Entgegen der üblichen Empfehlung von IT-Sicherheitsexperten und auch des Schweizer Bundesamts für Cybersicherheit hat der Bundeskonzern RUAG offenbar ein Lösegeld gezahlt, nachdem die Cybergang Akira bei dessen Tochterunternehmen Mecanex USA sensible Dokumente bei einem IT-Vorfall entwendet hat. Der Datendiebstahl erfolgte Anfang November 2025, der SRF ordnet den Einbruch der US-Tochter RUAG LLC zu.

Die Täter von Akira haben im Darknet angegeben, etwa 24 GByte an Daten kopiert zu haben. Die sollen Sozialversicherungsnummern, Ausweise, Führerscheine, Telefonnummern, Adressen und weitere Informationen von Angestellten enthalten. Zudem sollen geheime militärische Informationen sowie Verträge und Anleitungen zum Umgang mit Sprengstoffen darunter sein.

RUAG räumt Lösegeldzahlung ein

Der SRF berichtet, dass RUAG-Verwaltungsratspräsident Jürg Rötheli in der SRF-Samstagsrundschau die Lösegeldzahlung eingeräumt habe: „Wir haben bezahlt, einen kleinen Betrag, glücklicherweise, und haben alle Daten zurückerhalten“, sagte er in der Radiosendung. Lösegeldforderungen belaufen sich demnach auf niedrigere sechsstellige Beträge.

In der Schweiz empfehlen die Behörden ebenso wie in Deutschland nachdrücklich, in derartigen Fällen keine Lösegeldzahlungen zu leisten. Im Jahr 2022 haben auch IT-Sicherheitsexperten aus Bildung und Wirtschaft in einem offenen Brief sogar Maßnahmen gegen Lösegeldzahlungen von Opfern veröffentlicht, der viel Aufmerksamkeit erhielt.

Auch Rötheli war diese Empfehlung bewusst, er erklärte jedoch, die Lösegeldzahlung sei abgesprochen gewesen – mit unternehmensinternen Gremien. Eine Beratung mit US-Rechtsexperten sei erfolgt. Das Schweizer Verteidigungsministerium VBS (Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport) wollte das nicht kommentieren, sei im Vorfeld aber nicht informiert worden. Gegenüber dem SRF hat der SVP-Nationalrat und IT-Unternehmer Mauro Tuena eingeordnet, dass die Gruppe Akira nun wisse, dass der Schweizer Bund bereit sei, Lösegeld zu zahlen, was ein verheerendes Signal sei. Die RUAG entgegnete dem, dass die Entscheidung richtig gewesen sei, da sie alle Daten zurückerhalten habe und Schäden habe minimieren können.

Die kriminelle Vereinigung Akira nutzt eine eigene Ransomware und verschlüsselt offenbar nach wie vor die Daten ihrer Opfer – und beschränkt sich nicht wie viele andere Gruppen darauf, diese nur zu stehlen und für die Nicht-Veröffentlichung Lösegeld zu erpressen. Zuletzt fiel sie etwa Ende 2025 auf, als Angreifer die Akira-Ransomware auf SonicWall-Firewalls geschoben haben – trotz aktivierter Mehr-Faktor-Authentifizierung. Seitdem scheint die Bande es eher auf kleinere Unternehmen abgesehen zu haben und fällt nicht mehr so stark auf.

(dmk)

Baumbart hat fünf Mal zugeschlagen. Die Waffen, die er nutzte, waren Kaugummis. Fünf Stück. Airwaves Menthol und Eukalyptus, gut durchgekaut. Den ersten platzierte er am 16. April 2024 gegen 23 Uhr 34 auf der Kuppel einer Domkamera im Erfurter Hauptbahnhof. „Es war einfach eine kindische Idee. Ich war am Kaugummikauen und da mein Arm sehr lang ist … dann hab ich einfach Zack das abgeklebt. Ich wollte wissen, was dann passiert“, sagt Baumbart, der eigentlich anders heißt, aber hier so genannt werden möchte, um seine Identität zu schützen.

Als nichts passiert, klebt er acht Monate später den nächsten Kaugummi auf eine andere Kamera. Und zwei Wochen darauf den nächsten, zehn Tage darauf den nächsten, am Tag darauf den nächsten. Insgesamt fünf Mal wurde eine Kamera von ihm mit Kaugummi beklebt. „Die hingen da oft tagelang“, erinnert er sich.

