Schlagwortarchiv für: Greenbone

Utrecht wird am 10. und 11. September 2025 zum Treffpunkt der Cybersecurity-Branche. OPENVAS B.V. ist erstmals mit einem Stand auf der Cybersec Netherlands vertreten – ein wichtiger Meilenstein, um nach der Gründung der Niederlassung für die Benelux-Staaten unsere lokale Präsenz auszubauen und den direkten Austausch mit geschäftlichen Kontakten zu fördern. Die Region zählt zu den innovativsten Standorten Europas im Bereich Digitalisierung und IT-Infrastruktur. Mit unserer Präsenz stärken wir diesen Innovationsgeist und stehen Unternehmen in der Region mit umfassender Expertise, praxisnahen Lösungen und einem klaren Verständnis für die Anforderungen des lokalen Marktes zur Seite.

Blog Banner Cybersec 2025

Ein starkes Signal für die Benelux-Region

„Nicht zuletzt durch regulatorische Anforderungen wie NIS2 erkennen viele Organisationen die Bedeutung einer proaktiven IT-Sicherheitsstrategie. Gleichzeitig wünschen sie sich den persönlichen Austausch über unsere Lösungen. Die Cybersec Netherlands bietet die ideale Plattform dafür“, erklärt Maurice Godschalk, Account Director bei OPENVAS B.V. Mit der niederländischen Tochtergesellschaft verstärkt Greenbone seine Präsenz in Europa und unterstützt lokale Institutionen dabei, Schwachstellen frühzeitig zu erkennen und Risiken effektiv zu reduzieren.

Aktuelle Herausforderungen im Fokus

Die Zahl ungeschlossener Sicherheitslücken in digitalen Infrastrukturen steigt weiter, während Cyberkriminelle bekannte Schwachstellen mithilfe neuer Technologien gezielt und immer schneller ausnutzen. Gleichzeitig erschwert die zunehmende Komplexität der IT-Umgebungen vielen Organisationen den vollständigen Überblick über ihre Systeme. Hier ist ein professionelles Schwachstellenmanagement unverzichtbar – es bildet den zentralen Baustein für stärkere Cyber-Resilienz.

Besuchen Sie uns in Utrecht!

Auf der Messe diskutieren Sicherheitskoryphäen konkrete Ansätze, wie Organisationen ihre Cyber-Resilienz nachhaltig stärken können. Interaktive Sessions, Live-Demonstrationen und Fachvorträge fördern den Austausch zwischen Unternehmen, Behörden und Sicherheitsprofis, und tragen so zu einer gemeinsamen Sicherheitskultur bei.

Erleben Sie OPENVAS B.V. live am Stand 11.E069 und informieren Sie sich über unsere Lösungen für skalierbares und effizientes Schwachstellenmanagement. Das lokale Team um Maurice Godschalk freut sich auf den persönlichen Dialog, individuelle Beratung und praxisnahe Einblicke in unsere Technologie.

Die Cybersec Netherlands eröffnet einen spannenden Event-Herbst: In den kommenden Wochen und Monaten werden Greenbone und die Tochtergesellschaften auf zahlreichen führenden Konferenzen vertreten sein – mit dem klaren Ziel, Organisationen weltweit sicherer zu machen.

Unternehmen und Behörden müssen ab August 2025 die ersten Regelungen des EU AI Acts umsetzen – eine neue Ära der Verantwortung im Umgang mit Künstlicher Intelligenz beginnt. Weil der AI Act der EU nicht nur technische Anpassungen verlangt, sondern ein grundsätzliches Umdenken in den Köpfen, muss KI künftig differenziert nach Risiko und Anwendungsfall betrachtet werden. Das gilt umso mehr, wenn sie in sensible Lebensbereiche eingreift oder mit personenbezogenen Daten arbeitet.

Für Organisationen bedeutet das: Sie müssen sich intensiv mit dem Ökosystem rund um ihre KI-Systeme auseinandersetzen, Risiken frühzeitig erkennen und gezielt adressieren. Transparenz über die Datengrundlage, nachvollziehbare Modelle und menschliche Aufsicht sind keine Option mehr, sondern Pflicht. Gleichzeitig bietet der AI Act ein wertvolles Rahmenwerk, um Vertrauen aufzubauen und KI langfristig sicher und verantwortungsvoll zu nutzen. Auch Schwachstellenmanagement und Cybersecurity sind davon nicht ausgenommen.

Cybersecurity-Experten im KI-Interview

Wir haben Kim Nguyen, Senior Vice President Innovation von der Bundesdruckerei und lange Jahre der Chef und das Gesicht der Trusted Services dort, in einem Interview zum Thema KI, Regulierungen und dem Einfluss auf die Cybersecurity befragt. Außerdem gibt uns Greenbone-CMO Elmar Geese einen Ausblick auf die Zukunft des Schwachstellenmanagements.

Kim Nguyen, Senior Vice President für Innovation bei der Bundesdruckerei

Greenbone: Kim, das Thema KI und Cybersecurity ist ja derzeit in aller Munde, auch auf Veranstaltungen wie der jüngsten Potsdamer Konferenz für Cybersecurity. Und Sie sind da „mittendrin“ im gesellschaftlichen Diskurs.

Nguyen: Ja, dass das Thema Künstliche Intelligenz mir sehr am Herzen liegt, kann ich nicht leugnen, das sieht man in meinen Veröffentlichungen und Keynotes dazu. Mein Ansatz unterscheidet sich dabei ein wenig von den meisten anderen. Er hat viel mit Vertrauen zu tun, und das hat verschiedene Dimensionen: Eine davon ist Wohlwollen. Das bedeutet, das Wohl der einzelnen Nutzenden muss im Mittelpunkt stehen. User sind sicher, das System operiert zu ihrem Nutzen und verfolgt keine ihnen nicht bekannte Agenda.

Greenbone: Was denken Sie, wird die Cybersecurity insgesamt mit KI sicherer oder eher gefährlicher?

Nguyen: Künstliche Intelligenz ist natürlich längst in der Cybersicherheit angekommen und zwar als Risiko wie als Chance: Sie vergrößert einerseits den Angriffsvektor, denn Cyberkriminelle können ihre Angriffe schneller, automatisierter und gezielter durchführen. Andererseits kann sie dabei helfen, die Verteidigung zu härten, etwa bei der Analyse von Echtzeitdaten aus verschiedenen Sicherheitsquellen, um Sicherheitsvorfälle automatisch zu identifizieren und entsprechend zu reagieren.

„Ein Katz- und Mausspiel“

Wer bei diesem Katz- und Mausspiel zwischen Angreifenden und Verteidigeneden mithalten will, muss heute auch auf KI setzen, gerade in der Verteidigung. Die staatliche Regulierung ist dabei zentral, denn ohne entsprechende Gesetze und technische Vorgaben kann niemand unterscheiden, was erlaubt und vertrauenswürdig ist und was nicht.

Außerdem müssen Gesetzgebende bei dieser überaus dynamischen technischen Entwicklung weiterhin aktiv eingreifen, um Handlungs- und Rechtssicherheit zu gewährleisten. Das richtige Maß zu finden und gleichzeitig genug Freiräume zu lassen, damit Innovationen möglich bleiben und KI ein Enabler sein kann, ist nicht einfach, aber immens wichtig.

Greenbone: Was sind für Sie die wichtigsten Fragen/Regulierungen im EU AI Act und den Verordnungen, denen sich Unternehmen stellen müssen? Was kommt da noch auf uns zu? Wie bereitet sich denn eine große Institution wie die Bundesdruckerei vor?

Nguyen: Mit dem AI Act müssen Unternehmen ihre KI-Systeme risikobasiert einordnen und je nach Klassifizierung unterschiedlich strenge Anforderungen an Transparenz, Daten

qualität, Governance und Sicherheit erfüllen – und das insbesondere bei Hochrisiko-Anwendungen.

Es geht jedoch nicht nur darum, Compliance sicherzustellen, sondern auch den regulatorischen Rahmen als strategischen Hebel für vertrauenswürdige Innovation und nachhaltige Wettbewerbsfähigkeit zu nutzen. Dafür reicht es nicht, den Fokus lediglich auf ein entsprechendes KI-Modell zu legen. Wichtig sind ebenfalls die Integration, das Training des Modells und die Schulung der Nutzenden. Umfangreiche Sicherheitsleitplanken – so genannte „Guard Rails“ – müssen eingezogen werden, um sicherzustellen, dass ein System keine unerlaubten Vorgänge unternehmen kann.

„Eingespielte Prozesse bringen Nachvollziehbarkeit, Robustheit und Transparenz in den Vordergrund“

Die Bundesdruckerei als Technologieunternehmen des Bundes ist seit vielen Jahren im Hochsicherheitsbereich tätig. Wir verfügen über eingespielte Prozesse und Strukturen, die Nachvollziehbarkeit, Robustheit und Transparenz in den Vordergrund stellen und damit auch Vertrauen in verschiedene KI-Lösungen für die Verwaltung bringen: Mit dem KI-Kompetenzcenter unterstützen wir etwa Bundesbehörden und Ministerien bei der Entwicklung von KI-Anwendungen. Mit dem Auswärtigen Amt haben wir die Plattform PLAIN geschaffen, die eine gemeinsame Infrastruktur für Daten und KI-Anwendungen bietet oder mit Assistent.iQ einen KI-Assistenten entwickelt, der die Anforderungen der Verwaltung an Datensicherheit, Nachvollziehbarkeit und Flexibilität erfüllt.

Greenbone: Opensource ist ja ein Mindestkriterium für Vertrauen in Software, IT und Cybersecurity – Geht das mit KI überhaupt, und in welchem Maße?

Nguyen: Open Source ist ein wichtiges Thema bei KI, denn sie kann durch Prüfung von Codes und Modellen für notwendiges Vertrauen sorgen. Dafür müssen die Ergebnisse genau geprüft und bestätigt werden können. In diesem Fall braucht man eine Community, die sich regelmäßig einbringt und kümmert.

Oft ist der Open-Source-Ansatz vieler Projekte ambitioniert und ehrenwert, doch später werden manche Projekte nicht mehr genügend gepflegt oder kommen ganz zum Erliegen. Ohnehin muss man beim Thema Open Source und KI genau hinschauen, anders ausgedrückt: Open Source ist nicht gleich Open Source. Wenn KI-Entwickelnde ihre Modelle unter einer Open-Source-Lizenz veröffentlichen, bedeutet das längst nicht, dass man auch eine Open-Source-KI bekommt.

Wichtig sind zum einen die Zahlenwerte, die sogenannten Gewichte des KI-Modells, die bestimmen, wie dieses Eingaben verarbeitet und Entscheidungen trifft. Und zum zweiten auch die Trainingsdaten – und gerade diese werden der Kundschaft und den Nutzenden häufig vorenthalten. Dabei kann man erst mit ihnen zu einer Einschätzung kommen, wie nachvollziehbar, vertrauenswürdig und reproduzierbar ein Open-Source-Modell wirklich ist. Erst wenn das gesamte Wissen hinter den verschiedenen Modellen frei verfügbar ist, können sich hierauf aufbauend tragfähige Ideen entwickeln und Innovationen entstehen.

Greenbone: Was fehlt denn, um KI sicher einzusetzen? Was müssen wir ändern?

Nguyen: Damit KI sicher eingesetzt werden kann, braucht es zusätzlich zur technischen Exzellenz ein entsprechendes Mindset in Entwicklung, Governance und Verantwortung. Konkret müssen wir Sicherheit nach dem Prinzip „Security by Design“ von Anfang an mitdenken. Das bedeutet: Entwickelnde müssen stets systematisch prüfen, was schiefgehen kann und diese Risiken frühzeitig in den Entwurf und die Architektur des Modells integrieren.

Ebenso wichtig ist Transparenz über die Grenzen von KI-Systemen hinweg: Sprachmodelle funktionieren bislang nur innerhalb bestimmter Kontexte zuverlässig – außerhalb dieser Trainingsdomäne liefern sie zwar plausible, aber potenziell fehlerhafte Ergebnisse. Die Entwickelnde sollten deshalb klar kommunizieren, wo das Modell zuverlässig funktioniert und wo nicht.

