{"id":319363,"date":"2025-12-18T10:29:49","date_gmt":"2025-12-18T09:29:49","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=319363"},"modified":"2025-12-19T12:54:27","modified_gmt":"2025-12-19T11:54:27","slug":"sicherheit-ransomware-bei-autohaus-kommunale-datentraeger-im-heizungskeller-und-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/12\/18\/sicherheit-ransomware-bei-autohaus-kommunale-datentraeger-im-heizungskeller-und-mehr\/","title":{"rendered":"Sicherheit: Ransomware bei Autohaus; kommunale Datentr\u00e4ger im Heizungskeller und mehr"},"content":{"rendered":"

\"SicherheitKleiner Nachtrag der letzten Tage – durch den Blog-Umzug etwas zeitlich verschoben. In Sachsen scheint es ein Autohaus arg getroffen zu haben, ich vermute Ransomware. In Bayern lagerte eine Gemeinde Festplatten und Sicherungsb\u00e4nder \u00fcber Jahre in \u00f6ffentlich zug\u00e4nglichen Kellerr\u00e4umen. Der ADAC hat Wallboxen getestet und eine mit Schwachstellen gefunden. Es gibt Sicherheitsfixes f\u00fcr HPE-, Fortinet- und SonicWall-Software. Die React2Shell-Schwachstelle weitet sich aus, und so weiter.<\/p>\n

<\/p>\n

Cyberangriff auf Ford-Autohaus in Sachsen<\/h2>\n

\"\"Es sind nicht mehr die \"gro\u00dfen Firmen\", die Opfer von Ransomware oder Cyberangriffen werden. Gerade kleine und mittlere Unternehmen werden immer h\u00e4ufiger Opfer von solchen Angriffen, was existenzbedrohend werden kann. Ein Leser hatte sich bereits zum 16. Dezember 2025 gemeldet und schrieb unter dem Betreff \"Ransomware in Action\", dass es einen lokalen Ford-H\u00e4ndler hinsichtlich eines Cyberangriffs erwischt habe. Es sei diesmal einer der gr\u00f6\u00dferen Autoh\u00e4ndler in seiner Region.<\/p>\n

Viel sei leider nicht bekannt, aber klinge nach Ransomware und Windows. Aussagen von Mitarbeitern deuten darauf hin, dass nichts funktioniert, nicht einmal die Telefonanlage, E-Mails, Zugriff auf Kundendaten. Daf\u00fcr scheine der Schaden gr\u00f6\u00dfer und die Mitarbeiter bangen um ihre Jobs, und werden teilweise nur halbtags besch\u00e4ftigt.<\/p>\n

\"CyberAuto-Ford-Pichel\"<\/a><\/p>\n

Auf der Homepage des Unternehmens findet sich obige Warnung<\/a>. Am\u00a011.12.2025 wurde ein Cyberangriffe festgestellt, weil die Mitarbeiter keinen Zugriff mehr auf interne IT-Systeme hatten (klingt f\u00fcr mich nach von Ransomware verschl\u00fcsselten Systemen). In der Folge wurden die betroffenen Systeme laut der Mitteilung \"unverz\u00fcglich\" vom Netz genommen und einer IT-forensischen Untersuchung zugef\u00fchrt. Die Erkl\u00e4rung: \"Im weiteren Verlauf ergaben sich Hinweise darauf, dass personenbezogene Daten betroffen sein k\u00f6nnten.\" liest sich f\u00fcr mich wie ein Datenabfluss, der im Verlauf einer Ransomware-Infektion g\u00e4ngig ist.<\/p>\n

Dem Hinweis: \"Nach derzeitigem Kenntnisstand k\u00f6nnen insbesondere Identifikations- und Kontaktdaten (z. B. Name, E-Mail-Adresse, Vertrags- oder Kommunikationsdaten, Personalausweisnummer, F\u00fchrerscheinnummer) sowie Zahlungsdaten (z.B. Bankverbindung, Kreditkartendaten) betroffen sein. Die genaue Art und der Umfang der Daten sind weiterhin Gegenstand der laufenden Untersuchung.\" entnehme ich, dass dort Systeme mit Kundendaten betroffen sind. Klingt alles nicht wirklich gut und zeigt, wie schnell auch kleine Unternehmen betroffen sein k\u00f6nnen.<\/p>\n

