heise-Angebot: Online-Kurs mit Hochschulzertifikat: IT-Sicherheit in Produktionsanlagen - Related to legaltechs, online-kurs, hochschulzertifikat:, heise-angebot:, nextcloud:
BSI-Analyse von Nextcloud: Zwei-Faktor-Authentifizierung war angreifbar
Das Münchener Unternehmen MGM Security Partners hat die Serveranwendung des Cloudanbieters Nextcloud analysiert und mehrere Schwachstellen gefunden. Angreifer konnten etwa die Zwei-Faktor-Authentifizierung umgehen. Die Untersuchung erfolgte im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als Teil des Projektes zur Codeanalyse von Open-Source-Software (CAOS Nextcloud wies der Untersuchung zufolge 16 Sicherheitslücken mit hohem Gefahrenpotenzial auf. Die Entwickler haben bereits auf die Schwachstellen reagiert.
Neben der Open-Source-Anwendung selbst untersuchten die Forscher den Quellcode von vier offiziellen Plugins für die Zwei-Faktor-Authentifizierung (2FA). Der Nextcloud-Client für Desktop und Smartphone sowie Erweiterungen von Drittanbietern gehörten nicht zum Umfang der Analyse im Frühjahr 2023. Für insgesamt 43 Schwachstellen erhielten die Kontrolleure eine CVE-ID. Sie überprüften die Korrekturen und bei der Fertigstellung des Ergebnisberichtes im Juli 2024 erfüllten zwei Fixes noch nicht die Anforderungen der Prüfer. Das BSI veröffentlichte den Bericht verzögert, damit die Entwickler die Schwachstellen beheben können.
Nextcloud-Account ließ sich trotz 2FA übernehmen.
Die unter CVE-2024-37313 gemeldete Sicherheitslücke mit hohem Gefahrenpotenzial ermöglichte es Angreifern. Die 2FA zu umgehen und einen Account mit ihnen bekannten Zugangsdaten zu übernehmen. Ein Dienst in der Serveranwendung prüft, ob eine Sitzung eine 2FA zum Login benötigt. Mögliche Ausnahmen sind etwa für App-Passwörter vorgesehen. Ein Implementierungsfehler hatte zur Folge, dass die 2FA für alle Sitzungstypen ausgesetzt ist, wenn die Sitzung zur Eingabe des Einmalkennworts abgelaufen ist. Dazu kann der Angreifer abwarten oder eine ungültige Sitzungs-Passphrase versenden.
Eine weitere Lücke erkannten die Prüfer beim Austausch von Dateien zwischen zwei Nextcloud-Instanzen. Aufgrund fehlender Authentifizierungsmechanismen konnte die empfangende Instanz den Eigentümer der Datei seitens der sendenden Instanz nicht überprüfen. Zwar müssen Nutzer eine Anfrage zum Dateiempfang bestätigen. Weil sich Angreifer aber als ein beliebiger Nutzer der sendenden Instanz ausgeben konnten. Ließen sich so bösartige Dateien verschicken.
Bereits seit 2021 betreibt das CAOS-Projekt zur Untersuchung von Anwendern und Behörden häufig genutzter Open-Source-Software. Das Ziel ist es, Sicherheitslücken zu finden und den Verantwortlichen mitzuteilen, um so die sichere Entwicklung quelloffener Software zu fördern. Als Teil der Initiative untersuchten BSI und MGM bereits die Passwortmanager KeePass und Vaultwarden sowie die dezentralen Dienste Mastodon und Matrix.
Cybersecurity researchers have uncovered two malicious machine learning (ML) models on Hugging Face that leveraged an unusual technique of "broken" pi...
Some of the biggest and. Most infamous cyberattacks of the past decade were caused by a security breakdown in the software supply chain. SolarWinds was...
Im vergangenen Jahr sind die Lösegeldzahlungen nach Angriffen mit Ransomware wieder deutlich zurückgegangen. Das hat Chainalysis ermittelt und sieht M...
Sicherheitsexperten enthüllen triviale Datenlecks bei Legaltechs
Legaltech-Startups bieten ihren Kunden juristische Dienstleistungen an, die teil- oder vollautomatisiert sind und können so hocheffizient viele Fälle bearbeiten, um etwa Konsumentenrechte geltend zu machen. Doch mit dem Automatisierungsgrad rechtlicher Vorgänge steigt auch das Risiko, Datenpannen vollautomatisch mitzuliefern. Genau das ist gleich zwei Unternehmen aus der Legaltech-Branche in den vergangenen Monaten passiert. Der Chaos Computer Club (CCC) nahm sich der Fälle an.