Mindset, Kontext und Urheberrecht

 Wenn wir keine massiven Vertrauens- und Compliance-Probleme erleben möchten, dürfen wir zudem die Fragen zu Urheberrechten bei Trainingsdaten nicht vernachlässigen. Dann braucht es noch klare Testdaten, geeignete Evaluierungsinfrastruktur und eine laufende Überprüfung von Bias und Fairness.

Eine ausgewogene Kombination aus gesetzlicher Regulierung, technischer Selbstverpflichtung und schnell reagierender Governance ist dabei der Schlüssel für eine KI, mit der man demokratische Werte schützt und technologische Verantwortung übernimmt.

Greenbone: Glauben Sie, die EU hat hier einen Wettbewerbsvorteil?

Nguyen: Ja, die EU hat im globalen KI-Wettbewerb einen echten Vorteil – und dieser liegt im Vertrauen.  Andere Regionen setzen vor allem auf Geschwindigkeit und Marktdominanz – und nehmen dafür, wie zuletzt in den USA geschehen, die Tech-Giganten weitestgehend aus der Verantwortung für gesellschaftliche Risiken. Dagegen etabliert Europa mit dem AI Act geradezu exemplarisch ein Modell, das auf Sicherheit, Datenschutz und menschenzentrierte Entwicklung setzt.

Gerade weil KI zunehmend in sensible Lebensbereiche vordringt, wird der Schutz persönlicher Daten und die Durchsetzung demokratischer Werte immer wichtiger. Die EU schafft mit ihrer Governance-Struktur verbindliche Standards, an denen sich viele Länder und Unternehmen weltweit orientieren. Dieser Fokus auf Werte wird sich langfristig für Europa auszahlen – und zwar für den Export von Technologien sowie die Stärkung des gesellschaftlichen Vertrauens in Demokratie und digitale Systeme vor Ort.

Besonders bei der Entwicklung menschenzentrierter KI ist Europa Vorreiter. Regulierung darf dabei jedoch nicht zum Innovationshemmnis werden: Vertrauen und Sicherheit müssen Hand in Hand gehen mit Investitionsbereitschaft, technologischer Offenheit und schneller Umsetzungsfähigkeit. Dann kann Europa Standards setzen – und eine eigene, wettbewerbsfähige KI-Identität aufbauen.

Greenbone-CEO Elmar Geese zu KI im Schwachstellenmanagement

Greenbone: Herr Geese, KI ist in aller Munde, welche Veränderungen bringt künstliche Intelligenz fürs Schwachstellenmanagement?

Geese: Ich denke, KI wird uns da viel Unterstützung bringen, aber ersetzen kann sie das Schwachstellenmanagement nicht. Zwar kann künstliche Intelligenz beispielsweise zeitaufwändige Routineaufgaben wie die Auswertung großer Datenmengen übernehmen, Muster erkennen und Vorschläge zur Priorisierung machen. Das Sicherheitsteam trifft aber stets die finalen Entscheidungen und hat volle Kontrolle, besonders bei komplexen oder kritischen Fällen, wo menschliches Kontextverständnis unverzichtbar ist.

Der gezielte Einsatz, mit „Augenmaß“ und Planung von KI im Schwachstellenmanagement, bringt zahlreiche Vorteile, ohne dass man die Kontrolle komplett aus der Hand geben muss. Wir setzen heute bereits KI ein, um unserer Kundschaft ein besseres Produkt bereitzustellen, ganz ohne dass dabei Kundendaten zu den Anbietenden der großen KI Dienste übertragen werden. Unsere „vertrauensvolle KI“ kommt komplett ohne Weitergabe und zentrales Sammeln von Daten aus.

Greenbone: Welche Risiken muss man da beachten?

Geese: Nach dem heutigen Stand der Technik beinhaltet der Einsatz von KI in sicherheitskritischen Bereichen einige Risiken, die es zu begrenzen gilt. Automatisierung bietet hier viele Chancen, aber auch Risiken wie Fehlentscheidungen, neue Angriffsflächen oder unerwünschte Systemeffekte. Eine KI „mit Augenmaß“ kombiniert menschliche und maschinelle Stärken, so dass technologische Vorteile wie Geschwindigkeit und Skalierbarkeit genutzt werden können, ohne das Fachpersonal zu entmachten oder Sicherheitsrisiken einzugehen.

Greenbone und KI

Greenbone setzt auf den gezielten Einsatz von Künstlicher Intelligenz, um Schwachstellen im IT-Bereich effizient zu erkennen und Prioritäten zu unterstützen. Dabei bleibt das Sicherheitsteam jederzeit in der Verantwortung und behält die Kontrolle, besonders bei sensiblen oder komplexen Entscheidungen. Datenschutz steht für uns an oberster Stelle: Kundendaten werden nicht an externe KI-Unternehmen weitergegeben.

Unser Ansatz verbindet die Vorteile moderner Technologien mit menschlichem Urteilsvermögen – für eine zeitgemäße und verantwortungsbewusste Cybersicherheit.

Gern stehen wir für weiterführende Informationen zur Verfügung.  

 

Am 27. August 2025, veröffentlichten mehr als 20 Sicherheitsbehörden eine Cybersicherheitsempfehlung mit dem Titel „Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System“

 

Zu den veröffentlichenden Behörden gehörten 

  • die Nationale Sicherheitsbehörde der Vereinigten Staaten (NSA)
  • Cybersecurity and Infrastructure Security Agency (CISA) der Vereinigten Staaten
  • Federal Bureau of Investigation (FBI) der Vereinigten Staaten
  • Bundesnachrichtendienst (BND) der Bundesrepublik Deutschland
  • Bundesamt für Verfassungsschutz (BfV) der Bundesrepublik Deutschland
  • Bundesamt für Sicherheit in der Informationstechnik (BSI) der Bundesrepublik Deutschland

und viele weitere.

Das sind schlechte Nachrichten. Die gute Nachricht ist, dass Greenbone Ihnen mittels der OPENVAS-Produkte helfen kann, alle Schwachstellen in diesem Angriff zu erkennen.

  1. CVE-2024-21887: Ivanti Connect Secure und Ivanti Policy Secure: Web-Komponenten-Command-Injection-Schwachstelle, die häufig in Kombination mit CVE-2023-46805 (Authentifizierungsumgehung) ausgenutzt wird.
  2. CVE-2024-3400: Palo Alto Networks PAN-OS GlobalProtect: Beliebige Dateierstellung führt zu Betriebssystem-Befehlsinjektion. Diese CVE ermöglicht die Ausführung von Remote-Code ohne Authentifizierung (RCE) auf Firewalls, wenn GlobalProtect auf bestimmten Versionen/Konfigurationen aktiviert ist.
  3. CVE-2023-20273: Schwachstelle im Cisco Internetworking Operating System (IOS) XE Software Web Management User Interface ermöglicht Post-Authentication Command Injection/Privilege Escalation [T1068], häufig verkettet mit CVE-2023-20198 für Erstzugang zur Ausführung von Code als Root.
  4. CVE-2023-20198: Cisco IOS XE Web User Interface Authentication Bypass Schwachstelle.
  5. CVE-2018-0171: Cisco IOS und IOS XE Smart Install Remote Code Execution Schwachstelle.

Wenn Sie unsere Produkte nutzen, empfehlen wir dringend, einen System-Scan durchzuführen und Patch-Anweisungen zu folgen, sollten Ihre Systeme betroffen sein.

Der Juli 2025 Threat Report folgt einem breit angelegten Ansatz, um die top Cyber-Bedrohungen des Monats zu behandeln. Die Microsoft SharePoint Schwachstellen unter dem Namen “ToolShell” dominierten letzten Monat die Schlagzeilen; werfen sie einen Blick auf unseren ToolShell-Artikel für eine genaue Analyse. Im Juli wurden über 4.000 CVEs veröffentlicht, von denen beinahe 500 mit einem CVSS-Score von 9.0 oder höher als kritisch eingestuft wurden. Für Verteidigungsteams stellt das Volumen an Risiken ein wahres Zermürbungsgefecht dar. Greenbone stellte zur Unterstützung im Juli annähernd 5000 neue Erkennungstests bereit. Diese erlauben Verteidigungsteams, Software-Schwachstellen in ihrer IT-Umgebung zu erkennen, den Patch-Stand zu überprüfen und Angreifende davon abzuhalten, die Oberhand zu gewinnen.

Blog Banner Threat - report July 2025

Critische Cisco Schwachstelle ermöglicht unauthentifizierte Ausführung von Remote-Code (RCE) mit Root-Berechtigungen und mehr

Cisco hat die aktive Ausnutzung der Cisco Identity Services Engine (ISE) und Cisco ISE-PIC (Passive Identity Controller) Versionen 3.3 und 3.4 bestätigt. Die schwerwiegendsten Schwachstellen sind CVE-2025-20281, CVE-2025-20337, und CVE-2025-20282; alle CVSS 10. CVE-2025-20281 und CVE-2025-20337 wurden in den CISA KEV (Katalog bekannter, ausgenutzter Schwachstellen) aufgenommen. Jede dieser Schwachstellen kann durch das Übermitteln einer bösartigen API-Anfrage ausgenutzt werden, um Code mit Root-Privilegien auszuführen. Mehrere nationale CERT-Agenturen gaben Warnungen heraus: EU-CERT, CSA Singapore, NHS UK und NCSC Ireland. Cisco rät, umgehend Sicherheitsupdates zu installieren; funktionierende Workarounds sind nicht verfügbar. Der OPENVAS ENTERPRISE FEED enthält entsprechende Versionserkennungstest [1][2][3].

Anfang Juli schlug außerdem eine weitere kritische CVE in Cisco Unified Communications Manager Wellen. CVE-2025-20309 (CVSS 10) ermöglicht den Fernzugang mit Root-Berechtigungen via hart kodierten SSH Zugangsdaten. Belgiens CERT.be und NSSC Ireland gaben Warnungen heraus und die Schwachstelle wurde im AUSCERT-Wochenrückblick behandelt.

Aktive Angriffe treffen CrushFTP- und WingFTP-Server

Hochrisiko-CVEs in CrushFTP und WingFTP wurden kurz nach ihrer Veröffentlichung in den CISA KEV-Katalog aufgenommen, begleitet von globalen CERT-Warnungen [1][2][3]. FTP-Server sind häufig an das öffentliche Internet exponiert, allerdings können auch Instanzen in lokalen Netzwerken Hackenden Möglichkeiten für Persistenz und laterale Bewegung bieten [4]. FTP-Server speichern überdies häufig sensible Daten, was das Risiko für Ransomware-Angriffe erhöht.

  • CVE-2025-54309 (CVSS 9.8, EPSS ≥ 91. Perzentil): CrushFTP is anfällig für ungeschützte alternative Kanal-Schwachstellen [CWE-420], wenn das DMZ Proxy-Feature nicht genutzt wird. Die Software handhabt AS2-Validierung inkorrekt, was Remote-Administrationszugriff über HTTPS ermöglicht. Der OPENVAS ENTERPRISE FEED verfügt über einen Remote-Banner-Erkennungstest, um anfällige Instanzen zu erkennen. Nutzende sollten umgehend auf CrushFTP 10.8.5_12 (oder höher), beziehungsweise 11.3.4_23 (oder höher) aktualisieren.
  • CVE-2025-47812 (CVSS 10, EPSS ≥ 99. Perzentil): Nicht bereinigte Null-Byte-Zeichen in der Web-Oberfläche von WingFTP vor Version 7.4.4 erlauben die Ausführung von Remote-Lua-Code mit den Berechtigungen des FTP-Services (standardmäßig root oder SYSTEM). Greenbone liefert Aktive Prüfung und Versionsprüfung zur Identifizierung anfälliger Instanzen. Es wird dringend zu einem Update auf Version 7.4. oder höher geraten.

