Die jüngsten Cybersecurity-Ereignisse zeigen ein besorgniserregendes Muster: Kritische Infrastrukturen und hochmoderne Technologien geraten zunehmend in den Fokus von Cyberkriminellen und staatlichen Akteuren.
Justizministerium im Visier: Hacker mit fragwürdigen Motiven
Nicholas Moore, 25 Jahre alt, erhielt eine zwölfmonatige Bewährungsstrafe, nachdem er sich schuldig bekannt hatte, mit gestohlenen Zugangsdaten das E-Filing-System des US Supreme Court an 25 verschiedenen Tagen infiltriert zu haben. Zusätzlich brach er in Systeme der AmeriCorps und der Veterans Administration Health System ein. Bemerkenswert: Moore monetarisierte seinen Zugang nicht, sondern teilte Screenshots in sozialen Medien – offenbar nur, um sich zu profilieren. Ein Fall, der zeigt, dass nicht immer finanzielle Gewinne das Ziel sind, sondern auch Ruhm und Anerkennung in der Hacker-Community.
Lovable: BOLA-Anfälligkeit mit gravierenden Folgen
Das hochbewertete Tech-Startup Lovable (Marktbewertung: 6,6 Milliarden Dollar) stolperte über eine kritische BOLA-Schwachstelle (Broken Object Level Authorization). Diese ermöglichte es jedem kostenlosen Benutzer, Quellcode, Datenbankzugänge und Chat-Verlauf anderer Nutzer einzusehen. Besonders problematisch: Ein Sicherheitsforscher meldete die Lücke 48 Tage vor Veröffentlichung über HackerOne. Das Ticket wurde jedoch geschlossen, weil HackerOne das Verhalten als beabsichtigte Designentscheidung interpretierte. Lovable verteidigte dies zunächst als Designwahl, musste dann aber zugeben, dass eine Februar-Änderung versehentlich den öffentlichen Zugang zu Projekt-Chats reaktiviert hatte.
Anthropic: Claude Mythos kompromittiert
Ein ähnliches Szenario bescherte Anthropic Kopfschmerzen: Das fortgeschrittene Sprachmodell Claude Mythos wurde durch unauthorisierte Tester über eine Drittanbieter-Umgebung zugegriffen. Bloomberg berichtete, dass jemand auf diese Interface zugreifen konnte und Mythosʼ erweiterte Fähigkeiten testete. Anthropic beschränkte daraufhin sofort den Zugang zum missbrauchten Portal.
Frankreich im Datenschutz-Notfall
France Titres, die nationale Behörde für Ausweisdokumente, bestätigte einen Sicherheitsvorfall, der Millionen von Bürgern betreffen könnte. Etwa 19 Millionen Datensätze – inklusive Namen, Geburtsdaten und eindeutiger Konten-Identifikatoren – sollen zum Verkauf auf Hacker-Foren stehen.
Geopolitische Dimension: UK schützt kritische Infrastruktur
In einer beispiellosen Aktion entsandte Großbritannien Marineassets, darunter Kriegsschiffe und RAF-Patrouillenflugzeuge, zum Schutz von Unterseekommunikationskabeln vor vermutetem russischen Druck. RETN-Chef Tony O’Sullivan warnt: Unfallschäden seien nicht mehr die einzige Bedrohung; Unternehmen müssen Netzwerk-Resilienz gezielt konstruieren.
Positive Entwicklung: Google und Anthropic verstärken Sicherheit
Google kündigte erweiterte Sicherheitsfeatures für Chrome Enterprise und Android an, während Anthropic Claude Mythos-Zugang beschränkte. Diese reaktiven Maßnahmen sind notwendig, reichen aber nicht aus. Die Tech-Branche braucht proaktive, architektonische Sicherheitsansätze, nicht nur inkrementelle Verbesserungen.