foto freepik
Ob Zero-Day-Exploits oder Fehlkonfigurationen – Sicherheitslücken sind längst eine alltägliche Herausforderung. Entscheidend ist nicht nur, dass sie entdeckt werden, sondern wie mit den Erkenntnissen umgegangen wird. Zwischen koordinierter Offenlegung und der Gefahr von Angriffswellen auf ungeschützte Systeme ist eine Debatte entbrannt, die längst nicht mehr nur Fachkreise betrifft. Der jüngste Fall einer Schwachstelle in der Dateiübertragungssoftware CrushFTP zeigt die Schattenseiten unkoordinierter Veröffentlichung.
Kommentar von Kristian Varnai, Senior Security Consultant von Outpost24
Die kürzlich veröffentlichte Schwachstelle CVE-2025-31161 in der Dateiübertragungssoftware CrushFTP ist technisch gravierend – und in ihrer Wirkung vor allem ein Beispiel für ein wachsendes Problem in der Sicherheitsbranche. Sie zeigt, dass die Bereitschaft, Verantwortung für IT-Sicherheit gemeinsam zu tragen, spürbar abnimmt. Die Sicherheitslücke ermöglicht Angreifern, durch eine fehlerhafte Implementierung der AWS4-HMAC-SHA256-Authentifizierung temporären Zugriff auf Benutzerkonten zu erlangen – bis hin zur vollständigen Systemübernahme durch persistente Sessions. Das ist keine theoretische Gefahr: Bereits jetzt verzeichnen Sicherheitsforscher mehr als 1.500 angreifbare Instanzen im Netz sowie erste Angriffe durch Threat-Actors.
Wenn Disclosure zur Schwachstelle wird
So gefährlich die Schwachstelle selbst ist – mindestens genauso problematisch ist der Umgang mit ihr. Outpost24 war mit CrushFTP im Dialog und verfolgte einen klassischen Coordinated-Disclosure-Ansatz. Doch ein anderes Unternehmen veröffentlichte unter einer zweiten CVE-Nummer (CVE-2025-2825) vorzeitig Details, inklusive Proof-of-Concept. Damit wurde aus der geplanten Pufferzeit für die Nutzer eine Einladung an Angreifer. Die Veröffentlichung kam einem Weckruf für Exploit-Entwickler gleich – bevor ein Großteil der Systeme gepatcht war.
Verantwortung braucht Abstimmung
Der Vorfall zeigt: Selbst bei bestmöglicher technischer Vorbereitung – inklusive Patch-Verfügbarkeit durch den Hersteller – kann mangelnde Abstimmung auf der Kommunikationsseite erheblichen Schaden anrichten. Transparenz ist wichtig, aber nicht um jeden Preis. Wer Schwachstellen offenlegt, trägt Mitverantwortung dafür, wie diese Informationen in Umlauf geraten; und in wessen Hände sie fallen. Einseitige Offenlegungen mögen kurzfristig Aufmerksamkeit bringen, untergraben aber das Vertrauen in eine Branche, die auf kooperative Prozesse angewiesen ist.
Ein Appell an die Sicherheits-Community
CrushFTP ist nicht der erste Fall dieser Art und wird auch nicht der letzte sein. Doch er verdeutlicht, wie wichtig es ist, sich wieder stärker auf koordinierte Abläufe zu besinnen. Responsible Disclosure ist kein Auslaufmodell, sondern aktueller denn je. Wer die Sicherheit von IT-Systemen verbessern will, muss sich auch an Kommunikationsspielregeln halten.
8 Artikel zu „Sicherheits-Community“
News | IT-Security | Produktmeldung
Angreifer hacken nicht, sie loggen sich ein
Den Wildwuchs im Datenzugriff durch menschliche und nicht-menschliche Identitäten unter Kontrolle bringen Unternehmen weltweit kämpfen heutzutage damit ihren Datenzugriff zu sichern, wobei weniger als 5 % der Zugriffsberechtigungen tatsächlich benötigt werden. Diese globale Bedrohung möchte CyberDesk, ein in München ansässiges Cybersicherheitsunternehmen, lösen und hat nun den offiziellen Start seiner Plattform für identitätszentrierte Datensicherheit bekanntgegeben. Mit…
News | Cloud Computing | IT-Security | Ausgabe 1-2-2024 | Security Spezial 1-2-2024
Industry Predictions 2024 – Alte und neue Risiken
Cloud-Sicherheit war noch nie so wichtig wie heute. Der Markt wird Lösungen fordern, die alle Funktionen, einschließlich SIEM, SOAR, EDR und XDR, in einer Cloud-nativen, KI-gesteuerten Plattform vereinen, um bessere, schnellere und kostengünstigere Ergebnisse zu erzielen.
