Der Online-Shop des baden-württembergischen Staatsministeriums hat mit einem Cyberangriff zu kämpfen. Nach Angaben des Landes nutzten Angreifer im Zeitraum vom 27. bis 29. Dezember 2025 eine bislang unbekannte Sicherheitslücke im Shop-System von „THE LÄND“ aus. Der „Fänshop“ der Seite ist inzwischen offline. Das Staatsministerium hat nach eigenen Angaben unmittelbar reagiert, den Online-Shop abgeschaltet und Strafanzeige gestellt.

Wie ein Sprecher des Staatsministeriums auf Anfrage mitteilt, könnten die Angreifer „Zugriff auf Kundendaten wie Namen und E-Mail-Adressen erlangt haben“. Der Shop sei nicht nur kompromittiert, sondern aktiv manipuliert worden: „Zudem wurde eine manipulierte Bezahlseite eingerichtet, über die versucht wurde, Kreditkartendaten von Kundinnen und Kunden abzugreifen und Zahlungen einzuziehen.“

Nach bisherigem Kenntnisstand geht das Land von „einer niedrigen zweistelligen Zahl von geschädigten Personen“ aus. Eine abschließende Analyse laufe noch. Zwar seien im regulären Betrieb „grundsätzlich die Zahlungsmethoden Vorkasse (Überweisung) und PayPal“ vorgesehen, doch hätten die Angreifer auch bei eigentlich kostenlosen Artikeln wie den bekannten „Nett hier“-Aufklebern versucht, Kreditkartenzahlungen auszulösen. „Die tatsächlich abgebuchten Beträge lagen dabei deutlich über den im Bestellprozess ausgewiesenen Summen“, heißt es weiter.

Sicherheitslücke ermöglichte Zugang

Bei dem Shopsystem handelt es sich aller Wahrscheinlichkeit nach um eines von Gambio. Der Anbieter hatte am 30.12.2025 in einem Foreneintrag ein „neues Security Update Paket veröffentlicht, dessen Installation wir allen Shopbetreibern dringend empfehlen“. Die Lücke, die 25.000 Shops betreffen dürfte, wird als „kritisch“ eingestuft.

Kundinnen und Kunden wurden informiert, wie auch einem Beitrag auf Reddit zu entnehmen ist. Betroffene sollen ihre Konto- und Kreditkartenabrechnungen sorgfältig prüfen und bei Auffälligkeiten umgehend reagieren. Hinweise zum Vorfall nimmt das Land per Mail an shop@thelaend.de entgegen. Die Ermittlungen und die forensische Aufarbeitung des Vorfalls dauern an.

(mack)

Die Europäische Weltraumagentur ESA hat einen „Cybersicherheitsvorfall“ eingestanden, aber versichert, dass er lediglich Server „außerhalb des hauseigenen Netzwerks“ betroffen habe. So steht es in einem Beitrag auf dem Kurznachrichtendienst X, der noch vor dem Jahreswechsel veröffentlicht wurde. Das erfolgte als Reaktion auf die Behauptung eines Unbekannten, für eine Woche Zugriff auf Systeme der ESA gehabt zu haben, wie Bleeping Computer berichtet hatte. Demnach hat die Person schon vorige Woche erklärt, mehr als 200 Gigabyte an Daten abgegriffen zu haben und diese zum Verkauf angeboten. Dazu hat sich die ESA nicht geäußert.

Nicht geheime Dokumente, aber auch Zugangsdaten

Laut der Stellungnahme der ESA hat die inzwischen durchgeführte Analyse ergeben, dass „nur eine sehr kleine Zahl von Servern“ betroffen war. Darauf hätten „nicht geheime“ Dokumente für die Zusammenarbeit mit der Wissenschaft gelegen. Alle relevanten Organisationen seien informiert worden, weitere Informationen würden folgen, „sobald diese verfügbar sind“. Laut Bleeping Computer behauptet der angeblich Verantwortliche, unter anderem Quellcode, API- sowie Zugangstoken, Konfigurations- und SQL-Dateien sowie weitere Zugangsdaten erbeutet zu haben. Abgegriffen wurden diese demnach auf Jira- und Bitbucket-Servern.

