DigitalisierungIT-Sicherheit: Aktuelle Warnmeldungen im Überblick

Google hat erneut ein Notfall-Update für den Webbrowser Chrome herausgegeben. Es bessert eine im Netz bereits attackierte Sicherheitslücke aus, die ein älteres Update offenbar nicht oder nicht korrekt geschlossen hat.

Es handelt sich dabei um die Schwachstelle in der Grafikbibliothek Skia. Durch das Verarbeiten und Rendern sorgsam präparierter Webseiten können Angreifer auf Speicherbereiche außerhalb der vorgesehenen Grenzen zugreifen und so fälschlicherweise Speicherinhalte überschreiben. Das ermöglicht oftmals, Schadcode einzuschleusen und auszuführen.

Alle Details zu dieser Meldung finden Sie hier:

heise.de: Chrome: Erster Fix unzureichend, neues Notfall-Update veröffentlicht

In der Videokonferenzsoftware Zoom wurden mehrere Sicherheitslücken entdeckt. Sie gelten zum Teil als kritisch und erlauben unter anderem Angreifern aus dem Netz, ihre Rechte auszuweiten. Updates stehen bereit.

Eine Lücke betrifft die Mail-Funktion von Zoom Workplace für Windows. Eine weitere Sicherheitslücke ermöglicht authentifizierten Angreifern mit lokalem Zugriff die Ausweitung der Rechte aufgrund unzureichender Überprüfung in Zoom Rooms für Windows im Kiosk-Modus.

Die sicherheitsrelevanten Fehler haben die Entwickler in den neueren Versionen von Zoom Workplace korrigiert. Die jüngsten Fassungen finden sich im Download-Portal auf der Zoom-Webseite.

Alle Details zu dieser Meldung finden Sie hier:

heise.de: Zoom: Netzwerkangriffe auf kritische Sicherheitslücke möglich

Microsoft warnt vor einer Sicherheitslücke im Windows Admin Center. Angreifer können dadurch ihre Rechte ausweiten. IT-Verantwortliche müssen zum Schließen der Lücke aktiv werden und ein Software-Update installieren.

Bei der Schwachstellenbeschreibung handelt sich um eine unzureichende Authentifizierung, schreibt Microsoft lediglich. Zu den Auswirkungen bei einem erfolgreichen Missbrauch führen die Entwickler noch aus: „Angreifende würden die Rechte der Benutzenden erlangen, die die betroffene Anwendung ausführen.“ Das Risiko schätzen die Verantwortlichen von Microsoft dabei als „kritisch“ ein.

Für das Windows Admin Center steht die Software-Version 2511 bereit. Die ist bereits im Dezember vergangenen Jahres erschienen und korrigiert das nun gemeldete Sicherheitsproblem. Anfang Februar haben Microsofts Entwickler jedoch noch ein Verteilungsskript sowie die zugehörige Dokumentation aktualisiert. Wer die Softwareaktualisierung bereits installiert hat, muss nicht erneut handeln; wer noch ältere Fassungen einsetzt, sollte zügig auf den neuen Stand wechseln.

Weitere wichtige Informationen finden Sie hier:

• heise.de:Microsoft: Warnung vor kritischer Sicherheitslücke in Windows Admin Center
• DasWindows Admin Center ist eine kostenlose Zusatzsoftware, zur Verwaltung vonWindows-Geräten

Fünf Schwachstellen gefährden Netzwerkspeicher (NAS) von Qnap. Die Lücken stecken in den Betriebssystemen QTS und QuTS hero. Nach erfolgreichen Attacken kommt es etwa zu DoS-Zuständen und somit zu Abstürzen.

Am gefährlichsten gilt eine als „kritisch“ eingestufte Sicherheitslücke, über die Angreifer im Zuge einer Path-Traversal-Attacke auf eigentlich geschützte Bereiche des Dateisystems zugreifen können. Was dann konkret geschieht, ist derzeit nicht bekannt. Aufgrund der kritischen Einstufung ist aber davon auszugehen, dass Systeme danach als kompromittiert gelten.

