HiSolutions Cybersecurity Digest Oktober 2025
Liebe Leserinnen und Leser,
wie jedes Jahr ist für uns gerade im Bereich Incident Response das vierte Quartal spürbar: die Angreifenden kommen aus dem Sommerurlaub zurück und werden wieder aktiver.
Aber dennoch gibt es auch gute Nachrichten. Diesen Monat berichten wir über folgende Themen:
- Chatkontrolle abgewendet
- Meldepflicht in der Schweiz für IT-Sicherheitsvorfälle
- Datenreichtum bei Sonicwall
- Wenn Kriminelle Exploits veröffentlichen
- SaaS-Integrationen als Schwachstelle: Discord und Zendesk
Nutzen Sie die Zeit, entstauben Sie die Notfallpläne und wie immer: Viel Vergnügen beim Stöbern!
Mit besten Grüßen
Abraham Söyler und Holger von Rhein
Chatkontrolle abgewendet
In der Diskussion um die Einführung einer verpflichtenden Chatkontrolle gibt es neben der politisch umstrittenen Fragestellung ihrer Effektivität auch einen starken Sicherheitsaspekt. Selbst wenn eine Chatkontrolle eine unbestritten optimale Lösung wäre, stellt sich den praktisch veranlagten System-Ingenieuren die Frage der Umsetzung. Wie soll Ende-zu-Ende-verschlüsselte Kommunikation für die „legitime“ Überprüfung durch staatliche Institutionen aufgebrochen werden, ohne die Sicherheitsziele dieser Anwendungen fundamental zu verletzten? Wie stellen wir sicher, dass dieser „Lawful Access“ nicht durch Kriminelle ausgenutzt wird, wie in der Vergangenheit immer wieder beobachtet?
Das sogenannte Client Side Scanning ist vielseitiger Kritik ausgesetzt: Unklare KI-Algorithmen, False-Positive-Meldungen und daraus folgende Überlastung der Behörden. Auch gibt es grundsätzliche Bedenken zur Einführung solcher Massenüberwachungssysteme. Die Beteuerung, dass sie nur zur Aufklärung von Straftaten genutzt wird, mag aktuell erfüllt werden, aber sind die Werkzeuge einmal etabliert, können sie in Zukunft ebenso für andere Zwecke genutzt werden.
Auch wenn die Diskussion um das Thema wohl früher oder später wieder aufflammen wird, so ist das Aussetzen der Abstimmung auf EU-Ebene doch ein Etappensieg für sichere Kommunikation und die Wahrung von Grundrechten.
https://edri.org/our-work/chat-control-what-is-actually-going-on/
Meldepflicht in der Schweiz für IT-Sicherheitsvorfälle
Sechs Monate nach Einführung der Meldepflicht für IT-Sicherheitsvorfälle bei kritischen Infrastrukturen in der Schweiz zieht das BACS (Bundesamt für Cybersicherheit) Bilanz. Insbesondere hebt es die gut funktionierende Zusammenarbeit und die größere Teilnahme am Informationsaustausch hervor. In Deutschland regelt bereits seit längerer Zeit das BSI-Gesetz in § 8b Absatz 4 eine ähnliche Meldepflicht. Die Einführung von NIS-2, und damit die deutliche Erweiterung der meldepflichtigen Stellen, bringt hoffentlich ähnlich positive Resultate.
https://www.news.admin.ch/de/newnsb/gezctyF6KYR7UkCjXBC5s
Datenreichtum bei Sonicwall
Einige unserer IR-Fälle der letzten Wochen standen im Zusammenhang mit dem Incident bei Sonicwall, bei dem Cloud- Back-ups durch Dritte einsehbar waren. Diese enthalten für Angreifende spannende Daten, um einen initialen Angriffsvektor in einer Umgebung zu finden. Es gab durchaus bereits einige solcher Lücken bei Firewall-Herstellern –Was diesen Vorfall aber so spannend macht, ist die weitere Entwicklung nach der Veröffentlichung: Während am 17. September noch von Auswirkungen für weniger als fünf Prozent der Anwender die Rede war, stellte sich nach umfassender Analyse heraus, dass Alle betroffen waren. Wichtige Erkenntnis: Schwachstellenmanagement hört nicht nach der initialen Meldung auf.
Wenn Kriminelle Exploits veröffentlichen
Dass eine Sicherheitslücke genutzt wird, um Ransomware zu verteilen, ist leider keine Seltenheit, in diesem Fall CVE-2025-61882 bei Oracle. Wenn aber die Existenz und das Ausmaß klar werden, weil eine andere kriminelle Organisation den genutzten Einfallsvektor veröffentlicht, dann lohnt sich ein Blick hinter die Kulissen.
