War der November 2025 ein ruhiger Monat für die Cybersicherheit? Nein, natürlich nicht. Die Auswirkungen der Oracle EBS-Ransomware-Kampagnen, die im Oktober begannen, waren weitreichend: Allein das Cl0p-Syndikat hat über 29 Organisationen angegriffen, insgesamt gab es über 100 Opfer. Dazu gehörten Envoy Air (eine Tochtergesellschaft von American Airlines), Cox Enterprises, Logitech, die Harvard University, die Washington Post, Allianz UK, Schneider Electric, Mazda, Canon, der britische National Health Service (NHS), die University of the Witwatersrand, das Dartmouth College und andere. Eine kostenlose Testversion von Greenbones OPENVAS BASIC bietet Verteidigern Zugang zu wichtigen Cybersicherheitsfunktionen. Scannen Sie Ihre IT-Umgebung mit dem OPENVAS ENTERPRISE FEED von Greenbone und profitieren Sie noch heute von branchenführender Abdeckung.

Im Threat Report dieses Monats werden wir die neuesten Bedrohungen für die Cybersicherheit von Unternehmen im November 2025 untersuchen, darunter einige der riskantesten neuen Software-Schwachstellen. Datendiebstahl und Erpressung sind ebenfalls aktuelle Themen, da Ransomware-Angriffe im Jahr 2025 weiter zunehmen. Neue Vorschriften und zivilrechtliche Präzedenzfälle kommen ebenfalls ins Spiel und erhöhen die potenziellen finanziellen Kosten für Unternehmen, die private Daten preisgeben.

Es ist Zeit, erneut über Datendiebstahl zu sprechen

Der Threat Report vom Mai 2025: Hack, Rinse, Repeat untersuchte, wie gestohlene Daten nachfolgende Cyberangriffe ermöglichen, indem sie Kontext für gezielte Social-Engineering-Kampagnen und sensible Informationen über die IT-Infrastruktur eines Unternehmens liefern. Alternativ können gestohlene Daten direkt für Zahlungskartenbetrug oder Identitätsdiebstahl verwendet werden, was sich negativ auf die einzelnen Opfer auswirkt.

Jeden Tag werden weltweit mehrere große Datenverstöße bekannt. Das Identity Theft Resource Center (ITRC) hat allein in den USA in der ersten Hälfte des Jahres 2025 1.732 öffentlich gemeldete Datenverstöße (≈9,6 pro Tag) erfasst. Der im Oktober veröffentlichte Bericht „ENISA Threat Landscape 2025” verzeichnete 4.875 Vorfälle in der EU von Juli 2024 bis Juni 2025 (≈13,4 pro Tag). Der „European Threat Landscape Report 2025” von CrowdStrike behauptet, dass 92 % der Ransomware-Opfer in der EU auf einer Data Leak Site (DLS) gelistet waren, die mit verschlüsselungsbasierten Erpressungs- und Datendiebstahl-Erpressungstaktiken in Verbindung steht, während 8 % der Opfer auf DLS Ransomware-Gangs gelistet waren, die sich ausschließlich auf Datendiebstahl verlassen.

Wohin führt das alles? Erstens sollen neue EU-Vorschriften Organisationen mit Strafmaßnahmen dazu bewegen, ihre Cybersicherheit zu verbessern. Der Digital Operational Resilience Act (DORA) verlangt von Finanzinstituten, sowohl ihre eigene Cybersicherheit als auch die von externen IKT-Unternehmen zu bewerten. Der Deutsche Bundesrat hat dem Gesetz zur Umsetzung der NIS-2-Richtlinie nichts entgegengesetzt, welches Geldstrafen und sogar persönliche Haftung für Führungskräfte und Vorstände von Unternehmen vorsieht, die unter die EU-Vorschriften fallen. Die Durchsetzung von NIS 2 wird für Ende 2025 bis Anfang 2026 erwartet.

Auch die von Datenverstößen betroffenen Personen melden sich zu Wort. Die Zahl der Rechtsstreitigkeiten im Zusammenhang mit Datenschutzverletzungen erreichte 2024 einen Rekordwert (≈124 pro Monat) und stieg bis 2025 weiter an. Anfang 2025 gab Conduent Business Solutions den Diebstahl von personenbezogenen Gesundheitsdaten (PHI) von mehr als 10,5 Millionen amerikanischen Personen bekannt. Im Oktober 2025 wurden die Opfer benachrichtigt, und seitdem wurden zehn Sammelklagen eingereicht. Im November entschied ein US-Berufungsgericht, dass die Veröffentlichung von Führerscheinnummern im Internet einem „konkreten” Schaden gleichkommt, was das Risiko für Unternehmen, die Daten preisgeben, weiter erhöht.

Auf die eine oder andere Weise verhängen die zuständigen Behörden höhere finanzielle Kosten für Unternehmen, die keine angemessenen Cybersicherheitsmaßnahmen implementieren. Als grundlegende IT-Sicherheitskontrolle bietet das risikobasierte Schwachstellenmanagement weitreichende Vorteile: Es reduziert den unbefugten Erstzugriff auf kritische IT-Ressourcen, wehrt Massenangriffe ab, verhindert Denial-of-Service-Angriffe (DoS) und trägt zur Eindämmung fortgeschrittener Social-Engineering-Angriffe bei. Außerdem verringert es die Folgeschäden einer Sicherheitsverletzung, falls es doch einmal zu einer solchen kommen sollte.

Unbekannte Geräte: Ein weiterer Grund, Ihre IT-Infrastruktur zu scannen

Neu auftretende Software-Schwachstellen sind nicht der einzige Grund, die IT-Infrastruktur Ihres Unternehmens kontinuierlich zu scannen. Ein aktueller Strafprozess gegen Nordex, einen niederländischen Windparkbetreiber, zeigt, wie leicht sich unbekannte Geräte in Produktionsnetzwerke einschleichen können. Laut Urteil schloss ein Manager des Unternehmens heimlich drei Cryptocurrency-Mining-Rigs und zwei Helium-Netzwerkknoten an interne Systeme an zwei Standorten an. Der inzwischen verurteilte Betreiber schloss die Miner an einen Router in einem Umspannwerk an und versteckte die WLAN-Hotspots in Windkraftanlagen. Die Rogue-Geräte wurden erst entdeckt, als Nordex sich von einem mit Conti in Verbindung stehenden Ransomware-Vorfall aus dem Jahr 2022 erholte.

Kontinuierliches Scannen der Infrastruktur ist wichtig: Nicht autorisierte Hardware kann auf geringfügige Verstöße gegen Richtlinien hinweisen, aber auch auf böswillige Insider oder externe Bedrohungen, die sich unbefugten Zugriff verschafft haben. OPENVAS SCAN ist mit Konfigurationen für Erkennungsscans ausgestattet, die Warnmeldungen ausgeben, wenn neue Geräte in einem Netzwerk erscheinen oder wenn kritische Systeme ausfallen.

DNS-Risiko durch neue Cache-Poisoning-Sicherheitslücke in BIND 9

CVE-2025-40778 und CVE-2025-40780 (beide CVSS 8.6) sind nicht authentifizierte Schwachstellen in rekursiven Resolvern von BIND 9, die Remote-DNS-Cache-Poisoning und Datensatzfälschungen ermöglichen. Eine dritte Schwachstelle, CVE-2025-8677 (CVSS 7.5), ermöglicht Denial-of-Service-Angriffe durch CPU-Auslastung. Cache-Poisoning-Fehler zielen auf die Art und Weise ab, wie rekursive Resolver Antworten im Speicher zwischenspeichern. Wenn ein Resolver mit einem bösartigen DNS-Eintrag vergiftet wird, werden User bis zum Ablauf der TTL auf die bösartige IP umgeleitet.

