Cybersicherheit hat sich in Italien in diesem Jahr von einem Schlagwort in Vorstandsetagen zu einer Realität auf den Titelseiten entwickelt. Betritt man irgendeinen Konferenzraum, nimmt an einem Summit teil oder verfolgt branchenspezifische Diskussionen, hört man immer die gleichen dringenden Gespräche: Unternehmen stehen unter Beschuss durch zunehmend ausgeklügelte Cyberbedrohungen. Doch gleichzeitig passiert etwas Neues: eine Welle von Innovation und Zusammenarbeit, die endlich dem Ausmaß der Herausforderung gerecht wird.

Von abstrakten Risiken zu realen Lösungen

Das Jahr begann stark auf der ITASEC im Februar, wo etwas Erfrischendes geschah. Anstatt der üblichen düsteren Präsentationen über theoretische Schwachstellen standen endlich echte Lösungen im Mittelpunkt. Organisationen teilten praktische Strategien, wie Compliance-Anforderungen wie NIS2 mit der täglichen Realität von Cyberangriffen in Einklang gebracht werden können.

Die Sessions zu OPENVAS- und Enterprise-Lösungen zeigten eine entscheidende Verschiebung: Unternehmen bewegen sich weg von endlosen Tabellen mit Schwachstellen hin zu umsetzbaren Erkenntnissen. Die Botschaft war klar: nur informiert zu bleiben reicht nicht mehr. Organisationen brauchen konkrete Handlungsempfehlungen für die nächsten Schritte.

Doch unter dem Optimismus offenbarte sich eine ernüchternde Wahrheit: Italien bleibt eines der am stärksten angegriffenen Länder Europas. Harte Fragen wurden gestellt: Warum hinken unsere Abwehrmaßnahmen den Bedrohungen noch hinterher? Was wird wirklich nötig sein, um das Blatt zu wenden?

KI: Das zweischneidige Schwert

Im März fand in Mailand die CyberSec 2025 statt, auf der Künstliche Intelligenz jede Diskussion dominierte. Die Atmosphäre war zündend: gleichermaßen geprägt von Aufregung und Besorgnis. Alle waren sich einig, dass KI Sicherheitsprozesse revolutionieren kann, indem sie schneller und intelligenter werden. Doch es gibt einen Haken: KI schafft auch völlig neue Angriffsflächen.

Die Berücksichtigungen waren berechtigt. KI-Modelle können manipuliert oder gestohlen werden, wenn sie nicht richtig gesichert sind. Deshalb sind Ansätze wie die vollständige On-Premise-Nutzung und kontrollierte Updates der Modelle so entscheidend. Es geht darum, die Vorteile von Automatisierung und Intelligenz zu nutzen, ohne die Sicherheit zu gefährden.

Wie Dirk Boeing, Security Engineer bei Greenbone, im Interview betonte: „KI ist für uns nicht nur ein Schlagwort – sie ist ein praktisches Werkzeug, das, verantwortungsvoll eingesetzt, Organisationen hilft, Cyberangriffe abzuwehren.“

Die neue Realität des Schwachstellenmanagements

Der Security Summit Ende März unterstrich eine weitere fundamentale Veränderung: Gelegentliches Scannen reicht nicht mehr aus. Die heutige Bedrohungslandschaft verlangt kontinuierliche, robuste Überwachung. Wir sahen Organisationen lernen, kritische Schwachstellen zu priorisieren, Behebungsprozesse zu optimieren und Compliance von einer Last in einen Wettbewerbsvorteil zu verwandeln.

Bemerkenswert war die wachsende Erkenntnis, dass Enterprise-Lösungen etwas bieten, was Community-Editionen nicht erreichen: stabile Feeds, präzise Erkennung und sichere On-Premise-Bereitstellung, weit über die Grundfunktionen hinaus.

Zahlen, die keine Lügen erzählen

Diese Erkenntnisse gewinnen noch mehr Dringlichkeit, wenn man einen Blick auf die tatsächliche Lage in Italien wirft. Allein in der ersten Hälfte von 2025 gab es 1.549 Cybervorfälle – ein erschreckender Anstieg von 53 % gegenüber 2024. Noch besorgniserregender: 346 davon wurden als schwerwiegende Vorfälle mit bestätigtem Schaden eingestuft, ein Plus von 98 % im Jahresvergleich.

Die Angriffe unterscheiden nicht zwischen großen oder kleinen Zielen. Kritische Sektoren wie öffentliche Verwaltung, Gesundheitssektor und Energie wurden hart getroffen. Ein Beispiel: Der Angriff am 2. April auf Mobilità di Marca (MOM), Treviso’s öffentliches Verkehrsunternehmen, legte den elektronischen Ticket-Service tagelang lahm. Dies zeigt eindrücklich, wie Schwachstellen in der digitalen Infrastruktur den Alltag stören können.

Auch kleinere Unternehmen sind nicht sicher. Berichte aus dem April zeigen, dass der Telekommunikationssektor von gezielten Phishing-Angriffen heimgesucht wurde, wobei zahlreiche Organisationen erhebliche Sicherheitsverletzungen erlitten.