SaaS-Integrationen als Schwachstelle: Discord und Zendesk
Ein aktueller Sicherheitsvorfall bei Discord, ausgelöst durch eine Kompromittierung der Zendesk-Integration, demonstriert die Risiken privilegierter API-Zugriffe. Zendesk, als Customer-Support-Plattform, operiert mit OAuth-Tokens, die oft weitreichende Rechte auf Kundendaten gewähren. Das erfolgreiche Abgreifen eines solchen Tokens oder eine unzureichend abgesicherte API-Routine können ausreichen, um Zugriff auf sensible Dokumente wie Regierungs-IDs zu erlangen. Auch wenn ein Cross-Tenant-Angriff über gemeinsam genutzte Cloud-Ressourcen (z. B. AWS) weniger wahrscheinlich ist, bleibt er technisch denkbar.
https://firecompass.com/discord-zendesk-support-system-data-breach/
CRM-Systeme als Single Point of Failure: Qantas und Allianz Life
CRM-Plattformen wie Salesforce sind zentrale Datensilos – und damit hochattraktive Ziele. Im Fall Qantas nutzte die Gruppe „Scattered Spider“ Social Engineering gegen Administratoren, kombiniert mit SIM-Swapping zur Umgehung einer Multi-Faktor-Athentisierung. Nach Erlangung von Admin-Zugängen konnten über legitime Funktionen wie den Salesforce Data Loader große Datenmengen extrahiert werden – unauffällig und effizient.
Ein anderer Vorfall bei Allianz-Life zeigt, wie schwache Datenbanksegmentierung zu massiven Datenverlusten führen können. Moderne CRM-Systeme nutzen oft „Data Lakes“ mit schwacher Access Control, die über ETL-Pipelines zusätzliche Angriffsflächen bieten.
https://www.9news.com.au/national/qantas-data-breach-salesforce/cc149e0a-3ba5-4235-8c22-1c855e2ade01
https://databreach.com/news/21-28m-allianz-life-customer-records-stolen-in-salesforce-hack
https://www.cbsnews.com/news/allianz-life-insurance-data-breach/
Fintech-Exposition: Bonify und die Identitätsdaten
Bonify, als Schufa-Tochter, verarbeitet hochsensible Identitätsdokumente. Diese werden typischerweise in Object-Storage-Systemen wie S3 oder Azure Blob gespeichert. Fehlkonfigurierte Bucket-Permissions oder kompromittierte IAM-Rollen können dann einen direkten Zugriff ermöglichen. Das Angebot des Unternehmens für Betroffene, für sechs Monate kostenlos den Identitätsschutz des Unternehmens zu nutzen, deutet auf eine längerfristige Exposition hin – möglicherweise durch undetektierte APTs.
it’s.BB-Webinar: Wann mit einem Sicherheitsmanagement auch ein Sicherheitskonzept vorliegt | 12.11.2025 von 16-17 Uhr
Im Vortrag werden die zentralen Managementdisziplinen eines Informationssicherheitsmanagementsystems (ISMS) sowie die Abgrenzung und Verbindung zu Sicherheitskonzepten praxisnah erläutert. Anhand konkreter Beispiele und bewährter Methoden wird aufgezeigt, wie Sicherheitskonzepte zielgerichtet entwickelt werden können und welchen strategischen Mehrwert diese für Organisationen bieten.
https://www.itsbb.net/veranstaltungen/its-bb-webinar-12-november-2025/
HiSolutions Know-how to go: ISMS-Automatisierung – Agil. Sicher. Effizient. | 26.11.2025
Informationssicherheit muss heute flexibel, transparent und praxisnah gestaltet werden. Genau hier setzt unsere dreiteilige Vortragsreihe an: Die Teilnehmenden erhalten konkrete Einblicke in agile Methoden zur ISMS-Einführung, eine Git-basierte Umsetzung ohne klassische Office-Tools sowie einen pragmatischen Einstieg ins Risikomanagement anhand von Projektmanagement-Software.
Die Vorträge zeigen, wie sich Normanforderungen mit modernen Arbeitsweisen verbinden lassen, Aufgaben im ISMS automatisiert werden können und damit weniger Belastung bei den Verantwortlichen (CISO/ISB) liegt – effizient, skalierbar und zukunftsfähig.
Die Teilnahme an unserem Wissensfrühstück in Berlin ist kostenfrei.
Der nächste HiSolutions Cybersecurity Digest erscheint Mitte November 2025.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!