Patch-Umgehung ermöglicht Beliebigen Datei-Zugang in Node.js

CVE-2025-27210 (CVSS 7.5) ermöglicht die Umgehung von Sicherheitsmaßnahmen für CVE-2025-23084 (CVSS 5.6), einer bereits im januar 2025 adressierten Schwachstelle von Node.js auf Windows-Plattformen. Schätzungsweise 4.8% aller Web-Server weltweit und viele On-Premises und Cloud-native Anwendungen nutzen Node.js. Nationale CERT-Mitteilungen warnten vor hohen Risiken. [1][2] Mindestens ein Funktionsnachweis-Exploit (PoC, Proof of Concept) ist öffentlich verfügbar. [3] Sowohl der OPENVAS ENTERPRISE FEED als auch der COMMUNITY FEED enthalten einen Versionserkennungstest.

Die als Pfadmanipulation [CWE-22] (Path Traversal) klassifizierte Schwachstelle beruht auf den integrierten Funktionen path.join und path.normalize(), die nicht hinreichend auf Windows-Gerätenamen filtern, darunter reservierte Namen für spezielle Systemgeräte wie COM, PRN und AUX [4]. Dies kann aus der Ferne ausgenutzt werden, um Verzeichnisschutzmaßnahmen zu umgehen, wenn Eingaben von Nutzenden an die genannten Funktionen übergeben werden. Betroffen sind Node.js Versionen 20.x vor 20.19.4, sowie 22.x vor 22.17.1 und 24.x vor 24.4.1.

CVE-2025-37099: Vollständige Fernübernahme von HPE Insight Remote Support

Neue Schwachstellen in HPE Insight Remote Support stellen ein enormes Risiko für vollständige Systemübernahme innerhalb von Unternehmensinfrastrukturen dar. IRS wird in lokalen Unternehmensnetzwerken eingesetzt, um Hardware-Gesundheitsprüfungen, Infrastruktur-Monitoring und die Erstellung von Support-Tickets zu automatisieren.

CVE-2025-37099 (CVSS 9.8) ermöglicht die unauthentifizierte Ausführung von Remote-Code (RCE) auf SYSTEM-Ebene durch unzureichende Eingabevalidierung [CWE-20] in der processAttatchmentDataStream-Logik. Dadurch können bösartige Payloads als Code ausgeführt werden [CWE‑94][1]. Angreifende können somit Schadsoftware auf verwalteten Systemen ausführen. Auch wenn entsprechende Vorfälle nicht explizit dokumentiert sind, könnte der Zugang auf SYSTEM-Ebene ebenfalls genutzt werden, um Überwachungsprotokolle zu manipulieren oder zu löschen und damit Aktivitäten zu verschleiern. Da der betroffene Dienst häufig mit Geräten wie Servern und iLO-Controllern interagiert, könnte die Kompromittierung laterale Bewegung ermöglichen. [2]

HPE IRS sollte umgehend auf Version 7.15.0.646 oder höher aktualisiert werden. Die koordinierte Offenlegung beinhaltete überdies zwei weitere CVEs: CVE-2025-37098 und CVE-2025-37097, beide mit CVSS 7.5. Ein Versionserkennungstest zur Identifizierung anfälliger Instanzen und zur Verifizierung des Patch-Status zwecks Compliance ist im OPENVAS ENTERPRISE FEED enthalten.

Kritische Sicherheitsupdates für DELL-CVEs mit erhöhten EPSS-Werten

Kumulative Sicherheitsupdates für eine beträchtliche Menge an Dell-Produkten wurden veröffentlicht, um Sicherheitslücken in diversen Komponenten zu schließen. Der kanadische Cyber-Sicherheitsdienst CSE gab im Juli bezüglich dieser Updates drei Benachrichtigung heraus [1][2][3]. Folgend finden Sie einige der kritischen CVEs aus diesem Batch, die alle mit dem OPENVAS ENTERPRISE FEED erkannt werden können [1][2][3][4][5]:

  • CVE-2024-53677 (CVSS 9.8, EPSS 99. Perzentil): Dell Avamar Data Store und Avamar Virtual Edition erhielten Updates bezüglich einer Schwachstelle in Apache Struts. Alternative Gegenmaßnahmen oder Workarounds sind nicht verfügbar. Eine Liste betroffener Produkte ist in Dells Sicherheitsbulletin zu finden.
  • CVE-2025-24813 (CVSS 9.8, EPSS 99. Perzentil): Dell Secure Connect Gateway vor Version 5.30.0.14 ist von einer Apache Tomcat-Schwachstelle und weiteren kritischen CVEs betroffen. Das Update ist laut Dell von kritischer Wichtigkeit.
  • CVE-2004-0597 (CVSS 10, EPSS 99. Perzentil): Dell Networker birgt kritische Pufferüberlauf-Schwachstellen (Buffer Overflow) in libpng, die Angreifenden unter anderem die Ausführung von Remote-Code aus der Ferne durch den Einsatz bösartig manipulierter PNG-Dateien ermöglichen. Mehr Informationen dazu in Dells Sicherheitsbulletins [1][2][3][4].
  • CVE-2016-2842 (CVSS 9.8, EPSS ≥ 98. Perzentil): Dell Data Protection Advisor ist von Schwachstellen in diversen Komponenten betroffen, darunter CVE-2016-2841 in OpenSSL, das die Speicherzuweisung nicht korrekt kontrolliert und somit DoS (Denial of Service) und unter Umständen RCE (Ausführung von Remote-Code) ermöglicht. Weitere Informationen sind im Sicherheitsbulletin zu finden.
  • CVE-2025-30477 (CVSS 4.4): Dell PowerScale nutzt einen unsicheren kryptografischen Algorithmus. Die Folge ist mögliche, unbefugte Informationsfreigabe. Kritische PowerScale-Schwachstellen wurden im Juni 2025 behoben. Mehr Informationen in den Sicherheitsbulletins [1][2].

Eine Kumulative Zusammenfassung von 2025 D-LINK-Schwachstellen

Der OPENVAS ENTERPRISE FEED und der COMMUNITY FEED decken mit aktuell 27 Schwachstellentests den Großteil der D-Link-Produkte betreffenden CVEs ab, die 2025 veröffentlicht wurden. In Anbetracht der Relevanz von Sicherheit am Netzwerkrand (network edge security) sollten Schwachstellen in Routern und anderen Gateway-Geräten einen besonderen Stellenwert für Sicherheitsteams innehaben. Nach der Beilegung einer US-Regulierungsmaßnahme zwischen D-Link und der Federal Trade Commission erklärte sich D-Link 2019 bereit, ein umfassendes Sicherheitsprogramm umzusetzen. Es bleibt jedoch in Frage zu stellen, ob diese Maßnahmen weitreichend genug sind. Ivanti-Produkte zum Beispiel waren in den letzten Jahren von zahlreichen Schwachstellen hoher Kritikalität betroffen [1][2][3][4][5], von denen einige in Ransomware-Angriffen ausgenutzt wurden.

Adobe schließt kritische Sicherheitslücken in ColdFusion

Sicherheitsupdates für ColdFusion 2025, 2023, und 2021 behandeln 13 neue CVEs; fünf kritische Schwachstellen, darunter XEE (CVE-2025-49535, CVSS 9.3), hart codierte Zugangsdaten (CVE-2025-49551, CVSS 8.8), OS-Befehlsinjektion, XML-Injektion und SSRF. 2023 wurde die ColdFusion-Schwachstelle CVE‑2023‑26360 (CVSS 9.8) von Bedrohungsakteuren genutzt, um sich initialen Zugriff auf US-amerikanische zivile Bundesbehörden zu verschaffen.

Eine Remote-Versionsprüfung zum Erkennen ungepatchter Instanzen ist im OPENVAS ENTERPRISE FEED enthalten. Umgehende Aktualisierungen auf Update 3 (ColdFusion 2025), Update 15 (2023) oder Update 21 (2021) sind dringend empfohlen.

Splunk Enterprise aktualisiert Komponenten mit kritischer Kritikalität

Kumulative Updates für Splunk Enterprise betreffen diverse Komponenten von Dritten, unter anderem golang, postgres, aws-sdk-java und idna. Einige Komponenten wiesen eine kritische CVSS-Kritikalität auf, wie beispielsweise CVE-2024-45337 (CVSS 9.1) mit einem EPSS-Perzentil von ≥ 97%, was auf eine hohe Wahrscheinlichkeit von Exploit-Aktivität hinweist. CERT-FR und der kanadische Cyber CSE haben Warnungen zu den Splunk-Bulletins vom Juli veröffentlicht. Der Patch-Stand kann mit einem Versionstest aus dem OPENVAS ENTERPRISE FEED geprüft werden. Schwachstellentests für frühere Splunk-Sicherheitsbulletins und CVEs sind ebenfalls enthalten.

Oracle behebt eine Reihe hoch kritischer VirtualBox Schwachstellen

Mitte Juli wurden mehrere CVEs im Zusammenhang mit Oracle VM VirtualBox Version 7.1.10 veröffentlicht. Diese ermöglichen lokal privilegierten Angreifenden (mit Zugang zur Host-Infrastruktur oder auf die Ausführungsumgebung der Gast-VM), VirtualBox zu kompromittieren, was Privilegieneskalation oder die volle Kontrolle über die Kernkomponente des Hypervisors ermöglicht. Der Integer-Overflow-Bug CVE‑2025‑53024 (CVSS 8.2) im VMSVGA virtual device kommt durch unzureichende validierung von Eingaben zustande und führt zu Speicherkorruption mit Potenzial für komplette Kompromittierung des Hypervisors. [1] OPENVAS ENTERPRISE FEED  und COMMUNITY FEED enthalten Versionserkennungstests für Windows, Linux, und macOS.

Schwachstelle nach Authentifizierung ermöglicht RCE in SonicWall SMA100

CVE-2025-40599 (CVSS 9.1) ist eine Schwachstelle für beliebiges Hochladen von Dateien nach Authentifizierung in SonicWall SMA 100-Appliances. Sie ermöglicht Remote-Angreifenden mit Administrationsrechten die Ausführung von beliebigem Code sowie persistenten Zugriff. Schwache oder gestohlene Zugangsdaten erhöhen das Risiko dieser Schwachstelle. Betroffen sind die Modelle SMA 210, 410 und 500v, Versionen 10.2.1.15-81sv und darunter. SonicWalls Sicherheitsbulletin zufolge gibt es keinen wirksamen Workaround. Der OPENVAS ENTERPRISE FEED beinhaltet einen Remote-Versionstest zur Identifizierung anfälliger Geräte.

Neue MySQL CVEs ermöglichen Authentifizierte DoS-Attacken

Inmitten der Vielzahl von Schwachstellen, die unautorisierte RCE ermöglichen, sind solche, die lediglich einen Denial of Service (DoS) verursachen, leicht zu übersehen. Im Juli wurden zahlreiche DoS-Schwachstellen und zugehörige Sicherheitsupdates für MySQL 8 und 9 veröffentlicht [1]. Diese Sicherheitslücken erfordern für eine Ausnutzung zwar privilegierten Zugriff, jedoch bieten Managed Service Provider (MSP) gemeinsames MySQL-hosting für kleine und mittlere Unternehmen (KMU), Behörden und Non-Profit-Organisationen an, die den Aufwand für das Betreiben einer eigenen Datenbankinfrastruktur vermeiden möchten. In einem solchen Szenario erhalten Nutzende Zugriff zu separaten Datenbanken auf derselben MySQL-Serverinstanz. Ist eine solche Serverinstanz nicht gepatcht, ist es möglich, andere Organisationen auf derselben Instanz zu beeinträchtigen. Diese Schwachstellen unterstreichen die Wichtigkeit starker Zugangsdaten und der Verteidigung gegen Brute-Force- und Password-Spraying-Angriffe.

Remote Versionserkennungstests für alle untenstehenden CVEs sind verfügbar. Diese sind sowohl im OPENVAS ENTERPRISE FEED, als auch im COMMUNITY FEED zu finden. Sie decken Linux und Windows MySQL Installationen ab.

