Cybervorfälle bei Accenture, Lidl, Stadtwerke Kamen und Sicherheitswarnungen

Sicherheit (Pexels, allgemeine Nutzung)Zum Wochenabschluss noch ein kleiner Abriss einiger Cybervorfälle. So haben Accenture und die Stadtwerke Kamen Cybervorfälle erlitten und teilweise bestätigt. Und bei Lidl kam es zu einem Datenabfluss von Kundendaten. Diese und weitere Sicherheitsvorfälle in einem Sammelbeitrag zusammen getragen.

Cyberangriff auf Gemeinschaftsstadtwerke Kamen

Bereits zum 2. Juli 2026 berichtete der WDR von einem Cyberangriff auf die Gemeinschaftsstadtwerke Kamen (ein Leser hat mich im Nachgang informiert). Die Kurzfassung: Die Verwaltung der Gemeinschaftsstadtwerke (GSW) Kamen, Bönen, Bergkamen wurden am Abend des 28. Juni 2026 Opfer eines Cyberangriffs. Da die IT-Systeme vorsorglich vom Netz getrennt wurden, ging danach nichts mehr. Die Energie- und Wasserversorgung war laut Unternehmensangaben zu jeder Zeit gesichert. Die GSW informiert auf dieser Seite über den Angriff, ist nun aber wohl wieder arbeitsfähig.

Accenture bestätigt Cybervorfall

Accenture, Dienstleister im Bereich der Unternehmens- und Strategieberatung sowie Technologie und Outsourcing, musste diese Woche einen Cybervorfall in ihren internen IT-Systemen bestätigen. Mir war die Tage auf X die Information untergekommen, dass Accenture, nachdem ein Angreifer 35 GB angeblich gestohlenen Quellcode und Cloud-Geheimnisse zum Verkauf angeboten hatte, einen Sicherheitsvorfall bestätigt habe.  Bleeping Computer hat dieses Thema die Woche in diesem Artikel aufgegriffen.

Angriff auf Lidl-Shop

Der Discounter Lidl hat einen Datenschutzvorfall erlitten, bei dem Dritte auf Kundendaten zugreifen konnten. Kunden wurden inzwischen benachrichtigt, ein Blog-Leser hat mich diesbezüglich informiert, weil er von Lidl Polen über den Vorfall informiert wurde. In der vom Leser übersetzten Nachricht hieß es:

wir kontaktieren Sie, weil Sie Kunde des Lidl-Onlineshops sind. Wir möchten Sie über einen IT-Sicherheitsvorfall informieren, der sich bei einem unserer IT-Dienstleister ereignet hat und einen Teil Ihrer bei Lidl gespeicherten Daten betrifft.

Zu Beginn dieser Woche wurden Lidl über den Vorfall informiert. Unbekannten Tätern ist es laut Mitteilung "trotz hoher IT-Sicherheitsstandards" gelungen, für kurze Zeit auf eine separat gespeicherte Datei mit Kundendaten zuzugreifen und einen Teil dieser Daten zu entwenden. Das eigentliche System des Onlineshops war von diesem Vorfall nicht betroffen. Die Angreifer entwendeten Daten umfassen folgende Informationen zu Kunden des Lidl-Onlineshops:

Vor- und Nachname
Telefonnummer
E-Mail-Adresse
Geburtsdatum
Kundennummer

Nach aktuellem Stand schließt Lidl vollständig aus, dass Passwörter, Rechnungs- oder Lieferadressen, Bankdaten oder andere Zahlungsinformationen von dem Vorfall betroffen sind. Kundenkonten wurden nicht kompromittiert. Der für Lidl tätige IT-Dienstleister hat umgehend reagiert und alle erforderlichen Maßnahmen eingeleitet, um die vollständige Sicherheit der betroffenen IT-Systeme wiederherzustellen, heißt es.

Außerdem wurde Strafanzeige erstattet und umgehend ein Team von IT-Forensik-Experten mit der Untersuchung des Vorfalls beauftragt. Darüber hinaus hat Lidl die zuständige Datenschutzaufsichtsbehörde informiert. Obwohl Lidl derzeit keine konkreten Hinweise auf einen Missbrauch der Daten vorliegen, warnt man vorsorglich vor möglichen Phishing-Versuchen oder einem möglichen Identitätsmissbrauch. heise hat in diesem Beitrag ebenfalls über den Vorfall berichtet.

