Es ist das Ende einer Ära: Der Anbieter AOL stellt seinen Dienst, über den man sich seit 1990 per Modem ins Internet einwählen konnte, endgültig zum zum 30. September 2025 ein.

Knappe Meldung über die Einstellung

Das Ganze geht aus einer kurzen Meldung Dial-up Internet to be discontinued hervor. Es heißt, AOL hat beschlossen, den Dial-up-Internetzugang einzustellen. Dieser Dienst wird in den AOL-Tarifen nicht mehr verfügbar sein. Infolgedessen werden dieser Dienst und die zugehörige Software, die AOL Dialer-Software und der AOL Shield-Browser, die für ältere Betriebssysteme und Dial-up-Internetverbindungen optimiert sind, am 30. September 2025 eingestellt.

Ich denke, in Deutschland und Europa hat das keine praktischen Auswirkungen mehr – möglicherweise gibt es in den USA und Kanada noch einige Leute, die sich per Modem ins Internet einwählen.

AOL Erfolgsgeschichte und Niedergang

Das Unternehmen wurde 1985 in Dulles, Virginia von Jim Kimsey als Quantum Computer Services aus den Überresten der 1983 gegründeten Control Video Corporation (CVC) gegründet, die einen Onlinedienst für den Atari 2600 anbot.

Kurz vor dem Start des World Wide Web – um 1990 – also konkurrierten mehrere amerikanische Online-Anbieter um den Zugang zu Online-Dienste. Der größte Anbieter war der Online-Pionier CompuServe. CompuServe habe ich seit 1993 selbst für den Online-Zugang genutzt – und konnte zeitnah auch über den Anbieter auf das World Wide Web – heute als Internet bezeichnet – zugreifen. Ich hatte meine CompuServe E-Mail-Adresse und sogar eine CompuServe-Homepage.

Und dann kam AOL (America Online) auf die Bildfläche. Die Wikipedia schreibt, dass AOL, im Unterschied zum in die Jahre gekommenen CompuServe mit seiner kargen Benutzeroberfläche, auf eine neue Generation von Nutzern zuging. AOL habe eine ansprechende farbenfrohe Software für den Zugang zu seinem Netz bereitgestellt. 1991 erschien der AOL-Onlinedienst erst für MS-DOS und ein Jahr später für Windows. 1996 wurde das Bezahlmodell von AOL von Stundengebühren auf eine monatliche Flatrate umgestellt.

Erinnerungsmäßig hatte ich so ab 1994 auch einen AOL-Zugang, bei dem eine bestimmte Stundenzahl gesponsort wurde, so dass die Einwahl frei war. Ich habe dann bei Online-Sitzungen die Einwahl per Modem immer zwischen CompuServe und AOL aufgeteilt, um die Freivolumen bestmöglich zu nutzen. Später kamen dann die Dialer hinzu, bei denen man mit wechselnden Minutenpreisen günstiger als bei AOL auskam.

So 1999 gab es mit Boris Becker die AOL-Kampagne “bin ich schon drin”, in der der einfache AOL-Zugang beworben wurde. Der Dienst AOL startete damals regelrecht durch – der Niedergang kam, als die Zugänge über Dialer und dann per DSL mit Flatrate bereitgestellt wurden.

AOL und die CDs der 90er Jahre

So Leute, die etwas älter sind, erinnern sich noch an die Zeiten, als alle Welt mit Gratis AOL-CDs, die die Einwahlsoftware für das Internet enthielten, überschwemmt war. Jede Computerzeitschrift kam mit solchen CDs daher.

In den USA wurde dann 2021 die Aktion “No More AOL CDs” ins Leben gerufen, um die Verteilung der AOL-Einwahl-CDs zu stoppen. Gab also damals ziemliche “Umwelt-Schweine” – mangels CDs ist das heute Geschichte. Aber heute gibt es andere Sündenfälle in Bezug auf Nachhaltigkeit und Umweltschutz.

Im deutschen Arbeitsrecht gilt grundsätzlich : Vor einer verhaltensbedingten Kündigung ist eine Abmahnung auszusprechen. Doch es gibt Ausnahmen. Ein aktuelles Urteil des Landesarbeitsgerichts Niedersachsen (LAG) liefert einen eindrucksvollen Fall, in dem die Abmahnung entbehrlich war: wenn ein Vorgesetzter mehrfach Angestellte belästigt (Urteil vom 29.04.2025 – 11 SLa 472/24).

Was ist eine verhaltensbedingte Kündigung?

