Eine von Europol koordinierte internationale Strafverfolgungsaktion hat die Phishing-Plattform Tycoon2FA außer Gefecht gesetzt. Dabei wurden 330 Domains, die die Kerninfrastruktur des kriminellen Dienstes bildeten, darunter Phishing-Seiten und Kontrollpanels, abgeschaltet, heißt es in einer von der europäischen Polizeibehörde veröffentlichten Mitteilung. Die Aktion wurde von Strafverfolgungsbehörden in Lettland, Litauen, Portugal, Polen, Spanien und Großbritannien sowie Akteuren des Privatsektors, darunter Cloudflare, Coinbase oder Trend Micro, in enger Zusammenarbeit unter der Koordination des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität (EC3) von Europol durchgeführt.

Tycoon 2FA war mindestens seit August 2023 aktiv und zählte laut Europol zu den größten Phishing-Operationen weltweit. Die Plattform wurde demnach von Tausenden Cyberkriminellen genutzt, um die Zwei-Faktor-Authentifizierung (2FA) zu umgehen und ihnen unbemerkten Zugriff auf E-Mail- und Cloud-basierte Dienste zu ermöglichen. „Die Plattform generierte monatlich zig Millionen Phishing-E-Mails und ermöglichte den unbefugten Zugriff auf fast 100.000 Organisationen weltweit, darunter Schulen, Krankenhäuser und öffentliche Einrichtungen“, schreibt Europol.

Niedrige Einstiegsschwelle für Cyberkriminelle

Laut dem Tech-Portal Bleeding Computer wurden Tycoon2FA-Abos über den Telegram-Messenger zehn Tage Zugriff für 120 US-Dollar angeboten. Dies habe die Hürde, ausgeklügelte Angriffe zur Umgehung der MFA in großem Umfang durchzuführen, für weniger erfahrene Kriminelle deutlich gesenkt, so das Portal weiter.

„Die Plattform von Tycoon2FA ermöglichte es Angreifern, sich als vertrauenswürdige Marken auszugeben, indem sie Anmeldeseiten für Dienste wie Microsoft 365, OneDrive, Outlook, SharePoint und Gmail imitierten. Sie erlaubte es Angreifern außerdem, sich dauerhaft einzunisten und auf sensible Informationen zuzugreifen, selbst nachdem Passwörter zurückgesetzt wurden, sofern aktive Sitzungen und Token nicht explizit widerrufen wurden“, erklärte Microsoft am Mittwoch in einem Blogeintrag. „Dies funktionierte, indem während des Authentifizierungsprozesses generierte Sitzungs-Cookies abgefangen und gleichzeitig die Benutzerdaten erfasst wurden. Die 2FA-Codes wurden anschließend über die Proxy-Server von Tycoon2FA an den Authentifizierungsdienst weitergeleitet.“

Die Ermittlungen begannen, nachdem Trend Micro Informationen bereitgestellt hatte. Diese Informationen verbreitete Europol über seine EC3-Beratungsgruppen und operativen Netzwerke. Dies wiederum habe die Entwicklung einer koordinierten Einsatzstrategie ermöglicht, so das Europäische Polizeiamt. Später arbeiteten Microsoft und Trend Micro eng mit den Strafverfolgungsbehörden zusammen und stellten technisches Fachwissen sowie Infrastrukturanalysen bereit.

(akn)

IT-Forscher haben sich einen Mikro-Wechselrichter von APsystems genauer angeschaut, das Modell EZ1-M. Dabei stießen sie auf Schwachstellen, die Angreifern das Unterjubeln beliebig manipulierter Firmware ermöglichen.

Lücken in den Cloud-Systemen der Wechselrichter-Hersteller sind nichts Neues. Alle größeren und kleineren Anbieter haben damit zu kämpfen. Hoymiles musste 2023 etwa Sicherheitslücken in den Clouddiensten stopfen, durch die sich Wechselrichter etwa zerstören ließen. Anfang vergangenen Jahres haben sich IT-Forscher von Forescout Photovoltaik-Anlagen näher angesehen und stießen dabei auf 46 neue Schwachstellen, während sie zunächst knapp 100 ältere bekannte Sicherheitslecks gesammelt hatten – der Großteil von denen betraf die Solar-Monitor-Systeme und die Cloud-Backends dahinter. Die konkrete Untersuchung jetzt hat jedoch einige Eigenheiten mit interessanten Methoden aufgedeckt.

Analyse mithilfe künstlicher Intelligenz

Die Mitarbeiter der kleinen IT-Sicherheitsfirma Jakkaru aus dem nordhessischen Kassel haben ihr Vorgehen und eine detailliertere Analyse veröffentlicht. Sie haben die Firmware des ESP32-C2-basierten Photovoltaik-Mikro-Wechselrichters APsystems EZ1-M untersucht und dabei die Adresse des herstellereigenen MQTT-Brokers gefunden sowie zwei zufällige Zeichenketten im Kontext. Da das Reverse Engineering der Firmware herausfordernd war, setzten die IT-Forscher auf disassemblierten C-Code, den sie der Gemini-Pro-KI zur Interpretation vorwarfen. Das habe erstaunlich gut funktioniert, sodass der Verbindungsprozess einfach nachvollziehbar wurde. Dabei stellte sich heraus, dass die Geräte-Seriennummer – eine fortlaufende, vorhersehbare Nummer – zusammen mit offenbar statischen Keys AES-verschlüsselt und das Ergebnis nochmals Base64-kodiert wird und schließlich als Username respektive Passwort für den MQTT-Brokerdienst dient.

Bei der weiteren Analyse stießen sie auf MQTT-Topics, die zum Update der Firmware „Over the air“ (OTA) dienen. Direkter Zugriff mit den generierten Zugangsdaten zum Abonnieren solcher MQTT-Topics war nicht möglich. Allerdings kennt MQTT sogenannte „Retained Messages“. Die werden umgehend und persistent an die Clients geschickt, sofern sie sich verbinden. Ein Angriff war also möglich, indem sich bösartige Akteure mit dem MQTT-Broker mit den erstellten Zugangsdaten verbinden, was die Verbindung des echten Mikro-Wechselrichters unterbricht. Dann senden Angreifer eine OTA-Update-Nachricht mit „retained“-Flag, die die eigene Seriennummer enthält. OTA-Update-Nachrichten enthalten zudem einen URL-Parameter als Download-Verknüpfung für die Firmware, den Angreifer beliebig anpassen können. Nach dem Beenden der Verbindung versucht der Wechselrichter wieder, Kontakt aufzunehmen. Er erhält die Nachricht und startet das OTA-Update.

Die IT-Forscher kommen anhand ihrer Scans auf rund 100.000 zugreifbare EZ1-M-Wechselrichter. Es können aber auch andere Geräte anfällig sein, die auf dieselben MQTT-Broker setzen. Angreifer können sich mit manipulierter Firmware etwa in Netze einnisten, DDoS-Angriffe starten, die Geräte zerstören oder etwa durch massenhafte Geräteabschaltungen Stromnetze destabilisieren, führen die Mitarbeiter weiter aus. APsystems haben sie Mitte November des Vorjahrs kontaktiert, die bis Ende Februar 2026 gebraucht haben, die Sicherheitslücken zu schließen und Tests vorzunehmen. Diese konkreten Schwachstellen sind daher inzwischen geschlossen.

(dmk)

Im „Projekt Interoperabilität“ werden die großen europäischen Datenbanken miteinander verschmolzen, zuständig dafür ist die europäische Agentur für das Management groß angelegter IT-Systeme (eu-LISA) mit Sitz im estnischen Tallinn, die meisten entsprechenden Vorhaben sollen 2026 abgeschlossen sein. Das Projekt betrifft das für Fahndungen genutzte Schengener Informationssystem (SIS II); Eurodac, das bislang vor allem Fingerabdrücke von Asylsuchenden speichert; das Visainformationssystem (VIS) sowie das bald startende Strafregisterinformationssystem für Nicht-EU-Angehörige (ECRIS-TCN).