Etwa ein Jahr ist das her, es hatte Baumbart einfach gereicht. Er fährt viel Bahn und ist deshalb immer wieder im Bahnhof unterwegs. Die Kameras dort sind ihm schon oft negativ aufgefallen. „Das ist nicht gut, dass immer mehr davon installiert werden“, sagt er, und dass er sich dabei auch um die freiheitliche Gesellschaft und um die Demokratie sorge.

Die Zahl der Kameras wächst, die KI-Analyse der Aufnahmen – mittels Verhaltensscanner oder Echtzeit-Gesichtserkennung – steht vor der Einführung als Standard-Feature. Viele sorgen sich, was solche Tools in den Händen autoritärer Kräfte anrichten können. Einige Initiativen stellen sich politisch gegen Videoüberwachung und die KI-Analyse der Aufnahmen, beispielsweise in Köln, Thüringen, Schleswig-Holstein, Berlin, zudem gibt es eine bundesweite Vernetzung.

Und auch mit der direkten Aktion befindet sich Baumbart in vielfacher Gesellschaft. Der physische Widerstand gegen Videoüberwachung ist ein internationales Phänomen. Dieser Artikel zeigt, zu welchen Mitteln soziale Bewegungen in der Vergangenheit gegriffen haben und und wo hierzulande der juristische Unterschied zwischen Sprengen und Verhüllen liegt.

Lasso, Stange, Feuerlöscher

Die ältesten uns vorliegenden Zeugnisse handfester Attacken auf Überwachungs-Kameras stammen aus Griechenland. Dort wurde, oft im Rahmen von Demonstrationen, eine Kombination aus einem sehr langen Stab und einer Seilschlinge benutzt, um Kameras mit menschlicher Zugkraft von ihrem Mast zu holen. Videos davon stammen von 2004, 2005, 2007 und 2008. Von 2013 ist ein Video, das zeigt, wie Menschen in Berlin Kameras zerstören. Ihre Werkzeuge: eine Art Lasso, eine lange Stange, ein farbgefüllter Feuerlöscher und ein Nothammer.

Protestierende in Hongkong haben 2019 mehrere Kameramasten gefällt, Regenschirme direkt vor Kameras gehängt und Laserpointer gegen Kameras eingesetzt, um automatisierte Gesichtserkennung zu erschweren. Die Lichtstrahlen können Kameras sogar zerstören, indem sie den Sensorchip überfordern, je nachdem aus welchem Abstand und Winkel sowie mit welcher Leistung und Dauer der Strahl einwirkt.

In Folge der Proteste wurden zahlreiche Menschen wegen des Besitzes von Laserpointern festgenommen. Es hieß, die seien als Waffe einsetzbar.

Trennschleifer, Brecheisen, Fiat Punto

Von April 2020 bis Mai 2021 zählt eine Publikation aus dem anarchistischen Spektrum 62 Angriffe auf Überwachungskameras, in deren Rahmen zahlreiche Kameras zerstört wurden. Die meisten der Attacken wurden in Frankreich registriert. Der Publikation nach wurden zu dieser Zeit Kameras mit Feuerwerk attackiert, mit Seilen, Steinen, Trennschleifern, Brecheisen und Hämmern, einem Schleifgerät, einer Bügelsäge, einer Kreissäge, einer Kettensäge, einer Luftdruckwaffe, einem Gewehr, einem Fiat Punto, einem Vorderkipper, einem Einkaufswagen voll brennender Textilien und mehrfach mit brennenden Kraftfahrzeugen.

Die Kameras seien angezündet, mit Farbe bedeckt, zerschlagen, abgesägt und mit Verkehrshütchen verdeckt worden. Angriffe hätten sich auch gegen Masten, Verkabelung und Hersteller der Kameras gerichtet. Aktivist*innen aus Toulouse haben sich beispielsweise auf Verkabelung spezialisiert.

Aktuell gibt es in den USA viele Menschen die Kameras von Flock zerstören, mit zum Beispiel Vorschlaghammer oder Feststellzange. Die Flock-Kameras können Nummernschilder auslesen und werden zum Aufbau eines Überwachungsnetzwerks genutzt.

Videos von gekauten Kaugummis

Nicht lange, nachdem er den letzten der fünf Kaugummis auf eine Kamera im Erfurter Hauptbahnhof geklebt hat, fährt Baumbart mit der Bahn dorthin. Er sagt, ein Polizist habe sein Abteil betreten, ihn mit Namen angesprochen und aufgefordert, sich auszuweisen. Inzwischen hat er Post bekommen. Einen Strafbefehl über eine Geldstrafe in Höhe von 50 Tagessätzen wegen Störung einer der öffentlichen Ordnung oder Sicherheit dienenden Einrichtung oder Anlage. 2.000 Euro soll er zahlen.

