Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik untersucht den deutschen Teil des Internets nach verwundbaren Diensten. Dabei kam es in der vergangenen Woche auf rund 2500 verwundbare VMware ESXi-Instanzen, deren Verwaltungsschnittstellen offen aus dem Internet zugänglich waren.

Das hat die oberste deutsche IT-Sicherheitsbehörde im sozialen Netzwerk Mastodon gemeldet. „CERT-Bund sind aktuell rund 2.500 offen aus dem Internet erreichbare Management-Schnittstellen von VMware ESXi-Servern in Deutschland bekannt“, schreibt das BSI dort. Weiter ergänzt sie: „Diese sollten grundsätzlich nicht im Internet exponiert werden.“

Der Scan-Analyse zufolge laufen 60 Prozent der Server mit veralteten Versionen, die nicht einmal mehr Support vom Hersteller erfahren. „Weitere 31% laufen mit einer aktuellen Version, aber einem veralteten Patch-Stand“ – somit sind die für Cyberattacken anfällig.

Sisyphos-Arbeit des BSI

„CERT-Bund benachrichtigt deutsche Netzbetreiber seit zwei Jahren zu betroffenen Systemen in ihren Netzen“, erklären die Autoren der Meldung weiter. Eine nie enden wollende Aufgabe offenbar, was auch schon bei anderen anfälligen Servern auffiel. So stehen eine Größenordnung höhere Anzahl an verwundbaren Exchange-Servern offen im Netz und sind dadurch Angreifern ausgeliefert. Mehr als 30.000 allein in Deutschland sah das BSI Ende vergangenen Oktober.

Da nimmt sich die Anzahl an im Netz erreichbaren, verwundbaren Zimbra-Server mit rund 600 nicht mehr vom Hersteller unterstützten Fassungen und mehr als 150 weiteren für aktuelle, kritische Schwachstellen anfälligen Systemen Mitte Januar 2026 vergleichsweise klein aus.

Für die verwundbaren Softwarestände gibt es aktualisierte Versionen, die die Sicherheitslücken darin schließen. Offenbar hinken Admins in deutschen Organisationen ungebrochen zu einem großen Anteil mit Aktualisierungen teils deutlich hinterher.

(dmk)

Nike untersucht einen möglichen Datenabfluss, nachdem die Erpressergruppe WorldLeaks behauptet hat, eine gewaltige Menge interner Daten des US-amerikanischen Sportartikelherstellers gestohlen und teilweise veröffentlicht zu haben. Bei dem Cyberangriff sollen persönliche und geschäftliche Daten entwendet worden sein.

„Wir nehmen den Schutz der Privatsphäre unserer Kunden und die Datensicherheit stets sehr ernst“, erklärte Nike am Montag in einer Stellungnahme. „Wir untersuchen einen möglichen Vorfall im Bereich der Cybersicherheit und bewerten die Situation aktiv.“

Die Cyberattacke war am 22. Januar bekannt geworden. Verantwortlich soll die Ransomware-Gruppe WorldLeaks sein. Diese betreibt gezielt Datendiebstahl mittels kompromittierter Webseiten, Phishing-Mails und ungesicherter VPN-Zugänge, um anschließend Unternehmen zu erpressen. Mehr als 100 Unternehmen sollen bereits Opfer der Gruppe geworden sein, darunter der Computerhersteller Dell. Die Gruppe soll eine Umbenennung von Hunters International sein, einer Ransomware-Bande, die seit 2023 aktiv ist.

Designprototypen kompromittiert?

World Leaks erklärte, 1,4 Terabyte (TB) an Daten im Zusammenhang mit den Geschäftsaktivitäten von Nike veröffentlicht zu haben. In einer Liste, die das Webportal The Register eingesehen hat, behauptet die Cybercrime-Gruppe, 188.347 Dateien aus den Systemen des Unternehmens gestohlen zu haben. Die veröffentlichten Dateinamen deuteten eher auf Design- und Fertigungsabläufe als auf Kundendatenbanken hin, so The Register weiter. Beispiele hierfür seien Verzeichnisse mit den Bezeichnungen „Women’s Sportswear“ (Sportbekleidung für Frauen), „Men’s Sportswear“ (Sportbekleidung für Männer), „Training Resource – Factory“ (Schulungsressourcen – Fabrik) und „Garment Making Process“ (Bekleidungsherstellungsprozess). Das deute auf Dateien aus den Bereichen Produktentwicklung und Produktionsprozesse hin. Bislang gibt es keine Anzeichen dafür, dass Kunden- oder Mitarbeiterdaten betroffen sind.

Allerdings verliert kein Unternehmen gern interne Informationen wie Designs, Schulungsunterlagen und Prozessdokumentationen. Laut dem Onlineportal it-daily befinden sich unter den gestohlenen Informationen Details zur geplanten SP27-Kollektion der Nike-Marke Jordan Brand. WorldLeaks erklärte demnach, Zugriff auf technische Produktspezifikationen, Materiallisten sowie Designentwürfe und Prototypen aus verschiedenen Produktzyklen erlangt zu haben. Zudem sollen sensible Informationen zur Fertigung kompromittiert worden sein, darunter Unterlagen zu Qualitätsprüfungen in Produktionsstätten, Angaben zu Zulieferern sowie Dokumentationen zu Herstellungsverfahren.

Sportartikelhersteller besonders vulnerabel

Laut The Register machen „die unübersichtlichen globalen Lieferketten und der stetige Strom neuer Designs, die zwischen den Partnern hin- und herwandern“, Mode- und Sportbekleidungsunternehmen zu einem beliebten Ziel für Cyberkriminelle. Diese müssten keine Kundendatenbanken erbeuten, um Schaden anzurichten.

Gerade erst ist ein anderes US-amerikanisches Sportbekleidungsunternehmen Opfer eines Cyberangriffs geworden. Eine Ransomware-Bande drang bei Under Armour ein und entwendete massenhaft Daten. In der vergangenen Woche tauchten 72,7 Millionen Datensätze bei Have I Been Pwned auf, darunter Namen, E-Mail-Adressen, Geburtsdaten, Geschlecht, geografische Standorte und Kaufinformationen.

(akn)

Am Montagmittag hat die EU-Kommission ein weiteres Verfahren gegen den Kurznachrichtendienst X eingeleitet. Dabei will sie prüfen, ob das eng mit dem KI-Chatbot Grok verzahnte soziale Netzwerk gegen den Digital Services Act (DSA) verstoßen hat. Der Kommission zufolge ist unklar, ob der Online-Dienst vor dem Ausrollen des Produkts damit verbundene Risiken untersucht hat.

Musks Plattform X ist mit dem integrierten KI-Chatbot zuletzt stark in die Kritik geraten, nachdem dieser auf Nachfrage von Nutzer*innen ungefiltert sexualisierte Bilder von Frauen und Kindern auf X veröffentlicht hat.

Nachdem X lange untätig blieb, hatte das Unternehmen am 9. Januar angekündigt, die Funktion zahlenden Nutzer*innen vorzubehalten. Am 14. Januar kündigte X dann weitere technische Maßnahmen an und schränkte die pornografische Bildgenerierungsfunktion nach eigenen Angaben für alle Nutzer*innen ein. Für andere Zwecke soll das Bildfeature jetzt nur noch zahlenden X-Nutzer*innen offen stehen.

Erst am vergangenen Dienstag hatte das EU-Parlament über KI-Deepfakes in sozialen Medien debattiert. Kurz danach haben mehr als fünfzig Abgeordnete in einem Brief die EU-Kommission zu konsequenterem Vorgehen im Falle Grok aufgefordert.

X muss Nachweise liefern

Nun muss die Plattform vor der EU-Kommission Rechenschaft ablegen, ob es der gesetzlich vorgeschriebenen Risikobewertung und -minderung nachgekommen ist. Solche Berichte sollen potenzielle „systemische Risiken“ aufdecken, die von Online-Diensten ausgehen können. Sollte X vor der Integration von Grok keine Folgenabschätzung vorgenommen haben, könnten auf X hohe Geldbußen zukommen.

Dass der Schaden bereits eingetreten ist, führte EU-Digitalkommissarin Henna Virkkunen aus: „Sexualisierte Deepfakes von Frauen und Kindern sind eine gewalttätige, inakzeptable Form der Entwürdigung. Mit dieser Untersuchung werden wir feststellen, ob X seinen gesetzlichen Verpflichtungen gemäß dem DSA nachgekommen ist oder ob es die Rechte europäischer Bürger – einschließlich der Rechte von Frauen und Kindern – als Kollateralschaden seines Dienstes behandelt hat.“

Die Einleitung solch eines Verfahrens ist noch kein Nachweis für einen Verstoß gegen den DSA. Allerdings befähigt es die Kommission zu weiteren Maßnahmen. Sie kann beispielsweise Unterlagen betroffener Unternehmen anfordern, Durchsuchungen vornehmen oder Mitarbeiter*innen befragen.

Neben dem neuen Verfahren hat die EU-Kommission angekündigt, eine seit Dezember 2023 laufende Untersuchung zu verlängern, die sich unter anderem auf die Moderationsfunktion, Maßnahmen gegen illegale Inhalte und Risiken des Empfehlungssystems bezieht. Das Verfahren umfasst zusätzlich die mangelnde Werbetransparenz von X. Dafür verhängte die EU-Kommission Anfang Dezember eine 120-Millionen-Euro-Geldbuße, da die Plattform Vorschriften nicht eingehalten hatte.

Sexualisierte Deepfakes im Millionenfachen

Inzwischen haben mehrere Organisationen die Tragweite der Vorfälle untersucht. Die britische NGO Center for Countering Digital Hate (CCDH) schätzt etwa, dass im Zeitraum vom 29. Dezember bis 8. Januar über 4 Millionen Bilder generiert wurden. Davon sollen rund 3 Millionen sexualisierter Art gewesen sein, auf rund 23.000 Bildern sollen Kinder dargestellt worden sein.

Die NGO AI Forensics kommt zu ähnlichen Ergebnissen. Bis zum 1. Januar waren mehr als die Hälfte der generierten Bilder sexualisierte Deepfakes. Nachdem X am 14. Januar technische Einschränkungen vorgenommen hatte, sei der Anteil sexualisierter Bilder auf unter 10 Prozent gefallen.