Vergessenes Git-Verzeichnis gefährdet Daten.
Das LegalTech euFlight hat sich dem Verbraucherschutz verschrieben. Das Unternehmen möchte Fluggästen helfen, ihre Ansprüche wegen Flugausfällen oder -verspätungen durchzusetzen und kauft ihnen die Ansprüche mit einem Abschlag ab (Factoring). Die gesammelten Fluggastrechte setzt euFlight dann gegenüber den Fluglinien durch, notfalls auch mit rechtlichen Mitteln.
Bereits im September 2024 entdeckte der Sicherheitsforscher Matthias Marx auf einer Backend-Website von euFlight ein für jedermann zugängliches . git-Verzeichnis, womöglich Überbleibsel eines fehlerhaften Rollout-Prozesses. Dieses Verzeichnis enthält interne Metadaten des von Linus Torvalds ersonnenen Versionskontrollsystems, aber auch den gesamten Quellcode der betroffenen Applikation. In dem verbarg sich der Schlüssel für einen Datenschatz: Über das Backend-System hatte Marx Zugriff auf Daten mehrerer Tausend euFlight-Kunden und einige Datenbankserver des Unternehmens. Bei seinem kurzen Streifzug durch das euFlight-System fielen dem Hacker auch veraltete Passwort-Hashverfahren und unzureichende Authentifizierungsmechanismen auf. Marx, Mitglied des CCC, schaltete den Club ein. Der wiederum informierte das Unternehmen, welches die schlimmsten Lücken noch am selben Tag schloss.
Gegenüber heise security erklärte euFlight-Geschäftsführer Lars Watermann, wie es zu dem Leck kam: Bei der Übergabe an neue IT-Verantwortliche habe es eine Fehlkonfiguration gegeben. Die den Zugriff auf das . git-Verzeichnis gestattete. Die angegriffene Software sei "Legacy", also Teil der technischen Schulden des Unternehmens gewesen. Man habe viele der vom CCC kritisierten Punkte bereits auf dem Zettel gehabt, so Watermann weiter. Das inkriminierte Backend habe seit Juli 2024 offen gestanden, außer dem CCC-Forscher habe jedoch niemand auf das Verzeichnis zugegriffen. Das sei schon lange behoben, mittlerweile seien aber auch die weiteren Verbesserungshinweise des Hackers umgesetzt.
Matthias Marx und die euFlight-Geschäftsführung schalteten die zuständige Datenschutzbehörde ein. Seine Kunden informierte das Unternehmen jedoch nicht. Denn euFlight hatte wohl Glück im Unglück: Wie eine Analyse der Log-Dateien ergab. Hatten lediglich die Sicherheitsforscher die Sicherheitslücke gefunden und auf die offenliegenden Daten zugegriffen. Und so erläuterte Watermann, habe man auf eine Kundeninformation verzichtet – es seien schließlich keine Daten abhanden gekommen.
Schludrig konfigurierter Webserver zeigt sich offenherzig.
Deutlich jüngeren Datums ist ein zweites Datenleck. Das ein anonymer Sicherheitsforscher dem CCC meldete. Es betrifft mit myRight ebenfalls ein LegalTech, das seinen Kunden hilft, Regressansprüche in vielen Lebensbereichen von Fahrradunfall bis Glücksspielverlusten geltend zu machen.
Mussten die Sicherheitsforscher bei euFlight zumindest noch den frei herumliegenden PHP-Quellcode des Backends auslesen. Machte myRight es den Neugierigen noch leichter: Ein falsch konfigurierter Webserver im Netz der Amazon Webservices bot allerlei Dokumente zum Download an. Unter den offenliegenden Daten waren Dokumente zu offenen Rechtsstreitigkeiten des Unternehmens und dessen Partnerkanzleien. Wie Sicherheitsforscher Marx gegenüber heise security erläuterte, hätten Unberechtigte auf Ausweisdokumente, Fahrzeugbriefe, Listen getätigter Sportwetten und weitere Dokumente von bis zu myRight-Kunden zugreifen können.
