Connect with us

Datenschutz & Sicherheit

Microsoft-Patchday: Neuer Rekord mit 622 gefixten Schwachstellen


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Die Schwemme an Schwachstellenmeldungen macht auch vor Microsoft nicht halt. Die „Vulnocalypse“ nötigt das Unternehmen, am Juli-Patchday gleich 622 Schwachstellen in diversen Produkten aus dem Portfolio zu behandeln. Einige Schwachstellen waren bereits bekannt, andere werden schon im Netz aktiv angegriffen.

Weiterlesen nach der Anzeige

Microsoft liefert einen Überblick über die geschlossenen Schwachstellen am Patchday. Rund 60 der Sicherheitslücken stuft Microsoft als „kritisches“ Sicherheitsrisiko ein. Alleine in Windows haben die Entwickler sich demnach um 416 Schwachstellen gekümmert, darauf folgen Office und Office 2016 mit jeweils geschlossenen 82 Sicherheitslücken. Der Chromium-basierte Webbrowser Edge steuerte weitere 46 Sicherheitslecks zur Statistik bei. An fünfter Stelle findet sich bereits der SharePoint-Server mit 17 neuen CVE-Schwachstelleneinträgen, den es nun härter erwischt hat.

Angreifer missbrauchen bereits eine fehlende Authentifizierung zur Ausweitung ihrer Rechte in SharePoint – dazu müssen sie zuvor nicht einmal angemeldet sein (CVE-2026-56164, CVSS 5.3, Risiko „mittel“). Davor warnt auch die US-amerikanische IT-Sicherheitsbehörde CISA. Die Behörde hat zudem eine dringende Anleitung veröffentlicht, nach der Admins ihre On-Premises-SharePoint-Server härten und gegen Angriffe schützen sollen. Auch in den Active Directory Federation Services (AD FS) machen sich Angreifer eine unzureichende Zugriffsrechte-Abstufung zunutze, um ihre Rechte in AD-Infrastrukturen auszuweiten (CVE-2026-56155, CVSS 7.8, Risiko „hoch“). Trend Micros Zero Day Initiative (ZDI) empfiehlt die zügige Prüfung und Installation des Patches, da die Lücke mit weiteren Codeschmuggel-Lücken zusammen etwa für Ransomware-Angriffe missbraucht werden kann.

Eine Sicherheitslücke ermöglicht die Umgehung der BitLocker-Verschlüsselung und ist bereits öffentlich bekannt, merkt Microsoft weiter an (CVE-2026-50661). Bereits am Juni-Patchday hatte Microsoft mehrere Defender- und BitLocker-Probleme gelöst, die der IT-Sicherheitsforscher mit dem Handle „Nightmare Eclipse“ zuvor publik gemacht hat. Ohne konkrete Auflistung haben die Microsoft-Entwickler zudem 428 CVE-Einträge für die Chromium-Basis des Edge-Webbrowsers veröffentlicht, die nicht von Microsoft selbst stammen.

IT-Verantwortliche sowie Nutzerinnen und Nutzer von Microsoft-Software sollten die Patches gegebenenfalls in ihren Umgebungen testen und zügig anwenden, um die Angriffsfläche für Cyberkriminelle zu minimieren.


(dmk)



Source link

Datenschutz & Sicherheit

Daten-Skandal: Schufa speichert alte Datensätze über Millionen von Menschen


Die Schufa, die größte Wirtschaftsauskunftei des Landes, besitzt neben ihren aktuellen Daten eine Schattendatenbank mit historischen und veralteten Daten über Millionen von Menschen. Das hat eine gemeinsame Recherche von NDR und Süddeutscher Zeitung herausgefunden. Die Schufa bewertet die Kreditwürdigkeit von Menschen, zu ihren Kunden gehören unter anderem Banken, Energieversorger oder Telekommunikationsunternehmen.

Laut der Recherche handelt es sich bei den Daten um „alte Kredite und Kreditkarten, Pfändungen und Privatinsolvenzen, Schulden, die die Betroffenen oft schon vor Jahren beglichen haben“. Es seien Daten, die die Schufa schon längst gelöscht haben müsste, so der Bericht weiter. Die sensiblen Daten könnten großen Schaden anrichten.

Wenn Menschen bei der Schufa anfragen, welche Daten diese über sie gespeichert hat, gibt die Auskunftei diese historischen Informationen nicht an. In der Süddeutschen heißt es: „Auf der offiziellen Datenkopie, die Verbraucher bei der Schufa anfordern können, tauchen diese Informationen nicht auf.“ Laut der Datenschutzgrundverordnung müssen in der Regel alle, die Daten über Menschen bereithalten, diese bei Auskunftsersuchen auch offenlegen.