Eine verhaltensbedingte Kündigung gemäß § 1 Abs. 2 KSchG setzt voraus:

• der Arbeitnehmer verletzt seine arbeitsvertraglichen Pflichten erheblich,
• es erscheint unwahrscheinlich, dass sich der Arbeitnehmer in Zukunft an die Regeln hält (negative Prognose),
•  
• der Arbeitgeber hat kein milderes geeignetes Mittel (wie eine Abmahnung)
• für den Arbeitgeber ist es unzumutbar, den Arbeitnehmer weiterzubeschäftigen, d.h. das Interesse des Arbeitgebers an der Beendigung überwiegt das Interesse des Arbeitnehmers an der Weiterbeschäftigung.

Der Fall: Wiederholte sexuelle Belästigung im Hotelbetrieb

Im zu entscheidenden Fall war der Arbeitnehmer Restaurantleiter eines 4-Sterne-Hotels und für rund 70 Mitarbeitende verantwortlich. Ihm wurden durch fünf Zeuginnen gravierende sexuelle Übergriffe vorgeworfen: unerwünschte körperliche Nähe, sexuell konnotierte Sprüche, Versuche des Küssens, Drücken seines erigierten Gliedes gegen das Gesäß einer Mitarbeiterin und das Knabbern am Ohrläppchen einer anderen.

Der Arbeitnehmer zweifelte die Schilderungen der Mitarbeitenden an.

Das LAG stellte jedoch fest, dass der Arbeitnehmer sich insbesondere gegenüber jüngeren, ihm hierarchisch unterstellten Kolleginnen wiederholt übergriffig verhalten hatte. Das Gericht hielt die Aussagen der Zeuginnen für glaubhaft und detailliert. Eine vorherige Abmahnung sei angesichts der Schwere der Pflichtverletzungen entbehrlich gewesen.

Sexuelle Belästigung: Definition und arbeitsrechtliche Folgen

Nach dem Allgemeinen Gleichbehandlungsgesetz liegt eine Benachteiligung durch sexuelle Belästigung vor, wenn ein sexuell bestimmtes Verhalten bezweckt oder bewirkt, dass die Würde der betroffenen Person verletzt wird. Bereits einmalige Übergriffe können sexuelle Belästigung in diesem Sinne sein. Der Arbeitgeber ist verpflichtet, seine Mitarbeitenden wirksam zu schützen – auch durch arbeitsrechtliche Maßnahmen wie Versetzung, Abmahnung oder eben Kündigung.

Ist eine Abmahnung bei sexueller Belästigung immer notwendig?

Nein. Das Ultima-Ratio-Prinzip im Kündigungsschutzrecht sieht die Abmahnung als Regelfall vor. Doch sie ist entbehrlich, wenn:

• erkennbar ist, dass keine Verhaltensänderung zu erwarten ist, auch wenn der Arbeitgeber den Arbeitnehmer abmahnen würde oder
• die Pflichtverletzung so schwer wiegt, dass selbst eine erstmalige Hinnahme unzumutbar und offensichtlich ausgeschlossen ist.

Im besagten Fall stellte das Gericht klar: Die Belästigungen waren so gravierend, dass das Vertrauensverhältnis nachhaltig zerstört war. Die Kündigung wegen Belästigung war somit auch ohne Abmahnung wirksam.

Wiederholungskündigung: Darf man dieselben Gründe nochmals verwenden?

Der Arbeitnehmer argumentierte, dass es sich um eine unzulässige Wiederholungskündigung handele, da dieselben Vorwürfe bereits in einem Verfahren wegen einer früheren Kündigung Thema waren. Das LAG wies dies zurück: Die erste Kündigung wurde per Versäumnisurteil gekippt, ohne dass das Gericht die Gründe materiell geprüft hatte. Eine Präklusion liege daher nicht vor.

Fazit: Klare arbeitsrechtliche Linie gegen sexuelle Belästigung

Dieses Urteil zeigt deutlich: Bei schwerwiegenden Fällen sexueller Belästigung, insbesondere durch Vorgesetzte, ist eine Kündigung auch ohne vorherige Abmahnung zulässig und erforderlich. Arbeitgeber sind gesetzlich verpflichtet, ihre Mitarbeitenden zu schützen und Belästigung nicht zu tolerieren.

Tipp für Arbeitgeber:

Dokumentieren Sie Fälle der sexuellen Belästigung bzw. Übergriffe gründlich und prüfen Sie stets, ob eine Abmahnung erforderlich ist oder nicht. Das Prozedere ist allerdings nicht so genau wie in einem Mobbingsfall in Frankreich.

Tipp für Arbeitnehmer:

Sexuelle Belästigung kann auch ohne Wiederholungsfall zur Beendigung des Arbeitsverhältnisses führen.

