Die berüchtigte Cybercrime-Bande „Scattered Lapsus$ Hunters“ zieht sich vorerst aus dem kriminellen Geschäft zurück. Das behauptet sie zumindest in einer Stellungnahme, die auf einer der Domains des mittlerweile abgeschalteten Untergrundforums „Breach Forums“ veröffentlicht wurde. Szenekundige halten das Statement für authentisch, doch in sozialen Medien brüstet die Gruppe sich weiter mit Angriffen. Ein besonders vergiftetes Abschiedsgeschenk macht sie Strafverfolgern.

„Wie ihr wisst, waren die letzten Wochen hektisch“, schreiben die unbekannten Verfasser und listen vermeintliche und tatsächliche Opfer auf. Strafverfolger wie Unternehmen verspotten die Autoren und deuten verschiedene bekannte, aber auch unveröffentlichte Datenlecks an. Sie drücken den Angehörigen der inhaftierten Gruppenmitglieder von Lapsus$, Scattered Spider und ShinyHunters aus und kündigen dann an: „Unsere Ziele sind erfüllt, es ist nun Zeit, sich zu verabschieden“. Einige Mitglieder könnten sich jetzt auf den Millionen ausruhen, die durch Erpressung und Sabotage zusammengekommen seien, andere würden weiter forschen.

Tatsächlich erschienen in einem der Social-Media-Kanäle der Gruppe kurz nach der Ankündigung liebevoll mit MS Paint bearbeitete Screenshots offenbar interner Systeme verschiedener US-Behörden. Auch einen Angriff auf die britische National Crime Agency (NCA) deutete das vorerst letzte Posting der Bande an. Offenbar ist ein Teil der Gruppierung noch nicht bereit, den Ruhestand anzutreten.

Dass es sich um ein authentisches Dokument der Gruppe handelt, ist wahrscheinlich. Die Person oder Personen hinter dem Aliasnamen „ShinyHunters“ kontrollierten zuletzt das Untergrundforum BreachForums, das nach mehreren Razzien durch Strafverfolger jedoch mittlerweile geschlossen ist. Um die jüngste Ankündigung zu veröffentlichen, reaktivierte ShinyHunters eine brachliegende Breachforums-Domain – das Pamphlet ist zudem in den als authentisch geltenden Social-Media-Kanälen der Gruppierung verlinkt.

Gewöhnlich gut unterrichtete Insider bestätigten heise security zudem die Authentizität – ShinyHunters selbst äußerte sich auf Anfrage bislang nicht.

Profilierte Cybergang

Die Gruppe, bestehend aus Mitgliedern der Gruppierungen „Scattered Spider“, „Lapsus$“ (Eigenschreibweise: LAPSUS$) und „ShinyHunters“, tat sich in der Vergangenheit immer wieder durch Cyberangriffe, oft mittels Social Engineering, hervor. So stecken sie hinter der Attacke auf die britische Kette Marks & Spencer, die für empfindliche Versorgungsengpässe in deren Geschäften sorgte, das Unternehmen 300 Millionen Pfund und den CTO den Job kostete. Auch Jaguar kämpft mit den Auswirkungen eines mutmaßlichen „Scattered Lapsus$ Hunters“-Angriffs: Vorerst sollen Mitarbeiter in der Fahrzeugproduktion daheimbleiben.

(cku)

Ein polnischer Kompromissvorschlag zur Chatkontrolle war zuletzt im Rat gescheitert. Der hatte darauf gesetzt, dass Internet-Dienste zwar freiwillig die Inhalte ihrer Nutzer:innen auf Straftaten durchsuchen können, es aber keine verpflichtenden Anordnungen geben soll. Darauf konnten sich die EU-Mitgliedstaaten nicht einigen. Aber auch der neue Vorschlag der aktuellen dänischen Ratspräsidentschaft findet noch keinen vollen Rückhalt. Der kehrt im Gegensatz zum Kompromissvorschlag aus Polen wieder zurück zur ursprünglichen Linie, eine umfassend verpflichtende Chatkontrolle einzuführen, um nach Darstellungen von sexualisierter Gewalt gegen Kinder und Grooming zu suchen.

Dass die Mitgliedstaaten sich seit mehr als drei Jahren mit dem Thema herumschlagen und nicht einfach grünes Licht für eine Massenüberwachung ohne Verdacht geben, ist einer Sperrminorität im Rat zu verdanken. Auch Deutschland hatte immer wieder Vorschläge blockiert, die vorgesehen hatten, etwa auch verschlüsselte Kommunikation zu scannen.

Bedenken gab es offenbar auch in der Sitzung der Gruppe „Strafverfolgung“ am Freitag, einem Vorbereitungsgremium des Rats. Dort hätten viele Mitgliedstaaten noch Vorbehalte angemeldet, heißt es aus EU-Kreisen.

Doch seit dem Regierungswechsel in der Bundesrepublik ist ungewiss, wie entschieden der deutsche Beitrag zur Verhinderung des anlasslosen Scannens noch ist. Federführend für die deutsche Position ist das CSU-geführte Innenministerium unter Alexander Dobrindt. Als bevölkerungsreiches EU-Land ist die hiesige Position ausschlaggebend dafür, ob eine Einigung auf Ratsebene zustande kommt.

Chatkontrolle im Digitalausschuss

Einen Einblick, wie es mit der deutschen Position zur Chatkontrolle aussieht, bot die Sitzung des Digitalausschusses im Bundestag am Mittwoch. Die fand nicht öffentlich statt, doch nach einem Bericht von „heute im bundestag“ erklärte eine Vertreterin des Bundesinnenministeriums, man könne die dänische Position „nicht zu 100 Prozent“ mittragen.

