• · ·

    Neue “Erfahrungen”: Adobe Experience Manager schafft es in die Hall of Shame

    VonJ. Benjamin Espagné

    Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat am 15. Oktober 2025 eine kritische Sicherheitslücke in Adobe Experience Manager (AEM) in ihren Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen. Die Schwachstelle mit der Kennung CVE-2025-54253 erlaubt Remote-Code-Execution (RCE) über eine fehlerhafte Konfiguration in der Administrationsoberfläche von AEM Forms on JEE – CVSS-Score 10.0, also maximal kritisch.

    Betroffen sind AEM-Versionen 6.5.23.0 und älter. Adobe hatte bereits im August 2025 ein außerplanmäßiges Update bereitgestellt, nachdem ein Proof-of-Concept öffentlich geworden war. CISA setzt nun eine verbindliche Patch-Frist bis zum 5. November 2025.

    Neosec hat ermittelt: Laut BuiltWith setzen über 2.700 produktive Websites in Deutschland auf AEM – darunter große Konzerne aus der Automobil-, Industrie-, Energie- und Finanzbranche. Zu den bekannten AEM-Nutzern zählen BMWMercedes-BenzVolkswagenSAPAllianzFreseniusE.ONDHLToyotaPhilips und viele andere. BuiltWith verzeichnet zudem mehr als 3.000 weitere Domains, bei denen AEM bereits in der Implementierungsphase ist – darunter Porsche SE.

    Die Lücke reiht sich ein in eine Serie kritischer AEM-Schwachstellen (u. a. CVE-2025-49533, CVE-2025-54254) und betrifft insbesondere Umgebungen, in denen AEM als zentrale Content-Management-Plattform mit Backend-Systemen wie SAP, Salesforce oder Azure AD integriert ist. Ein erfolgreicher Angriff kann daher vollständige Systemkompromittierung und Datenabfluss sensibler Informationen zur Folge haben.

  • · ·

    Wenn Pflegebetrieb zur Zielscheibe wird — Ransomware bei der Sozial-Holding Mönchengladbach

    VonJ. Benjamin Espagné

    Am 17. März 2025 wurde die Sozial-Holding der Stadt Mönchengladbach GmbH Opfer eines großangelegten Cyberangriffs. Die IT-Systeme der städtischen Tochtergesellschaft, die unter anderem sieben Seniorenheime betreibt und täglich Tausende Mahlzeiten ausliefert, waren betroffen: Server wurden verschlüsselt, E-Mail- und Telefoninfrastruktur war zeitweise nicht nutzbar. Die Täter forderten laut Berichten ein Lösegeld von rund 100.000 Euro. Die Sozial-Holding meldete den Vorfall bei Polizei und Datenschutzbehörden und arbeitete mit externen IT-Forensikern zusammen; nach etwa zehn Tagen war das IT-Netz wieder aufgebaut. 

    Unabhängige Medienberichte und Fachportale (dpa, WDR, CSO Online, Heise) bestätigten, dass sensible Daten von Bewohnerinnen und Bewohnern sowie Mitarbeitenden betroffen sein könnten (Personenstammdaten, Gesundheits- und Pflegedaten, Personalakten, Zugangsdaten). Die Betreiberin erklärte, die Versorgung der Bewohner sei jederzeit sichergestellt geblieben; ein Lösegeld wurde offenbar nicht bezahlt.

    Was bislang offen bleibt: Die Ermittlungen und die polizeilichen Verfahren verhinderten zunächst die Veröffentlichung technischer Details zur Angriffs-Kette und zum genauen Einstiegspunkt der Angreifer. Medienberichte sprechen von einer möglichen Beteiligung ausländischer Tätergruppen; eine gerichtliche oder behördliche Attribution war zum Zeitpunkt der Berichterstattung nicht abschließend bestätigt.