Datenschutzvorfall in Markt Kipfenberg<\/h2>\n

Markt Kipfenberg ist eine ca. 6.000 Einwohner umfassende Gemeinde im bayerischen Landkreis Eichst\u00e4tt. Die Gemeinde informiert aktuell auf ihrer Webseite<\/a> \u00fcber einen Datenschutzvorfall.<\/p>\n

\"Markt-Kipfenberg\"<\/a><\/p>\n

Im Rahmen eines Rathausumbaus im Jahr 2023 wurden laut obiger Mitteilung \"Kartons mit Datentr\u00e4gern im Heizungsraum eines gemeindeeigenen Mietshauses\" gelagert. Man erf\u00e4hrt, dass der B\u00fcrgermeister durch einen Mieter auf diesen problematischen Ablageort hingewiesen wurde. Die Datentr\u00e4ger wurden nicht fachgerecht gel\u00f6scht und dann entsorgt, sondern landeten irgendwann frei zug\u00e4nglich im Heizungsraum. Es ist davon auszugehen, dass Datentr\u00e4ger bereits ihren Weg in unbefugte H\u00e4nde gefunden haben. Der obige Text klingt recht harmlos – der Finder der Datentr\u00e4ger hatte die Redaktion von heise \u00fcber den brisanten Fund, der pers\u00f6nliche Daten enth\u00e4lt, informiert. Die bayerische Datenschutzaufsicht hat sich inzwischen eingeschaltet. Die gesamte Geschichte, wie die Datentr\u00e4ger zwei Mal auftauchten, l\u00e4sst sich bei heise im Artikel Wie Festplattenfunde Datenschutzprobleme in einer Gemeinde offenbaren<\/a> nachlesen.<\/p>\n

Cyberangriff auf die Ideal Gruppe<\/h2>\n

Auf die Ideal Gruppe (Versicherungen) wurde ein Cyberangriff ver\u00fcbt. Ich hatte es am 15. Dezember 2025 bereits bei Golem im Beitrag\u00a0Systeme von Berliner Versicherung kompromittiert<\/a> gesehen, wurde aber heute noch durch Leser Igor darauf hingewiesen (danke). Auf der Ideal-Webseite<\/a> findet sich der Hinweis, dass die IDEAL Gruppe Ziel eines Cyberangriffs der Ransomware Akira geworden sei.<\/p>\n

Um gr\u00f6\u00dftm\u00f6gliche Sicherheit zu gew\u00e4hrleisten, wurden die Systeme vorsorglich vom Netz genommen. Gesch\u00e4ftsbetrieb und Services werden eingeschr\u00e4nkt aufrechterhalten. Betroffen vom IT-Ausfall ist auch die zur IDEAL Gruppe geh\u00f6rende Ahorn AG. Explizit nicht betroffen ist das Tochterunternehmen myLife Lebensversicherung AG. Mit Pressemitteilung<\/a> vom 16.12.2025 sind einige Systeme wieder online. Die gemeinsam mit externen Spezialisten durchgef\u00fchrten forensischen Untersuchungen dauern
\nweiterhin an. Nach derzeitigen Erkenntnissen soll es keinen Datenabfluss gegeben haben.<\/p>\n

Microsoft will\u00a0.NET RCE-Schwachstelle nicht fixen<\/h2>\n

watchTowr Sicherheitsforscher Piotr Bazyd\u0142o hat auf der Black hat-Konferenz im Dezember 2025 auf Probleme mit Microsoft .NET-Framework hingewiesen. Mehrere Anwendungen, die auf .NET-Framework basieren, seien aufgrund von Fehlern in der Verarbeitung von SOAP-Nachrichten (Simple Object Access Protocol) in der Klasse SoapHttpClientProtocol\u00a0<\/em>f\u00fcr Remote-Code-Execution-Angriffe (RCE) anf\u00e4llig. Die Details lassen sich in diesem watchtowr-Blog-Post<\/a> nachlesen – The Register hat das Thema hier<\/a> aufgegriffen.<\/p>\n

