Bei der Kulturstiftung der Länder hat es wohl einen Cybervorfall gegeben. Es wurden E-Mail-Postfächer von Mitarbeitern kompromittiert, und dann wurden "letztes Wochenende" (6./7.9.2025) Phishing-Mails über dieses Postfach verschickt. Dort wurden die Empfänger zur Eingabe von Outlook-Zugangsdaten aufgefordert. Ein Leser hatte mich gestern informiert und die Bestätigung eines Hacks liegt vor.
Was ist die Kulturstiftung der Länder?
Die Kulturstiftung der Länder ist eine deutsche rechtsfähige Stiftung bürgerlichen Rechts mit Sitz in Berlin. Sie fördert, entwickelt, berät und begleitet im Auftrag der Bundesländer Projekte und Initiativen von gesamtstaatlicher Bedeutung in den Bereichen Kunst und Kultur.
Ein Leserhinweis zu Phishing-Vorfall
Ein Blog-Leser hat mich zum 10. September 2025 per Mail kontaktiert und schrieb mir, dass er am "letzten Freitag", den 05.09.2025, ungewöhnliche Aktivitäten im SPAM-Filter seiner Firmenumgebung entdeckte. Das Unternehmen erhielt E-Mails der Kulturstiftung der Länder, die Outlook-Zugangsdaten abfragten.
Eine kurze Überprüfung hat ergeben, dass die E-Mails wohl fingiert, der Absender aber echt war. Obiger Screenshot zeigt, dass die DMARC-Überprüfung bestanden wurde, die Mails kamen von kulturstiftung.de.
Bestätigung eines Cyberangriffs
Da musste also etwas passiert sein. Der Blog-Leser hat die Kulturstiftung der Länder noch am selben Tag darauf hingewiesen, dass da etwas nicht koscher ist. Zum 10. September 2025 erhielt der Leser dann folgende Bestätigung, dass über das Wochenende wohl verdächtige Aktivitäten in der IT der Stiftung festgestellt wurden.
Sehr geehrter Herr xxx,
vielen Dank für die Benachrichtigung und vor allem für Ihre Bereitschaft uns zu helfen.
Über das Wochenende wurden tatsächlich Phishing-Mails über das Postfach eines Mitarbeiters versendet.
Unsere IT-Abteilung hat das Problem mittlerweile analysiert und behoben. Es dürften keine weiteren Mails versendet werden.
Aufgrund der hohen Anzahl der gesendeten Mails, deren Adressaten überwiegend aus einer internationalen Spamliste stammen, werden wir die Betroffenenrechte und die Hinweise auf mögliche Gefahren ab morgen auf unserer Homepage exponiert sichtbar machen.
Bitte entschuldigen Sie die Unannehmlichkeiten und nochmals herzlichen Dank für Ihre Rückmeldung.
Mit freundlichen Grüßen,
Kulturstiftung der Länder
Schloss Charlottenburg – Theaterbau
Spandauer Damm 10
14059 Berlin
Dort wurde das Postfach eines Mitarbeiters kompromittiert und zu Versand von SPAM-Mails verwendet. Der Leser schrieb noch, dass "Morgen" wohl eine Meldung auf der Homepage der Stiftung veröffentlicht werden soll. Das ist inzwischen erfolgt, wie obiger Screenshot belegt.
Der Leser schrieb mir noch: "Ich bezweifle, dass deren IT am Wochenende die Systeme neu aufgesetzt haben. Morgen werden wir aber wohl mehr erfahren."
Es gibt noch Details
Auf einer separaten Webseite geben die Verantwortlichen der Kulturstiftung der Länder noch einige Details mehr preis.
- Am vergangenen Wochenende des 6. und 7. September 2025 wurden die Outlook-E-Mail-Konten zweier Mitarbeiter der Kulturstiftung kompromittiert.
- In Folge des unbefugten Zugangs wurden unter Verwendung eines der kompromittierten E-Mail-Kontos Phishing-Nachrichten versendet, in welchen die Empfänger aufgefordert werden, über einen in der E-Mail enthaltenen Link ihren Outlook-Account zu aktualisieren.
- Es besteht die Gefahr, dass dadurch Empfänger zur Preisgabe ihrer Zugangsdaten verleitet werden könnten.
Man beachte die "kleine Diskrepanz" in den Angaben. Die Stiftung bestätigt die Kompromittierung der Outlook-E-Mail-Konten zum 6. und 7. September 2025, was schon mal positiv ist. Aber ich habe hier offenbar Blog-Leser mit hellseherischen Fähigkeiten, die das bereits am 5. September 2025 – sozusagen vorsorglich – melden konnten. Kann ein Versehen der Verantwortlichen der Kulturstiftung sein, die in der Aufregung das Datum nicht korrekt benannt haben. Es kann aber auch bedeuten, dass die Leute nicht wissen, wie lange die Postfächer bereits kompromittiert sind.
