LGR CMS

Tag: IT-Sicherheit

  • Silent Ransom Group: Kriminelle schicken falsche IT‑Techniker – Neue Bedrohung für Unternehmen

    Silent Ransom Group: Kriminelle schicken falsche IT‑Techniker – Neue Bedrohung für Unternehmen

    LGR Reutlingen – 06 Juni 2026 | Die Silent Ransom Group Kriminelle schicken falsche IT-Techniker und setzen damit ein bislang selten gesehenes Mischmodell aus digitaler Erpressung und klassischem Einbruch. Während herkömmliche Ransomware‑Gruppen ausschließlich über das Netzwerk agieren, lässt die SRG heute echte Menschen vor die Tür von Unternehmen treten, sich als Support‑Mitarbeiter ausgeben und per USB‑Stick sensible Dokumente entwenden. Die jüngste gemeinsame Warnung von FBI und Googles Threat‑Intelligence‑Team Mandiant macht deutlich, dass diese Entwicklung nicht mehr ein Einzelfall, sondern ein strukturiertes Vorgehen ist, das bereits Dutzende von Organisationen in den USA – vor allem Anwaltskanzleien der AmLaw 100 – zwischen Januar und Mai 2026 getroffen hat.

    Silent Ransom Group Kriminelle schicken falsche IT-Techniker – So funktioniert der Angriff

    Der Angriff beginnt typischerweise mit einem Vishing‑Anruf. Die Täter geben sich als Help‑Desk‑Mitarbeiter aus, nennen dabei meist ein gängiges Remote‑Tool wie Zoho Assist, AnyDesk oder TeamViewer. Sie fordern den Gesprächspartner auf, einen vermeintlichen Patch zu installieren oder eine Systemdiagnose zu starten. In vielen Fällen gelingt der Fernzugriff, doch wenn das Zielgerät stark abgesichert ist, wechseln die Kriminellen schnell zur nächsten Phase: Sie schicken ein Team von „IT‑Technikern“ zum Firmensitz. Diese Personen tragen offizielle Ausweise, oft gefälscht, und präsentieren sich als von einem bekannten Dienstleister beauftragte Techniker.

    Einmal im Gebäude, nutzen sie soziale Schwächen aus. Sie fragen nach einer kurzen Begleitung zum Serverraum, erklären, dass ein kritisches Update nur vor Ort durchgeführt werden könne, und überzeugen die anwesenden Mitarbeiter, die Tür zu öffnen. Sobald sie physischen Zugang haben, schließen sie das Zielsystem an einen Laptop an, kopieren Daten auf einen verschlüsselten USB‑Stick oder starten eine schnelle Übertragung via legitimen Tools wie WinSCP oder Rclone in einen Cloud‑Speicher. Der gesamte Vorgang – von der ersten Telefonzelle bis zum Verlassen des Gebäudes – wird häufig innerhalb eines Arbeitstages abgeschlossen.

    Im Unterschied zu klassischen Ransomware‑Varianten verschlüsselt die Silent Ransom Group die entwendeten Dateien nicht. Stattdessen setzen sie auf schnellen Datenabfluss und den anschließenden Erpressungsdruck. Innerhalb von 30 Minuten nach dem physischen Einbruch erhalten die Opfer eine E‑Mail, die mit der Drohung endet, die gestohlenen Unterlagen – häufig vertrauliche Vertragsentwürfe, Mandanten‑Korrespondenz oder Finanzberichte – auf der eigenen Leak‑Seite business‑data‑leaks.com zu veröffentlichen, sofern kein Lösegeld bezahlt wird.

    Die Gruppe nutzt dabei eine hochgradig dynamische Fast‑Flux‑DNS‑Infrastruktur. Ein Botnetz aus kompromittierten IoT‑Geräten, Heimroutern und Servern in Lateinamerika, Osteuropa, Zentralasien und dem Nahen Osten wechselt die IP‑Adressen der Command‑and‑Control‑Server in Sekundentakten. Dadurch erschwert sie die Rückverfolgung erheblich, während gleichzeitig die Verfügbarkeit von Upload‑Endpoints für die gestohlenen Daten gesichert bleibt.

    Ein weiterer Unterschied zu reinen Ransomware‑Operationen ist das Fehlen einer eigens entwickelten Verschlüsselungssoftware. Stattdessen werden Standard‑Tools eingesetzt, die in vielen Unternehmen ohnehin im Einsatz sind. Diese Taktik macht die Angriffe schwerer zu erkennen, weil die genutzten Protokolle und Prozesse auf den ersten Blick legitim erscheinen.

    Die Zielgruppe der SRG ist klar definiert: Neben den prominenten US‑Anwaltskanzleien zählen Banken, Finanzdienstleister, Krankenhäuser und Versicherungen zu den Hauptopfern. Die meisten dieser Organisationen verwalten enorme Mengen an personenbezogenen und geschäftskritischen Daten, die bei einem Leak massive Reputations- und Rechtsfolgen nach sich ziehen würden. Der wirtschaftliche Schaden lässt sich daher kaum beziffern, doch erste Schätzungen von Sicherheitsfirmen gehen von Verlusten in Millionenhöhe aus, wenn Unternehmen neben dem Lösegeld auch Kosten für Forensik, Rechtsstreitigkeiten und Wiederherstellung der Vertrauensbasis einplanen müssen.

    Die Ermittler von Mandiant haben zudem Verbindungen zu einem neuen Projekt mit dem Arbeitstitel „Spy Corporate“ gefunden, das im Mai 2026 erstmals öffentlich erwähnt wurde. Dort scheint die SRG ihr Portfolio zu erweitern, indem sie gezielt Insider‑Informationen aus internen Kommunikationsplattformen sammeln, um später gezielte Erpressungen zu betreiben. Dieses Vorgehen verdeutlicht, dass die Gruppe nicht nur Daten exfiltriert, sondern auch versucht, langfristige Einflussmöglichkeiten aufzubauen.

    Die Gefahr, die von physischen Social‑Engineering‑Angriffen ausgeht, liegt darin, dass traditionelle Cyber‑Defenses – Firewalls, Intrusion‑Detection‑Systeme und Endpoint‑Protection – allein nicht ausreichen. Unternehmen müssen jetzt ihre Prozesse zur Identitätsprüfung von externen IT‑Dienstleistern überarbeiten. Das bedeutet, dass jede Person, die physischen Zugang zu Serverräumen, Netzwerkschaltern oder sensiblen Arbeitsplätzen verlangt, durch mehrere Authentifizierungsstufen verifiziert werden muss – etwa durch Rückruf bei der angeblichen Firma, Durchsicht von Dienstleistungsaufträgen und das Einfordern von Original‑Ausweisen, die mit einer internen Datenbank abgeglichen werden.

    Einige Unternehmen haben bereits reagiert. Die Anwaltskanzlei Baker McKenzie hat ein neues Protokoll eingeführt, bei dem Besucher nur nach vorheriger Genehmigung durch die IT‑Security‑Abteilung Zutritt erhalten. Der IT‑Leiter von JPMorgan, Michael Klein, betont in einem Interview, dass das Unternehmen künftig verstärkt auf physische Zugangskontrollen und Video‑Monitoring setzt, um die Wahrscheinlichkeit von Täuschungsmanövern zu reduzieren.

    Gleichzeitig arbeiten die Behörden an einem koordinierten Vorgehen. Das FBI hat ein spezielles Task‑Force‑Team eingerichtet, das neben forensischen Analysen auch Schulungen für Unternehmen anbietet, wie man gefälschte Techniker erkennt. Google‑Mandiant stellt ein kostenloses Whitepaper bereit, das eine Checkliste zur Identitätsprüfung von IT‑Personal sowie Sofortmaßnahmen bei Verdacht auf Vishing oder physische Social‑Engineering‑Versuche enthält.