Ebenfalls angeschlossen wird das neue Einreise-/Ausreisesystem (EES), das ab dem 10. April im gesamten Schengen-Raum vollumfänglich installiert sein soll. Alle Reisenden mit Kurzzeitvisa, den sogenannten Schengen-Visa, werden dann beim Übertritt einer EU-Außengrenze mit Fingerabdrücken und Gesichtsbild sowie Personendaten für drei Jahre gespeichert. Im Herbst folgt die Inbetriebnahme des Reiseinformations- und -genehmigungssystems (ETIAS). Darüber müssen auch visumsfrei Einreisende ihren Grenzübertritt im Voraus anmelden und dazu online mehrere Fragen beantworten.

Die Vernetzung der existierenden Systeme erfolgt schrittweise über eine sogenannte Interoperabilitätsarchitektur. Kernstück ist ein gemeinsamer biometrischer Abgleichdienst (sBMS), der eine übergreifende Suche mit Biometriedaten ermöglicht. Er ist bereits in Betrieb und nutzt nach Angaben von eu-LISA Künstliche Intelligenz, um die Geschwindigkeit und Genauigkeit des Abgleichs zu erhöhen.

Zum Projekt Interoperabilität gehört außerdem ein gemeinsamer Identitätsspeicher (CIR), ein europäisches Suchportal (ESP) sowie ein Detektor für Mehrfachidentitäten (MID). Dadurch entsteht im Schengen-Raum eine biometrische Superdatenbank, die zu den größten der Welt gehört: Allein im EES werden jährlich mehrere hundert Millionen Reisende mit Fingerabdrücken und Fotos gespeichert.

„Interoperabilitäts-Roadmap“ für die nächsten Jahre

Auf EU-Ebene wird derzeit ein Fahrplan für die kommenden Jahre diskutiert, zuständig bei den Mitgliedstaaten ist dafür die Ratsarbeitsgruppe „Informationsaustausch im JI-Bereich“ (IXIM). Details dazu hat eu-LISA im Februar in einem Strategiepapier für die Jahre 2026 bis 2028 beschrieben. Auch die EU-Minister:innen diskutieren darüber bei ihrer Tagung im Rat für Justiz und Inneres (JI-Rat) in dieser Woche.

Im November 2025 hat der Verwaltungsrat von eu-LISA eine „Interoperabilitäts-Roadmap“ beschlossen. Dazu gehört der Ausbau von SIS II und Eurodac mit Gesichtserkennung. Die Verordnung für das Fingerabdrucksystem Eurodac war bereits im Mai 2024 im Rahmen des neuen Migrations- und Asylpakets der EU verabschiedet worden, geplant ist die Inbetriebnahme für Juni 2026. Die Behörde verspricht sich davon, besser verfolgen können, wenn Schutzsuchende unerlaubt innerhalb des Schengen-Raums das Land wechseln.

Auch im Schengener Informationssystem sind vor allem Migrant:innen gespeichert: Der größte Teil der zur Fahndung ausgeschriebenen Personen sind Ausreisepflichtige, etwa nachdem ihr Asylantrag abgelehnt wurde. Anders als etwa beim EES liegen diese Daten nicht in Tallinn, sondern in einem von eu-LISA betriebenen technischem Zentrum in Straßburg. Einen Zeitplan zur Freischaltung der Gesichtserkennungsfunktion gibt es aber noch nicht: eu-LISA kündigt für das laufende Jahr an, eine entsprechende Roadmap zu erstellen.

Komplett erneuerte Visa-Plattform

Bis zum 1. Quartal 2030 müssen auch alle EU-Staaten das überarbeitete Visa-Informationssystem (R-VIS) schrittweise in Betrieb nehmen. So steht es in einem „Fahrplan“, der im JI-Rat im Dezember 2025 genehmigt wurde. Zusätzlich zu Kurzaufenthaltsvisa sollen dann auch Langzeitvisa und Aufenthaltsgenehmigungen integriert werden. eu-LISA entwickelt außerdem eine digitale Plattform, über die künftig online Visa-Anträge gestellt werden können. Dieses als EU-VAP bezeichnete System soll automatisch bestimmen, welcher Mitgliedstaat für die Prüfung zuständig ist – auch bei Reisen in mehrere Länder.