News | Trends 2024 | Trends Security | IT-Security
Cybersecurity: Industry Predictions 2024
Die Bekämpfung von Cloud-Bedrohungsakteuren erfordert einen konsequenten Fokus auf die Sicherung des gesamten Software-Entwicklungszyklus. Cloud-Sicherheit war noch nie so wichtig wie heute. Während Unternehmen sich darauf konzentrieren, Remote- und Hybrid-Teams in einer unsicheren globalen Wirtschaft zu koordinieren, klügeln Angreifer immer raffiniertere, unerbittlichere und schädlichere Angriffstaktiken aus. Laut des CrowdStrike 2023 Global Threat Report ist die Zahl…
News | IT-Security | Künstliche Intelligenz | Ausgabe 7-8-2023 | Security Spezial 7-8-2023
KI in der Cybersicherheit – was ist dran am Hype? Keine allumfassende Lösung.
Der Wert der KI für die Cybersicherheit ist hinlänglich belegt. Es stellt sich die Frage, ob die Bewertung von KI als Allheilmittel in der IT-Sicherheit mehr schaden als nützen könnte.
News | IT-Security | Künstliche Intelligenz
Wie generative KI die Sicherheitsforschung verändert
Die Cybersicherheitsexperten des Tenable Research-Teams beobachten kontinuierlich die Bedrohungslandschaft und untersuchen die Veränderungen der von Angreifern eingesetzten Technologien und Techniken. Bei dieser Arbeit werden enorme Datenmengen analysiert, um den Unternehmen, die Tenable-Produkte einsetzen, kontextrelevante Hinweise zu geben. In den letzten Monaten haben die Sicherheitsbehörden weltweit ihre Besorgnis über den Einsatz von KI-Technologien wie ChatGPT…
News | Trends Security | Trends 2021 | IT-Security
Sicherheitsfragen 2021 – und die Antworten darauf
Für das Jahr 2021 stellen sich eine Menge Fragen in Zusammenhang mit der Sicherheit: Lassen sich mit einer Zero-Trust-Architektur Cyberangriffe für den Angreifer schwieriger gestalten? Werden strengere Auditing-Praktiken umgesetzt? Wird das mangelnde Bewusstsein von möglichen RPA-Sicherheitsauswirkungen im Jahr 2021 zu einem schwerwiegenden RPA-Hack führen? Wird 2021 das Jahr der »Customizable Cloud«? Wird die scheinbare…
News | Trends Security | Digitalisierung | Trends 2019 | IT-Security | Rechenzentrum
2019, das Quanten-Jahr? Das nicht, aber das Jahr um sich darauf vorzubereiten
Vor einigen Wochen veröffentlichte die National Academies of Sciences, Engineering and Medicine einen neuen Bericht, in dem sie Fortschritte und Perspektiven – oder deren Fehlen – rund um das Thema Quantencomputer – untersucht hat [1]. Der Report skizziert verschiedene technische und finanzielle Probleme, die es zu überwinden gilt, bevor man einen funktionsfähigen Quantencomputer bauen kann.…
News | Cloud Computing | Digitalisierung | Infrastruktur | IT-Security | Kommentar | Rechenzentrum | Services | Tipps
Akute Sicherheitslücke in Computerchips – Ohne nachgelagerte, automatisierte IT-Sicherheit haben Angreifer (zu) leichtes Spiel
Die am 3.1.2018 bekanntgewordene, fatale Sicherheitslücke in zahlreichen Computerchips, betrifft weltweit Milliarden an PCs, Tablets und Smartphones. Die entdeckte Schwachstelle stellt auch eine immense Gefahr für die Daten und Infrastrukturen von Unternehmen dar. Um einen Überblick zum Status Quo, mögliche Folgeszenarien und Lösungsansätze zu ermöglichen, fasst Chris Morales, Leiter für Cybersicherheitsanalysen bei Vectra, die…
1602 Artikel zu „Sicherheitslücke“
Trends 2025 | News | Trends Security | IT-Security
