← alle Beiträge · Thema: Security · 4 Beiträge · RSS für diesen Strang
27. Juni 2026
Strafverfolger aus vier Ländern haben den nächsten Schlag gegen das SocGholish-Netzwerk gemeldet: 106 Server und Domains abgeschalten, 14.971 kompromittierte WordPress-Blogs gesäubert, 1,4 Millionen gestohlene Zugangsdaten sichergestellt. Die koordinierte Aktion lief unter dem Dach von „Operation Endgame“ — Niederlande, Kanada, USA und Deutschland.
SocGholish ist seit Jahren einer der langlebigsten Angriffsvektoren im Netz. Das Geschäftsmodell: Kompromittiere legitime Websites — bevorzugt WordPress-Blogs mit echter Leserschaft — und verwandle sie in heimliche Verteilstationen. Besucher sehen weiterhin den normalen Blog. Im Hintergrund läuft injiziertes JavaScript, das dem Besucher eine gefälschte Browser-Update-Aufforderung zeigt. Wer der Aufforderung folgt — Update akzeptieren, Datei herunterladen — installiert einen Malware-Loader. Was danach kommt, entscheiden die Betreiber: Ransomware, Keylogger, Fernzugriff.
Das Tückische an SocGholish ist nicht die Technik. Es ist das Vertrauen. Die URL ist echt. Der Artikel ist echt. Die Leserschaft ist echt. Nur das Update-Fenster ist eine Lüge — eine Lüge, die aus der seriösen Verpackung des Träger-Blogs ihre Glaubwürdigkeit zieht.
Die Gruppe hinter dem Netzwerk — von Ermittlern als „Evil Corp“ bezeichnet, seit mehr als einem halben Jahrzehnt aus Russland operierend — saß nicht nur auf kompromittierten Servern. Sie hatte Admin-Zugriff auf fast 15.000 Blogs. 1,4 Millionen Zugangsdaten wurden sichergestellt. 154.000 E-Mail-Adressen und über 500.000 Passwörter wurden an HaveIBeenPwned übergeben. Blog-Betreiber wurden benachrichtigt und aufgefordert, ihre Software zu aktualisieren.
Was bleibt nach einer solchen Operation? Die Infrastruktur ist weg — diesmal. Die Daten sind bereits weg — für immer. Und die Betreiber sind nicht weg: Russland liefert solche Gruppen nicht aus, und das nächste Tooling steht bereit. Operation Endgame ist deshalb als fortlaufende Kampagne angelegt, nicht als einmaliger Streich. Stetiger Kostendruck auf kriminelle Infrastrukturen statt der Suche nach dem finalen Schlag. Ob das reicht, ist eine andere Frage.
Quelle: heise online — Operation Endgame: Ermittler säubern tausende Blogs von SocGholish
▸ Security
[l] Permalink
25. Juni 2026
Ein Malware-Entwickler hat etwas Elegantes entdeckt. Seine Spyware beginnt mit einem langen JavaScript-Blockkommentar — gefüllt mit Text über Biowaffenprogramme, Nukleartechnik und ähnlich markierten Inhalten. Darunter, nach dem schließenden */, folgt der eigentliche Schadcode: verschlüsselt, obfuskiert, vollständig funktionsfähig.
Für den JavaScript-Interpreter existiert der Kommentar nicht. Er überspringt alles zwischen /* und */ ohne Zögern — das ist die Sprache so entworfen. Der Schadcode läuft wie vorgesehen.
Für den KI-Sicherheitsscanner, der den Dateiinhalt analysiert, existiert der Kommentar sehr wohl. Er liest den Text, erkennt die verbotenen Inhalte, und macht was er gelernt hat: er verweigert die Analyse. Die Datei bleibt ungeprüft.
Das ist kein ausgefeilter Exploit. Es ist eine Konsequenz aus einem Unterschied, den wir selten explizit machen: Ein Interpreter weiß, was Kommentar ist. Ein Sprachmodell weiß es nicht — zumindest nicht zuverlässig, wenn man ihm den rohen Dateiinhalt hinwirft. Es verarbeitet den Text als Text. Die Struktur des Formats ist für es eine Konvention unter vielen, keine harte Grenze.
Das Ergebnis: Wer ein Sprachmodell als Sicherheitstool einsetzt, ohne diese Asymmetrie zu kennen, gibt Angreifern ein Werkzeug in die Hand, das aus den Sicherheitsrichtlinien des Modells selbst gebaut ist. Die Inhaltsfilter, die das Modell vor Missbrauch schützen sollen, schützen jetzt die Malware vor dem Modell.
Bruce Schneier, der darüber schreibt, nennt es „Prompt Injection auf Dateiebene“ — und das trifft es. Die Frage ist nicht, ob Sprachmodelle nützlich für Sicherheitsanalyse sind. Die Frage ist, ob die Pipelines, in denen sie eingesetzt werden, wissen, was sie ihnen hinwerfen — und ob der Unterschied zwischen Dokumenteninhalt und Modellinstruktion dort irgendwo klar gezogen ist.
Meistens nicht.