Was als Nächstes kommt: Proaktive Verteidigung ist die einzige Verteidigung

Profis auf jeder Konferenz sagt dasselbe: Kontinuierliche Überwachung und proaktives Schwachstellenmanagement sind keine „Nice-to-Have“ mehr. Sie sind lebensnotwendig. Die steigende Häufigkeit und Komplexität von Angriffen erfordert einen grundlegenden Wandel von reaktivem Krisenmanagement zu proaktiven Verteidigungsstrategien.

Save-the-Date: Oktober-Events, die man nicht verpassen sollte

Die Diskussion geht im Oktober weiter, mit drei großen Veranstaltungen, die Rom zum Zentrum der italienischen Cybersicherheit machen:

AFCEA TechNet Europe Rome 2025 (1. – 2. Oktober) bringt Verteidigungsexpertise, Branchenführung und Technologieinnovation zusammen, um aufkommende Bedrohungen und modernste Lösungen zu diskutieren.

Cybertech Europe (21. – 22. Oktober) bietet die Gelegenheit, mit führenden Cybersecurity-Profis in Kontakt zu treten, Live-Demonstrationen zu sehen und tief in die Herausforderungen und Lösungen einzutauchen, die Italiens digitale Resilienz prägen.

Richmond Cyber Resilience Forum (28. – 30. Oktober) wird zu ein Treffpunkt für Angebot und Nachfrager innovativer Lösungen. Hier können die italienischen Unternehmen mit Industrie-Fachgrößen zusammentreffen, um sich über die neuesten Trends und Strategien im Bereich Cybersicherheit zu informieren.

OPENVAS S.r.l. wird auf alle drei Events vertreten sein, Enterprise-Lösungen für Schwachstellenmanagement präsentieren, Einblicke in KI-gesteuerte Sicherheit geben und zeigen, wie Organisationen Compliance von einer reinen Pflichtübung in eine proaktive Verteidigungsstrategie verwandeln können.

Der Weg nach vorne

Das Jahr 2025 erweist sich als eine entscheidende Zeit für die Cybersicherheit in Italien. Die Bedrohungen sind real und wachsen, ebenso wie unsere kollektive Reaktion. Jede Konferenz, jede Zusammenarbeit und jede Innovation bringt uns einen Schritt näher daran, die Herausforderungen von heute in die Resilienz von morgen zu verwandeln.

Die Frage ist nicht, ob man einem Cyberangriff begegnen wirt, sondern ob man bereit ist, wenn er kommt. Warten Sie nicht auf den Weckruf. Jetzt ist die Zeit, Ihre Cyberabwehr zu stärken.

Bereit, Erkenntnisse in Maßnahmen umzusetzen? Treffen Sie uns bei den Events im Oktober oder kontaktieren Sie uns noch heute, um zu erfahren, wie Enterprise-Schwachstellenmanagement die Sicherheitslage Ihrer Organisation transformieren kann.

Nach vielen Jahren an der Spitze von Greenbone zieht sich unser Mitgründer Dr. Jan-Oliver Wagner aus der aktiven operativen Geschäftsführung zurück. Er bleibt dem Unternehmen jedoch weiterhin als Berater eng verbunden. Wir danken Dr. Wagner für sein außergewöhnliches Engagement und all das, was er für Greenbone seit der Gründung erreicht hat.

 

 

Neuer CEO ist Elmar Geese, seit 2019 Teil der Greenbone Geschäftsführung. Mit seinem Wechsel an die Spitze setzen wir auf Kontinuität und Stabilität – sowohl für unsere Kunden, Mitarbeiter als auch für unsere Gesellschafter.

Der August 2025 Threat Report unterstreicht, wie schnell hochriskante Schwachstellen zu aktiven Bedrohungen werden. Schwachstellen von Citrix, Fortinet, N-able und Trend Micro wurden innerhalb weniger Tage ausgenutzt. Andere kritische Probleme traten in häufig anvisierter Software wie Microsoft Exchange auf. Mainstream Enterprise Anwendungen wie Docker Desktop, Git und Zoom waren diesen Monat ebenfalls neuen Schwachstellen ausgesetzt. Schauen wir uns nun einige der größten Cyber Bedrohungen an, die im August 2025 zum Vorschein kamen.

Trio hochriskanter Citrix NetScaler CVEs: Eine in aktiver Ausnutzung

Citrix wies auf die aktive Ausnutzung von CVE-2025-7775 und zwei weiterer Hochrisiko-CVEs hin. Das Trio betrifft NetScalerADC und NetScaler Gateway in diversen Konfigurationen. Bisher wurde lediglich CVE-2025-7775 in CISA’s Katalog bekannter, ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Mehrere nationale CERT-Warnungen wurden weltweit erteilt [1][2][3][4][5][6][7]. Die Installation aktueller Patches wird dringend empfohlen.

• CVE-2025-7775 (CVSS 9.8, EPSS ≥92. Perzentil): Ein Speicherüberlauf (Memory-Overflow) [CWE-119] ermöglicht Ausführung von Remote Code (Remote-Code-Execution, RCE) oder Denial of Service (DoS), wenn NetScaler als Gateway (VPN-Virtual-Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA-Virtual-Server konfiguriert ist.
• CVE-2025-6543 (CVSS 9.8): Speicherüberlauf [CWE-119] führt zu unbeabsichtigtem Kontrollfluss und DoS, wenn NetScaler als Gateway (VPN-Virtual-Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA-Virtual-Server konfiguriert ist.
• CVE-2025-7776 (CVSS 8.8): Speicherüberlauf [CWE-119] führt zu unvorhersehbarem Verhalten und DoS, wenn NetScaler als Gateway (VPN-Virtual-Server, ICA-Proxy, CVPN, RDP-Proxy) mit einem PC-over-IP (PcoIP)-Profil konfiguriert ist. PcoIP ist ein Remote-Display-Protokoll für den Zugriff auf virtuelle Desktops.

Erst im Juni 2025 wurde eine weitere, hochriskante Schwachstelle in NetScaler ADC und Gateway unter dem Namen „CitrixBleed 2“ bekannt, die kurz nach Bekanntgabe aktiv für Ransomware-Angriffe ausgenutzt wurde. Greenbones OPENVAS ENTERPRISE FEED beinhaltet einen remote Versionserkennungstest für die drei neuen CVEs sowie für CitrixBleed 2.

Notfall-Patch für Microsoft Exchange Hybridbereitstellung

CVE-2025-53786 (CVSS 8.0) ist eine hochriskante Post-Authentifizierungs-Schwachstelle zur Rechteausweitung in Microsoft Exchange Hybrid-Umgebungen. In einer Hybridbereitstellung wird eine lokale Active Directory (AD)-Domäne mit einer cloudbasierten Azure AD synchronisiert; beide erkennen Geräte und Dienste. Im Falle einer Ausnutzung von CVE-2025-53786 können Angreifende mit Admin-Zugang zu einem lokalen Exchange Server lateral auf Microsoft 365 Exchange Online zugreifen [CWE-287] und potenziell den Authentifizierungsprozess modifizieren, um Persistenz zu erreichen [T1556.007].

Ausnutzbarkeit, darunter Authentifizierungsumgehung, laterale Bewegung [TA0008] und Datenexfiltration [TA0010], wurde auf der Black Hat 2025 demonstriert. Obwohl keine reale Ausnutzung festgestellt wurde, wies Microsoft eine erhöhte Ausnutzungswahrscheinlichkeit zu. CISA gab eine Notfall-Direktive (ED 25-02) aus und warnte, CVE-2025-53786 könne zu vollständiger Kompromittierung von Domänen in Hybridumgebungen führen. Diverse staatliche CERT-Agenturen gaben ebenfalls Warnungen aus [1][2][3][4][5][6][7]. Der OPENVAS ENTERPRISE FEED beinhaltet zwei remote Versionserkennungstests zur Erkennung anfälliger Instanzen von Microsoft Exchange [8][9].

Dringende Sicherheitswarnung zu Cisco Secure Firewall Management Center

CVE-2025-20265 (CVSS 10) in eine RCE-Sicherheitslücke (Remote Code Ausführung) in physischen und virtuellen Appliances von Cisco Secure Firewall Management Center (FMC). Sie tritt auf, wenn eine Appliance mit RADIUS für web-basierte Authentifizierung oder Management-Zugang via SSH konfiguriert ist. Die Schwachstelle entsteht durch unangemessene Eingabeverarbeitung, was nachgelagert zu Befehls-Injektion im Authentifizierungsprozess führen kann [CWE-74]. Unauthentifizierte Angreifende können möglicherweise beliebige Shell-Befehle einschleusen und mit erhöhten Rechten ausführen lassen.

Frei zugänglicher Exploit-Code oder aktive Angriffe wurden bisher nicht gemeldet. Allerdings waren Cisco-Edge-Devices in der Vergangenheit bereits häufig Ziele für APT-Gruppen [1][2][3]. In Anbetracht der Tatsache, dass sich Cisco FMC häufig am Netzwerkrand befindet und CVE-2025-20265 ein CVSS-Wert von 10 zugewiesen wurde, besteht dringender Handlungsbedarf für betroffene Systeme.  Cisco hat Sicherheitsupdates veröffentlicht und gleichzeitig erklärt, dass keine Workarounds verfügbar seien, das Deaktivieren der RADIUS-Authentifizierung allerdings eine vorübergehende Risikominderung darstellen könne. Greenbones OPENVAS ENTERPRISE FEED beinhaltet einen remote Versionserkennungstest, um ungepatchte FMC-Geräte aufzuspüren.

FortiSIEM ausgenutzt und weitere Hochrisiko-CVEs in Fortinet-Produkten

Fortinet war im August das Subjekt mehrerer schwerwiegender Schwachstellen. Insgesamt wurden für Fortinet 14 CVEs veröffentlicht — davon sechs mit hoher bis kritischer CVSS-Stufe. Einige nationale CERT-Agenturen behandelten die drei schwerwiegendsten CVEs dieser Gruppe [1][2][3], während sich andere lediglich auf die gravierendste Schwachstelle konzentrierten — CVE-2025-25256 [4][5][6][7][8] — welche von Fortinet als aktiv ausgenutzt gemeldet wurde. Auch hier steht Greenbone mit Versionserkennungstests und aktiven Tests  im OPENVAS ENTERPRISE FEED zur Seite, um FortiSIEM-Geräte zu identifizieren, die für CVE-2025-25256 anfällig sind. Zudem sind eine Reihe spezialisierter Tests für Fortinet-Schwachstellen enthalten, unter anderem folgende:

• CVE-2025-25256 (CVSS 9.8, EPSS ≥ 95. Perzentil): Fehlerhafte Neutralisierung spezieller Elemente in einem Betriebssystembefehl [CWE-78] ermöglicht unauthentifizierten Angreifenden aus der Ferne, über Anfragen an den phMonitor-Dienst auf TCP-Port 7900 unautorisierten Code auszuführen. Fortinet bestätigt aktive Ausnutzung. Eine vollständige technische Beschreibung sowie Proof-of-Concept (Machbarkeitsnachweis, PoC) sind verfügbar. FortiSIEM 5.4 und diverse Unterversionen von FortiSIEM 6 und 7 sind betroffen.
• CVE-2024-26009 (CVSS 8.1): Eine Umgehung der Authentifizierung über alternative Pfade oder Kanäle [CWE-288] ermöglicht unauthentifizierten Angreifenden, die Kontrolle über verwaltete Geräte zu übernehmen. Dies geschieht durch den Einsatz spezieller FortiGate-to-FortiManager-Protokoll (FGFM)-Anfragen. Für einen erfolgreichen Angriff muss das FortiGate-Gerät durch einen Fortimanager verwaltet werden, dessen Seriennummer der angreifenden Person oder Gruppe bekannt ist. Mehrere Versionen von FortiOS, FortiPAM und FortiSwitchManager sind betroffen.
• CVE-2025-52970 (CVSS 8.1): Eine fehlerhafte Parameterbehandlung [CWE-233] ermöglicht unauthentifizierten entfernten Angreifenden, die über vertrauliche Informationen zum Zielgerät und einen bestehenden User verfügen, sich mittels einer speziell präparierten HTTP-Anfrage als beliebige User anzumelden. Mehrere Unterversionen von FortiWeb 7 sind betroffen.

Zwei neue N-Able CVEs rasant aktiv ausgenutzt

Zwei neue CVEs bezüglich N-Ables N-central stellen ein hohes Risiko für Unternehmen dar, welche die Software verwenden. Beide CVEs wurden zu CISAs KEV-Katalog hinzugefügt und nationale CERT-Warnungen wurden von NCSC.nl [1], dem Kanadischen Cyber Centre [2] und Südkoreas K_CERT [3] ausgegeben. N-central ist eine Plattform für Monitoring und Management aus der Ferne (RMM), die großflächig eingesetzt wird um Netzwerke und Systeme zu überwachen und zu verwalten. Obwohl die Ausnutzung beider Schwachstellen eine Authentifizierung erfordern besteht erhöhtes Risiko durch gestohlene Zugangsdaten [TA0006], Passwort-Wiederverwendung [T1078], Insider-Bedrohungen und weiterer potenzieller Angriffsvektoren.

• CVE-2025-8876 (CVSS 8.8, EPSS ≥ 95. Perzentil): Ungesäuberte Eingaben werden in OS-Shell-Befehle injiziert [CWE-78], was Remote-Code-Ausführung (RCE) mit den Rechten der N-Central-Anwendung ermöglicht.
• CVE‑2025‑8875 (CVSS 7.8, EPSS ≥ 93. Perzentil): Unsichere Deserialisierung unkontrollierter Daten [CWE-502] kann es Angreifenden ermöglichen, sogenannte Objekt-“Gadget“-Ketten zu konstruieren, welche beliebige RCE oder unautorisierte Änderungen am Anwendungszustand ermöglichen.

N-central Versionen vor 2025.3.1 sind betroffen. Einen Tag nach Veröffentlichung der CVEs berichtete Shadowserver über ~1.000 ungepatchte N-central Server, die ans öffentliche Internet exponiert waren. Zwei Wochen später waren die meisten davon weiterhin nicht aktualisiert. Der OPENVAS ENTERPRISE FEED kann anfällige Versionen von N-central aus der Ferne erkennen, was Verteidigungsteams schnelle und gezielte Risikominderung ermöglicht.

Angriff auf neue kritische Trend Micro Apex One Schwachstelle

CVE-2025-54948 (CVSS 9.8, EPSS ≥ 94. Perzentil) und CVE-2025-54987 (CVSS 9.8, EPSS ≥ 63. Perzentil) sind nicht authentifizierte RCE-Schwachstellen, welche die lokale (on-premises) Trend Micro Apex One Management Konsole betreffen. Beide CVEs basieren auf der selben Sicherheitslücke, betreffen allerdings verschiedene CPU-Architekturen. Das zugrundeliegende Problem ist eine Schwachstelle, die es Angreifenden ermöglicht, durch das Hochladen präparierter Dateien vor der Authentifizierung Befehle ins Betriebssystem zu injizieren [CWE-78]. Ein kompromittiertes Gerät gibt Angreifenden direkten Zugriff auf die Sicherheitsinfrastruktur des angegriffenen Unternehmens. Erfolgreiche Ausnutzung erfordert Zugriff, entweder direkt oder aus der Ferne, was ans Internet exponierte Instanzen einem besonderen Risiko aussetzt. Lokale Instanzen könnten Angreifenden zusätzlich eine Gelegenheit für laterale Bewegung [TA0008] liefern, nachdem sie initial [TA0001] über das Netzwerk des Opfers Zugang erhalten haben.

Trend Micro zufolge, ist aktive Ausnutzung zu befürchten und CISA hat CVE-2025-54948 zum KEV-Katalog hinzugefügt, wo es sich zu vielen weiteren ausgenutzten Apex One Sicherheitslücken gesellt, die bis 2021 zurückreichen. Nationale CERT-Warnungen wurden von Regierungsbehörden weltweit ausgegeben [1][2][3][4][5]. Apex One (on-premises) 2019 (14.0) Version 14.0.0.14039 und darunter sind betroffen. Bitte beachten Sie die offizielle Sicherheitswarnung, welche ein Tool zur Deaktivierung der Remote Install Agent Funktion bereitstellt, für Anweisungen zu Gegenmaßnahmen. Greenbones OPENVAS ENTERPRISE FEED hilft Ihnen, betroffene Endpunkte lokal aufzuspüren.

Git-Repository-Kloning Schwachstelle aktiv ausgenutzt

CVE-2025-48384 (CVSS 8.0, EPSS ≥ 88. Perzentil), früh im Juli 2025 veröffentlicht, wurde zu CISAs KEV-Katalog hinzugefügt und die Ausnutzbarkeit wurde als trivial eingestuft. Die Schwachstelle beschreibt einen beliebigen Dateischreibvorgang beim Klonen eines speziell präparierten Repositories, das Submodule mit der ‚recursive‘ flag verwendet — beispielsweise git clone –recursive <repo> — eine Option, die Submodule beim Klonen automatisch mitlädt. Die Ursache der Schwachstelle liegt in der fehlerhaften Behandlung nachgestellter Wagenrücklaufzeichen (Carriage Return, CR) in Konfigurationswerten, was potenziell zu RCE führen kann. Zur Ausnutzung müssen Angreifende ihre Opfer dazu bringen, ein solches präpariertes Git-Repository zu klonen.

Eine vollständige technische Beschreibung und Exploits mit bösartigen .gitmodules-Dateien sind bereits online verfügbar [1][2][3].  INCIBE-CERT hat eine Warnung herausgegeben [4] und CISA hat die Schwachstelle auf die KEV-Liste gesetzt [5].  Betroffen sind diverse Versionen von Git bis 2.50.0. Der OPANVAS ENTERPRISE FEED und der OPENVAS COMMUITY FEED enthalten lokale Paket-Erkennungstests für CVE-2025-48384.

Container Escape in Docker Desktop für Windows und macOS

CVE-2025-9074 (CVSS 9.3) ist eine Container-Escape-Schwachstelle in Docker für Windows und macOS. Die Schwachstelle ermöglicht es Angreifenden, bei der Ausführung eines bösartigen Containers unautorisierten Zugriff auf das Host-System des Opfers zu erlangen. Wie sich herausstellte war die Docker Engine API ohne Authentifizierung via TCP/IP unter 192.168.65.7:2375 zugänglich. Dieser Kanal umgeht gängige Socket-Beschränkungen und macht somit Dockers Enhanced Container Isolation (ECI) wirkungslos. Unter Windows können Angreifende System-DLLs einhängen und überschreiben, um volle administrative Kontrolle zu erlangen. Auf macOS ist der Zugriff auf das Host-Dateisystem aufgrund von Schutzmechanismen des Betriebssystems stärker eingeschränkt. Linux-Instanzen sind nicht betroffen.

Proof-of-Concepts zeigen triviale Ausnutzbarkeit — bereits wenige Zeilen Python oder eine simple HTTP-Anfrage können anfällige Instanzen von Docker Desktop kompromittieren. Ein detaillierter technischer Bericht, die Existenz von mindestens einem öffentlichen Exploit und die verbreitete Nutzung von Docker erhöhen das Risiko von CVE-2025-9074. Ein Versionserkennungstest für Windows-Installationen ist im OPENVAS ENTERPRISE FEED enthalten.

Kritische Schwachstelle im Zoom Client für Windows ermöglicht unauthentifizierte RCE

CVE-2025-49457 (CVSS 9.6) betrifft mehrere Zoom-Produkte für Windows, darunter Zoom Workplace, VDI, Rooms, Rooms Controller und Meeting SDK vor Version 6.3.10. Grund für die Sicherheitslücke ist eine Unsichere-Suchpfad-Schwachstelle [CWE-426], die auf fehlerhafte Behandlung von DLL-Pfaden zurückgeht. Als „DLL-Side-Loading“ bekannt tritt diese Lücke auf, wenn die Windows-API-Funktion LoadLibrary() ohne einen vollständig qualifizierten Dateipfad aufgerufen wird. In diesem Fall folgt Windows der standardmäßigen DLL-Suchreihenfolge. Wenn Angreifende eine Datei in einem so durchsuchten Verzeichnis ablegen können, wird diese somit geladen und ausgeführt. Daher ist CVE-2025-49457 in Verbindung mit Social-Engineering-Angriffen [T1566] und Insider-Bedrohungen, die auch 2025 weiterhin verbreitet sind, besonders gefährlich. Ausnutzung ermöglicht Angreifenden Rechteausweitung und die Ausführung beliebigen Codes, potenziell auf Windows-SYSTEM-Level.

Malaysias MyCERT [1] und Hongkongs CERT-HK [2] gaben Sicherheitshinweise heraus. Das Problem ist in Zoom Versionen 6.3.10 und folgend behoben, Organisationen sollten dringend den Aktualisierungsstatus prüfen. Obwohl einige Desktop-Anwendungen, darunter auch Zoom, automatische Updates unterstützen, ist in ausgedehnten IT-Infrastrukturen die manuelle Prüfung durch Sicherheitsteams unabdingbar. Der OPENVAS ENTERPRISE FEED automatisiert dies mittels aktiver Prüfung auf anfällige Zoom-Anwendungen.

Zusammenfassung

Der August 2025 Threat Report beleuchtet neue hochriskante Schwachstellen über diverse, weit verbreitete Plattformen hinweg. Verteidigungsteams hatten letzten Monat alle Hände voll zu tun, um wehrhaft zu bleiben gegen die aktive Ausnutzung von Citrix NetScaler kurz nach CitrixBleed 2, einer dringenden Aktualisierung von Microsoft Exchange, einer maximal schweren Cisco Secure Firewall CVE und dem Auftreten von Fortinet, N-able und Trend Micro Exploits. Neue Docker Desktop, Git und Zoom Schwachstellen kamen hierbei erschwerend hinzu. Greenbones OPENVAS SECURITY INTELLIGENCE entlastet Verteidigungsteams durch schnelle Erkennung und Gewissheit über den Sicherheitsstatus Ihres Unternehmens.

Unternehmen und Behörden müssen ab August 2025 die ersten Regelungen des EU AI Acts umsetzen – eine neue Ära der Verantwortung im Umgang mit Künstlicher Intelligenz beginnt. Weil der AI Act der EU nicht nur technische Anpassungen verlangt, sondern ein grundsätzliches Umdenken in den Köpfen, muss KI künftig differenziert nach Risiko und Anwendungsfall betrachtet werden. Das gilt umso mehr, wenn sie in sensible Lebensbereiche eingreift oder mit personenbezogenen Daten arbeitet.

Für Organisationen bedeutet das: Sie müssen sich intensiv mit dem Ökosystem rund um ihre KI-Systeme auseinandersetzen, Risiken frühzeitig erkennen und gezielt adressieren. Transparenz über die Datengrundlage, nachvollziehbare Modelle und menschliche Aufsicht sind keine Option mehr, sondern Pflicht. Gleichzeitig bietet der AI Act ein wertvolles Rahmenwerk, um Vertrauen aufzubauen und KI langfristig sicher und verantwortungsvoll zu nutzen. Auch Schwachstellenmanagement und Cybersecurity sind davon nicht ausgenommen.

Cybersecurity-Experten im KI-Interview

Wir haben Kim Nguyen, Senior Vice President Innovation von der Bundesdruckerei und lange Jahre der Chef und das Gesicht der Trusted Services dort, in einem Interview zum Thema KI, Regulierungen und dem Einfluss auf die Cybersecurity befragt. Außerdem gibt uns Greenbone-CMO Elmar Geese einen Ausblick auf die Zukunft des Schwachstellenmanagements.

Greenbone: Kim, das Thema KI und Cybersecurity ist ja derzeit in aller Munde, auch auf Veranstaltungen wie der jüngsten Potsdamer Konferenz für Cybersecurity. Und Sie sind da „mittendrin“ im gesellschaftlichen Diskurs.

Nguyen: Ja, dass das Thema Künstliche Intelligenz mir sehr am Herzen liegt, kann ich nicht leugnen, das sieht man in meinen Veröffentlichungen und Keynotes dazu. Mein Ansatz unterscheidet sich dabei ein wenig von den meisten anderen. Er hat viel mit Vertrauen zu tun, und das hat verschiedene Dimensionen: Eine davon ist Wohlwollen. Das bedeutet, das Wohl der einzelnen Nutzenden muss im Mittelpunkt stehen. User sind sicher, das System operiert zu ihrem Nutzen und verfolgt keine ihnen nicht bekannte Agenda.

Greenbone: Was denken Sie, wird die Cybersecurity insgesamt mit KI sicherer oder eher gefährlicher?

Nguyen: Künstliche Intelligenz ist natürlich längst in der Cybersicherheit angekommen und zwar als Risiko wie als Chance: Sie vergrößert einerseits den Angriffsvektor, denn Cyberkriminelle können ihre Angriffe schneller, automatisierter und gezielter durchführen. Andererseits kann sie dabei helfen, die Verteidigung zu härten, etwa bei der Analyse von Echtzeitdaten aus verschiedenen Sicherheitsquellen, um Sicherheitsvorfälle automatisch zu identifizieren und entsprechend zu reagieren.

„Ein Katz- und Mausspiel“

Wer bei diesem Katz- und Mausspiel zwischen Angreifenden und Verteidigeneden mithalten will, muss heute auch auf KI setzen, gerade in der Verteidigung. Die staatliche Regulierung ist dabei zentral, denn ohne entsprechende Gesetze und technische Vorgaben kann niemand unterscheiden, was erlaubt und vertrauenswürdig ist und was nicht.

Außerdem müssen Gesetzgebende bei dieser überaus dynamischen technischen Entwicklung weiterhin aktiv eingreifen, um Handlungs- und Rechtssicherheit zu gewährleisten. Das richtige Maß zu finden und gleichzeitig genug Freiräume zu lassen, damit Innovationen möglich bleiben und KI ein Enabler sein kann, ist nicht einfach, aber immens wichtig.

Greenbone: Was sind für Sie die wichtigsten Fragen/Regulierungen im EU AI Act und den Verordnungen, denen sich Unternehmen stellen müssen? Was kommt da noch auf uns zu? Wie bereitet sich denn eine große Institution wie die Bundesdruckerei vor?

Nguyen: Mit dem AI Act müssen Unternehmen ihre KI-Systeme risikobasiert einordnen und je nach Klassifizierung unterschiedlich strenge Anforderungen an Transparenz, Daten

qualität, Governance und Sicherheit erfüllen – und das insbesondere bei Hochrisiko-Anwendungen.

Es geht jedoch nicht nur darum, Compliance sicherzustellen, sondern auch den regulatorischen Rahmen als strategischen Hebel für vertrauenswürdige Innovation und nachhaltige Wettbewerbsfähigkeit zu nutzen. Dafür reicht es nicht, den Fokus lediglich auf ein entsprechendes KI-Modell zu legen. Wichtig sind ebenfalls die Integration, das Training des Modells und die Schulung der Nutzenden. Umfangreiche Sicherheitsleitplanken – so genannte „Guard Rails“ – müssen eingezogen werden, um sicherzustellen, dass ein System keine unerlaubten Vorgänge unternehmen kann.

„Eingespielte Prozesse bringen Nachvollziehbarkeit, Robustheit und Transparenz in den Vordergrund“

Die Bundesdruckerei als Technologieunternehmen des Bundes ist seit vielen Jahren im Hochsicherheitsbereich tätig. Wir verfügen über eingespielte Prozesse und Strukturen, die Nachvollziehbarkeit, Robustheit und Transparenz in den Vordergrund stellen und damit auch Vertrauen in verschiedene KI-Lösungen für die Verwaltung bringen: Mit dem KI-Kompetenzcenter unterstützen wir etwa Bundesbehörden und Ministerien bei der Entwicklung von KI-Anwendungen. Mit dem Auswärtigen Amt haben wir die Plattform PLAIN geschaffen, die eine gemeinsame Infrastruktur für Daten und KI-Anwendungen bietet oder mit Assistent.iQ einen KI-Assistenten entwickelt, der die Anforderungen der Verwaltung an Datensicherheit, Nachvollziehbarkeit und Flexibilität erfüllt.

Greenbone: Opensource ist ja ein Mindestkriterium für Vertrauen in Software, IT und Cybersecurity – Geht das mit KI überhaupt, und in welchem Maße?

Nguyen: Open Source ist ein wichtiges Thema bei KI, denn sie kann durch Prüfung von Codes und Modellen für notwendiges Vertrauen sorgen. Dafür müssen die Ergebnisse genau geprüft und bestätigt werden können. In diesem Fall braucht man eine Community, die sich regelmäßig einbringt und kümmert.

Oft ist der Open-Source-Ansatz vieler Projekte ambitioniert und ehrenwert, doch später werden manche Projekte nicht mehr genügend gepflegt oder kommen ganz zum Erliegen. Ohnehin muss man beim Thema Open Source und KI genau hinschauen, anders ausgedrückt: Open Source ist nicht gleich Open Source. Wenn KI-Entwickelnde ihre Modelle unter einer Open-Source-Lizenz veröffentlichen, bedeutet das längst nicht, dass man auch eine Open-Source-KI bekommt.

Wichtig sind zum einen die Zahlenwerte, die sogenannten Gewichte des KI-Modells, die bestimmen, wie dieses Eingaben verarbeitet und Entscheidungen trifft. Und zum zweiten auch die Trainingsdaten – und gerade diese werden der Kundschaft und den Nutzenden häufig vorenthalten. Dabei kann man erst mit ihnen zu einer Einschätzung kommen, wie nachvollziehbar, vertrauenswürdig und reproduzierbar ein Open-Source-Modell wirklich ist. Erst wenn das gesamte Wissen hinter den verschiedenen Modellen frei verfügbar ist, können sich hierauf aufbauend tragfähige Ideen entwickeln und Innovationen entstehen.

Greenbone: Was fehlt denn, um KI sicher einzusetzen? Was müssen wir ändern?

Nguyen: Damit KI sicher eingesetzt werden kann, braucht es zusätzlich zur technischen Exzellenz ein entsprechendes Mindset in Entwicklung, Governance und Verantwortung. Konkret müssen wir Sicherheit nach dem Prinzip „Security by Design“ von Anfang an mitdenken. Das bedeutet: Entwickelnde müssen stets systematisch prüfen, was schiefgehen kann und diese Risiken frühzeitig in den Entwurf und die Architektur des Modells integrieren.

Ebenso wichtig ist Transparenz über die Grenzen von KI-Systemen hinweg: Sprachmodelle funktionieren bislang nur innerhalb bestimmter Kontexte zuverlässig – außerhalb dieser Trainingsdomäne liefern sie zwar plausible, aber potenziell fehlerhafte Ergebnisse. Die Entwickelnde sollten deshalb klar kommunizieren, wo das Modell zuverlässig funktioniert und wo nicht.

Mindset, Kontext und Urheberrecht

 Wenn wir keine massiven Vertrauens- und Compliance-Probleme erleben möchten, dürfen wir zudem die Fragen zu Urheberrechten bei Trainingsdaten nicht vernachlässigen. Dann braucht es noch klare Testdaten, geeignete Evaluierungsinfrastruktur und eine laufende Überprüfung von Bias und Fairness.

Eine ausgewogene Kombination aus gesetzlicher Regulierung, technischer Selbstverpflichtung und schnell reagierender Governance ist dabei der Schlüssel für eine KI, mit der man demokratische Werte schützt und technologische Verantwortung übernimmt.

Greenbone: Glauben Sie, die EU hat hier einen Wettbewerbsvorteil?

Nguyen: Ja, die EU hat im globalen KI-Wettbewerb einen echten Vorteil – und dieser liegt im Vertrauen.  Andere Regionen setzen vor allem auf Geschwindigkeit und Marktdominanz – und nehmen dafür, wie zuletzt in den USA geschehen, die Tech-Giganten weitestgehend aus der Verantwortung für gesellschaftliche Risiken. Dagegen etabliert Europa mit dem AI Act geradezu exemplarisch ein Modell, das auf Sicherheit, Datenschutz und menschenzentrierte Entwicklung setzt.

Gerade weil KI zunehmend in sensible Lebensbereiche vordringt, wird der Schutz persönlicher Daten und die Durchsetzung demokratischer Werte immer wichtiger. Die EU schafft mit ihrer Governance-Struktur verbindliche Standards, an denen sich viele Länder und Unternehmen weltweit orientieren. Dieser Fokus auf Werte wird sich langfristig für Europa auszahlen – und zwar für den Export von Technologien sowie die Stärkung des gesellschaftlichen Vertrauens in Demokratie und digitale Systeme vor Ort.

Besonders bei der Entwicklung menschenzentrierter KI ist Europa Vorreiter. Regulierung darf dabei jedoch nicht zum Innovationshemmnis werden: Vertrauen und Sicherheit müssen Hand in Hand gehen mit Investitionsbereitschaft, technologischer Offenheit und schneller Umsetzungsfähigkeit. Dann kann Europa Standards setzen – und eine eigene, wettbewerbsfähige KI-Identität aufbauen.

Greenbone-CEO Elmar Geese zu KI im Schwachstellenmanagement

Greenbone: Herr Geese, KI ist in aller Munde, welche Veränderungen bringt künstliche Intelligenz fürs Schwachstellenmanagement?

Geese: Ich denke, KI wird uns da viel Unterstützung bringen, aber ersetzen kann sie das Schwachstellenmanagement nicht. Zwar kann künstliche Intelligenz beispielsweise zeitaufwändige Routineaufgaben wie die Auswertung großer Datenmengen übernehmen, Muster erkennen und Vorschläge zur Priorisierung machen. Das Sicherheitsteam trifft aber stets die finalen Entscheidungen und hat volle Kontrolle, besonders bei komplexen oder kritischen Fällen, wo menschliches Kontextverständnis unverzichtbar ist.

Der gezielte Einsatz, mit „Augenmaß“ und Planung von KI im Schwachstellenmanagement, bringt zahlreiche Vorteile, ohne dass man die Kontrolle komplett aus der Hand geben muss. Wir setzen heute bereits KI ein, um unserer Kundschaft ein besseres Produkt bereitzustellen, ganz ohne dass dabei Kundendaten zu den Anbietenden der großen KI Dienste übertragen werden. Unsere „vertrauensvolle KI“ kommt komplett ohne Weitergabe und zentrales Sammeln von Daten aus.

Greenbone: Welche Risiken muss man da beachten?

Geese: Nach dem heutigen Stand der Technik beinhaltet der Einsatz von KI in sicherheitskritischen Bereichen einige Risiken, die es zu begrenzen gilt. Automatisierung bietet hier viele Chancen, aber auch Risiken wie Fehlentscheidungen, neue Angriffsflächen oder unerwünschte Systemeffekte. Eine KI „mit Augenmaß“ kombiniert menschliche und maschinelle Stärken, so dass technologische Vorteile wie Geschwindigkeit und Skalierbarkeit genutzt werden können, ohne das Fachpersonal zu entmachten oder Sicherheitsrisiken einzugehen.

Greenbone und KI

Greenbone setzt auf den gezielten Einsatz von Künstlicher Intelligenz, um Schwachstellen im IT-Bereich effizient zu erkennen und Prioritäten zu unterstützen. Dabei bleibt das Sicherheitsteam jederzeit in der Verantwortung und behält die Kontrolle, besonders bei sensiblen oder komplexen Entscheidungen. Datenschutz steht für uns an oberster Stelle: Kundendaten werden nicht an externe KI-Unternehmen weitergegeben.

Unser Ansatz verbindet die Vorteile moderner Technologien mit menschlichem Urteilsvermögen – für eine zeitgemäße und verantwortungsbewusste Cybersicherheit.

Gern stehen wir für weiterführende Informationen zur Verfügung.