Wer in leitender Funktion pmit einem Team ist, trägt besondere Verantwortung im Kontext sexueller Belästigung im Team.

Françoise Berton, französische Rechtsanwältin

Alle Urheberrechte vorbehalten

Bild: Photographee.eu

[English]Sicherheitsforscher von Check Point haben eine schwerwiegende Sicherheitslücke im KI-Entwickler-Tool Cursor gefunden. Die von Check Point als MCPoison bezeichnete Schwachstelle (CVE-2025-54136) ermöglicht Angreifern über das MCP-System von Cursor, schädlichen Code in die Projekte der Nutzer einzuschleusen. Das ist ein Paradebeispiel für neuartige Lieferketten-Angriffe in KI-gestützten Entwickler-Umgebungen.

Check Point Research (CPR) hat eine kritische Schwachstelle im KI-basierten Coding-Tool Cursor entdeckt, die es Hackern erlaubt, dauerhaft Remote-Code auszuführen. CPR kam der Schwachstelle (CVE-2025-54136) bei der Untersuchung von Sicherheitsmodellen innerhalb von MCP-Systemen KI-unterstützter Coding-Tools auf die Schliche. Die Sicherheitslücke betrifft das Model Context Protocol (MCP) von Cursor und kann zur wiederholten Einschleusung von schädlichem Code missbraucht werden. 

Was ist Cursor?

Bei Cursor handelt es sich um eine IDE (Integrierte Entwicklungsumgebung), die eines der am schnellsten wachsenden KI-gestützten Coding-Tools ist. Cursor kombiniert die lokale Code-Bearbeitung mit leistungsstarken LLM-Integrationen, um Teams beim Schreiben, Debuggen und Durchsuchen von Code zu helfen. Aufgrund seiner Flexibilität wird Cursor zunehmend von Startups, Forschergruppen und einzelnen Entwicklern eingesetzt, die KI-Tools direkt in ihre Entwicklung integrieren möchten.

Die zunehmende Beliebtheit hat CPR veranlasst, sich das Sicherheitsmodell hinter diesen Tools genauer anzuschauen. In das Blickfeld der Untersuchung geriet das MCP-System von Cursor. Dabei handelt es sich um Konfigurationsdateien, die Cursor mitteilen, wie bestimmte Aufgaben zu automatisieren sind. Entwickler können über diese Funktion verschiedene Tools, Skripte oder KI-gesteuerte Workflows direkt in ihre Programmierumgebung einbinden.

CPR untersuchte, ob Cursor Code-Änderungen innerhalb von MCP angemessen berücksichtigt. Bei der kollaborativen Entwicklung kommen Bearbeitungen häufig vor und jede Lücke in der Validierung kann zu Befehlsinjektionen, Code-Ausführung oder dauerhaften Kompromittierungen führen.

Wie die Sicherheitslücke funktioniert

Wenn ein Benutzer ein Projekt öffnet, das eine MCP-Konfiguration enthält, zeigt Cursor eine einmalige Genehmigungsaufforderung an, in der gefragt wird, ob der Nutzer der Konfiguration vertraut. Doch hier liegt das Problem: Sobald ein MCP genehmigt ist, wird er von Cursor nie wieder überprüft, selbst wenn die darin enthaltenen Befehle später stillschweigend geändert werden.

Das bedeutet, dass ein Angreifer, der mit demselben gemeinsamen Repository arbeitet, eine sicher erscheinende MCP-Konfiguration zu einem Projekt hinzufügen und dann darauf warten kann, dass jemand anderes aus dem Team sie abruft. Diese Konfiguration kann er später für bösartige Zwecke nutzen, zum Beispiel, um ein Skript zu starten, eine Hintertür zu öffnen oder Daten an einen externen Server zu senden. Jedes Mal, wenn das Opfer das Projekt in Cursor öffnet, wird der neue Befehl automatisch ausgeführt, ohne eine neue Eingabeaufforderung oder Warnung auftauchen zu lassen.

CheckPoint hat die technischen Einzelheiten und ein Demo-Video des Angriffs in diesem Artikel veröffentlicht. 