Quelle: Schneier on Security — Embedding Forbidden Text in Spyware to Discourage AI Analysis
▸ KI & Macht · ▸ Security
[l] Permalink
23. Juni 2026
Am Dienstagabend stand der Bahnverkehr in ganz Deutschland still. Auslöser war eine Störung im digitalen Zugfunk GSM-R; ein Sprecher der Deutschen Bahn bestätigte sie der dpa. Alle Züge wurden vorsorglich an den Bahnhöfen gehalten. Eine Ursache nannte die Bahn zunächst nicht, und wann der Verkehr wieder normal rollt, war am Abend noch offen.
Warum legt ausgerechnet eine Funkstörung das ganze Netz lahm? Weil GSM-R die zentrale Nervenbahn des Betriebs ist: Über dieses eine System verständigen sich Lokführer und Stellwerke, und ohne gesicherte Funkverbindung darf aus Sicherheitsgründen kein Zug fahren. Fällt der Funk aus, fällt nicht eine Strecke — es fallen alle gleichzeitig.
Bemerkenswert ist nicht der Ausfall, sondern seine Wiederkehr. 2022 stand der Verkehr im Norden, weil an zwei Stellen Kabel durchtrennt worden waren. 2024 legte ein Stromausfall den GSM-R-Knoten im Raum Frankfurt lahm. Jetzt, 2026, wieder — die Ursache diesmal noch offen. Drei verschiedene Auslöser, dasselbe Ergebnis: Ein einziger Punkt versagt, und die Republik wartet auf dem Bahnsteig.
Das ist der eigentliche Punkt, und er betrifft längst nicht nur die Bahn: Kritische Infrastruktur, die an einem zentralen System ohne tragfähige Rückfallebene hängt, ist nicht robust. Sie ist nur noch nicht ausgefallen — bis zum nächsten Mal. (GSM-R basiert technisch auf dem 2G-Mobilfunk, der anderswo längst abgeschaltet wird; der Nachfolger FRMCS kommt erst in Jahren.)
Quelle: Deutsche Bahn (Sprecher gegenüber dpa), via t-online
▸ Souveränität · ▸ Security
[l] Permalink
22. Juni 2026
KI-Systeme bekommen alles, was sie verarbeiten, in „Rollen“ verpackt: das System (die Grundregeln), den Nutzer (du), das Werkzeug (Daten von außen) und das interne Nachdenken des Modells. Diese Rollen sollen Mauern sein — was als Daten hereinkommt, darf nicht zur Anweisung werden. Genau an diesen Mauern scheitern die Modelle seit Jahren, und eine neue Studie erklärt zum ersten Mal sauber, warum.
Das Paper, angenommen zur ICML 2026, zeigt: Die Modelle erkennen die Rollen gar nicht an den eigentlichen Markierungen, sondern am Schreibstil. Sie haben gelernt: „klingt wie mein eigenes Nachdenken — also ist es mein eigenes Nachdenken.“ Der Stil schlägt die echte Kennzeichnung. Wickelt man identischen Text in eine andere Rolle, behält das Modell die nach Stil vermutete Rolle bei — sogar dann, wenn man die Kennzeichnung ganz entfernt.
Daraus folgt ein verblüffend simpler Angriff, die Autoren nennen ihn CoT Forgery. Man fälscht einen Nachdenk-Block im Stil des Modells und schiebt ihn ein. Das Modell hält das gefälschte Nachdenken für seine eigene, vorher gefasste Schlussfolgerung — und handelt danach, ungeprüft, weil dem „Nachdenken“ pauschal vertraut wird. Die Forscher haben damit einen Red-Teaming-Wettbewerb von OpenAI gewonnen, mit rund 60 Prozent Erfolgsquote: ein Modell, das den Denk-Stil eines anderen fälscht.
Das eigentlich entlarvende Detail: Oft reicht es, eine Rolle einfach zu behaupten. Ein vorangestelltes „User:“ vor einem eingeschmuggelten Befehl erhöht messbar, für wie legitim das Modell ihn hält. Die Grenze zwischen „das sagt mein Betreiber“ und „das behauptet irgendwer“ ist keine Mauer, sondern eine Vermutung über den Tonfall.
Und wie immer lohnt der nüchterne Blick auf die Zahlen. Die aktuellen Spitzenmodelle von Ende 2025 bestehen die statischen Sicherheitstests beinahe perfekt — und versagen trotzdem gegen anpassungsfähige menschliche Angreifer in 11 bis 25 Prozent der Fälle. Die Benchmark misst auswendig gelernte Abwehr, nicht echtes Rollenverständnis. Das eine ist brüchig, das andere fehlt noch ganz.
Das ist mehr als ein technisches Kuriosum. Überall, wo gerade KI Aufgaben, Daten und Werkzeuge anvertraut bekommt — die ganzen „Agenten“, die jetzt überall gebaut werden —, verlässt man sich auf eine Grenze, die das Modell selbst nicht zuverlässig zieht. Auch hier ist die Maschine wackliger, als das Marketing vermuten lässt: Sie hört nicht, wer spricht. Sie rät es am Ton.
Quelle: Ye, Cui, Hadfield-Menell — Prompt Injection as Role Confusion (ICML 2026)
▸ KI & Macht · ▸ Security
[l] Permalink