Zu den Kernelementen des neuen R-VIS gehört ein automatisiertes Verfahren bei der Antragstellung. Der Datensatz wird beim Eintrag mit allen anderen anderen Systemen der Interoperabilitäts-Architektur abgeglichen – dem EES, dem ETIAS, dem SIS, Eurodac, dem ECRIS-TCN sowie dem VIS selbst – und weiteren Datenbanken wie dem Europol-Informationssystem (EIS). Bei Treffern ist der Staat für eine manuelle Prüfung zuständig, der das Visum ausstellt. Dort wird auch über Erteilung oder Verweigerung entschieden.

Europaweite Abfrage von Gesichtern mit Prüm II

Die Kosten für die neue Überwachungsinfrastruktur sind hoch. Allein das Gesichtserkennungssystem im Projekt Interoperabilität war mit 300 Millionen Euro veranschlagt. Für die Weiterentwicklung von Eurodac sind für das laufende Jahr knapp 10,3 Millionen Euro reserviert, für 2027 knapp 6,8 Millionen und für 2028 rund 20,6 Millionen Euro. Die Interoperabilitätskomponenten, zu denen der biometrische Abgleichsdienst gehört, schlagen im selben Zeitraum mit insgesamt mehr als 168 Millionen Euro zu Buche.

Hinzu kommt, dass nicht nur die gemeinsam geführten Biometriesysteme ausgebaut werden. Auch die nationalen Polizeidatenbanken mit Gesichtsbildern werden im Rahmen der „Prüm II“-Verordnung schengenweit vernetzt. Abfragen sind dann über ein sogenanntes „Treffer-/Kein Treffer-Prinzip“ möglich. Das heißt, Behörden erfahren zunächst lediglich, ob ein Datensatz existiert. Dann können sie diesen über die europäische Rechtshilfe herausverlangen.

Die Vernetzung erfolgt über einen neuen Prüm-II-Zentralrouter, der den Austausch biometrischer Daten zwischen europäischen Polizeibehörden bündeln soll. Ab Mitte 2027 soll in Prüm II die Abfrage von Gesichtern freigeschaltet werden, dazu wird das System ebenfalls an den gemeinsamen biometrischen Abgleichsdienst angeschlossen.

Zugriff für US-Behörden

Über „Prüm International“ können auch Drittstaaten an das europaweite Abfragesystem angeschlossen werden. Erster Nutzer dieser Möglichkeit war nach dem Brexit Großbritannien, nun könnten weitere Partnerländer folgen. Vermutlich wird dies zuerst EU-Beitrittskandidaten angeboten, darunter Balkan-Staaten oder die Ukraine. Die Regierung in Kyjiw soll laut „Politico“ bereits eine Liste mit 200.000 aktiven oder ehemaligen russischen „Kombattanten“ an Europol geschickt haben, damit einzelne Unionsmitglieder die Personen zur Einreiseverweigerung ins SIS II eintragen.

Eine Kröte sollen die Schengen-Staaten mit der „Enhanced Border Security Partnership“ (EBSP) schlucken, einem von den USA geforderten Abkommen, das alle Teilnehmerstaaten des Visa-Waiver-Programms abschließen müssen, um ihren Bürger:innen weiterhin die visafreie Einreise in die USA zu ermöglichen. Es sieht vor, dass US-Behörden automatisierten, direkten Zugriff auf nationale Polizeidatenbanken der „Partner“ erhalten – konkret auf Fingerabdrücke und Gesichtsbilder.

Betroffen wären nicht nur Reisende in die USA, sondern möglicherweise alle Personen, deren Daten von den jeweiligen nationalen Behörden für den Zugriff freigegeben sind. In Deutschland beträfe dies wohl die vom Bundeskriminalamt geführte INPOL-Datei, in der 5,4 Millionen Menschen mit fast 8 Millionen Lichtbildern, die meisten davon Asylsuchende oder Ausreisepflichtige. Auch die brutale US-Abschiebemiliz ICE könnte diese Daten nutzen. Wer das EBSP nicht unterzeichnet, soll aus dem Visa-Waiver-Programm ausgeschlossen werden. Die Frist läuft bis zum 31. Dezember 2026, derzeit verhandelt die EU-Kommission dazu geheim über ein Rahmenabkommen mit den USA.