Diese Zahl mochte myRight-Geschäftsführer Bode uns nicht bestätigen – man ermittele noch. Welche Kunden potentiell betroffen seien. Auch sei gut eine Woche, nachdem der CCC das Unternehmen und die zuständige Datenschutzbehörde am 27. Januar informiert hatte, noch unklar, wie lange der Webserver offen im Netz stand.
Am selben Tag nahm myRight auch den geschwätzigen Webserver vom Netz. Diesen ersetzt das Unternehmen nun durch eine besser geschützte Plattform zum Teilen von Daten, 2-Faktor-Authentifizierung und Zeitbegrenzung inklusive. Zudem plant myRight externe Pentests und Sicherheitsanalysen, so Bode, dessen Unternehmen seinerseits auch am 30. Januar die Aufsichtsbehörde alarmierte. Es gebe keine Hinweise auf unberechtigte Zugriffe, so Bode weiter, daher habe man auch die Kunden nicht informiert.
Für beide Unternehmen gingen die Datenlecks glimpflich aus – der Volksmund würde es als "mehr Glück als Verstand" bezeichnen. Immerhin nahmen beide die Hinweise ernst und flickten die verwundbaren Systeme prompt. Und: Anders als etwa die CDU oder Modern Solution stellten sie gegen die Hinweisgeber keine Strafanzeige. Deren Vorgehen stieß netzweit auf harsche Kritik und erzeugte einen "chilling effect": Aus Angst vor rechtlichen Repressalien gegen ihre Entdecker bleiben Sicherheitslücken häufig ungemeldet.
heise investigativ Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern. Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten. .
Meldepraxis der Unternehmen ist Podcast-Thema.
Dass sensible Daten durch Fehlkonfigurationen offen herumliegen, ist kein Einzelfall. Ob mittels ungesicherter APIs wie im jüngsten Datenleck bei D-Trust, oder durch offene Webserver und Datenhalden – Sicherheitsforscher und Angreifer brauchen dank schlampiger Admins oft nur zuzugreifen. Es trete mittlerweile ein gewisser Gewöhnungseffekt ein, so Marx – zu häufig entdecke man haarsträubende Datenpannen.
Und auch das Vorgehen betroffener Unternehmen nach einer solchen Panne wirft oft Fragen auf. In der am 7. Februar 2025 veröffentlichten Folge des heise-Datenschutzpodcasts "Auslegungssache" diskutieren Host Joerg Heidrich und drei heise-Redakteure, ob ihnen die Meldepraxis der Unternehmen genügt. Ein strittiger Punkt: Unternehmen werten Zugriffe durch Sicherheitsforscher oft nicht als Fremdzugriffe, die eine Benachrichtigung der Kunden notwendig machen. Doch auch hier fließen Daten ab – und längst nicht jeder ungefragte Pentester ist uneingeschränkt vertrauenswürdig.
Microsoft has shared a workaround for people affected by a known issue that blocks Windows security updates from deploying on some Windows 11 24H2 syst...
Cybersecurity researchers have uncovered two malicious machine learning (ML) models on Hugging Face that leveraged an unusual technique of "broken" pi...
Hospital Sisters Health System notified over 882,000 patients that an August 2023 cyberattack led to a data breach that exposed their personal and. Hea...
heise-Angebot: Online-Kurs mit Hochschulzertifikat: IT-Sicherheit in Produktionsanlagen
Die Bedrohung durch Cyberangriffe auf Produktionsanlagen nimmt rasant zu. Gleichzeitig steigen die Anforderungen an die Sicherheit von Operational Technology (OT), insbesondere durch neue EU-Vorgaben wie die NIS2-Richtlinie und den Cyber Resilience Act. „Die Risiken haben in den letzten Jahren deutlich zugenommen“, erklärt Prof. Dr. Karl-Heinz Niemann, Experte für Prozessinformatik und Automatisierungstechnik an der Hochschule Hannover (HsH). Genau hier setzt der Online-Zertifikatskurs IT-Sicherheit in Produktionsanlagen der HsH-Akademie in Kooperation mit iX an – eine Weiterbildung, die praxisnah und hochaktuell ist.
