-Code der Bordkarte von Lufthansa-CEO Carsten Spohr ausgelesen und die darin enthaltenen persönlichen Daten extrahiert wurden. Der Vorfall offenbart ein grundsätzliches Problem: Lufthansa speichert in den QR-Codes ihrer Bordkarten nicht nur Fluginformationen, sondern auch Servicekartennummern, E-Mail-Adressen und Mobiltelefonnummern — und das lediglich codiert, nicht verschlüsselt.

    Was passiert ist

    Laut einem Bericht von DER SPIEGEL vom 23. September 2022 fotografierten Unbekannte die Bordkarte des Vorstandsvorsitzenden und lasen den QR-Code aus. Die darin enthaltenen Daten waren nicht kryptografisch geschützt, sondern lediglich im standardisierten BCBP-Format (Bar Coded Boarding Pass) codiert — ein Format, das mit jedem handelsüblichen QR-Code-Scanner lesbar ist.

    Die Ironie: Lufthansa selbst empfiehlt Passagieren, ihre Bordkarte „wie Bargeld” zu behandeln. Der eigene CEO hielt sich offenbar nicht daran.

    Das technische Problem: Codierung ist keine Verschlüsselung

    Der Kern des Problems liegt in der Verwechslung von Codierung und Verschlüsselung — ein Fehler, der in der Praxis erstaunlich häufig vorkommt:

    • Codierung (z.B. Base64, BCBP) wandelt Daten in ein anderes Format um, das von jedem mit dem passenden Decoder gelesen werden kann. Es bietet keinerlei Schutz gegen unbefugten Zugriff
    • Verschlüsselung macht Daten ohne den passenden Schlüssel unlesbar. Selbst wenn jemand den QR-Code scannt, bleiben die Daten geschützt

    Der BCBP-Standard der IATA, der den Inhalt von Bordkarten-Barcodes definiert, sieht keine Verschlüsselung vor. Das bedeutet: Jede Bordkarte — nicht nur die von Lufthansa — enthält potenziell sensible Daten im Klartext. Wer eine weggeworfene Bordkarte oder ein Foto davon in sozialen Medien findet, kann diese Daten extrahieren.

    Welche Daten gefährdet sind

    Je nach Airline und Buchungssystem können Bordkarten-QR-Codes folgende Informationen enthalten:

    • Vollständiger Name des Passagiers
    • Buchungscode (PNR) — ermöglicht Zugriff auf die gesamte Buchung
    • Vielfliegernummer und Statuslevel
    • E-Mail-Adresse und Telefonnummer
    • Sitzplatz, Flugroute und Reisedaten

    Mit dem Buchungscode allein lassen sich bei vielen Airlines Buchungen einsehen, ändern oder stornieren. In Kombination mit Name und Vielfliegernummer öffnen sich weitere Angriffsvektoren — von gezieltem Social Engineering bis zum Account-Takeover des Vielfliegerprogramms.

    Ein Problem weit über Lufthansa hinaus

    Der Fall betrifft nicht nur Lufthansa. Der BCBP-Standard wird von praktisch allen IATA-Mitgliedsairlines weltweit genutzt. Sicherheitsforscher wie Michal Špaček und Karsten Nohl weisen seit Jahren darauf hin, dass Bordkarten-Barcodes ein unterschätztes Datenschutzrisiko darstellen. Nohl demonstrierte bereits 2016 auf dem 33C3, wie sich aus Boarding-Pass-Barcodes vollständige Reiseprofile rekonstruieren lassen.

    Handlungsempfehlungen

    • Bordkarten nicht fotografieren oder in sozialen Medien teilen — auch nicht „zum Angeben”. Der QR-Code enthält mehr Daten, als auf der Karte gedruckt steht
    • Digitale Bordkarten bevorzugen und nach der Reise aus der Wallet-App entfernen
    • Papier-Bordkarten schreddern, nicht einfach in den Mülleimer werfen
    • Für Unternehmen: Prüfen Sie, ob Ihre eigenen optisch lesbaren Datenträger (QR-Codes, Barcodes auf Ausweisen, Zugangskarten) sensible Daten codiert statt verschlüsselt enthalten. Codierung bietet keinen Schutz

  • Phishing-as-a-Service gewinnt im Dark Web an Bedeutung

    VonJ. Benjamin Espagné

    Cybersicherheitsforscher haben im Dark Web einen Phishing-as-a-Service-Anbieter (PhaaS) entdeckt, der Angriffe auf Nutzer von Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex und weiteren Diensten ermöglicht — auch wenn Multi-Faktor-Authentifizierung (MFA) aktiviert ist. Der Dienst nutzt dafür Reverse-Proxy- und Cookie-Injection-Technologien. Laut den Forschern wurden bereits Mitarbeiter von Fortune-500-Unternehmen erfolgreich angegriffen.