Die Staatsanwaltschaft schreibt, sie habe Aufnahmen von ihm während der Tat.

Die Kameras, die Baumbart attackierte, waren Domkameras, umhüllt mit Kuppeln aus Kunststoff. Die Kameras darunter sind frei beweglich. Baumbart hat mit den Kaugummis nicht die Linsen der Geräte beklebt, sondern nur einen kleinen Bereich ihrer Schutzhüllen. „Hierdurch war die Funktionsfähigkeit der jeweiligen Kamera zumindest gemindert, eine vollständige Videoüberwachung nicht mehr möglich“, schreibt die Staatsanwaltschaft.

Baumbart wehrt sich

Baumbart sieht seine Verantwortung. Er sagt, er wolle nie wieder eine Kamera mit Kaugummi bekleben und für das, was er getan hat, geradestehen. Gerne würde er zum Beispiel Sozialstunden ableisten. Aber nicht: 2.000 Euro an den Staat zahlen. Ihm fehlt der Sinn darin, der pädagogische Moment. Er beschließt, sich gegen die Forderung zu wehren, nimmt sich eine Anwältin und zieht vor Gericht. Wie sein Kampf ausgeht, steht ganz am Schluss dieses Textes. Die Bandbreite der potenziellen Strafmaße ist jedenfalls enorm, das zeigt eine Strafgesetzbuch- und Urteils-Lesung mit David Werdermann, Jurist bei der Gesellschaft für Freiheitsrechte.

Störung öffentlicher Anlagen ist strafbewehrt mit bis zu fünf Jahren Haft. Alternativ hätte die Staatsanwaltschaft Baumbart auch wegen Sachbeschädigung anklagen können. Dafür drohen maximal zwei Jahre Haft. Deutsche Richter*innen urteilen auch bei temporären Einschränkungen von Kameras nach dem Sachbeschädigungs-Paragrafen. Eine Geschwindigkeitsüberwachungs-Anlage mit Reflektoren blenden: Sachbeschädigung, so das OLG München. Beschmieren eines Blitzers mit Senf: Sachbeschädigung, so das OLG Stuttgart.

„Zerstörung wichtiger Arbeitsmittel“

Eine gemeinschädliche Sachbeschädigung, die vom Strafmaß mit drei Jahren zwischen der einfachen Sachbeschädigung und der Störung öffentlicher Anlagen liegt, ist hier nicht anwendbar. Dafür müsste jedermensch einen unmittelbaren Nutzen aus dem beschädigten Gegenstand ziehen können – wie bei einer Parkbank etwa. Eine Strafe wegen Zerstörung von Bauwerken mit bis zu fünf Jahren Haft ist denkbar, so Werdermann, wenn mensch einen ganzen Kameramast umlegt.

Die gleiche Höchststrafe gibt es auch für „Zerstörung wichtiger Arbeitsmittel“. Die Kamera könne dabei als Arbeitsmittel der Polizei gelten. Der Paragraf zieht allerdings nur, wenn der Wert des zerstörten Gegenstandes mindestens 1.500 Euro beträgt. Wenn Feuer im Spiel ist, steht der Vorwurf der Brandstiftung im Raum. Nicht unter ein Jahr Haft, bis zu 10 Jahre. In minderschweren Fällen drohen ein halbes Jahr bis fünf Jahre Gefängnis. Für die Verurteilung nach dem Brandstiftungsparagrafen muss das Feuer allerdings „gemeingefährlich“ sein. Das gälte bei Kameras an einem Wohnhaus, an einem freistehenden Mast eher nicht.

Freiheitsstrafen von ebenfalls nicht unter einem Jahr drohen bei dem Herbeiführen einer Sprengstoffexplosion. Auch die ist allerdings nur dann justiziabel, wenn dabei Personen oder Gegenstände im Wert von über 1.500 Euro gefährdet werden. Parallel sind auch immer noch zivilrechtliche Ansprüche denkbar, wenn ein Mensch fremdes Eigentum beschädigt.

Tuch, Plakat, Luftballons

Auf der anderen Seite könnten Personen straffrei davonkommen, wenn sie die temporäre Funktionseinschränkung noch sanfter angingen als Baumbart mit seinen Kaugummis. Ein Tuch über die Kamera werfen, sich mit einem großen Plakat oder einem Strauß Luftballons direkt davorstellen, „da fehlt vermutlich die zur Verurteilung nötige Einwirkung auf die Sachsubstanz“, sagt Werdermann.