Weitere wichtige Informationen finden Sie hier:

• heise.de: Angreifer können auf Dateisystem von QNAP-NAS zugreifen

Über drei Schwachstellen kann Schadcode auf bestimmte Drucker-Modelle der Marke Lexmark übertragen werden und diese kompromittieren. Nun haben die Entwickler die Sicherheitsprobleme mit Updates gelöst.

Die vollständige Liste betroffener Modelle finden Admins in den Warnmeldungen von Lexmark. In allen Fällen können Angreifer aus der Ferne Schadcode ausführen. Ansatzpunkte sind das Embedded Solutions Framework und der Postscript-Interpreter.

Um möglichen Angriffen vorzubeugen, müssen Admins die im Artikel von heise.de aufgelisteten Sicherheitspatches installieren:

• heise.de: Sicherheitsupdates: Angreifer können Schadcode auf Lexmark-Drucker schieben

Microsoft hat wichtige Notfall- und Sicherheitsupdates für Office, Windows und Windows-Server veröffentlicht. Es wurden bereits Angriffe beobachtet, bei denen mehrere  Sicherheitslücken ausgenutzt werden. 

Eine Schwachstelle in Office-Anwendungen wird bereits missbraucht, sobald eine entsprechend manipulierte Datei geöffnet wird. Betroffen sind Office 2016, 2019, LTSC-Versionen 2021 und 2024 sowie Microsoft 365 Apps for Enterprise. Das Notfall-Update wird meist automatisch eingespielt, allerdings müssen Office-Anwendungen neu gestartet werden, um einen vollständigen Schutz zu gewährleisten.  

Von den Angriffen auf Server sind unter anderem Windows 10 und 11 sowie weitere Server-Ausgaben betroffen. Zwar ist das Windows-Update mit seinen Patches standardmäßig aktiv, angesichts der aktuellen Bedrohungslage sind Nutzer aber dazu angehalten unbedingt zu prüfen, ob die Sicherheitsupdates bereits installiert wurden. Ein erfolgreicher Angriff kann dazu führen, dass sensible Daten und Speicherbereiche ausgelesen werden. Weitere Sicherheitslücken betreffen u.a. Excel und auch SharePoint weist bei fehlenden Maßnahmen Schwachstellen auf.  

Weitere wichtige Informationen finden Sie hier:

• heise.de: Notfall-Update gegen Zeroday in Microsoft Office
• heise.de: Patchday Microsoft: Attacken auf Windows und Windows Server beobachtet

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, dass nach dem Support-Ende für Microsoft Exchange 2016 und 2019 (wir berichteten: Siehe Meldung vom 23. April 2025) aktuell über 30.000 Systeme in Deutschland offen im Netz stehen und gefährdet sind. Der Support endete wie der für Windows 10 am 14. Oktober.

Exchange-Server sind zentrale Bausteine in IT-Netzwerken. Ein erfolgreicher Cyberangriff hat gravierende Folgen und kann bei unzureichenden Sicherheitsmaßnahmen zur vollständigen Kompromittierung des Netzwerks führen. Veraltete Installationen bleiben für neue Schwachstellen voraussichtlich dauerhaft verwundbar und können nicht kurzfristig abgesichert werden. Daten der Unternehmen und Organisationen sind damit Cyberangriffen schutzlos ausgeliefert. 

Das BSI rät dringend dazu, auf aktuelle Software-Varianten umzustellen oder auf Alternativen zu migrieren. Als Upgrade-Pfad steht etwa der Umzug auf Exchange SE, also der „Subscription Edition“ des Mail-Servers, zur Verfügung. Exchange SE lässt sich auch weiterhin im eigenen Netzwerk betreiben.

Weitere Informationen finden Sie beimBSI und aufheise.de.

