Alle Fachbeiträge

Es kommt selten vor, dass das Bundesamt für Verfassungsschutz (BfV) in einem internationalen Sicherheitshinweis neben NSA, CISA, FBI und BSI auftritt. Am 27. August 2025 war genau das der Fall: In einer gemeinsamen Cybersicherheitswarnung wurde vor der Angreifergruppe SALT TYPHOON gewarnt.

Ransomware ist längst kein reines IT-Thema mehr, sondern ein reales Unternehmensrisiko mit direkten wirtschaftlichen Folgen. Und mit ihr taucht ein ganzes Ökosystem an Begriffen auf, die für das Verständnis moderner Angriffsketten entscheidend sind. In dieser Folge geht es um die Sprache der Erpresser: Begriffe, Rollen und Abläufe, die hinter Ransomware-Angriffen stecken.

Schwachstellen – im Englischen Vulnerabilities – sind technische Lücken in Software oder Hardware, die Angreifer ausnutzen können. In dieser Folge erklären wir die wichtigsten Begriffe rund um dieses Thema. Ziel ist es zu verstehen, warum jeder Begriff wichtig ist, wie sie zusammenhängen und wie sie im Security-Alltag genutzt werden.

In der IT-Sicherheitswelt herrscht inzwischen ein richtiges Vokabular-Chaos. Begriffe wie Mitigation, CVE, Zero-Day oder Double Extortion tauchen überall auf – in Berichten, Audits, in Gesprächen mit Anbietern und auf Konferenzen. Doch obwohl diese Begriffe weit verbreitet sind, haben auch erfahrene Fachleute bisweilen Unsicherheiten damit.

Kritische Schwachstellen in Firewalls sorgen regelmäßig für Aufmerksamkeit – und technisch betrachtet ist das oft auch gerechtfertigt. In der praktischen Umsetzung stellt sich das Risiko jedoch sehr unterschiedlich dar. Bei Sophos-Firewalls greifen gleich mehrere Schutzmechanismen, die dazu führen, dass selbst sicherheitskritische Lücken in aller Regel ohne unmittelbare Gefährdung für professionell betriebene Systeme bleiben.

Schnelle Reaktionszeiten und strukturierte Abläufe sind zentrale Versprechen jedes MDR-Dienstes. Doch wie gelingt das in der Praxis? Die Antwort liegt in einem zentralen Baustein des MDR-Betriebs: Playbooks.

Sie bilden die Grundlage für automatisierte, standardisierte und trotzdem anpassbare Reaktionen auf sicherheitsrelevante Vorfälle – vom verdächtigen DNS-Call bis zur Endpoint-Isolation.

In diesem achten Teil der MDR Insights-Serie erklären wir, wie Playbooks funktionieren, wie sie aufgebaut sind, welche Freiheitsgrade sie bieten und welche Rolle Comp4U bei deren Bewertung, Optimierung und Anpassung spielt.

Ob ISO 27001, NIS2, KRITIS oder branchenspezifische Vorgaben: Moderne Sicherheitsstandards fordern nicht nur Schutzmaßnahmen, sondern auch deren Dokumentation, Nachvollziehbarkeit und kontinuierliche Verbesserung. Unternehmen müssen heute jederzeit belegen können, wie sie sicherheitsrelevante Ereignisse erkennen, behandeln und daraus lernen.

Am 18. Juli 2025 beobachteten Analysten von Sophos MDR (Managed Detection and Response) eine Welle bösartiger Aktivitäten, die auf lokale Microsoft-SharePoint-Server abzielten. Dabei wurden in großem Umfang maliziöse PowerShell-Befehle auf SharePoint-Instanzen ausgeführt, was auf die aktive Ausnutzung einer neuen Angriffskette namens „ToolShell“ hindeutete.

Eine als „Toolshell“ bezeichnete Schwachstelle in Microsoft SharePoint wird seit dem 18./19. Juli 2025 aktiv von Angreifern ausgenutzt. Die zugrunde liegende Sicherheitslücke basiert auf CVE‑2025‑49704 und ist unter der Kennung CVE‑2025‑53770 registriert.

Die Einstufung nach CVSS 3.1 liegt bei 9.8 von 10 Punkten – und damit im kritischen Bereich.
Internationale Sicherheitsexperten und Behörden wie das BSI und die US-CISA berichten von konkreten Angriffen auf produktive Systeme weltweit.

Nicht betroffen ist SharePoint Online, wie es im Rahmen von Microsoft 365 betrieben wird.

Am Ende vieler Angriffsketten steht der Schritt, der in der MITRE-Systematik als „Impact“ bezeichnet wird. Das ist der Moment, in dem es beim Kunden wirklich einschlägt – meist in Form von verschlüsselten Daten, abgeschalteten Systemen oder zerstörter Infrastruktur. Alles, was vorher passiert ist, war Vorbereitung. Hier beginnt der eigentliche Schaden.