Die Stiftung schreibt, dass man unverzüglich, nachdem die Stiftung (über den Blog-Leser) von diesem Vorgang Kenntnis erhalten habe, Gegenmaßnahmen ergriffen habe:
- Die kompromittierten E-Mail-Konten wurde umgehend gesperrt und das Passwort des betroffenen Kontos wurde zurückgesetzt.
- Der Zugriff die Systeme (und wohl auch das ungenannte Mail-System) über externe IP-Adressen wurde unterbunden.
- Die Verantwortlichen haben den eigenen Datenschutzbeauftragten über den Vorfall informiert.
- Zudem werde man den Vorfall als Datenschutzvorfall gegenüber der zuständigen Datenschutzaufsichtsbehörde (Berliner Beauftragte für Datenschutz und Informationsfreiheit) gemäß Art. 33 DSGVO melden.
Inzwischen ist auch die Information der Betroffen über die obige Veröffentlichung auf der Webseite erfolgt. In der Information findet sich dann eine Warnung an die Empfänger der Phishing-Mails.
Sofern Sie eine Phishing-Mail von der genannten E-Mail-Adresse erhalten haben und dem enthaltenen Link gefolgt sind, besteht das Risiko, dass Ihre Zugangsdaten für E-Mail-Dienste ebenfalls kompromittiert wurden. Dies könnte zu einer missbräuchlichen Nutzung Ihrer Daten führen.
Zudem ist es möglich, dass Sie – aufgrund der Offenlegung Ihrer E-Mail-Adresse – künftig unerwünschte E-Mails, Spam oder möglicherweise weitere Phishing-Versuche erhalten. Die Wahrscheinlichkeit, dass eine der genannten Folgen eintritt, kann nicht ausgeschlossen werden.
Der erste Absatz ist der gravierendere Punkt: Wenn die Empfänger der E-Mail auf den Phishing-Angriff hereingefallen sind und ihre Outlook-Zugangsdaten angegeben haben, sind diese Postfächer ebenfalls als kompromittiert anzusehen. Dass da über die gehackten Mail-Konten die Kontaktdaten von den Angreifern abgezogen wurden, ist sozusagen Bonus für die Cyberkriminellen.
Daher vielleicht in Firmenumgebungen klären, ob da entsprechende Phishing-Vorgänge im Umfeld der Kulturstiftung der Länder eingetrudelt sind und bei positivem Fund nachgehen, ob da auch Postfächer kompromittiert wurden.
MVP: 2013 – 2016
Ich habe in den letzte Monaten mehrere Fälle gesehen, wo Phishing Mails über einzelne kompromittierte Microsoft-Konten von Unternehmen verschickt wurden. Die wiederum enthielten auch verschachtelte Phishing Links (Adversary-in-the-Middle).
Das kann ich in min. 2 Fällen ebenso bestätigen. Geteilt wurden Dateien via OneNote. Was genau dahinter steckte, habe ich besser nicht ausprobiert.
"Die kompromittierten E-Mail-Konten wurde umgehend gesperrt und das Passwort des betroffenen Kontos wurde zurückgesetzt"
Das ist alles?
Wie konnte denn der Account kompromittiert werden?
Alles wichtige Details, die fehlen…
Aber ÖD oder irgendwas mit Behörden, da kann man sich seinen Teil denken – da wird meistens nicht nur am Gehalt bei den Kompetenzen gespart, sondern auch bei der Software/Schutzmaßnahmen
Kurzer Check ergab Postfix, na hoffentlich sind da auch Leute vorhanden, die das Teil konfigurieren und warten können – Duck und weg😂
Betr. "Kurzer Check ergab Postfix, na hoffentlich sind da auch Leute vorhanden, die das Teil konfigurieren und warten können":
Der Jakobs würde das sicherlich machen.
Na ob dafür die Finanzen vorhanden sind? :D
Ist nicht böse gemeint, aber manchmal frage ich mich, welche Relevanzkriterieren angelegt werden, um eine Institution der Erwähnung für wert zu befinden.
Trotz ihres hochtrabenden Namens ist diese Stiftung im wesentlichen damit beschäfigt, die Beschaffung von in Zeiten knapper Haushaltskassen wertmässig eigentlich nicht mehr vermittelbarer Museumsexponate zu organisieren. Schulbildungs- und Bibliothekswesen bleiben derweil zurück. Ob diese Stiftung arbeiten kann, macht genau gar nichts aus.
Ist nicht böse gemeint – vielleicht nochmals die beiden letzten Absätze des Blog-Posts lesen, um zu verstehen, warum ich den Beitrag im Blog eingestellt habe. Es geht nicht um den Namen von Firmen oder Organisationen, sondern um den Vorfall an sich und die sich ergebenden Implikationen.
Zum zweiten Absatz äußere ich mich mal nicht – der hat hier schlicht nichts verloren. Danke für das Verständnis.