    Für die betroffenen Unternehmen stellt sich die Frage, ob sie dem Lösegeld nachgeben sollten. Experten raten davon ab, weil die Zahlung keine Garantie für das Nicht‑Veröffentlichen der Daten bietet und gleichzeitig die Kriminellen ermutigt, ihre Taktiken weiter zu verfeinern. Stattdessen sollten Unternehmen sofort einen Incident‑Response‑Plan aktivieren, forensische Experten einschalten und die betroffenen Kunden und Aufsichtsbehörden informieren.

    Langfristig ist die wichtigste Lehre aus den Aktionen der Silent Ransom Group, dass digitale und physische Sicherheit immer mehr miteinander verschmelzen. Unternehmen, die bislang nur in Cyber‑Abwehr investiert haben, müssen nun ihr Sicherheitsbudget um physische Zutrittskontrollen, Mitarbeiterschulungen und robuste Verifizierungsprozesse erweitern. Nur so lässt sich verhindern, dass Kriminelle erneut die Schwelle zu Unternehmensgebäuden überschreiten und dort mit echten Händen Daten entwenden.

    Der Trend zu hybriden Angriffen dürfte weiter zunehmen. Analysten sehen bereits Anzeichen dafür, dass andere Ransomware‑Gruppen ihre Vorgehensweise anpassen, um physische Komponenten zu integrieren. Für Unternehmen bedeutet das, dass ein ganzheitlicher Ansatz – von der Netzwerk‑ bis zur Gebäudesicherheit – unumgänglich wird, um die wachsende Bedrohungslage zu bewältigen.

  • SharePoint‑Schwachstelle erlaubt Remote‑Code‑Ausführung – Patch umgehend einspielen

    SharePoint‑Schwachstelle erlaubt Remote‑Code‑Ausführung – Patch umgehend einspielen

    LGR Reutlingen – 01 Juni 2026 | Die aktuelle SharePoint‑Schwachstelle erlaubt Remote‑Code‑Ausführung – Patch umgehend einspielen ist ein Warnsignal für Unternehmen, die Microsoft SharePoint im produktiven Einsatz haben. Eine fehlerhafte Deserialisierung ermöglicht es Angreifern mit einem einfachen Site‑Member‑Konto, schädlichen Code auf dem Server auszuführen. Microsoft hat bereits Sicherheitsupdates veröffentlicht, doch die Dringlichkeit bleibt hoch, weil die Ausnutzungsbedingungen kaum einschränkend sind.

    Die Lücke, die unter der Kennung CVE‑2026‑45659 geführt wird, erreicht im CVSS‑Score 8,8 – ein klares Indiz für ein kritisches Risiko. Technisch gesehen verarbeitet SharePoint Daten, die aus nicht vertrauenswürdigen Quellen stammen, ohne ausreichende Validierung. Das Ergebnis ist eine klassische Deserialisierungsschwachstelle, bei der präparierte Payloads in die Server‑Umgebung eingeschleust werden können.

    SharePoint‑Schwachstelle erlaubt Remote‑Code‑Ausführung – Patch umgehend einspielen: Warum jetzt handeln?

    Ein Angreifer benötigt lediglich Netzwerkzugriff auf den SharePoint‑Server und ein Konto mit den niedrigsten Berechtigungen, die für den Zugriff auf eine Site ausreichen – in den meisten Fällen das Rollen‑Level “Site Member”. Sobald diese beiden Voraussetzungen erfüllt sind, kann der Angreifer beliebigen .NET‑Code ausführen, was zu Datenexfiltration, Hintertüren oder sogar zur vollständigen Übernahme des gesamten Intranets führen kann.

    Die betroffenen Produkte umfassen die SharePoint Server Subscription Edition, SharePoint Server 2019 und die Enterprise‑Variante von SharePoint Server 2016. Für alle drei Versionen stehen bereits Patches bereit, die die fehlerhafte Deserialisierung abschalten und die Eingabe streng prüfen.

    Die Entdeckung geht zurück auf einen unabhängigen Sicherheitsforscher, der unter dem Pseudonym MEOW arbeitet. Nach der Meldung an Microsoft erfolgte ein rascher Entwicklungszyklus, und die Updates wurden im Rahmen des regulären Patch‑Tuesday veröffentlicht. Trotz der schnellen Reaktion stuft Microsoft die aktive Ausnutzung derzeit als wenig wahrscheinlich ein – ein Urteil, das angesichts der Historie von SharePoint‑Angriffen mit Vorsicht zu genießen ist.

    Im April hat die US‑Behörde CISA die verwandte Schwachstelle CVE‑2026‑32201 in ihren KEV‑Katalog (Known Exploited Vulnerabilities) aufgenommen. Das zeigt, dass Angreifer das SharePoint‑Ökosystem nach wie vor als lukratives Ziel ansehen. Unternehmen, die bislang auf das nächste reguläre Update warten, setzen sich einem unnötigen Risiko aus.

    • Netzwerkzugriff auf den SharePoint‑Server
    • Ein SharePoint‑Konto mit mindestens der Rolle “Site Member”

    Die beiden Punkte lassen sich in den meisten Unternehmensnetzwerken leicht realisieren – sei es durch interne Benutzer, die über VPN verbunden sind, oder durch kompromittierte Dienstkonten. Deshalb ist die Empfehlung eindeutig: Patch jetzt einspielen, nicht erst zum nächsten regulären Update‑Zyklus.

    Für IT‑Verantwortliche bedeutet das, die Update‑Richtlinien zu überprüfen und die neue Sicherheitsupdates‑Serie sofort zu testen. In einer typischen Unternehmensumgebung sollten die Schritte wie folgt aussehen:

    1. Inventarisierung aller SharePoint‑Instanzen und ihrer jeweiligen Versionen.
    2. Download der entsprechenden Sicherheitsupdates von den offiziellen Microsoft‑Portalen.
    3. Durchführung von Tests in einer isolierten Staging‑Umgebung, um mögliche Kompatibilitätsprobleme zu identifizieren.
    4. Planung eines Wartungsfensters, das möglichst geringe Auswirkungen auf die Nutzer hat.
    5. Rollout des Patches und anschließende Validierung, dass die Schwachstelle geschlossen ist.

    Ein weiterer Aspekt, der häufig übersehen wird, ist die Notwendigkeit, die Berechtigungsstruktur zu überprüfen. Viele Unternehmen vergeben breitere Rechte als nötig, was die Angriffsfläche vergrößert. Durch das Prinzip “Least Privilege” lässt sich das Risiko zusätzlich mindern.

    Aus Sicht der Wirtschaftsinformatik ist die Situation ein gutes Beispiel dafür, wie Sicherheitslücken nicht nur technische, sondern auch organisatorische Konsequenzen haben. Ein erfolgreicher Exploit könnte nicht nur zu Datenverlust führen, sondern auch zu erheblichen Reputationsschäden und regulatorischen Sanktionen, insbesondere wenn personenbezogene Daten betroffen sind.

    Zusammengefasst lässt sich sagen, dass die SharePoint‑Schwachstelle ein klassisches Szenario für eine schnelle, koordinierte Reaktion darstellt. Unternehmen, die ihre Patch‑Management‑Prozesse bereits automatisiert haben, können das Update innerhalb weniger Stunden ausrollen. Andere sollten die Dringlichkeit nutzen, um ihre Prozesse zu modernisieren.

    Die Botschaft ist klar: Die Sicherheitslücke ist bekannt, die Gegenmaßnahme ist verfügbar – das Zögern ist das eigentliche Risiko.

