IT-Vorfall: Stadtwerke Detmold nicht mehr erreichbar
Die Stadtwerke Detmold wurden Opfer eines IT-Angriffs. Seit Montag sind die daher nicht mehr erreichbar – weder telefonisch noch per E-Mail.
Weiterlesen nach der Anzeige
Auf der Homepage der Stadtwerke Detmold begrüßt ein Banner die Besucher, in dem zu lesen steht: „Aufgrund eines großflächigen IT-Ausfalls sind die Stadtwerke Detmold derzeit nicht erreichbar.“ Was vorgefallen ist, wie die konkreten Auswirkungen sind oder Ähnliches findet sich dort jedoch nicht. Der WDR berichtet, dass die „Versorgungssicherheit in den Bereichen Trinkwasser, Strom, Gas und Fernwärme weiter gewährleistet“ sei.
Dienste der Webseite lassen sich jedoch nicht nutzen, etwa zur Übermittlung von Zählerständen. Telefonisch geht auch überhaupt nichts – auch das Kundenzentrum ist nicht erreichbar, sodass der Hinweis, dass Kunden sich über eine Hotline melden können, zumindest in die Irre führt. Angeblich sei das LKA informiert und ermittele in der Sache. Ob Kundendaten betroffen sind, sei Gegenstand derzeitiger Untersuchungen.
Hinweise auf aktive EDV-Relikte
Mit der Datenbank censys.io, die Ergebnisse von Internet-Scans öffentlich zugreifbar macht, lassen sich einige Systeme der Stadtwerke Detmold finden. Bis Montagabend war etwa ein System über HTTP im Internet zugreifbar, auf dem sehr alte PHP-Skripte mit Zeitstempeln aus 2013 zu finden waren. Die PHP-Version dazu lautet 5.4.36 – gut abgehangen aus dem Dezember 2014. Der Debian-Kernel 3.2.65 lässt sich dem Jahr 2015 zuordnen – das im Internet stehende System meldete auch den 9. Januar 2015 als Build-Datum.
Öffentlich zugreifbar war etwa ein System mit 12 Jahre alten PHP-Skripten.
(Bild: heise medien)
Zwei Systeme boten SMB-Dienste (Windows-Freigaben) im Internet an. Der Censys-Scan vom 16. November 2025 fand dabei eine Freigabe, die eine Server-Startzeit zurückliefert, die auf April 2009 datiert. Der Zielname „STWDT2003R2“ weckt zumindest Erinnerungen an Windows Server 2003 R2 – zusammen mit der gezeigten Startzeit sorgt das zumindest für Stirnrunzeln. Auf einem anderen System schien ein Synology-NAS aus dem Internet zugreifbar zu sein.
Dabei handelt es sich ausschließlich um durch die Censys-Suchmaschine gefundene Indizien, die für alle frei zugänglich im Netz lagen. Der Internetzugriff auf einige Systeme wurde erst im Laufe des Montags deaktiviert.
Weiterlesen nach der Anzeige
Auch für uns sind die Stadtwerke Detmold derzeit nicht erreichbar – nach mehr als zwölf Stunden Laufzeit kommen E-Mails mit Fehlermeldung „Host or domain name not found“ zurück. Telefonisch lässt sich dort niemand erreichen, das System hängt sofort auf. Daher ist unklar, ob die Indizien ein falsches Bild zeichnen oder ob aufgrund der Befunde eher von einem Wunder auszugehen ist, dass nicht früher schon etwas passiert ist.
Einrichtungen stehen heutzutage unter „Dauerbeschuss“, Angriffe laufen permanent. Etwa das Miniatur-Wunderland in Hamburg musste vergangene Woche einräumen, Ziel eines IT-Angriffs geworden zu sein. Dabei wurden Kreditkartendaten von Kunden im Online-Shop-System abgezogen.
