Der Mai 2025 brachte eine Vielzahl an bedeutenden Ereignissen im Bereich der Informationssicherheit, die einen tiefen Einblick in die aktuellen Bedrohungen und Herausforderungen der digitalen Welt bieten. Besonders hervorzuheben ist der erfolgreiche Hack der Admin-Oberfläche der berüchtigten Ransomware-Gruppe LockBit. Dieser Angriff stellte nicht nur eine bemerkenswerte Wendung dar, da er die Täterseite traf, sondern auch aufgrund der Veröffentlichung eines umfangreichen Datenbank-Dumps, der sensible Informationen wie Bitcoin-Adressen, Chat-Verläufe und Partnerdetails offenlegte. Die Attacke führte zu einer intensiven Debatte über die Sicherheit von kriminellen Infrastrukturen und deren Schwachstellen. Neben LockBit hatte bereits im April 2025 eine ähnliche Kompromittierung die Hackergruppe Everest getroffen, wobei diesmal jedoch keine Daten gestohlen wurden.
Parallel zu diesen Vorfällen wurde eine alarmierende Sicherheitslücke im Remote Desktop Protocol (RDP) von Microsoft bekannt. Forscher entdeckten, dass Windows das Konzept widerrufener Passwörter missachtet, sodass ältere, eigentlich ungültige Zugangsdaten nach wie vor für den Zugriff auf Systeme genutzt werden können. Microsoft wies die Einstufung als Sicherheitslücke zurück und betonte, dass es sich um eine bewusste Designentscheidung handele, welche vor allem den Offline-Zugriff sicherstellen solle. Dieses Verhalten widerspricht der allgemeinen Praxis, Passwörter nach Änderung sofort ungültig zu machen, und birgt das Risiko eines heimlichen Backdoors auf Windows-Rechnern. Die technischen Details offenbaren, dass das Betriebssystem Passwörter lokal zwischenspeichert und bei der Authentifizierung gegen diesen Cache vergleicht, was die Nutzung alter Anmeldedaten ermöglicht.
Diese Erkenntnisse haben bei IT-Administratoren und Sicherheitsexperten für erhebliches Aufsehen gesorgt, da herkömmliche Sicherheitsmaßnahmen hier an ihre Grenzen stoßen. Ein weiterer wesentlicher Vorfall war der Datenleak bei Steam, der Plattform für digitale Spieleveröffentlichungen. Ein Hacker bot angeblich einen Datenbestand mit 89 Millionen Einträgen zum Verkauf an, welcher unter anderem SMS-Codes für die Zwei-Faktor-Authentifizierung enthielt. Trotz der Bedenken versicherten die Verantwortlichen von Valve, dass keine direkten Konto- oder Zahlungsinformationen kompromittiert wurden und dass die SMS-Daten nur temporären Charakter hätten. Der Vorfall verdeutlicht jedoch die Gefahren, die auch bei der Nutzung etablierter Plattformen durch sekundäre Dienste wie SMS-Gateways entstehen können.
Diskussionen um die Sicherheit von SMS-basierten 2FA-Lösungen wurden erneut entfacht. Im Bereich von Schadsoftware und infizierten Geräten tauchte die Meldung auf, dass offizielle Treiber und Softwarepakete des Druckerherstellers Procolored über Monate hinweg mit Malware versetzt waren. Diese enthielten unter anderem Remote-Access-Trojaner und Krypto-Miner. Die Tatsache, dass legitime Installationspakete verseucht waren, stellte Anwender und Unternehmen vor große Herausforderungen in der Erkennung und Abwehr solcher Bedrohungen. Die Malware SnipVex wurde dabei als neuartige Schadsoftware identifiziert, welche unter anderem auf das Klonen von Bitcoin-Adressen spezialisiert ist und erhebliche Summen an Kryptowährungen gestohlen haben soll.
Cloudflare veröffentlichte in diesem Zeitraum eine Statistik, die einen massiven Anstieg von DDoS-Angriffen verzeichnete. Die Anzahl solcher Angriffe nahm im Vergleich zum Vorjahr um 358 Prozent zu, wobei insbesondere Angriffe auf Netzwerkebene ausschlaggebend waren. Die Zunahme von hypervolumetrischen Angriffen, die mit Netzlasten im Terabit-Bereich und Milliarden Paketen pro Sekunde realisiert werden, erhöhte den Druck auf Anbieter und Unternehmen, ihre Abwehrmechanismen entsprechend anzupassen. Prognosen deuten auf einen weiterhin harten Wettbewerb im Bereich der Cyberabwehr hin und unterstreichen die wachsende Bedeutung von skalierbaren und automatisierten Sicherheitssystemen. Neben den Angriffen und Sicherheitslücken gab es auch positive Entwicklungen im Bereich der Anonymisierung.