Die Schufa schreibt mittlerweile auf ihrer Website selbst: „Wir weisen historische Daten auf der Datenkopie nach Art. 15 DSGVO nicht gesondert aus.“ Das erfülle nach Rechtsauffassung der Schufa den Auskunftsanspruch. „Verbraucherinnen und Verbraucher wollen vor allem wissen, wie es aktuell um ihre Bonität steht und welche Daten Einfluss auf Ihren Score haben“, so die Auskunftei.

„Keine Rechtsgrundlage“

Laut der Süddeutschen Zeitung nutzt die Schufa die alten Daten, um ihren Kunden zu zeigen, wie gut der neue Schufa-Score funktioniert. Die Daten werden also zu Werbe- und Demonstrationszwecken genutzt. Dies widerspricht nach gängiger Ansicht von Datenschützer:innen dem Grundsatz der Datensparsamkeit, der in der DSGVO festgelegt ist. Mehrere Daten- und Verbraucherschützer:innen, mit denen NDR und Süddeutsche gesprochen haben, wie Ruth Janal, Expertin für Datenschutz und Professorin an der Universität in Bayreuth, sehen für die Praxis „keine Rechtsgrundlage“. Janal verweist in diesem Zusammenhang auch auf die Zweckbindung von Datenspeicherungen, die gesetzlich vorgeschrieben ist.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Gegenüber dem NDR sagt Janal: „Eine dauerhafte Speicherung solcher historischen Daten auf Vorrat für unbestimmte zukünftige Zwecke ist nach der Rechtsprechung des Europäischen Gerichtshofes nicht zulässig“. Zwar könne es zulässig sein, dass alte Daten gespeichert werden, um die Zuverlässigkeit des Scores zu prüfen. „Aber das ließe sich auch mit einem deutlich kleineren Datensatz ermöglichen“, so Janal auf tagesschau.de.

Datenschutzbeauftragter eingeschaltet

Die Schufa hingegen sieht sich im Recht. Gegenüber SZ und NDR sagt sie, dass sie nicht mit einer „historischen Datenbank“ arbeite, sondern „historische Daten zu Datenschutzkontroll‑, Test‑, Entwicklungs- und Rechtsverteidigungszwecken“ speichere. Die Daten seien „archivierte Datensätze“ und die Schufa sei dazu verpflichtet, diese aufzubewahren.

Der Skandal geht noch über die Schattendatenbank hinaus. Laut der Recherche können Kunden der Schufa auch historische Schufa-Scores, also die Kreditwürdigkeit von Menschen zu einem Zeitpunkt in der Vergangenheit, abrufen. Laut der Recherche tun einige Kunden dies auch. Die Bayreuther Professorin Ruth Janal sagt zu dieser Praxis gegenüber der SZ, dass diese Daten „die Vertragspartnerinnen der Schufa schlicht überhaupt nichts angehen“. Die Schufa hingegen hält auch diese Praxis für legal.

Laut der Recherche ist der Hessische Datenschutzbeauftragte seit mehr als einem Jahr mit der Prüfung der Datentests und der Frage nach Auskunft über die alten Daten befasst. Die Prüfung dauert an.



Source link

Weiterlesen

Datenschutz & Sicherheit

Ungeschützte Wechselrichter: Hoymiles verspricht Update


In der vergangenen Woche hat der Chaos Computer Club (CCC) auf eine Sicherheitslücke in Wechselrichtern von Hoymiles hingewiesen, durch die die Geräte aus hunderten Metern Entfernung manipuliert, abgeschaltet oder sogar zerstört werden können. Jetzt hat der Hersteller reagiert und verspricht ein Firmware-Update, das derartige Angriffe verhindern soll.

Weiterlesen nach der Anzeige

Das Problem geht laut CCC von dem proprietären DTU-Protokoll aus, das Hoymiles für die Funkverbindungen zu den Mikrowechselrichtern einsetzt. Das bringt durch Funk im 868-MHz-Bereich größere Reichweite als WLAN, allerdings haben die Ingenieure keine Verschlüsselung implementiert; die Geräte der HM-Serie sprechen DTU jedoch auf dem 2,4-GHz-ISM-Band, wodurch der Reichweitenvorteil da nicht gegeben ist. Als Sicherheitsmechanismus dient eine Prüfung auf die letzten acht Stellen der Seriennummer, die die Pakete mitbringen müssen. Allerdings gibt es einen Befehl, der die Geräte zur Übermittlung ihrer Seriennummer veranlasst, was Angreifer mittels Broadcast aus hunderten Metern Entfernung ausnutzen können, um danach auf die verwundbaren Geräte einfach zuzugreifen. Laut CCC-Einschätzung lässt sich so etwa auch die Firmware ohne Authentifizierung über Funk austauschen.