Biometrische Überwachung bei Online-Prüfungen illegal
Beim Proctoring mussten die Studierenden teilweise ihre Zimmer abfilmen und einer Gesichtserkennung zustimmen. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Jochen Tack
Während der Pandemie nutzten viele Universitäten sogenannte Proctoring-Systeme. Diese sollen Betrug bei Online-Prüfungen der Studierenden verhindern, zeichnen sich aber durch tiefe Eingriffe in Datenschutz und Privatsphäre aus. So mussten die Studierenden teilweise ihr gesamtes Zimmer filmen, einer Gesichtserkennung zustimmen und dem Überwachungssystem Zugriff auf quasi den ganzen Computer geben. Schon damals gab es Beschwerden von Studierenden und Landesdatenschutzbeauftragten.
Die Gesellschaft für Freiheitsrechte (GFF) kritisierte in einem Gutachten, dass die Grundrechte der Studierenden bei Online-Prüfungen unter die Räder geraten seien. Die Nichtregierungsorganisation suchte damals nach Betroffenen und klagte zusammen mit diesen gegen die invasive Software. Nun hat das Thüringer Oberlandesgericht am Montag über eine Klage entschieden und klargestellt, dass die Videoüberwachung von Studierenden bei Online-Prüfungen rechtswidrig ist, wenn dabei biometrische Daten verarbeitet werden. Das verstoße gegen die Datenschutzgrundverordnung, heißt es in der Pressemitteilung der GFF.
Betroffene erhält Schadenersatz
In dem in Thüringen entschiedenen Fall nutzte die Universität Erfurt demnach die Anwendung Wiseflow, die die Studierenden unter anderem mittels Gesichtserkennung überwacht. Damit wollte die Universität sicherstellen, dass stets die gleiche Person vor dem Monitor sitzt. Wiseflow verarbeitete biometrische Daten und leitete sie darüber hinaus an den Dienstleister Amazon Web Services weiter. Diese Praxis hat das Gericht nun für rechtswidrig erklärt und der Klägerin zudem einen Schadensersatz zugesprochen.
„Die Software hat damals starke Ängste in mir ausgelöst. Ich wusste nicht, wie sie funktioniert und was mit meinen Daten passiert. Aber ich hatte keine andere Wahl, weil ich mit meinem Studium vorankommen wollte“, erklärt Klägerin Jennifer Kretzschmar. „Ich bin froh, dass das Gericht jetzt festgestellt hat, dass die Überwachung rechtswidrig war. Hoffentlich achtet die Universität die Grundrechte der Studierenden bei Prüfungen künftig.“
Die GFF geht davon aus, dass das Urteil auch Signalwirkung für andere Bereiche, etwa die Überwachung am Arbeitsplatz, habe.
Neue DDoS-Spitze: Microsoft wehrt 15,7 TBit/s-Angriff ab
close notice
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
.
Am 24. Oktober dieses Jahres hat Microsoft in seiner Azure-Cloud einen umfangreichen DDoS-Angriff mit mehreren Angriffsvektoren von 15,72 TBit pro Sekunde beobachtet. Die Last erzeugten 3,64 Milliarden Pakete pro Sekunde, was die derzeit größte beobachtete DDoS-Attacke auszeichnet, schreibt Microsoft in einem Blog-Beitrag.
Weiterlesen nach der Anzeige
Das Unternehmen führt aus, dass der Angriff vom Aisuro-Botnet ausging – das hatte im Mai etwa das Blog des IT-Sicherheitsjournalisten Brian Krebs attackiert. Es handele sich dabei um ein Mirai-artiges Botnet „mit Turbo“, das immer wieder rekordverdächtige DDoS-Angriffe ausführt. Dabei missbrauchten die kriminellen Drahtzieher kompromittierte Heimrouter und Kameras, die zum Großteil in Netzen von Internetprovidern für Privathaushalte in den USA und anderen Ländern stünden.
Bei einem DDoS-Angriff überfluten bösartige Akteure Server oder Systeme mit so vielen Anfragen, dass sie reguläre Anfragen etwa von echten Menschen nicht mehr beantworten können. DDoS-Angriffe nehmen sie somit quasi offline.