Wie wir bereits berichteten, steht zum 14. Oktober 2025 dasEnde des Supports für Windows 10 an. Es wird daher dringend empfohlen, auf Windows 11 umzustellen. Zusätzlich müssen auch die Office-Versionen von 2016 und 2019 sowie die Exchange-Versionen 2016 und 2019 erneuert werden: Deren Support endete ebenfalls zum 14. Oktober 2025. 

Betriebe, die diese Programme weiterhin nutzen, gehen enorme Sicherheitsrisiken für ihr Unternehmen ein. Denn obwohl die Programme theoretisch weiterhin genutzt werden könnten, gibt es ab diesem Datum keine Sicherheitsupdates, Fehlerbehebungen oder technische Supportleistungen mehr. Es wird daher auch hier eingehend empfohlen, auf aktuelle Versionen umzusteigen, um die volle IT-Sicherheit gewährleisten zu können. 

Weitere Informationen dazu finden Sie in online:

77 Prozent betroffen: Kleine Unternehmen jetzt ohne MS-Office-Support (heise.de)
Windows-10-Supportende: So sichert ihr euch ein Jahr länger Updates! (heise auf YouTube)

Zum 14. Oktober 2025 entfallen bei allen Windows-10-Versionen (einschließlich Home, Pro und Education) kostenlose Updates. Es handelt sich dabei unter anderem auch um Sicherheitsupdates, die potenzielle Schwachstellen schließen und für mehr Cybersicherheit sorgen.

Eine gute Nachricht ausschließlich für Privatnutzer: Der Konzern stellt auf Drängen des Verbraucherschützerverbands Eurocosumers die "Extended Security Updates" (ESU) ein Jahr lang kostenfrei zur Verfügung. Ab dem 14. Oktober 2026 ist dann aber auch für Privatpersonen endgültig Schluss.

Für die betriebliche Nutzung ist die Verlängerung nicht kostenlos. Daher gilt weiterhin die dringliche Empfehlung, zeitnah ein Update auf Windows 11 durchzuführen. Nur für wenige Betriebe kommt ein Wechsel zu macOS (Apple) oder einem Linux-basierten Betriebssystem infrage, da dann viele Anwendungen nicht mehr funktionieren. Grundsätzlich gilt: Sichern Sie Ihre Daten, bevor Sie Windows 11 upgraden oder das Betriebssystem wechseln.

Weitere Informationen finden Sie bei heise.online:

Betriebssystemwechsel oder Upgrade zum Windows-10-Ende empfohlen
Windows-10-Sicherheitsupdates in Europa kostenlos

Der Finanzdienst PayPal ist vor kurzem wegen eines angeblichen massenhaften Datendiebstahls in die Schlagzeilen geraten. In Medienberichten ist außerdem die Rede davon, dass mehrere deutsche Banken PayPal-Zahlungen aufgrund eines Vorfalls bezüglich der Sicherheitssysteme des Dienstes gestoppt haben. PayPal-Kunden reagieren deshalb verunsichert auf Nachrichten im Postfach.

Genau das versuchen Betrüger nun auszunutzen: Sie pochen auf eine vermeintlich schnelle Aktualisierung der Kontoinformationen. Die Verbraucherzentrale berichtet über Nachrichten, in denen Cyberkriminelle behaupten, es sei eine wichtige Aktion erforderlich und das Konto müsse aktualisiert werden. Sollte das nicht innerhalb von 24 Stunden erfolgen, könnten wichtige Funktionen gesperrt werden.

Die Verbraucherzentrale rät, den Aufforderungen nicht nachzukommen und verdächtige Nachrichten unbeantwortet in den Spam-Ordner zu verschieben. Bei Unsicherheit sei es ratsam, auf der offiziellen Webseite oder in der App des Unternehmens nachzuschauen, ob dort ähnliche Nachrichten zu finden sind.

Weitere Informationen finden Sie direkt bei der Verbraucherzentrale

Das IT-Sicherheitsunternehmen Rapid7 hat alarmierende Schwachstellen in fast 750 Multifunktionsdruckern von fünf namenhaften Herstellern aufgedeckt. Betroffen sind Geräte von Brother, Fujifilm, Ricoh, Toshiba und Konica Minolta.