Auch wenn die ESA nahelegt, dass die Cyberattacke nicht besonders schwerwiegend war, so ist der Vorfall doch mindestens unangenehm. Erst im Frühjahr hat die Weltraumagentur ein IT-Sicherheitszentrum eröffnet, das von zwei Standorten aus die „digitalen Vermögenswerte“ der ESA überwachen und schützen soll. Dabei geht es um „Satelliten im Weltraum bis hin zum weltweiten Netz Bodenstationen und Missionskontrollsystemen auf der Erde“, wie es damals hieß. Das Cyber Security Operations Centre (C-SOC) sollte auch als Antwort auf die stetig steigende Bedrohungslage verstanden werden.

(mho)

Die IT-Sicherheitsforscherin und Rollstuhlnutzerin Elfy beschäftigte sich aus persönlicher Betroffenheit intensiv mit dem e-motion M25 von Alber. Was sie dabei antrieb, war nicht zuletzt die Preispolitik des Herstellers: Für Funktionen wie das Umschalten des Fahrmodus (99 Euro), ein höheres Geschwindigkeitslimit (99 Euro) oder die Fernbedienung per App (99 Euro) werden saftige Aufpreise fällig; eine spezielle Bluetooth-Fernbedienung kostet sogar bis zu 595 Euro. Elfy wollte wissen, ob diese Komfortfunktionen technisch wirklich abgesichert sind – oder ob der Zugang in Wahrheit viel einfacher ist.

Komfortfunktionen hinter Bezahlschranken

In ihrem Vortrag auf dem 39. Chaos Communication Congress (39C3) erklärte Elfy, dass sämtliche Komfort- und Premiumfunktionen des M25 – wie etwa höhere Geschwindigkeit, der Wechsel zwischen Fahrmodi oder die App-basierte Fernsteuerung – ausschließlich per Software und kostenpflichtige Freischaltungen aktiviert werden. Elfy betonte, dass die Hardware ihrer Ansicht nach durchweg identisch sei und sich die Unterschiede nur durch die Software-Freischaltung ergäben. Zur Hardware sagte sie wörtlich: „Die Hardware ist eigentlich wirklich gut, sie tut, was sie soll, und funktioniert wirklich bequem und praktisch.“

Der Hersteller betone in offiziellen Dokumenten und gegenüber Behörden wie der der Food and Drug Administration (FDA) in den USA, dass sämtliche Bluetooth-Kommunikation „verschlüsselt“ und damit sicher sei. In einem Schreiben an die FDA heißt es: „All wireless communications is encrypted.“ (Alle kabellosen Kommunikationen sind verschlüsselt.) Für Nutzer bedeute dies jedoch in erster Linie eine Preisschranke, keine tatsächliche Sicherheit, so Elfy.

QR-Code als Generalschlüssel

Kern der Sicherheitsarchitektur beim e-motion M25 ist ein 22-stelliger QR-Code („Cyber Security Key“), der gut sichtbar auf jeder Radnabe angebracht ist. Die offizielle App scannt diesen Code bei der Ersteinrichtung und leitet daraus deterministisch den AES-128-Schlüssel für die Bluetooth-Kommunikation ab. Elfy erklärte dazu: „Der AES-Key für jedes Rad ist ein QR-Code, der auf der Radnabe aufgeklebt ist.“ Und weiter: „Mit diesem Key kann man komplett den Rollstuhl übernehmen.“

Es gebe keine zusätzliche Absicherung, etwa durch Salt, Hardwarebindung oder ein weiteres Geheimnis im Gerät. Jeder mit einer Kamera könne theoretisch den QR-Code abfotografieren und das Rad steuern. Elfy ergänzte: „Und das nennen die dann Cyber Security Key.“ Die genaue Methode der Schlüsselableitung und die technischen Details sind im zugehörigen GitHub-Repository dokumentiert.

Verschlüsselung: AES als Feigenblatt

Technisch kommt laut Hersteller und Analyse von Elfy eine standardisierte AES-128-Verschlüsselung im CBC-Modus zum Einsatz. Elfy sagte dazu: „Das Schöne daran ist, dass die Kryptografie eigentlich in Ordnung ist. Es ist AES-128-CBC.“ Doch entscheidend sei: Es gibt keine Integritäts- oder Authentizitätsprüfung der Nachrichten. „Sie benutzen einfach den Standardkram, PKCS7-Padding, und das war’s“, so Elfy. Weder ein Message Authentication Code (MAC) noch ein Authenticated Encryption-Modus (AEAD) werde verwendet.