Warum die Sicherheitslücke gefährlich ist

CPR fand genau das: eine schwerwiegende Schwachstelle im MCP-System von Cursor, die eine dauerhafte Remotecode-Ausführung (RCE) ermöglicht. Sobald ein Benutzer eine MCP-Konfiguration genehmigt hat, kann ein Angreifer deren Verhalten unbemerkt ändern. Von diesem Moment an können bösartige Befehle jedes Mal ausgeführt werden, wenn das jeweilige Projekt ohne weitere Aufforderungen oder Benachrichtigungen geöffnet wird. Ein Angreifer kann in diesem Fall:

• eine harmlos aussehende MCP-Konfiguration zu einem freigegebenen Repository hinzufügen.
• warten, bis das Opfer den Code abruft und ihn einmal in Cursor IDE freigibt.
• die MCP-Konfiguration durch eine bösartige Nutzlast ersetzen.
• jedes Mal, wenn das Opfer Cursor öffnet, unbemerkt und dauerhaft Code ausführen.

In gemeinsam genutzten Programmierumgebungen verwandelt die Schwachstelle einen vertrauenswürdigen MCP in einen versteckten, kontinuierlichen Angriffspunkt. Für Unternehmen, die sich auf KI-Tools wie Cursor verlassen, hat dies schwerwiegende Folgen: unbemerkter, ständiger Zugriff auf Entwicklerrechner, Anmeldedaten und Code-Fundamente, ausgelöst durch eine einzige Genehmigung.

Auswirkungen in der realen Welt

Da in vielen Unternehmen Projekte über Repositories gemeinsam genutzt und synchronisiert werden, bietet diese Schwachstelle Angreifern eine ideale Möglichkeit, langfristig und unbemerkt Fuß zu fassen.

• Das macht die Schwachstelle gefährlich: Es gibt ein stilles Fortbestehen von bösartigem Code- Jedes Mal, wenn ein Nutzer das Projekt öffnet, wird (bösartiger) Code ausgeführt, ohne eine Benachrichtigung der Benutzer oder das Erfordern weiterer Genehmigungen. Das bedeutet, dass Angreifer auf unbestimmte Zeit Zugriff auf das Projekt erhalten können.
• Große Angriffsfläche: Jeder Entwickler mit Schreibzugriff auf ein gemeinsam genutztes Repository kann diese vertrauenswürdige MCP-Konfiguration einspeisen und ändern, wodurch ganze Teams und Organisationen gefährdet werden.
• Risiken der Privilegien-Eskalation: Auf den Rechnern von Entwicklern sind häufig sensible Anmeldedaten, Cloud-Zugangsschlüssel oder andere sensible Informationen lokal gespeichert. Ein Angreifer, der diese Schwachstelle ausnutzt, kann den Zugriff auf Unternehmensnetzwerke erweitern.
• Offenlegung von Daten und Code: Neben der direkten Ausführung von Code könnten Angreifer unbemerkt Quellcode, geistiges Eigentum oder interne Kommunikation ausspähen.
• Vertrauen in KI-Tools wird untergraben: Da KI-Tools wie Cursor immer stärker in die Software-Entwicklung integriert werden, muss ihr Sicherheitsmodell hieb- und stichfest sein. Diese Schwachstelle verdeutlicht die Gefahren von blindem Vertrauen in automatisierte Arbeitsabläufe.

Für Unternehmen, die sich auf Cursor und ähnliche KI-gestützte IDEs verlassen, ist das Verständnis und die Behebung dieser Schwachstelle entscheidend für den Schutz ihrer Entwicklungsumgebungen und sensiblen Ressourcen.

Um Schwachstelle in KI-gestützten Entwicklungsumgebungen zu entschärfen, empfiehlt CPR:

• MCP-Konfigurationsdateien als Angriffsfläche behandeln: Genau wie der Quellcode sollten auch Automatisierungsskripte und MCP-Konfigurationsdefinitionen sorgfältig geprüft, auditiert und über Versionen kontrolliert werden.
• Implizites Vertrauen in KI-gesteuerte Automatisierungen vermeiden: Auch dann, wenn ein MCP oder ein Vorschlag harmlos aussieht, sollten Nutzer sicherstellen, dass alle Team-Mitglieder verstehen, was dieser tut, bevor man ihn genehmigt.
• Schreibrechte in kollaborativen Umgebungen einschränken: Sicherheitsverantwortliche sollten kontrollieren, wer vertrauenswürdige Konfigurationsdateien ändern darf, insbesondere in gemeinsam genutzten Repositories.

„KI-gestützte Entwickler-Tools verändern die Software-Entwicklung, schaffen aber auch neue Angriffsflächen, die das Vertrauen der Entwickler ausnutzen wollen”, so Oded Vanunu, Chief Technologist & Head of Product Vulnerability Research bei Check Point Software Technologies: „MCPoison zeigt, wie einfach Automatisierung und Komfort für heimliche, langfristige Ausbeutung in kollaborativen Programmierumgebungen missbraucht werden können.”