CVE ID

Betroffene Versionen

Auswirkung

Zugriffsvektor

Patch Status

CVE-2025-50078

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0

DoS (hang/crash)

Authentifizierter Fernzugriff

Gepatcht (July 2025)

CVE-2025-50082

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0

DoS (crash)

Authentifizierter Fernzugriff

Gepatcht (July 2025)

CVE-2025-50083

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0

DoS (crash)

Authentifizierter Fernzugriff

Gapatcht (July 2025)

 

Das Vertrauen in den globalen Finanzsektor sinkt – Grund dafür ist eine Reihe schwerwiegender Cybervorfälle im laufe der vergangenen Jahre. Diese Angriffe sind äußerst großflächig und kostenintensiv. Nicht nur Großunternehmen leiden unter diesem Kampf. Wenn Datenschutz und die Integrität von Finanztransaktionen kompromittiert sind, betrifft dies auch direkt Privatpersonen.

Einige der folgenschwersten Sicherheitsverletzungen bei Finanzunternehmen in der EU und weltweit umfassen:

  • Equifax (2017): Eine ungepatchte Schwachstelle in Apache Struts führte zum Diebstahl von Sozialversicherungsnummern (SSN), Geburtsdaten, Adressen und Führerscheinen von über 147 Millionen Personen.
  • UniCredit (2018): Italien’s zweitgrößte Bank exponierte persönlich identifizierbare Informationen (PII) von 778.000 Personen im Kundschaftskreis. 2024 erhob Italien eine Strafe von 2.8 Millionen Euro.
  • Capital One (2019): Eine fehlkonfigurierte Firewall ermöglichte den Diebstahl der PII von 106 Millionen Personen.
  • Finastra (2023): Ein in Großbritannien ansässige Fintech-Anbieter, der globale Banken bedient, wurde über sein sicheres Dateiübertragungssystem kompromittiert, was zum Diebstahl von über 400 GB sensibler Finanzdaten großer Bankkunden führte.
  • UBS and Pictet (2025): Ein Drittanbieter-Cyberangriff exponierte die PII von über 130.000 Angestellten, darunter Vertragsinformationen von Führungskräften.
  • Bybit (2025): Nordkoreanische Hackende stahlen im bislang größten Angriff auf eine Krypto-Börse 1.5 Millarden Dollar in Ethereum aus Bybit’s Cold Wallet.

Diese Vorfälle betonen die strategische Notwendigkeit, Finanztechnologien abzusichern. Cyberangriffe auf Banken umfassen betrügerische Überweisungen, das Hacken von Geldautomaten, POS-Malware und Datendiebstahl. Je nach Blickwinkel ist die Entwendung von PII sogar schlimmer, als der Diebstahl von Geld. Gestohlene Daten: Namen, Sozialversicherungsnummern, Adressen und andere PII werden im Darknet verkauft und von Angreifenden für social Engineering, Identitätsdiebstahl oder das Eröffnen betrügerischer Bankkonten genutzt. Geopolitische Spannungen erhöhen die Risiken für Opfer von Datendiebstahl. Feindliche Nationalstaaten und rechtlich zweifelhafte Informationsvermittelnde sammeln Informationen über Einzelpersonen zwecks Überwachung, Einschüchterung und Schlimmerem.

Als Reaktion auf die wachsenden Bedrohungen wurde das Gesetz über die Digitale Operationale Resilienz (“Digital Operational Resiliance Act”, kurz “DORA”) eingeführt, um die Cybersicherheitslage des EU-Finanzsektors durch bessere Sicherheitsrichtlinien zu stärken. Der neue Rechtsrahmen spielt eine zentrale Rolle für den regulatorischen Rahmen der EU im Finanzbereich, um das Vertrauen der Kundschaft zu stabilisieren und die Sicherheit von Unternehmen zu stärken.

Wie Greenbone’s OPENVAS SECURITY INTELLIGENCE bei der Einhaltung von DORA hilft:

  • Schwachstellenmanagement ist ein Grundlegender Bestandteil von IT-Sicherheit, mit anerkanntem Nutzen für Operative Resilienz. OPENVAS SCAN von Greenbone ist ein marktführender Schwachstellen-Scanner mit Erfolgsgeschichte.
  • Unser OPENVAS ENTERPRISE FEED enthält branchenführende Abdeckung für die Erkennung von CVEs sowie bei der Erkennung weiterer Schwachstellen im Netzwerk und an Endpunkten.
  • OPENVAS SCAN kann von Netzwerkdiensten erlaubte Verschlüsselungsprotokolle identifizieren, um sicherzustellen, dass Datenübertragungen mit den Richtlinien zur Datensicherheit konform sind.
  • Unsere Compliance-Scans prüfen auf sicherheitsgehärtete Konfigurationen für eine Bandbreite an Betriebssystemen und Anwendungen. Sie umfassen unter anderem CIS Benchmarks für Apache HTTPD, Microsoft IIS, NGINX, MongoDB, Oracle, PostgreSQL, Google Chrome, Windows 11 Enterprise und Linux [1] [2].
  • Alle Komponenten von OPENVAS SECURITY INTELLIGENCE sind für absolute Datensouveränität konzipiert; die Daten Ihres Unternehmens bleiben in Ihrem Unternehmen.
  • Unsere Kernproduktlinie ist Open Source, langjährig erprobt und steht sowohl Kundschaft, als auch Community-Mitgliedern zur externen Prüfung offen. Diese Transparenz erleichtert die Auditierung durch externe IT-Dienstleistende.
  • OPENVAS REPORT von Greenbone ist speziell darauf zugeschnitten, die Beweiserhebung und Aufbewahrung von Daten zwecks Compliance Reporting zu unterstützen.
  • Als aktiv ISO/IEC 27001:2022 und ISO 9001:2015 zertifiziertes Unternehmen setzt Greenbone auf strengste Qualitätsstandards für Informationssicherheit. Die ISO:14001 Zertifizierung für Umweltmanagementsysteme unterstreicht unser fortwährendes Engagement für Nachhaltigkeit und andere wichtige Themen.

Das EU-Gesetz zur Digitalen Operationalen Resilienz (DORA)

DORA ist eine EU-Verordnung, die am 16. Januar 2023 im Amtsblatt der Europäischen Union veröffentlicht wurde. Am 17 Januar 2025 ist sie offiziell in Kraft getreten. DORA ist Teil der Strategie für das digitale Finanzwesen in der EU, mit dem Ziel, Cybersecurity Verwaltung und Risk Management zu standardisieren und somit die operationale Widerstandsfähigkeit des EU-Finanzwesens zu stärken. Die Verordnung betrifft 20 verschieden Arten von Finanzunternehmen, darunter Banken, Versicherungsinstitute, Investmentfirmen und Drittanbietende von Informations- und Kommunikations-Dienstleistungen (IKT-Drittanbietende).

Aber sind Finanzinstitute nicht bereits unter NIS 2 als wesentliche Einrichtungen (EE, Essential Entities) reguliert?

Ja, allerdings bestimmt Artikel 4 von NIS 2, dass von DORA betroffene Finanzdienstleistungsunternehmen—unter anderem Banken, Investmentfirmen, Versicherungsinstitute und Finanzinfrastrukturen—den von DORA gestellten Ansprüchen in vollem Umfang genügen müssen, wenn es um Cybersecurity Risikomanagement und Vorfallsmeldung geht. Darüberhinaus haben alle sektorspezifischen, gleichwertigen EU-Mandate im Bereich Risikomanagement und Vorfallsmeldung Priorität über die entsprechenden Bestimmungen der NIS 2-Verordnung.

Wer sind die Europäischen Aufsichtsbehörden (European Supervisory Authorities, ESAs)?

Es gibt drei offiziell benannte ESAs, die für die Erstellung von Regulatorischen Technischen Standards (RTS) und Technische Durchführungsstandards (Implementing Technical Standards, ITS) verantwortlich sind, welche die Anforderungen von DORA konkretisieren:

  • European Banking Authority (EBA) [1]
  • European Insurance and Occupational Pensions Authority (EIOPA) [2]
  • European Securities and Markets Authority (ESMA) [3]

Was sind Regulatorische Technische Standards (RTS)?

Wie der Name bereits impliziert, definieren RTS die notwendigen technischen Standards, denen unter DORA fallende Unternehmen entsprechen müssen. RTS-Dokumente bieten detaillierte Richtlinien zur einheitlichen Umsetzung von DORA im EU Finanzsektor [4].

Die Finalen Entwürfe der Regulatorischen Technischen Standards umfassen:

  • Rahmenwerk für das IKT-Risikomanagement und vereinfachtes IKT-Risikomanagement[5]
  • Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen[6]
  • Richtlinie zu IKT-Diensten, die kritische oder wichtige Funktionen von Drittanbietenden (TTPs) unterstützen[7]

Was sind Technische Durchführungsstandards (Implementing Technical Standards, ITS)?

ITS sind detaillierte Vorschriften, die genau bestimmen, wie Finanzunternehmen ihre Verpflichtungen erfüllen müssen. Sie übertragen DORA’s generelle Bestimmungen in präzise, operationale, prozedurale und berichtsbezogene Standards. ITS befassen sich mit Vorfallsberichterstattung, Erfassung und Auswertung von IKT-Drittanbieterbeziehungen, Threat-Led Penetration Testing (TLTP) und dem Austausch von Informationen zu Cyberbedrohungen.

  • Die Finalen Entwürfe der Technischen Durchführungsstandards[8]

Der Umfang von DORA’s Einfluss auf IT-Sicherheit

Hier sind die grundlegenden IT-Sicherheitsprinzipien, auf die DORA Einfluss nimmt:

  1. Risikomanagement: DORA verpflichtet Finanzunternehmen, Robuste IT-Risikomanagement-Frameworks (RMF) umzusetzen, um operationale Risiken zu reduzieren.
  2. Vorfallsberichterstattung: Vollständig regulierte Unternehmen müssen schwerwiegende Cybervorfälle innerhalb von 24 Stunden in einem standardisierten Format an nationale Behörden melden. Kleine, nicht vernetzte und befreite Unternehmen tragen eine abgeschwächte Meldepflicht.
  3. Drittparteirisiken: DORA etabliert strengere Aufsicht und Verantwortlichkeit für den Umgang von Finanzunternehmen mit IKT-Drittanbieterbeziehungen.
  4. Sicherheitstests: Finanzunternehmen müssen ihre digitalen Systeme regelmäßig Sicherheitstests unterziehen, um Cyber-Resilienz zu steigern.
  5. Informationsaustausch: Um den Informationsaustausch zwischen Finanzinstituten und relevanten Behörden zu fördern, werden erstere ermutigt, aufkommende Bedrohungen zu melden, wenn sie für Dritte relevant sein könnten.

Zusammenfassung

Cyberangriffe mit hoher öffentlicher Sichtbarkeit haben Lücken in der Sicherheitsstrategie des Finanzsektors aufgezeigt, was die EU veranlasste, das Gesetz zur Digitalen Operationalen Resilienz (DORA) zu verabschieden, das seit dem 17. Januar 2025 gültig ist. Greenbone ist ein verlässlicher Partner zur Unterstützung in Sachen DORA-Compliance, mit einem bewährten Portfolio an Schwachstellenmanagement-Produkten und Compliance-Berichtstools. Unsere Produkte unterstützen resiliente Datensouveränität und liefern detaillierte Sicherheitsberichte.

Korrektes Cyber-Risikomanagement besteht nicht einfach aus dem Abhaken einer Compliance-Checkliste. Verteidigende müssen frühstmöglich und proaktiv aufkommende Risiken erkennen, um ihre operationale Widerstandsfähigkeit zu steigern. Greenbone hält Sie auf dem neuesten Stand über neue Sicherheitsrisiken und ermöglicht Verteidigungsteams von Europa’s Finanzinstituten, diese anzugehen, bevor es zu einem erfolgreichen Angriff kommt.