  • Komprimierte Katastrophe – WinRAR-Schwachstelle als Einfallstor

    VonJ. Benjamin Espagné

    WinRAR ist eines der bekanntesten Windows-Programme zum Komprimieren und Entpacken von Dateien. Doch im Sommer 2023 wurde eine gravierende Sicherheitslücke entdeckt: CVE-2023-38831 ermöglichte es Angreifern, beliebigen Code auf den Systemen der Opfer auszuführen.
    Obwohl die Schwachstelle kurz darauf gepatcht wurde, sind viele Systeme weltweit noch immer ungepatcht – und damit leichte Beute. Staatlich unterstützte Hackergruppen nutzen die Lücke gezielt aus, indem sie manipulierte Archive verbreiten. Diese wirken auf den ersten Blick harmlos, enthalten aber versteckte Schadsoftware, die beim Entpacken automatisch aktiv wird. Erste Angriffswellen richteten sich gegen Händler; mittlerweile sind auch Institutionen in der Ukraine und sogar Infrastrukturen in Papua-Neuguinea betroffen.

  • ·

    Doppeltes Ungemach: Henry Schein gleich zweimal von Ransomware-Angriffen betroffen

    VonJuliane Heinen

    Henry Schein, ein prominenter amerikanischer Gesundheitsriese, der in den Fortune 500 gelistet ist, ist ein wichtiger Anbieter von Produkten und Dienstleistungen in 32 Ländern in Nordamerika und Europa.

    Die Horrorgeschichte für das Unternehmen begann am 15. Oktober, als es zum ersten Mal bekannt gab, dass es als Reaktion auf die anhaltende Cyberattacke einige seiner Systeme vom Netz nahm. Das Unternehmen arbeitete teilweise mit alternativen Kommunikationsmitteln weiter. Doch die Entgegennahme tausender Bestellungen per Telefon und Messenger verlangsamte den Betrieb erheblich.

    Die dreiwöchige Untersuchung des Unternehmens ergab, dass sich die Angreifer Zugang zu sensiblen Daten wie Lieferanteninformationen, Zahlungskartennummern und Bankkontodaten verschafft hatten. Etwa zwei Wochen, nachdem Henry Schein den Angriff bekannt gegeben hatte, bekannte sich die Ransomware-Gruppe BlackCat zu dem Angriff und nahm das Unternehmen in ihre Datenleck-Site auf.

    Henry Schein war in der Lage, die Ursache der Störung zu identifizieren und versuchte, Systeme und Daten selbst wiederherzustellen. Leider griff die BlackCat-Gruppe ebenfalls ein und verschlüsselte die Daten erneut, so dass die Bemühungen des Unternehmens vergeblich waren.

    Es bleibt unklar, ob die Angreifer in der Zwischenzeit im System verblieben sind oder ob es sich um einen zweiten Einbruch handelt. Wichtig ist jedoch, dass das Unternehmen nicht dafür gesorgt hat, dass die Angreifer ferngehalten werden. Es ist sogar gut, dass sie sich so leicht erkennen ließen. In einem anderen Fall könnte eine solche Nachlässigkeit dazu führen, dass Hacker praktisch für immer in interne Systeme eindringen und einen noch größeren Schaden anrichten.

  • Cyberangriff auf Rheinische Post

    VonJuliane Heinen

    Ein massiver Hackerangriff hat die Zeitungen in NRW getroffen. Betroffen waren die Rheinische Post, der General-Anzeiger in Bonn, die Aachener Nachrichten, die Saarbrücker Zeitung und der Trierische Volksfreund – die Online- und Printausgaben der Mediengruppe Rheinische Post. Der Angriff fand am Abend des 16. Juni 2023 statt.

    Die Verlage mussten jedoch fast eine Woche lang in einem eingeschränkten Modus arbeiten und nur Notausgaben in reduziertem Umfang veröffentlichen. Das Unternehmen stellte die beschädigten Ressourcen schrittweise wieder her, um die Verbreitung möglicher Schadsoftware auf dem internen System zu verhindern. Das Unternehmen erklärte, dass die Daten der Nutzer und Kunden “sicher” seien.