Verantwortungsvolle Offenlegung und Entschärfung

Nach der Entdeckung dieser Schwachstelle hat Check Point Research das Cursor-Entwickler-Team am 16. Juli 2025 verantwortungsbewusst über das Problem informiert. Cursor veröffentlichte am 30. Juli 2025 einen Fix.

Weitere Informationen finden sich im Beitrag Cursor IDE: Persistent Code Execution via MCP Trust Bypass im CPR-Blog.

Mal ein Thema abseits der IT, was aber Berührungspunkte mit der IT bekommt. Derzeit träumen in den USA ja die KI-Anbieter davon, den von den Modellen erzeugten Stromhunger mittels Atomkraftwerken zu stillen. Neue Reaktortypen sollen her. Dabei ist gänzlich ungeklärt, was mit Reaktorabfällen passiert. Gerade hat man auf dem Gelände einer stillgelegten Atomanlage, die als Abfalllager für radioaktive Abfälle dient, radioaktive Wespennester gefunden.

Ich bin auf Mastodon durch Zufall auf die betreffende Information gestoßen. Slashdot hat die Zusammenfassung des Sachverhalts in diesem Artikel gepostet.

Radioaktive Wespennester auf Gelände von Atomanlage

Die Washington Post berichtete Anfang Juli 2025, dass Anfang Juli 2025 auf dem Gelände einer aufgegebenen, weitläufigen Atomanlage aus der Zeit des Kalten Krieges in South Carolina ein “radioaktives” Wespennest gefunden wurde. Das Wespennest weist eine Strahlenbelastung auf, die zehnmal so hoch wie nach den US-Bundesvorschriften zulässig ist.

Letzten Freitag (1. August 2025) gaben Bundesbeamte den Fund von mindestens drei weitere kontaminierte Wespennester auf dem Gelände bekannt. Das 310 Quadratmeilen (ca. 500 Quadratkilometer) große Gelände der Savannah River Site wird heute teilweise als Lagerstätte für radioaktive Flüssigabfälle genutzt. Das Gelände ist mehr als viermal so groß ist wie der US District of Columbia mit der Hauptstadt Washington.

Keine unmittelbare Gefahr

Laut Behörden droht keine akute Gefahr, die Funde stellten keinen Grund zur Beunruhigung dar. Laut Experten deute die Entdeckung von Radioaktivität in Wildtieren in der Nähe von Nuklearanlagen nicht unbedingt auf die Wahrscheinlichkeit eines größeren Lecks hin.

Es gibt wohl eine Presseerklärung von Edwin Deshong, Leiter des Amtes für Umweltmanagement der Savannah River Site. Diese besagt, dass die Wespennester „sehr geringe radioaktive Kontamination” aufwiesen. Dies stelle keine Gesundheitsrisiken für die Arbeiter der Anlage, die Anwohner oder die Umwelt darstellten.

In dieser Erklärung heißt es, dass die 43 aktiven unterirdischen Abfalltanks der Savannah River Site mehr als 34 Millionen Gallonen (163 Millionen Liter) radioaktiver Flüssigabfälle enthalten. Die ältesten Tanks wiesen zuvor „kleine Haarrisse” auf, die zu geringfügigen Leckagen führten, wie das Savannah River Site auf seiner Website mitteilt.

Das Tanklager befindet sich weit innerhalb der Grenzen des Geländes, und Wespen fliegen in der Regel nur wenige hundert Meter von ihren Nestern entfernt. Es bestehe keine Gefahr, dass die radioaktiven Wespen sich außerhalb der Anlage aufhalten, heißt es in einer Erklärung von Savannah River Mission Completion. Diese ist nun für die Überwachung des Geländes zuständig. Gefundene Wespen hätten deutlich niedrigere Strahlungswerte als ihre Nester aufgewiesen.

Also: Gehen Sie weiter, es gibt nichts zu sehen. Tanks lecken zwar ein wenig, aber das Gelände ist so weitläufig, dass niemand gefährdet ist, auch nicht durch radioaktive Wespen. Ob da Grundwasserflüsse durch radioaktive Flüssigkeiten gefährdet werden, wird nicht mitgeteilt. Irgendwann wird man das Gelände sanieren müssen, denn man geht davon aus, dass dort Bereiche radioaktiv kontaminiert sind.

Genau solche Vorfälle, und alles das, was die Öffentlichkeit nicht erfährt oder nicht wahrnimmt, hat mich zur Meinung gebracht, dass der Beschluss zum Atomausstieg nicht die schlechteste Entscheidung war. Positiv: Bundesumweltminister Schneider hat kürzlich in einem Interview mit dem Deutschlandfunk gesagt, dass es in Deutschland beim Atomausstieg bleibe. Die Zeit hatte die DPA-Meldung aufgegriffen.