  • Netlogon-Lücke in Windows 11: CVSS 10,0 – Aktive Angriffe und Handlungsbedarf für Unternehmen

    Netlogon-Lücke in Windows 11: CVSS 10,0 – Aktive Angriffe und Handlungsbedarf für Unternehmen

    LGR CMS – 02 Juni 2026 | Windows 11 Netlogon-Lcke mit CVSS 10,0 – aktive Angriffe ist seit Anfang Mai ein heiß diskutiertes Thema in den Sicherheitskreisen, denn das jüngste Mai‑Update von Microsoft hat nicht nur kritische Fehler behoben, sondern gleichzeitig auf ein alarmierendes Installationsproblem und mehrere Exploit‑Szenarien hingewiesen. Während Nutzer von sporadischen Update‑Fehlern wie dem Code 0x800f0922 berichten, haben die belgische Cyber‑Behörde CCB und weitere Forschungsteams bereits bestätigte Angriffe auf das Netlogon‑Protokoll verzeichnet. In diesem Bericht beleuchten wir die Hintergründe der Netlogon‑Lücke, deren technische Details, die aktuelle Bedrohungslage sowie die Optionen, die Administratoren jetzt haben, um ihre Infrastrukturen zu schützen.

    Windows 11 Netlogon-Lcke mit CVSS 10,0 – aktive Angriffe: Technische Analyse und Bedrohungsprofil

    Die Schwachstelle, die unter der Kennung CVE‑2026‑41089 geführt wird, betrifft das Netlogon‑Protokoll, das für die Authentifizierung von Computern in einer Windows‑Domäne unverzichtbar ist. Ein Angreifer, der die Lücke ausnutzt, kann über das Netzwerk beliebigen Code mit Systemrechten auf einem Domain‑Controller ausführen, ohne dass ein Benutzerinteraktion erforderlich ist – ein klassischer „0‑Click“-Exploit. Der vom National Vulnerability Database vergebene CVSS‑Score von 10,0 spiegelt die höchste Gefahrenstufe wider, da die Ausnutzung sowohl einfach als auch extrem wirkungsvoll ist.

    Der Exploit funktioniert, indem er speziell präparierte Netlogon‑Pakete an den Domain‑Controller sendet. Durch eine fehlerhafte Eingabevalidierung wird ein Puffer‑Overflow ausgelöst, der es dem Angreifer ermöglicht, die Ausführung von Schadcode zu übernehmen. Da das Protokoll in nahezu allen Unternehmensnetzwerken im Einsatz ist, kann ein erfolgreicher Angriff schnell die gesamte Netzwerk‑Authentifizierung lahmlegen und den Angreifer privilegierten Zugriff auf kritische Ressourcen verschaffen.

    Die CCB hat bereits bestätigte Fälle gemeldet, bei denen Angreifer in kurzer Zeit mehrere Domänen kompromittiert haben. Die Angriffe wurden in der Regel über kompromittierte VPN‑Endpunkte oder ungesicherte Remote‑Desktop‑Sitzungen initiiert, wobei das eigentliche Netlogon‑Exploit als „Nachtreiber“ fungierte, um die Persistenz zu sichern.

    Weitere Schwachstellen und Notfallmaßnahmen im Windows‑Ökosystem

    Neben der Netlogon‑Lücke hat Microsoft im Mai‑Patch auch die Schwachstelle CVE‑2026‑42015 im Common Log File System Driver (clfs.sys) adressiert. Diese Lücke wird bereits aktiv von Ransomware‑Gruppen ausgenutzt, die den CLFS‑Dienst deaktivieren, um die Wiederherstellung von Log‑Dateien zu verhindern und damit die Schadensbegrenzung erschweren. Betroffen sind Windows 10, Windows 11, verschiedene Server‑Editionen und Azure IoT Edge. Obwohl ein Patch bereits seit dem 9. Januar 2026 zur Verfügung steht, zeigen interne Umfragen, dass ein erheblicher Teil der Unternehmensumgebungen noch nicht aktualisiert wurde.

    Microsoft empfiehlt daher als temporäre Maßnahme, den CLFS‑Dienst zu deaktivieren, bis das offizielle Update flächendeckend ausgerollt ist. Für Unternehmen, die kritische Infrastruktur betreiben, sollte diese Maßnahme sofort umgesetzt werden, um das Risiko eines Ransomware‑Angriffs zu minimieren.

    Eine weitere, weniger stark beworbene Schwachstelle ist CVE‑2026‑40510 mit einem CVSS‑Score von 8,8. Sie betrifft sowohl Windows als auch Office und ermöglicht authentifizierten Angreifern, Code mit erweiterten Rechten auszuführen. Der Patch dafür wurde bereits am 22. Januar veröffentlicht, jedoch haben viele Organisationen die Aktualisierung noch ausstehend, was ein zusätzliches Einfallstor für gezielte Angriffe darstellt.

    Die gleichzeitige Existenz mehrerer kritischer Lücken verdeutlicht ein Kernproblem: Viele Unternehmen vernachlässigen das Patch‑Management und setzen weiterhin auf veraltete Systeme. Angesichts der Tatsache, dass die Netlogon‑Lücke bereits aktiv ausgenutzt wird, ist ein beschleunigtes Update‑Rollout unerlässlich.

    Praktische Schritte für IT‑Verantwortliche

    • Umgehend das Mai‑Update KB5089549 installieren. Bei Fehlermeldungen wie 0x800f0922 prüfen, ob die EFI‑Systempartition (ESP) mindestens 10 MB freien Speicher bietet; falls nicht, das optionale Vorab‑Update KB5089573 anwenden.
    • Den CLFS‑Dienst deaktivieren, bis das offizielle Patch‑Paket flächendeckend ausgerollt ist (z. B. mittels “sc config clfs start= disabled”).
    • Alle Systeme auf die neuesten Sicherheitsupdates prüfen, insbesondere für CVE‑2026‑40510 und CVE‑2026‑42015.
    • Netzwerk‑Segmentierung verstärken und den Zugriff auf Domain‑Controller ausschließlich über gesicherte, interne Subnetze zulassen.
    • Multi‑Factor‑Authentication (MFA) für alle administrativen Konten aktivieren, um die Auswirkungen möglicher Credential‑Diebstähle zu reduzieren.

    Ein weiterer wichtiger Aspekt ist die Überwachung. Sicherheits‑Information‑und‑Event‑Management‑Systeme (SIEM) sollten gezielt nach ungewöhnlichen Netlogon‑Anfragen suchen, die von nicht‑authentifizierten IP‑Adressen stammen. Die Kombination aus Log‑Analyse und Anomalie‑Erkennung kann frühe Anzeichen eines Exploits aufdecken, bevor Schadcode breitflächig ausgeführt wird.

    Langfristige Strategien und regulatorische Implikationen

    Die aktuelle Lage verdeutlicht, dass reine Technologie‑Fixes nicht ausreichen. Unternehmen müssen ihre Sicherheitsarchitektur ganzheitlich überdenken. Die Einführung von Zero‑Trust‑Prinzipien, bei denen jedes Netzwerk‑Segment als potenziell kompromittiert betrachtet wird, kann die Angriffsfläche signifikant reduzieren. Gleichzeitig steigt die regulatorische Aufmerksamkeit: Die EU‑Datenschutzgrundverordnung (DSGVO) verlangt nachweisbare Maßnahmen zum Schutz personenbezogener Daten, und ein erfolgreicher Netlogon‑Angriff kann zu massiven Datenverlusten führen, die rechtliche Konsequenzen nach sich ziehen.

    Aus Sicht der Wirtschaftsförderung und der Industrieverbände wird ein stärkeres Bewusstsein für Cyber‑Risiken gefordert. Investitionen in automatisierte Patch‑Management‑Lösungen, die sowohl On‑Premises‑ als auch Cloud‑Umgebungen abdecken, sind dabei ein klarer Trend. Unternehmen, die frühzeitig in solche Systeme investieren, können nicht nur das Risiko von Netlogon‑Exploits mindern, sondern auch ihre Compliance‑Kosten senken.

