Wissen

SonicWall bestätigt Totalverlust: Alle Cloud-Backups von Firewalls gestohlen

SonicWall hat eingeräumt, dass beim Sicherheitsvorfall von Mitte September sämtliche Cloud-Backups von Firewalls kompromittiert wurden. Anfangs sprach das Unternehmen noch von nur rund fünf Prozent betroffener Sicherungsdaten – nun steht fest: Alle Kunden, die die Cloud-Backup-Funktion aktiviert hatten, sind betroffen.

Read More

Datenleck bei Discord: Ausweisfotos von 70.000 Nutzern betroffen

Discord hat ein Datenleck bestätigt, bei dem rund 70.000 Nutzer:innen betroffen sein könnten. Ursache war ein Angriff auf einen externen Kundenservice-Dienstleister, über den auch Altersverifikationen abgewickelt wurden. Dabei wurden mutmaßlich Fotos von Ausweisdokumenten entwendet.

Read More

Kritische Schwachstelle in Unity Runtime ermöglicht Codeausführung

In der Unity Runtime wurde eine schwerwiegende Sicherheitslücke (CVE-2025-59489) entdeckt, die Angreifern das Ausführen beliebigen Codes in Spielen und Anwendungen ermöglicht, die mit Unity 2017.1 oder neuer erstellt wurden. Betroffen sind vor allem Android-Apps, bei denen sich über manipulierte Intents schädliche Bibliotheken (.so-Dateien) laden und mit App-Berechtigungen ausführen lassen.

Read More

Avnet bestätigt Datenleck – gestohlene Daten laut Unternehmen unlesbar

Der US-Elektronikdistributor Avnet hat einen Cybervorfall bestätigt, bei dem Angreifer unbefugt auf eine extern gehostete Datenbank im EMEA-Raum zugriffen. Laut Unternehmensangaben wurden dabei Daten aus einem internen Vertriebssystem entwendet, die jedoch ohne spezielle Avnet-Tools nicht lesbar seien.

Read More

Cyberangriff auf Engel & Völkers-Lizenznehmer mit Datenabfluss

Ende September 2025 wurde ein lokaler Lizenznehmer des Immobilienunternehmens Engel & Völkers in Südwestfalen Ziel eines Cyberangriffs, wie auf dem Blog von Günther Born berichtet wurde. Dabei verschafften sich Unbekannte Zugriff auf Teile der Kundendatenbank und entwendeten persönliche Informationen wie Namen, Adressen, Kontaktdaten sowie Angaben zu Immobilienanfragen und Vertragsunterlagen.

Read More

GoAnywhere-MFT-Lücke aktiv für Ransomware-Angriffe ausgenutzt

Microsoft warnt vor der aktiven Ausnutzung einer kritischen Schwachstelle (CVE-2025-10035) in GoAnywhere Managed File Transfer (MFT). Die Lücke mit einem CVSS-Score von 10.0 betrifft das License-Servlet der Admin-Konsole bis Version 7.8.3 und ermöglicht Angreifern über manipulierte Lizenzantworten Remote-Code-Ausführung ohne Authentifizierung.

Read More

Clop-Gruppe nutzte Oracle-Zero-Day für Datendiebstahl seit August

Die Ransomware-Gruppe Clop hat seit Anfang August eine bisher unbekannte Schwachstelle in Oracle E-Business Suite (EBS) ausgenutzt, um sensible Unternehmensdaten zu stehlen, wie Bleeping Computer berichtet. Die nun als CVE-2025-61882 bekannte Zero-Day-Lücke betrifft den BI-Publisher-Integrationsteil von Oracle EBS und erlaubt Angreifern ohne Authentifizierung die Remote-Code-Ausführung über eine einzelne HTTP-Anfrage.

Read More

Kritische Sicherheitslücke gefährdet Redis-Server weltweit

In der weit verbreiteten In-Memory-Datenbank Redis ist eine schwerwiegende Schwachstelle entdeckt worden. Die Lücke mit der Kennung CVE-2025-49844 ermöglicht es Angreifern, über manipulierte Lua-Skripte den internen Garbage Collector zu kompromittieren und so beliebigen Code aus der Ferne auszuführen. Redis bewertet die Verwundbarkeit mit dem maximalen CVSS-Score von 10,0.

Read More

Verpflichtende Nutzung der elektronischen Patientenakte gestartet

Seit dem 1. Oktober 2025 müssen Arztpraxen, Krankenhäuser und weitere medizinische Einrichtungen die elektronische Patientenakte (ePA) nutzen. Laut Gematik sind mehr als 93 Prozent der Praxen und Apotheken technisch ausgestattet. Bereits rund 70 Millionen Akten für gesetzlich Versicherte wurden angelegt, die Widerspruchsquote liegt bei etwa fünf Prozent.

Read More

Microsoft verschleiert globale Datenflüsse von Polizeidaten

Recherchen von Computer Weekly zeigen, dass Microsoft zentrale Informationen über internationale Datenflüsse seiner Cloud-Infrastruktur vor UK-Behörden zurückhält. Laut freigegebenen Dokumenten verweigerte der Konzern der Scottish Police Authority (SPA) und Police Scotland detaillierte Angaben dazu, in welche Länder ihre in Microsoft 365 gehosteten Daten übertragen oder von wo aus sie abgerufen werden können.

Read More