Das Tor-Projekt stellte mit Oniux ein neues Kommandozeilen-Tool vor, das eine deutlich stärkere Isolation von Anwendungen durch Nutzung von Linux-Namespace-Mechanismen ermöglicht. Durch den zwangsweisen Datenverkehr aller Anwendungen über das Tor-Netzwerk soll eine verbesserte Privatsphäre bei Linux-basierten Systemen erzielt werden. Im Gegensatz zu bisherigen Lösungen, die auf Nutzer- und Bibliotheksebenen operieren, setzt Oniux auf Kernel-Level-Isolation, was grundsätzliche Sicherheitsvorteile bietet. Allerdings befindet sich das Projekt noch in einem experimentellen Stadium und richtet sich derzeit vor allem an technisch versierte Nutzer und Entwickler. Im Bereich der Kryptowährungen sorgte ein Insider-Leak bei der bekannten Kryptobörse Coinbase für Aufsehen.
Mitarbeiter der Kundenbetreuung hatten sensible Kundendaten an Cyberkriminelle verkauft, die daraufhin ein Lösegeld in Höhe von 20 Millionen US-Dollar forderten. Coinbase weigerte sich, das Lösegeld zu zahlen, und stellte einen speziellen Fonds zur Belohnung von Hinweisen auf die Täter zur Verfügung. Obwohl keine privaten Schlüssel oder Passwörter gestohlen wurden, umfasst der geleakte Datenbestand neben Namen, E-Mail-Adressen und Telefonnummern auch teilweise Dokumente wie Ausweiskopien und Maskierte Bankdaten. Der Vorfall legt erneut den Fokus auf interne Sicherheitsvorkehrungen und die Gefahr von Insiderangriffen. Das Sicherheitsbewusstsein der Nutzer scheint weiterhin verbesserungswürdig zu sein, wie eine Umfrage der Kaspersky-Labor Daten zeigte.
Demnach haben 39 Prozent der Befragten in Russland ihre Router-Passwörter seit der Einrichtung nie geändert. Dieses Verhalten eröffnet Cyberkriminellen leichte Zugänge zu privaten Netzwerken und unterstreicht den Bedarf an mehr Nutzeraufklärung und automatisierten Sicherheitssystemen für Endgeräte. Ein weiterer Trend des Monats ist die steigende Gefahr durch bösartige Erweiterungen für Webbrowser. Sicherheitsforscher von DomainTools entdeckten mehr als 100 schädliche Chrome-Erweiterungen, die als VPNs, KI-Assistenten oder Krypto-Tools getarnt sind, jedoch hauptsächlich darauf ausgelegt sind, Cookies zu stehlen, Skripte auszuführen und Nutzeraktivitäten zu manipulieren. Diese Erweiterungen erhalten ungewöhnlich umfassende Berechtigungen, was eine breitflächige Spionage und Manipulation möglich macht.
Angriffe dieser Art zeigen, wie wichtig es ist, nur Erweiterungen aus vertrauenswürdigen Quellen zu installieren und Berechtigungen kritisch zu prüfen. Im Mai gab es zudem wichtige Hinweise auf die zunehmende Nutzung des IPv6-Protokolls von Advanced Persistent Threat (APT)-Gruppierungen für gezielte Man-in-the-Middle-Attacken. Die Gruppe TheWizards aus China nutzt gezielt Schwachstellen in der IPv6 Stateless Address Autoconfiguration (SLAAC), um gefälschte Router-Werbungen zu senden und so Netzwerkverkehr umzuleiten und zu überwachen. Ihre Malware namens Spellbinder konnte auf infizierten Systemen Hintertüren installieren und weitere Schadsoftware nachladen. Dieser Fall verdeutlicht, dass neue Technologien wie IPv6 noch nicht flächendeckend sicher implementiert sind und zusätzliche Sicherheitsmechanismen benötigt werden.
Mozilla äußerte sich im Mai zur Abhängigkeit seines Firefox-Browsers von Google, insbesondere durch finanzielle Suchmaschinenpartnerschaften. Ein Wegfall dieser Einnahmen könnte die Weiterentwicklung von Firefox sowie des zugrunde liegenden Browser-Engines Gecko gefährden. Es wird befürchtet, dass dadurch offene Webstandards, Nutzerprivatsphäre und Wettbewerb im Browsermarkt leiden könnten. Die Debatte hebt die Herausforderung hervor, wie unabhängige Software-Projekte in einer von großen Monopolen geprägten Umgebung finanziell nachhaltig bleiben können. Die Vielzahl der Ereignisse im Mai 2025 zeigt deutlich, dass Informationssicherheit ein dynamisches und vielschichtiges Feld ist.
Die Bedrohungen kommen aus verschiedenen Richtungen und treffen sowohl Anwender, Unternehmen als auch Infrastrukturbetreiber. Gleichzeitig treiben technologische Innovationen wie sichere Anonymisierungslösungen oder verbesserte Schutzmechanismen die Entwicklung voran. Für Unternehmen und Nutzer bleibt es entscheidend, aktuelle Entwicklungen aufmerksam zu verfolgen, Sicherheitsprozesse kontinuierlich anzupassen und besonders im Umgang mit Zugangsdaten sowie Drittanbietersoftware Vorsicht walten zu lassen. Nur so kann den ständig wachsenden Risiken im Cyberspace wirksam begegnet werden.
