{"id":315634,"date":"2025-09-11T06:34:49","date_gmt":"2025-09-11T04:34:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=315634"},"modified":"2025-09-11T08:02:51","modified_gmt":"2025-09-11T06:02:51","slug":"phishing-cybervorfall-bei-der-kulturstiftung-der-laender","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/09\/11\/phishing-cybervorfall-bei-der-kulturstiftung-der-laender\/","title":{"rendered":"Phishing: Cybervorfall bei der Kulturstiftung der L\u00e4nder"},"content":{"rendered":"

\"SicherheitBei der Kulturstiftung der L\u00e4nder hat es wohl einen Cybervorfall gegeben. Es wurden E-Mail-Postf\u00e4cher von Mitarbeitern kompromittiert, und dann wurden\u00a0 \"letztes Wochenende\" (6.\/7.9.2025) Phishing-Mails \u00fcber dieses Postfach verschickt. Dort wurden die Empf\u00e4nger zur Eingabe von Outlook-Zugangsdaten aufgefordert. Ein Leser hatte mich gestern informiert und die Best\u00e4tigung eines Hacks liegt vor.<\/p>\n

<\/p>\n

Was ist die Kulturstiftung der L\u00e4nder?<\/h2>\n

\"\"Die Kulturstiftung der L\u00e4nder<\/a> ist eine\u00a0deutsche rechtsf\u00e4hige Stiftung b\u00fcrgerlichen Rechts mit Sitz in Berlin. Sie f\u00f6rdert, entwickelt, ber\u00e4t und begleitet im Auftrag der Bundesl\u00e4nder Projekte und Initiativen von gesamtstaatlicher Bedeutung in den Bereichen Kunst und Kultur.<\/p>\n

\"Kulturstiftung<\/a><\/p>\n

Ein Leserhinweis zu Phishing-Vorfall<\/h2>\n

Ein Blog-Leser hat mich zum 10. September 2025 per Mail kontaktiert und schrieb mir, dass er am \"letzten Freitag\", den 05.09.2025, ungew\u00f6hnliche Aktivit\u00e4ten im SPAM-Filter\u00a0 seiner Firmenumgebung entdeckte. Das Unternehmen erhielt E-Mails der Kulturstiftung der L\u00e4nder, die Outlook-Zugangsdaten abfragten.<\/p>\n

\"\u00dcberpr\u00fcfung<\/p>\n

Eine kurze \u00dcberpr\u00fcfung hat ergeben, dass die E-Mails wohl fingiert, der Absender aber echt war. Obiger Screenshot zeigt, dass die DMARC-\u00dcberpr\u00fcfung bestanden wurde, die Mails kamen von kulturstiftung.de<\/em>.<\/p>\n

Best\u00e4tigung eines Cyberangriffs<\/h2>\n

Da musste also etwas passiert sein. Der Blog-Leser hat die Kulturstiftung der L\u00e4nder noch am selben Tag darauf hingewiesen, dass da etwas nicht koscher ist. Zum 10. September 2025 erhielt der Leser dann folgende Best\u00e4tigung, dass \u00fcber das Wochenende wohl verd\u00e4chtige Aktivit\u00e4ten in der IT der Stiftung festgestellt wurden.<\/p>\n

Sehr geehrter Herr xxx,<\/p>\n

vielen Dank f\u00fcr die Benachrichtigung und vor allem f\u00fcr Ihre Bereitschaft uns zu helfen.<\/p>\n

\u00dcber das Wochenende wurden tats\u00e4chlich Phishing-Mails \u00fcber das Postfach eines Mitarbeiters versendet.<\/p>\n

Unsere IT-Abteilung hat das Problem mittlerweile analysiert und behoben. Es d\u00fcrften keine weiteren Mails versendet werden.<\/p>\n

Aufgrund der hohen Anzahl der gesendeten Mails, deren Adressaten \u00fcberwiegend aus einer internationalen Spamliste stammen, werden wir die Betroffenenrechte und die Hinweise auf m\u00f6gliche Gefahren ab morgen auf unserer Homepage exponiert sichtbar machen.<\/p>\n

Bitte entschuldigen Sie die Unannehmlichkeiten und nochmals herzlichen Dank f\u00fcr Ihre R\u00fcckmeldung.<\/p>\n

Mit freundlichen Gr\u00fc\u00dfen,<\/p>\n

Kulturstiftung der L\u00e4nder
\nSchloss Charlottenburg \u2013 Theaterbau
\nSpandauer Damm 10
\n14059 Berlin<\/p><\/blockquote>\n

Dort wurde das Postfach eines Mitarbeiters kompromittiert und zu Versand von SPAM-Mails verwendet. Der Leser schrieb noch, dass \"Morgen\" wohl eine Meldung auf der Homepage der Stiftung ver\u00f6ffentlicht werden soll. Das ist inzwischen erfolgt, wie obiger Screenshot belegt.<\/p>\n

Der Leser schrieb mir noch: \"Ich bezweifle, dass deren IT am Wochenende die Systeme neu aufgesetzt haben. Morgen werden wir aber wohl mehr erfahren.\"<\/p>\n

Es gibt noch Details<\/h2>\n

Auf einer separaten Webseite<\/a> geben die Verantwortlichen der Kulturstiftung der L\u00e4nder noch einige Details mehr preis.<\/p>\n