Das mache das System nicht nur anfällig für Replay- und Manipulationsangriffe, sondern ermögliche auch das gezielte Bit-Flipping in verschlüsselten Nachrichten. Auch Initialisierungsvektoren würden nicht für jede Nachricht neu generiert. Elfy sagte: „An mehreren Stellen hatte ich das Gefühl, sie kennen die Grundlagen, aber haben dann aufgehört, über Probleme nachzudenken.“ Die Implementierung der Verschlüsselung ist offen einsehbar.

Protokoll und Reverse Engineering

Das proprietäre Protokoll zwischen App, Fernbedienung und Antrieb sei laut Elfy überraschend einfach aufgebaut. Im Vortrag sagte sie: „In der Theorie ist das wirklich keine komplizierte Sache. Es gab ein paar lustige Designentscheidungen, aber es ist grundlegendes Zeug. Es ist nicht kompliziert.“ Nachrichten enthalten Service-IDs, Parameter und Nutzdaten. Die gesamte Struktur hat Elfy auf GitHub dokumentiert.

Für die Analyse habe Elfy die Android-App dekompiliert, Firmware und Traffic mitgeschnitten und daraus ein Python-Toolkit erstellt. Elfy berichtete: „Ich habe die Fernbedienung ersetzt, das sind mehrere hundert Zeilen Python-Code, die mit meinem Rollstuhlantrieb sprechen. Ich konnte die Parkfunktion ersetzen. Ich konnte einige Wartungsfunktionen ersetzen. Ich habe den Dealer Mode ersetzt, und dieser Selbstfahr-Modus kann auch komplett gemacht werden.“

Elfy wies darauf hin, dass sich die teuren Fernbedienungen in der Hardware kaum von günstigeren Varianten unterscheiden: „Die Hardware dieser Fernbedienung ist nahezu identisch. Die teurere Variante ist ein Boolean-Flag in der Konfigurations-Software des Herstellers. Und sie vermarkten das als zwei verschiedene Produkte.“

Software-Paywalls und Händlerfunktionen

Die Premiumfeatures würden rein softwareseitig durch die App freigeschaltet. Elfy sagte dazu: „Die Bezahlung schaltet nur die grafischen Benutzeroberflächen in der App frei. Am Antrieb selbst ändert sich nichts. Es werden nur bestimmte Teile der Anwendung sichtbar, die ohne Bezahlung nicht sichtbar sind.“

Auch Händler- und Wartungsfunktionen seien nicht durch Hardware geschützt. Elfy erklärte: „Man muss das Passwort kennen. Es war nicht besonders gut versteckt. Das Passwort war in einigen PDFs im Internet. Aber ich habe das Passwort im Klartext aus der Android-App bekommen.“

Universelle Schwachstelle mit weitreichenden Folgen

Elfy wies darauf hin, dass diese Schwachstelle alle M25-Systeme betreffe: „Ich habe auf diesem Kongress schon zwei oder drei andere außer meinem gesehen. Also scannt bitte nicht die QR-Codes anderer Leute. Denn ihr könntet Schaden anrichten.“

Die Verschlüsselung werde so zur reinen Formsache, während die Zugangskontrolle auf einem offen einsehbaren Sticker beruht. Elfy betonte, dass AES-128 nur so lange sicher sei, wie der Schlüssel geheim bleibe – im Falle des M25 sei der Schlüssel aber ganz offen als QR-Code auf dem Rad sichtbar.

Kritischer Blick auf Medizintechnik

Elfys Vortrag machte deutlich, dass starke Algorithmen allein keine Sicherheit garantieren. Ohne durchdachtes Schlüsselmanagement und robuste Protokolle bleibe die Kontrolle über das eigene Gerät letztlich beim Hersteller – es sei denn, Nutzer greifen selbst zu Werkzeugen wie Elfys offenen Python-Toolkit. Die vollständige Analyse, Skripte und Dokumentation finden sich ebenfalls im GitHub-Repository.

(vza)