Heute noch ein Sammelbeitrag zu Sicherheitsmeldungen, die mir die letzten Tage untergekommen sind, aber aus Mangel an Zeit nicht in separaten Artikeln aufgegriffen wurden. Der reine Wahnsinn, was wieder an Schwachstellen, Cybervorfällen und neuen Erkenntnissen los ist.

ShinyHunters Salesforce-Hacks (Qantas, Allianz Life,  LVMH)

In den letzten Wochen wurden ja einige Cyber-Vorfälle bei diversen Firmen wie Qantas, Allianz Life,  LVMH bekannt. Ich hatte z.B. im Beitrag Allianz Life Hack, Mehrheit der 1,6 Mio. Kunden betroffen über einen Datenabfluss berichtet, wo bei ein Dienstleister involviert war. Die Kollegen von Bleeping Computer berichten in diesem Artikel, dass die Gruppe ShinyHunter hinter diesen Hacks stehen und diese über Systeme des Anbieters Salesforce ausführen konnten.

Die Salesforce, Inc. mit Sitz in San Francisco ist ein börsennotiertes US-amerikanisches Softwareunternehmen, das Cloud-Computing-Produkte für Unternehmen anbietet. Das Unternehmen gilt als der weltgrößte Cloud-Softwareanbieter für Unternehmen. Auf der Unternehmensseite heißt es “Mit Salesforce, dem weltweit führenden CRM mit KI, können Unternehmen CRM, KI, Daten und Trust auf einer einheitlichen Einstein 1 Platform zusammenführen”. Und ich hatte im Juni 2025 berichtet, dass es Angriffe auf Salesforce-Instanzen per Vishing gebe (Hackergruppe UNC6040 greift Salesforce-Instanzen per Vishing an).

Gehe ich in den Artikel von Bleeping Computer, finden sich genau diese toxischen Kombinationen: ShinyHunters hat wohl das SalesForce CRM gehackt und hatte so Zugriff auf die Daten und IT-Systeme. Gegenüber Bleeping Computer bestätigte ein Allianz-Sprecher “Am 16. Juli 2025 verschaffte sich ein böswilliger Angreifer Zugang zu einem cloudbasierten CRM-System eines Drittanbieters, das von der Allianz Life Insurance Company of North America (Allianz Life) genutzt wird.” Konnte ja auch keiner ahnen, dass Angreifer auch noch böswillig handeln und auf dieses SalesForce zielen. Bei Quantas wird SalesForce zwar nicht genannt, aber der Name wird in Berichten gehandelt. Früher gab es den doofen Spruch “Ist Software, da kannst Du nix machen” – heute gilt “Ist SalesForce, kann man nix machen” (ok, man könnte noch ein bisschen Cloud und AI drunter mischen, dann ist es belegt, den armen Anwender trifft keine Schuld. Womit auch das geklärt wäre.

Tea-App Datenabfluss und Sicherheitslücken

Zum 27. Juli 2025 berichtete Norddeutsch im Diskussionsbereich von einem Datenverlust bei der tea-App. Die App nutzt höchst sensible Daten. Dating-Partner werden mit folgenden Technologien durchleuchtet:

• Background checks
• Catfish image search
• Sex offender search
• Phone number lookup
• Criminal record search

Die App bzw. der Anbieter versprach “sicheres” Dating für Frauen (die konnten Männer bewerten), mit Chat, Images, etc. Tea gibt an, mehr als 4 Millionen Nutzer (Frauen) zu haben.

Gut, wenn die Hormone beteiligt sind, lockt das große Geld und der Verstand ist nicht immer dabei. Ganz schlecht ist es, wenn auch noch Sicherheit versprochen wird. Es passierte das, was passieren musste. Es gab am 25. Juli 2025 einen unbefugten Zugriff auf eine ältere Datenbank, in der Daten bis 2024 gespeichert waren. Dabei wurden 72.000 Fotos, Selfies oder 12.000 IDs, 59.000 Posts, Kommentare oder Direktnachrichten abgezogen wurden (die Webseite von Tea legt den Vorfall offen).

Die Kollegen von Bleeping Computer berichten, dass ein anonymer Nutzer auf 4chan berichtete, dass  Tea einen ungesicherten Firebase-Speicherbucket verwendet habe, um von Mitgliedern hochgeladene Führerscheine und Selfies zu speichern. Die Dokumente dienten zum überprüfen, ob es sich um Frauen handelt. Auf dem Speicherbucket wurden auch Fotos und Bilder, die in Kommentaren geteilt wurden, abgelegt. Auch 9to5mac berichtete über den Vorfall.

