Mitte September meldete Firewallhersteller Sonicwall einen Einbruch in seine Cloud, bei dem Konfigurations-Backups von Sonicwall-Kunden kopiert worden seien. Das beträfe jedoch nur fünf Prozent der Kunden, hieß es damals in einer ersten Einschätzung des Unternehmens. Diese revidiert Sonicwall nun: Alle Kunden sind betroffen und sollten handeln.

Wie Sonicwall bereits in der ersten Warnmeldung erläuterte, sind Kunden betroffen, die eine optionale Sicherung ihrer Firewall-Konfigurationsdaten in der Cloud des Herstellers aktiviert haben. Gemeinsam mit dem Incident-Response-Experten Mandiant, einer Google-Tochter, untersuchte Sonicwall den Vorfall genauer und fand heraus: Es hat alle Kunden erwischt.

Jetzt handeln und Folgeangriffe abschwächen

Alle Kunden und Partner sind jetzt dringend aufgerufen, sich um eine Milderung der möglichen Folgen des Lecks zu bemühen. Dazu sollen sie sich im Sonicwall-Portal anmelden und alle Geräte – nach ihrer Wichtigkeit sortiert – unter die Lupe nehmen. Dafür gibt es ein ausführliches Playbook, an dem sich Admins entlang hangeln sollten, um es Angreifern nicht zu leicht zu machen.

Die haben bereits erste Attacken gestartet: Es steht zu vermuten, dass die Ransomware-Gruppe Akira und andere Cyberkriminelle über Kopien der Sicherungsdateien verfügen und diese in ihren laufenden Angriffskampagnen schon nutzen.

(cku)

Am Donnerstag haben Bundestagsabgeordnete in einer sogenannten Aktuellen Stunde über ihre Position zur Chatkontrolle debattiert.

Bei der Chatkontrolle handelt es sich um einen viel kritisierten Bestandteil einer EU-Verordnung, über die seit Jahren die Mitgliedstaaten im EU-Rat verhandeln. Damit könnten Anbieter von Kommunikationsdiensten auf Anordnung verpflichtet werden, die Kommunikation ihrer Nutzer:innen zu scannen – auch ohne konkreten Verdacht und auch bei verschlüsselten Nachrichten. Ziel ist es, nach Darstellungen von sexualisierter Gewalt gegen Kinder zu suchen, damit Treffer letztlich an die Polizei weitergeleitet werden.

Bislang hatte Deutschland, vertreten durch die inzwischen abgelöste Ampelregierung, die brisanten Vorschläge auf EU-Ebene nicht abgenickt. Nach langer Unklarheit verkündete die nunmehrige schwarz-schwarz-rote Bundesregierung am Mittwoch, sie werde einer „anlasslosen“ Chatkontrolle gemäß einem Vorschlag der dänischen Ratspräsidentschaft nicht zustimmen. Aber zu welchen Kompromissen sie im EU-Rat bereit wäre und ob es rote Linien bei der deutschen Position gibt, ist bislang nicht bekannt. Darum drehten sich auch viele Wortbeiträge der Abgeordneten.

„Auf einmal reagiert das Kabinett“

Donata Vogtschmidt von den Linken etwa warf der Bundesregierung ihr langes Schweigen vor. Wer wenige Tage vor einer entscheidenden Abstimmung nicht das Rückgrat für eine Positionierung mitbringe, verdiene kein Vertrauen, so die Obfrau der Fraktion im Digitalausschuss. Erst nach viel Protest habe sich etwas bewegt – „auf einmal reagiert das Kabinett“.

Besonders kritisierte sie in ihrer Rede Digitalminister Karsten Wildberger, der sich nicht zu dem Thema äußern wollte. Vogtschmidt sagte: „Es scheint, als hätten wir einen Minister, der weder Lust auf Digitales noch auf Politik hat.“

„Besser spät als nie“

„Besser spät als nie“, sagte Jeanne Dillschneider von den Grünen zur Positionierung der Regierung. Sie begrüßt in ihrer Rede ausdrücklich, dass die Bundesregierung den letzten dänischen Vorschlag ablehnt. Wie viele andere Redner:innen demokratischer Fraktionen forderte sie statt Chatkontrolle wirksame Maßnahmen zum Schutz von Kindern in der digitalen und analogen Welt. „Wir können diese Aufgabe nicht auf Big Tech oder Bots abwälzen“, so Dillschneider.

Abgeordnete insbesondere der Unionsfraktion betonten wiederholt, man sei schon immer gegen eine anlasslose Chatkontrolle gewesen. Dabei verwundert, dass eine Sprecherin des Bundesinnenministeriums noch Anfang der Woche Nachfragen in der Bundespressekonferenz auswich.