Die kritischste Schwachstelle (CVE-2024-51978) ermöglicht es Angreifern die Authentifizierung komplett zu umgehen. Der Grund ist erschreckend simpel: Die Standard-Kennwörter der Geräte basieren auf der Seriennummer – eine Information, die sich durch verschiedene Angriffsvektoren leicht beschaffen lässt.

Einmal im System können Angreifer nicht nur das Gerät selbst kontrollieren, sondern auch Zugangsdaten für das gesamte Netzwerk abgreifen. Besonders brisant: Der Zugriff auf externe Dienste wie LDAP oder FTP-Server wird dadurch möglich, was Hackern als Sprungbrett für weitere Angriffe dienen kann. 

Sofortmaßnahmen erforderlich 

Ändern Sie schnellmöglichst das Standard-Kennwort! Die Sicherheitslücke kann nämlich nicht durch ein Firmenware-Update behoben werden, da das Standard-Kennwort bereits während der Produktion gesetzt wird. Nur durch ein individuelles Passwort lässt sich das Risiko elimieren. Zusätzlich sollten Betriebe die verfügbaren Firmware-Updates, der Hersteller zeitnah installieren, um die anderen sieben Schwachstellen zu schließen.

Weitere Informationen hierzu finden Sie online beiheise.online. 

Eine gefähr­liche Welle von Phishing-Attacken zielt derzeitig auf deutsche Steu­erzahlerinnen und Steuerzahler: Cyberkriminelle verschicken täuschend echte E-Mails, die so aussehen, als kämen sie vom Bundes­zentralamt für Steuern (BZSt), dem Finanzamt oder dem ELSTER-Portal. Ziel der Kriminellen ist es, sensible persön­liche Daten abzu­greifen oder Zahlungen zu erzwingen.

Die gefälschten E-Mails tragen Absender wie „info@bzst-zahlungsfrist.com“ oder „news@elsta.de“ und enthalten oft Hinweise auf angeb­liche Steu­ererstat­tungen oder über­fällige Zahlungen. Oft wird darin Druck aufge­baut – mit vermeintlich versäumten Fristen, Strafgebühren oder der Andro­hung von Voll­stre­ckungs­maßnahmen.

Unsere Empfehlung: 

Prüfen Sie jede E-Mail sorgfältig und klicken Sie auf keinen Fall auf Links oder Anhänge unbe­kannter Absender. Typische Merkmale in Phishing-Mails sind gefälschte Absender und offi­zielle Logos. Rufen Sie ELSTER oder Steu­erpor­tale immer direkt über den Browser auf. Ratsam ist es außerdem, die Zwei-Faktor-Authen­tifi­zierung zu akti­vieren. Seien Sie bei E-Mails mit Zeit­druck („Letzte Mahnung“) generell miss­trau­isch.

Weitere Informationen zu dieser aktuellen Phishing-Welle finden Sie beidem Bundeszentralamt für Steuern.

In sechs Monaten – am 14. Oktober – entfallen bei allen Windows-10-Versionen, einschließlich Home, Pro und Education kostenlose Updates. Es handelt sich dabei unter anderem auch um Sicherheitsupdates, die potenzielle Schwachstellen schließen und für mehr Cybersicherheit sorgen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher dringlichst vorzeitig ein Update oder einen Betriebswechsel durchzuführen und Windows 11, ein Unix-basiertes Betriebssystem wie macOS oder ein Linux-basiertes Betriebssystem zu installieren. Um keine Daten zu verlieren, sollten diese am Besten noch vor dem Wechsel gesichert werden. Weitere Informationen finden Sie bei heise.online:

Betriebssystemwechsel oder Upgrade zum Windows-10-Ende empfohlen

DasOberlandesgericht Schleswig-Holstein entschied im Dezember 2024, entgegen einem Urteil des OLG Karlsruhe vom Juli 2023, dass ein Betrieb keine erneute Zahlung verlangen kann, wenn eine seiner Rechnungen ohne ausreichende Sicherheitsmaßnahmen per E-Mail versandt und manipuliert wurde.