OPENVAS steht seit mehr als 15 Jahren weltweit für exzellente Open-Source-Sicherheit – von kleinen Unternehmen über öffentliche Einrichtungen bis hin zu Betreibern kritischer Infrastrukturen. OPENVAS wird von Greenbone entwickelt und steht sowohl hinter den Enterprise Produkten von Greenbone, als auch hinter den Community Versionen. Die Marke OPENVAS schafft weltweit Vertrauen in eine hochentwickelte Open Source Lösung, die den Vergleich zu proprietären Mitbewerbern nicht zu scheuen braucht.

Ab jetzt stellen wir den Namen OPENVAS ins Zentrum aller unserer Aktivitäten. Unsere bewährten Lösungen, und unsere neuen Produkte erscheinen ab sofort unter einer gemeinsamen, starken Marke: OPENVAS.

Warum wir uns für OPENVAS entschieden haben

OPENVAS ist international bekannt, steht für Vertrauen und Open Source – und beschreibt klar, worum es geht: das Erkennen und Minimieren digitaler Risiken. Mit dem neuen Namensschema machen wir unsere Lösungen noch verständlicher, funktionaler und global einheitlicher. Ursprünglich nur als Name einer technischen Komponente, dem eigentlichen Schwachstellenscanner, vorgesehen, hat sich der Name jedoch als Bezeichnung unseres Open Source Produktportfolios etabliert. Das nehmen wir gerne auf und nutzen unsere etablierte Marke OPENVAS in allen unseren Produktbezeichnungen.

Das heißt für unsere Nutzer, Kunden und Partner: Es bleibt alles erhalten, was Sie an unseren Lösungen schätzen – nur unter neuen, sprechenden Namen. Und es kommt in diesem Jahr noch einiges dazu: Container Scanning, Agenten-basiertes Scanning, eine neue REST API und einiges mehr.

Was bedeutet das für Sie konkret?

  • Vertrautes bleibt: Ihre Lösungen funktionieren wie gewohnt, inklusive aller Services und Sicherheitsupdates.
  • Namen, die Klarheit schaffen: Jede Produktbezeichnung beschreibt nun direkt ihre Funktion – das spart Zeit und Missverständnisse.
  • Starke Marke, klare Kommunikation: National wie international treten wir unter einem einheitlichen Namen auf – OPENVAS.

Unser bewährtes Ziel: Ihnen die beste Lösung zu bieten, um digitale Risiken schnell, einfach und nachvollziehbar zu minimieren.

Was bedeutet das für unsere bestehenden Appliance Produkte

Unsere bestehenden Produkte werden wie gewohnt fortlaufend aktualisiert. Gleichzeitig bekommen sie neue Namen, wobei OPENVAS dabei immer im Mittepunkt steht.

Ein paar Beispiele: OPENVAS SCAN ist der neue Produktname für die Greenbone Enterprise Appliances, die gewohnten Leistungsbezeichnungen bleiben dabei erhalten. Die Greenbone Enterprise EXA wird zu OPENVAS SCAN EXA, die Greenbone Enterprise 600 zu OPENVAS SCAN 600.

Auch unsere kostenlosen Community Produkte wird es natürlich weiterhin geben, wir nutzen hier den Namen OPENVAS COMMUNITY EDITION für unsere freie Appliance und OPENVAS COMMUNITY FEED für den zugehörigen Daten-Feed mit den Schwachstellentests und Sicherheitsinformationen.

Greenbone bleibt – OPENVAS wird neuer Markenname

Greenbone bleibt der Name unseres Unternehmens – mit Hauptsitz in Deutschland und unseren Tochterunternehmen in Großbritannien, Italien und den Niederlanden. Der Name Greenbone hat sich im deutschsprachigem Raum etabliert, deswegen wollen wir heute nicht die Greenbone AG in OPENVAS AG umbenennen. International sind wir als OPENVAS deutlich bekannter und treten daher unter der Marke OPENVAS auf: OPENVAS UK, OPENVAS IT, OPENVAS NL.

Wir machen durch die Stärkung unserer Marke OPENVAS unsere Mission sichtbar: Cybersecurity verständlich, vertrauenswürdig und zugänglich machen – in über 150 Ländern auf der Welt.

Der IOCTA-Bericht 2025 von Europol warnt davor, dass die Nachfrage nach Daten im Milieu der Cyberkriminalität stark ansteigt. Wie viele Daten wurden genau gestohlen? Genaue Zahlen lassen sich nicht ermitteln. Allerdings wurden bei einem einzigen Hackerangriff auf das US-amerikanische Gesundheitsunternehmen Change Healthcare die persönlichen Daten, unter anderem Sozialversicherungsnummern, von 190 Millionen Menschen gestohlen. Das ist mehr als die Hälfte der gesamten US-Bevölkerung, die von einem einzigen Vorfall betroffen war. Dieser Vorfall verblasst jedoch im Vergleich zum National Public Data Breach von 2024, bei dem 272 Millionen Sozialversicherungsnummern, 420 Millionen Adressen und 161 Millionen Telefonnummern in den USA gestohlen wurden. In den untersuchten Ländern des europäischen Wirtschaftsraums wurden 2024 täglich etwa 363 Datenschutzverletzungen gemeldet. Nun drohen neue Varianten zerstörerischer Wiper-Malware, die Betroffene von Datendiebstahl milde getroffen wirken lassen.

Cyber-Sicherheitsverantwortliche befinden sich in einem zermürbenden Kampf: Die Bewältigung der ständigen Flut neuer Bedrohungen ist eine gewaltige und entscheidende Aufgabe. Im Threat Report dieses Monats geben wir Einblicke in die neueste Welle von Wiper-Malware, neue aktiv ausgenutzte Schwachstellen und aufkommende Bedrohungen, die den globalen Cyberkonflikt prägen.

Neue Welle von Wiper-Malware im Cybergefecht

Kürzlich hat Cisco Talos eine bisher unbekannte Wiper-Malware namens „PathWiper“ beobachtet, die bei einem zerstörerischen Angriff auf kritische Infrastrukturen in der Ukraine eingesetzt wurde. Wiper wird meist im Rahmen von Cyber-Warfare-Kampagnen eingesetzt, bei denen finanzieller Gewinn nicht das primäre Motiv ist. Während Ransomware die Opfer zur Zahlung eines Lösegelds für die Rückgabe ihrer verschlüsselten Daten zwingt, zerstört Wiper diese einfach. Wiper wird seit Beginn des Krieges zwischen Russland und der Ukraine eingesetzt. 2022 wurde HermeticWiper gegen die Ukraine verwendet und legte Regierungsbehörden und kritische Dienste wenige Stunden vor dem ersten Einmarsch Russlands lahm.

Forschungsteams zur Cybersecurity haben kürzlich auch eine neue Ransomware-as-a-Service-Gruppe (RaaS) namens Anubis entdeckt, die ihre maßgeschneiderte Ransomware um eine Wiper-Option erweitert hat. Angesichts der verschärften geopolitischen Spannungen ist es plausibel, dass staatliche Akteure RaaS-Betreiber und Hacktivisten dazu anstiften werden, zerstörerische Angriffe mit großer Wirkung durchzuführen.

Wiper-Angriffe an sich sind nichts Neues. Shamoon, auch bekannt als Disttrack, entdeckt im Jahr 2012, war die erste große Wiper-Malware. Sie wurde vermutlich von iranischen Bedrohungsakteuren entwickelt und zum Angriff auf Saudi Aramco und andere Organisationen in den Golfstaaten eingesetzt. NotPetya, getarnt als Ransomware, war eine weitere prominente Wiper-Variante, die 2017 auftauchte – mit globalen Folgen.

Unternehmen, insbesondere im Bereich kritischer Infrastruktur, müssen die potenziellen Auswirkungen von Wiper-Malware auf ihre Widerstandsfähigkeit berücksichtigen. Was ist, wenn die Zahlung eines Lösegelds keine Option ist? Eine gut konzipierte Backup-Strategie kann eine vollständige oder teilweise Datenwiederherstellung ermöglichen. Jedoch haben Ausfallzeiten auch finanzielle Auswirkungen und können sogar Menschenleben kosten. Die Gewährleistung der Einhaltung der MTTR-Ziele (Mean Time to Recovery) ist für die Aufrechterhaltung des Betriebs von entscheidender Bedeutung. Natürlich ist auch die Sorgfalt bei der Schließung von Sicherheitslücken, bevor sie für Angriffe ausgenutzt werden können, für eine proaktive Cyberstrategie unerlässlich.

Echte Risiken und „AI-Slop“: Linux-CVEs im Wandel

Die Zeiten, in denen Linux weniger Cyberangriffe auf sich zog, sind längst vorbei. Linux-Systeme werden zunehmend zum Ziel raffinierter Angriffe. Im vergangenen Jahr explodierte auch die Zahl der Linux-Kernel-CVEs (Common Vulnerabilities and Exposures); die zentrale CNA (CVE Numbering Authority) wies im Jahr 2024 durchschnittlich 55 neue CVEs pro Woche zu. Dieser Anstieg wird manchmal darauf zurückgeführt, dass künstliche Intelligenz Fehler aufdeckt, die eigentlich keine Sicherheitsrisiken darstellen, sogenannten „AI-Slop“. Der Entwickler von Curl, Daniel Stenberg, veröffentlichte sogar einen Hinweis, in dem er Bug-Reports zu „AI-Slop“ verbot. In einer entsprechenden Diskussion zu einem Bug-Report wurde die Sorge geäußert, dass „ein Angriff auf unsere Ressourcen zur Bewältigung von Sicherheitsproblemen“ erfolgen könnte.

Was das Risiko- und Patch-Management angeht, haben viele Security-Teams nicht den Luxus, die technische Nutzbarkeit jeder CVE eingehend zu untersuchen. Die technische Bewertung und Analyse von Patching-Unterschieden (Patch-Diffs) nehmen enorm viel Zeit in Anspruch. Der daraus resultierende aufreibende Kampf zwingt die Sicherheitsteams zu einem Wettlauf gegen die Zeit. Beim Priorisieren von Behebungsmaßnahmen stützen sich Sicherheitsteams auf CVSS (Common Vulnerability Scoring System), EPSS (Exploit Prediction Scoring System), den Exploit-Status und Faktoren wie Compliance-Anforderungen und betriebliche Kritikalität. Sicherheitsverantwortliche wollen Beweise dafür sehen, dass kontinuierliche Fortschritte erzielt und Sicherheitslücken geschlossen werden. Dies ist der eigentliche Vorteil der Verwendung einer Schwachstellenmanagement-Plattform wie Greenbone.

Vor diesem Hintergrund sind hier einige neue CVEs mit hohem Risiko für Privilegien-Ausweitung auf Linux-Systemen, die in diesem Monat Aufmerksamkeit erregt haben:

  • CVE-2023-0386 (CVSS 7.8): Das OverlayFS-Subsystem des Linux-Kernels, das nun als aktiv ausgenutzt gilt, ermöglicht die Ausweitung auf die Root-Ebene, indem es die Art und Weise ausnutzt, wie Dateien mit besonderen Privilegien zwischen bestimmten gemounteten Dateisystemen kopiert werden.
  • CVE-2025-6019 (CVSS 7.0): Eine in Fedora- und SUSE-Distributionen gefundene Schwachstelle ermöglicht es Angreifenden ohne Root-Rechte in der Gruppe „allow_active“, privilegierte Festplattenoperationen wie das Mounten, Entsperren und Formatieren von Geräten über D-Bus-Aufrufe an „udisksd“ auszuführen. Die Schwachstelle gilt als leicht auszunutzen, und es ist ein öffentlicher PoC (Proof of Concept) verfügbar, was das Risiko erhöht.
  • CVE-2025-32462 und CVE-2025-32463: Zwei lokale Schwachstellen zur Rechteausweitung wurden in Sudo 1.9.17p1 behoben, das am 30. Juni 2025 veröffentlicht wurde. CVE-2025-32462 ermöglicht es, über lokale Geräte die Option „–host“ zu missbrauchen, um Berechtigungen auf zugelassenen Hosts zu erweitern, während CVE-2025-32463 unbefugten Root-Zugriff über die „–chroot“-Option ermöglicht, selbst wenn dies in der Sudo-Datei nicht ausdrücklich erlaubt ist.
  • CVE-2025-40908 (CVSS 9.1): Nicht authentifizierte Angreifende können vorhandene Dateien manipulieren, indem sie eine speziell gestaltete YAML-Datei als Eingabe verwenden, die zu einem missbräuchlichen Aufruf von „open“ mit zwei Argumenten führt. Zu den anfälligen Systemen gehören alle Perl-Anwendungen oder -Distributionen (wie Amazon Linux, SUSE, Red Hat, Debian), die YAML‑LibYAML vor Version 0.903.0 verwenden.