Ingram Micro Hack: SafePay droht mit Datenleck

Anfang Juli 2025 berichtete ich im Beitrag Ingram Micro hat Ransomware-Infektion erlitten, dass der Distributor von IT-Waren (Lizenzen, Hardware) Opfer einer Ransomware-Infektion wurde. Die Ransomware-Gruppe SafePay war wohl verantwortlich und droht nun mit der Veröffentlichung von 3,5 TB an Daten von Ingram Micro. Die Details haben die Kollegen von Bleeping Computer zusammen getragen.

wird fortgesetzt

Ähnliche Artikel:
Allianz Life Hack, Mehrheit der 1,6 Mio. Kunden betroffen
Allianz droht Milliarden-Risiko wegen “mangelhafter” IT durch BAFIN-Auflagen
Hackergruppe UNC6040 greift Salesforce-Instanzen per Vishing an
Datenleck bei Louis Vuitton Malletier (2. Juli 2025)

[English]Kleiner Sammelbeitrag rund um BIOS- und UEFI-Updates auf Mainboard. Auf Boards mit AMD-Chips gibt es einen TPM-Bug, der weitgehend ungefixt bleibt, weil es keine Updates der Board-Hersteller gibt. Und GIGABYTE hat BIOS-Updates veröffentlicht, um Schwachstellen zu beheben.

Kein Update: AMD TPM-Bug bleibt ungefixt

In der AMD-Community gibt es seit Februar 2023 den Beitrag Baffling Windows 11 TPM Bug Is Wreaking Havoc On Some AMD Ryzen Systems zu einem TPM-Problem. Windows kann dann fTPM auf den betreffenden Plattformen nicht erkennen. Die betreffende TPM-Prüfung endet dann mit dem Fehlercode 0x80070490. Der Community-Beitrag enthält eine umfangreiche Aufbereitung und verlinkt auch Quellen von Betroffenen.

Der Bug scheint aber Besitzer von AMD-Systemen seit 2022 zu nerven. AMD hat nun Anfang Juli 2025 diesen Supportbeitrag reagiert (ist z.B. hier und hier aufgefallen). Im Beitrag gibt AMD an, dass man dieses Problem mit TPM-Firmware-Updates bereits gelöst haben. Betroffen waren bzw. sind Systeme mit Desktop- und Notebook-Prozessoren der Serien Ryzen™ 1000 – Ryzen 5000. Den Motherboard-Herstellern wurden von AMD bereits im Jahr 2022 entsprechende Fixes zur Verfügung gestellt.

Wenn der Bug also aktuell noch auftritt, heißt dies, dass die betreffenden Firmware-Updates für das Mainboard nicht eingespielt wurden. Der Ratschlag ist, sich beim Hersteller des Motherboard nach entsprechenden Firmware-Updates, die den Bug beheben, zu erkundigen. AMD merkt aber auch an, dass einige Motherboard-Hersteller sich dafür entschieden haben, diese TPM-Firmware-Updates nicht weiterzuverbreiten.

GIGABYTE BIOS-Update fixt Schwachstellen

Shawn Brink weist in nachfolgendem Tweet darauf hin, dass Hersteller GIGABYTE BIOS-Updates für seine Mainboards veröffentlicht hat, die mehrere Schwachstellen im System Management Mode (SMM), die in einigen älteren GIGABYTE/AORUS Consumer-Motherboards verwendet werden, schließen.

GIGA-BYTE Technology Co., Ltd. hat mehrere Schwachstellen in den System Management Mode (SMM)-Modulen identifiziert, die in verschiedenen älteren GIGABYTE/AORUS Consumer-Motherboards verwendet werden. Diese Schwachstellen bestehen nur auf älteren Intel-Plattformen, auf denen die betroffenen SMM-Module implementiert sind. Neuere Plattformen sind nicht betroffen.

Die erfolgreiche Ausnutzung dieser Schwachstellen kann es einem Angreifer mit lokalem Zugriff ermöglichen, seine Privilegien zu erhöhen oder beliebigen Code innerhalb der hochprivilegierten SMM-Umgebung auszuführen. Die Details hat er im ElevenForum beschrieben.

Besitzer von Solaranlagen mit SMA Sunny Tripower Smart Energy Hybrid Wechselrichter steht Ärger ins Haus, wenn diese den Heimspeicher BMZ Hyperion 7.5 (inklusive der Varianten von IBC Solar und AXITEC) verwenden. SMA hat die Firmware-Update für betroffene Anlagen gesperrt, weil es einen Inkompatibilität gibt. Der Sunny Tripower Smart Energy könnte mit der neuen Firmware (Version 3.06.18.R) die Batterie mit nur drei Modulen weder laden noch entladen, heißt es.