    Was Phishing-as-a-Service bedeutet

    Phishing-as-a-Service funktioniert wie ein SaaS-Geschäftsmodell — nur für Kriminelle. Anbieter stellen fertige Phishing-Infrastruktur bereit: vorkonfigurierte Phishing-Seiten, Hosting, Automatisierung und technischen Support. Der Käufer braucht keine technischen Kenntnisse. Er wählt das Ziel (Microsoft 365, Google Workspace, etc.), passt die Kampagne an und startet den Angriff per Dashboard.

    Das senkt die Eintrittsbarriere für Cyberkriminalität massiv. Was früher Wochen Vorbereitungszeit und technisches Know-how erforderte, ist heute eine Frage von Minuten und einer Kreditkarte.

    Warum MFA allein nicht mehr schützt

    Der entdeckte Dienst setzt Reverse-Proxy-Technik ein — eine Methode, die inzwischen als Adversary-in-the-Middle (AiTM) bekannt ist. Dabei wird die Phishing-Seite nicht als statische Kopie der Zielseite erstellt, sondern als transparenter Proxy zwischen Opfer und echtem Dienst geschaltet.

    Der Ablauf:

    1. Das Opfer gibt seine Zugangsdaten auf der Phishing-Seite ein
    2. Die Phishing-Seite leitet alles in Echtzeit an den echten Dienst weiter
    3. Der echte Dienst sendet die MFA-Challenge — sie fließt über den Proxy zurück zum Opfer
    4. Das Opfer bestätigt die MFA-Anforderung
    5. Der Angreifer fängt den resultierenden Session-Cookie ab und kann sich damit ohne erneute Authentifizierung anmelden

    Entscheidend: Der Angreifer stiehlt nicht das Passwort oder den MFA-Code isoliert. Er fängt die gesamte authentifizierte Session ab. Aus Sicht des Zieldienstes sieht die Anmeldung völlig legitim aus — weil sie es technisch auch war.

    Konten mit SMS- und App-basierter MFA betroffen

    Der PhaaS-Dienst umgeht sowohl SMS-basierte als auch App-Token-basierte MFA. Das betrifft die überwiegende Mehrheit der MFA-Implementierungen in Unternehmen. Lediglich FIDO2/WebAuthn-basierte Verfahren (Hardware-Security-Keys, Passkeys) sind gegen diese Art von Angriff strukturell resistent, weil sie die Authentifizierung kryptografisch an die Domain binden.

    Die Kommerzialisierung von Phishing

    PhaaS-Plattformen sind keine Einzelfälle mehr. Seit 2022 hat sich ein regelrechter Markt entwickelt. Bekannte Plattformen wie EvilProxy, Tycoon 2FA und Caffeine bieten ähnliche Dienste an — teils mit Abonnement-Modellen, Kundensupport und regelmäßigen Updates. Microsoft berichtete im September 2023, dass AiTM-Phishing-Angriffe über PhaaS-Plattformen zu den am schnellsten wachsenden Bedrohungsvektoren gehören.

    Für Unternehmen bedeutet das: Die Annahme, dass Phishing nur einfache Fake-Login-Seiten umfasst, ist überholt. Moderne Phishing-Angriffe sind technisch ausgereift, skalierbar und als Dienstleistung verfügbar.

    Handlungsempfehlungen

    • FIDO2/Passkeys evaluieren: Für privilegierte Accounts und kritische Systeme sind hardwaregebundene Authentifizierungsverfahren die wirksamste Gegenmaßnahme
    • Conditional Access implementieren: Zugriff auf Unternehmensressourcen nur von verwalteten, konformen Geräten erlauben — das erschwert die Nutzung gestohlener Session-Cookies erheblich
    • Session-Monitoring aktivieren: Unmögliche Reisen (Impossible Travel), ungewöhnliche IP-Wechsel während einer Session und plötzliche MFA-Neuregistrierungen sind starke Indikatoren für kompromittierte Sessions
    • Awareness-Training aktualisieren: Mitarbeiter müssen wissen, dass eine korrekte MFA-Bestätigung nicht bedeutet, dass der Vorgang sicher ist — besonders wenn der Login über einen Link in einer E-Mail initiiert wurde

  • Datenbank mit 800 Millionen Gesichtern im Netz

    VonJ. Benjamin Espagné

    Eine Datenbank mit 800 Millionen Datensätzen — Fotos von Gesichtern und Nummernschildern — stand monatelang ungeschützt im Internet. Die Daten stammten von Überwachungskameras des chinesischen Herstellers Xinai Electronics und waren weder durch Passwörter noch durch sonstige Zugriffsbeschränkungen gesichert. Jeder, der die Adresse kannte, konnte die Daten über den Browser abrufen.