  • Konkurs wegen eines Cyberangriffs?

    VonJuliane Heinen

    Der Fahrrad- und E-Bike-Hersteller Prophete aus Rheda-Wiedenbrück mit den weiteren Marken Kreidler, VSF Fahrradmanufaktur, Cycle Union und E-Bikemanufaktur hat Konkurs angemeldet. Dieser Enthüllung war ein Cyberangriff vorausgegangen, der die Produktion fast einen Monat lang lahmlegte. Eine so lange Unterbrechung der Produktion wirkte sich auf den Absatz aus und führte zu einem Mangel an finanziellen Mitteln.

    Prophete ist ein deutscher Hersteller von Fahrrädern, Elektrofahrrädern und Mopeds. Zu dem Unternehmen gehören auch die Marken VSF Fahrradmanufaktur, Rabeneick und Kreidler. Außerdem besitzt sie ein Tochterunternehmen, die Cycle Union. Das Unternehmen hat etwa 400-450 Beschäftigte und verfügt über 4 Produktionsstätten. Im vergangenen Jahr sah sich das Unternehmen mit mehreren Herausforderungen konfrontiert, die sich erheblich auf seine Finanzlage auswirkten. Probleme in der Lieferkette, bei der Planung und ein unter den Erwartungen liegender Umsatz belasteten das Unternehmen.

    Deshalb hat das Unternehmen im vergangenen Jahr eine Finanzierungsrunde mit Gläubigern und Aktionären eingeleitet. Und alles hätte gut sein können, doch dann gab es einen Cyberangriff. Dadurch wurde nicht nur der Betrieb gestört, sondern auch die Finanzierungsrunde zum Scheitern gebracht. Leider ist über den Angriff selbst nicht viel bekannt. Nach Angaben des Unternehmens gab es Probleme bei der Rechnungsstellung, die die Probleme bei der Lieferung von Ersatzteilen noch verschärften.

    Dies kann auf einen Phishing-Angriff hindeuten, der höchstwahrscheinlich auf privilegierte Konten abzielt. Solche Angriffe auf Unternehmen werden per E-Mail verbreitet, weshalb sichere E-Mails für alle Unternehmen von entscheidender Bedeutung sind. Es ist unklar, warum die Strafverfolgungsbehörden erst einen Monat später benachrichtigt wurden. Im Falle eines Cyberangriffs muss das BSI innerhalb von 72 Stunden kontaktiert werden und alle betroffenen Kunden müssen über den Vorfall informiert werden.

    Der Cyberangriff war zwar nicht der einzige Faktor für die Insolvenz des Unternehmens, aber der letzte Strohhalm. Wer weiß, wie sich das Schicksal nach erfolgreichen zusätzlichen Finanzierungsrunden entwickelt hätte. Höchstwahrscheinlich wird das Unternehmen seine Aktivitäten mit neuen Eigentümern fortsetzen. Das hängt auch von den Schlussfolgerungen der Prüfung und der Untersuchung der wahren Folgen des Cyberangriffs ab, vielleicht ist alles schlimmer als wir denken.

    Unbestreitbare Investitionen in die Cybersicherheit des Unternehmens führen zu einem kontinuierlichen Betrieb. Sie macht das Unternehmen berechenbarer und widerstandsfähiger, verbessert den Ruf und kostet letztlich weniger. Es gibt keinen guten Zeitpunkt, um von Angreifern gehackt zu werden, aber in Zeiten finanzieller Not ist es besonders kritisch. Zögern Sie nicht, Ihr digitales Vermögen zu schützen, kontaktieren Sie https://neosec.eu/!