BIND 9 ist ein weit verbreiteter Open-Source-DNS-Server, der vom Internet Systems Consortium (ISC) entwickelt und gepflegt wird. Er wird besonders häufig für On-Prem- und ISP-/Unternehmensbereitstellungen eingesetzt. Obwohl keine Exploits in freier Wildbahn gemeldet wurden, gibt es für CVE-2025-40778 einen öffentlichen Proof-of-Concept (PoC) [1] und weltweit wurden zahlreiche nationale CERT-Warnungen herausgegeben [2][3][4][5][6][7][8].

Greenbone bietet Erkennungsprüfungen für alle drei CVEs für mehrere Linux-Distributionen und Hardwaregeräte. Allgemein gesagt sind viele BIND 9-Versionen zwischen 9.11 und 9.21, einschließlich einiger Supported Preview (S1)-Builds, anfällig. Spezifische Informationen zu den betroffenen Produkten finden Sie in den Sicherheitshinweisen von ISC [9][10][11].

2 Jahre alte Linux-Use-After-Free-Sicherheitslücke ist nun eine Ransomware-Bedrohung

CVE-2024-1086 (CVSS 7.8, EPSS > 99. Perzentil), veröffentlicht Anfang 2024, wird nun für Ransomware-Angriffe genutzt. Die CVE steht seit Mitte 2024 auf der KEV-Liste der CISA und wurde im November 2025 für die Verwendung in Ransomware-Angriffen markiert. CVE-2024-1086 ist eine Use-after-free-Sicherheitslücke [CWE-416], welche die lokale Rechteausweitung auf Root, sowie die Ausführung beliebigen Codes auf Kernel-Ebene ermöglicht. Die Sicherheitslücke befindet sich im Linux-Kernel netfilter/nf_tables und betrifft Kernel vor Version 6.1.77. Ein öffentlicher PoC ist seit März 2024 verfügbar [1].

Greenbones OPENVAS ENTERPRISE FEED und COMMUNITY FEED bieten seit Anfang 2024 Erkennung für CVE-2024-1086 in mehreren Linux-Distributionen.

CVE-2025-12480: Gladinet Triofox-Sicherheitslücke unter aktivem Angriff

CVE-2025-12480 (CVSS 9.1, EPSS >98. Perzentil) ist eine Sicherheitslücke in der Zugriffskontrolle [CWE-284] in Gladinet Triofox, die eine nicht authentifizierte Remote-Code-Ausführung (RCE) ermöglicht. Die Schwachstelle wird aktiv von der Bedrohungsgruppe UNC6485 ausgenutzt. Obwohl bisher noch keine erfolgreichen Ransomware-Angriffe gemeldet wurden, zeigen Analysen, dass Bedrohungsakteure Fernzugriffstools [T1219] importieren und nach Möglichkeiten für laterale Bewegungen [T1046] suchen. Eine vollständige technische Analyse wurde von Google Mandiant veröffentlicht, wodurch das Risiko einer Ausweitung der Ausnutzung steigt.

Die Angriffskette funktioniert durch die Bereitstellung einer bösartigen GET-Anfrage, die localhost im Host-Header angibt. Der HTTP-Host-Header wird für das Routing auf der Serverseite verwendet, kann jedoch gefälscht werden, da er nicht für das Routing über das Internet verwendet wird. CVE-2025-12480 kann auch als Origin Validation Error [CWE-346] betrachtet werden, da Triofox Anfragen an localhost ohne ordnungsgemäße Überprüfung automatisch vertraut. Dieser Spoofing-Angriff ermöglicht anschließend den Zugriff auf die Route AdminAccount.aspx, sensible Installationsskripte und Konfigurationsseiten. RCE wird schließlich erreicht, indem die Antiviren-Engine von Triofox ein Pfad zu vom Angreifer generierten Skripten bereitgestellt wird.

Die italienische nationale Cyberagentur ACN und Taiwans TWCERT haben Warnungen für CVE-2025-12480 herausgegeben [1][2]. Der OPENVAS ENTERPRISE FEED von Greenbone umfasst sowohl eine aktive Überprüfung als auch eine Versionsüberprüfung, um anfällige Systeme zu identifizieren. Benutzer sollten sofort auf die Triofox-Version 16.7.10368.56560 oder höher aktualisieren. Eine Abhilfe kann auch durch die Konfiguration einer WAF erreicht werden, die externe Anfragen ablehnt, die localhost im Host-Header angeben.

CVE-2025-61757: Nicht authentifizierter RCE in Oracle Identity Manager

CVE-2025-61757 (CVSS 9,8, EPSS > 98. Perzentil) ist eine RCE-Sicherheitslücke vor der Authentifizierung in Oracle Identity Manager (OIM) und Oracle Identity Governance (OIG). OIM ist die zentrale Provisioning- und Identitätslebenszyklus-Engine von Oracle, während OIG zusätzliche Governance-Funktionen wie Zugriffsüberprüfungen, Rollen-/SoD-Kontrollen, Analysen und mehr umfasst. CVE-2025-61757 wird aktiv ausgenutzt, es gibt mindestens einen öffentlichen PoC-Exploit und eine detaillierte technische Analyse ist verfügbar.

Die Ausnutzung für den ersten Zugriff auf OIM-Instanzen, die mit dem Internet verbunden sind, gilt als trivial; die Authentifizierung kann mit einer einzigen HTTP-Anfrage umgangen werden. Durch Hinzufügen von ?WSDL zur URL oder Anhängen von ;.wadl als Pfadparameter überspringt der SecurityFilter die Authentifizierungsprüfungen. Forschende nutzten diesen unbefugten API-Zugriff, um einen Endpunkt zu missbrauchen, der zur Syntaxprüfung von Groovy-Skripten durch Kompilieren vorgesehen ist. Obwohl das Groovy-Skript selbst nicht ausgeführt wird (sondern nur kompiliert), werden Code-Annotationen innerhalb des Skripts zur Kompilierungszeit ausgeführt, wodurch RCE ermöglicht wird.

Weltweit wurden mehrere nationale CERT-Warnungen für CVE-2025-61757 herausgegeben [1][2][3][4]. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine aktive Überprüfung, um die Anfälligkeit für CVE-2025-61757 mit einer speziell gestalteten HTTP-Anfrage zu überprüfen. Betroffen sind die Versionen 12.2.1.4.0 und 14.1.2.1.0 von OIM und OIG.

CentOS Web Panel (CWP) unter aktivem Angriff für RCE

CVE-2025-48703 (CVSS 9.0, EPSS >98. Perzentil) ist eine Schwachstelle für die Remote-Befehlsinjektion vor der Authentifizierung [CWE-78] in Control Web Panel / CentOS Web Panel (CWP). Die Ausnutzung erfordert die Kenntnis eines gültigen Nicht-Root-Usernames. Der Fehler wird durch eine Umgehung der Authentifizierung im Dateimanager-Endpunkt changePerm in Kombination mit einer OS-Befehlsinjektion über den nicht bereinigten Parameter t_total chmod verursacht. Infolgedessen könnte ein Angreifer als gültiger Benutzer eine Reverse-Shell erstellen. Eine vollständige technische Beschreibung und ein PoC wurden von Fenrisk veröffentlicht, der den Fehler entdeckt und gemeldet hat.