    Abschließend lässt sich festhalten, dass die Kombination aus einer kritischen Netlogon‑Lücke, aktiven Angriffen und zusätzlichen Schwachstellen im Windows‑Stack ein starkes Signal an die IT‑Community sendet: Schnelles Handeln, transparente Kommunikation und ein robustes Sicherheits‑Framework sind jetzt unabdingbar. Wer die empfohlenen Sofortmaßnahmen umsetzt und gleichzeitig langfristige Strategien zur Resilienzentwicklung verfolgt, wird besser gerüstet sein, um nicht nur die aktuelle Bedrohung, sondern zukünftige Angriffe abzuwehren.

  • Innovative ERP-Lösungen von Vepos GmbH: Effizienzsteigerung für den Mittelstand

    Innovative ERP-Lösungen von Vepos GmbH: Effizienzsteigerung für den Mittelstand

    LGR Reutlingen – 01 Juni 2026 | Die Vepos GmbH, ansässig in Nürnberg, präsentiert mit ihrer ERP-Lösung v.Soft ein umfassendes System, das darauf abzielt, zentrale Unternehmensprozesse in einer integrierten Umgebung zu optimieren. Dieses Angebot richtet sich insbesondere an mittelständische Unternehmen, die sowohl klassische ERP-Funktionalitäten als auch praktische Erweiterungen benötigen.

    Das Cloud-basierte System von Vepos GmbH vereinfacht die Handhabung wesentlicher betrieblicher Abläufe und gewährleistet eine durchgängige Systemlogik. Die Mandantenfähigkeit und ein strukturiertes Berechtigungssystem ermöglichen skalierbare Setups, die den unterschiedlichen Anforderungen von Unternehmen gerecht werden.

    ERP-Anbieter: Vepos GmbH und ihre Funktionen

    Die Software v.Soft bietet eine breite Palette an Basisfunktionen, die für die verschiedenen Abteilungen eines Unternehmens nützlich sind. Eine integrierte Suchfunktion, eine granulare Rechteverwaltung sowie mandantenfähige Strukturen stehen den Nutzern zur Verfügung. Die zentrale Unterstützung von Modulen wie Artikelmanagement, Projektmanagement und Exportabwicklung ermöglicht eine nahtlose Zusammenarbeit der einzelnen Bereiche. Zudem erweitert eine mobile App den Zugriff und ermöglicht prozessnahe Bearbeitungen, was in der heutigen Geschäftswelt von entscheidender Bedeutung ist.

    Für die individuelle Anpassung der Software stehen anpassbare Oberflächen-Templates zur Verfügung, die es Unternehmen erlauben, Masken und Workflows an spezifische Abläufe anzupassen. Ein Datenmigrationsassistent erleichtert die strukturierte Übernahme bestehender Datenbestände und sorgt für einen reibungslosen Übergang zu v.Soft.

    Integration und Schnittstellen

    Die Integrationsmöglichkeiten von v.Soft sind umfassend und decken sowohl betriebswirtschaftliche Systeme als auch operative Plattformen ab. Für die Buchhaltung sind Core-Schnittstellen integriert, während Business Intelligence-Anbindungen über die API realisiert werden. Eine Barcode-Scanning-Funktion ist ebenfalls vorhanden, die eine Verbindung zu Lager- und Versandprozessen herstellt.

    Die Anbindung an verschiedene Marktplätze wie Amazon, eBay und Kaufland wird durch direkte Schnittstellen gewährleistet. Weitere Plattformen wie OTTO Market und Zalando sind über API oder etablierte Wege integrierbar. Auf der Versandseite bietet v.Soft Verbindungen zu namhaften Versanddienstleistern wie DHL, DPD und UPS, sodass die gesamte Prozesskette vom Auftrag über die Kommissionierung bis hin zum Versandlabel effizient abgebildet werden kann.

    Funktionalitäten für Einkauf, Vertrieb und Versand

    Im Einkaufsmanagement ermöglicht die Software eine nahtlose Lieferantenauswahl sowie eine Angebotsverwaltung, die Preisvergleiche und die Umwandlung von Angeboten in Bestellungen umfasst. Die integrierten Schnittstellen zur Kreditorenbuchhaltung sorgen für eine reibungslose Abwicklung der Wareneingänge, die sowohl mit als auch ohne Bestellung abgebildet werden können. Dies schließt auch die Verwaltung von Retouren und Teilmengen mit ein.

    Die Vertriebsfunktionen von v.Soft sind ebenfalls umfassend. Sie beinhalten die Verwaltung von Pipelines, die Angebotserstellung und -überwachung sowie die Planung von Konditionen und Lieferzeiten. Zudem unterstützt das System die Außendienststeuerung, das Customer Relationship Management (CRM) und die Produktionssteuerung. Automatisierte Workflows sowie die Erfassung von Personalzeiten und Betriebsdaten runden das Funktionsspektrum ab.

    Bei den Versandfunktionen sind Lieferscheine, Warenausgangsbuchungen und Versanddokumente bereits im System verankert. Auch die Abbildung von Versandkosten und die Integration für die Tourenplanung über Drittanbieter sind vorhanden. Dies ermöglicht eine effiziente Gestaltung der gesamten Logistikprozesse.

    Service und Sicherheit

    Die Vepos GmbH legt großen Wert auf Service und Support. Präsenz- und Online-Trainings sind verfügbar, ergänzt durch umfassende Handbücher und einen Support, der an Werktagen bereitsteht. Die definierten Reaktionszeiten betragen weniger als eine Stunde, was die Nutzerzufriedenheit erheblich steigert.

    In puncto Datensicherheit wird v.Soft mit Serverstandorten in Deutschland betrieben. Die Pseudonymisierung und Verschlüsselung personenbezogener Daten sind gewährleistet, und es gibt klare Regelungen zur Speicherung zustimmungsgebundener Informationen. Ein Standardvertrag zur Auftragsdatenverarbeitung wird bereitgestellt, und Sicherheitsmaßnahmen gegen Cyber-Attacken sind implementiert. Darüber hinaus ist das Unternehmen ISO 9001 zertifiziert, was die Qualität der internen Prozesse unterstreicht.

    Zusammenfassend lässt sich sagen, dass die Vepos GmbH mit v.Soft eine leistungsstarke ERP-Lösung bietet, die den Anforderungen des Mittelstands gerecht wird. Die Kombination aus Cloud-Technologie, mandantenfähiger Architektur und umfangreichen Integrationsmöglichkeiten unterstützt Unternehmen dabei, ihre E-Commerce-Prozesse vom Einkauf über den Vertrieb bis hin zum Versand effizient zu gestalten.

  • 19,6 Milliarden Dateien offen im Netz – kein Passwort nötig: Offene Cloud-Buckets als versteckte Gefahr

    19,6 Milliarden Dateien offen im Netz – kein Passwort nötig: Offene Cloud-Buckets als versteckte Gefahr

    LGR Reutlingen – 01 Juni 2026 | Eine aktuelle Analyse hat ergeben, dass 19,6 Milliarden Dateien in öffentlich zugänglichen Cloud‑Buckets liegen – und das ohne ein einziges Passwort. Die Untersuchung, die im März 2026 von einem Forschungsteam eines bekannten VPN‑Anbieters durchgeführt wurde, zeigt, dass Fehlkonfigurationen in den populärsten Cloud‑Speicher‑Diensten die Grundlage für ein beachtliches Datendiebstahl‑Risiko bilden.

    Die Forscher sammelten Metadaten von über 535 000 Buckets auf den Plattformen Amazon S3, Google Cloud, Microsoft Azure, DigitalOcean und Alibaba. Ohne irgendeine Authentifizierung ließ sich jede Datei per einfacher URL im Browser öffnen. Dabei wurden keine Inhalte heruntergeladen – allein die Dateinamen und -typen reichten aus, um das Ausmaß zu beurteilen.