Kritische Sicherheitslücken bei Web-Apps und APIs trifft auf zunehmende Angriffskomplexität
Unternehmen kämpfen mit der schnellen Expansion von APIs, Multi-Cloud-Herausforderungen und immer ausgefeilteren Cyberangriffen. Die Studienergebnisse unterstreichen die Notwendigkeit konsolidierter und automatisierter Sicherheitslösungen. Die Edge-Cloud-Plattform Fastly hat in Zusammenarbeit mit der Informa TechTarget Enterprise Strategy Group (ESG) eine neue Studie veröffentlicht. Der Bericht »Balancing Requirements for Application Protection« basiert auf Erkenntnissen aus einer Befragung von…
News | IT-Security | Lösungen
Sicherheitslücken in Apotheken: Der Mensch als größtes Risiko
Apotheken sehen sich immer häufiger Cyberangriffen ausgesetzt, wobei menschliche Fehler häufig als Hauptursache für die Sicherheitslücken verantwortlich sind. Eine neue Studie zeigt, dass unachtsame Routinen im Umgang mit sensiblen Patientendaten sowie unzureichende Sicherheitsvorkehrungen das Risiko für Angriffe deutlich erhöhen [1]. Besonders während hektischer Arbeitsphasen, wie der Medikamentenabgabe, wird die Sicherheit oft vernachlässigt. Experten warnen, dass…
News | Trends 2024 | Trends Security | Industrie 4.0 | IT-Security
Industrie kauft sich Cyber-Sicherheitslücken ein
Digitalisierung von Produktion und Logistik birgt unbekannte Software-Schwachstellen, über die Hacker angreifen können. Smart Factory häufig unzureichend geschützt. Die deutsche Industrie kauft sich mit der weiterhin zunehmenden Digitalisierung auf Produktions- und Logistikebene immer mehr Sicherheitslücken ein. In den vernetzten Geräten, Maschinen und Anlagen, die im Rahmen von Industrie 4.0 angeschafft werden, arbeiten elektronische Steuerungssysteme,…
News | IT-Security | Künstliche Intelligenz | Ausgabe 9-10-2024 | Security Spezial 9-10-2024
Sensibilisierung für Betrugsversuche, Sicherheitslücken und Datenschutz – Mit IT und KI auf der sicheren Seite
In Zeiten des täglichen Gebrauchs von künstlicher Intelligenz (KI) steigen nicht nur die Möglichkeiten und Chancen, auch der Sicherheitsaspekt rückt vermehrt in den Vordergrund. Wie können die Potenziale von IT und KI optimal und gleichzeitig sicher genutzt werden?
News | Digitalisierung | IT-Security | Lösungen | Services | Tipps
SAP Fiori Apps Monitoring: Fehler identifizieren und Sicherheitslücken schließen
SAP Fiori Apps sollen den Zugang zu und den Umgang mit SAP deutlich vereinfachen und so Effizienz und Produktivität erhöhen. Doch nicht immer funktionieren sie einwandfrei – natürlich kommt es im Alltag zu Abstürzen, Downtimes, Fehlern und Sicherheitsproblemen. Nun stellen gerade bei komplexen Integrationen die Suche nach den Ursachen, die Fehlerbehebung und die Verbesserung der…
News | Trends Security | Digitalisierung | IT-Security | Trends 2022
»State of Software Security 2023« zeigt, wie sich Sicherheitslücken in Anwendungen verändern
Über 30 Prozent der Anwendungen enthalten Fehler beim ersten Scan; nach fünf Jahren haben fast 70 Prozent der Apps mindestens einen Fehler. Der neu veröffentlichte Report »State of Software Security 2023« von Veracode, dem weltweit führenden Anbieter von Application Security Testing (AST), zeigt auf, wie sich Schwachstellen in Anwendungen über die Zeit verändern: sind…
News | Strategien
Der Open Source Burnout: Eine Einladung zu (noch) mehr Sicherheitslücken?