Eink\u00e4ufe \u00fcber GiroPay k\u00f6nnen sensible DSGVO-Daten sein<\/h2>\n

Es gab wohl Zoff zwischen noyb und GiroPay sowie der hessischen Landesdatenschutzaufsicht, was die Verarbeiter von GiroPay-Einkaufsdaten betrifft. Das Verwaltungsgericht Wiesbaden hat im Urteil\u00a06 K 996\/22.WI<\/span><\/a> festgestellt, dass die Verarbeitung von online gekauften Artikeln (z. B. in einer Online-Apotheke oder einem Sexshop) durch einen Zahlungsdienstleister sensible Daten im Sinne von Artikel 9 Absatz 1 DSGVO darstellen kann.<\/p>\n

\"VG-Urteil<\/a><\/p>\n

Darauf hat die Datenschutzorganisation noyb in obigem Tweet<\/a> hingewiesen und auf das erstrittene und oben erw\u00e4hnte Urteil verlinkt<\/a>.<\/p>\n

PayPal durch Betr\u00fcger missbraucht<\/h2>\n

Die Kollegen von Bleeping Computer haben in diesem Artikel<\/a> die Tage eine neue Betrugsmasche aufgedeckt. Personen berichteten von erhaltenen E-Mails, in denen behauptet wurde, eine automatische PayPal-Zahlung sei storniert worden. Die Mails stammten von PayPal. Bleeping Computer analysierte den Sachverhalt und kam einer inzwischen von PayPal geschlossenen Sicherheitsl\u00fccke auf die Spur.<\/p>\n

Die Betr\u00fcger erstellten ein PayPal-Abonnement und pausierten es dann. Dadurch wurde eine echte PayPal-Benachrichtigung \"Ihre automatische Zahlung ist nicht mehr aktiv\" von an den Abonnenten ausgel\u00f6st wurde. Au\u00dferdem richteten die Betr\u00fcger ein gef\u00e4lschtes Abonnentenkonto ein, wahrscheinlich eine Google Workspace-Mailingliste, die alle eingehenden E-Mails automatisch an alle anderen Gruppenmitglieder weiterleitet.<\/p>\n

Auf diese Weise konnten die Kriminellen mit der legitimen Adresse service@paypal.com als Absender viele Betrugsmail an E-Mail-Filtern vorbei aussenden. Und eine erste oberfl\u00e4chliche \u00dcberpr\u00fcfung durch den Empf\u00e4nger konnte oft auch umgangen werden.<\/p>\n

Cybervorfall bei SoundCloud<\/h2>\n

Der Streaming-Anbieter SoundCloud hatte die Tage eine \"technische St\u00f6rung\", bei der VPN-Nutzer mit einem Server-Fehler\u00a0403 abgewiesen wurden (siehe diesen Artikel<\/a> von Bleeping Computer). Zum 15. Dezember 2025 hat SoundCloud in diesem Sicherheitshinweis<\/a> best\u00e4tigt, dass man k\u00fcrzlich unautorisierte Aktivit\u00e4ten in einem Dashboard f\u00fcr Zusatzdienste festgestellt habe. Nach der Eind\u00e4mmung dieser Zugriffe kam es bei SoundCloud zu Denial-of-Service-Angriffen. Zwei dieser Angriffe beeintr\u00e4chtigten die Verf\u00fcgbarkeit der Plattform im Internet vor\u00fcbergehend. Die Kollegen von Bleeping Computer haben den Vorfall hier<\/a> aufgegriffen.<\/p>\n

FortiCloud SSO Bypass-Schwachstelle wird angegriffen<\/h2>\n

Fortinet hat die Tage eine Bypass-Schwachstelle in seiner\u00a0FortiCloud SSO geschlossen (CVE-2025-59718 und CVE-2025-59719, siehe hier<\/a>). Nun berichtet Bleeping Computer in diesem Artikel<\/a>, dass Angreifer versuchen, ungepatchte Systeme \u00fcber diese Schwachstellen anzugreifen. Aber nur ungepatchte Systeme, auf denen\u00a0FortiCloud SSO aktiviert ist, sind wohl gef\u00e4hrdet.<\/p>\n