    19,6 Milliarden Dateien offen im Netz – kein Passwort nötig: Das Ausmaß der Gefahr

    Der Großteil der freigegebenen Daten besteht aus alltäglichen Arbeitsunterlagen – Bilder, PDFs, Log‑Dateien. Doch ein erheblicher Anteil beinhaltet sensible Informationen, die niemals öffentlich sein sollten. Besonders gefährlich sind Konfigurationsdateien im .env-Format sowie Passwort‑Tresor‑Datenbanken (z. B. .kdbx). In .env-Dateien finden sich häufig API‑Schlüssel, Datenbank‑Passwörter und weitere Authentifizierungstoken. Ein offenes .kdbx-Archiv kann, sofern der eigentliche Schlüssel nicht separat gesichert ist, einem Angreifer den kompletten Zugriff auf ein System ermöglichen.

    „685 047 Credential‑Dateien liegen in offenen Buckets und ermöglichen potenziellen Angreifern den direkten Zugriff auf Live‑Systeme“, erklärt das Forschungsteam.

    Ein besonders alarmierendes Szenario entsteht, wenn ein Angreifer zunächst eine öffentlich einsehbare .env-Datei entdeckt, daraus die Zugangsdaten zu einer Datenbank extrahiert und anschließend einen kompletten Datenbank‑Dump herunterlädt. Solche Dumps enthalten häufig Kunden‑E‑Mail‑Adressen, Bestellhistorien und im schlimmsten Fall Klartext‑Passwörter. Sobald die Hashes offline geknackt sind, können Angreifer auf zahlreiche Online‑Konten zugreifen und weitere Schadaktionen auslösen.

    Die Analyse verdeutlicht, dass die Gefahr nicht von externen Angriffen, sondern von internen Fehlkonfigurationen herrührt. Ein einziger falscher Schalter – etwa das Setzen eines Buckets auf „public list“ statt auf „private“ – reicht aus, um Milliarden von Dateien ungeschützt im Internet zu hinterlassen.

    Ein Blick auf die Verteilung der offenen Buckets zeigt, dass mehr als zwei Drittel der betroffenen Daten auf Amazon S3 zu finden sind. Das liegt weniger an mangelnder Sicherheit seitens Amazon, sondern an der dominanten Marktposition von S3, die zu einer höheren Anzahl von Workloads und damit zu mehr Fehlkonfigurationen führt. Die Plattformwahl allein schützt nicht; es ist die disziplinierte Konfiguration, die Sicherheit gewährleistet.

    Die Konsequenzen für Unternehmen sind weitreichend. Neben dem offensichtlichen Risiko eines Datenlecks drohen regulatorische Strafen, Vertrauensverlust bei Kunden und potenzielle Kosten für Incident‑Response‑Maßnahmen. Viele Unternehmen setzen bereits auf automatisierte Scans, doch die Studie legt nahe, dass ein kontinuierlicher, attacker‑orientierter Ansatz erforderlich ist.

    Für Cloud‑Betreiber ergeben sich klare Handlungsfelder:

    • Standardmäßig alle Buckets auf privat setzen und Ausnahmen streng prüfen.
    • Sensible Secrets wie API‑Keys, Passwörter oder Tokens niemals im Objektspeicher ablegen.
    • Backups vor dem Upload verschlüsseln und Schlüssel getrennt verwalten.
    • Regelmäßige, automatisierte Audits des Cloud‑Footprints durchführen – analog zu einem Penetrationstest.
    • Offene Buckets nicht als Einzelfehler, sondern als strukturelles Versagen behandeln.

    Auch Endnutzer können ihr Risiko mindern, obwohl sie die Konfiguration der genutzten Dienste nicht kontrollieren können. Die wichtigsten Maßnahmen sind die Verwendung einzigartiger Passwörter für jeden Dienst, die Aktivierung von Multi‑Faktor‑Authentifizierung (MFA) und die Beschränkung der Datenweitergabe auf das notwendige Minimum.

    Die Studie wirft zudem ein Licht auf die Rolle von Entwicklern und DevOps‑Teams. Oft entstehen offene Buckets durch automatisierte Skripte, die Daten in falsche Pfade schreiben, oder durch das versehentliche Hochladen von Konfigurationsdateien während des Deployments. Ein stärkeres Bewusstsein für sichere Praktiken und die Integration von Sicherheits‑Checks in CI/CD‑Pipelines können diese Risiken signifikant reduzieren.

    Ein weiterer Aspekt ist die wachsende Bedeutung von Cloud‑Security‑Posture‑Management (CSPM)-Lösungen. Solche Tools überwachen kontinuierlich die Konfigurationen und alarmieren, sobald ein Bucket öffentlich wird. In Kombination mit Identity‑ und Access‑Management (IAM)-Richtlinien können Unternehmen ein mehrschichtiges Sicherheitsmodell etablieren.

    Die aktuelle Lage verdeutlicht, dass die digitale Transformation nicht nur Chancen, sondern auch neue Angriffsflächen schafft. Während Unternehmen verstärkt in Cloud‑Infrastrukturen investieren, muss die Sicherheitskultur Schritt halten. Ohne klare Governance‑Strukturen und automatisierte Kontrollen bleibt das Risiko von offenen Cloud‑Buckets bestehen – und damit das potenzielle Auslaufen von 19,6 Milliarden Dateien im Netz.

    Abschließend lässt sich festhalten, dass die Gefahr nicht von außen, sondern von innen entsteht. Jeder falsche Klick, jedes unbedachte Skript kann Millionen von sensiblen Informationen preisgeben. Unternehmen, die ihre Cloud‑Umgebung proaktiv sichern, schützen nicht nur ihre Daten, sondern auch ihr Markenimage und das Vertrauen ihrer Kunden.

  • SAP, Regulierung & die unbequemen Wahrheiten: Wer trägt die Verantwortung?

    SAP, Regulierung & die unbequemen Wahrheiten: Wer trägt die Verantwortung?

    LGR Reutlingen – 28 Mai 2026 | In der heutigen digitalen Welt sind SAP-Systeme das Rückgrat vieler Unternehmen. Sie verwalten Milliarden von Unternehmensdaten, Finanzströme und Lieferketten. Doch während in den Vorstandsetagen oft ein zustimmendes Nicken bei dem Thema „SAP-Sicherheit“ zu beobachten ist, denken viele: „Das ist doch das Thema für die Nerds im Keller.“ Diese Wahrnehmung ist jedoch gefährlich, denn die Sicherheit von SAP-Systemen ist alles andere als ein Kellerthema – sie ist eine Zeitbombe.

    In einem aktuellen Podcast mit Andreas Kirchebner, Security Delivery Senior Manager bei Accenture, wird deutlich, dass trotz bestehender Regulierung, Frameworks und Audits eine kritische Lücke klafft. Diese Lücke zu erkennen und zu schließen, bedeutet Verantwortung zu übernehmen – eine Verantwortung, die viele Führungskräfte scheuen. Der Podcast thematisiert die unbequemen Wahrheiten im Zusammenhang mit SAP-Sicherheit und Regulierung.

    Was passiert, wenn ein Audit grünes Licht gibt, und nur wenige Monate später ein Angreifer tief im System sitzt? Wer wird dafür zur Rechenschaft gezogen? Der Vorstand? Der Aufsichtsrat? Die Kunden? Die Antwort ist oft: Niemand. Das ISMS-Framework endet dort, wo das tatsächliche Risiko beginnt – und genau das ist das Problem.

    Die Hoffnung, dass künstliche Intelligenz die Lücken schließen kann, könnte sich als trügerisch herausstellen. Ist die Implementierung von KI tatsächlich eine Lösung oder nur ein teures Pflaster auf ein strukturelles Problem, das seit Jahren ignoriert wird? Der Podcast gibt keine beruhigenden Antworten, sondern stellt die zentrale Frage: Wer trägt die Verantwortung für SAP-Sicherheit und warum drücken sich viele davor?

