In Taiwan wurde ein ehemaliger Rettungssanitäter festgenommen, der das Notrufsystem der Feuerwehr von Kaohsiung infiltriert und sensible Einsatzdaten in Echtzeit an Bestattungsunternehmen verkauft haben soll. Der 30-jährige Mann mit dem Nachnamen Pan hatte laut Anklage Zugriff auf Einsatzzeiten, Standorte und GPS-Daten, um vier Bestattungsfirmen einen strategischen Vorteil zu verschaffen. Das berichtete Golem zuerst.

„Pan richtete eine eigene cloudbasierte Plattform ein und nutzte sein Mobiltelefon, um einen Datenserver zu betreiben, der Bestattungsunternehmen Echtzeitinformationen bereitstellte“, heißt es von der Taipei Times. Die Bestatter konnten so schneller als die Konkurrenz am Einsatzort erscheinen – teilweise noch vor den Rettungskräften. Im Gegenzug kassierte Pan monatlich mehrere tausend bis zehntausend Taiwan-Dollar, umgerechnet etwa 100 bis über 1000 Euro.

Der Vorfall kam erst im August 2023 nach Hinweisen auf auffällige Zugriffe auf das Einsatzleitsystem ans Licht, wie die Taipei Times berichtet. Die Datenanalyse ergab, dass Pan seit 2022 ein eigenes Cloud-System aufgebaut hatte, das Informationen in Echtzeit aus 21 Städten und Landkreisen sammelte – dazu gehörten etwa Informationen zum Vorfall und GPS-Koordinaten. Daraufhin versuchten das Innenministerium und die Feuerwehr von Kaohsiung, die Menge der öffentlich verfügbaren Daten zu minimieren und strenge Kontrollen durchzuführen, was jedoch nicht reichte.

30 Millionen Zugriffe pro Jahr

Die Behörden schätzen, dass pro Jahr bis zu 30 Millionen unautorisierte Zugriffe auf das System registriert wurden, was erhebliche Risiken für die Datensicherheit und das öffentliche Interesse bedeutete. Nach monatelangen Analysen durch das Justizministerium wurden Pan und weitere Verdächtige, darunter IT-Fachkräfte der Bestattungsunternehmen, verhaftet. Pan gestand die Tat, mehrere Mitarbeiter der betroffenen Firmen wurden ebenfalls angeklagt. Die Ermittlungen dauern an.

(mack)

Angreifer können an drei Sicherheitslücken in Tenable Nessus ansetzen und Systeme attackieren. Unter Windows können Angreifer im schlimmsten Fall Systemdateien überschreiben. Bislang gibt es keine Berichte zu laufenden Attacken. Admins sollten die abgesicherte Ausgabe zeitnah installieren.

Mehrere Gefahren

In einer Warnmeldung erläutern die Entwickler, dass zwei Schwachstellen (CVE-2025-6021 „hoch„, CVE-2025-24855 „hoch„) die Komponenten libxml2 und libxslt betreffen. In beiden Fällen können Angreifer Speicherfehler auslösen, was zu einem DoS-Zustand führt. In so einem Fall kommt es zu Abstürzen. Oft kann im Kontext von Speicherfehlern aber auch Schadcode auf Systeme gelangen. Wie so eine Attacke ablaufen könnte, ist zurzeit unklar.

Die dritte Sicherheitslücke (CVE-2025-36630 „hoch„) betrifft den Codes des Schwachstellen- und Netzwerkscanners direkt. An dieser Stelle können Angreifer als Non-Administrative-Nutzer Systemdateien mit Systemrechten überschreiben. Unklar bleibt, an welchen Parametern Admins bereits erfolgte Attacken erkennen können.

Sicherheitspatch ist da

Die Entwickler versichern, die Probleme in Nessus 10.8.5 und Nessus 10.9.0 gelöst zu haben. Alle vorigen Ausgaben sind angreifbar. Zur Absicherung haben sie die gepatchten Versionen libxml2 2.13.8 und liubxslt 11.1.43 implementiert. Alle Lücken sind Tenable zufolge seit Mai dieses Jahres bekannt. Das Sicherheitsupdate und die Warnmeldung wurden erst jetzt veröffentlicht.

Erst kürzlich haben die Entwickler mehrere Sicherheitslücken in Tenable Agent geschlossen. In diesem Kontext kann Schadcode auf PCs gelangen und Systeme so vollständig kompromittieren.

Siehe auch:

(des)

Bei einem Cyberangriff auf einen norwegischen Staudamm haben Unbekannte die Wasserdurchlass-Ventile des Bauwerks über mehrere Stunden unbemerkt geöffnet. Der Vorfall am Risevatnet-Stausee im Südwesten Norwegens ereignete sich bereits im April, wie jetzt durch den Sicherheitsdienstleister Claroty bekannt wurde. Die Angreifer hätten sich über ein schwaches Passwort Zugang zu den Kontrollsystemen verschafft. Die Manipulation blieb den Angaben zufolge vier Stunden lang unentdeckt.

Das Kontrollpanel des Staudamms sei per Web einfach zugänglich gewesen. Es steuere die Mindestdurchfluss-Ventile des Damms. Nach erfolgreicher Authentifizierung konnten die Angreifer die Sicherheitskontrollen umgehen und direkten Zugriff auf die Operational Technology (OT)-Umgebung erlangen. Die Manipulation führte dazu, dass alle Ventile vollständig geöffnet wurden, wodurch sich der Wasserabfluss um 497 Liter pro Sekunde über den vorgeschriebenen Mindestdurchfluss erhöhte. Schäden seien durch den Vorfall nicht entstanden.

Vorfall ist eine Warnung

Claroty weist anhand des Beispiels aber auf die Angreifbarkeit kritischer Infrastrukturen hin. Der Vorfall, hinter dem laut norwegischen Medienberichten russische Hacker vermutet werden, sei eine Art Warnschuss. Erhebungen zufolge seien Tausende Gebäudeautomatisierungssysteme im Internet ohne ausreichende Schutzmaßnahmen erreichbar. Angreifer könnten so zum Beispiel in Krankenhäusern die Klimaanlage abschalten.

Der Vorfall verdeutliche die Notwendigkeit von geeigneten Schutzmaßnahmen. So dürften kritische Infrastrukturen nicht nur mittels eines einfachen Passworts geschützt werden, sondern müssten mindestens per Multi-Faktor-Authentifizierung abgesichert sein. Auch die direkte Erreichbarkeit aus dem Web sei zu hinterfragen. Zudem sei es nötig, die Systeme ständig zu überprüfen, um Eindringlinge und Manipulationen so schnell wie möglich zu erkennen.

(mki)