Hoymiles Wechselrichter abschaltbar

Der chinesische Anbieter Hoymiles hält angeblich 20% des Markts an Wechselrichtern für Solaranlagen. Sicherheitsforscher Benedikt Heinz alias Hunz hat zusammen mit dem Chaos Computer Club (CCC) weitreichende Sicherheitslücken aufgedeckt. Wie der CCC hier schreibt, lassen sich die Wechselrichter mit Bauteilen aus der Grabbelkiste per Funk abschalten. Damit können PV-Anlagen in ganzen Nachbarschaften "im Vorbeifahren" abgeschaltet oder dauerhaft physisch zerstört werden.

Betroffen sind die weit verbreiteten Hoymiles-Wechselrichter der HM-, HMS- und HMT-Serien. Der Datenaustausch mit dem Wechselrichter per WiFi erfolgt unverschlüsselt über die Frequenzbänder 868 MHz und 2,4 GHz. Bisher ging man davon aus, dass für einen Zugriff auf die Seriennummer des Wechselrichters bekannt sein musste. Ein bisher unbekannter Befehl aktiviert aber einen Broadcasting-Modus, so dass der Wechselrichter die Seriennummer liefert. heise hat den Sachverhalt in diesem Beitrag etwas detaillierter aufbereitet.

Der Hersteller reagierte auf Hinweise des Entdeckers auf die Sicherheitslücken irritiert bis gar nicht. Die Aufsichtsbehörden winken mit der Begründung ab, die potentiell von einer Ausnutzung der Schwachstellen ausgelösten Einbrüche von Gigawatt Leistung könnten von den Netzbetreibern aufgefangen werden. Gelackmeiert sind die Käufer von Solarkraftwerken, die einen Hoymiles Wechselrichter verbaut haben.

Weitere Sicherheitsmeldungen

Die Woche wurde mit Jadepuffer der erste Ransomware-Angriff dokumentiert, der laut Sicherheitsforschern von Sysdig vollständig KI-gestützt durchgeführt worden sein soll. heise hat einige Details zu diesem Thema in diesem Beitrag aufgegriffen.

Das Microsoft Threat Intelligence -Team hat im Oktober 2025 einen GigaWiper entdeckt und hier dokumentiert. GigaWiper zeichnet sich insbesondere durch seinen Aufbau aus. Es handelt sich nicht um ein einzelnes, speziell entwickeltes Tool, sondern um eine Zusammenführung verschiedener Malware-Familien, die als bedarfsgesteuerte Backdoor-Befehle in GigaWiper integriert wurden und den Angreifern die Flexibilität geben, ihre Art der Zerstörung selbst zu wählen:

  • Ein eigenständiger Wiper, der auf der Ebene der physischen Festplatte arbeitet, den Rohdateninhalt der Festplatte überschreibt und Partitionsmetadaten entfernt.
  • Ein zerstörerischer Befehl, der von der Crucio-Ransomware abgeleitet ist und Dateien mit zufällig generierten Schlüsseln verschlüsselt, die niemals gespeichert werden, wodurch eine Entschlüsselung unmöglich wird.
  • Ein Löschbefehl, der die Logik von FlockWiper nachbildet – einer ursprünglich in C geschriebenen Malware, die in Golang neu implementiert wurde und zusätzlich ein mehrstufiges sicheres Löschen bietet.

Die Zusammenführung mehrerer zerstörerischer Funktionen in einer modularen Backdoor spiegelt laut Microsoft einen bemerkenswerten Wandel bei Wiper-Malware wider. GigaWiper gehört zu einem Typ Malware, das typischerweise ausschließlich auf Zerstörung ausgelegt ist und nicht auf Erpressung, und reale Konsequenzen nach sich zieht.

Dann wurde kürzlich bekannt, dass der "Attested TLS"-Mechanismus, der zentrale Vertrauensmechanismus des Confidential Computing, mit dem Geräte per Handshake nachweisen sollen, wer sie sind, schlicht kaputt ist. Das Ganze ist in einem Dokument Identity Crisis in Confidential Computing beschrieben, The Register hat es kürzlich in diesem Artikel aufbereitet.

Ubiquiti warnt vor einer neuen UniFi-OS-Sicherheitslücke mit höchster Schweregradstufe. Die Kollegen von Bleeping Computer haben das hier aufgegriffen und einige Details offen gelegt.

Progress Warnung

Progress warnt in obiger Mitteilung vor seiner ShareFile-Anwendung und spricht Empfehlungen aus, den Storage Zone Controller temporär offline zu nehmen.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen für den Permalink.

Ein Kommentar zu Cybervorfälle bei Accenture, Lidl, Stadtwerke Kamen und Sicherheitswarnungen

  1. R.S. sagt:

    Gegen Wiper hilft nur eins: Ein regelmäßiges Backup der Daten auf ein Offlinemedium.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.