Im November hat die CISA CVE-2025-48703 als aktiv ausgenutzt gekennzeichnet, und Taiwans TWCERT hat eine Warnung herausgegeben [1]. Angesichts der weit verbreiteten Nutzung von CWP und der großen Anzahl von Instanzen, die dem Internet ausgesetzt sind, stellt CVE-2025-48703 weltweit ein hohes Risiko dar. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine authentifizierte Versionserkennungsprüfung, um anfällige CWP-Server zu identifizieren, sodass User sofort Maßnahmen ergreifen können. Alle Versionen von CWP vor 0.9.8.1205 sind betroffen.

Nicht gepatchtes Microsoft Office ist neuen Social-Engineering-Angriffen ausgesetzt

CVE-2025-60724 (CVSS 9.8) ist eine neue kritische GDI+-Heap-Überlauf-Sicherheitslücke [CWE-122], die die Grafikkomponente von Microsoft Office und Windows betrifft. RCE kann auf dem Computer eines Opfers ausgelöst werden, wenn dieses dazu gebracht wird, ein speziell gestaltetes Dokument oder eine Metadatei zu öffnen. Microsoft hat die Schwachstelle mit einem Patch Tuesday-Rollout im November behoben. Vulmon listet zwei öffentliche PoC-Exploits auf, die jedoch beide inzwischen von GitHub entfernt wurden.

Ausgeklügelte Social-Engineering-Angriffe überzeugen User oft dazu, eine schädliche Datei zu öffnen, die versucht, eine lokale Software-Sicherheitslücke auszunutzen. Um besser zu verstehen, wie Cyber-Kriminelle diese Taktik anwenden, lesen Sie unseren aktuellen Blogbeitrag „Greenbone hilft bei der Abwehr fortgeschrittener Social-Engineering-Angriffe“. Greenbone umfasst die Erkennung von CVE-2025-60724 und anderen CVEs, die im monatlichen Patch-Zyklus von Microsoft veröffentlicht wurden.

PoC-Exploit für neue Schwachstellen in N-Central veröffentlicht

Horizon.ai hat einen PoC-Exploit-Code und eine detaillierte technische Analyse für eine neue Angriffskette veröffentlicht, die CVE-2025-9316 und CVE-2025-11700 in N-Able’s N-Central ausnutzt. N-Central ist eine Verwaltungs- und Überwachungssoftware (RMM), die von großen Unternehmen und Managed Service Providern (MSPs) verwendet wird, um IT-Infrastrukturen einschließlich Konfiguration, Patching, Berichterstellung und Analyse einfach zu verwalten. N-Central gehört zur Kategorie der Software mit „Blast Radius“; eine Kompromittierung könnte leicht zu nachgelagerten Sicherheitsverletzungen bei Dritten führen.

Das belgische CERT.be und das italienische ACN haben CERT-Warnungen für die neuen CVEs herausgegeben [1][2]. Zwei weitere CVEs mit kritischem Schweregrad in N-Central wurden im August dieses Jahres bekannt gegeben und schnell aktiv ausgenutzt – ein weiterer Beweis dafür, dass Angreifer N-Central als hochwertiges Ziel betrachten. Hier ist eine kurze Zusammenfassung der beiden neuen ausnutzbaren CVEs in N-Central und einer weiteren neuen CVE mit hohem Risiko für das Produkt:

CVE-2025-11366 (CVSS 9,8): Eine Umgehung der Authentifizierung über Pfadüberquerung [CWE-22]. Der Fehler wurde entdeckt und behoben, wobei nur sehr wenige Details bekannt gegeben wurden.

CVE-2025-11700 (CVSS 7,5): Eine XML-External-Entities-Injection [CWE-611], die zur Offenlegung von Informationen führt

CVE-2025-9316 (CVSS 6.9): Angreifer können Session-IDs für nicht authentifizierte Benutzer generieren, was zu einer Umgehung der Authentifizierung führt [CWE-1284].

Die CVEs sind in N-Central 2025.4 behoben. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Prüfung zur Identifizierung aller drei oben genannten CVEs sowie eine zusätzliche aktive Prüfung für CVE-2025-9316.

Zusammenfassung

Der November 2025 war für die Cybersicherheit alles andere als ruhig. Ransomware-Kampagnen, die auf Schwachstellen in Oracle EBS abzielten, weiteten sich auf über 100 Opfer aus. Die Zahl der Sicherheitsverletzungen steigt weiter an, und Sammelklagen im Namen privater Opfer halten Schritt. Die EU-Verordnungen DORA und NIS 2 rücken in den Fokus und erhöhen die Haftung von Unternehmen und Personen für das Management. Was die Schwachstellen angeht, so sorgen neue aktiv ausgenutzte Schwachstellen in BIND 9, Linux, Triofox, N-Central und anderen dafür, dass der Ransomware-Krieg noch lange nicht vorbei ist.

Eine kostenlose Testversion von Greenbones OPENVAS BASIC bietet Verteidigern Zugang zu wichtigen Cybersicherheitsfunktionen. Scannen Sie Ihre IT-Umgebung mit Greenbones OPENVAS ENTERPRISE FEED, um noch heute von einer branchenführenden Abdeckung zu profitieren.

Greenbone freut sich, neue Compliance-Richtlinien für Huawei EulerOS und openEuler bekannt zu geben. Diese Compliance-Richtlinien sind das Ergebnis einer engen Zusammenarbeit mit Huawei, um OPENVAS SCAN-Anwendern authentifizierte Überprüfungen für über 200 wichtige Sicherheitskontrollen zu bieten. Durch die gründliche Überprüfung der Sicherheitseinstellungen erhalten IT-Verantwortliche ein hohes Maß an Sicherheit und Transparenz hinsichtlich der Sicherheitslage ihrer EulerOS-Infrastruktur.

Betriebssysteme (OS) sind standardmäßig auf Benutzerfreundlichkeit und Flexibilität ausgelegt. In der Regel sind Betriebssysteme so konfiguriert, dass sie fast alle Aufgaben ohne Anpassungen nach der Installation bewältigen können. Viele unnötige Kernel-Module und Dienste sind aktiviert, und die Sicherheitseinstellungen sind relativ locker. Für maximale Sicherheit müssen Unternehmen die Standard-Einstellungen nach der Installation verschärfen, um kritische Daten und Vorgänge zu schützen. Durch Compliance-Tests werden Konfigurationsrichtlinien in überprüfbare Kontrollen umgewandelt, sodass Teams die Sicherheit in großem Maßstab überprüfen können. Durch die Überprüfung der verschärften Sicherheitskonfigurationen erhalten Sicherheitsexperten eine hohe Gewähr dafür, dass ihre IT-Ressourcen gegen Cyberangriffe geschützt sind.

Mit OPENVAS SCAN können IT-Sicherheitsteams richtlinienbasierte Audits in ihrer gesamten IT-Infrastruktur automatisieren. Unsere Plattform umfasst bereits eine Bibliothek mit Compliance-Profilen für CIS-Kontrollen in kritischen Bereichen der Cybersicherheit wie Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows und Linux [1][2][3][4] sowie Richtlinien, die auf nationalen Vorgaben für Verschlüsselungsstandards basieren.

Jetzt erweitern wir unsere Compliance-Audit- und Berichtsfunktionen um neue Richtlinienprofile für die EulerOS-Familie von Huawei. Diese neuen Angebote integrieren Richtlinienprüfungen direkt in den Workflow des Schwachstellenmanagements von OPENVAS SCAN. Diese Kontrollen zur Sicherheitshärtung gelten für EulerOS, OpenEuler, HCE und EulerOS Virtualization OS. Sobald die Richtlinienscans in OPENVAS SCAN abgeschlossen sind, können die Ergebnisse in einem speziellen Auditbericht angezeigt werden.