Der Online-Kurs richtet sich an Fach- und Führungskräfte. Die für den Schutz von Produktionsanlagen verantwortlich sind oder im Arbeitsalltag mit OT-Security in Berührung kommen. Die Teilnahme setzt Grundkenntnisse in der Automatisierungstechnik voraus. In insgesamt 24 Unterrichtseinheiten, verteilt auf drei Wochenenden, lernen die Teilnehmenden alles Wichtige über OT-Security – von der Grundlagenvermittlung bis hin zur praktischen Anwendung.
Der Schwerpunkt liegt auf der OT-Security-Norm IEC 62443. Die für den sicheren Betrieb und die Planung von Produktionsanlagen entscheidend ist. Ergänzt werden die Inhalte durch aktuelle Themen wie Safety und Security sowie die Anforderungen neuer europäischer Regulierungen. Praxisorientierte Fallstudien helfen den Teilnehmenden dabei, das Gelernte direkt anzuwenden.
Der Online-Kurs startet am 07. März 2025, die Anmeldung ist noch bis 23. Februar 2025 möglich. Weitere Informationen und die Möglichkeit zur Anmeldung finden Sie auf der Website der HsH-Akademie Zertifikatskurs IT-Sicherheit in Produktionsanlagen.
Der Passwort-Manager Bitwarden soll besser geschützte Zugänge erhalten. Nutzerinnen und Nutzer, die bislang keine Zwei-Faktor-Authentifizierung aktivi...
In cybersecurity, too often. The emphasis is placed on advanced technology meant to shield digital infrastructure from external threats. Yet, an equal...
Weil ein Sicherheitspatch fehlerhaft ist, ist die Serverautomationssoftware HCL BigFix Server Automation nach wie vor verwundbar. Nun haben die Entwic...
Market Impact Analysis
Market Growth Trend
| 2018 | 2019 | 2020 | 2021 | 2022 | 2023 | 2024 |
|---|---|---|---|---|---|---|
| 8.7% | 10.5% | 11.0% | 12.2% | 12.9% | 13.3% | 13.4% |
Quarterly Growth Rate
| Q1 2024 | Q2 2024 | Q3 2024 | Q4 2024 |
|---|---|---|---|
| 12.5% | 12.9% | 13.2% | 13.4% |
Market Segments and Growth Drivers
| Segment | Market Share | Growth Rate |
|---|---|---|
| Network Security | 26% | 10.8% |
| Cloud Security | 23% | 17.6% |
| Identity Management | 19% | 15.3% |
| Endpoint Security | 17% | 13.9% |
| Other Security Solutions | 15% | 12.4% |
Technology Maturity Curve
Different technologies within the ecosystem are at varying stages of maturity:
Competitive Landscape Analysis
| Company | Market Share |
|---|---|
| Palo Alto Networks | 14.2% |
| Cisco Security | 12.8% |
| Crowdstrike | 9.3% |
| Fortinet | 7.6% |
| Microsoft Security | 7.1% |
Future Outlook and Predictions
The Analyse Nextcloud Zwei landscape is evolving rapidly, driven by technological advancements, changing threat vectors, and shifting business requirements. Based on current trends and expert analyses, we can anticipate several significant developments across different time horizons:
Year-by-Year Technology Evolution
Based on current trajectory and expert analyses, we can project the following development timeline:
Technology Maturity Curve
Different technologies within the ecosystem are at varying stages of maturity, influencing adoption timelines and investment priorities:
Innovation Trigger
- Generative AI for specialized domains
- Blockchain for supply chain verification
Peak of Inflated Expectations
- Digital twins for business processes
- Quantum-resistant cryptography
Trough of Disillusionment
- Consumer AR/VR applications
- General-purpose blockchain
Slope of Enlightenment
- AI-driven analytics
- Edge computing
Plateau of Productivity
- Cloud infrastructure
- Mobile applications
Technology Evolution Timeline
- Technology adoption accelerating across industries
- digital transformation initiatives becoming mainstream
- Significant transformation of business processes through advanced technologies
- new digital business models emerging
- Fundamental shifts in how technology integrates with business and society
- emergence of new technology paradigms
Expert Perspectives
Leading experts in the cyber security sector provide diverse perspectives on how the landscape will evolve over the coming years:
"Technology transformation will continue to accelerate, creating both challenges and opportunities."
— Industry Expert
"Organizations must balance innovation with practical implementation to achieve meaningful results."