PS: Kein Administrator wird gezwungen, die Beiträge zu lesen. Wenn es für das Tagesgeschäft nicht relevant ist, kann man zum nächsten Beitrag oder zum nächsten Blog springen. Ich weiß, aus welcher Ecke der Hinweis kam (bin aber um Anonymität gebeten worden) – war für mich schon Relevanzkriterium genug, genauer hinzuschauen. Und ich weiß nach 18 Jahren, den es den Blog hier gibt, dass eigentlich fast jedes Mal jemand unter der Leserschaft ist, dem solche Beiträge den "Arsch gerettet haben" – platt gesprochen. Nur das ist der Grund, warum ich meine Zeit opfere.
"Zum zweiten Absatz äußere ich mich mal nicht – der hat hier schlicht nichts verloren. Danke für das Verständnis."
Warum hat der hier nichts verloren? Ist doch auch nur eine Meinung.
"Und ich weiß nach 18 Jahren, den es den Blog hier gibt, dass eigentlich fast jedes Mal jemand unter der Leserschaft ist, dem solche Beiträge den "Arsch gerettet haben" – platt gesprochen. Nur das ist der Grund, warum ich meine Zeit opfere."
Schlimm genug, dass dies so ist oder?
"Schulbildungs- und Bibliothekswesen bleiben derweil zurück. Ob diese Stiftung arbeiten kann, macht genau gar nichts aus."
Und ja, das unterschreibe ich – vermutlich haben Sie jedoch kein schulpflichtiges Kind mehr, dann würden Sie sicher anders denken…
Ich mache es mal sehr kurz: Es war der Versuch zu diskutieren, was hier in den Blog kommt, für mich, soweit erkennbar, auf Basis einer persönlichen Meinung zur Kulturstiftung. Ich stelle mich seit 18 Jahren täglich der Abstimmung mit den Füßen und überlege (i.d.R.), warum ich welchen Beitrag in den IT-Blog aufnehme – und der Beitrag gehört in die Kategorie "Admins, schaut, ob eure Schäfchen betroffen sind".
Leute, die glauben "tangiert mich nicht", springen einfach weiter – fertig. Wenn dann Leute versuchen, ihre Meinung zu einer Stiftung kund zu tun, gehört das originär nicht zum Thema "Warnung an Admins vor einem Phishing-Vorfall mit möglichen Konsequenzen", und kann gerne in politischen Blogs diskutiert werden. Aber hier ist diese Diskussion bei obigem Thema fehl am Platz. Dass ich "Schulbildungs- und Bibliothekswesen leiden" unterschreiben kann, ist eine andere Sache, hat aber mit obiger "Warnung an Admins" genau Null zu tun.
"Wenn dann Leute versuchen, ihre Meinung zu einer Stiftung kund zu tun, gehört das originär nicht zum Thema "Warnung an Admins vor einem Phishing-Vorfall mit möglichen Konsequenzen", und kann gerne in politischen Blogs diskutiert werden"
Das ist in meinen Augen ein wenig zu einfach gedacht…
Ich glaube es ging auch nicht allgemein um die Meinung zu einer Stiftung, zumindest nicht mir.
Ich habe vor Jahren mal überlegt in einer Kulturstiftung als Admin zu arbeiten, habe mit einem ehemaligem Kollegen der dort hinwechselte gesprochen, und dann dankend abgelehnt.
Die Tools mit denen dort gearbeitet wurde, Hilfe!
Ich habe auch schon andere Betriebe/Behörden im ÖD aus anderen Blickwickeln gesehen – es ist dort quasi überall das Gleiche – es ist kein Geld für die IT, ergo auch das Personal vorhanden – dementsprechend kracht es jetzt bei solchen "Buden" halt gerne auch mal.
Jeder ITler mit entsprechendem KnowHow und Ansporn würde auch nicht in eine Behörde oder den ÖD gehen – Ausnahmen aufgrund Beamtenstatus o.ä. gibt es natürlich immer – in der freien Wirtschaft ist es meistens zwar auch stressiger, jedoch auch besser bezahlt…
Again: "Das ist in meinen Augen ein wenig zu einfach gedacht…"
Nein, ist ist ganz konkret auf diesen Bezug: "aber manchmal frage ich mich, welche Relevanzkriterieren angelegt werden, um eine Institution der Erwähnung für wert zu befinden." reagiert. Ich habe jetzt einen Filter gesetzt und werde von jetzt ab stärker moderierend eingreifen. Es sind leider immer die gleichen Personen, die am Thema vorbei mäandern und den Admins, die täglich hier vorbei kommen, das Lesen der Kommentare erschweren. Es gibt zahlreiche politische Blogs und Foren da draußen, wo man gerne diskutieren mag. Hier ist mir gelegen, dass Diskussionen sich auf die Inhalt der originären Blog-Beiträge beziehen.
Als Leser kann ich dies nur befürworten und danke Ihnen für die klare Linie.
Dennoch muss man leider immer wieder festellen, dass der Tonfall, den einige hier in den Kommentaren an den Tagen legen, bestenfalls fragwürdig, wenn nicht sogar unterste Schublade und Beleidigend ist. Ich würde mir wünschen, es gäbe da mehr Konsequenzen.