SonicWall SMA 1000 Schwachstelle<\/h2>\n

In den SonicWall SMA1000-Appliances gibt es eine Sicherheitsl\u00fccke (CVE-2025-40602) durch lokale Rechteausweitung m\u00f6glich wird. Die Schwachstelle ist mit einem CVSS 3-Score von 6.6 versehen, wie der Anbieter zum 17. Dezember 2025 in diesem Sicherheitshinweis<\/a> mitteilt. Betroffen sind die SMA1000 Firmware-Versionen 12.4.3-03093 (platform-hotfix) und 12.5.0-02002 (platform-hotfix) samt den Vorg\u00e4ngerversionen. via<\/a><\/p>\n

HPE\u00a0OneView RCE-Schwachstelle<\/h2>\n

In der HPE OneView-Software gibt es die inzwischen gepatchte RCE-Schwachstelle CVE-2025-37164<\/a>. HPE will aber eine Anmeldung, um Details zur Schwachstelle bereitzustellen. Die Kollegen von Bleeping Computer haben den Sachverhalt aber in diesem Artikel<\/a> zusammen getragen.<\/p>\n

React2Shell-Schwachstelle unzureichend gepatcht und angegriffen<\/h2>\n

Vor einer guten Woche hatte ich im Blog-Beitrag\u00a0Angriffe auf React RCE-Schwachstelle (CVE-2025-55182)<\/a> berichtet, dass ungepatchte Systeme, die das React JavaScript-Framework oder Node.js nutzen, \u00fcber eine Schwachstelle angegriffen werden. In den letzten Tagen sind mir auf X mehrere Tweets untergekommen, dass die Schwachstelle CVE-2025-55182 wohl unzureichend gepatcht wurde.<\/p>\n

Jetzt berichtet Bleeping Computer in diesem Artikel<\/a>, dass die React2Shell-Schwachstellen durch Ransomware-Gruppen angegriffen werden. Laut diesem Microsoft-Artikel<\/a> sind inzwischen Hunderte Systeme weltweit \u00fcbernommen und kompromittiert.<\/p>\n

ADAC-Test Wallboxen – eine mit Schwachstellen<\/h2>\n

Der ADAC hat Wallboxen f\u00fcr Dienstfahrzeuge getestet. Diese Wallboxen sind etwas teurer, da sie besonderen Bedingungen, u.a. Eichpflicht, unterliegen. Der ADAC-Testbericht l\u00e4sst sich hier abrufen<\/a>. Zitat aus dem Artikel:<\/p>\n

Als klarer Verlierer geht die Wallbox DaheimLader Business hervor […] der IT-Sicherheitspr\u00fcfung wurden etliche kritische Schwachstellen aufgedeckt. Schwerwiegende Sicherheitsl\u00fccken erm\u00f6glichen die Preisgabe von Admin-Passw\u00f6rtern per Bluetooth sowie den Diebstahl von WLAN-Zugangsdaten des Kunden.<\/p><\/blockquote>\n

Der Hersteller hat inzwischen die Firmware nachgebessert und die Wallboxen aktualisiert. Es sollen nur wenige Kunden betroffen gewesen sein.<\/p>\n

Sammelt TikTok personenbezogene Daten \u00fcber diverse Apps?<\/h2>\n

Die Datschutzorganisation noyb behauptet, dass dass TikTok personenbezogene Daten nicht nur \u00fcber seine eigene App, sondern auch \u00fcber andere Apps wie Grindr sammelt. Grindr ist eine App, die sensible Informationen \u00fcber die sexuelle Orientierung, das Dating-Verhalten und andere pers\u00f6nliche Gewohnheiten ihrer Nutzer erfasst. Euractive hat in diesem Artikel<\/a> Details zum Thema ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

Kleiner Nachtrag der letzten Tage – durch den Blog-Umzug etwas zeitlich verschoben. In Sachsen scheint es ein Autohaus arg getroffen zu haben, ich vermute Ransomware. In Bayern lagerte eine Gemeinde Festplatten und Sicherungsb\u00e4nder \u00fcber Jahre in \u00f6ffentlich zug\u00e4nglichen Kellerr\u00e4umen. Der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328],"class_list":["post-319363","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/319363","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=319363"}],"version-history":[{"count":10,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/319363\/revisions"}],"predecessor-version":[{"id":319448,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/319363\/revisions\/319448"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=319363"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=319363"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=319363"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}