  • · ·

    Phishing wird immer heimtückischer

    VonJuliane Heinen

    Ein neuer Phishing-Angriff namens SocGholish wurde entdeckt. SocGholish zielt auf viele Länder ab, darunter auch Deutschland. Es werden infizierte Websites verwendet, die keinen Verdacht erregen, und selbst Aggregatoren und Google Alert nehmen diese Websites in ihre Mailings auf. Proofpoint (Cybersicherheitsunternhemen) hat bereits etwa 300 solcher Websites entdeckt und die Zahl könnte noch steigen.

  • ·

    Die Gefahren von OneNote-Dokumenten

    VonJuliane Heinen

    Eine neue bösartige OneNote-Datei wurde entdeckt. OneNote-Dokumente sind Microsoft-Produkte und haben die Erweiterung “.one”. Trustwave fand die bösartige “.one”-Datei erstmals Anfang Dezember.

    Die Experten erhielten die Datei mit einer typischen Phishing-E-Mail. Die “.one”-Datei bestand aus bösartigen Skripten, die PowerShell-Befehle enthielten. Diese bestanden aus Anweisungen, um Dateien (sog. Payloads) von der Domain des Bedrohungsakteurs – a0745450[.]xsph[.]ru – herunterzuladen.

    Die Datei lädt andere bösartige Komponenten nicht automatisch herunter. Sie verleitet den Benutzer dazu, die Skriptausführung zu starten, indem er auf die einzige angezeigte Schaltfläche klickt, doch darunter befindet sich ein bösartiges Skript.

    Normalerweise warnt das System den Benutzer vor dem Öffnen einer Ausführungsdatei, aber diese Meldungen werden von den Benutzern häufig ignoriert.

    was der Benutzer sieht
    was wirklich vor sich geht

    Der weitere Weg der Malware ist schwer zu erkennen. Die Forscher behaupten, dass ein Formbook-Trojaner heruntergeladen wird, der aber jederzeit geändert werden kann.

    Formbook selbst ist ein Malware-as-a-Service, aber der gesamte Angriff könnte Teil eines Phishing-as-a-Service-Angriffs sein, worüber wir bereits geschrieben haben. Hierbei ist es wahrscheinlich, dass die Malware Browserdaten stiehlt und Screenshots macht, und die Folgen können mit der Zeit immer größer werden.

    Um die Risiken zu mindern, sollten Sie “.one”-Anhänge besser kennzeichnen, Mitarbeiter über Bedrohungen informieren und eine Mail Security Gateway Regeln konfigurieren. Es handelt sich (noch) nicht um einen typischen Angriff, aber je früher Sie sich vorbereiten, desto sicherer sind Sie.

  • ·

    Verwaltung der Zugänge der Mitarbeiter?

    VonJuliane Heinen

    Kürzlich veröffentlichte der Twitter-Account der New York Post mehrere feindselige Tweets. Sie wurden noch am selben Tag gelöscht und das Unternehmen behauptete, das Konto sei gehackt worden. Später stellte sich jedoch heraus, dass sie von einem Mitarbeiter eingestellt worden waren. Es wird behauptet, dass er bereits entlassen worden ist. Dieser Fall wirft jedoch die Frage auf, warum dieser Mitarbeiter Zugang zum Twitter-Konto der Zeitung hatte. Denn er war nicht für die Veröffentlichung von Inhalten in diesem Netz verantwortlich.

  • ·

    200.000 Kundenkonten von North Face wurden gestohlen

    VonJuliane Heinen

    Benutzerkonten auf der The North Face Website wurden Opfer eines Hackerangriffs. Der Angriff dauerte einen Monat, wobei die Brute-Force-Methode zum Einsatz kam. Nach Angaben des Unternehmens gelang es den Angreifern, etwa 200.000 Konten zu übernehmen. Der Vorfall wurde bekannt, weil das Unternehmen nach dem Gesetz verpflichtet ist, einen solchen Angriff zu melden. Ein ähnliches Gesetz gilt in Deutschland. The North Face hat die von dem Angriff betroffenen Nutzer informiert.

Keine weiteren News.

Keine weiteren News.

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse