Dieses Jahr werden die IT-Sicherheitsteams mit einer Flut neuer Sicherheitsrisiken überschwemmt. Bei der Behebung von Schwachstellen die Prioritäten richtig zu setzen, ist ein Dauerthema in der IT-Sicherheits- und Risikoanalyse. So müssen täglich neue Nadeln in einem Heuhaufen von Aufgaben gefunden werden. Zu den Faktoren, die dieses Problem noch verschärfen, gehören der Fachkräftemangel in der Cybersicherheit, neuartige Angriffstechniken und die zunehmende Offenlegung von CVEs (Common Vulnerabilities and Exposures).

Um diesem Bedarf an mehr Präzision und Effizienz gerecht zu werden, entstehen aktuell zahlreiche neue Priorisierungsmetriken. Nicht, dass mehr Risikoperspektiven etwas Schlechtes wären, aber die bereits überforderten Verteidigenden befinden sich in einer schwierigen Lage: Sie müssen sich entscheiden, ob sie weitermachen oder innehalten wollen, um den Wert neuer Metriken besser abzuschätzen.

Die im Mai 2025 vom NIST (National Institute of Standards and Technology) veröffentlichte Metrik Likely Exploited Vulnerabilities (LEV; Wahrscheinlich ausgenutzte Schwachstellen) konsolidiert historische Zeitreihen aus EPSS (Exploit Prediction Scoring System) und den Status der Ausnutzung in freier Wildbahn. Dadurch berechnet LEV um unter anderem eine aggregierte Risikobewertung. Dieser Artikel erläutert, was LEV ist und welche zusätzlichen Gleichungen in dem kürzlich veröffentlichten technischen Whitepaper des NIST (NIST CSWP 41) enthalten sind.

Der Grund für LEV (Likely Exploited Vulnerabilities)

LEV verwendet die historische EPSS-Zeitreihe einer CVE, um einen kumulativen Risikowert zu berechnen, der die Wahrscheinlichkeit darstellt, dass sie jemals aktiv ausgenutzt wurde. Aber worin unterscheidet sich dies von EPSS selbst? Ist EPSS, ein Modell aus dem Machine Learning (ML), das fast 1.500 Vorhersagemerkmale enthält, nicht gut genug?

Einige akademische Kritiken haben ergeben, dass EPSS kritische Schwachstellen übersehen kann. Die direkte Beobachtung historischer EPSS-Daten zeigt, dass die Werte für einen sehr kurzen Zeitraum (ein bis zwei Tage) in die Höhe schnellen können. Danach fallen sie meist wieder auf einen moderaten oder niedrigen Ausgangswert zurück. Das ist ein Problem für Sicherheitsverantwortliche, die EPSS einsetzen.

So spiegelt EPSS beispielsweise nicht wider, wie Cyberkriminelle vorgehen. Aus Branchenberichten geht hervor, dass sie Schwachstellen ausnutzen, wann und wo auch immer sie gefunden werden – sogar alte Schwachstellen. Mit anderen Worten: Angreifende verzichten nicht auf eine Schwachstelle, weil sie nicht aktuell ist. Die alleinige Nutzung aktueller EPSS-Werte kann riskant sein – selbst bei kürzlich entdeckten Schwachstellen. Verteidigende können dem begegnen, indem sie in ihrer Risikokalkulation immer den höchsten EPSS-Wert zugrunde legen: Aber eine weitere Schwachstelle bleibt bei den rohen EPSS-Werten bestehen: Statistisch gesehen sollte eine Ansammlung von mäßigen Wahrscheinlichkeitswerten auch eine hohe Wahrscheinlichkeit für das Eintreten eines Ereignisses bedeuten.

LEV behebt diese letzte Einschränkung durch die Berechnung einer kumulativen Wahrscheinlichkeit unter Verwendung der historischen EPSS-Daten der einzelnen CVEs. LEV wendet den üblichen produktbasierten Ansatz zur Berechnung der kumulativen Wahrscheinlichkeit des Eintretens mindestens eines Ereignisses unter mehreren unabhängigen Ereignissen an. Infolgedessen gelten CVEs, die selbst bei maximalem EPSS keine Warnungen ausgelöst haben, unter LEV nun als hochriskant.

Mathematische Variablen und Symbolreferenz

Diese Übersicht erklärt alle Variablen und mathematischen Symbole, die in den Gleichungen verwendet werden.

Variablen-Referenz

Symbol / Funktion

Beschreibung

Verwendet in

v

Eine Schwachstelle (z. B. ein CVE)

Alle Gleichungen

d

Ein Datum ohne Zeitkomponente

Alle Gleichungen

d0

Erstes Datum mit EPSS-Daten für v

Alle Gleichungen

dn

Das Analysedatum (normalerweise heute)

LEV, erwartete Ausnutzung, kombinierte Wahrscheinlichkeit

dkev

Datum der letzten Aktualisierung der KEV-Liste (Known Exploited Vulnerabilities)

KEV Ausgenutzt

LEV (v,d0,dn)

Kumulative Wahrscheinlichkeit der Ausnutzung von Schwachstelle v im Zeitraum d0 bis dn

Alle Gleichungen

EPSS (v,dn)

EPSS-Punktzahl zum Zeitpunkt dn

Komposit-Wahrscheinlichkeit

KEV (v,dn)

1.0 wenn v in KEV-Liste am Datum dn, sonst 0

Komposit-Wahrscheinlichkeit

scopedcves

CVEs mit d(0) ≤ dkev für KEV-Verfolgung

KEV Ausgenutzt

cves

CVEs im Geltungsbereich mit d(0) ≤ dn

Erwartete Ausnutzung

Symbol-Referenz

Symbol

Bezeichnung

Bedeutung

Universeller Quantor

„Für alle“ / „Für jeden“ ähnlich wie eine Programmierschleife

Π

Großes Pi

Eine „Produktnotation“ für wiederholte Multiplikation über eine Folge, ähnlich wie ∑ für wiederholte Addition steht.

Großes Sigma

Ein Summenzeichen für die wiederholte Addition über eine Sequenz.

Element von

„Ist ein Element von“ / „gehört zu“. Bezeichnet die Zugehörigkeit zu einer Menge.

Funktionsweise der LEV-Gleichungen

Die LEV-Metrik wird im „Cybersecurity White Paper 41” (CSWP 41) des NIST als eine untere Grenze der Wahrscheinlichkeit beschrieben, dass eine Schwachstelle ausgenutzt wurde. Sie berechnet die kumulative Wahrscheinlichkeit, dass eine Schwachstelle innerhalb eines bestimmten Zeitfensters mindestens einmal ausgenutzt wurde. Es gibt zwei ähnliche Gleichungen, LEV und LEV2. Die erste wurde optimiert, um die CPU-Last zu verringern.

In beiden Gleichungen, LEV und LEV2, steht jeder Term, der mit der Produktnotation Π multipliziert wird, für die Wahrscheinlichkeit, dass in diesem Zeitfenster keine Schwachstelle ausgenutzt wurde. Man erhält die kumulative Wahrscheinlichkeit, dass nie eine Ausnutzung stattgefunden hat. Subtrahiert man das Ergebnis von 1, erhält man die Wahrscheinlichkeit, dass mindestens eine Ausbeutung während des Zeitfensters stattgefunden hat.

Die beiden LEV-Gleichungen werden im Folgenden beschrieben:

Die leistungsoptimierte LEV-Gleichung

LEV verwendet die historischen EPSS-Werte eines CVE, die alle 30 Tage ermittelt werden (epss(vi, di) ), und eine ausgleichende Gewichtung für Beobachtungszeiträume unter 30 Tagen (dn < 30)

Die im NIST CSWP 41 vorgeschlagene LEV-Gleichung

Die hochauflösende LEV2-Gleichung

LEV2 verwendet die gesamte historische EPSS-Zeitreihe, anstatt alle 30 Tage eine Stichprobe der Werte zu nehmen. LEV2 gewichtet die täglichen Werte, indem es diese durch die Dauer des EPSS-Fensters (30 Tage) teilt. LEV2 erhöht die zeitliche Auflösung und führt zu einer zuverlässigeren Bewertung, da kurze Ausbrüche hoher EPSS-Werte nicht wie bei der oben dargestellten LEV-Gleichung übersprungen werden können. Jeder tägliche EPSS-Wert wird mit 1/30 skaliert, um eine einheitliche Risikodichte über den gesamten Datumsbereich zu erhalten.

Die im NIST CSWP 41 vorgeschlagene LEV2-Gleichung

Die ergänzenden Gleichungen

Dieser Abschnitt stellt zusätzliche Gleichungen aus dem LEV-Whitepaper des NIST vor, samt Aufbau und möglichen Anwendungen.

Berechnung eines zusammengesetzten Risiko-Scores

Die im LEV-Whitepaper des NIST beschriebene ergänzende Metrik für die Wahrscheinlichkeit wählt einfach das stärkste verfügbare Signal aus den drei Ausnutzungsindikatoren EPSS, Einbeziehung in den KEV-Katalog der CISA (Cybersecurity and Infrastructure Security Agency) und LEV aus.

Die im NIST CSWP 41 vorgeschlagene Gleichung für die zusammengesetzte Wahrscheinlichkeit, den „Composite Risk Score“

Durch die Auswahl des aussagekräftigsten Signals unterstützt Composite Probability die Priorisierung von Schwachstellen und reduziert blinde Flecken, bei denen ein Signal unvollständig oder veraltet sein kann. Dies ist besonders wertvoll für die Priorisierung von Abhilfemaßnahmen in großen Unternehmens-Programmen zur Verwaltung von Schwachstellen, bei denen die Entscheidung, was zuerst behoben werden soll, eine kritische Herausforderung darstellt.

Schätzung der Gesamtzahl der ausgenutzten CVEs

Das Whitepaper des NIST schlägt auch eine Methode vor, um die Gesamtzahl der ausgenutzten CVEs während eines bestimmten Zeitfensters zu schätzen und wie man den Umfang eines Verzeichnisses bekannter ausgenutzter Schwachstellen abschätzen kann. 

Die „Expected Exploited“-Berechnung

Die „Expected Exploited“-Metrik ist eine Schätzung der Anzahl der ausgenutzten CVEs innerhalb eines bestimmten Zeitfensters durch einfache Summierung aller LEV-Wahrscheinlichkeiten aus einem Satz von skalierten Schwachstellen. Die Gleichung „Expected Exploited“ wendet einfach die Summe (∑) aller LEV-Wahrscheinlichkeiten für einen Satz von CVEs an, um die Gesamtzahl der wahrscheinlichen Ereignisse zu schätzen. Obwohl sie im NIST CSWP 41 als untere (konservative) Schätzung beschrieben wird, ist es methodisch unüblich, diese einfache Technik als untere Grenze zu betrachten. In der Wahrscheinlichkeitstheorie ist es ein grundlegendes Prinzip, dass die erwartete Anzahl von Ereignissen gleich der Summe der einzelnen Ereigniswahrscheinlichkeiten ist.

Die im NIST CSWP 41 vorgeschlagene „Expected Exploited“-Gleichung

Die KEV Exploited-Berechnung

Die KEV Exploited-Metrik schätzt, wie viele Schwachstellen in einem KEV-Katalog wie dem CISA KEV fehlen. Die Quantifizierung der Lücke zwischen „Expected Exploited“ und „KEV Exploited“ gibt Aufschluss über die potenzielle Untererfassung einer KEV-Liste. Die Gleichung basiert wie die „Expected Exploited“-Berechnung auf der Summierung aller Wahrscheinlichkeiten.

Die in NIST CSWP 41 vorgeschlagene KEV Exploited-Gleichung

Anwendungsbeispiele von LEV

Folgende Beispiele zeigen, wie LEV Schwachstellenmanagement-Programme unterstützen kann. Die ergänzende Composite Probability-Gleichung eignet sich am besten, um den Beitrag von LEV zu einer umfassenderen CVE-Risikoanalyse zu veranschaulichen. Daher verwenden alle nachfolgenden statistischen Beobachtungen die zusammengesetzte Wahrscheinlichkeit, sofern nicht anders angegeben.

Die geschätzte Gesamtzahl der ausgenutzten CVEs

Wenn man alle CVEs seit etwa 1980 (273.979) betrachtet, zeigt die LEV-Metrik „Expected Exploited“, dass 14,6 % aller CVEs (39.925) wahrscheinlich real ausgenutzt wurden. Das impliziert, dass die überwiegende Mehrheit der Ausnutzungsaktivitäten in keiner bekannten KEV-Liste erfasst ist (z. B. enthielt CISA KEV zum Zeitpunkt der Berechnung 1.228). Allerdings berücksichtigt Expected Exploited nicht, wie viele einzelne CVEs bei verschiedenen EPSS-Schwellenwerten aufgedeckt werden können.

Die Anzahl der aufgedeckten Hochrisiko-CVEs

Um den Einfluss von LEV auf die Risikobewertung und Priorisierung in Organisationen zu beurteilen, ist es sinnvoll, die Anzahl der dadurch identifizierten Hochrisiko-CVEs zu betrachten. Das folgende Diagramm zeigt, wie viele CVEs in einer Risikoanalyse bei verschiedenen Schwellenwerten über 50 Prozent der zusammengesetzten Wahrscheinlichkeit sichtbar werden würden.

Die Anzahl der CVEs, die unter Verwendung der Metrik Composite Probability (Zusammengesetzte Wahrscheinlichkeit) auf verschiedenen Wahrscheinlichkeitsstufen auf ein hohes Risiko heraufgesetzt wurden

Visualisierung der Risikomigration mit Composite Probability

Das Sankey-Diagramm vergleicht, wie viele CVEs sich in jeder Risikostufe befinden, wenn die maximale EPSS (links) mit der zusammengesetzten Wahrscheinlichkeit von LEV (rechts) verglichen wird. Da die zusammengesetzte Wahrscheinlichkeit verwendet wird, wandern CVEs in der Regel nicht in niedrigere Risikostufen. Das Diagramm zeigt eine signifikante Migration vom niedrigsten Risikobereich zu höheren Bereichen und einen Anstieg für alle anderen Gruppen, wenn die Composite Probability zur Risikoabschätzung verwendet wird.

Sankey-Diagramm, das die Migration von CVEs zwischen Risikobereichen bei der Verwendung von EPSS und der LEV-Metrik „Composite Probability“ zeigt

Einschränkungen und Kritikpunkte an LEV

Die LEV-Metrik bietet zwar wertvolle Einblicke, dennoch sollten ihre Annahmen und potenziellen Schwächen kritisch betrachtet werden:

  • Das LEV-Whitepaper enthält keine empirische Validierung oder Vergleiche mit anderen statistischen Modellen. Ein frequentistischer Ansatz mit produktbasierter Wahrscheinlichkeit ist jedoch eine bewährte Methode zur Berechnung der kumulativen Wahrscheinlichkeit für eine Reihe unabhängiger Ereignisse.
  • LEV wird als eine untere Wahrscheinlichkeitsgrenze beschrieben. Es fehlen jedoch akademische Belege dafür, dass die im NIST CSWP 41 beschriebenen mathematischen Modelle tatsächlich konservative Schätzungen von Untergrenzen darstellen.
  • LEV ist an sich kein undurchsichtiges Vorhersagesystem, aber es basiert auf EPSS, das kein vollständig öffentliches Modell ist. LEV behebt zwar einige potenzielle Schwachstellen, ist aber von EPSS abhängig. In dem Maße, wie EPSS verbessert wird, wird auch LEV von diesen Verbesserungen profitieren. Zum Beispiel hat EPSS v4 Malware-Aktivitäten und Endpunkt-Erkennungen zu seiner „Grundwahrheit“ der realen Ausnutzung hinzugefügt. Dies reduziert die frühere Verzerrung zugunsten von netzwerkbasierten Schwachstellen.
  • Sicherheitsverantwortliche sollten sich bei der Priorisierung von Schwachstellen nicht zu sehr auf LEV, EPSS oder CVSS verlassen. Zwar sind Beweise für eine aktive Ausnutzung das stärkste Risikosignal, doch kommen diese Beweise oft erst im Nachhinein – zu spät um eine rechtzeitige Reaktion zu ermöglichen.

Zusammenfassung

LEV bietet einige Verbesserungen bei der Schwachstellen-Priorisierung, indem historische EPSS-Signale zu einer kumulativen Ausnutzungswahrscheinlichkeit zusammengefasst werden. Dieser Ansatz erhöht die Sichtbarkeit von CVEs mit einer historischen Dauer und moderaten EPSS-Werten. Die vielleicht nützlichste Kennzahl ist die vorgeschlagene zusammengesetzte Wahrscheinlichkeit, die das stärkste Signal aus LEV, EPSS und dem CISA KEV-Ausnutzungsstatus auswählt.

Künstliche Intelligenz (KI) – und damit die Sicherheit von und mit KI – ist keine Zukunftsmusik mehr. Sie ist unsere Gegenwart. Und sie ist längst fester Bestandteil unserer täglichen Arbeit für mehr IT-Sicherheit. Gleichzeitig bringt sie eine neue Qualität von Risiken mit sich, die wir in der Security-Branche sehr ernst nehmen müssen.

Von Bach zur künstlichen Intelligenz: eine Zeitreise

Mein erster Berührungspunkt mit KI liegt weit zurück. 1979 las ein Freund von mir in jeder freien Minute in einem dicken, weißen Buch: „Gödel, Escher, Bach“. Als Musiker interessierte mich zunächst nur der Bezug zu Johann Sebastian Bach. Bei meinen Versuchen mit „Das Wohltemperierte Klavier“ und seinen Fugen hat es leider nicht sehr geholfen. Aber dafür lernte ich KI kennen.

Der Autor Douglas R. Hofstadter beschreibt in dem Buch, wie komplexes, intelligentes Verhalten aus erstaunlich einfachen Systemen entstehen kann. Die Idee: auf sich selbst verweisende Schleifenstrukturen, die Bedeutungsebenen schaffen – ob in logischen Beweisen, Zeichnungen oder musikalischen Kompositionen.

Bachs Fugen enthalten immer wieder Melodien, die sich selbst enthalten und die dabei in Variationen gleichzeitig gespielt werden. Dadurch entsteht eine neue musikalische Ebene, in der die einzelne Melodie immer wieder scheinbar verschwindet, aber eigentlich immer da ist. Also ein wenig so wie es für uns auch bei großen Sprachmodellen und generativer KI ist: Das Einzelne verschwindet in einem neuen großen Ganzen.

Wenn komplexe Strukturen auf höherer Ebene Bedeutung erzeugen und wir das dann auch mit digitalen Werkzeugen abbilden können, nennen wir das Ganze künstliche Intelligenz. Bei Hofstadter sind es regelbasierte Systeme. Unsere aktuellen KI-Systeme tun dies in Form von neuronalen Netzen, die durch das Zusammenwirken von Milliarden Parametern scheinbar „intelligente“ Leistungen hervorbringen. Ähnlich wie bei Vogelschwärmen, in Ameisenkolonien oder an der Börse entsteht emergentes Verhalten: Wir nutzen Systeme, die wir selbst nicht mehr vollständig durchschauen, deren Ergebnisse uns aber plausibel und nützlich genug erscheinen, um sie einzusetzen.

Der Balanceakt zwischen Nützlichkeit und Kontrolle

Nach einer jahrzehntelangen Anlaufzeit ist der Einsatz künstlicher Intelligenz in den letzten Jahren sehr schnell sehr selbstverständlich geworden. Ob wir ihre tatsächliche Leistungsfähigkeit bereits weitgehend ausgeschöpft haben oder noch ganz am Anfang einer exponentiellen Kurve stehen, ist offen. Wir sind auf dem kritischen Pfad von einfachen Dialogfunktionen zu teilautonomen oder sogar autonomen Systemen. Hier begegnet technische Effizienz (z. B. Reaktionszeit oder Verlusttoleranz) in einem natürlichen Spannungsverhältnis den menschlichen Qualitäten wie Urteilsvermögen, Verantwortlichkeit und Fähigkeit zu begründbaren Entscheidungen. Und weil wir KI-Systeme immer mächtiger machen, stellt sich immer dringender die Frage: Wie sicher, wie angreifbar und wie vertrauenswürdig sind diese wirklich?

Vertrauen

Ebenso wie bei unseren Partnerinnen und Partnern, im Kreis von Kolleginnen und Kollegen und bei Menschen allgemein können wir auch bei der KI ihre internen Prozesse nicht gut nachvollziehen. Das macht KI nicht nur schwer prüfbar, sondern auch besonders anfällig für gezielte Manipulation, sei es durch adversariale Angriffe oder subtile Eingabeverzerrungen. Aber KI nicht zu nutzen ist natürlich auch keine Lösung. Es hilft alles nichts: Wir müssen damit klarkommen. Wir können nur vertrauenswürdige Werkzeuge und Prozesse etablieren, die uns gut genug schützen.

Es liegt dabei in der Natur der Sache, dass wir uns mit statistischen Wahrscheinlichkeiten anstelle von beweisbaren Wahrheiten, die wir nachvollziehen können, begnügen müssen. In der Praxis geht das meistens gut, aber halt nicht immer. Wo Vertrauen nicht durch Verstehen, sondern durch Gewöhnung entsteht, fehlt im Ernstfall die Grundlage für Kontrolle. Es kann dann zu Missverständnissen darüber kommen, was eine KI leisten kann und was nicht. Es entstehen dann ganz ernstgemeinte Vorschläge, in Ermangelung von verfügbarem Fachpersonal Atomkraftwerke einfach durch KI steuern zu lassen. Das machen wir dann doch lieber nicht.

Der mögliche technische Schutz von KI-Systemen ist vermutlich ausgereifter als der Schutz vor solchen Ideen. Wie sieht es denn überhaupt beim technischen Schutz von KI-Systemen aus? Ein paar Antworten dazu:

  1. KI-Systeme sind auch nur Soft- und Hardware. Die klassische IT-Sicherheitsarchitektur bleibt relevant – auch für KI. Das ist einerseits etwas schrecklich, andererseits können wir wenigstens gut auf Sicherheit prüfen.
  2. Es gibt erste KI-spezifische Schutzmechanismen, die zumindest einfache Angriffe wie Prompt Injection etwas entschärfen können. Content-Filtering und Moderationssysteme können vor toxischen oder unerwünschten Ausgaben schützen.
  3. Mithilfe einer Kombination aus statistischen und regelbasierten Prüfungen lassen sich KI-Systeme überwachen.
  4. Durch kleinere Modelle wie Small Language Models (SLMs) können wir die Angriffsfläche verringern. Große Modelle wie ChatGPT, Claude oder Gemini sind zwar mächtig, aber besonders schwer kontrollierbar und prüfbar. Und sie sind sehr groß, praktisch nicht transportabel, extrem energiehungrig und sehr teuer im Unterhalt. Dafür gibt es immer bessere und schlauere Lösungen.

Je spezifischer ich eine Aufgabe eingrenzen kann, desto weniger brauche ich ein Allzweck-LLM – und desto besser kann ein SLM eingesetzt werden: SLMs lassen sich besser überblicken, transparenter betreiben, lokal härten und effizienter absichern. Das sind keine Allheilmittel, aber wichtige Bausteine für einen verantwortungsvollen KI-Einsatz. Man könnte fragen: Warum kann sich diese KI, wenn sie schon so viel kann, nicht einfach selbst schützen? Warum bauen wir keine Sicherheits-KI für die KI?

Warum sich KI nicht einfach selbst absichern kann

Schon 1937 hat Alan Turing „On Computable Numbers“ veröffentlicht, eine mathematische Beschreibung dessen, was er eine universelle Maschine nannte, eine Abstraktion, die im Prinzip jedes mathematische Problem lösen kann, das ihr in symbolischer Form vorgelegt wird. Das Entscheidungsproblem zeigte jedoch schon ganz am Anfang die Grenzen des maschinellen Denkens auf. Turing bewies, dass es keine allgemeine Methode gibt, um das Verhalten beliebiger Programme vollständig vorherzusagen. Das gilt auch, oder sogar ganz besonders, für die KI von heute.

In jedem hinreichend mächtigen formalen System gibt es wahre Aussagen, die nicht beweisbar sind. Damit sind wir bei Gödel und seinem Unvollständigkeitssatz. KI kann und wird immer mächtiger werden, auch wenn sie nie vollständig vorhersagbar oder verstehbar sein wird. Natürlich hält uns das nicht davon ab, KI-Systeme zu nutzen.

Eine Superintelligenz jedoch wird es in absehbarer Zeit nicht geben. Wir können keine garantiert fehlerfreie KI bauen, und KI kann das auch nicht. Sie ist interessant und bisweilen faszinierend, aber sie ist weder ein Allheilmittel noch ein Mysterium. Unsere Aufgabe ist es daher nicht, Risiken auszuschließen, sondern sie zu erkennen, zu begrenzen und verantwortungsvoll zu tragen. Pragmatismus ist gefragt: Wir müssen die Chancen nutzen und gleichzeitig die Risiken managen.

Optimistische Stimmen sagen: Das kriegen wir hin.

Pessimistische Stimmen sagen: Das gibt eine Katastrophe.

Pragmatistische Stimmen sagen: Wir müssen da durch.

Unternehmen wiegen sich in „trügerischer Sicherheit“, warnen BSI und TÜV – was angesichts anhaltender Bedrohungen wie eine überraschende Erkenntnis klingt, untermauert eine aktuelle Studie zur Cybersicherheit in Unternehmen.

Viele Firmen unterschätzen die Lage, überschätzen die eigenen Fähigkeiten und tun zu wenig zu ihrem eigenen Schutz. Zu diesem und anderen Ergebnissen kommen der TÜV-Verband (Technischer Überwachungsverein) und das Bundesamt für Sicherheit in der Informationstechnologie BSI. Nur die Hälfte der Befragten kenne NIS-2, was angesichts der davon neuerdings betroffenen 29000 zusätzlichen Betrieben ein Alarmsignal sei. Gleichzeitig halten über 90 Prozent die eigene Sicherheit für gut oder sehr gut, für ein Viertel spielt IT-Sicherheit erschreckenderweise nur eine Nebenrolle.

BSI-Chefin besorgt

BSI-Chefin Claudia Plattner zeigt sich dementsprechend besorgt und warnt, es liege offenbar noch viel Arbeit vor Deutschland. Sie verweist auch auf den Cyber Resilience Act der EU , der Mindestvoraussetzungen für vernetzte Produkte in Europa vorschreibe. Laut TÜV sei das Problembewusstsein zwar gestiegen, dennoch seien viele Unternehmen nicht ausreichend vorbereitet.

Dr. Michael Fübi, Präsident des TÜV-Verbands, und Claudia Plattner, BSI-Präsidentin bei der Vorstellung der Studie, Quelle: BSI

Dr. Michael Fübi, Präsident des TÜV-Verbands, und Claudia Plattner, BSI-Präsidentin bei der Vorstellung der Studie, Quelle: BSI

Vier Prozent mehr Opfer von Cyberangriffen

In der 58 Seiten umfassenden Studie finden sich zahlreiche besorgniserregende Erkenntnisse. Die Zahl der Unternehmen, die Opfer eines Cyberangriffs wurden, ist im vergangenen Jahr um vier Prozent gestiegen, sodass nun jedes siebte Unternehmen betroffen ist. In fast allen Fällen (84 %) erfolgte der Einbruch über Phishing. Mehr und mehr Angreifende nutzen KI-gestützte Angriffstechniken, während auf der Seite der Verteidigung kaum KI zum Einsatz kommt (51 % vs. 10 %). 7 von 10 Befragten halten Sicherheitsnormen für wichtig, aber nur ein Fünftel setzt sie selbst um.

„Cybersicherheit in deutschen Unternehmen“ – die TÜV Cybersecurity Studie 2025

Der TÜV-Verband fordert deshalb von der Politik, Cybersicherheit zu priorisieren und in die übergeordnete Sicherheitsstrategie aufzunehmen. Zudem sollten Kompetenzen klarer geregelt werden. NIS2 und CRA müssten entgegen allen bisherigen Verzögerungen „zügig auf den Weg“ gebracht werden.

Empfehlungen für Firmen

Unternehmen sollen, so der TÜV, Bedrohungen ernst nehmen und regelmäßig qualifizierte Risikoanalysen durchführen. Eine geeignete Cyberstrategie ist dabei unerlässlich, ebenso wie Sicherheitsrichtlinien mit messbaren Zielen, klaren Verantwortlichkeiten und Maßnahmenkatalogen.

Unterschiede zwischen großen und kleinen Unternehmen

Als auffällig erweist sich in der Studie der Unterschied je nach Unternehmensgröße. Während 95 Prozent der Firmen mit mehr als 250 Mitarbeitern der IT-Sicherheit einen hohen Stellenwert beimessen, tun dies nur zwei Drittel der Firmen bis 50 Mitarbeiter. Nur bei der Selbsteinschätzung sind sich groß und klein einig: über 90 % halten sich für gut geschützt, egal wie groß die Firma ist. Aber fast die Hälfte der großen Unternehmen (41 %) weiß um das große Risiko in der Lieferkette, während nur 21 Prozent der kleinen Firmen diese Einschätzung teilen. 78 Prozent der Unternehmen unter 50 Beschäftigten glaubt übrigens auch nicht, dass die Lieferkette ein Risiko für einen Cyberangriff darstellt.

Herkunft unbekannt

Die meisten Firmen fürchten Angriffe mit kriminellen oder staatlichen Hintergründen. Bedrohungen durch internes Personal werden hingegen vernachlässigt. Nur neun Prozent konnten Angriffe einer regionalen Quelle zuordnen. Von diesen stammten sechs Prozent aus China, erklärten die mehr als 500 Befragten.

Investitionen in Cybersicherheit

27 Prozent der Firmen haben auch im letzten Jahr das Budget für IT-Sicherheit erhöht, und 15 Prozent haben zusätzliches Fachpersonal eingestellt – etwas niedrigere Werte als im Vorjahr. Sowohl mehr als auch weniger Cloud-Nutzung wird in Unternehmen als Lösungsansatz ausprobiert (jeweils etwa 20 %). Auch Pentesting und Notfallübungen rangieren mit je um 25 % auf den hinteren Plätzen.

Überwiegend investiere man in Hardware-Updates, neue Software für Cybersecurity und Maßnahmen für vernetzte Systeme – Schwerpunkte, die auch durch die spezialisierten Lösungen von Greenbone adressiert werden.

Fazit: Unspezifische Bedrohung, bekannte Methoden, lasche Sicherheitsdisziplin

Wer die Ergebnisse der Studie betrachtet, kommt zu dem Ergebnis: Es ist zwar nicht klar, woher die Angriffe kommen, die erfolgreichen Methoden der Angriffe sind jedoch zu erkennen. Auch liegt eine Asymmetrie beim Technologieeinsatz vor, wie das Beispiel KI zeigt.

Dass knapp 80 Prozent der Befragten zugeben, Sicherheitsnormen nur bedingt umzusetzen, dürfte nicht nur für BSI, Politik und Sicherheitsexperten ein Warnsignal sein. Wenig überraschend leitet der TÜV-Verband daraus die Anforderung an die Bundesregierung ab, die Cybersicherheit voranzubringen und Regulierungen zügig umzusetzen. Das wünscht sich ja auch die Mehrheit der Befragten.

Der Mai 2025 war ein ereignisreicher Monat für Cybersecurity-Nachrichten, darunter mehrere große Sicherheitsverletzungen und neue kritische Schwachstellen. Der Greenbone-Blog hat bereits über einige wichtige Ereignisse berichtet, z. B. über neue, aktiv ausgenutzte Sicherheitslücken in SAP Netweaver, Commvault Command Center und Ivanti EPMM. Insgesamt wurden dem CVE-Programm (Common Vulnerabilities and Exposures) von MITRE 4.014 neue Schwachstellen hinzugefügt. Greenbone fügte dem Enterprise Feed über 2.500 neue Schwachstellentests hinzu, von denen viele mehrere CVEs erkennen können.

Im Threat Report für Mai 2025 stellen wir einige der riskantesten neuen CVEs vor, die in diesem Monat veröffentlicht wurden. Außerdem gehen wir auf eine staatlich unterstützte Cyber-Kampagne ein, die sich auf Technologieunternehmen auf der ganzen Welt auswirkt, und untersuchen, wie KI das Cyber-Risiko durch intelligente Automatisierung auf allen Stufen der Cyber-Kill-Chain erhöhen kann.

Der unvermeidliche, KI-gestützte Angriffszyklus: hacken, reinigen, wiederholen

KI ist heute ein Multiplikator im Lebenszyklus von Cyberangriffen. Bedrohungsakteure nutzen KI auf zwei grundlegende Arten: Sie beschleunigen die Umwandlung von öffentlichem Wissen über Schwachstellen in Exploit-Tools und sie erstellen überzeugendere Social-Engineering-Inhalte. Forschende haben eine lange Liste weiterer Fähigkeiten vorgeschlagen, die KI weiter optimieren kann, darunter die Automatisierung von Angriffen beim ersten Zugang und Command-and-Control-Verfahren (C2).

Selbst ohne KI können erfahrene Hacker innerhalb weniger Minuten nach dem ersten Zugang sensible Informationen herausfiltern. Wenn LAN-seitig im Netzwerk eines Opfers erhebliche Schwachstellen bestehen, ist das manuelle Einbringen von Ransomware ein Kinderspiel. Im Jahr 2017 hat WannaCry gezeigt, dass Ransomware-Angriffe automatisiert und sogar wie Würmer genutzt werden können, die sich autonom zwischen Systemen bewegen.

Laut dem jüngsten Gen Threat Report von Norton hat der Datendiebstahl im ersten Quartal 2025 um 186 % zugenommen. Wie im Threat Report vom April 2025 beschrieben, sind die Sammelklagen im Zusammenhang mit Datendiebstahl innerhalb von sechs Jahren um 1.265 % rasant gestiegen. Wenn die Cyber-Hygiene eines Opfers nicht regelkonform ist, sind Vergleiche in Millionenhöhe die Regel. Allein die Top 10 der Sammelklagen wegen Datenschutzverletzungen beliefen sich im Jahr 2023 auf über 515 Millionen US-Dollar, wobei der größte Vergleich mit 350 Millionen US-Dollar T-Mobile betraf. Die gestohlenen Daten werden oft im Dark Web verkauft und dienen als Treibstoff für weitere Cyberangriffe. Wir müssen davon ausgehen, dass KI in naher Zukunft in allen Phasen der Cyber-Kill-Chain vollständige Autonomie erreichen wird, was zu einem autonomen Teufelskreis aus hacken, reinigen und wiederholen führen wird.

Russischer GRU nimmt Logistik- und Technologieunternehmen ins Visier

Die CISA (Cybersecurity and Infrastructure Security Agency) und Verteidigungseinrichtungen aus neun anderen Ländern haben vor einer auf Cyberspionage ausgerichteten Kampagne gewarnt, die vom 85. Main Special Service Center (85. GTsSS) des russischen Generalstabs (GRU), der militärischen Einheit 26165, durchgeführt wird. Diese ist unter verschiedenen Decknamen bekannt, darunter die bekannten FancyBear und APT28.

Der vollständige Bericht beschreibt detailliert die Taktiken, Techniken und Verfahren (TTP), die bei der Kampagne zum Einsatz kamen, darunter Reconnaissance [TA0043], Brute-Force-Angriffe [T1110.003] und Spearphishing zur Erlangung von Zugangsdaten sowie zur Verbreitung von Malware [T1566], die Ausnutzung von Vertrauensverhältnissen, um Zugang zu erlangen [T1199], Proxy-Angriffe über kompromittierte Geräte [T1665] und die Ausnutzung bekannter Softwareschwachstellen – sowohl für den Erstzugang [T1190], als auch für die Ausweitung von Berechtigungen [T1068]. Die schiere Vielfalt der Angriffstechniken deutet auf eine hochentwickelte Bedrohung hin.

Die Kampagne zielt auf eine breite Palette von SOHO-Geräten (Small Office/Home-Office), Microsoft Outlook, RoundCube Webmail und WinRAR sowie auf nicht veröffentlichte CVEs in anderen, vom Internet aus zugänglichen Infrastrukturen, einschließlich Unternehmens-VPNs und SQL-Injection-Fehlern. Greenbone enthält Erkennungstests für alle im Bericht genannten CVEs. Zu diesen CVEs gehören:

  • CVE-2023-23397 (CVSS 9.8): Eine Schwachstelle für die Ausweitung von Privilegien in Microsoft Outlook, die die Wiedergabe von erfassten Net-NTLMv2-Hashes ausnutzt.
  • CVE-2020-12641 (CVSS 9.8): Ermöglicht Angreifenden die Ausführung von beliebigem Code über Shell-Metazeichen in einer Roundcube-Webmail-Konfigurationseinstellung für `im_convert_path` oder `im_identify_path`.
  • CVE-2020-35730 (CVSS 5.0): Ein XSS-Fehler in Roundcube Webmail über eine einfache Text-E-Mail-Nachricht, die eine JavaScript-Link-Referenz enthält.
  • CVE-2021-44026 (CVSS 6.1): Eine SQL-Injection-Sicherheitslücke in Roundcube über die Suche oder `search_params`.
  • CVE-2023-38831 (CVSS 7.8): Ermöglicht Angreifenden die Ausführung von beliebigem Code, wenn Nutzende versuchen, eine gutartige Datei innerhalb eines ZIP-Archivs anzuzeigen.

DragonForce Ransomware breitet die Schwingen aus

DragonForce entstand Mitte 2023 und wandelte sich von einem Hacktivisten-Kollektiv zu einem finanziell motivierten RaaS-Unternehmen (Ransomware-as-a-Service). Im Jahr 2025 hat sich DragonForce als eine der größten Bedrohungen im Ransomware-Ökosystem etabliert.

DragonForce-Ransomware-Angriffe betrafen die folgenden Länder:

  • Vereinigten Staaten – 43 bestätigte Vorfälle
  • das Vereinigte Königreich – einschließlich der jüngsten Einbrüche bei Marks & Spencer, Co-op und Harrods im Mai 2025
  • Saudi-Arabien – ein Datenleck bei einer großen Baufirma in Riad
  • Australien – z. B. Yakult Australia
  • Singapur – Coca-Cola-Geschäfte
  • Palau – ein Einbruch in die Regierung im März 2024
  • Kanada – unter den fünf am häufigsten angegriffenen Ländern
  • Indien, das insbesondere im letzten Monat ebenfalls verstärkt ins Visier genommen wurde.

Zu den Kampagnen gehörte die Ausnutzung von SimpleHelp Remote Monitoring and Management (RMM) [1], Confluence Server und Data Center [2], Log4Shell (auch bekannt als Log4J), Microsoft Windows-Schwachstellen sowie verschiedener Schwachstellen in Ivanti-Produkten [3]. Greenbone bietet mehrere aktive Prüf- und Versionserkennungstests für alle in DragonForce-Kampagnen identifizierten CVEs.

Die Ausnutzung der folgenden Schwachstellen durch DragonForce sind bestätigt:

Im Einklang mit der Angriffsstrategie anderer bekannter Ransomware-Akteure ist bekannt, dass DragonForce neben dem Ausnutzen von Schwachstellen, die für die Öffentlichkeit zugänglich sind, auch andere Techniken einsetzt. Dazu zählen unter anderem Phishing-E-Mails, Diebstahl von Credentials, Brute-Force- und Credential-Stuffing-Angriffe auf exponierte Dienste sowie Remote-Management-Tools (RMM) wie AnyDesk, Atera und TeamViewer für Persistenz und laterale Bewegungen. Daher benötigen Unternehmen umfassende Cybersicherheitsprogramme, die Schulungen zur Sensibilisierung der Nutzenden umfassen, um Social-Engineering-Angriffe zu verhindern sowie regelmäßige Penetrationstests, um reale gegnerische Aktivitäten zu simulieren.

CVE-2025-32756: Stack-basierte Buffer-Owerflow-Schwachstelle in mehreren Fortinet-Produkten

CVE-2025-32756 (CVSS 9.8), veröffentlicht am 13. Mai 2025, ist eine kritische, Stack-basierte Buffer-Overflow-Schwachstelle [CWE-12], die mehrere Fortinet-Produkte betrifft. Die Schwachstelle ermöglicht entfernten, nicht authentifizierten Angreifenden die Ausführung von beliebigem Code über manipulierte HTTP-Cookies. Sie wird aktiv ausgenutzt – in erster Linie gegen FortiVoice-Systeme – und steht in Verbindung mit Angriffen, bei denen Malware eingesetzt wird, Anmeldedaten mithilfe von Cron-Jobs gestohlen und Netzwerke ausgekundschaftet werden. Details zum Proof-of-Concept sind öffentlich verfügbar, und es wurde eine vollständige technische Analyse veröffentlicht, die den Risikofaktor erhöht.

Fortinet-Schwachstellen haben eine historisch hohe Konversionsrate für Ransomware-Angriffe. Seit Ende 2021 wurden insgesamt 18 Schwachstellen in Fortinet-Produkten in die KEV-Liste (Known Exploited Vulnerabilities) der CISA aufgenommen – 11 davon werden bekanntermaßen von Ransomware-Betreibern ausgenutzt. Neben der CISA haben auch mehrere andere nationale CERT-Einrichtungen Warnungen herausgegeben, darunter das CERT-EU, das Centre for Cybersecurity Belgium (CCB) und das deutsche CERT-BUND.

Die Ursache ist eine fehlende Längen-Überprüfung in der Funktion `cookieval_unwrap()` von libhttputil.so. Ein bösartiger AuthHash-Cookie kann den Speicher so beschädigen, dass die Rücksprungadresse kontrolliert werden kann, sodass ausführbare Dateien auf Prozessebene manipuliert werden können. Der Greenbone Enterprise Feed bietet einen Schwachstellentest zur Erkennung betroffener Produkte und fast 1.000 weitere Tests zur Erkennung anderer Schwachstellen in Fortinet-Produkten.

CVE-2025-32756 betrifft Dutzende von Firmware-Versionen diverser FortiNet Produkte, darunter:

  • FortiVoice (6.4.0 – 7.2.0)
  • FortiMail (7.0.0 – 7.6.2)
  • FortiNDR (1.1-7.6.0)
  • FortiRecorder (6.4.0 – 7.2.3)
  • alle Versionen von FortiCamera 1.1 und 2.0 sowie 2.1.0 – 2.1.3

Fortinet rät, sofort auf die neuesten korrigierten Versionen zu aktualisieren. Wenn ein Patch nicht möglich ist, sollten Nutzende die HTTP/HTTPS-Admin-Schnittstelle deaktivieren, um erfolgreiche Angriffe zu verhindern.

Drei SysAid-Schwachstellen jetzt mit CVEs und öffentlichen PoCs

Im Mai wurden drei Schwachstellen mit kritischem Schweregrad bekannt, die die On-Premises SysAid IT Service Management (ITSM)-Plattform betreffen und die so miteinander verkettet werden können, dass unauthentifizierte Remote Code Execution (RCE) möglich ist. Vollständige technische Details und ein Proof-of-Concept (PoC) wurden von watchTowr veröffentlicht. In Anbetracht der Tatsache, dass SysAid-Schwachstellen in der Vergangenheit bereits von Ransomware-Betreibern angegriffen wurden, sind diese Schwachstellen besonders risikoreich.

CVE-2025-2775, CVE-2025-2776 und CVE-2025-2777 (jeweils CVSS 9.3) sind nicht authentifizierte XML External Entity (XXE) [CWE-611]-Schwachstellen in den Funktionen Checkin, Server URL bzw. lshw. Sie alle ermöglichen die Übernahme eines Administrationskontos und das Lesen beliebiger Dateien auf dem System des Opfers. SysAid On-Prem Versionen ≤ 23.3.40 sind betroffen. Bemerkenswert ist, dass die Fehler vom Hersteller im März zwar gepatcht, aber keine CVE-IDs reserviert oder ausgegeben wurden. Diese Art von Szenario trägt zu einer undurchsichtigen Bedrohungslandschaft für Software-Anwendende bei, was die Transparenz verringert und das operative Schwachstellenmanagement erschwert. Greenbone bietet Erkennungstests für alle oben genannten CVEs.

SysAid ist weltweit vertreten mit über 10.000 Kunden in 140 Ländern, darunter Unternehmen wie Coca-Cola, Panasonic, Adobe und LG. Im Vergleich zu größeren Wettbewerbern wie ServiceNow oder Jira Service Management hat SysAid zwar einen geringeren Anteil am ITSM-Markt, bleibt aber dennoch eine beliebte Lösung für mittelständische Unternehmen.

CVSS 10 in Cisco IOS XE Wireless Controller

CVE-2025-20188 ist eine neue Sicherheitslücke mit kritischem Schweregrad (CVSS 10), die im Mai 2025 veröffentlicht wurde. Die Flaggschiff-Plattform von Cisco, die Catalyst 9800-Serie, ist von CVE-2025-20188 betroffen. Es ist zwar noch nicht bekannt, ob die Schwachstelle aktiv ausgenutzt wird, aber es ist schon jetzt ein vollständiger technischer Überblick verfügbar, der weniger erfahrenen Bedrohungsakteuren einen Vorsprung verschafft.

Die Hauptursache der Schwachstelle ist ein fest einprogrammiertes JSON-Web-Token (JWT), das es Angreifenden ermöglichen könnte, Dateien hochzuladen, Path-Traversal-Angriffe und beliebige Befehle mit Root-Privilegien über speziell gestaltete HTTP-Anfragen auszuführen. Insbesondere werden hartcodiertes Fallback-Secret – der String `notfound` – verwendet, um die Authentizität eines JWTs zu überprüfen, wenn `/tmp/nginx_jwt_key` nicht vorhanden ist.

Obwohl dieser Key zu bestimmten Zeiten generiert werden kann, z. B. wenn sich ein Administrator bei der Verwaltungskonsole anmeldet, kann er gelegentlich fehlen, z. B. unmittelbar nach einem Neustart des Geräts oder eines Dienstes.

Außerdem betrifft die Schwachstelle nicht alle HTTP-Endpunkte, sondern nur die Out-of-Band Access Point (AP) Image Download-Funktion der Cisco IOS XE Software für WLAN-Controller (WLCs). Während Cisco in einem Sicherheitshinweis behauptet, dass dieser Dienst nicht standardmäßig aktiviert ist, fanden Horizon.ai-Forschende heraus, dass er es doch war. Daher gibt es zwar mehrere Bedingungen, die für die Ausnutzbarkeit von CVE-2025-20188 benötigt werden, aber wenn diese Bedingungen gegeben sind, ist die Ausnutzung trivial und betrifft wahrscheinlich viele Unternehmen.

Cisco hat einen Sicherheitshinweis veröffentlicht, der den betroffenen Nutzenden rät, entweder auf die gepatchte Version zu aktualisieren oder den Out-of-Band AP Image Download zu deaktivieren. Der Greenbone Enterprise Feed enthält einen Versionserkennungstest zur Identifizierung betroffener Geräte und zur Überprüfung der Patch-Level.

Zusammenfassung

Der Mai 2025 brachte eine Flut von kritischen Schwachstellen, größeren Sicherheitsverletzungen und eskalierenden Aktivitäten von Nationalstaaten. Es ist wichtig, sich vor Augen zu halten, dass KI-gestützte Angriffszyklen zur Realität werden. Die chaotische und dringliche Cybersicherheitslandschaft wird sich in absehbarer Zeit nicht entspannen.

Neue, aktiv ausgenutzte Schwachstellen in Cisco-, Fortinet- und SysAid-Produkten zwingen die Unternehmen dazu, wachsam zu sein und kontinuierliche Erkennungsmaßnahmen mit anschließender Priorisierung und Schadensbegrenzung durchzuführen.

Die Greenbone-Abdeckung für Unternehmen hilft Sicherheitsteams, Schwachstellen zu erkennen, die Bedrohungsakteure finden können, um in einer sich schnell verändernden Bedrohungslandschaft die Nase vorn zu haben.

Microsoft Windows ist nach wie vor das am weitesten verbreitete Desktop-Betriebssystem in Unternehmensumgebungen – und gleichzeitig mit am häufigsten von Angreifern ins Visier genommen. Unsichere Konfigurationen sind eine der Hauptursachen für Sicherheitsverletzungen [1][2][3] und werden häufig ausgenutzt, um sich ersten Zugriff zu verschaffen [TA0001], Berechtigungen zu erweitern [TA0004], Anmeldedaten zu stehlen [TA0006], dauerhaften Zugriff zu erlangen [TA0003] und sich innerhalb eines Netzwerks seitlich zu bewegen [TA0008]. Viele nationale Cybersicherheitsbehörden empfehlen Unternehmen weiterhin nachdrücklich, Richtlinien zur Stärkung der Basiskonfigurationen von Betriebssystemen (OS) zu erlassen [4][5][6][7][8].

Die Sicherung von Windows 11-Systemen erfordert mehr als nur das Patchen bekannter Schwachstellen. IT-Abteilungen sollten zunächst sicherheitsgehärtete Basis-Images von Windows bereitstellen und deren Konfiguration regelmäßig überprüfen. Dazu müssen viele versteckte oder oft übersehene Einstellungen von Microsoft Windows angepasst und einige Funktionen vollständig deaktiviert werden. Zu den gehärteten Sicherheitskontrollen gehören die Durchsetzung strenger Richtlinien für Passwörter und Kontosperrungen, die Deaktivierung unnötiger Systemdienste wie Remote Registry, die Anwendung von Anwendungskontrollregeln über AppLocker, die Konfiguration erweiterter Überwachungsrichtlinien zur Überwachung der Systemaktivitäten und vieles mehr. 

Im Einklang mit diesen IT-Sicherheitszielen für Unternehmen ist Greenbone stolz darauf, die Aufnahme des CIS Microsoft Windows 11 Enterprise Benchmark v3.0.0 Level 1 (L1) Audits in die Compliance-Funktionen bekannt zu geben. Mit dieser neuesten Erweiterung können unsere Enterprise-Feed-Kunden ihre Windows 11-Konfigurationen anhand des CIS-Compliance-Standards überprüfen. Damit erweitert Greenbone das wachsende Arsenal an CIS-Compliance-Richtlinien, darunter Google Chrome, Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows, Linux und Docker [1][2]. Hier die neuesten Funktionen zur Schwachstellenerkennung von Greenbone:

Greenbone erweitert CIS Microsoft Windows 11 Enterprise Benchmark

Der CIS Microsoft Windows 11 Enterprise Benchmark v3.0.0 L1 ist jetzt im Greenbone Enterprise Feed verfügbar. Dieser Benchmark definiert einen umfassenden Satz von Sicherheitskonfigurationen, die darauf ausgelegt sind, Windows 11 Enterprise gemäß den Best Practices der Branche zu sichern – angefangen bei Gruppenrichtlinien und Registrierungshärtung bis hin zu integrierten Funktionsbeschränkungen. Mit dieser neuen Ergänzung macht es Greenbone einfacher, Fehlkonfigurationen von Microsoft Windows zu identifizieren, bevor Angreifer sie ausnutzen können.

Unser Enterprise-Schwachstellen-Feed nutzt Compliance-Richtlinien, um Tests zur Überprüfung jeder automatisierbaren CIS L1-Anforderung durchzuführen. Diese Tests sind in Scan-Konfigurationen gruppiert, sodass Sicherheitsteams gezielte Untersuchungen für ihre gesamte Windows 11-Flotte durchführen können. Unabhängig davon, ob Sie interne Sicherheitsvorschriften oder gesetzliche Rahmenbedingungen einhalten müssen, bestätigt die Prüfung von Greenbone Ihre Windows 11 Enterprise-Einstellungen und stellt sicher, dass die Systeme gesperrt und veraltete oder riskante Funktionen deaktiviert sind.

Windows-Sicherheit: von größter Bedeutung

Microsoft Windows spielt eine wichtige Rolle in IT-Umgebungen von Unternehmen und dient als Rückgrat für Endgeräte, Server und Domäneninfrastrukturen. Diese Allgegenwärtigkeit macht es jedoch auch zu einem bevorzugten Ziel. Unsichere Windows-Konfigurationen können die Tür für Remote Code Execution (RCE), den Diebstahl von Anmeldedaten und die Ausweitung von Berechtigungen öffnen. Eine schwerwiegende Cybersicherheits-Verletzung kann zur vollständigen Kompromittierung der Domäne, zu Ransomware-Angriffen, zum Verlust des Kundenvertrauens, zu Bußgeldern und sogar zu kostspieligen rechtlichen Schritten wie Sammelklagen führen, wenn Benutzerdaten offengelegt werden.

In den letzten Jahren haben nationale Cybersicherheitsbehörden – darunter das deutsche BSI [9], die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) [10] und das Canadian Centre for Cyber Security [11] sowie weitere [12][13] – Warnungen herausgegeben, in denen sie die Notwendigkeit betonen, die Sicherheitskonfigurationen von Betriebssystemen zu verbessern und veraltete Funktionen zu deaktivieren, die von Angreifern regelmäßig ausgenutzt werden. Die zunehmende Häufigkeit und Raffinesse der Angriffe durch böswillige Akteure unterstreichen einmal mehr die Notwendigkeit einer proaktiven Windows-Sicherheit.

Fehlkonfigurationen in Windows können eine Kettenreaktion auslösen und sowohl das lokale System als auch das gesamte Netzwerk gefährden. Deshalb müssen Maßnahmen zur Absicherung über das Patchen von Schwachstellen hinausgehen und ein robustes Konfigurationsmanagement umfassen. Die neue CIS Windows 11 Enterprise-Compliance-Richtlinie von Greenbone bietet Verteidigern die Tools, die sie benötigen, um die Widerstandsfähigkeit gegen viele kritische IT-Sicherheitslücken zu stärken.

Wie verbessert der CIS Windows 11 Benchmark die Cybersicherheit?

Der CIS Microsoft Windows 11 Enterprise Benchmark bietet einen strukturierten Ansatz zur Sicherung von Microsoft Windows-Endpunkten. Er definiert Konfigurationseinstellungen, die für unbefugten Zugriff, Missbrauch von Berechtigungen und Systemkompromittierung verwendet werden könnten. Der Benchmark überprüft eine Vielzahl von Richtlinien, darunter Kontosicherheit, Systemdienste, Netzwerkkonfigurationen, Anwendungskontrollen und Verwaltungsvorlagen, um die Angriffsfläche zu verringern und die Systemintegrität zu verbessern.

Die wichtigsten Abschnitte des CIS Windows 11 Benchmarks:

  • Account Policies: Definiert Richtlinien für die Komplexität, den Verlauf und das Ablaufdatum von Passwörtern sowie für die Schwellenwerte für die Kontosperrung. Diese Einstellungen tragen zur Durchsetzung einer strengen Authentifizierungshygiene bei und schränken Brute-Force-Angriffe ein.
  • Lokale Richtlinien: Konzentriert sich auf die Durchsetzung einer Vielzahl von lokalen Zugriffskontrollen und Systemverhalten. Umfasst Audit-Einstellungen, Benutzerrechte (z. B. wer sich lokal anmelden oder das System herunterfahren darf) und Sicherheitsoptionen (z. B. Gastkontostatus, Zugriffstoken, Netzwerkzugriff, Gerätetreiber, Firmware-Optionen und Kryptografie-Anforderungen) und vieles mehr.
  • Systemdienste: Reduziert die Angriffsfläche durch Einschränkung aktiver Systemkomponenten. Empfiehlt die Deaktivierung oder Konfiguration von Windows-Diensten, die möglicherweise unnötig sind oder das System Risiken aussetzen (z. B. Remote-Registrierung, FTP, Bluetooth, OpenSSH, Geolocation-Service und mehr).
  • Windows Defender-Firewall mit erweiterter Sicherheit: Umfasst Firewall-Konfigurationen für Domain-Profile sowie private und öffentliche Profile. Enthält Regeln für die Protokollierung, Verbindungsbeschränkungen und das Blockieren unerwünscht eingehenden Datenverkehrs, um die Netzwerksegmentierung und Traffic-Kontrolle durchzusetzen.
  • Erweiterte Konfiguration der Überwachungsrichtlinien: Bietet detaillierte Überwachungseinstellungen für Kategorien wie Anmeldeereignisse, Objektzugriff und Richtlinienänderungen, um die Transparenz und Compliance zu verbessern.
  • Administrative Vorlagen (Computer): Umfasst Gruppenrichtlinieneinstellungen auf Computerebene, einschließlich UI-Einschränkungen, Steuerung älterer Protokolle, SMB-Hardening, UAC-Verhalten und Gerätekonfiguration.
  • Administrative Vorlagen (Benutzer): Konzentriert sich auf Richtlinien auf Benutzerebene, die sich auf Personalisierung, Datenschutz, Desktop-Verhalten, Windows-Komponenten, Telemetrie, Cloud-Inhalte, Suche und den Zugriff auf den Microsoft Store auswirken.

Greenbone ist Mitglied des CIS-Konsortiums

Als Mitglied des CIS-Konsortiums verpflichtet sich Greenbone, zusätzliche Scan-Konfigurationen hinzuzufügen, um CIS-Benchmarks zu bestätigen. Alle unsere CIS-Benchmark-Richtlinien entsprechen den CIS-Hardening-Richtlinien und sind von CIS zertifiziert, wodurch maximale Sicherheit für Systemaudits gewährleistet ist. Greenbone verfügt außerdem über eine spezielle Compliance-Ansicht für die Weboberfläche des Greenbone Security Assistant (GSA), um den Bewertungsprozess für Unternehmen zu optimieren.

Zusammenfassung

Die Sicherung von Microsoft Windows 11 Enterprise erfordert mehr als nur das Patchen von Schwachstellen – sie erfordert einen disziplinierten Ansatz für das Konfigurationsmanagement auf der Grundlage bewährter Best Practices. Durch die Absicherung versteckter Systemeinstellungen und die Deaktivierung unnötiger Funktionen können Sicherheitsteams Exploit-Pfade verhindern, die häufig von Angreifern genutzt werden, um Ransomware zu verbreiten, Daten zu herauszufiltern oder sich dauerhaft im Netzwerk einzunisten. 

Mit der zusätzlichen Unterstützung für den CIS Microsoft Windows 11 Enterprise Benchmark v3.0.0 stärkt Greenbone die Position als führender Anbieter proaktiver Cybersicherheit und bietet Unternehmen die Tools, die sie benötigen, um Risiken zu reduzieren, Compliance nachzuweisen und in einer zunehmend feindseligen digitalen Landschaft widerstandsfähig zu bleiben. Abonnenten des Enterprise Feed können nun ihre Windows 11-Konfigurationen präzise und zuverlässig überprüfen und verifizieren.

Sicherheitsexperten beobachten eine Besorgnis erregende Entwicklung: Die Time to Exploit (TTE), also die Zeit zwischen dem Bekanntwerden einer Sicherheitslücke und ihrem Ausnutzen durch böswillige Akteure, sinkt in der letzten Zeit massiv.

Gleichzeitig zeigen Angreifer immer größere Kompetenz beim Verbergen ihrer Anwesenheit in einem erfolgreich gehackten Netzwerk. Die Zeit, um sich einzunisten und sodann unbefugt auf Unternehmensressourcen zuzugreifen, bevor sie entdeckt (und entfernt) werden, nennen Experten „Dwell time“, also Verweildauer. Je kürzer diese ist, umso besser für die Angegriffenen. Auch der begabteste Hacker braucht Zeit und kann umso mehr (dauerhaften) Schaden anrichten, je länger er unbemerkt und unbeobachtet bleibt.

Der Feind hört mit – und ist vielleicht schon da

Erschreckenderweise erreicht die Dwell Time immer häufiger Monate oder gar Jahre, so wie bereits bei Sony oder im US-Office for Personal Management. Dort konnten Angreifer mehr als zwölf Monate ungestört agieren. Bei dem japanischen Technologiekonzern flossen in der Folge sogar über 10 Terabyte an Daten ab.

Die Angst vor verborgenen Eindringlingen ist groß, schließlich kann niemand mit Sicherheit sagen, ob sich nicht bereits ein bösartiger Zuhörer im eigenen Netzwerk befindet. Das kommt vor. Schon beim Bundestagshack 2015 zum Beispiel informierte nicht das eigene Monitoring, sondern ein „befreundeter“ Geheimdienst die deutschen Behörden über seltsame Aktivitäten Dritter (russische APT-Hackergruppen) im Bundestagsnetz. Wie lange und wie viele Akteure zu dem Zeitpunkt sich bereits im Netzwerk getummelt hatten, blieb offen. Klar war nur: Es waren mehr als einer, und die befreundeten Geheimdienste hatten schon länger zugeschaut.

Erkennung, Prävention und Reaktion immer kritischer

Umso wichtiger ist es, dafür Sorge zu tragen, dass die Angreifer erst gar nicht ins System gelangen. Das aber wird immer schwieriger: Wie unter anderen die Experten von Googles Mandiant berichten, ist in den letzten fünf Jahren die Reaktionszeit, die Unternehmen und Softwarebetreibern zwischen dem Bekanntwerden einer Schwachstelle und dem Exploit bleibt, in den letzten Jahren rapide gefallen: von 63 Tagen 2018 auf gut einen Monat.

Immer weniger Zeit zum Reagieren

2023 blieben Administratoren schon nur mehr fünf Tage im Durchschnitt, um Schwachstellen zu bemerken und zu schließen. Heute sind es bereits weniger als drei Tage.

Damit nicht genug. Früher wurden Sicherheitslücken häufiger erst ausgenutzt, nachdem Patches verfügbar waren, also nachdem sich erfahrene Administratoren bereits abgesichert und die aktuellen Patches eingespielt hatten. Eigentlich sollten diese so genannten „N-day Vulnerabilities“ also gar kein Problem sein, gibt es doch Fixes dafür.

Verbesserte Disziplin mit Nebenwirkungen: Angreifer lernen

Leider war in der Vergangenheit die Disziplin (und die Aufmerksamkeit) in vielen Unternehmen nicht so ausgeprägt, man vernachlässigte das Thema und sorgte so unfreiwillig auch für weitere Verbreitung von automatisierten Angriffsmethoden, etwa mithilfe von Würmern und Viren. Gerade hier gibt es auch gute Nachrichten: 2022 machten die Attacken über die N-Day-Schwachstellen noch 38 % aller Angriffe aus, 2023 nur noch 30 %.

Auf den ersten Blick klingt das gut, weil Administratoren bekannte Schwachstellen, für die es Patches gibt, schneller und besser finden und fixen. Nach Jahren mit eher schlecht ausgeprägter Disziplin und mangelnder Update- und Patch-Strategie haben sicher auch die großen und erfolgreichen Ransomware-Vorfälle dazu beigetragen, einer Mehrheit von Verantwortlichen die Tragweite und Bedeutung von ordentlichem Schwachstellenmanagement zu vermitteln.

Zwei Drittel sind mittlerweile Zero-Days

Aber die Zahlen haben auch eine Kehrseite: Mehr als zwei Drittel aller Angriffe basieren mittlerweile auf „Zero-Day“-Schwachstellen, also Sicherheitslücken, für die es noch keinen Patch gibt – 2023 waren das sogar schon 70 %. Die kriminellen Gruppen und Angreifer haben reagiert, gelernt und ihre Machenschaften professionalisiert, automatisiert und gewaltig beschleunigt.

Ohne Automatisierung und Standardisierung von Prozessen, ohne moderne, gepflegte und kontrollierte Open-Source-Software können Admins der Entwicklung kaum mehr Paroli gebieten. Wer kann schon behaupten, er sei in der Lage, binnen drei Tagen auf eine neue Bedrohung zu reagieren?

Machtlos? Nicht mit Greenbone

Wenn Angreifer schneller auf neue, bis dato unbekannte Schwachstellen reagieren können und sich dann auch noch besser zu verstecken gelernt haben, kann es nur eine Antwort geben: den Einsatz eines professionellen Schwachstellenmanagements. Mit Lösungen von Greenbone lässt sich das Netzwerk automatisiert testen. Mit Berichten über den Erfolg von Maßnahmen erhalten Administratoren damit einen schnellen Überblick über den aktuellen Sicherheitsstatus Ihres Unternehmens.

Erst im vergangenen Monat wurde die Schwachstelle CVE-2025-22457 (CVSS 9.8), die Ivanti Connect Secure, Policy Secure und ZTA Gateways betrifft, als Vektor für Ransomware erkannt. Jetzt wurden zwei neue CVEs zur wachsenden Liste der risikoreichen Ivanti-Schwachstellen hinzugefügt: CVE-2025-4427 und CVE-2025-4428, die Ivanti EPMM (Endpoint and Patch Management Mobile) betreffen, werden aktiv ausgenutzt.

Greenbone beinhaltet aktive Tests zur Prüfung und Versionserkennung, die sowohl die neuen CVEs als auch viele andere Schwachstellen in Ivanti-Produkten adressieren. So können Benutzer verwundbare Instanzen identifizieren, mit dem Patch-Prozess fortfahren und die Sicherheitskonformität überprüfen, sobald die Patches angewendet wurden. In diesem Blogbeitrag gehen wir auf die technischen Details der beiden neuen CVEs ein und bewerten die Rolle, die Ivanti im globalen Cyber-Risikokalkül gespielt hat.

CVEs in Ivanti EPMM für unautorisierten Zugriff

Zum Zeitpunkt der Offenlegung gab Ivanti zu, dass EPMM-Kunden mit inhouse installierten Lösungen bereits angegriffen wurden. Das Cloud-Sicherheitsunternehmen Wiz erklärt, dass jedoch auch selbst verwaltete Cloud-Instanzen von Angreifern effektiv ausgenutzt wurden. Eine vollständige technische Beschreibung der Angriffskette ist öffentlich zugänglich, was die Entwicklung von Exploits für Angreifer erleichtert und das Risiko weiter erhöht.

Hier eine kurze Zusammenfassung der einzelnen Schwachstellen:

  • CVE-2025-4427 (CVSS 5.3): Eine Umgehung der Authentifizierung in der API-Komponente von Ivanti EPMM 12.5.0.0 und früher ermöglicht Angreifern den Zugriff auf geschützte Ressourcen ohne entsprechende Anmeldeinformationen über die API.
  • CVE-2025-4428 (CVSS 7.2): Remote Code Execution (RCE) in der API-Komponente von Ivanti EPMM 12.5.0.0 und früher erlaubt authentifizierten Angreifern die Ausführung von beliebigem Code über manipulierte API-Requests.

Ivanti hat Patches veröffentlicht, um die Schwachstellen zu beheben. Benutzer sollten EPMM mindestens auf Version 11.12.0.5, 12.3.0.2, 12.4.0.2 oder 12.5.0.1 aktualisieren. Wenn ein sofortiges Patchen nicht möglich ist, empfiehlt Ivanti, den API-Zugriff entweder mit den integrierten Portal-ACLs (Access Control Lists mit dem Typ „API Connection“) oder einer externen WAF (Web Application Firewall) einzuschränken. Von netzwerkbasierten ACLs rät der Hersteller ab, da sie einige EPMM-Funktionen blockieren können. Diese Maßnahmen verringern zwar das Risiko, können aber die Funktionalität bestimmter EPMM-Integrationen, wie Microsoft Autopilot und Graph API, beeinträchtigen. Ivanti bietet auch eine RPM-Datei an, die zum Patchen von EPMM über den Command Line Access via SSH verwendet werden kann.

Die Invanti EPMM Exploit-Kette

Die Exploit-Kette in Ivanti EPMM beginnt mit CVE-2025-4427. Aufgrund einer unsicheren Konfiguration in der Datei security.xml in der Anwendung verarbeiten bestimmte Endpunkte (insbesondere /rs/api/v2/featureusage) die Anfragen teilweise, wenn der Parameter format angegeben wird. Diese Pre-Auth-Verarbeitung ermöglichte es nicht authentifizierten Anfragen, auf Funktionen zuzugreifen, die geschützt sein sollten. Dieser durch CVE-2025-4427 verursachte Fehler in der Zugriffskontrolle schafft die Voraussetzungen für RCE über CVE-2025-4428.

CVE-2025-4428 ermöglicht RCE mithilfe einer EL-Injection (Expression Language) in HTTP-Anfragen. Wenn der in einem Request übergebene Parameter format gemäß der EPMM-Spezifikation ungültig ist (weder „cve“ noch „json“), wird sein Wert ohne Bereinigung an eine Fehlermeldung angehängt und über die Message Templating Engine von Spring Framework protokolliert. Durch die Bereitstellung speziell gestalteter Werte im Format-Parameter können Angreifer beliebigen Java-Code ausführen, da die protokollierte Nachricht als EL-formatierter String gewertet wird.

Forscher haben darauf hingewiesen, dass diese Risiken im Zusammenhang mit Nachrichten-Templating-Engines gut dokumentiert sind, und haben die Behauptungen von Ivanti zurückgewiesen, dass die Schwachstelle auf einen Fehler in einer Bibliothek eines Drittanbieters zurückzuführen ist und nicht auf ein eigenes Versehen. Wenn Ihnen die Bedingungen, die zur Ausnutzung von CVE-2025-4428 führen, bekannt vorkommen, erinnern sie an die berüchtigte Log4Shell-Schwachstelle. Wie Log4Shell resultiert CVE-2025-4428 aus der Übergabe von unbereinigten Benutzereingaben an eine Expression Engine, die spezielle Befehle aus einer formatierten Zeichenfolge interpretiert. Im Fall von Log4Shell könnte eine böswillige String-Formatierung in JNDI-Lookups (z. B. ${jndi:ldap://…}) einen RCE auslösen.

Risikobewertung: Angreifer dringen über Ivanti-Lücken vor

Ivanti steht seit einigen Jahren in der Kritik. Angreifer haben häufig Schwachstellen in den Produkten von Ivanti ausgenutzt, um sich Zugang zu den Netzwerken ihrer Opfer zu verschaffen. Über alle Produktlinien hinweg hat der Anbieter seit Anfang 2023 61 CVEs mit kritischem Schweregrad (CVSS >= 9.0) erhalten. 30 davon wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommen, obwohl die tatsächliche Zahl der aktiv ausgenutzten Schwachstellen höher sein dürfte. Ivanti CVEs haben eine hohe Konversionsrate für die Verwendung in Ransomware-Angriffen. CISA verzeichnet acht CVEs in dieser Kategorie.

Anfang 2024 gaben die ENISA, CERT-EU und Europol eine gemeinsame Erklärung zur aktiven Ausnutzung der Produkte Ivanti Connect Secure und Policy Secure Gateway ab. In den USA wies die CISA alle zivilen Bundesbehörden an, diese Produkte vom Netz zu nehmen und davon auszugehen, dass sie missbraucht worden waren [1][2]. Die CISA, das FBI und Cybersicherheitsbehörden aus Großbritannien, Australien und Kanada gaben eine gemeinsame Meldung heraus, in der sie vor den laufenden Angriffen warnten. Ende 2024 warnte die CISA zusätzlich vor einer aktiven Ausnutzung der Ivanti Cloud Service Appliances (CSA) und wies darauf hin, dass sowohl staatlich finanzierte als auch finanziell motivierte Bedrohungsakteure erfolgreich auf nicht gepatchte Systeme abzielten.

Am 8. Januar 2025 warnte die CISA davor, dass die neu veröffentlichten Sicherheitskücken CVE-2025-0282 und CVE-2025-0283 in Ivanti Connect Secure, Policy Secure und ZTA Gateways ebenfalls aktiv ausgenutzt werden. Leider verwendeten Angreifer bis weit in das Jahr 2025 hinein neue Schwachstellen in Ivanti-Produkten, darunter CVE-2025-22457 [3][4] sowie jetzt die zwei neuen CVEs in EPMM (siehe oben).

Dennis Kozak hat Jeff Abbott mit Wirkung vom 1. Januar 2025 als CEO von Ivanti abgelöst, obwohl Jeff Abbott schon ab Mitte 2024 eine verbesserte Produktsicherheit zugesagt hatte. Es wurde keine öffentliche Erklärung abgegeben, in der die Nachfolge mit den Sicherheitsproblemen des Unternehmens aus Utah in Verbindung gebracht wurde, allerdings geschah dies nur wenige Wochen vor der Ablösung. Die Führungskräfte wurden nicht aufgefordert, vor dem US-Kongress auszusagen, wie es viele andere Führungskräfte im Bereich der Cybersicherheit nach hochriskanten Vorfällen getan haben, darunter Sudhakar Ramakrishna, CEO von SolarWinds, Brad Smith, Präsident von Microsoft, und George Kurtz, CEO von CrowdStrike.

Echos aus der Vergangenheit von EPMM: CVE-2023-35078 und CVE-2023-35082

Zusätzlich zu den oben beschriebenen Schwachstellen ermöglichten CVE-2023-35078 (CVSS 9.8) und CVE-2023-35082 (CVSS 9.8), die im Juli bzw. August 2023 veröffentlicht wurden, unauthentifizierte RCE für Ivanti EPMM. Die breite Ausnutzung begann fast unmittelbar nach ihrer Veröffentlichung im Jahr 2023.

CVE-2023-35078 wurde ausgenutzt, um in die norwegische Regierung einzudringen und die Daten von zwölf Ministerien zu kompromittieren [3][4]. Die CISA gab eine dringende Empfehlung (AA23-214A) heraus, in der sie auf die bestätigte Ausnutzung durch APT-Akteure (Advanced Persistent Threats) hinwies und allen Bundesbehörden riet, sofortige Maßnahmen zur Schadensbegrenzung zu ergreifen. Selbst im Jahr 2023 unterstrichen die Geschwindigkeit und das Ausmaß der Angriffe das wachsende Profil von Ivanti als Wiederholungstäter, der Spionage und finanziell motivierte Cyberkriminalität ermöglicht.

Zusammenfassung

Ivanti EPMM ist anfällig für zwei neue Schwachstellen: CVE-2025-4427 und CVE-2025-4428 können für unautorisierte RCE kombiniert werden. Sie werden derzeit aktiv ausgenutzt und unterstreichen ein beunruhigendes Muster von hochgradig gefährlichen Schwachstellen in Ivanti-Produkten. Ivanti hat Patches veröffentlicht, um die Schwachstellen zu beheben, und Benutzer sollten EPMM mindestens auf Version 11.12.0.5, 12.3.0.2, 12.4.0.2 oder 12.5.0.1 aktualisieren.

Die Fähigkeiten von Greenbone zur Erkennung von Schwachstellen umfassen auch Tests für CVE-2025-4427 und CVE-2025-4428, die es Ivanti EPMM-Benutzern ermöglichen, alle anfälligen Instanzen zu identifizieren und die Einhaltung der Sicherheitsvorschriften zu überprüfen, sobald die Patches angewendet wurden.

Cyberangriffe können in ihrem Ausmaß und ihren Auswirkungen dramatisch sein, wie die meisten Sicherheitsvorfälle. Sind die Verteidiger vorbereitet, kann ein Vorfall eingedämmt und der Schaden begrenzt werden, die Wiederherstellung erfolgt dann zügig. Wenn sie jedoch unvorbereitet sind, kann ein einziger Vorfall zu tage- oder wochenlangen Ausfallzeiten, Umsatzeinbußen, Rufschädigung, behördlichen Strafen oder Sammelklagen führen [1][2]. Im Mai 2024 prognostizierte Change Healthcare einen Verlust von 1,6 Milliarden Dollar. Im Januar 2025 beliefen sich die Gesamtkosten des Ransomware-Angriffs von Change Healthcare auf fast 3 Milliarden Dollar [3][4].

Die Gesamtheit der Schäden, die durch eine IT-Sicherheitsverletzung verursacht werden, der sogenannte „Blast Radius“, hängt von vielen Faktoren ab. Zu diesen Faktoren gehört, ob Schwachstellen verwaltet werden, ob ein „Defense-in-Depth“-Ansatz für die Cybersicherheit angewandt wurde, ob das Netzwerk segmentiert ist, ob es wirksame Backup-Strategien gibt und vieles mehr. Eine nachlässige Sicherheitshygiene ist eine offene Einladung für Angreifer, die zu kostspieligen Ergebnissen führt: etwa zu umfangreichem Datendiebstahl, Erpressung durch Ransomware und sogar zerstörerischen Wiper-Angriffen, die zur industriellen Sabotage eingesetzt werden. Ein kürzlich veröffentlichter Bericht hat ergeben, dass Angreifer, sobald sie in ein Netzwerk eingedrungen sind, Ransomware im Durchschnitt innerhalb von 48 Minuten einsetzen und CVE-Enthüllungen innerhalb von 18 Tagen in Exploits umgewandelt werden.

Dieser Artikel befasst sich mit dem Konzept des „Blast Radius“ von Cyberangriffen und der Rolle, die ein effektives Schwachstellenmanagement bei der Eindämmung der Folgen von Cyberangriffen spielt. Mit den richtigen Kontrollen kann der Schaden eines Cyberangriffs minimiert und die schlimmsten Konsequenzen verhindert werden.

Der „Blast Radius“ eines Cyberangriffs

Der Begriff „Blast Radius“ (Explosionsradius) stammt aus dem Militärjargon und bezieht sich auf das physische Umfeld, das durch eine explodierende Bombe beschädigt wird. Bei digitalen Systemen bezieht sich der Begriff in ähnlicher Weise auf das Ausmaß des durch einen Cyberangriff verursachten Schadens. Wie viele Systeme hat ein Angreifer kompromittiert? War er in der Lage, nach dem ersten Zugriff kritische Systeme zu kompromittieren? Wurden benachbarte Netze oder Cloud-Systeme angegriffen?

Weitreichende Schäden sind nicht von vornherein ausgeschlossen, wenn Hacker den ersten Zugang erhalten. Verteidiger können den Angriff in einem frühen Stadium wirksam abwehren und verhindern, dass böswillige Akteure ihre eigentlichen Ziele erreichen oder weitreichende Schäden verursachen.

Die Folgen eines größeren Schadens-Radius

Zwar ist es schlimm, wenn ein Gegner unbefugten Zugang erhält, aber es sind die nachfolgenden Phasen eines Angriffs, die IT-Sicherheitsmanager nachts wachhalten. Die letzten Phasen eines Cyberangriffs, wie zum Beispiel die Installation von Malware auf kritischen Anlagen, das Exfiltrieren sensibler Daten oder die Verschlüsselung von Dateien, haben die tiefgreifendsten Auswirkungen für Unternehmen. Je größer der Blast Radius ist, desto wahrscheinlicher ist es, dass ein Unternehmen erhebliche negative Auswirkungen zu spüren bekommt.

Ein größerer Schadens-Radius kann Folgendes nach sich ziehen:

  • Längere Verweildauer: Durch seitliche Bewegungen im Netzwerk und Persistenz-Techniken können Angreifer für längere Zeit unentdeckt bleiben, Informationen sammeln und weitere Angriffe vorbereiten.
  • Erhöhte finanzielle Verluste: Service-Unterbrechungen und Ransomware-Angriffe tragen zu höheren finanziellen Verlusten, entgangenen Einnahmen aufgrund von Ausfallzeiten, dem Risiko gesetzlicher Strafen und der Erosion von Geschäftsbeziehungen bei.
  • Erhöhte betriebliche Ausfallzeiten: Die Auswirkungen von Betriebsausfällen können sich auf das gesamte Unternehmen auswirken und zu Verzögerungen, Frustration und Desynchronisierung der Abläufe führen.
  • Verlust von sensiblen Daten: Angreifer versuchen, sensible Daten herauszufiltern, um Spionagekampagnen zu unterstützen oder Opfer zur Zahlung von Lösegeld zu erpressen.
  • Beeinträchtigtes Vertrauen: Unbefugter Zugriff auf Messaging-Systeme oder Vermögenswerte Dritter kann das Vertrauen der Beteiligten, einschließlich Kunden, Mitarbeiter und Geschäftspartner, untergraben.

Greenbone reduziert den „Blast Radius“ eines Cyberangriffs

Schwachstellenmanagement ist ein wichtiger Faktor bei der Reduzierung des so genannten „Blast Radius“. Durch die wirksame Beseitigung von Sicherheitslücken kann ein Angreifer keine leicht zugänglichen Mittel mehr finden, um seine anfängliche Position auszubauen. Schwachstellenmanagement lässt sich am effizientesten und effektivsten durch automatisches Scannen auf Sicherheitslücken in der gesamten Netzwerkinfrastruktur und die Behebung der Angriffsfläche umsetzen. Auf diese Weise können Unternehmen den potenziellen Wirkungskreis eines erfolgreichen Cyberangriffs erheblich reduzieren und auch die Wahrscheinlichkeit verringern, dass es überhaupt zu einem Einbruch kommt.

Threat Mapping hilft IT-Sicherheitsteams, ihre Angriffsflächen zu verstehen, also die Stellen, an denen Angreifer in ein Netzwerk eindringen können. Die Kernfunktionen von Greenbone unterstützen das Threat Mapping mit System- und Service-Discovery-Scans und durch das Scannen von Netzwerk- und Host-Angriffsflächen, wodurch Verteidiger ihre Angriffsfläche um 99 % reduzieren können. Darüber hinaus bietet Greenbone Reports und Warnungen in Echtzeit, um Sicherheitsteams über aufkommende Bedrohungen auf dem Laufenden zu halten und so eine proaktive Cybersicherheitshaltung und rechtzeitige Abhilfemaßnahmen zu ermöglichen. Dieser proaktive, mehrschichtige Ansatz zur Cybersicherheit reduziert den potenziellen Schadensumfang und führt zu besseren Sicherheitsergebnissen. Den Verteidigern bleibt mehr Zeit, die Präsenz eines Angreifers zu erkennen und ihn zu eliminieren, bevor katastrophale Schäden entstehen können.

Stärkste Verteidigung mit Greenbone Enterprise Feed

Der stärkste Schutz kommt aus dem branchenführenden Enterprise Vulnerability Feed von Greenbone. Insgesamt umfasst der Greenbone Enterprise Feed circa 180.000 Schwachstellentests (Tendenz steigend), die sowohl allgemeine Schwachstellen bei der Einhaltung von Sicherheitsvorschriften als auch anwendungsspezifische Schwachstellen aufdecken können. Unser Enterprise Feed fügt jede Woche hunderte von neuen Tests hinzu, um die neuesten Bedrohungen zu erkennen.

Hier eine Liste der IT-Assets, die Greenbone scannen kann:

  • Interne Netzwerkinfrastruktur: Scannen von internen Netzwerkgeräten mit jeder Art von offenem Dienst, wie Datenbanken, Dateifreigaben, SNMP-fähige Geräte, Firewalls, Router, VPN-Gateways und mehr.
  • Vor-Ort- und Cloud-Server: Überprüfung von Serverkonfigurationen, um die Einhaltung von Sicherheitsrichtlinien und -standards zu gewährleisten.
  • Workstations: Greenbone scannt Workstations und andere Endpunkte unter allen wichtigen Betriebssystemen (Windows, Linux und macOS), um das Vorhandensein bekannter Softwareschwachstellen zu identifizieren und die Einhaltung von Cybersicherheitsstandards wie CIS Benchmark-Controls zu bestätigen.
  • IoT- und Peripheriegeräte: IoT- und Peripheriegeräte, wie z. B. Drucker, verwenden dieselben Netzwerkprotokolle für die Kommunikation wie andere Netzwerkdienste. Dadurch können sie ähnlich wie andere Netzwerk-Endpunkte leicht auf geräte- und anwendungsspezifische Schwachstellen und häufige Fehlkonfigurationen gescannt werden.

Reduzierung der Angriffsfläche von Netzwerken

Die Angriffsfläche eines Netzwerks besteht aus exponierten Netzwerkdiensten, APIs und Websites innerhalb der internen Netzwerkumgebung eines Unternehmens und der öffentlichen Infrastruktur. Zum Scannen von Netzwerk-Angriffsflächen erstellt Greenbone ein Inventar von Endpunkten und Listening Services innerhalb eines oder mehrerer Ziel-IP-Bereiche oder eine Liste von Hostnamen und scannt dann nach bekannten Schwachstellen.

Die Netzwerk-Schwachstellen-Tests (NVTs) von Greenbone bestehen aus Versionsprüfungen und aktiven Prüfungen. Versionsprüfungen fragen den Dienst nach einer Versionszeichenfolge ab und vergleichen diese dann mit den entsprechenden CVEs. Aktive Checks verwenden Netzwerkprotokolle, um mit dem exponierten Dienst zu interagieren und zu überprüfen, ob bekannte Exploit-Techniken wirksam sind. Diese aktiven Prüfungen verwenden dieselben Netzwerkkommunikationstechniken wie reale Cyberangriffe, versuchen aber nicht, die Schwachstelle auszunutzen. Stattdessen teilen sie dem Sicherheitsteam lediglich mit, dass ein bestimmter Angriff möglich ist. Alles, was ein Angreifer über das Internet oder ein lokales Netzwerk erreichen kann, kann von Greenbone auf Schwachstellen untersucht werden.

Reduzierung der Angriffsfläche von Hosts

Die Host-Angriffsfläche besteht aus der Software und den Konfigurationen innerhalb einzelner Systeme, auf die nicht direkt über das Netz zugegriffen werden kann. Die Reduzierung der Host-Angriffsfläche minimiert, was ein Angreifer mit dem ersten Zugriff tun kann. Die authentifizierten Scans von Greenbone führen lokale Sicherheitsprüfungen (Local Security Checks, LSC) durch, um die internen Komponenten eines Systems auf bekannte Schwachstellen und nicht konforme Konfigurationen zu prüfen, die es Angreifern ermöglichen könnten, ihre Privilegien zu erweitern, auf sensible Informationen zuzugreifen, zusätzliche Malware zu installieren oder sich seitlich auf andere Systeme zu bewegen.

Greenbones Enterprise Feed umfasst LSC-Familien für alle wichtigen Betriebssysteme wie Ubuntu, Debian, Fedora, Red Hat, Huawei, SuSE Linux-Distributionen, Microsoft Windows, macOS und viele mehr.

Post-Breach-Taktiken: Die zweite Phase von Cyberangriffen

Sobald Angreifer im Netzwerk eines Opfers Fuß gefasst haben, wenden sie sekundäre Exploitation-Techniken an, um ihren Zugang zu vertiefen und ihre Ziele zu erreichen. Im modernen Ökosystem der Cyberkriminalität sind Initial Access Brokers (IABs) darauf spezialisiert, sich unerlaubten Zugang zu verschaffen. IABs verkaufen diesen Zugang dann an andere cyberkriminelle Gruppen, die sich auf Angriffstaktiken der zweiten Stufe spezialisiert haben, wie zum Beispiel den Einsatz von Ransomware oder Datendiebstahl. Ähnlich wie beim Durchbrechen der Mauern einer Festung wird das interne Netzwerk eines Unternehmens nach dem ersten Zugriff für Angreifer immer zugänglicher.

Zu den Taktiken, die in der zweiten Phase eines Cyberangriffs eingesetzt werden, gehören:

  • Eskalation von Privilegien [TA0004]: Angreifer suchen nach Möglichkeiten, ihre Zugriffsrechte auszuweiten, sodass sie Zugang zu sensibleren Daten erhalten oder administrative Aktionen ausführen können.
  • Seitliche Bewegung [TA0008]: Angreifer kompromittieren andere Systeme innerhalb des Netzwerks des Opfers und erweitern ihren Zugang zu hochwertigen Ressourcen.
  • Dauerhafter Fernzugriff [TA0028]: Durch die Erstellung neuer Konten, die Bereitstellung von Hintertüren oder die Verwendung kompromittierter Anmeldeinformationen versuchen Angreifer, ihren Zugang aufrechtzuerhalten, selbst wenn die ursprüngliche Schwachstelle behoben oder ihre Anwesenheit entdeckt wurde.
  • Diebstahl von Zugangsdaten [TA0006]: Gestohlene sensible Daten können offline von Angreifern verarbeitet werden, die versuchen, Passwörter zu knacken, in geschützte Ressourcen einzudringen oder Social-Engineering-Angriffe zu planen.
  • Zugriff auf Messaging-Systeme [T1636]: Der Zugriff auf Messaging-Plattformen oder Tools für die Zusammenarbeit in Unternehmen ermöglicht den Zugang zu sensiblen Informationen, die zur Durchführung von Social-Engineering-Angriffen wie Spear-Phishing genutzt werden können, die sich sogar gegen externe Partner oder Kunden richten.
  • Verschlüsselung mit Wirkung [T1486]: Finanziell motivierte Angreifer versuchen, die Auswirkungen zu maximieren, indem sie Ransomware einsetzen und das Opfer erpressen, damit es den Zugriff auf die verschlüsselten Daten zurückgibt.
  • Daten-Exfiltration [TA0010]: Das Herunterladen sensibler Daten eines Opfers kann für Spionagezwecke genutzt werden und gibt Angreifern außerdem ein Druckmittel in die Hand, um Opfer zu erpressen, damit sie für die Nichtveröffentlichung der Daten bezahlen.
  • Denial-of-Service-Angriffe [T0814]: Die Unterbrechung eines Services kann für weitere Erpressungen oder als Ablenkung für andere Angriffe im Netzwerk des Opfers genutzt werden.

Zusammenfassung

Der „Blast Radius“ bezieht sich auf den Umfang des Schadens, den ein Angreifer bei einem Cyberangriff verursacht. Je weiter die Angriffe fortschreiten, desto tiefer versuchen die Angreifer einzudringen und sich Zugang zu sensibleren Systemen und Daten zu verschaffen. Mangelnde Cyber-Hygiene lässt Angreifern freie Hand, um Daten zu stehlen, Ransomware einzusetzen und Service-Unterbrechungen zu verursachen und erschwert zudem die Erkennung und Wiederherstellung. Die Minimierung der Angriffsfläche ist entscheidend für die Verringerung der potenziellen Auswirkungen eines Cyberangriffs und trägt zu einem besseren Sicherheitsergebnis bei.