— Technology Analyst
"The most successful adopters will focus on business outcomes rather than technology for its own sake."
— Research Director
Areas of Expert Consensus
- Acceleration of Innovation: The pace of technological evolution will continue to increase
- Practical Integration: Focus will shift from proof-of-concept to operational deployment
- Human-Technology Partnership: Most effective implementations will optimize human-machine collaboration
- Regulatory Influence: Regulatory frameworks will increasingly shape technology development
Short-Term Outlook (1-2 Years)
In the immediate future, organizations will focus on implementing and optimizing currently available technologies to address pressing cyber security challenges:
- Technology adoption accelerating across industries
- digital transformation initiatives becoming mainstream
These developments will be characterized by incremental improvements to existing frameworks rather than revolutionary changes, with emphasis on practical deployment and measurable outcomes.
Mid-Term Outlook (3-5 Years)
As technologies mature and organizations adapt, more substantial transformations will emerge in how security is approached and implemented:
- Significant transformation of business processes through advanced technologies
- new digital business models emerging
This period will see significant changes in security architecture and operational models, with increasing automation and integration between previously siloed security functions. Organizations will shift from reactive to proactive security postures.
Long-Term Outlook (5+ Years)
Looking further ahead, more fundamental shifts will reshape how cybersecurity is conceptualized and implemented across digital ecosystems:
- Fundamental shifts in how technology integrates with business and society
- emergence of new technology paradigms
These long-term developments will likely require significant technical breakthroughs, new regulatory frameworks, and evolution in how organizations approach security as a fundamental business function rather than a technical discipline.
Key Risk Factors and Uncertainties
Several critical factors could significantly impact the trajectory of cyber security evolution:
Organizations should monitor these factors closely and develop contingency strategies to mitigate potential negative impacts on technology implementation timelines.
Alternative Future Scenarios
The evolution of technology can follow different paths depending on various factors including regulatory developments, investment trends, technological breakthroughs, and market adoption. We analyze three potential scenarios:
Optimistic Scenario
Rapid adoption of advanced technologies with significant business impact
Key Drivers: Supportive regulatory environment, significant research breakthroughs, strong market incentives, and rapid user adoption.
Probability: 25-30%
Base Case Scenario
Measured implementation with incremental improvements
Key Drivers: Balanced regulatory approach, steady technological progress, and selective implementation based on clear ROI.
Probability: 50-60%
Conservative Scenario
Technical and organizational barriers limiting effective adoption
Key Drivers: Restrictive regulations, technical limitations, implementation challenges, and risk-averse organizational cultures.
Probability: 15-20%
Scenario Comparison Matrix
| Factor | Optimistic | Base Case | Conservative |
|---|---|---|---|
| Implementation Timeline | Accelerated | Steady | Delayed |
| Market Adoption | Widespread | Selective | Limited |
| Technology Evolution | Rapid | Progressive | Incremental |
| Regulatory Environment | Supportive | Balanced | Restrictive |
| Business Impact | Transformative | Significant | Modest |
Transformational Impact
Technology becoming increasingly embedded in all aspects of business operations. This evolution will necessitate significant changes in organizational structures, talent development, and strategic planning processes.
The convergence of multiple technological trends—including artificial intelligence, quantum computing, and ubiquitous connectivity—will create both unprecedented security challenges and innovative defensive capabilities.
Implementation Challenges
Technical complexity and organizational readiness remain key challenges. Organizations will need to develop comprehensive change management strategies to successfully navigate these transitions.
Regulatory uncertainty, particularly around emerging technologies like AI in security applications, will require flexible security architectures that can adapt to evolving compliance requirements.
Key Innovations to Watch
Artificial intelligence, distributed systems, and automation technologies leading innovation. Organizations should monitor these developments closely to maintain competitive advantages and effective security postures.
Strategic investments in research partnerships, technology pilots, and talent development will position forward-thinking organizations to leverage these innovations early in their development cycle.
Technical Glossary
Key technical terms and definitions to help understand the technologies discussed in this article.
Understanding the following technical concepts is essential for grasping the full implications of the security threats and defensive measures discussed in this article. These definitions provide context for both technical and non-technical readers.
EDR intermediate
ransomware beginner
platform intermediate
API beginner
How APIs enable communication between different software systemsRelated Articles