CVE-2025-49113: Eine kritische CVE in RoundCube Webmail

Eine kürzlich bekannt gewordene Sicherheitslücke mit der Kennung CVE-2025-49113 (CVSS 9.9) in RoundCube Webmail ermöglicht es bei authentifizierten Angriffen, beliebigen Code auf einem RoundCube-Server auszuführen. Eine schlecht konzipierte PHP-Deserialisierung [CWE-502] validiert Eingaben nicht ordnungsgemäß, sodass der Parameter „_from“ bösartigen serialisierten Code übertragen kann. Cyberkriminelle, die den Fehler erfolgreich ausnutzen, können möglicherweise die vollständige Kontrolle über den RoundCube-Server erlangen, um Daten zu stehlen und Command-and-Control-Tools (C2) für den dauerhaften Zugriff zu installieren.

Obwohl für die Ausnutzung von CVE-2025-49113 gültige Anmeldedaten erforderlich sind, sind keine Administratorrechte erforderlich. Technische Analysen [1][2], PoC-Exploits [3][4] und ein Metasploit-Modul sind verfügbar, was das potenzielle Risiko eines Missbrauchs erhöht. Ein EPSS-Score von 81 weist auf eine extrem hohe Wahrscheinlichkeit einer Ausnutzung in naher Zukunft hin. Der Forscher, der die Schwachstelle entdeckt hat, behauptet, dass Exploit-Kits bereits in Untergrundforen für Cyberkriminalität zum Verkauf angeboten werden. Zahlreiche nationale CERT-Behörden haben Warnungen zu dieser Schwachstelle herausgegeben [5][6][7][8][9], während Shadowserver Anfang Juni über 84.000 exponierte Roundcube-Dienste gemeldet hat.

Der Greenbone Enterprise Feed umfasst eine Remote-Versionserkennung [10][11] und Linux Local Security Checks (LSC) [12][13][14][15][16][17] zur Identifizierung anfälliger Instanzen von RoundCube Webmail (Versionen vor 1.5.10 und 1.6.11). Anwendenden wird dringend empfohlen, Updates umgehend zu installieren.

Neue kritische CVE in Cisco ISE Cloud mit PoC-Exploit

CVE-2025-20286 (CVSS 10) ist eine neue Schwachstelle, die Cloud-Bereitstellungen der Cisco Identity Services Engine (ISE) auf AWS, Azure und Oracle Cloud Infrastructure (OCI) betrifft. Der Fehler könnte nicht authentifizierten Angreifenden den Zugriff auf sensible Daten, die Ausführung einiger eingeschränkter Verwaltungsvorgänge, die Änderung von Systemkonfigurationen und die Störung von Diensten ermöglichen. Aufgrund eines mangelhaften Software-Designs werden identische Zugangsdaten [CWE-259] generiert und für alle verbundenen ISE-Instanzen mit derselben Version und Plattform freigegeben.

Cisco hat die Existenz eines öffentlich zugänglichen Exploits bestätigt. Das Unternehmen erklärte außerdem, dass die Schwachstelle nur ausgenutzt werden kann, wenn der primäre Administrationsknoten in der Cloud bereitgestellt ist. Lokale Bereitstellungen und mehrere Hybrid-/Cloud-VM-Lösungen sind nicht betroffen. Insgesamt stellt CVE-2025-20286 aufgrund der weit verbreiteten Nutzung von Cisco ISE in Unternehmensnetzwerken und der Verfügbarkeit von Exploit-Code eine hochriskante Schwachstelle für alle mit betroffenen Konfigurationen dar. Greenbone bietet einen Test zur Versionserkennung an, um potenziell gefährdete Instanzen zu identifizieren.

CitrixBleed 2 und eine weitere aktiv ausgenutzte Schwachstelle in Citrix NetScaler ADC und Gateway

CVE-2025-5777 (CVSS 9.3), auch „CitrixBleed 2“ genannt, ist eine Out-of-Bounds-Read-Sicherheitslücke [CWE-125], die Citrix NetScaler ADC und NetScaler Gateway betrifft und es bei nicht authentifizierten Angriffen ermöglicht, gültige Sitzungstoken aus dem Speicher zu stehlen, indem fehlerhafte HTTP-Anfragen gesendet werden. CVE-2025-5777 ist auf eine unzureichende Eingabevalidierung zurückzuführen, eine leider häufige, aber leicht zu vermeidende Ursache für Softwarefehler. Die Offenlegung von Sitzungstoken ermöglicht die Identitätsübernahme legitimer Benutzerinnen und Benutzer und damit unbefugten Zugriff. Sicherheitsverantwortliche gehen davon aus, dass eine Ausnutzung der Schwachstelle unmittelbar bevorsteht, und ziehen Parallelen zur ursprünglichen CitrixBleed-Sicherheitslücke (CVE-2023-4966), die von Ransomware-Gruppen bei schwerwiegenden Angriffen ausgenutzt wurde.

Eine weitere Schwachstelle, CVE-2025-6543 (CVSS 9.8), die ebenfalls Citrix NetScaler ADC und Gateway betrifft, wurde zum KEV-Katalog (Known Exploited Vulnerabilities) der CISA hinzugefügt, was darauf hindeutet, dass sie bereits aktiv ausgenutzt wird. CVE-2025-6543 ist eine Memory-Overflow-Schwachstelle [CWE-119]. Die Auswirkungen wurden offiziell als Denial of Service beschrieben, aber in Fachkreisen wird angenommen, dass sie auch die Ausführung von beliebigem Code oder die Übernahme von Geräten umfassen können, wie in ähnlichen Fällen in der Vergangenheit beobachtet wurde.

Beide Schwachstellen betreffen nur Geräte, die als Gateway (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA (Authentifizierung, Autorisierung und Abrechnung) Virtual Server konfiguriert sind. Beide Schwachstellen sind Gegenstand weitreichender nationaler CERT-Hinweise [1][2][3][4][5][6][7]. Greenbone bietet eine Remote-Versionsprüfung zur Erkennung von CitrixBleed 2 sowie eine Remote-Versionsprüfung für CVE-2025-6543. Die Installation aktueller Sicherheitsupdates wird dringend empfohlen.

Drei ausnutzbare Schwachstellen in Sitecore CMS

Drei neue CVEs, die die Sitecore Experience Platform betreffen, können verkettet werden, um eine nicht authentifizierte Remote Code Execution (RCE) durchzuführen. Die Schwachstellen wurden mit einer vollständigen technischen Beschreibung und PoC-Anleitung veröffentlicht, wodurch ihre Ausnutzung sehr wahrscheinlich ist. In der Angriffskette ermöglicht CVE-2025-34509 den ersten authentifizierten Zugriff, während CVE-2025-34510 oder CVE-2025-34511 beide RCE-Schwachstellen nach der Authentifizierung sind. Angreifende können zunächst fest codierte Anmeldedaten ausnutzen, um ein gültiges Sitzungstoken zu generieren, dann eine bösartige „.aspx“-Webshell hochladen und anschließend beliebige Shell-Befehle auf dem System des Opfers ausführen. Alternativ könnte CVE-2025-34511 verwendet werden, um PowerShell-Befehle auszuführen, anstatt eine Webshell hochzuladen.

Hier eine kurze Beschreibung der einzelnen Schwachstellen:

  • CVE-2025-34509 (CVSS 8.2): Fest codierte Anmeldedaten [CWE-798] ermöglichen es Remote-Angreifenden, sich mit diesem Konto zu authentifizieren, um auf die Admin-API zuzugreifen.
  • CVE-2025-34510 (CVSS 8.8): Eine als „Zip Slip“ bekannte Schwachstelle beim Path Traversal mit relativen Pfaden [CWE-23] ermöglicht es Kriminellen über einen authentifizierten Angriff, schädliche Dateien aus einem ZIP-Archiv in das Webroot-Verzeichnis zu extrahieren, was über eine .aspx-Webshell zu RCE führen könnte.
  • CVE-2025-34511 (CVSS 8.8): Eine uneingeschränkte Datei-Upload-Sicherheitslücke [CWE-434] im PowerShell-Extensions-Modul ermöglicht es Angreifenden, beliebige Dateien, einschließlich ausführbarer Skripte, an einen beliebigen beschreibbaren Speicherort hochzuladen. Obwohl CVE-2025-34511 die Installation der Sitecore PowerShell Extension erfordert, wird dies als gängige Konfiguration angesehen.

Sitecore ist ein beliebtes Content-Management-System (CMS) für Unternehmen, das von großen globalen Organisationen in verschiedenen Branchen eingesetzt wird. Obwohl Sitecore schätzungsweise zwischen 0,45 % und 0,86 % des globalen CMS-Marktanteils ausmacht [1][2], besteht ihre Klientel aus hochwertigen Zielen. Greenbone ist in der Lage, anfällige Instanzen von Sitecore mit einer aktiven Überprüfung und einem Test zur Fernerkennung der Version zu erkennen. Patches wurden in Sitecore Version 10.4 veröffentlicht und auf frühere, unterstützte Versionen zurückportiert, sodass Benutzende ein Upgrade durchführen können.

Umgehung von CVE-2025-23120 in Veeam-Backups

CVE-2025-23121 (CVSS 9.9) ist eine Lücke in der Deserialisierung [CWE-502], die es den für die Domain authentifizierten Personen ermöglicht, beliebigen Code [CWE-94] auf Veeam Backup & Replication-Servern auszuführen. Die Schwachstelle entsteht durch unsichere Datenverarbeitung und stellt eine Umgehung einer zuvor gepatchten Schwachstelle, CVE-2025-23120, dar.

Derzeit ist kein öffentlicher PoC-Exploit verfügbar. Jedoch sind CVEs in Veeam Backup & Replication häufig das Ziel von Cyberkriminellen. Darüber hinaus betrifft die Sicherheitslücke nur Unternehmen, die Domain-gebundene Backup-Server verwenden. Angesichts der Bedeutung von Backups für die Wiederherstellung nach Ransomware-Angriffen stellt sie jedoch eine ernsthafte Bedrohung dar. Kriminelle können gültige Anmeldedaten stehlen oder Passwort-Spraying einsetzen, um wiederverwendete Zugangsdaten zu erlangen.

Greenbone kann remote betroffene Veeam-Produkte erkennen, und es wird dringend empfohlen, einen Patch auf Version 12.3.2.3617 zu installieren

Zusammenfassung

Im Juni 2025 tauchten mindestens zwei neue Wiper-Malware-Varianten auf, die kritische Infrastrukturen und Unternehmen bedrohen. Weitreichende massive Datenverletzungen nehmen zu und beeinträchtigen Unternehmen und Einzelpersonen, da gestohlene Daten für verschiedene böswillige Zwecke verwendet werden. In diesem Monat gab es auch eine Flut neu entdeckter, kritischer Sicherheitslücken in Produkten für Unternehmen, von denen die meisten nicht in diesem Bericht behandelt werden. Viele davon waren innerhalb weniger Stunden nach ihrer Bekanntgabe mit PoCs oder vollständigen Exploit-Kits verfügbar. Von RoundCube und Cisco ISE bis hin zu Citrix- und Linux-Systemen: Hochriskante digitale Schwachstellen, die Aufmerksamkeit erfordern, heizen die Zermürbungsschlacht im Cyberraum weltweit für die angegriffenen Unternehmen weiter an.