    Xinai Electronics: Zutrittskontrolle ohne Datenschutz

    Xinai Electronics betreibt ein weitreichendes Netz von Kameras in ganz China. Die Systeme bieten Zugangskontrollen für Personen und Fahrzeuge — an Arbeitsplätzen, Parkhäusern, Schulen und Baustellen. Laut Techcrunch nutzt das Unternehmen die Daten auch zur Anwesenheitsüberwachung von Mitarbeitern für Gehaltsabrechnungszwecke. Cloud-basierte Kennzeichenscanner ermöglichen Parkhausbetreibern die automatisierte Gebührenerhebung ohne Personal vor Ort.

    Auf der eigenen Webseite behauptete Xinai, die Daten seien „sicher auf Unternehmensservern” abgelegt. Die Realität sah anders aus.

    Ungeschützte Datenbank auf Alibaba-Server

    Der IT-Sicherheitsforscher Anurag Sen entdeckte die ungeschützte Datenbank auf einem von Alibaba gehosteten Server in China. Die Datenbank wuchs täglich und enthielt zum Zeitpunkt der Entdeckung mehrere hundert Millionen Datensätze mit vollständigen URLs zu Bilddateien auf Xinai-Domains. Weder die Datenbank noch die Bilddateien waren passwortgeschützt.

    Konkret enthielt die Datenbank:

    • Hochauflösende Gesichtsfotos — Bauarbeiter beim Betreten von Baustellen, Bürobesucher beim Einchecken
    • Personenbezogene Daten — Name, Alter, Geschlecht, Einwohner-ID-Nummern
    • Fahrzeugkennzeichen — erfasst durch Kameras in Parkhäusern, Einfahrten und Büroeingängen

    Erpresser waren schneller als der Hersteller

    Sen war nicht der Einzige, der die Datenbank fand. In einer undatierten Lösegeldforderung behauptete ein Erpresser, den Inhalt gestohlen zu haben, und forderte einige hundert Dollar in Kryptowährung für die Wiederherstellung. Die angegebene Blockchain-Adresse erhielt laut Techcrunch keine Zahlungen. Ob tatsächlich Daten entwendet oder gelöscht wurden, blieb unklar.

    Mitte August 2022 verschwand die Datenbank aus dem Netz — ob durch Xinai selbst oder den Hoster, ist nicht bekannt.

    Chinas Datenschutzgesetz: Theorie und Praxis

    Seit dem 1. November 2021 gilt in China das Personal Information Protection Law (PIPL) — das erste umfassende Datenschutzgesetz des Landes. Es sieht vor, dass Unternehmen vor der Erhebung personenbezogener Daten die Einwilligung der Betroffenen einholen müssen. Staatliche Stellen sind davon allerdings ausgenommen.

    Der Xinai-Vorfall reiht sich in eine Serie massiver Datenlecks in China ein. Im Juli 2022 wurde bekannt, dass die Shanghaier Polizei rund eine Milliarde Datensätze verloren hatte — einer der größten bekannten Datenabflüsse weltweit. Die Durchsetzung des Datenschutzgesetzes bleibt offensichtlich weit hinter dem Anspruch zurück.

    Einordnung: Was dieser Fall für europäische Unternehmen bedeutet

    Der Fall Xinai illustriert ein Problem, das nicht auf China beschränkt ist: Biometrische Daten in Cloud-Systemen ohne angemessene Zugriffskontrollen. Auch in Europa setzen Unternehmen zunehmend auf Gesichtserkennung für Zutrittskontrollen, Zeiterfassung und Besuchermanagement. Die DSGVO stellt biometrische Daten unter besonderen Schutz (Art. 9) — aber technischer Schutz muss der rechtlichen Einordnung folgen.

    Drei Lehren aus dem Xinai-Vorfall:

    • Cloud-Datenbanken mit biometrischen Daten brauchen Zugriffsbeschränkungen, Verschlüsselung und Monitoring — nicht nur ein Versprechen auf der Unternehmenswebseite
    • Drittanbieter-Risiko: Wer Zutrittskontrollen an externe Dienstleister auslagert, muss deren Datenhaltung prüfen — nicht nur deren Funktionalität
    • Datenminimierung: 800 Millionen Datensätze in einer einzigen, wachsenden Datenbank ohne Aufbewahrungsfrist ist ein Designfehler, kein Feature

Keine weiteren News.

Keine weiteren News.

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse