In der Nacht zum Donnerstag hat die US-amerikanische IT-Sicherheitsbehörde CISA drei Schwachstellen in den Katalog der „Known Exploited Vulnerabilities“ aufgenommen. Es handelt sich um kritische Sicherheitslücken in Ciscos Secure Email Gateway und Secure Email and Web Manager, Sonicwall SMA1000-Appliances sowie auf die Software Ausus Live Update. Angreifer attackieren die Lecks, Admins sollten jetzt bereitstehende Updates installieren.

Vor den attackierten Schwachstellen warnt die CISA in der „KEV“ abgekürzten Liste. Am gravierendsten ist die Sicherheitslücke in Ciscos Secure Email Gateway und Web Manager. Der Sicherheitsmitteilung von Cisco zufolge hat das Unternehmen bereits am 10. Dezember eine Angriffskampagne beobachtet, die auf bestimmte Ports von Ciscos AsyncOS-Software für diese Appliances zielte. Laut einer Analyse verortet Cisco die Angreifer in einer Gruppe aus dem chinesischen Umfeld. Bei den Angriffen konnten die Täter aus dem Internet beliebige Befehle mit Root-Rechten im Betriebssystem ausführen. Damit haben sich die Angreifer auch in die Geräte eingenistet. Details zur Schwachstelle selbst nennt Cisco jedoch noch nicht (CVE-2025-20393, CVSS 10.0, Risiko „kritisch“).

Software-Updates stellt Cisco nicht bereit, rät IT-Verantwortlichen mit verwundbaren Geräten – also jenen, die das Web Management Interface oder den Port für die Spam-Quarantäne im Internet exponieren – jedoch, die Konfiguration der Appliances in einen sicheren Zustand zu versetzen. Dazu gehört das Herunterladen und Installieren von virtuellen Ersatz-Appliances. Zudem finden Admins in der Analyse einige Indizien für Kompromittierung (Indicators of Compromise, IOCs). Temporäre Gegenmaßnahmen nennt Cisco nicht.

Weitere attackierte Sicherheitslücken

Zudem attackieren bösartige Akteure eine Schwachstelle in Sonicwalls SMA1000-Appliances. Die neue Sicherheitslücke erlaubt Angreifern das Ausweiten ihrer Rechte aufgrund unzureichender Authentifizierung in der SMA1000 Appliance-Management-Konsole (AMC) (CVE-2025-40602, CVSS 6.6, Risiko „mittel“). Sonicwall weist in der Sicherheitsmitteilung darauf hin, dass Angreifer die Schwachstelle mit einer kritischen Deserialisierung-Schwachstelle verknüpfen, für die bereits seit Januar aktualisierte Software zum Ausbessern bereitsteht. Die neue Sicherheitslücke schließen Aktualisierungen auf SMA1000 12.4.3-03245 sowie 12.5.0-02283 und neuere Versionen. Bis zur Installation der Updates sollten Admins die Zugriffe auf die AMC stark beschränken und etwa SSH-Zugang ausschließlich mittels VPN oder festgelegter IPs für Admins erlauben oder das SSL-VPN-Management-Interface und SSH-Zugänge aus dem Internet deaktivieren. Sonicwall weist darauf hin, dass SSL-VPN auf Sonicwall-Firewalls nicht betroffen ist.

Die dritte Sicherheitslücke, auf die bösartige Akteure es abgesehen haben, betrifft eine alte Asus-Software zum Aktualisieren von Hersteller-Software auf PCs und Notebooks, das Asus Live Update. Im Jahr 2019 konnten staatliche Cyberkriminelle die Live-Update-Server unterwandern und kompromittierte Software – damals auf bestimmte Ziele beschränkt – verteilen, wie Asus damals in einer Warnung schrieb. „Die modifizierten Builds können Geräte eigentlich nicht beabsichtigte Aktionen ausführen lassen, wenn sie bestimmte Bedingungen erfüllen“, schreibt Asus in der Schwachstellenbeschreibung (CVE-2025-59374, CVSS 9.3, Risiko „kritisch“). Nur Geräte, die diese Randbedingungen erfüllen und auf denen die kompromittierte Software installiert wurde, sind betroffen. Die App wird seit Oktober 2021 nicht mehr länger unterstützt, was bedeutet, dass kein aktuelles Asus-Gerät, das noch Support erhält, anfällig ist, schränkt das Unternehmen weiter ein.

Details zu den Angriffen und der Reichweite nennen Cisa und die Hersteller bis auf Cisco nicht. Admins sollten ihre Systeme prüfen und nach Vorgaben der Hersteller absichern.

(dmk)

„Dass unsere Demokratie und ihre Institutionen zunehmend hybriden Angriffen autoritärer Regime ausgesetzt sind, kann spätestens seit den jüngsten und deutlichen Warnungen der Spitzen unserer Nachrichtendienste und der Einbestellung des russischen Botschafters niemand mehr bestreiten“, sagt der stellvertretende Vorsitzende der Grünen-Bundestagsfraktion, Konstantin von Notz.

Dieser bedrohlichen Kombination aus „anhaltend großer Verwundbarkeit und zunehmender Gefahren“ müsse die schwarz-rote Koalition endlich entschlossen entgegentreten.

Vorgaben nur für Bundestagsverwaltung – nicht das Parlament selbst

Zwar hätten die Regierungsfraktionen den schlechten Entwurf der Bundesregierung zur Umsetzung der europäischen NIS-2-Richtlinie zum Schutz der kritischen Infrastruktur vor Cyberangriffen so überarbeitet, dass hiervon nun auch die Bundesverwaltung und die Verwaltung des Bundestages umfasst seien. Der Bundestag selbst, inklusive der Fraktionen und Abgeordneten mit ihren Wahlkreisbüros, gehöre aber nicht zum Geltungsbereich.

Es sei „geradezu absurd“, dass der Bundestag als „Herzstück der Demokratie“ bisher nicht als kritische Infrastruktur eingestuft sei, obwohl er seit Jahren immer wieder angegriffen werde, sagt der Grünen-Politiker, der dem Bundestagsgremium zur Kontrolle der Geheimdienste angehört.

NIS-2-Richtlinie der EU umgesetzt

Am 6. Dezember ist das Gesetz in Kraft getreten, mit dem die NIS-2-Richtlinie in deutsches Recht umgesetzt wird. Das Gesetz erhöht die Anforderungen an die Cybersicherheit der Bundesverwaltung sowie bestimmter Unternehmen, die als wichtig für das Gemeinwesen gelten. Dazu zählen etwa Telekommunikationsanbieter und Energieversorger.

Für sie gelten jetzt strengere Vorgaben in puncto IT-Sicherheit sowie die Pflicht, erhebliche Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik zu melden.

Cyberattacke und Desinformation

Die Bundesregierung wirft Russland eine massive Cyberattacke sowie Falschinformationen im jüngsten Bundestagswahlkampf vor und hatte deshalb vergangene Woche Konsequenzen angedroht. Die „gezielte Informationsmanipulation“ reihe sich in eine Serie von Aktivitäten ein, die das Ziel hätten, das Vertrauen in demokratische Institutionen und Prozesse in Deutschland zu untergraben, teilte das Auswärtige Amt mit. Der russische Botschafter wurde daher ins Ministerium einbestellt.

Konkret gehen nach Überzeugung der Bundesregierung zwei hybride Angriffe auf das Konto des russischen Militärgeheimdienstes GRU.

IT der Flugsicherung betroffen

Zum einen könne ein Cyberangriff gegen die Deutsche Flugsicherung (DFS) im August 2024 klar der russischen Hackergruppe „Fancy Bear“ und dem GRU zugeordnet werden.

Zum anderen könne man nun verbindlich sagen, dass Russland mit der Kampagne „Storm 1516“ versucht habe, „sowohl die letzte Bundestagswahl als auch fortlaufend die inneren Angelegenheiten der Bundesrepublik Deutschland zu beeinflussen und zu destabilisieren“.

Im Fokus standen vor der Bundestagswahl unter anderem der Grünen-Spitzenkandidat Robert Habeck und der damalige Unions-Kanzlerkandidat Friedrich Merz (CDU). Um sie in Misskredit zu bringen, wurden unter anderem falsche Zeugenaussagen produziert und ins Netz gestellt sowie Websites mit erfundenen Inhalten aufgesetzt.

(dmk)

Der belarussische Geheimdienst KGB hat offenbar über Jahre hinweg eine maßgeschneiderte Spionagesoftware mit dem Namen ResidentBat genutzt, um Journalisten und Oppositionelle lückenlos zu überwachen. Das deckten das Digital Security Lab (DSL) von Reporter ohne Grenzen (RSF) und die osteuropäische Organisation Resident.NGO auf. Für den belarussischen Apparat ist die Enttarnung ein schwerer Schlag, da die forensische Analyse der Software tiefe Einblicke in die Überwachungspraxis eines der repressivsten Regime weltweit erlaubt.

Hochpreisige Spyware wie Pegasus, Predator oder Candiru nutzt Schwachstellen in Betriebssystemen aus, um Endgeräte aus der Ferne zu infizieren. ResidentBat ist laut der Analyse auf einen physischen Zugriff angewiesen. Die Infektionskette, die RSF rekonstruieren konnte, liest sich wie ein Drehbuch für einen Agenten-Thriller: Eine betroffene Person wurde zu einer Befragung in die Räumlichkeiten des KGB vorgeladen. Vor Beginn des Verhörs musste sie das Smartphone in einem Schließfach deponieren. Während der Inquisition wurde die Person aufgefordert, bestimmte Inhalte auf dem Handy vorzuzeigen; sie entsperrte es vor den Augen der Beamten.

Die Experten gehen davon aus, dass die Sicherheitskräfte die PIN-Eingabe beobachteten, das Gerät später heimlich aus dem Fach nahmen und die Spyware manuell installierten. Da ResidentBat als legitime System-App getarnt ist, bleibt sie für Laien nahezu unsichtbar. Einmal aktiv, gewährt sie den Angreifern fast totale Kontrolle: Die Malware kann Anrufprotokolle auslesen, SMS und lokal gespeicherte Dateien kopieren sowie Mikrofonaufnahmen und Bildschirmaufzeichnungen anfertigen.

Besonders brisant: Auch Nachrichten aus eigentlich verschlüsselten Messengerdiensten wie WhatsApp, Signal oder Threema sind vor dem Zugriff nicht sicher, da die Spyware die Inhalte direkt am Endgerät abgreift, bevor sie verschlüsselt werden.

ResidentBat ist schon etwas älter

Die forensische Untersuchung zeigt, dass Minsk diese Technik nicht erst seit Kurzem nutzt. Durch den Abgleich von Code-Fragmenten auf Antiviren-Plattformen stießen die Analysten auf Versionen, die bis ins Jahr 2021 zurückreichten. Das deutet darauf hin, dass das Regime seit mindestens vier Jahren eine verlässliche Infrastruktur zur digitalen Verfolgung unterhält. Wer genau hinter der Entwicklung von ResidentBat steckt, bleibt unklar. Englische Zeichenketten im Quellcode legen nahe, dass es sich bei der Ausgangsbasis um ein kommerzielles Produkt handeln könnte, das für den internationalen Markt oder von einem externen Dienstleister entwickelt wurde.

RSF-Geschäftsführerin Anja Osterhaus sieht in dem Fund eine Bestätigung für die Forderung der zivilgesellschaftlichen Organisation nach einem weltweiten Verbot invasiver Spionagetechnologien. Solche Werkzeuge seien mit Menschenrechten schlicht nicht vereinbar. In Belarus ist der Einsatz solcher Software laut RSF Teil einer systematischen Unterdrückung: Mit 33 inhaftierten Medienschaffenden und Platz 166 auf der Rangliste der Pressefreiheit gehört das Land zu den gefährlichsten Orten für Journalisten weltweit.

Es geht auch ohne teure Exploits

Die Enthüllung hat bereits konkrete Auswirkungen für die Sicherheit von Android-Nutzern. Das DSL hat seine Erkenntnisse mit Google geteilt. Der Tech-Gigant kündigte an, betroffene Nutzer, die als Ziele staatlicher Akteure identifiziert wurden, über spezielle Warnungen über „regierungsgestützte Angriffe“ zu informieren.

Für die Betroffenen in Belarus ist das nur ein kleiner Trost. In einem Land, in dem bereits das Mitführen eines Smartphones zur Gefahr wird, zeigt der Fall ResidentBat vor allem eines: Auch ohne technische Geniestreiche und teure Sicherheitslücken kann ein Geheimdienst die Privatsphäre seiner Bürger eliminieren, sobald er die physische Kontrolle über die Hardware erlangt. Rufe nach einem Bann von Spyware gibt es in der EU seit diverser Skandale rund um solche Staatstrojaner. Getan hat sich seitdem wenig. Die EU-Kommission musste jüngst sogar einräumen, dass substanzielle Fördergelder an Spyware-Hersteller geflossen sind.

(cku)