Mehrere Unionsredner:innen zeigten sich genervt von den offenbar zahllosen Protestbriefen, -mails und -anrufen, die sie in den letzten Tagen erreicht haben. Von „mehr als 2.000 Nachrichten“ etwa sprach Johannes Rothenberger von der CDU, der seine erste Rede im Bundestag hielt. Damit werde „die Stimmung aufgeheizt“, beschwerte er sich.

Rothenberger ließ aber auch durchblicken, in welche Richtung sich die Position der Bundesregierung bewegen könnte. So begrüßte er ausdrücklich die Haltung des EU-Parlaments – dem späteren Verhandlungspartner des EU-Rats, sobald sich dort die EU-Länder einigen. Das Parlament bekannte sich etwa dazu, Darstellungen sexualisierter Gewalt konsequent zu löschen. Scans von Kommunikation dürften laut der Parlamentsposition nur nach einem richterlichen Beschluss bei verdächtigen Personen oder Gruppen stattfinden.

Nein zur Chatkontrolle, Ja zur Vorratsdatenspeicherung

Andere Unionsabgeordnete nutzten die Gelegenheit, die Ablehnung von Chatkontrolle mit einer erneuten Forderung nach Vorratsdatenspeicherung zu verbinden. Tijen Ataoğlu (CDU) kündigte dazu an, das Bundesjustizministerium werde dazu bald einen Gesetzesvorschlag vorlegen.

Unklar in ihren Ausführungen blieb, wie die Union zu Client-Side-Scanning steht. Das bedeutet, dass Kommunikation auf Endgeräten gescannt wird, bevor sie für den Versand verschlüsselt wird. Deutlich äußerte sich hingegen die Sozialdemokratin Carmen Wegge. Ihrer Meinung nach würde Client-Side-Scanning „vor deutschen Gerichten keinen Bestand haben“. Es greife tief in die Privatsphäre ein. „Anlasslose Überwachung ist ein Tabu in einem Rechtsstaat“, so Wegge, deren Worte an Bundesjustizministerin Stefanie Hubig (SPD) erinnerten.

Über Fragen wie Client-Side-Scanning oder die Definition davon, was ein Anlass ist und ab wann etwas anlasslos geschieht, wird die Bundesregierung wohl für künftige Abstimmungen im EU-Rat weiter diskutieren müssen. Alle Redner:innen waren sich jedoch einig: Sie muss sich für den Schutz von Kindern und Jugendlichen einsetzen. Das ist ein Ziel das alle unterstützen. Aber die Chatkontrolle, die wäre der falsche Weg.

Rebecca Lenhard von den Grünen drückte das so aus: „Kinder zu schützen, ist unsere Pflicht. Unsere Freiheit zu schützen, ist unsere Verantwortung. Beides gehört zusammen.“

Trend Micro untersucht derzeit Probleme mit der Sicherheitssoftware Apex One. Nach den jüngsten Aktualisierungen starten auf betroffenen Rechnern keine ausführbaren Dateien mehr. Die Verteilung des fehlerhaften Updates konnte der Hersteller bereits abstellen.

Das weckt Erinnerungen an das CrowdStrike-Desaster aus dem vergangenen Jahr. Auf der Status-Seite der Trend-Micro-Services meldet der Hersteller, dass der Apex-One-Agent nach einem Update eine Fehlermeldung erzeugt, die die Nachricht „Bad Image“ enthält und dafür sorgt, dass keine ausführbaren Dateien auf den Rechnern mehr gestartet werden. In einem Support-Dokument erörtert Trend Micro die konkret auftretende Fehlermeldung.

Erste Gegenmaßnahmen

Die angezeigte Fehlermeldung lautet demnach „regsvr32.exe – Bad Image“. In den Details geht sie weiter mit: „C:\WINDOWS\System32\tmmh\20019\AddOn\8.55.0.1399\TmUmEvt.dll is either not designed to run on Windows or it contains an error. Try installing the program again using the original installation media or contact your system administrator or the software vendor for support. Error status 0xc000012f.“ Betroffene sollen also die Datei „TmUmEvt.dll“ mit ihrer Vorgängerversion ersetzen, um das System wieder vollständig in Funktion zu setzen.

Gegenüber heise online erklärte Trend Micro: „Es handelt sich tatsächlich um ein fehlerhaftes Update.“ Nachdem das Unternehmen seine Updates phasenweise verteile, „konnten wir das fehlerhafte Update stoppen und verhindern, dass weitere Kunden/Maschinen betroffen werden“. Die Prüfung, wie viele Kunden betroffen sind und in welchem Ausmaß, laufe derzeit noch.

Zuletzt hatte Trend Micro Mitte August mit Sicherheitsproblemen in Apex One zu tun. Das Update zum Schließen einer im Internet bereits angegriffenen Sicherheitslücke in der On-Premises-Version der Apex One Management Console hatte Nebenwirkungen, durch die die „Remote-Install-Agent“-Funktion nicht mehr funktionierte. Zwei Wochen später legte das Unternehmen eine Aktualisierung nach, die auch diese Funktion wiederherstellte.

(dmk)