Hier erfahren Sie mehr darüber, wie diese neuen Compliance-Profile IT- Sicherheitsabteilungen dabei helfen, ihre Sicherheitsmaßnahmen gegen Cyberangriffe zu verstärken.

OPENVAS SCAN enthält jetzt Compliance-Profile für Huawei EulerOS

Die neuen Compliance-Scans von Greenbone für Huawei EulerOS folgen unserem bestehenden Modell zur Richtlinienbereitstellung. Die Compliance-Richtlinien von OPENVAS SCAN sind spezielle Scan-Konfigurationen, die aus gezielten Vulnerability Tests (VTs) bestehen, mit denen bewertet wird, ob Hosts definierte Sicherheitsanforderungen erfüllen. Die neuen Compliance-Richtlinien für EulerOS werden über den OPENVAS ENTERPRISE FEED und den COMMUNITY FEED an OPENVAS SCAN-Instanzen verteilt.

Das neue Compliance-Profil umfasst eine Reihe von authentifizierten Sicherheitstests, die speziell auf EulerOS-Umgebungen zugeschnitten sind. Durch authentifizierte Audits wird sichergestellt, dass von jedem gescannten Endpunkt genaue Nachweise erfasst werden, wodurch eine optimale Transparenz für die Sicherheitsprüfung gewährleistet ist. OPENVAS SCAN bietet außerdem benutzerdefinierte Berichtsformate, darunter einen Compliance-Bericht für Führungskräfte, der sich für die Überwachung durch das Management eignet.

Um ein Audit durchzuführen, können Benutzer den Fernzugriff für authentifizierte Scans konfigurieren, eine Richtlinie auswählen, die Richtlinien-Scan-Aufgabe ausführen und einen aussagekräftigen Auditbericht anzeigen, der aufzeigt, welche Kontrollen bestanden wurden, fehlgeschlagen sind oder einer weiteren manuellen Untersuchung bedürfen. Richtlinien werden im Compliance Policies-Bereich von OPENVAS SCAN verwaltet und als Schwachstellenscans mit dem gleichen Kontrollniveau wie andere Scan-Konfigurationen ausgeführt: Warnmeldungen, Berichterstellung und Zeitplanung zur Überprüfung der kontinuierlichen Compliance.

Was beinhalten die neuen Huawei EulerOS-Compliance-Richtlinien?

Das Ziel des neuen Huawei EulerOS-Profils ist einfach: Verringerung der Angriffsfläche durch Überprüfung der sicheren Einstellungen auf jedem Host. Der Richtlinienstichprobenumfang umfasst über 200 verschiedene Sicherheitsprüfungen für Linux-Netzwerke, Dienste und lokale Konfigurationen. Die Richtlinientests ähneln den CIS-Benchmarks und entsprechen gleichzeitig den spezifischen Anforderungen der Huawei-Plattform. Die neuen EulerOS-Compliance-Richtlinien können auch an die internen Richtlinienanforderungen jedes Unternehmens angepasst werden.

Die neuen EulerOS-Compliance-Richtlinien umfassen:

• Service Hardening: Stellt sicher, dass unnötige oder unsichere Netzwerkdienste (z. B. DNS, NFS, RPC, SNMP, HTTP, Avahi) deaktiviert oder nicht installiert sind, um die Angriffsfläche des Systems zu verringern.
• Systemkonfiguration und Kernel-Sicherheit: Überprüft sichere Kernel-Parameter, sysctl-Einstellungen, ICMP-Verhalten, Adressraum-Layout-Randomisierung (ASLR) und Schutzmechanismen wie dmesg_restrict.
• Authentifizierung und Zugriffskontrolle: Erzwingt strenge Passwortrichtlinien, Regeln für die Kontosperrung, sudo-Konfigurationen und Benutzerzugriffsbeschränkungen, um unbefugten Zugriff zu verhindern.
• Datei- und Verzeichnisberechtigungen: Überprüft wichtige Systemdateien (z. B. /etc/passwd, /etc/shadow, SSH-Schlüssel) und Verzeichnisse auf korrekte Eigentumsverhältnisse und sichere Berechtigungen.
• Durchsetzung von Passwortrichtlinien: Überprüft die Komplexität, Mindestlänge, Ablaufdauer, Anzahl der Passwörter im Verlauf, Wiederholungslimits und Sperrmechanismen von Passwörtern, um eine strenge Authentifizierungshygiene sicherzustellen.
• Verwaltung von Benutzerkonten und Berechtigungen: Überprüft aktive Benutzerkonten auf ungenutzte, doppelte oder privilegierte Benutzer; stellt sicher, dass die direkte Root-Anmeldung deaktiviert ist und nur notwendige Benutzer Shell-Zugriff haben.
• Sicherheit beim Booten und Initialisieren: Überprüft GRUB-Konfigurationen, Bootloader-Schutzmaßnahmen, Secure-Boot-Einstellungen und Kernel-Modul-Einschränkungen.
• Firewall und Netzwerkverkehrskontrolle: Stellt sicher, dass iptables/nftables/firewalld für INPUT/OUTPUT-Richtlinien und Standardzonen korrekt konfiguriert sind, um unbefugte Netzwerkkommunikation zu verhindern.
• Paket- und Softwareverwaltung: Überprüft sichere Paketverwaltungsverfahren, verhindert die Installation unnötiger oder unsicherer Software und bestätigt, dass die Paket-Repositorys korrekt konfiguriert sind.
• CVE-Erkennung und Schwachstellenerkennung: Identifiziert bekannte Schwachstellen (CVEs) im System, indem installierte Pakete anhand von Schwachstellen-Feeds überprüft werden. Dies hilft dabei, die Behebung ausnutzbarer Softwarefehler auf der Grundlage realer Bedrohungsdaten zu priorisieren.
• Protokollierung und Überwachung: Überprüft Überwachungsregeln für privilegierte Befehle, verfolgt den Zugriff auf sensible Dateien, konfiguriert rsyslog für die Remote-Protokollierung und stellt sicher, dass Überwachungsprotokolle ordnungsgemäß gespeichert und verwaltet werden.

Diese Sicherheitsprüfungen werden als Schwachstellentests (VTs) implementiert, in Familien gruppiert und aus dem EulerOS-Richtlinienobjekt referenziert. OPENVAS SCAN wird mit vielen anderen plattformspezifischen VT-Familien ausgeliefert – darunter Huawei EulerOS Local Security Checks –, die in den neuen Richtlinien aktiviert sind, um zusätzlich zur Konfigurationshärtung Beweise für CVE-Exposure auf Host-Ebene zu sammeln.

Welche Huawei EulerOS-Distributionen werden abgedeckt?

Die neuen Compliance-Profile von Greenbone sind für das EulerOS-Ökosystem konzipiert, einschließlich Distributionen für Unternehmens- und Cloud-Bereitstellungen. Die Bereitstellung ist einfach: Die neuen Huawei EulerOS-Compliance-Profile werden über OPENVAS COMMUNITY FEED für das Produkt OPENVAS SCAN von Greenbone bereitgestellt. Benutzer erhalten sie mit routinemäßigen Feed-Updates, ähnlich wie bei anderen Standardrichtlinien. So bleibt der Inhalt Ihrer Richtlinien ohne zusätzlichen Wartungsaufwand auf dem neuesten Stand.