Nach Informationen von netzpolitik.org wurde in der Ausschusssitzung jedoch klar, dass es Spannungen zwischen Innen- und Justizministeriums (BMJV) gibt und eine geeinte Position Deutschlands noch nicht absehbar ist. Offenbar steht das BMI zwar weiterhin gegen ein Aufbrechen von Verschlüsselung, aber im Scannen von bekanntem Material auf den Endgeräten sieht es eine zustimmungsfähige Möglichkeit.

Das entspräche einem sogenannten Client-Side-Scanning, bei dem unverschlüsselte Inhalte vor oder nach dem Versenden untersucht werden. Das widerspricht der Position der Vorgängerregierung. Sicherheitsfachleute warnen vor dieser Methode, da sie Privatsphäre, IT-Sicherheit und Meinungsfreiheit gefährde.

„Ich finde es äußerst beunruhigend, dass die Bundesregierung sich dermaßen aus ihrer Verantwortung nimmt, hier eine Position zu beziehen“, so die Linkenabgeordnete Donata Vogtschmidt, die Obfrau ihrer Fraktion im Digitalausschuss ist. „Denn im Rat der EU hängt die bisherige Sperrminorität gegen Chatkontrolle unmittelbar von Deutschland ab.“ Bleibe die Bundesregierung nicht bei der Position ihrer Vorgängerregierung, „könnte der Damm brechen und das größte Überwachungspaket wahr werden, das die EU je gesehen hat.“

Jeanne Dillschneider, Obfrau für die Grünen im Ausschuss, schreibt gegenüber netzpolitik.org zu ihrem Eindruck von der Sitzung: „Gerade die Union hat in der Vergangenheit oft gezeigt, wie wenig ihr der Schutz digitaler Grundrechte bedeutet. Ähnliches befürchte ich nun erst recht beim unionsgeführten Innenministerium.“ Sie hält es deshalb für „umso entscheidender, ob das Justizministerium auch in dieser Legislaturperiode unsere digitalen Grundrechte hochhält“.

Justiz- und Innenministerium bleiben verschlossen

Ob es das tun wird? Das Haus unter Leitung von Justizministerin Stefanie Hubig (SPD) hält sich auf Nachfrage von netzpolitik.org bedeckt und bittet darum, sich bei dem Thema an das „innerhalb der Bundesregierung federführend zuständige Bundesinnenministerium zu wenden“. Selbst will das Ministerium zu offenen Punkten für eine Einigung offenbar nichts sagen. Das Innenministerium hingegen teilt mit, es werde sich „zu laufenden Abstimmungen innerhalb der Bundesregierung grundsätzlich nicht äußern“.

„Vorsichtig hoffnungsvoll stimmt mich, dass einige Kolleginnen und Kollegen aus den Koalitionsfraktionen meine Kritik an der Chatkontrolle offenbar teilen“, schreibt Dillschneider weiter. „Die Frage wird nun sein, ob sie sich auch zu einer tatsächlichen Ablehnung der Chatkontrolle durchringen können. Sonderlich optimistisch bin ich hier allerdings nicht.“

Dillschneiders Ausschusskollegin Vogtschmidt will dafür sorgen, dass sich der Bundestag auch über Äußerungen in Ausschusssitzungen hinaus zum Thema positionieren muss. Das ermöglicht Artikel 23 des Grundgesetzes, dementsprechend auch das Parlament europapolitische Stellungnahmen beschließen kann. Diese muss die Regierung dann in Verhandlungen berücksichtigen. Vogtschmidt findet: „Jetzt denke ich, wird die Chatkontrolle auch noch mal ins Plenum des Bundestags müssen, um diese ungeheuerliche Gefahr einer breiteren Öffentlichkeit bewusst zu machen. Dafür werde ich mich in den nächsten Tagen einsetzen!“

Ernst wird es auf EU-Ebene zum nächsten Mal Mitte Oktober, wenn die Justiz- und Innenminister:innen der EU-Staaten zusammenkommen. Die dänische Ratspräsidentschaft habe laut einem EU-Beamten trotz der Vorbehalte in der Ratsarbeitsgruppe angekündigt, den Vorschlag bei dem Treffen am 13./14. Oktober auf die Tagesordnung zu bringen. Das wäre eine Gelegenheit, eine Ratsposition abzustimmen – wenn bis dahin eine Einigung gelingt.

Angreifer können mehrere Sicherheitslücken in Ciscos System IOS XR ausnutzen. Dieses System dient unter anderem für Router der ASR-9000-Serie als Basis. Bislang gibt es keine Berichte über Attacken.

Die Entwickler versichern, die Lücken in den IOS-XR-Versionen 24.2.21, 24.4.2, 25.1.1, 25.1.2 und 25.2.1 geschlossen zu haben. Cisco gibt an, dass es für die folgenden Ausgaben keine Sicherheitsupdates gibt: 7.10, 7.11, 24.1, 24.3 und 24.4.

Softwareschwachstellen

Am gefährlichsten gilt eine DoS-Lücke (CVE-2025-20340 „hoch„), die sich in der Implementierung des Address Resolution Protocols (ARP) findet. An dieser Stelle können Angreifer ohne Authentifizierung das Managementinterface mit Anfragen überfluten, sodass Instanzen überlastet und nicht mehr nutzbar sind.

Setzen Angreifer erfolgreich an einer weiteren Schwachstelle (CVE-2025-20248 „mittel„) an, können sie .iso-Images manipulieren, die dann installiert werden. Dafür müssen sie aber eine große Hürde überwinden und bereits als Root-Nutzer an verwundbaren Systemen angemeldet sein.

Über die dritte Schwachstelle (CVE-2025-20159 „mittel„) können Angreifer Access Control Lists (ACL) umgehen.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)