Die neue Schwachstelle CVE-2025-25257 (CVSS 9.6) in Fortinets FortiWeb Fabric Connector stellt weltweit ein hohes Risiko dar. Obwohl sie sich am 14. Juli 2025 noch im Status „Reserved“ befand, haben das CERT.be in Belgien und das Center for Internet Security (CIS) bereits eine CERT-Warnungen veröffentlicht. Weitere Warnungen dürften in Kürze folgen, sobald die CVE den Status „Published“ erreicht.

Es sind mehrere öffentliche PoC (Proof of Concept) Exploits [1][2] verfügbar, die das Risiko weiter erhöhen. Updates sollten dringend installiert werden. Greenbone hat kurz nach der Offenlegung der Schwachstelle einen Erkennungstest veröffentlicht, mit dem sich anfällige Systeme in den Netzwerken identifizieren lassen. Ein Blick auf die Details von CVE-2025-25257 zeigt, worum es sich dabei handelt.

CVE-2025-25257: RCE in FortiWeb Fabric Connector

CVE-2025-25257 (CVSS 9.6) ist eine Schwachstelle, die einen nicht authentifizierten Zugriff (Remote Code Execution; RCE) in Fortinet FortiWeb Fabric Connector erlaubt. Sie wurde mit einem kritischen Schweregrad von CVSS 9.6 klassifiziert, weil sie die Ausführung von SQL- und Python-Code auf dem System des Opfers aufgrund unsachgemäßer Filterung von HTTP-Headern ermöglicht. Erschreckenderweise besteht diese Schwachstelle, weil der Wert des HTTP-Headers „Authorization:Bearer” ohne Bereinigung in SQL-Abfragen eingefügt wird [CWE-89] – ein unverzeihlich schlechtes Software-Design. Vollständige technische Beschreibungen und Exploits [1][2][3] wurden von watchTowr Labs und anderen Sicherheitsforschenden veröffentlicht, sodass die Ausnutzung dieser Schwachstelle nun für Cyberkriminelle auf jedem Niveau als trivial anzusehen ist.

Zusätzlich zu allen typischen SQL-Injection-Angriffen, wie dem Aufzählen der Datenbanken oder dem Ändern von Daten, können RCE-Angriffe durchgeführt werden, indem durch SQL-Code der MySQL-Befehl „INTO OUTFILE“ ausgenutzt wird. Durch das Schreiben einer ausführbaren „.pth“-Datei in das Python-Verzeichnis „site-packages“ (im Fall von  FortiWeb: „/usr/local/lib/python3.10/site-packages/“) wird diese jedes Mal ausgeführt, wenn ein Python-Skript gestartet wird. Denn beim Start des Interpreters wird der integrierte Initialisierungsmechanismus von Python („site.py“) ausgelöst. Die webbasierte Verwaltungskonsole von FortiWeb enthält überdies ein Python-basiertes CGI-Skript („ml-draw.py“), das ohne Authentifizierung ausgelöst werden kann, was die Exploit-Kette vervollständigt.

Obwohl die Schwachstelle bislang noch nicht in der Praxis ausgenutzt wurde, deuten ihr Status als Pre-Auth-RCE und frühere Angriffe auf Fortinet-Produkte darauf hin, dass eine leicht zu nutzende Schwachstelle wie CVE-2025-25257 wahrscheinlich bald nach ihrer Offenlegung Verwendung finden wird. FortiWeb Fabric Connector ist kein öffentlich erreichbarer Edge-Dienst, kann jedoch lokal ausgenutzt werden, um FortiWeb WAF-Konfigurationen zu ändern, sensible Informationen zu stehlen oder zusätzliche persistente Malware zu installieren.

Welche Rolle spielt der FortiWeb Fabric Connector?

FortiWeb selbst ist eine Web Application Firewall (WAF), die in diesem Zusammenhang als Sicherheitskomponente am Netzwerkrand (Edge) betrachtet werden kann. Fabric Connector ist eine Systemintegrationskomponente zur automatisierten Koordination zwischen der FortiWeb WAF und anderen Fortinet-Produkten wie FortiGate und FortiManager. Wenn andere Fortinet-Geräte Bedrohungsdaten generieren, kann der Fabric Connector daraus in Echtzeit Sicherheitsmaßnahmen innerhalb von FortiWeb generieren. Glücklicherweise ist der FortiWeb Fabric Connector kein Edge-Dienst und daher in der Regel nicht über das öffentliche Internet zugänglich. Als WAF haben FortiWeb-Geräte jedoch die Aufgabe, bösartigen Datenverkehr daran zu hindern, Webserver zu erreichen. Wenn Angreifende also in der Lage sind, die Konfiguration zu ändern, könnten sie sekundäre Angriffe auf webbasierte Ressourcen ermöglichen.

Behebung der Sicherheitslücke CVE-2025-25257

CVE-2025-25257 betrifft die FortiWeb-Versionen 7.0.0 bis 7.0.10, 7.2.0 bis 7.2.10, 7.4.0 bis 7.4.7 und 7.6.0 bis 7.6.3. Nutzende sollten umgehend ein Upgrade auf die Versionen 7.0.11, 7.2.11, 7.4.8 oder 7.6.4 oder höher durchführen. Wenn ein Update nicht möglich ist, empfiehlt Fortinet, das FortiWeb HTTP/HTTPS-Admin-Interface zu deaktivieren.

Zusammenfassung

CVE-2025-25257 ermöglicht RCE für nicht authentifizierte Angriffe über die Fabric Connector HTTP-API von Fortinet FortiWeb. Die Schwachstelle beruht auf einer SQL-Injection-Lücke, die bereits dazu verwendet wurde, Privilegien zu eskalieren und Python-Code auszuführen. Öffentliche PoCs und eine nationale CERT-Empfehlung von CERT.be unterstreichen die Dringlichkeit, einen Patch zu installieren oder andere Abhilfemaßnahmen zu ergreifen. Greenbone hat kurz nach Bekanntwerden dieser Schwachstelle einen Erkennungstest veröffentlicht, mit dem Sie anfällige Systeme in ihren Netzwerken identifizieren können.

Der Bundesrechnungshof übt scharfe Kritik am aktuellen Stand der Cybersicherheit in der Bundesverwaltung. Ein als vertraulich eingestuftes Dokument, das Der Spiegel zitiert, kommt zu dem Schluss, dass wesentliche Teile der staatlichen IT-Infrastruktur gravierende Sicherheitsmängel aufweisen und nicht den Mindestanforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) entsprechen.

Der Bundesrechnungshof (BRH) ist das oberste deutsche Kontrollorgan für die Haushalts- und Wirtschaftsführung des Bundes. Er prüft, ob Bundesbehörden, Ministerien, Bundesunternehmen und andere öffentliche Einrichtungen ordnungsgemäß, wirtschaftlich und sparsam mit Steuergeldern umgehen. Dabei ist er unabhängig, sowohl von der Bundesregierung als auch vom Bundestag.

In dem Bericht moniert er, dass es kein zentrales, ressortübergreifendes Informationssicherheitscontrolling gebe. Die bestehende Sicherheitsarchitektur müsse effizienter gestaltet werden.

Unzureichend: Controlling und NIS2-Vorbereitung

Ein weiterer Kritikpunkt kommt durch die Anforderungen der NIS2-Richtlinie hinzu [1] [2] [3]. Diese bringt erhebliche neue Pflichten für Bundesbehörden und KRITIS-nahe Organisationen mit sich – insbesondere in Bezug auf Prävention, Nachweispflichten und BSI-Kontrollen. Viele Einrichtungen sind darauf weder technisch noch organisatorisch ausreichend vorbereitet.

Der Rechnungshof bewertet zwar positiv, dass durch die Anpassung der Schuldenbremse gezielt in Cybersicherheit investiert werden kann. Die Investitionen sind jedoch an die nachweisbare Wirksamkeit der Maßnahmen gebunden. In der Praxis bedeutet dies: Nur wer belegen kann, dass geplante Sicherheitsmaßnahmen zu konkreten Verbesserungen führen, wird künftig Fördermittel erhalten.

Steigender Handlungsdruck

Der Bericht verdeutlicht den steigenden Handlungsdruck in der öffentlichen Verwaltung. Die Bedrohungslage verschärft sich weiter – mit jährlichen Schadenssummen in dreistelliger Milliardenhöhe. Der Bundesrechnungshof fordert ein Umdenken: hin zu einem strukturierten, datengestützten und nachhaltigen Sicherheitsmanagement. Alarmierend ist das flächendeckende Versagen: In fast allen Rechenzentren deutscher Behörden finden sich gravierende Schwachstellen – mit dramatischen Konsequenzen für Sicherheit, Resilienz und Vertrauenswürdigkeit der staatlichen IT-Infrastruktur. Behörden und KRITIS-Organisationen müssen jetzt aktiv werden und modernes Schwachstellenmanagement einführen.

Oft fehlt dabei sogar die Notstromversorgung, nicht einmal ein Zehntel der untersuchten Rechenzentren erfüllen die BSI-Mindeststandards für Hochverfügbarkeit. Das, so die Untersuchung, sei besorgniserregend: Fehlende Redundanz, veraltete Systeme, unzureichende Ausfallsicherheit: All das gefährdet die Funktionsfähigkeit kritischer Infrastruktur im Krisenfall.

Über 180 Milliarden Euro Schaden jedes Jahr

Dabei ist der Schaden bereits da: Laut aktueller Zahlen verursachen Cyberangriffe jedes Jahr Schäden von über 180 Milliarden Euro in Deutschland. Sabotageakte, hybride Angriffe und Blackout-Szenarien sind längst Realität – Tendenz steigend.

Laut Bundesrechnungshof fehlt es aber an vielen Stellen: an strukturierter Informationssicherheit und ressortübergreifendem, datenbasiertem IT-Risikomanagement und passendem Controlling. Es fehlen belastbare Informationen. Ohne diese lassen sich weder die Gefahrenlage noch etwaige Fortschritte im Einzelfall realistisch einschätzen – und schon gar nicht nachweisen.

Greenbones Schwachstellenmanagement hilft

Geht es darum, die richtigen Maßnahmen umzusetzen und ihre Wirksamkeit nachzuweisen, kommen Lösungen wie die von Greenbone ins Spiel. Modernes Schwachstellenmanagement bietet einen entscheidenden strategischen Vorteil: Es schafft eine verlässliche, belastbare Datenbasis für die Entscheidungen der Administratoren und des Managements.

OPENVAS von Greenbone erkennt, bewertet und priorisiert Schwachstellen automatisch, kontinuierlich und objektiv. So entsteht ein verlässliches Fundament für IT-Controlling-Strukturen – auch in Ministerien, Behörden und anderen öffentlichen Betrieben. Vulnerability Management schafft überdies in Zeiten wachsender Rechenschaftspflicht eine unverzichtbare Transparenz – und wird so vom „Nice to Have“ zum Pflichtbaustein.

Die Reports des Greenbone Vulnerability Managements enthalten Bewertungen durch die Metriken CVSS (Common Vulnerability Scoring System) und EPSS (Exploit Prediction Scoring System), Trendanalysen und Fortschrittsindikatoren. Damit können Behörden nicht nur intern dokumentieren, sondern gegenüber Rechnungshöfen und Ministerien auch messbare Verbesserungen belegen.

Gerüstet für NIS2 

Die neue NIS2-Richtlinie verschärft Anforderungen für Betreiber kritischer Infrastrukturen, definiert neue Verantwortlichkeiten, weitet BSI-Kontrollen und Meldepflichten aus und konkretisiert einzusetzende Softwarekomponenten. Daher beschäftigen sich mehr und mehr Unternehmen mit der bevorstehenden deutschen Variante der Regelung.

Greenbones Lösungen unterstützen Behörden und KRITIS-nahe Organisationen aktiv bei der Vorbereitung auf regulatorische Prüfungen. Funktionen wie das automatisierte Schwachstellenmanagement, revisionssichere Reportings und Audit-Trails bieten Sicherheit, auch unter steigender behördlicher Kontrolle.