Hier finden Sie eine Beschreibung jeder EulerOS-Distribution, die in den neuen Compliance-Profilen von Greenbone behandelt wird, sowie eine kurze Beschreibung der betriebssystemspezifischen Sicherheitsabdeckung.

EulerOS (Traditional/Enterprise)

Der Fokus liegt auf den von Huawei veröffentlichten EulerOS 2.0 Service Packs. OPENVAS SCAN ordnet jeden Compliance-Test dem offiziellen EulerOS-Sicherheitsportal von Huawei, der EulerOS Security Configuration Baseline und den EulerOS-Lebenszyklusinformationen zu. Dies umfasst die Service Packs SP9 und neuer.

 EulerOS Virtual (VM-Editionen)

Für Rechenzentren, die auf EulerOS Virtual für die x86_64- und ARM64-Architektur setzen, erkennen unsere neuen Compliance-Profile EulerOS Virtual-Versionen – einschließlich der Releases 2.9.x, 2.10.x, 2.11.x, 2.12.x und 2.13.x. Sie umfassen auch entsprechende Überprüfungen für virtualisierungsspezifische Pakete und Dienste (z. B. KVM/QEMU-Komponenten und deren Hardening-/Patch-Level).

openEuler (Community)

Für Organisationen, die auf openEuler LTS standardisieren, nutzt Greenbone die vom openEuler-Projekt veröffentlichten CSAF-formatierten Hinweise und passt die Compliance-Prüfungen anhand der OS-Versionserkennung an. Auf der Seite zum Lebenszyklus und zu den Downloads von openEuler sind die verfügbaren LTS-Versionen und Service Packs dokumentiert. Die Compliance-Profile unterstützen die Prüfung der Versionen 20.03, 22.03 und 24.03 auf Basis der openEuler Security Configuration Baseline.

Huawei Cloud EulerOS (HCE)

Für Cloud-Bereitstellungen von Huawei Cloud EulerOS (HCE) 2.0 und HCE 3.0 nutzen unsere neuen Compliance-Profile öffentlich zugängliche Empfehlungen, um HCE-Paket-Baselines und Konfigurationshärtungen speziell für Cloud-Images und verwaltete Repositorys zu validieren – wobei Unterschiede wie Paketmanager und Repo-Layout zwischen ihnen berücksichtigt werden.

Zusammenfassung

Die neuen Compliance-Profile von Greenbone für EulerOS-Distributionen erweitern die Funktionen von OPENVAS SCAN um richtliniengesteuerte Audits. Die Richtlinien können verwendet werden, um die gehärtete Sicherheitslage von EulerOS, EulerOS Virtual, openEuler und HCE zu bestätigen. Die Audits werden über den OPENVAS COMMUNITY FEED bereitgestellt und führen authentifizierte Überprüfungen durch, um sichere Baselines für einen breiten Angriffsbereich zu verifizieren. Die Profile werden außerdem durch detaillierte technische und ausführliche Berichte für Stakeholder ergänzt. Diese neuen Tools verbessern OPENVAS SCAN als zuverlässige Methode zur Absicherung von Huawei-basierten Linux-Flotten im Unternehmensmaßstab.

Insgesamt wurden im September knapp über 4.500 CVEs veröffentlicht – und damit neue Risiken für Verteidigungsteams aufgedeckt. Organisationen müssen ihre Systeme regelmäßig scannen, um eine widerstandsfähige IT-Infrastruktur aufrechtzuerhalten und versteckte Schwachstellen zu identifizieren, die den Geschäftsbetrieb beeinträchtigen könnten. Mit der kostenlosen Testversion von Greenbones OPENVAS BASIC können Sicherheitsverantwortliche die gesamte Unternehmensinfrastruktur auf aktuelle und beständige Bedrohungen prüfen, um stets den Überblick zu behalten. Diese Testversion gibt Ihnen Zugriff auf den OPENVAS ENTERPRISE FEED von Greenbone – eine branchenführende Datenquelle für CVEs und weitere IT-Sicherheitslücken.

Diesen September haben wir in unserem Blog bereits über drei neue Cybersecurity-Ereignisse berichtet: SessionReaper, eine nicht authentifizierte RCE-Schwachstelle in Adobe Commerce und Magento, eine CVSS-10-Sicherheitslücke in Fortra GoAnywhere MFT und eine ArcaneDoor-Spionagekampagne, die auf der aktiven Ausnutzung einer neuen Schwachstelle in Cisco ASA und FTD beruht. In diesem Threat Report werden wir nun auf einige weitere besonders risikoreiche Bedrohungen aus dem September 2025 eingehen.

Neue Bedrohungen für Linux-Systeme

Das Linux-Betriebssystem bildet das Rückgrat der globalen IT-Infrastruktur. Da Linux-Umgebungen zunehmen zu bevorzugten Angriffszielen werden, ist regelmäßiges Schwachstellenscanning entscheidend für die Aufrechterhaltung des IT-Betriebs und der operativen Resilienz. Hier sind die wichtigsten Linux-Schwachstellen vom September 2025.

Schwerwiegende Sudo-Schwachstelle jetzt aktiv ausgenutzt

Bereits im Juli hat Greenbones Threat Report auf eine neue Bedrohung hingewiesen: CVE-2025-32463 (CVSS 7.8) ermöglicht unautorisierte Rechteausweitung [TA0004] auf Root-Ebene, indem der Linux-sudo-Befehl (alle Versionen ≥ 1.9.14 und vor 1.9.17p) dazu gebracht wird, zu Angriffszwecken manipulierte Shared Libraries zu laden [T1129].

Diese Schwachstelle wird inzwischen aktiv ausgenutzt und wurde zu CISAs Katalog bekannter, ausgenutzter Schwachstellen (KEV, Known Exploited Vulnerabilities) hinzugefügt. Kanadas Cyber Centre hat eine neue CERT-Warnung herausgegeben, der sich in die Liste der bestehenden Warnungen einreiht [1][2][3]. Wer starte Widerstandsfähigkeit aufbauen möchte, kann nicht darauf warten, dass Schwachstellen aktiv ausgenutzt werden und damit in Berichte aufgenommen werden – eine proaktive Haltung ist essenziell. Greenbone hat im Juli 2025 augenblicklich Erkennungstests für CVE-2025-32463 zum OPENVAS ENTERPRISE FEED und COMMUNITY FEED hinzugefügt, was unserer Kundschaft entscheidende Vorteile in der Erkennung und Behebung gab.

CVE-2025-38352: POSIX-CPU-TOCTOU-Race im Linux-Kernel

CVE-2025-38352 (CVSS 7.4, EPSS ~70. Perzentil) beschreibt eine Time-of-Check-to-Time-of-Use (TOCTOU)-Schwachstelle [CWE-367] in den POSIX-CPU-Timern des Linux-Kernels. Diese Schwachstelle ermöglicht eine Denial-of-Service (DoS)-Attacke [T1499] auf betroffenen Systemen und wurde zu CISAs KEV-Katalog hinzugefügt. Obwohl derzeit kein öffentlicher Machbarkeitsnachweis (PoC, Proof-of-Concept) verfügbar ist, wurde bereits eine detaillierte technische Analyse veröffentlicht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zwei Sicherheitswarnungen zu CVE-2025-38352 herausgegeben – eine für den Linux-Kernel [1] und eine für Android [2]. Patch-Level-Checks für betroffene Linux-Distributionen sind in Greenbones OPENVAS ENTERPRISE FEED und COMMUNITY FEED enthalten.

Schwerwiegende Schwachstelle im Linux-UDisks-Daemon

CVE-2025-8067 (CVSS 8.5) ist eine lokale, nicht authentifizierte Rechteausweitung [TA0004] im UDisks-Daemon von Red Hat Enterprise Linux (RHEL). Der Udisks-Daemon ist ein Systemdienst, welcher der Verwaltung von Speichergeräten wie Festplatten, SSDs, USB-Sticks, optischer Medien und Partitionen dient.

Die Ursache der Schwachstelle liegt in der fehlerhaften Verarbeitung negativer Integer-Indizes, was zu einem Out-of-Bounds Memory Read [CWE-125] führen kann. Die Ausnutzung kann für DoS [T1499] oder lokaler Rechteausweitung [T1068] genutzt werden, indem ein Loop-Device einem privilegierten lokalen Datenobjekt zugeordnet wird [1].

Derzeit gibt es keine Hinweise auf aktive Ausnutzung, jedoch wurde bereits PoC-Code veröffentlicht [2][3]. Das deutsche BSI hat zudem eine Sicherheitsmeldung herausgegeben [4]. Der OPENVAS ENTERPRISE FEED und der COMMUNITY FEED enthalten paketbasierte Patch-Level-Checks für diverse Linux-Distributionen. Patching bleibt die einzig wirksame Gegenmaßnahme.

Neue ImageMagick CVEs bergen DoS- und RCE-Risiken

CVE-2025-53014 (CVSS 9.8), CVE-2025-53019 (CVSS 7.5), und CVE-2025-53101 (CVSS 9.8) resultieren aus einer fehlerhaften Verarbeitung von Bilddateinamen [CWE-66] in den ImageMagick-Paketen für Linux. Erfolgreiche Ausnutzung kann Berichten zufolge zu DoS [T1499] führen; im Fall von CVE-2025-53101 ist zudem eine beliebige Codeausführung [T1203] möglich.

Obwohl derzeit keine aktive Ausnutzung der Schwachstelle bekannt ist, wurde vom BSI eine CERT-Bund-Sicherheitswarnung [WID-SEC-2025-1537] veröffentlicht. OPENVAS ENTERPRISE FEED und COMMUNITY FEED enthalten bereits Erkennungstests für zahlreiche Linux-Distributionen.

Mehrere schwerwiegende Sicherheitslücken in Cisco-Produkten

Die Schwachstellen CVE-2025-20352 und CVE-2025-20312 (beide CVSS 7.7) markieren das Ende eines turbulenten Monats für Cisco. Beide CVEs wurden am 24. September 2025 veröffentlicht.

CVE-2025-20352 wurde von Cisco selbst während der Bearbeitung eines Support-Falls entdeckt. Fünf Tage darauf landete die Schwachstelle im CISA KEV-Katalog und mehrere nationale CERT-Organisationen haben seither Sicherheitswarnungen veröffentlicht [1][2][3][4][5][6][7]. Beide Schwachstellen betreffen das Simple Network Management Protocol (SNMP).

CVE-2025-202352 beruht auf einem Stack-Overflow [CWE-121] im SNMP-Subsystem betroffener Produkte: IOS/IOS XE (alle SNMP-Versionen) und Meraki MS390/Catalyst 9300 mit Meraki CS 17 oder älter. Eine Ausnutzung ermöglicht authentifizierte DoS-Angriffe und potenziell beliebige Codeausführung aus der Ferne (RCE, Remote-Code-Execution) auf Root-Ebene, abhängig von genutzten Zugangsdaten:

Eine DoS kann bereits mit einem SNMPv1/v2c-Community-String (Read-Only) oder gültigen SNMPv3-Anmeldedaten ausgelöst werden. Root-Level-RCE erfordert administrative Anmeldedaten (Privilege 15).

CVE-2025-20312 ermöglicht authentifizierte DoS-Angriffe aus der Ferne. Die Ursache ist eine schwache Fehlerbehandlung, die das System bei der Verarbeitung manipulierter SNMP-Anfragen in eine Endlosschleife führt [CWE-835]. Die Ausnutzung erfordert einen gültigen SNMP-Community-String mit Read-Write- oder Read-Only-Berechtigungen. Betroffen sind lediglich IOS XE Switches, bei denen SNMP aktiviert und WRED für MPLS EXT konfiguriert ist.

Für keine der beiden Schwachstellen existieren derzeit öffentliche Exploits. Wer nicht patchen kann, sollte die SNMP-Zugriffe auf vertrauenswürdige Netzwerkeinheiten einschränken und anfällige Object Identifiers (OIDs) deaktivieren. Cisco hat für beiden Schwachstellen separate Sicherheitsmeldungen herausgegeben [8][9]. Der OPENVAS ENTERPRISE FEED bietet sowohl authentifizierte als auch Remote-Versionserkennungstests für die aktiv ausgenutzte CVE-2025-20352 [10][11] und einen Remote-Versionserkennungstest für CVE-2025-20312 an [12].

Doppelt gepatchte Schwachstelle in SolarWinds Help Desk weiterhin angreifbar

CVE-2025-26399 (CVSS 9.8) ist eine nicht authentifizierte Remote-Code-Execution (RCE)-Schwachstelle in SolarWinds Web Help Desk bis einschließlich Version 12.8.7. Die CVE stellt eine Patch-Umgehung für CVE-2024-28988 dar – welche wiederum eine Umgehung für CVE-2024-28986 war. Die ursprüngliche CVE-2025-28986 wurde kurz nach ihrer Offenlegung zu CISAs KEV-Katalog hinzugefügt. Obwohl bisher noch keine aktive Ausnutzung nachgewiesen wurde, halten Sicherheitsprofis eine baldige Ausnutzung für wahrscheinlich. Die Ursache bleibt dieselbe: fehlerhafte Deserialisierung nicht vertrauenswürdiger Daten [CWE-502] in der AjaxProxy-Komponente des Produkts.

Nationale CERT-Sicherheitswarnungen wurden herausgegeben – unter anderem von Kanadas CCCS, CERT-FR und Spaniens INCIBE-CERT. Ein Remote-Banner-Versionscheck ist in Greenbones OPENVAS ENTERPRISE FEED enthalten, um Sicherheitsteams die Identifikation anfälliger Instanzen zu ermöglichen. In Anbetracht der kritischen Schwere und Vorgeschichte mehrfacher Ausnutzung wird das Einspielen von Web Help Desk 12.8.7 Hotfix 1 dringend empfohlen.

Sitecore XM, XP, und XC aktiv ausgenutzt

CVE-2025-53690 (CVSS 9.0, EPSS ~95. Perzentil) ist eine Deserialisierungs-Schwachstelle [CWE-502] in Bezug auf Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (CX) sowie bestimmter verwalteter Cloud-Instanzen. Sie ermöglicht nicht authentifizierte Angriffe mittels bösartig manipulierter __VIEWSTATE-Payloads, um RCE mit Admin-Rechten zu erlangen. Die Schwachstelle wird aktiv zu Angriffszwecken ausgenutzt und wurde dementsprechend bereits in CISAs KEV-Katalog aufgenommen, wo sie sich zu früheren ausgenutzten SiteCore-Schwachstellen gesellt.

CVE-2025-53690 wird in Angriffen genutzt, um neuartige Reconnaissance-Malware namens „WEEPSTEEL“ zu streuen. Die Malware führt Host- und Netzwerk-Scans [TA0043] durch, exfiltriert sensible Konfigurationsdateien [TA0010] und eskaliert Privilegien [TA0004], indem sie lokale Admin-Profile anlegt.