Das war geschehen: Ein Handwerksbetrieb hatte eine Rechnung als PDF-Datei im Mailanhang an eine private Auftraggeberin (B2C) geschickt, die Cyberkriminelle abfingen und veränderten. Die Auftraggeberin beglich die Rechnung daraufhin nicht auf das Konto des Unternehmens, sondern überwies das Geld auf das Konto der Kriminellen. 

Das Oberlandesgericht Schleswig-Holstein stellte fest, dass das Unternehmen damit gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hat. Für die Anforderungen an den digitalen Geschäftsverkehr setzt das Urteil neue Maßstäbe und könnte erhebliche Konsequenzen für Unternehmen haben. Welche Bedeutung das Urteil für die Praxis hat, erläutert der Heise-Verlag auf dessenWebsite.

AuchE-Rechnungen im ZUGfERD- Format (PDF/A) oder X-Rechnung-Format bieten keinen Schutz vor Manipulation und Missbrauch.

Auf den E-Mail-Versand von Rechnungen zwischen Unternehmen (B2B) ist das Urteil des OLG Schleswig-Holstein nicht übertragbar. Hierzu existiert bereits eine frühere Rechtsprechung  in einemUrteil des OLG Karlsruhe vom 27. Juli 2023 (Az. 19 U 83/22). In dem Rechtsstreit, der zwei Unternehmen betraf, hatte das Gericht entschieden, dass es keine gesetzlichen Vorgaben für Sicherungsmaßnahmen gibt. Entscheidend seien vielmehr die berechtigten Sicherheitserwartungen des jeweiligen Geschäftsverkehrs und die Zumutbarkeit entsprechender Maßnahmen.

Wir empfehlen: Überprüfen Sie dringend Ihre internen Sicherheitsmaßnahmen und passen Sie diese gegebenenfalls an, um Schadensersatzansprüche, Zahlungsausfälle und rechtliche Risiken zu vermeiden. 

HP hat Updates für mehrere hochkritische Sicherheitslücken in den Universal-Druckertreibern (PCL 6 und Postscript) veröffentlicht.

Die entdeckten Schwachstellen ermöglichen Angreifern das Einschleusen und Ausführen von Schadcode.

Da diese Treiber mit Tausenden von HP-Druckermodellen kompatibel sind, sollten IT-Verantwortliche schnellstmöglich auf die neue Version 7.3.0.25919 aktualisieren. Empfehlung: Alle alten Druckereinträge entfernen und die benötigten Drucker nochmals neu installieren. Dies stellt sicher, dass die korrigierten Treiber verwendet werden.

Mehr Informationen und was Sie als Betroffener unternehmen können, finden Sie online unter Heise.de:

Meldung von Heise.de

Vermehrt treten in letzter Zeit Fälle von Betrug beim "Bezahlen ohne PayPal-Konto" auf. Kriminelle missbrauchen dabei fremde Bankverbindungen (IBAN) für Einkäufe über die PayPal-Gastzahlung-Funktion. 

Auch ohne einem PayPal-Konto können Sie der perfiden Masche zum Opfer fallen. Die Betrüger benötigen nur Ihre IBAN - keine weiteren Bestätigungen oder Zugangsdaten.

Grob formuliert, funktioniert die Masche so: Betrüger nutzen die Option "Bezahlen ohne PayPal-Konto" und geben dabei fremde Bankverbindungen (IBAN) ein. PayPal führt keine ausreichende Identitätsprüfung durch, sodass die Zahlung als Lastschrift von fremden Konten abgebucht wird. Betroffene erhalten bei Rücklastschriften Mahnungen und Inkasso-Forderungen.

Die Verbraucherzentrale Nordhrein-Westfalen informiert Sie auf ihrer Webseite darüber, wie Sie sich dagegen schützen können.

zur Meldung vom 02. Januar