Open Source Code ist frei verfügbar und leicht zugänglich. Man kann ihn problemlos herunterladen und in eine Anwendung integrieren. Und zwar ohne zwangsläufig darüber nachzudenken, woher genau er stammt. Dabei spielt es keine Rolle, ob ein Entwickler die Entscheidung bewusst während der Planungsphase einer Anwendung getroffen hat, oder der Code über die Zeit mitgeschleppt wurde,…
News | IT-Security | Tipps
Die Log4j-Sicherheitslücke und der Umgang mit den Folgen
Apaches Log4j war Ziel eines der bedeutendsten Cybervorfälle, die in jüngster Zeit bekannt wurden. Für Unternehmen, die sich der Schwachstelle immer noch nicht bewusst sind, ist es vermutlich bereits zu spät. Kurz gesagt ist Log4j eine Software, die in bestimmten Versionen Schwachstellen aufweist. In erster Linie wird die Software als Logging-Framework verwendet, d.h. sie ermöglicht…
News | IT-Security | Tipps
Zurück im Home Office: 5 Tipps für Unternehmen zur Vermeidung von Sicherheitslücken beim mobilen Arbeiten
Lockdown 2.0: Nach dem erneuten Verschärfen der Maßnahmen zum Eindämmen der Corona-Pandemie ist ein großer Teil der Büromitarbeiter bereits wieder im Home Office – falls sie nach Ende des ersten Lockdowns überhaupt an ihren regulären Arbeitsplatz zurückgekehrt waren. Dies hat die Entwicklung des mobilen Arbeitens in den Unternehmen maßgeblich beschleunigt. Ein Problem bei der rasanten…
News | Trends Security | Trends 2020 | IT-Security
Vulnerability-Report: Diese zehn Sicherheitslücken verursachten die größten Probleme
Hackerone, eine Sicherheitsplattform für ethisch motivierte Hacker – die sogenannten White Hat Hacker –, hat seinen Report zu den zehn häufigsten Schwachstellen des letzten Jahres veröffentlicht. Das Unternehmen hat anhand der eigenen Daten eine Analyse zu den zehn häufigsten und mit den höchsten Prämien ausbezahlten Schwachstellen erstellt. Aus mehr als 200.000 Sicherheitslücken, welche zwischen…
News | IT-Security | Tipps
Hardware-Sicherheitslücken: Versäumte Firmware-Sicherheit – die Top 5 Ausreden
Zunehmend sind sich CEOs und Vorstandsmitglieder bewusst, dass sie die Verantwortung haben, ihren Ansprechpartnern zielführende Fragen zu Cybersicherheitsrisiken wie Firmware- und Lieferkettensicherheit zu stellen, meint Palo Alto Networks. Bei Firmware handelt es sich um eine Software, die speziell für ein Stück Hardware wie Festplatte, USB oder UEFI entwickelt wurde. Jedes moderne Computersystem oder intelligente Gerät…
News | IT-Security | Whitepaper
Nicht alle Schwachstellen sind eine Bedrohung – auf die wesentlichen Sicherheitslücken konzentrieren
Die Computernetzwerke von Organisationen werden ständig erweitert: IT, Cloud, IoT und OT formen eine komplexe Computing-Landschaft, die die moderne Angriffsfläche darstellt. Mit jedem neuen Gerät, jeder neuen Verbindung oder Anwendung vergrößert sich diese Angriffsfläche. Zu dieser Komplexität kommen unzählige Schwachstellen hinzu, die täglich entdeckt werden, und die Herausforderungen scheinen oft unüberwindbar. Die Lösung ist jedoch…
News | Trends Security | Trends Cloud Computing | Cloud Computing | IT-Security
Sicherheitslücken in der Public Cloud
Mehr als die Hälfte der Unternehmen in Deutschland hat in den letzten zwölf Monaten Verdachts- oder Vorfälle der Datensicherheit in der Public Cloud registriert. Laut KPMG Cloud-Monitor 2020 ist der Anteil der Unternehmen mit bestätigten Vorfällen von 2018 auf 2019 um vier Prozent gesunken, allerdings haben im gleichen Zug mehr Public Cloud-Nutzer Verdachtsfälle geäußert. 2019…
News | IT-Security | Tipps | Sicherheit made in Germany
Sicherheitslücke Home Office? Herausforderung IT-Sicherheit in Krisenzeiten