Der Angriff umfasste unter anderem UDP-Floods mit extrem hohen Raten, die auf eine bestimmte öffentliche IP-Adresse gerichtet waren – einem einzelnen Endpunkt in Australien. Sie gingen von mehr als einer halben Million Quell-IP-Adressen aus diversen Regionen aus. Die UDP-„Ausbrüche“ zeigten nur zu einem kleinen Teil Spoofing der Quelle und verwendeten zufällige Quell-Ports, was die Rückverfolgung erleichterte. „Angreifer skalieren mit dem Internet selbst“, schreibt Microsoft, „mit steigenden Geschwindigkeiten der Glasfaseranschlüsse und zunehmend stärkerer IoT-Hardware klettert auch die Grundlinie für Angriffsgrößen“.
DDoS-Angriff abgewehrt
Microsoft erklärt, dass der DDoS-Schutz von Azure den Angriff automatisch entdeckt und abgewehrt habe. „Bösartiger Verkehr wurde effektiv ausgefiltert und umgeleitet, was zur ununterbrochenen Dienstverfügbarkeit für Kunden-Workloads führte“, schreibt der Autor des Blog-Beitrags.
Im Juni hatte Cloudflare eine Spitzenlast von 7,3 TBit/s bei einem DDoS-Angriff beobachtet. Damit hat sich der der Spitzenwert in nicht einmal einem halben Jahr mehr als verdoppelt.
Anfang September hatte Cloudflare zuletzt eine DDoS-Attacke mit in der Spitze 11,5 TBit pro Sekunde gemeldet. Dafür hatten die Angreifer sogar 5,1 Milliarden Pakete pro Sekunde gesendet – deutlich mehr als die Angreifer jetzt an den von Microsofts Azure geschützten Endpunkt.
3,5 Milliarden Konten: Komplettes Whatsapp-Verzeichnis abgerufen und ausgewertet
close notice
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
.
Das gesamte Mitgliederverzeichnis von WhatsApp stand online ungeschützt zum Abruf bereit. Österreichische Forscher konnten sich deshalb alle Telefonnummern und weitere Profildaten – darunter öffentliche Schlüssel – herunterladen, ohne auf ein Hindernis zu stoßen. Sie fanden mehr als 3,5 Milliarden Konten. Gemessen an der Zahl Betroffener ist es der wohl größte Datenabfluss aller Zeiten. Ein Teil der Forschungsgruppe hat sich bereits mehrfach mit WhatsApp befasst und beispielsweise eruiert, was WhatsApp trotz Verschlüsselung verrät, und herausgefunden, wie ein Angreifer die Whatsapp-Verschlüsselung herabstufen kann. Dennoch stellte sich Whatsapp-Betreiber Meta Platforms hinsichtlich der neuen Forschungsergebnisse ein Jahr lang taub.
Weiterlesen nach der Anzeige
„Dann kennen die Wissenschaftler jetzt eben sehr viele Telefonnummern“, haben sich die Verantwortlichen womöglich gedacht, „Na und?“ Wiederholte Warnhinweise, die die Gruppe der Universität Wien und der österreichischen SBA Research ab September 2024 bei Whatsapp eingereicht haben, wurden zwar mit Empfangsbestätigungen bedacht, bald aber zu den Akten gelegt. Erst als die Forscher zweimal einen Entwurf ihres Papers einreichten und dessen unkoordinierte Veröffentlichung bevorstand, wachte Meta auf: Aus den Daten lässt sich nämlich erstaunlich viel ablesen, und für manche User kann das lebensbedrohlich sein.
Da sind einmal Informationen, die für Meta Platforms selbst sensibel sind, aus wettbewerblichen und regulatorischen Gründen: Wie viele Whatsapp-User gibt es in welchem Land, wie verteilen sie sich auf Android und iOS, wie viele sind Geschäftskonten, wie groß ist der Churn (Kundenabwanderung), und wo gibt es offensichtliche Betrugszentren großen Maßstabs. Und dann sind da mehrere Klassen von Daten, die für Anwender ungemütlich bis lebensgefährlich sein können – obwohl die Forscher keine Datenpakete an oder von Endgeräten übertragen haben (sondern nur zu Whatsapp-Servern) und auch keine Inhalte oder Metadaten von Whatsapp-Kommunikation abgefangen haben.