    SAP-Sicherheit als Karrierefrage

    Ein zentraler Punkt in der Diskussion ist der CISO (Chief Information Security Officer). Er ist die Person, die die Realität in den technischen Abteilungen kennt und die oft überfälligen Investitionen in Sicherheit aufzeigt. Doch wenn der CFO den Raum betritt, wird das Thema Sicherheit schnell zum ungeliebten Kind. Sicherheitsinvestitionen werden nicht als Umsatztreiber wahrgenommen, sondern als unangenehme Ausgaben, die vermieden werden sollen.

    So entsteht eine Sandwich-Situation für den CISO: Oben drängt die Geschäftsführung auf positive Nachrichten und Budgetdisziplin, während unten technische Teams auf Entscheidungen warten, die nie getroffen werden. Wer hier nicht einknickt, macht sich unbeliebt oder riskiert sogar seinen Job. Das Resultat ist oft ein organisiertes Wegsehen – man weiß um die Risiken, schweigt jedoch aus Angst vor Konsequenzen.

    „Sicherheit ist unsichtbar, solange nichts passiert“, so Kirchebner. Das ist der Kern des Problems: Es geht nicht darum, ob etwas passiert, sondern wann. Ein gezielter Angriff auf ein SAP-System, eine empfindliche Geldstrafe durch NIS2 oder DSGVO, ein öffentliches Datenleck – erst dann wird das Budget für Sicherheitsinvestitionen plötzlich bereitgestellt, oft ohne große Diskussion.

    Verantwortung und Regulierung

    Die Fragen, die sich in diesem Kontext stellen, sind vielfältig. Wer ist tatsächlich verantwortlich für die Sicherheit von SAP-Systemen? Wie gehen Unternehmen mit den regulatorischen Anforderungen um? Und sind Audits wirklich ein Sicherheitsnetz oder lediglich eine trügerische Beruhigung? Die Antworten sind oft ernüchternd.

    Die Ursachen für die bestehenden Sicherheitslücken sind vielschichtig. Sie reichen von technischen Defiziten über organisatorische Herausforderungen bis hin zu einer gewissen Verantwortungslosigkeit. Unternehmen müssen sich fragen, ob sie die richtigen Experten an Bord haben, um die komplexen Sicherheitsanforderungen zu bewältigen oder ob sie sich lediglich auf das nächste Buzzword wie KI verlassen, um ihre Probleme zu lösen.

    Die Realität zeigt, dass viele Unternehmen nicht in der Lage sind, die Expertise zu finden, die sie benötigen. Das führt dazu, dass sie sich auf Berater verlassen, die möglicherweise nicht über die notwendige tiefgreifende Sicherheitsperspektive verfügen. Die Gefahr, dass sie von Dienstleistern mit bunten Folien und wenig Substanz überzeugt werden, ist hoch.

    Die Diskussion um SAP, Regulierung und die unbequemen Wahrheiten ist also nicht nur eine Frage der Technik, sondern auch eine der Verantwortung auf oberster Ebene. Unternehmen müssen lernen, dass Sicherheit kein optionales Thema ist, sondern eine fundamentale Voraussetzung für ihren langfristigen Erfolg.

    Die Zeit zum Handeln ist gekommen. Unternehmen sollten nicht warten, bis sie Opfer eines Angriffs werden oder eine teure Strafe zahlen müssen, um zu erkennen, dass die Sicherheit ihrer Systeme an erster Stelle stehen muss. Nur so können sie die Herausforderungen der digitalen Zukunft meistern und die unbequemen Wahrheiten rund um SAP-Sicherheit und Regulierung in den Griff bekommen.

  • SAP-Sicherheit: Zwischen Checklisten, Karriererisiko und dem organisierten Wegsehen

    SAP-Sicherheit: Zwischen Checklisten, Karriererisiko und dem organisierten Wegsehen

    LGR Reutlingen – 28 Mai 2026 | Im digitalen Zeitalter sind SAP-Systeme das Rückgrat zahlreicher Unternehmen. Milliarden von Euro an Unternehmensdaten, Finanzströme, Personalakten und Lieferketten fließen durch diese Systeme. Dennoch wird das Thema SAP-Sicherheit in vielen Vorstandsetagen oft mit einem zustimmenden Nicken nach außen abgetan, während es intern als Problem für die IT-Abteilung abgetan wird. Diese Wahrnehmung ist nicht nur falsch, sondern hat auch weitreichende Konsequenzen.

    Regulierungen und Sicherheitsframeworks sind vorhanden, Audits werden durchgeführt und dokumentiert. Dennoch gibt es eine signifikante Lücke in der Wahrnehmung und im Handeln vieler Unternehmen. Diese Lücke wird oft ignoriert, da ihre Schließung nicht nur Unannehmlichkeiten mit sich bringt, sondern auch finanzielle Investitionen erfordert und letztlich eine Übernahme von Verantwortung bedeutet.

    Der Chief Information Security Officer (CISO) ist sich der Herausforderungen bewusst. Er kennt die kritischen Punkte und kommuniziert diese nach oben – sei es in Entscheidungsvorlagen oder internen Gesprächen, untermauert mit Zahlen und Argumenten. Doch hier beginnt das Dilemma: Eine Führungsebene, die sich auf Quartalszahlen konzentriert, denkt nicht an langfristige Risikoszenarien. Sicherheitsinvestitionen werden als belastende Ausgaben und nicht als strategische Notwendigkeit wahrgenommen. Dies führt zu einer verhängnisvollen Situation, in der der CISO zwischen den Stühlen sitzt: zwischen der Notwendigkeit, Risiken zu adressieren, und der Gefahr, als Kostentreiber wahrgenommen zu werden. Wer sich zu laut äußert, riskiert seine Karriere.

    Die Realität, mit der Unternehmen konfrontiert sind, ist, dass es nicht mehr die Frage ist, ob ein Sicherheitsvorfall eintreten wird, sondern wann. In einem aktuellen Videopodcast diskutiert Andreas Kirchebner, Security Delivery Senior Manager bei Accenture, die unbequemen Wahrheiten hinter Audits, Frameworks und den bestehenden Verantwortungsstrukturen. Er beleuchtet, wo das ISMS-Framework endet und wo das reale Risiko beginnt, das von vielen Checklisten nicht erfasst wird.

    Die Herausforderung für Unternehmen liegt auch darin, die Kompetenzen ihrer SAP-Berater zu bewerten. Verfügen diese tatsächlich über das nötige Wissen zur Sicherheit oder verkaufen sie lediglich schön gestaltete Folien? Zudem wird die Rolle der Künstlichen Intelligenz in der Branche kritisch hinterfragt. Kann sie den eklatanten Fachkräftemangel beheben, oder ist sie lediglich ein teures Pflaster auf einem strukturellen Problem, das seit Jahren ignoriert wird?

    Die Antworten auf diese Fragen sind alles andere als beruhigend. Die Branche muss sich mit unangenehmen Wahrheiten auseinandersetzen und bereit sein, Verantwortung zu übernehmen. Die Vorstellung, dass Sicherheitsfragen nur die IT-Abteilung betreffen, ist eine gefährliche Illusion. Führungskräfte müssen verstehen, dass eine solide SAP-Sicherheit kein isoliertes Thema ist, sondern einen integralen Bestandteil der Unternehmensstrategie darstellt.

    Die aktuelle Situation erfordert ein Umdenken in den Führungsetagen. Sicherheitsstrategien müssen in die Gesamtstrategie des Unternehmens integriert werden, und es bedarf einer Kultur, die Sicherheit nicht nur als Kostenfaktor, sondern als wesentlichen Teil des Geschäftserfolgs betrachtet. Nur so kann das Risiko eines Sicherheitsvorfalls minimiert und die Integrität der Unternehmensdaten gewahrt werden.