Webinare helfen bei der Prävention – Jetzt ist die Zeit zum Handeln!

Greenbones Kundschaft erhält konkrete Hilfe, wenn es darum geht, die BSI-Vorgaben im Rechenzentrum zu erfüllen, Audits vorzubereiten und das Schwachstellenmanagement als Bestandteil der Notfallvorsorge zu sehen. Denn Prävention ist immer günstiger und effektiver als die Krisenbewältigung.

Der Bericht des Bundesrechnungshofs ist ein Weckruf – und eine Chance. Und weil Cybersicherheit mit Sichtbarkeit beginnt, ist Greenbone die richtige Wahl. Kontaktieren sie uns oder besuchen sie unsere Webinare – ganz aktuell die Reihe für Behörden und KRITIS. Dort erhalten sie tiefgehenden Informationen zur Umsetzung der NIS-2-Richtlinie, Rechenzentrumshärtung und Georedundanz aber auch zum grundsätzlichen Aufbau eines Schwachstellen-Controllings. Termine, Inhalte und Anmeldung finden Sie auf der Website.

NIS2 oder NIS-2? Im text wird einheitlich NIS-2 genutzt, in den Überschriften NIS2.

Microsoft Windows ist nach wie vor das am weitesten verbreitete Desktop-Betriebssystem in Unternehmensumgebungen – und gleichzeitig mit am häufigsten von Angreifern ins Visier genommen. Unsichere Konfigurationen sind eine der Hauptursachen für Sicherheitsverletzungen [1][2][3] und werden häufig ausgenutzt, um sich ersten Zugriff zu verschaffen [TA0001], Berechtigungen zu erweitern [TA0004], Anmeldedaten zu stehlen [TA0006], dauerhaften Zugriff zu erlangen [TA0003] und sich innerhalb eines Netzwerks seitlich zu bewegen [TA0008]. Viele nationale Cybersicherheitsbehörden empfehlen Unternehmen weiterhin nachdrücklich, Richtlinien zur Stärkung der Basiskonfigurationen von Betriebssystemen (OS) zu erlassen [4][5][6][7][8].

Die Sicherung von Windows 11-Systemen erfordert mehr als nur das Patchen bekannter Schwachstellen. IT-Abteilungen sollten zunächst sicherheitsgehärtete Basis-Images von Windows bereitstellen und deren Konfiguration regelmäßig überprüfen. Dazu müssen viele versteckte oder oft übersehene Einstellungen von Microsoft Windows angepasst und einige Funktionen vollständig deaktiviert werden. Zu den gehärteten Sicherheitskontrollen gehören die Durchsetzung strenger Richtlinien für Passwörter und Kontosperrungen, die Deaktivierung unnötiger Systemdienste wie Remote Registry, die Anwendung von Anwendungskontrollregeln über AppLocker, die Konfiguration erweiterter Überwachungsrichtlinien zur Überwachung der Systemaktivitäten und vieles mehr. 

Im Einklang mit diesen IT-Sicherheitszielen für Unternehmen ist Greenbone stolz darauf, die Aufnahme des CIS Microsoft Windows 11 Enterprise Benchmark v3.0.0 Level 1 (L1) Audits in die Compliance-Funktionen bekannt zu geben. Mit dieser neuesten Erweiterung können unsere Enterprise-Feed-Kunden ihre Windows 11-Konfigurationen anhand des CIS-Compliance-Standards überprüfen. Damit erweitert Greenbone das wachsende Arsenal an CIS-Compliance-Richtlinien, darunter Google Chrome, Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows, Linux und Docker [1][2]. Hier die neuesten Funktionen zur Schwachstellenerkennung von Greenbone:

Greenbone erweitert CIS Microsoft Windows 11 Enterprise Benchmark

Der CIS Microsoft Windows 11 Enterprise Benchmark v3.0.0 L1 ist jetzt im Greenbone Enterprise Feed verfügbar. Dieser Benchmark definiert einen umfassenden Satz von Sicherheitskonfigurationen, die darauf ausgelegt sind, Windows 11 Enterprise gemäß den Best Practices der Branche zu sichern – angefangen bei Gruppenrichtlinien und Registrierungshärtung bis hin zu integrierten Funktionsbeschränkungen. Mit dieser neuen Ergänzung macht es Greenbone einfacher, Fehlkonfigurationen von Microsoft Windows zu identifizieren, bevor Angreifer sie ausnutzen können.

Unser Enterprise-Schwachstellen-Feed nutzt Compliance-Richtlinien, um Tests zur Überprüfung jeder automatisierbaren CIS L1-Anforderung durchzuführen. Diese Tests sind in Scan-Konfigurationen gruppiert, sodass Sicherheitsteams gezielte Untersuchungen für ihre gesamte Windows 11-Flotte durchführen können. Unabhängig davon, ob Sie interne Sicherheitsvorschriften oder gesetzliche Rahmenbedingungen einhalten müssen, bestätigt die Prüfung von Greenbone Ihre Windows 11 Enterprise-Einstellungen und stellt sicher, dass die Systeme gesperrt und veraltete oder riskante Funktionen deaktiviert sind.

Windows-Sicherheit: von größter Bedeutung

Microsoft Windows spielt eine wichtige Rolle in IT-Umgebungen von Unternehmen und dient als Rückgrat für Endgeräte, Server und Domäneninfrastrukturen. Diese Allgegenwärtigkeit macht es jedoch auch zu einem bevorzugten Ziel. Unsichere Windows-Konfigurationen können die Tür für Remote Code Execution (RCE), den Diebstahl von Anmeldedaten und die Ausweitung von Berechtigungen öffnen. Eine schwerwiegende Cybersicherheits-Verletzung kann zur vollständigen Kompromittierung der Domäne, zu Ransomware-Angriffen, zum Verlust des Kundenvertrauens, zu Bußgeldern und sogar zu kostspieligen rechtlichen Schritten wie Sammelklagen führen, wenn Benutzerdaten offengelegt werden.

In den letzten Jahren haben nationale Cybersicherheitsbehörden – darunter das deutsche BSI [9], die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) [10] und das Canadian Centre for Cyber Security [11] sowie weitere [12][13] – Warnungen herausgegeben, in denen sie die Notwendigkeit betonen, die Sicherheitskonfigurationen von Betriebssystemen zu verbessern und veraltete Funktionen zu deaktivieren, die von Angreifern regelmäßig ausgenutzt werden. Die zunehmende Häufigkeit und Raffinesse der Angriffe durch böswillige Akteure unterstreichen einmal mehr die Notwendigkeit einer proaktiven Windows-Sicherheit.

Fehlkonfigurationen in Windows können eine Kettenreaktion auslösen und sowohl das lokale System als auch das gesamte Netzwerk gefährden. Deshalb müssen Maßnahmen zur Absicherung über das Patchen von Schwachstellen hinausgehen und ein robustes Konfigurationsmanagement umfassen. Die neue CIS Windows 11 Enterprise-Compliance-Richtlinie von Greenbone bietet Verteidigern die Tools, die sie benötigen, um die Widerstandsfähigkeit gegen viele kritische IT-Sicherheitslücken zu stärken.

Wie verbessert der CIS Windows 11 Benchmark die Cybersicherheit?

Der CIS Microsoft Windows 11 Enterprise Benchmark bietet einen strukturierten Ansatz zur Sicherung von Microsoft Windows-Endpunkten. Er definiert Konfigurationseinstellungen, die für unbefugten Zugriff, Missbrauch von Berechtigungen und Systemkompromittierung verwendet werden könnten. Der Benchmark überprüft eine Vielzahl von Richtlinien, darunter Kontosicherheit, Systemdienste, Netzwerkkonfigurationen, Anwendungskontrollen und Verwaltungsvorlagen, um die Angriffsfläche zu verringern und die Systemintegrität zu verbessern.

Die wichtigsten Abschnitte des CIS Windows 11 Benchmarks:

  • Account Policies: Definiert Richtlinien für die Komplexität, den Verlauf und das Ablaufdatum von Passwörtern sowie für die Schwellenwerte für die Kontosperrung. Diese Einstellungen tragen zur Durchsetzung einer strengen Authentifizierungshygiene bei und schränken Brute-Force-Angriffe ein.
  • Lokale Richtlinien: Konzentriert sich auf die Durchsetzung einer Vielzahl von lokalen Zugriffskontrollen und Systemverhalten. Umfasst Audit-Einstellungen, Benutzerrechte (z. B. wer sich lokal anmelden oder das System herunterfahren darf) und Sicherheitsoptionen (z. B. Gastkontostatus, Zugriffstoken, Netzwerkzugriff, Gerätetreiber, Firmware-Optionen und Kryptografie-Anforderungen) und vieles mehr.
  • Systemdienste: Reduziert die Angriffsfläche durch Einschränkung aktiver Systemkomponenten. Empfiehlt die Deaktivierung oder Konfiguration von Windows-Diensten, die möglicherweise unnötig sind oder das System Risiken aussetzen (z. B. Remote-Registrierung, FTP, Bluetooth, OpenSSH, Geolocation-Service und mehr).
  • Windows Defender-Firewall mit erweiterter Sicherheit: Umfasst Firewall-Konfigurationen für Domain-Profile sowie private und öffentliche Profile. Enthält Regeln für die Protokollierung, Verbindungsbeschränkungen und das Blockieren unerwünscht eingehenden Datenverkehrs, um die Netzwerksegmentierung und Traffic-Kontrolle durchzusetzen.
  • Erweiterte Konfiguration der Überwachungsrichtlinien: Bietet detaillierte Überwachungseinstellungen für Kategorien wie Anmeldeereignisse, Objektzugriff und Richtlinienänderungen, um die Transparenz und Compliance zu verbessern.
  • Administrative Vorlagen (Computer): Umfasst Gruppenrichtlinieneinstellungen auf Computerebene, einschließlich UI-Einschränkungen, Steuerung älterer Protokolle, SMB-Hardening, UAC-Verhalten und Gerätekonfiguration.
  • Administrative Vorlagen (Benutzer): Konzentriert sich auf Richtlinien auf Benutzerebene, die sich auf Personalisierung, Datenschutz, Desktop-Verhalten, Windows-Komponenten, Telemetrie, Cloud-Inhalte, Suche und den Zugriff auf den Microsoft Store auswirken.

Greenbone ist Mitglied des CIS-Konsortiums

Als Mitglied des CIS-Konsortiums verpflichtet sich Greenbone, zusätzliche Scan-Konfigurationen hinzuzufügen, um CIS-Benchmarks zu bestätigen. Alle unsere CIS-Benchmark-Richtlinien entsprechen den CIS-Hardening-Richtlinien und sind von CIS zertifiziert, wodurch maximale Sicherheit für Systemaudits gewährleistet ist. Greenbone verfügt außerdem über eine spezielle Compliance-Ansicht für die Weboberfläche des Greenbone Security Assistant (GSA), um den Bewertungsprozess für Unternehmen zu optimieren.

Zusammenfassung

Die Sicherung von Microsoft Windows 11 Enterprise erfordert mehr als nur das Patchen von Schwachstellen – sie erfordert einen disziplinierten Ansatz für das Konfigurationsmanagement auf der Grundlage bewährter Best Practices. Durch die Absicherung versteckter Systemeinstellungen und die Deaktivierung unnötiger Funktionen können Sicherheitsteams Exploit-Pfade verhindern, die häufig von Angreifern genutzt werden, um Ransomware zu verbreiten, Daten zu herauszufiltern oder sich dauerhaft im Netzwerk einzunisten. 

Mit der zusätzlichen Unterstützung für den CIS Microsoft Windows 11 Enterprise Benchmark v3.0.0 stärkt Greenbone die Position als führender Anbieter proaktiver Cybersicherheit und bietet Unternehmen die Tools, die sie benötigen, um Risiken zu reduzieren, Compliance nachzuweisen und in einer zunehmend feindseligen digitalen Landschaft widerstandsfähig zu bleiben. Abonnenten des Enterprise Feed können nun ihre Windows 11-Konfigurationen präzise und zuverlässig überprüfen und verifizieren.