Bei beobachteten Angriffen wurden folgende Techniken erkannt:

• Einsatz von Earthworm [1][2][3] für Netzwerktunneling [T1572]
• DWAgent [4][5] für Command-and-Control (C2) Fernzugang [T1219]
• SharpHound [4][5] für Active Directory (AD)-Reconnaissance [T1106]
• GoTokenTheft zum Auslesen von SYSTEM/SAM-Hives zwecks Credential Harvesting [T1003]
• Ausnutzung des Windows Remote Desktop Protocol (RDP) [T1021] mit gestohlenen Anmeldedaten [T1078], um laterale Bewegung im Netzwerk zu ermöglichen [TA0008]

Der OPENVAS ENTERPRISE FEED enthält einen Remote-Banner-Versionscheck für die Erkennung anfälliger Sitecore-Produkte. Sitecores offizieller Sicherheitsbulletin empfiehlt dringend, Machine-Keys zu rotieren, ViewState MAC zu aktivieren, Kompromittierungsindikatoren (IoCs) zu prüfen und eine Sicherheitsauditierung durchzuführen.

„Exploitation More Likely“ für neun CVEs im Microsoft-Patchzyklus September 2025

Im September-Patchzyklus 2025 hat Microsoft insgesamt 97 Schwachstellen behoben – neun davon als „kritisch“ und ein Großteil als „wichtig“ eingestuft.

Betroffen waren unter anderem Windows-Betriebssysteme, SMB, NTFS, NTLM, Microsoft Office, Azure, SQL Server, Hyper-V, DirectX und weitere Produkte.

Die folgenden Schwachstellen wurden zudem als „Exploitation More Likely“ markiert, bergen also laut Microsoft ein erhöhtes Ausnutzungsrisiko:

• CVE-2025-55234
  (CVSS 9.8): Fehlerhafte Authentifizierung [CWE-287] in den SMB-Diensten von Windows ermöglicht das Wiederverwenden gestohlener Anmeldeinformationen, um unter bestimmten Voraussetzungen privilegierten Zugriff zu erlangen. Systeme ohne aktive SMB-Härtungsmaßnahmen (Hardening) sollten dringend geprüft werden. Die Aktivierung von SMB Server Signing oder Extended Protection for Authentication (EPA) wird von Microsoft empfohlen.
• CVE-2025-55319 (CVSS 9.8): Ein Befehlsinjektionsfehler [CWE-77] in Agentic AI-Integrationen für Visual Studio Code (Versionen 1.0.0 bis 1.103.x) ermöglicht nicht authentifizierte Remote-Code-Execution (RCE). Visual Studio Code-Anwendungen sollten dringend auf Version 1.104.0 oder höher aktualisiert werden [1].
• CVE-2025-54110 (CVSS 8.8): Eine Integer-Überlauf-, bzw. Wraparound-Schwachstelle [CWE-190] im Windows-Kernel ermöglicht die lokale Umgehung der AppContainer-Isolation, um SYSTEM_Rechte zu erlangen [2].
• CVE-2025-54918 (CVSS 8.8): Ein Authentifizierungsfehler [CWE-287] im NTLM-Protokoll ermöglicht im Rahmen eines authentifizierten Angriffs Rechteausweitung aus der Ferne bis auf SYSTEM-Ebene, was zu voller Kontrolle über das Windows-Hostsystem führen kann [3].
• CVE-2025-54916 (CVSS 7.8): Ein Pufferverarbeitungsfehler [CWE-120] im NTLM-Dateisystemtreiber kann durch spezielle Eingaben ausgelöst werden, was in lokalen Angriffen zu beliebiger Codeausführung führen kann [4].
• CVE-2025-54098 (CVSS 7.8): In Hyper-V wurde eine fehlerhafte Zugriffskontrolle [CWE-284] identifiziert, die einer bösartigen Gast-VM ermöglicht, auf den Host zu entkommen oder erhöhte Rechte innerhalb des Hypervisors zu erlangen [5].
• CVE-2025-54093 (CVSS 7.0): Eine TOCTOU-Race-Condition [CWE-367] im Windows TCP/IP-Stack ermöglicht lokale Rechteausweitung durch präzise Timing-Angriffe [6].
• CVE-2025-53803 (CVSS 5.5): Eine Schwachstelle im Windows-Kernel führt zu einem Informationsleck sensibler Daten [CWE-209] durch Fehlermeldungen, die in einem lokalen Angriff beispielsweise Speicheradressen im Kernel-Space preisgeben können [7].
• CVE-2025-53804 (CVSS 5.5): Eine weitere Information-Disclosure-Schwachstelle [CWE-200] im Windows-Kernel-Subsystem ermöglicht lokal das Auslesen sensibler Speicheradressen im Kernel-Space [8].

Unternehmen, die ihre Patch-Level nicht gezielt überwachen, laufen Gefahr, ausnutzbare Schwachstellen in ihrer Infrastruktur zu übersehen und machen sich somit zu einem leichten Angriffsziel. Greenbones OPENVAS ENTERPRISE FEED bietet regelmäßig aktualisierte Erkennungstests für Microsoft-Schwachstellen und unterstützt damit proaktive Schwachstellenauswertung über Systeme hinweg.

Zusammenfassung

Der September 2025 unterstreicht die zunehmenden Cyber-Risiken in verbreiteten Enterprise-Plattformen. Kritische Schwachstellen in Fortra GoAnywhere MFT, Cisco ASA/FTD und Sitecore prägten neben tausenden weiteren CVEs die Sicherheitslage. Aktive Cyberangriffskampagnen zeigen, dass reaktives Schwachstellenmanagement nicht mehr ausreicht. Nur wer proaktiv handelt und kontinuierliches Schwachstellen-Scanning betreibt, kann schnell genug auf neu entdeckte CVEs reagieren und Angriffsflächen wirksam minimieren.

Mit dem OPENVAS ENTERPRISE FEED bietet Greenbone täglich aktualisierte Prüfmechanismen für neue Schwachstellen. Sicherheitsverantwortliche können damit frühzeitig Risiken erkennen, priorisieren und beheben, bevor es zu einem Sicherheitsvorfall kommt. Für den schnellen Einstieg steht eine kostenlose Testversion von Greenbones OPENVAS BASIC zur Verfügung – und zwar mit voller ENTERPRISE FEED-Abdeckung. So bleibt Ihr Unternehmen informiert und resilient gegen aufkommende Cyberbedrohungen.

Cybersicherheit hat sich in Italien in diesem Jahr von einem Schlagwort in Vorstandsetagen zu einer Realität auf den Titelseiten entwickelt. Betritt man irgendeinen Konferenzraum, nimmt an einem Summit teil oder verfolgt branchenspezifische Diskussionen, hört man immer die gleichen dringenden Gespräche: Unternehmen stehen unter Beschuss durch zunehmend ausgeklügelte Cyberbedrohungen. Doch gleichzeitig passiert etwas Neues: eine Welle von Innovation und Zusammenarbeit, die endlich dem Ausmaß der Herausforderung gerecht wird.

Von abstrakten Risiken zu realen Lösungen

Das Jahr begann stark auf der ITASEC im Februar, wo etwas Erfrischendes geschah. Anstatt der üblichen düsteren Präsentationen über theoretische Schwachstellen standen endlich echte Lösungen im Mittelpunkt. Organisationen teilten praktische Strategien, wie Compliance-Anforderungen wie NIS2 mit der täglichen Realität von Cyberangriffen in Einklang gebracht werden können.

