In der Nacht zum Donnerstag hat die US-amerikanische IT-Sicherheitsbehörde CISA drei Schwachstellen in den Katalog der „Known Exploited Vulnerabilities“ aufgenommen. Es handelt sich um kritische Sicherheitslücken in Ciscos Secure Email Gateway und Secure Email and Web Manager, Sonicwall SMA1000-Appliances sowie auf die Software Ausus Live Update. Angreifer attackieren die Lecks, Admins sollten jetzt bereitstehende Updates installieren.

Vor den attackierten Schwachstellen warnt die CISA in der „KEV“ abgekürzten Liste. Am gravierendsten ist die Sicherheitslücke in Ciscos Secure Email Gateway und Web Manager. Der Sicherheitsmitteilung von Cisco zufolge hat das Unternehmen bereits am 10. Dezember eine Angriffskampagne beobachtet, die auf bestimmte Ports von Ciscos AsyncOS-Software für diese Appliances zielte. Laut einer Analyse verortet Cisco die Angreifer in einer Gruppe aus dem chinesischen Umfeld. Bei den Angriffen konnten die Täter aus dem Internet beliebige Befehle mit Root-Rechten im Betriebssystem ausführen. Damit haben sich die Angreifer auch in die Geräte eingenistet. Details zur Schwachstelle selbst nennt Cisco jedoch noch nicht (CVE-2025-20393, CVSS 10.0, Risiko „kritisch“).

Software-Updates stellt Cisco nicht bereit, rät IT-Verantwortlichen mit verwundbaren Geräten – also jenen, die das Web Management Interface oder den Port für die Spam-Quarantäne im Internet exponieren – jedoch, die Konfiguration der Appliances in einen sicheren Zustand zu versetzen. Dazu gehört das Herunterladen und Installieren von virtuellen Ersatz-Appliances. Zudem finden Admins in der Analyse einige Indizien für Kompromittierung (Indicators of Compromise, IOCs). Temporäre Gegenmaßnahmen nennt Cisco nicht.

Weitere attackierte Sicherheitslücken

Zudem attackieren bösartige Akteure eine Schwachstelle in Sonicwalls SMA1000-Appliances. Die neue Sicherheitslücke erlaubt Angreifern das Ausweiten ihrer Rechte aufgrund unzureichender Authentifizierung in der SMA1000 Appliance-Management-Konsole (AMC) (CVE-2025-40602, CVSS 6.6, Risiko „mittel“). Sonicwall weist in der Sicherheitsmitteilung darauf hin, dass Angreifer die Schwachstelle mit einer kritischen Deserialisierung-Schwachstelle verknüpfen, für die bereits seit Januar aktualisierte Software zum Ausbessern bereitsteht. Die neue Sicherheitslücke schließen Aktualisierungen auf SMA1000 12.4.3-03245 sowie 12.5.0-02283 und neuere Versionen. Bis zur Installation der Updates sollten Admins die Zugriffe auf die AMC stark beschränken und etwa SSH-Zugang ausschließlich mittels VPN oder festgelegter IPs für Admins erlauben oder das SSL-VPN-Management-Interface und SSH-Zugänge aus dem Internet deaktivieren. Sonicwall weist darauf hin, dass SSL-VPN auf Sonicwall-Firewalls nicht betroffen ist.

Die dritte Sicherheitslücke, auf die bösartige Akteure es abgesehen haben, betrifft eine alte Asus-Software zum Aktualisieren von Hersteller-Software auf PCs und Notebooks, das Asus Live Update. Im Jahr 2019 konnten staatliche Cyberkriminelle die Live-Update-Server unterwandern und kompromittierte Software – damals auf bestimmte Ziele beschränkt – verteilen, wie Asus damals in einer Warnung schrieb. „Die modifizierten Builds können Geräte eigentlich nicht beabsichtigte Aktionen ausführen lassen, wenn sie bestimmte Bedingungen erfüllen“, schreibt Asus in der Schwachstellenbeschreibung (CVE-2025-59374, CVSS 9.3, Risiko „kritisch“). Nur Geräte, die diese Randbedingungen erfüllen und auf denen die kompromittierte Software installiert wurde, sind betroffen. Die App wird seit Oktober 2021 nicht mehr länger unterstützt, was bedeutet, dass kein aktuelles Asus-Gerät, das noch Support erhält, anfällig ist, schränkt das Unternehmen weiter ein.

Details zu den Angriffen und der Reichweite nennen Cisa und die Hersteller bis auf Cisco nicht. Admins sollten ihre Systeme prüfen und nach Vorgaben der Hersteller absichern.

(dmk)

„Dass unsere Demokratie und ihre Institutionen zunehmend hybriden Angriffen autoritärer Regime ausgesetzt sind, kann spätestens seit den jüngsten und deutlichen Warnungen der Spitzen unserer Nachrichtendienste und der Einbestellung des russischen Botschafters niemand mehr bestreiten“, sagt der stellvertretende Vorsitzende der Grünen-Bundestagsfraktion, Konstantin von Notz.

Dieser bedrohlichen Kombination aus „anhaltend großer Verwundbarkeit und zunehmender Gefahren“ müsse die schwarz-rote Koalition endlich entschlossen entgegentreten.