Gegenüber dem pv magazine hat Hoymiles sich zu dem Problem geäußert. Demnach seien lediglich ältere Geräte der HM-Serie betroffen, die seit 2023 nicht mehr vertrieben werden. Laut dem CCC-PDF sind allerdings auch die neueren HMS- und HMT-Serien potenziell angreifbar. Das Unternehmen arbeitet an der Erstellung eines Firmware-Updates für die HM-Wechselrichter und kündigt das Release zum 30. August 2026 an. Ein angeblicher veröffentlichter Kundenhinweis auf der Hoymiles-Webseite lässt sich jedoch nicht direkt auffinden.

Das Update soll bei der Veröffentlichung auf die Geräte der Kunden aufgespielt werden. Bis dahin müssten Kunden ihre HM-Wechselrichter nicht abschalten oder austauschen, versicherte der Hersteller. Den Zeitplan und die geplanten Maßnahmen habe Hoymiles auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mitgeteilt. Das Firmware-Update soll zur Verschlüsselung einen AES-128-CBC-Cipher nachrüsten und einer Sicherheitsprüfung gemäß EU-Funkgeräterichtlinie RED EN 18031 unterzogen werden.

Die nachgerüstete Verschlüsselung würde den vorgestellten Angriff unterbinden und zudem auch das einfache Belauschen von Verbindungen etwa zum Herausfinden der Seriennummer unterbinden.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Betrügerischer Ransomware-Verhandler muss 70 Monate ins Gefängnis


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Die Anklage gegen einen Ransomware-Verhandler vom November vergangenen Jahres endet in einer längeren Haftstrafe für den Täter. Er war als Ransomware-Verhandler bei der Firma DigitalMint angestellt, hat jedoch selbst Ransomware-Angriffe ausgeführt und dabei offenbar mehr als eine Million US-Dollar erbeutet.

Weiterlesen nach der Anzeige

Die Abteilung für Öffentlichkeitsarbeit des US-amerikanischen Justizministeriums hat das Urteil nun öffentlich gemacht. Am Donnerstag vergangener Woche wurde der angeklagte 41-Jährige aus Florida zu 70 Monaten Gefängnis verurteilt. Die Strafe ergeht für die Konspiration mit der Cybergang BlackCat/ALPHV zur Erpressung mehrerer Opfer sowie für die Verschwörung mit weiteren ehemaligen IT-Sicherheitsprofis zu weiteren Angriffen auf zusätzliche Opfer im Jahr 2023.

Eigentlich war der Verurteilte angestellt, um Opfern in Krisenzeiten beizustehen. Jedoch habe er sie betrogen und ihre vertraulichen Verhandlungspositionen an Cyberkriminelle weitergegeben und denen damit geholfen, mehr Geld aus den Opfern auszuquetschen, erklärte der US-Staatsanwalt für den Südbezirk von Florida, Jason A. Reding Quiñones.

Den Verfahrensakten zufolge habe der Täter seit April 2023 seine Rolle bei dem IT-Incident-Response-Unternehmen missbraucht, um sich mit den Betreibern der BlackCat-Ransomware zu verschwören, um fünf unterschiedliche Ransomware-Opfer um Lösegeld zu erpressen. Der Verurteilte habe Geld von BlackCat für die Preisgabe vertraulicher Informationen wie der Verhandlungsposition und -strategie der Opfer angenommen. Außerdem soll sich der Verurteilte mit einem 36-jährigen Texaner und einem 41-Jährigen aus Georgia verbündet haben, um die BlackCat-Ransomware im Zeitraum vom April bis November 2023 bei weiteren Opfern zu verteilen. Nach der erfolgreichen Erpressung eines Opfers um rund 1,2 Millionen US-Dollar in Bitcoin haben die drei sich das Lösegeld geteilt und auf diverse Arten gewaschen.

Mitte April plädierte der nun Verurteilte auf „schuldig“. Bereits im Mai wurden die beiden anderen Täter zu 48 Monaten Haft verurteilt. Die Strafverfolger konnten Gegenstände einschließlich digitaler Währungen im Wert von 10 Millionen US-Dollar sicherstellen. Dazu gehören außerdem Autos, ein Foodtruck und ein Luxus-Angelboot. Eine Anhörung zur Festsetzung der Höhe des Schadenersatzes ist für den 17. September angesetzt.

Im vergangenen November kam es zunächst zur Anklage gegen zwei Männer. Dabei wurde bekannt, dass der Täter sich nicht nur Anteile vom Lösegeld zugeschustert haben soll, sondern selbst hinter den Ransomware-Angriffen steckte.

Weiterlesen nach der Anzeige


(dmk)



Source link

Weiterlesen

Beliebt