Der Hauptbeitrag von Greenbone zur Cybersicherheit besteht darin, die Sicherheitstransparenz in Echtzeit zu erhöhen, Verteidiger auf Schwachstellen aufmerksam zu machen und ihnen die Möglichkeit zu geben, Sicherheitslücken zu schließen und Hacker daran zu hindern, diese auszunutzen. Dies umfasst sowohl die Angriffsfläche des Netzwerks: öffentlich zugängliche Anlagen, interne Netzwerkinfrastruktur, Cloud-Anlagen, als auch die Angriffsfläche des Hosts: interne Softwareanwendungen, Pakete und häufige Fehlkonfigurationen.

Durch die branchenführende Erkennung von Schwachstellen ermöglicht Greenbone eine Echtzeit-Transparenz von Bedrohungen und versetzt Verteidiger in die Lage, proaktiv sicherzustellen, dass Angriffe entscheidend neutralisiert werden.

Die Greenbone AG engagiert sich seit Jahren konsequent für eine unabhängige und resiliente Versorgungskette bei der Bereitstellung von Schwachstellendaten. Vor dem Hintergrund aktueller Diskussionen zur Finanzierung und Zukunftsfähigkeit des CVE-Programms der US-amerikanischen Organisation MITRE möchten wir Sie über unsere Maßnahmen zur Sicherstellung der kontinuierlichen Versorgung mit wichtigen Informationen über Schwachstellen in IT-Systemen informieren.

Das CVE-System bildet seit 1999 die zentrale Grundlage zur eindeutigen Identifikation und Klassifikation von Sicherheitslücken in der IT. Die Finanzierung der zentralen CVE-Datenbank ist derzeit noch bis April 2026 durch die US-Regierung gesichert. Vor diesem Hintergrund hat Greenbone frühzeitig strukturelle Maßnahmen ergriffen, um von einzelnen Datenquellen unabhängiger zu werden.

Mit unserer Marke OPENVAS zählt Greenbone zu den global führenden Open-Source-Anbietern im IT-Security Ökosystem. Wir leisten einen aktiven Beitrag zur Entwicklung nachhaltiger, dezentraler Infrastrukturen für die Bereitstellung von Schwachstelleninformationen – und setzen heute bereits auf zukunftsfähige Konzepte, die unsere Kunden wirksam vor Sicherheitsrisiken schützen.

Unser souveräner Datenansatz umfasst unter anderem folgende Maßnahmen:

  • Breite Quellendiversifikation: Unsere Systeme und unsere Security-Researcher überwachen eine Vielzahl internationaler Informationsquellen, um unabhängig vom offiziellen CVE-Prozess schnell auf neue Bedrohungen reagieren zu können – auch dann, wenn es noch keinen offiziellen CVE-Eintrag gibt.
  • Integration alternativer Datenbanken: Wir binden unabhängige Schwachstellenkataloge wie die Europäische Schwachstellendatenbank (EUVD) in unsere Systeme ein, um eine stabile und geografisch diversifizierte Informationsgrundlage zu schaffen.
  • Förderung offener Standards: Wir unterstützen aktiv die Verbreitung des CSAF-Standards (Common Security Advisory Framework), der eine dezentrale und föderierte Verteilung von Schwachstelleninformationen ermöglicht.

Durch diese Maßnahmen stellen wir sicher, dass unsere Kunden auch bei Veränderungen im internationalen Datenökosystem uneingeschränkt Zugang zu aktuellen Schwachstelleninformationen behalten. So bleiben Ihre IT-Systeme auch künftig umfassend geschützt.

Greenbone steht für eine unabhängige, souveräne und zukunftssichere Versorgung mit wichtigen Informationen über Schwachstellen in IT-Systemen – auch in einem sich wandelnden geopolitischen Umfeld.

CVE-2025-31324 (CVSS 9.8), veröffentlicht am 24. April 2025, ermöglicht es nicht authentifizierten Angreifern, über die Komponente NetWeaver Visual Composer ausführbare Dateien [CWE-434] hochzuladen, was zu einer Remote Code Execution (RCE) führen kann. Die CVE stellt ein hohes Risiko dar. Es sind zahlreiche öffentlich zugängliche Proof-of-Concept-Exploits (PoC) [1][2][3][4][5] verfügbar, und mehrere Cybersecurity-Organisationen haben vor aktiven Angriffskampagnen gewarnt [6][7][8]. Obwohl CVE-2025-31324 ursprünglich als Zero-Day-Schwachstelle ausgenutzt wurde (vor der öffentlichen Bekanntgabe), enthält der Greenbone Enterprise Feed nun einen Erkennungstest, mit dem Unternehmen anfällige Instanzen von SAP NetWeaver in ihrer Umgebung identifizieren und Abhilfemaßnahmen ergreifen können.

In der Vergangenheit wurden kritische Sicherheitslücken in SAP NetWeaver wie CVE-2020-6287 (auch bekannt als RECON) von Initial Access Brokern (IAB) ausgenutzt, die dann den unbefugten Zugriff an Ransomware-Betreiber verkauften. Sehen wir uns die Umstände von CVE-2025-31324 genauer an.

Was ist SAP NetWeaver?

SAP NetWeaver ist als Software-Framework innerhalb der SAP-Suite für Unternehmen kategorisiert. Es dient als grundlegende Integrations- und Anwendungsplattform für verschiedene SAP-Lösungen, darunter SAP Enterprise Resource Planning (ERP), Customer Relationship Management (CRM), Supply Chain Management (SCM) und andere Geschäftsprozesse. SAP NetWeaver unterstützt eine Vielzahl von Anwendungsfällen, darunter die Ausführung der SAP ERP Central Component (ECC), die Entwicklung und Bereitstellung kundenspezifischer Anwendungen mit ABAP (der proprietären Programmiersprache von SAP) oder Java, die Integration von Geschäftsprozessen und Datenbanken aus SAP- und Nicht-SAP-Systemen sowie die Integration verteilter Dienste über Web-Services oder Remote Function Calls (RFCs).

Obwohl SAP NetWeaver mit rund 8.471 Unternehmen, die die Plattform nutzen, nur einen winzigen Bruchteil der globalen Software-Frameworks-Kategorie ausmacht, handelt es sich dabei um namhafte Unternehmen wie Accenture, Baker Hughes, Jabil, Rockwell Automation und Wolters Kluwer. 41 % der SAP NetWeaver-Kunden haben ihren Sitz in den Vereinigten Staaten, gefolgt von 7 % in Indien und 6 % in Deutschland. Zu den Wettbewerbern von SAP NetWeaver zählen Oracle Fusion Middleware, MuleSoft Anypoint Platform und IBM WebSphere.

Sicherheitslücken in SAP NetWeaver: Beliebte Ransomware-Ziele

CVE-2020-6287 (CVSS 10), bekannt als RECON, ist eine weitere hochrangige Sicherheitslücke in SAP NetWeaver, die 2020 bekannt wurde und von Ransomware-Akteuren aktiv ausgenutzt wurde. Nach der öffentlichen Bekanntgabe der RECON-Sicherheitslücke im Juli 2020 entwickelten und verbreiteten Angreifer rasch Exploit-Tools. Innerhalb eines Tages war ein PoC-Exploit verfügbar, und kurz darauf begannen massenhafte Scan-Aktivitäten. Berichten zufolge nutzten Initial Access Broker zunächst RECON aus und verkauften dann den Zugriff an Ransomware-Betreiber und Spione, was zur Insolvenz mindestens eines US-Unternehmens führte.

CVE-2025-31324: Technische Beschreibung

CVE-2025-31324 betrifft den Application Layer, insbesondere den Java-Stack von SAP NetWeaver innerhalb der Visual Composer-Entwicklungsumgebung. Die Ausnutzung von CVE-2025-31324 folgt einem typischen Angriffsmuster für Schwachstellen für nicht authentifiziertem Datei-Upload [CWE-434], um RCE zu erlangen: dem Hochladen einer Webshell. Angreifer wurden bereits beobachtet, wie sie nach SAP NetWeaver Java-Instanzen suchen, um das Vorhandensein des URL-Ziels /developmentserver/metadatauploader zu identifizieren. Wenn dieser gefunden wird, wird eine speziell gestaltete POST-Anfrage verwendet, um schädliche ausführbare Dateien (z. B. .jsp-Webshells) hochzuladen. Sobald die Webshell hochgeladen wurde, können Angreifer direkt über einen Webbrowser darauf zugreifen und beliebige Befehle auf dem System des Opfers mit den Berechtigungen des Betriebssystembenutzers <sid>adm ausführen.

Dies ermöglicht den Zugriff auf die zugrunde liegende Datenbank. Angreifer können die Geschäftslogik ändern und möglicherweise auf andere interne Systeme zugreifen, Ransomware einsetzen, Finanzdaten stehlen oder verändern oder sensible Geschäftsdaten herausfiltern. Aus den analysierten Angriffskampagnen geht außerdem hervor, dass Angreifer „Living off the Land“-Techniken (unter Verwendung nativer Betriebssystemfunktionen) einsetzen, um sich dauerhaften Zugriff zu verschaffen, ohne dass die hochgeladene Webshell erforderlich ist.

Wie Sie CVE-2025-31324 in SAP NetWeaver entschärfen

SAP hat in einer Ankündigung zum Sicherheitspatch vom April 2025 nur einen kurzen Hinweis auf CVE-2025-31324 gegeben. Der Hersteller folgt einem Standard-Patch-Zyklus für die Veröffentlichung von Updates, ähnlich dem monatlichen „Patch Tuesday“ von Microsoft. Um CVE-2025-31324 zu beheben, stellen Sie sicher, dass Ihr SAP NetWeaver-System auf das neueste Support-Paket aktualisiert ist. Wenn der Sicherheitspatch nicht sofort angewendet werden kann, sollten Sie die Visual Composer-Komponente vorübergehend deaktivieren, um eine Ausnutzung zu verhindern, bis die Updates installiert werden können.

Idealerweise sollten NetWeaver-Instanzen nicht direkt im öffentlichen Internet verfügbar sein. Dies birgt erhebliche Sicherheitsrisiken, darunter die Gefährdung durch RCE-Schwachstellen, die Umgehung der Authentifizierung und den unbefugten Datenzugriff. Zur Unterstützung von Remote-Arbeit, ausgelagerten Vorgängen oder Cloud-gehosteten Instanzen sollten angemessene Sicherheitsgateways konfiguriert werden, z. B. ein gesicherter Reverse-Proxy, VPN oder WAF-Kontrollen.

Es ist auch wichtig, nach Anzeichen für eine Kompromittierung (Indicators of Compromise, IoC) zu suchen, um sicherzustellen, dass Angreifer keine anfälligen NetWeaver-Instanzen bereits ausgenutzt haben. Forscher haben Webshells beobachtet, die Dateinamen wie „helper.jsp“, „cache.jsp“ oder andere zufällige Dateinamen verwenden. Weitere Maßnahmen zur Erkennung von Infektionen umfassen das Scannen von Systemen auf Malware oder andere unerwartete Dateien, die Analyse von Zugriffsprotokollen auf verdächtige POST-Anfragen an /developmentserver/metadatauploader und die Überprüfung von Verzeichnissen wie /irj/root, /irj/work und /irj/work/sync auf nicht autorisierte .jsp-, .java- oder .class-Dateien. Scannen Sie außerdem nach anderen IoCs, die mit der Aufrechterhaltung der Persistenz in Bezug auf Ihr SAP-Serverbetriebssystem (OS) zusammenhängen.

Zusammenfassung

CVE-2025-31324 ist eine kritische Sicherheitslücke in der Visual Composer-Komponente von SAP NetWeaver, die unauthentifizierte RCE über beliebige Datei-Uploads ermöglicht. Die Schwachstelle wurde als Zero-Day-Exploit ausgenutzt und in Angriffen verwendet, bei denen zunächst NetWeaver-Instanzen mit einer Webshell infiziert wurden, um anschließend das gesamte System zu kompromittieren, einschließlich lateraler Bewegungen innerhalb von Unternehmensnetzwerken

Unternehmen, die SAP NetWeaver verwenden, werden dringend aufgefordert, den Notfall-Patch von SAP zu installieren oder die Visual Composer-Komponente zu deaktivieren und ihre Systeme auf Anzeichen einer Kompromittierung zu überprüfen, um bestehende Kompromittierungen zu identifizieren und infizierte Systeme wiederherzustellen. Der Greenbone Enterprise Feed enthält einen Erkennungstest, mit dem Unternehmen anfällige Instanzen von SAP NetWeaver in ihrer Umgebung identifizieren und Abhilfemaßnahmen ergreifen können.