Vorgaben nur für Bundestagsverwaltung – nicht das Parlament selbst

Zwar hätten die Regierungsfraktionen den schlechten Entwurf der Bundesregierung zur Umsetzung der europäischen NIS-2-Richtlinie zum Schutz der kritischen Infrastruktur vor Cyberangriffen so überarbeitet, dass hiervon nun auch die Bundesverwaltung und die Verwaltung des Bundestages umfasst seien. Der Bundestag selbst, inklusive der Fraktionen und Abgeordneten mit ihren Wahlkreisbüros, gehöre aber nicht zum Geltungsbereich.

Es sei „geradezu absurd“, dass der Bundestag als „Herzstück der Demokratie“ bisher nicht als kritische Infrastruktur eingestuft sei, obwohl er seit Jahren immer wieder angegriffen werde, sagt der Grünen-Politiker, der dem Bundestagsgremium zur Kontrolle der Geheimdienste angehört.

NIS-2-Richtlinie der EU umgesetzt

Am 6. Dezember ist das Gesetz in Kraft getreten, mit dem die NIS-2-Richtlinie in deutsches Recht umgesetzt wird. Das Gesetz erhöht die Anforderungen an die Cybersicherheit der Bundesverwaltung sowie bestimmter Unternehmen, die als wichtig für das Gemeinwesen gelten. Dazu zählen etwa Telekommunikationsanbieter und Energieversorger.

Für sie gelten jetzt strengere Vorgaben in puncto IT-Sicherheit sowie die Pflicht, erhebliche Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik zu melden.

Cyberattacke und Desinformation

Die Bundesregierung wirft Russland eine massive Cyberattacke sowie Falschinformationen im jüngsten Bundestagswahlkampf vor und hatte deshalb vergangene Woche Konsequenzen angedroht. Die „gezielte Informationsmanipulation“ reihe sich in eine Serie von Aktivitäten ein, die das Ziel hätten, das Vertrauen in demokratische Institutionen und Prozesse in Deutschland zu untergraben, teilte das Auswärtige Amt mit. Der russische Botschafter wurde daher ins Ministerium einbestellt.

Konkret gehen nach Überzeugung der Bundesregierung zwei hybride Angriffe auf das Konto des russischen Militärgeheimdienstes GRU.

IT der Flugsicherung betroffen

Zum einen könne ein Cyberangriff gegen die Deutsche Flugsicherung (DFS) im August 2024 klar der russischen Hackergruppe „Fancy Bear“ und dem GRU zugeordnet werden.

Zum anderen könne man nun verbindlich sagen, dass Russland mit der Kampagne „Storm 1516“ versucht habe, „sowohl die letzte Bundestagswahl als auch fortlaufend die inneren Angelegenheiten der Bundesrepublik Deutschland zu beeinflussen und zu destabilisieren“.

Im Fokus standen vor der Bundestagswahl unter anderem der Grünen-Spitzenkandidat Robert Habeck und der damalige Unions-Kanzlerkandidat Friedrich Merz (CDU). Um sie in Misskredit zu bringen, wurden unter anderem falsche Zeugenaussagen produziert und ins Netz gestellt sowie Websites mit erfundenen Inhalten aufgesetzt.

(dmk)

Wenn jemand im Telekom-Netz von einer inländischen oder ausländischen Nummer angerufen wird, die in einer Datenbank als unseriös oder betrügerisch erfasst ist, dann erscheint auf dem Smartphone-Display den Angaben zufolge der Hinweis „Vorsicht, möglicher Betrug!“.

Vodafone ist voraus, O2 lässt auf sich warten

Vodafone hat ein ähnliches Warnsystem bereits im Mai aktiviert, seither hat dieser Spam-Warner Firmenangaben zufolge bereits 50 Millionen Mal Alarm geschlagen. Nur 12 Prozent der Anrufe werden trotzdem angenommen, bei anonymen Anrufen – also wenn keine Nummer im Display erscheint – liegt die Annahmequote bei 60 Prozent.

Die Anrufe, bei denen vorher der Betrugshinweis sichtbar war, dauerten laut Vodafone in 90 Prozent der Fälle weniger als 30 Sekunden – also sehr kurz, was ein gutes Zeichen ist: Vermutlich waren die allermeisten Angerufenen auf der Hut und legten ruckzuck wieder auf, noch bevor der Betrüger seine rhetorischen Winkelzüge vollziehen konnte. Die Betrugsanrufe kamen nicht nur aus Deutschland, sondern besonders häufig auch aus den Niederlanden, aus Österreich, Italien und dem Vereinigten Königreich.

Betrüger wollen Bankdaten oder Passwörter

„Betrüger sind oft sehr geschickt darin, Vertrauen aufzubauen – sei es durch vermeintliche Gewinnspiele oder Umfragen“, warnt Marc Atkins, Leiter der Cyber-Sicherheitszentrale von Vodafone Deutschland. Solche Methoden dienten häufig dazu, sensible Informationen wie Bankdaten oder Passwörter zu erlangen. „Seien Sie skeptisch und geben Sie keine persönlichen Daten am Telefon preis“, warnt der Sicherheitsexperte.

Der dritte etablierte Handynetz-Betreiber in Deutschland, O2 Telefónica, hat noch kein solches Betrugswarnsystem für seine Kundinnen und Kunden aktiviert.

(afl)