Auch in Baumbarts Fall steht die Anklage auf wackeligen Füßen. Laut Werdermann kann eine Störung von Anlagen, die der öffentlichen Sicherheit dienen, gar nicht vorliegen, weil die Deutsche Bahn ein privatwirtschaftliches Unternehmen ist. Das betreibe seine Kameras im Rahmen des Hausrechts, nicht auf Basis der Gesetzgebung zur öffentlichen Sicherheit.

Der zuständige Richter hat Baumbarts Verfahren nach der mündlichen Verhandlung eingestellt. Bedingung: Baumbart muss 900 Euro zahlen statt 2.000. Und nicht an den Staat, sondern an einen Verein, der benachteiligte Kinder und Jugendliche unterstützt, mit Gratis-Urlauben beispielsweise. Diese Strafe nimmt Baumbart gerne an.

Im Firewall-Treiber aus Comodo Internet Security 2025 klafft eine Sicherheitslücke, die die Software zum Absturz bringen kann. Das gelingt Angreifern aus dem Netz. Ein Update ist derzeit nicht in Sicht. Nutzerinnen und Nutzer sollten die Software besser deinstallieren. Da Sicherheitslücken immer öfter einen Spitznamen haben, hat auch diese einen verpasst bekommen: „ComoDoS“.

In einem Beitrag schreibt der Entdecker der Schwachstelle, Marcus Hutchins, dass er „Bring Your Own Vulnerable Driver“-Lücken untersucht hat und dabei auf die Schwachstelle gestoßen ist. Er hat dabei eine Künstliche Intelligenz genutzt, die seiner Ansicht nach erstaunlich oft bei Treibern von IT-Sicherheitssoftware anschlägt. Insbesondere bei Software wie Antivirus und Firewalls. Wenn schon die KI so gut ist, darin Probleme ausfindig zu machen, die zur lokalen Rechteausweitung taugen, wollte Hutchins auch mit einer manuellen Analyse herausfinden, ob sich interessante Sicherheitslücken finden lassen.

Zufallstreffer in Comodos Firewall-Treiber

Der Firewall-Treiber „inspect.sys“ kam eher zufällig ins Visier des IT-Forschers, da die KI bei der Untersuchung aus Versehen eine sehr alte Version dieses Treibers untersucht hat. Eigentlich sollte nur der jüngste Treiber in die Analyse gehen, in diesem Fall war es jedoch eine Version aus 2014. Darin fand er eine Reihe bereits geschlossener Sicherheitslücken, stieß aber auch auf einige unglückliche Designentscheidungen. Das Aufspüren von Fehlern war demnach sehr leicht, schwieriger jedoch war die Entdeckung von nützlichen im Sinne von angreifbaren Schwachstellen. Im IPv6-Code wurde er dann fündig. Im Beitrag erklärt er detailliert, was er gefunden hat.

Die Schwachstellenbeschreibung selbst ist etwas knapper: In der IPv6-Paket-Verarbeitung kann ein sogenannter Integer-Unterlauf auftreten – noch bevor Firewall-Regeln greifen. Angreifer können deshalb aus der Ferne ohne vorherige Authentifizierung ein manipuliertes IPv6-Paket senden, um einen Lesezugriff außerhalb vorgesehener Speichergrenzen zu provozieren, was am Ende zu einem Absturz des Systems führt (BSOD). Das klappt auch dann, wenn alle Ports in der Firewall blockiert sind (CVE-2026-49494, CVSS 7.5, Risiko „hoch“).

Hutchins hat Comodo einen vollständigen Fehlerbericht geschickt, eine Ursachenanalyse und sogar mit Vorschlägen, wie die Entwickler das patchen könnten. Auch einen Proof-of-Concept-Exploit hat Hutchins veröffentlicht. Nur – der Hersteller reagierte zunächst nicht, es gab keine Antwort. Comodo Internet Security ist bis einschließlich Version 12.3.4.8162 anfällig für die Attacke. Das ist laut Forum auch die derzeit aktuelle Fassung davon.

Um das System nicht dem Risiko von Abstürzen mit Bluescreen-of-Death (BSOD) auszusetzen, sollten Comodo-Nutzerinnen und -Nutzer die Software deinstallieren. Der Microsoft Defender erkennt Malware ebenfalls ordentlich. Die Windows-Firewall leistet ebenfalls brauchbaren Dienst.

Vor rund einem Jahr fiel Comodo Internet Security ebenfalls durch Sicherheitslücken auf. Die ermöglichten Angreifern, Schadcode einzuschleusen und auszuführen. Betroffen damals: Version 12.3.4.8162. Derart schlecht gewartete Software sollten Nutzer zeitnah entfernen.

(dmk)