Das Corona-Virus sorgt von Tag zu Tag für immer höhere Infektionszahlen, was drastische Gegenmaßnahmen zur Folge hat: Um der weiteren Ausbreitung entgegenzutreten, müssen Geschäfte, Restaurants sowie sonstige öffentliche Einrichtungen schließen. Unternehmen senden ihre Mitarbeiter ins Home Office. Aufgrund der ohnehin außergewöhnlichen und teilweise überfordernden Situation sollten Unternehmen und Arbeitnehmer sich nicht noch zusätzliche Sorgen um…
News | IT-Security | Whitepaper
Whitepaper: Neue Sicherheitslücke in Prozessoren entdeckt
Manipulation von Hardwarefunktionen ermöglicht gezielten Datendiebstahl. Verschiedene Forscherteams haben eine weitere gravierende Schwachstelle in aktuellen Prozessoren identifiziert und in Whitepapers beschrieben: Mittels einer neuen Angriffsmethode namens »Load Value Injection in the Line Fill Buffers« (LVI-LFB) können versierte Hacker gezielt Daten in Rechenzentren stehlen, ohne Spuren zu hinterlassen. Möglich wird die LVI-LFB-Attacke – wie auch…
News | IT-Security | Tipps
Große Sicherheitslücke in drahtlosem Präsentationssystem
Sicherheitsexperten warnen: Gerade die vertrauten Geräte und Anwendungen sind bevorzugte Ziele von Angreifern. Berater des finnischen IT-Security-Unternehmens F-Secure haben in einem beliebten drahtlosen Präsentationssystem mehrere Sicherheitslücken entdeckt, die es ermöglichen, das System in weniger als 60 Sekunden zu hacken. Angreifer können so die Informationen, die präsentiert werden, abfangen und manipulieren, Passwörter und andere vertrauliche Daten…
News | Trends Wirtschaft | Trends Security | Digitale Transformation | Trends 2019 | IT-Security
Europäische Unternehmen signalisieren wachsende Sicherheitslücke im Zuge der digitalen Transformation
Während unzutreffende Prognosen zur digitalen Transformation langsam verblassen erreichen wir in puncto Business eine neue Ära. Weltweit, und in einem bisher beispiellosen Ausmaß haben die digitale Transformation und neue, erstmals digitalisierte Geschäftsumgebungen eine Welle von Vorteilen mit sich gebracht. Größere Effizienz, bessere Kundenerfahrung und Kundenbindung, um nur einige zu nennen. Das ist in Europa…
News | Digitalisierung | Infrastruktur | Internet der Dinge | IT-Security | Tipps | Whitepaper
Meltdown und Spectre: Mehr Prozessoren betroffen als gedacht – Neue Technik findet Sicherheitslücke
Als Forscher 2018 die Sicherheitslücken Meltdown und Spectre bei bestimmten Prozessoren entdeckten, waren vor allem Chiphersteller von High-End-Prozessoren wie Intel betroffen. Zunutze gemacht hatten sie sich hier sogenannte Seitenkanäle der Hardware, mit denen sie an Daten gelangt sind. Dass es ähnliche Lücken auch bei anderen Prozessoren gibt, haben nun Forscher aus Kaiserslautern und Stanford…
News | Cloud Computing | IT-Security | Rechenzentrum | Tipps
Fünf Sicherheitslücken durch hybride IT
Prozesse sowohl im eigenen Rechenzentrum als auch in der Cloud zu betreiben, kann gefährlich sein – wenn zentrale Policies fehlen oder nicht durchgesetzt werden. Selbst wenn auf lokalen Rechenzentren optimale Sicherheit herrscht, können mangelhaft geschützte Cloud-Anbieter das System als Ganzes gefährden. Travis Greene, Director of Strategy, IT Operations bei Micro Focus, hat fünf Punkte zusammengestellt,…
News | Cloud Computing | Digitalisierung | IT-Security | Kommentar | Lösungen | Services | Strategien | Tipps
Spectre-NG: Weitere Sicherheitslücken in Prozessoren
Im Januar 2018 wurden unter den Bezeichnungen »Spectre« und »Meltdown« schwer zu behebende Sicherheitslücken in marktüblichen Prozessoren bekannt. IT-Sicherheitsforscher haben weitere Schwachstellen in diesen Prozessoren entdeckt, die auf vergleichbaren Mechanismen beruhen und ähnliche Auswirkungen haben können wie »Meltdown« und »Spectre«. Diese neuen, mit »Spectre-Next-Generation (NG)« bezeichneten Schwachstellen führen nach Analysen des BSI dazu, dass Angreifer…