WhatsApp-Verbot unwirksam
So war WhatsApp Stand Dezember 2024 in der Volksrepublik China, im Iran, in Myanmar sowie in Nordkorea verboten. Dennoch fanden die Forscher damals 2,3 Millionen aktive WhatsApp-Konten in China, 60 Millionen im Iran, 1,6 Millionen in Myanmar und fünf (5) in Nordkorea. Diese Handvoll könnte vom Staatsapparat selbst eingerichtet worden sein, aber für Einwohner Chinas und Myanmars ist es höchst riskant, wenn Behörden von der illegalen WhatsApp-Nutzung Wind bekommen. Und das passiert leicht, wenn sich der gesamte Nummernraum flott abfragen lässt.
Die 60 Millionen WhatsApp-Konten mit iranischer Telefonnummer entsprachen statistisch immerhin zwei Drittel der Einwohner. Das Verbot wirkte dort also offensichtlich nicht und wurde am Heiligen Abend 2024 auch aufgehoben. Drei Monate später gab es dann schon 67 Millionen iranische Konten. Deutlich stärker hat die Zahl jener zugenommen, die dasselbe WhatsApp-Konto auf mehr als einem Gerät nutzen. Während der Verbotsphase war das offenbar zu riskant, aber wenn WhatsApp nicht illegal ist, will man es vielleicht auch am Arbeitsrechner verwenden.
Profilbilder und Info-Feld
Weiterlesen nach der Anzeige
Annähernd 30 Prozent der User haben etwas in das „Info“-Feld ihres Profils eingetragen, und dabei geben manche viel preis: politische Einstellungen, sexuelle oder religiöse Orientierung, Bekenntnisse zu Drogenmissbrauch gibt es dort genauso wie Drogendealer, die genau in diesem Feld ihr Warensortiment anpreisen. Auch darüber hinaus fanden die Wiener Forscher Angaben zum Arbeitsplatz des Users bis zu Hyperlinks auf Profile in sozialen Netzwerken, bei Tinder oder OnlyFans. E-Mail-Adressen durften natürlich nicht fehlen, darunter von Domains wie bund.de, state.gov und diverse aus der .mil-Zone. Das ist ein gefundenes Fressen für Doxxer und andere Angreifer, aber auch Spammer und einfache Betrüger.
Zudem verriet WhatsApp den Zeitpunkt der jüngsten Änderung – nicht nur des Info-Feldes, sondern auch der Profilfotos, die immerhin 57 Prozent aller WhatsApp-User weltweit hochgeladen und als für jedermann einsehbar definiert haben, darunter US-Regierungsmitglieder. Für den Nordamerika-Vorwahlbereich +1 haben die Forscher alle 77 Millionen für jedermann einsehbaren Profilbilder heruntergeladen – stolze 3,8 Terabyte in Summe. In einer daraus gezogenen zufälligen Stichprobe von einer halben Million Bildern fand eine Gesichtserkennungsroutine in zwei Dritteln der Fälle ein menschliches Gesicht. Die leichte Zugänglichkeit der Fotos hätte also erlaubt, eine Datenbank zusammenzustellen, die durch Gesichtserkennung in vielen Fällen zur Telefonnummer führt und umgekehrt. Selbst Profilbilder ohne Gesicht können geschwätzig sein: bisweilen sind Autokennzeichen, Straßenschilder oder Wahrzeichen abgebildet.
Weitere Informationen liefert die Anzeige, wie viele Geräte unter einem WhatsApp-Konto registriert sind (bis zu fünf). Aus den fortlaufend vergebenen IDs lässt sich schließen, ob diese zusätzlich genutzten Geräte häufig geändert werden oder stabil bleiben.