Die Sessions zu OPENVAS- und Enterprise-Lösungen zeigten eine entscheidende Verschiebung: Unternehmen bewegen sich weg von endlosen Tabellen mit Schwachstellen hin zu umsetzbaren Erkenntnissen. Die Botschaft war klar: nur informiert zu bleiben reicht nicht mehr. Organisationen brauchen konkrete Handlungsempfehlungen für die nächsten Schritte.

Doch unter dem Optimismus offenbarte sich eine ernüchternde Wahrheit: Italien bleibt eines der am stärksten angegriffenen Länder Europas. Harte Fragen wurden gestellt: Warum hinken unsere Abwehrmaßnahmen den Bedrohungen noch hinterher? Was wird wirklich nötig sein, um das Blatt zu wenden?

KI: Das zweischneidige Schwert

Im März fand in Mailand die CyberSec 2025 statt, auf der Künstliche Intelligenz jede Diskussion dominierte. Die Atmosphäre war zündend: gleichermaßen geprägt von Aufregung und Besorgnis. Alle waren sich einig, dass KI Sicherheitsprozesse revolutionieren kann, indem sie schneller und intelligenter werden. Doch es gibt einen Haken: KI schafft auch völlig neue Angriffsflächen.

Die Berücksichtigungen waren berechtigt. KI-Modelle können manipuliert oder gestohlen werden, wenn sie nicht richtig gesichert sind. Deshalb sind Ansätze wie die vollständige On-Premise-Nutzung und kontrollierte Updates der Modelle so entscheidend. Es geht darum, die Vorteile von Automatisierung und Intelligenz zu nutzen, ohne die Sicherheit zu gefährden.

Wie Dirk Boeing, Security Engineer bei Greenbone, im Interview betonte: „KI ist für uns nicht nur ein Schlagwort – sie ist ein praktisches Werkzeug, das, verantwortungsvoll eingesetzt, Organisationen hilft, Cyberangriffe abzuwehren.“

Die neue Realität des Schwachstellenmanagements

Der Security Summit Ende März unterstrich eine weitere fundamentale Veränderung: Gelegentliches Scannen reicht nicht mehr aus. Die heutige Bedrohungslandschaft verlangt kontinuierliche, robuste Überwachung. Wir sahen Organisationen lernen, kritische Schwachstellen zu priorisieren, Behebungsprozesse zu optimieren und Compliance von einer Last in einen Wettbewerbsvorteil zu verwandeln.

Bemerkenswert war die wachsende Erkenntnis, dass Enterprise-Lösungen etwas bieten, was Community-Editionen nicht erreichen: stabile Feeds, präzise Erkennung und sichere On-Premise-Bereitstellung, weit über die Grundfunktionen hinaus.

Zahlen, die keine Lügen erzählen

Diese Erkenntnisse gewinnen noch mehr Dringlichkeit, wenn man einen Blick auf die tatsächliche Lage in Italien wirft. Allein in der ersten Hälfte von 2025 gab es 1.549 Cybervorfälle – ein erschreckender Anstieg von 53 % gegenüber 2024. Noch besorgniserregender: 346 davon wurden als schwerwiegende Vorfälle mit bestätigtem Schaden eingestuft, ein Plus von 98 % im Jahresvergleich.

Die Angriffe unterscheiden nicht zwischen großen oder kleinen Zielen. Kritische Sektoren wie öffentliche Verwaltung, Gesundheitssektor und Energie wurden hart getroffen. Ein Beispiel: Der Angriff am 2. April auf Mobilità di Marca (MOM), Treviso’s öffentliches Verkehrsunternehmen, legte den elektronischen Ticket-Service tagelang lahm. Dies zeigt eindrücklich, wie Schwachstellen in der digitalen Infrastruktur den Alltag stören können.

Auch kleinere Unternehmen sind nicht sicher. Berichte aus dem April zeigen, dass der Telekommunikationssektor von gezielten Phishing-Angriffen heimgesucht wurde, wobei zahlreiche Organisationen erhebliche Sicherheitsverletzungen erlitten.

Was als Nächstes kommt: Proaktive Verteidigung ist die einzige Verteidigung

Profis auf jeder Konferenz sagt dasselbe: Kontinuierliche Überwachung und proaktives Schwachstellenmanagement sind keine „Nice-to-Have“ mehr. Sie sind lebensnotwendig. Die steigende Häufigkeit und Komplexität von Angriffen erfordert einen grundlegenden Wandel von reaktivem Krisenmanagement zu proaktiven Verteidigungsstrategien.

Save-the-Date: Oktober-Events, die man nicht verpassen sollte

Die Diskussion geht im Oktober weiter, mit drei großen Veranstaltungen, die Rom zum Zentrum der italienischen Cybersicherheit machen:

AFCEA TechNet Europe Rome 2025 (1. – 2. Oktober) bringt Verteidigungsexpertise, Branchenführung und Technologieinnovation zusammen, um aufkommende Bedrohungen und modernste Lösungen zu diskutieren.

Cybertech Europe (21. – 22. Oktober) bietet die Gelegenheit, mit führenden Cybersecurity-Profis in Kontakt zu treten, Live-Demonstrationen zu sehen und tief in die Herausforderungen und Lösungen einzutauchen, die Italiens digitale Resilienz prägen.

Richmond Cyber Resilience Forum (28. – 30. Oktober) wird zu ein Treffpunkt für Angebot und Nachfrager innovativer Lösungen. Hier können die italienischen Unternehmen mit Industrie-Fachgrößen zusammentreffen, um sich über die neuesten Trends und Strategien im Bereich Cybersicherheit zu informieren.

OPENVAS S.r.l. wird auf alle drei Events vertreten sein, Enterprise-Lösungen für Schwachstellenmanagement präsentieren, Einblicke in KI-gesteuerte Sicherheit geben und zeigen, wie Organisationen Compliance von einer reinen Pflichtübung in eine proaktive Verteidigungsstrategie verwandeln können.

Der Weg nach vorne

Das Jahr 2025 erweist sich als eine entscheidende Zeit für die Cybersicherheit in Italien. Die Bedrohungen sind real und wachsen, ebenso wie unsere kollektive Reaktion. Jede Konferenz, jede Zusammenarbeit und jede Innovation bringt uns einen Schritt näher daran, die Herausforderungen von heute in die Resilienz von morgen zu verwandeln.

Die Frage ist nicht, ob man einem Cyberangriff begegnen wirt, sondern ob man bereit ist, wenn er kommt. Warten Sie nicht auf den Weckruf. Jetzt ist die Zeit, Ihre Cyberabwehr zu stärken.

Bereit, Erkenntnisse in Maßnahmen umzusetzen? Treffen Sie uns bei den Events im Oktober oder kontaktieren Sie uns noch heute, um zu erfahren, wie Enterprise-Schwachstellenmanagement die Sicherheitslage Ihrer Organisation transformieren kann.

Nach vielen Jahren an der Spitze von Greenbone zieht sich unser Mitgründer Dr. Jan-Oliver Wagner aus der aktiven operativen Geschäftsführung zurück. Er bleibt dem Unternehmen jedoch weiterhin als Berater eng verbunden. Wir danken Dr. Wagner für sein außergewöhnliches Engagement und all das, was er für Greenbone seit der Gründung erreicht hat.

 

 

Neuer CEO ist Elmar Geese, seit 2019 Teil der Greenbone Geschäftsführung. Mit seinem Wechsel an die Spitze setzen wir auf Kontinuität und Stabilität – sowohl für unsere Kunden, Mitarbeiter als auch für unsere Gesellschafter.