  • Shield Guard: Raiffeisen Stadtbank Wien startet Cyber-Schutzschild für Unternehmen

    Shield Guard: Raiffeisen Stadtbank Wien startet Cyber-Schutzschild für Unternehmen

    LGR Reutlingen – 28 Mai 2026 | Die Raiffeisen Stadtbank Wien hat mit ihrem neuen Angebot Shield Guard einen innovativen Cyber-Schutzschild für Unternehmen ins Leben gerufen. In Österreich wird jeder siebte Cyberangriff erfolgreich durchgeführt, was insbesondere für kleine und mittlere Unternehmen (KMU) eine erhebliche Bedrohung darstellt. Oftmals sind diese Firmen sich der Risiken nicht bewusst und geraten ins Visier von Cyberkriminellen, die mit Lösegeldforderungen für verschlüsselte Daten drohen. Die finanziellen Folgen solcher Angriffe können verheerend sein und schnell hohe Schadenssummen verursachen.

    Um Unternehmen besser abzusichern, bietet die Raiffeisen Stadtbank Wien einen kostenlosen Cybersecurity-Check im Wert von 1.000 Euro an, ergänzt durch eine maßgeschneiderte Shield Guard-Versicherung. Matthias Köckeis, Leiter des Kompetenzzentrums KMU für Gesundheit, Technologie und Tourismus bei der Raiffeisen Stadtbank Wien, und Silvia Halper, Account Managerin IT Services bei der CPB Software (Austria) GmbH, erläutern in einem Interview die Hintergründe und Ziele dieser neuen Initiative.

    Gemeinsame Anstrengungen gegen Cyberangriffe

    Köckeis erklärt, dass Cybersecurity als das größte Betriebsrisiko weltweit gilt und KMU besonders betroffen sind. Die Zusammenarbeit mit CPB Software ermöglicht es, zunächst Schwachstellen in der IT-Infrastruktur der Unternehmen zu identifizieren und entsprechende Maßnahmen zur Verbesserung zu ergreifen. Auf diesen ersten Schritt folgt die Einführung der Shield Guard-Cyberversicherung, die für Unternehmen ein ausgezeichnetes Preis-Leistungs-Verhältnis bietet.

    Halper ergänzt, dass die Expertise von CPB Software im Bereich IT-Infrastruktur auf präventive Maßnahmen fokussiert ist, während die Raiffeisen Stadtbank Wien den finanziellen Schutz im Schadensfall gewährleistet. Diese Synergie ist entscheidend für den umfassenden Schutz der Unternehmen.

    Die Bedrohungslage ist ernst. Laut Köckeis sind Online-Händler besonders anfällig, da hier die Quote erfolgreicher Angriffe noch höher ist als im Durchschnitt. Die Zunahme solcher Angriffe ist alarmierend und zeigt, dass Unternehmen ihre Sicherheitsvorkehrungen dringend verbessern müssen.

    Angriffsarten und Schutzmaßnahmen

    Die häufigsten Angriffsvektoren sind Phishing und Social Engineering. In letzter Zeit sind auch Deepfake-Attacken, wie etwa gefälschte Videoanrufe mit vermeintlichen Vorgesetzten, stark im Trend. Köckeis und Halper empfehlen Unternehmen, eine solide IT-Basis zu schaffen, die regelmäßige Schwachstellenanalysen, Updates und Security-Patches umfasst. Ein moderner Ransomware-Schutz mit Anomalieerkennung ist ebenfalls unerlässlich.

    Ein klar definiertes Sicherheitskonzept mit Zugriffsregeln ist für jedes Unternehmen wichtig. Da eine hundertprozentige Sicherheit nicht gewährleistet werden kann, sollten zudem Backup-Strategien und ein Notfallhandbuch implementiert werden, um im Ernstfall schnell reagieren zu können.

    Im Zahlungsverkehr betonen die Experten die Notwendigkeit moderner Freigabemethoden wie Gesichtserkennung und Multi-Faktor-Authentifizierung. Die neue Verordnung zu Instant Payments ermöglicht es Banken zudem, durch die Verifizierung von Kontoinhaber und IBAN zusätzliche Sicherheitsmaßnahmen zu ergreifen.

    Die finanziellen Folgen eines Cyberangriffs können dramatisch sein. In Österreich sind Schäden von bis zu 1 Million Euro keine Seltenheit, wobei eine große Dunkelziffer unberücksichtigt bleibt. Unternehmen erleiden oft auch Umsatzverluste und Reputationsschäden, die existenzbedrohende Ausmaße annehmen können. Im Vergleich dazu ist die Jahresprämie von 2.000 Euro für die Shield Guard-Versicherung bei einem Unternehmensumsatz von 5 Millionen Euro durchaus kalkulierbar.

    Köckeis erläutert, dass der Ablauf der Kooperation zweistufig erfolgt: Zunächst führen die Spezialisten von CPB den Cybersecurity-Check durch, der für Raiffeisen-Kunden kostenlos ist. Am Ende dieser Analyse steht ein detaillierter Bericht, der spezifische Verbesserungsvorschläge enthält. Darauf aufbauend kann die Shield Guard-Versicherung abgeschlossen werden, um den optimalen Schutz zu gewährleisten.

    Beide Experten rufen die österreichischen KMU dazu auf, das Thema Cybersecurity ernst zu nehmen. Ein einzelner Angriff kann die Existenz eines erfolgreichen Unternehmens gefährden. Halper betont, dass es zwar unmöglich ist, Angriffe vollständig zu verhindern, jedoch durch präventive Maßnahmen und eine gute Vorbereitung das Risiko erheblich gesenkt werden kann.

    Für Unternehmen, die an einem Cybersecurity-Check und an der Shield Guard-Versicherung interessiert sind, ist der Kontakt zu Matthias Köckeis und seinem Team empfehlenswert.

  • BlueVoyant SOC: Die Evolution komplexer Angriffs-Kampagnen schreitet immer schneller voran

    BlueVoyant SOC: Die Evolution komplexer Angriffs-Kampagnen schreitet immer schneller voran

    LGR Reutlingen – 28 Mai 2026 | Im Zuge der stetig wachsenden Bedrohung durch Cyberangriffe haben die Sicherheitsanalysten des BlueVoyant Security Operations Centers (SOC) eine neuartige, global agierende Bedrohungsgruppe entdeckt. Diese Gruppe, die seit Februar 2026 aktiv ist, nutzt eine ausgeklügelte SEO Poisoning-Kampagne, um über gefälschte Microsoft Teams-Installer Trojaner zu verbreiten. Ziel ihrer Angriffe sind insbesondere Nutzer, die über Suchmaschinen nach einer Möglichkeit suchen, die beliebte Kommunikationssoftware Teams zu installieren. Durch gezielte Manipulation der Suchergebnisse gelingt es den Angreifern, ihre kompromittierten Installations-Webseiten an die Spitze der Suchergebnisse zu setzen.

    Ein auf diesen Webseiten platziertes PHP-Skript sammelt die IP-Adressen der Opfer und liefert ihnen die schädlichen Installer aus. Am Ende der Attacke steht die Installation einer mehrstufigen Shellcode-Loader- und Backdoor-Kombination, die von den Sicherheitsanalysten den Namen ‘Lorem Ipsum’ erhalten hat.

    Die technische Brisanz dieser Kampagne ergibt sich vor allem aus der systematischen und ressourcenintensiven Umgehung etablierter Sicherheitsmechanismen. Die trojanisierten MSI-Installer sind mit gültigen, über Microsoft-ID verifizierten Code-Signing-Zertifikaten ausgestattet, die jedoch nur eine maximale Gültigkeit von drei Tagen haben – ein gezielter „Burn Cycle“, um EDR-Lösungen zu täuschen. Die Ausführung der Schadsoftware beginnt im Verborgenen: Eine MSI-Aktion wird unsichtbar im Hintergrund über einen PowerShell-Loader gestartet, während der legitime Teams-Installer im Vordergrund läuft.

    In einer rasanten architektonischen Reifung hat die Bedrohungsgruppe die Verschleierung ihrer Payload-Bereitstellung innerhalb weniger Wochen erheblich optimiert. Während sie anfangs auf einfache, via gzip komprimierte Payloads setzte, nutzt sie mittlerweile externe AES-Schlüssel, die über die MSI-Perimeter übergeben werden.

    Eine der innovativsten Taktiken des „Lorem Ipsum“-Loaders ist der Missbrauch legitimer Webdienste als „Dead-Drop-Resolver“ für die Command-and-Control (C2)-Infrastruktur. Anstatt C2-Domänen fest im Code zu integrieren, nutzen die Angreifer die Plattform letsdiskuss.com. Dort erstellen sie Profile und verstecken in den Profilbeschreibungen kodierte C2-Informationen. Der bekannte „Lorem Ipsum“-Blindtext dient dabei als Tarnung, wobei die eigentlichen Daten zwischen spezifischen Begrenzungszeichen eingebettet sind. Der Loader ruft diese Seiten über reguläre HTTP-Anfragen auf, extrahiert die Zeichenketten und berechnet die finalen C2-Domänen.

    Ein weiteres bemerkenswertes Merkmal ist die Verschleierungstechnik, bei der die gesamte C2-Kommunikation in JFIF-Bilddateien (JPEG) verpackt wird. Der Loader sendet seine Anfragen mit einem „image/jpeg“-Header. Verschlüsselte Payloads oder Systeminformationen werden über die regulären Bildgrenzen hinaus angehängt und mittels einer maßgeschneiderten XOR-Routine verschlüsselt übertragen.

    Die umfassende Analyse des BlueVoyant SOC deutet auf eine finanziell gut ausgestattete Gruppe Cyberkrimineller hin, die möglicherweise als Initial Access Broker (IAB) fungiert. Die operative Geschwindigkeit der Gruppe ist beispiellos: Innerhalb von nur knapp zehn Wochen entwickelte sie die Schadsoftware von einem simplen Test-Build zu einer hochgradig ausgereiften Loader-Kette mit DLL-Sideloading, dynamischer API-Auflösung und steganografischer C2-Kommunikation über UUID-getrackte Pfade weiter.

    Diese enorme Entwicklungsgeschwindigkeit lässt vermuten, dass die Angreifer bei der Code-Erstellung auf Large Language Models (LLMs) zurückgreifen. KI-gestützte Workflows ermöglichen es modernen Bedrohungsakteuren, ihre Toolsets in einem Bruchteil der bisher üblichen Zeit zu optimieren.

    Für IT-Sicherheitsverantwortliche ergeben sich aus diesen Erkenntnissen klare Handlungsempfehlungen. Da die Angreifer ihre Infrastruktur in immer rasanterem Tempo weiterentwickeln, werden statische Indicators of Compromise (IOCs) zunehmend irrelevant. Die Verteidigung muss daher zwingend auf verhaltensbasierte Anomalie-Erkennung umgestellt werden. Kritische Warnsignale, auf die geachtet werden sollte, sind beispielsweise der Netzwerkverkehr von Nicht-Browser-Prozessen zu letsdiskuss.com, JFIF-formatierte POST-Anfragen an ungewöhnliche Endpunkte sowie das Starten versteckter PowerShell-Instanzen durch msiexec mit Schreibzugriffen im Dateisystem.

    Zusammenfassend lässt sich sagen, dass die vom BlueVoyant SOC dokumentierten Verhaltensmuster ein solides Fundament bilden, um diese und ähnliche fortschrittlich operierende Cyberkampagnen proaktiv zu erkennen und erfolgreich abwehren zu können.

    Eric Litowsky, Sales Director bei BlueVoyant

  • GitHub Enterprise Server 3.20.3: Sicherheitslücken erfolgreich behoben

    GitHub Enterprise Server 3.20.3: Sicherheitslücken erfolgreich behoben

    LGR Reutlingen – 27 Mai 2026 | Mit der Veröffentlichung von GitHub Enterprise Server 3.20.3 am 26. Mai 2026 hat das Unternehmen bedeutende Fortschritte im Bereich der Cybersicherheit erzielt. Das Update adressiert mehrere Schwachstellen, darunter zwei als kritisch eingestufte Sicherheitslücken, die potenziell ernsthafte Risiken für Unternehmen darstellen könnten. Administratoren sollten vor der Installation des Updates eine Schlüsselrotation durchführen, um die Sicherheit ihrer Systeme zu gewährleisten.

    Die kritischen Sicherheitsanfälligkeiten sind unter den CVEs CVE-2026-9312 und der GPG-Schlüssel aufgeführt. Diese Schwachstellen könnten Angreifern ermöglichen, unautorisierten Zugriff auf sensible Daten zu erlangen oder die Integrität von Systemen zu gefährden. Die Dringlichkeit, diese Lücken zu schließen, macht die Installation des Updates unerlässlich.

    Wichtige Änderungen und Fehlerbehebungen

    Zusätzlich zu den sicherheitsrelevanten Anpassungen bringt die neue Version auch eine Reihe von Fehlerbehebungen und Verbesserungen mit sich. So wurde beispielsweise das Problem behoben, dass das Starten und Beenden des Nomad-Dienstes keine Snapshot-Aktionen auslöste, was die Zuverlässigkeit des Systems beeinträchtigen konnte. In den GitHub-App-Einstellungen wurde zudem eine nicht unterstützte Copilot-Registerkarte entfernt, die Verwirrung stiften konnte.

    Ein weiteres bemerkenswertes Update betrifft die Darstellung älterer eingebetteter Bilder in Markdown-Tabellen, die nun korrekt angezeigt werden, wenn von Versionen älter als 3.13 aktualisiert wird. Dies verbessert die Benutzererfahrung erheblich, insbesondere für Unternehmen, die umfangreiche Dokumentationen und Berichte in GitHub verwalten.

    Leistungsverbesserungen und bekannte Probleme

    Die Version 3.20.3 führt auch signifikante Leistungsverbesserungen ein. Das Standard-Speicherlimit für den OpenTelemetry-Collector wurde von 1.024 MiB auf 4.096 MiB erhöht, um Datenverluste aufgrund von Speichererschöpfung zu verringern. Darüber hinaus wurde das collectd-Nomad-Plugin optimiert, um Konflikte durch das 128-Zeichen-Limit zu vermeiden.

    Dennoch gibt es einige bekannte Probleme, die Nutzer beachten sollten. Bei einem Upgrade werden benutzerdefinierte Firewall-Regeln entfernt und müssen manuell neu erstellt werden. Auch kann es vorkommen, dass der Root-Site-Administrator nach mehreren Fehlversuchen aus der Management-Console ausgesperrt wird, was eine manuelle Entsperrung per SSH erforderlich macht.

    Zusätzlich wird empfohlen, bei der Aktivierung von Unternehmenssicherheitskonfigurationen für alle Repositories schrittweise vorzugehen. Eine sofortige Aktivierung kann zu erhöhter Systemlast führen, insbesondere bei großen Deployments. Unternehmen sollten diese Aspekte in ihre Upgrade-Planung einbeziehen, um Unterbrechungen zu vermeiden.

    Zusammenfassend lässt sich sagen, dass GitHub Enterprise Server 3.20.3 nicht nur mehrere kritische Sicherheitslücken behebt, sondern auch relevante Verbesserungen in der Systemleistung und Benutzerfreundlichkeit bietet. Unternehmen sollten die Dringlichkeit dieser Aktualisierung ernst nehmen, um ihre Systeme bestmöglich zu schützen und die Effizienz ihrer Entwicklungsprozesse zu steigern.