Sunny Tripower Smart Energy

Der Sunny Tripower Smart Energy ist ein 3-phasige Hybrid-Wechselrichter für Eigenheime, der von SMA für Solaranlagen vermarktet wird.

Anwender sollen mit dem Sunny Tripower Smart Energy Wechselrichter einfach und komfortabel Solarstrom erzeugen, nutzen und speichern können. Das System wird als sich jederzeit zu erweitern beworben und soll auch Elektromobilität oder Wärmepumpen einbinden.

Die integrierte Ersatzstromfunktion sichert die Stromversorgung des Haushalts auch beim Netzausfall. Solaranlagen im Eigenheim werden so zu ganzheitlichen und intelligenten Energiesystemen mit bis zu 100 Prozent solarer Eigenversorgung, heißt es in der Werbung.

Ich habe das Gerät selbst im Einsatz – es ist kompakt und speist auch einen Batteriepack mit überschüssigem Solarstrom. Die “Stromversorgung bei Netzausfall” bedeutet aber konkret, dass ich drei Stromkreise vorgeben musste, wo die betreffende Notstromeinspeisung erfolgt. Ein gesamtes Haus mit Notstrom zu versorgen, erfordert – jenseits der Batteriekapazität auch einen sehr teure Funktion zur Netztrennung.

Heimspeicher BMZ Hyperion 7.5

Der Sunny Tripower Smart Energy kann mit einem Heimspeicher BMZ Hyperion 7.5 (inklusive der Varianten von IBC Solar und AXITEC) kombiniert werden, um überschüssigen Solarstrom zu speichern.

Der BMZ Hyperion 7.5 lässt sich dabei mit Lithium-Ionen Modulen schrittweise erweitern. Die Minimalkonfiguration mit drei Modulen hat einen nutzbaren Energieinhalt von 7,5 kWh, welcher bei Bedarf in 2,5 kWh Abstufungen auf maximal 15 kWh erweitert werden kann.

Ich erinnere mich noch, dass es bei Beauftragung der Solaranlage in 2022 hieß, dass die Lieferung und Inbetriebnahme vor Herbst 2023 nicht erfolgen könne, weil der BMZ Hyperion 7.5 von SMA auf Kompatibilität abgenommen werden müsse.

Inkompatibilität mit Heimspeicher festgestellt

Nun informiert SMA Betreiber von Anlagen mit dem Sunny Tripower Smart Energy, bei denen ein Heimspeicher BMZ Hyperion 7.5 (inklusive der Varianten von IBC Solar und AXITEC) im Einsatz ist, über eine Firmware-Update-Sperre.

In einer Meldung, die mir zugegangen ist, heißt es, dass diese Systemkonfiguration für den SMA-Wechselrichter nicht freigegeben  ist (siehe Zugelassene Batterien). SMA gibt an, dass diese Kombination im Rahmen der Erhöhung der Reglerstabilität für weitere Firmwareupdates gesperrt werden musste. Der Sunny Tripower Smart Energy könnte mit der neuen Firmware (Version 3.06.18.R) die Batterie mit nur drei Modulen weder laden noch entladen.

SMA erklärt den Hintergrund so: Laut Datenblatt des Sunny Tripower Smart Energy liegt der freigegebene Spannungsbereich auf der Batterieseite bei 150 V bis 600 V. Die Batterien des BMZ Hyperion 7.5 stellen eine zu geringe Spannung zur Verfügung (min. 134 V), was zu einem nicht spezifikationskonformen Betrieb führt. Dieser kann zu Instabilitäten und langfristig zu Schäden am Wechselrichter und an der Batterie führen.

Um den Weiterbetrieb der betroffenen Anlage dennoch zu ermöglichen, wurde die Seriennummer des Wechselrichters auf eine Sperrliste für alle weiteren Firmware-Updates gesetzt. Das Firmware-Update (Version 3.06.18.R) wird für diese Anlage daher nicht ausgerollt.

Künftige Updates – etwa zur Fehlerbehebung, für die Sicherheit oder zur Erweiterung von Funktionen – stehen damit nicht mehr zur Verfügung. Damit die Anlage dauerhaft sicher genutzt werden kann, ist eine Erweiterung auf mindestens vier Batteriemodule notwendig, schreibt SMA. Aktuell klärt mein Solateur, wie diese Kuh vom Eis geholt werden kann – das sind die Überraschungen der negativen Art, die niemand brauchen kann – schöner Scheibenkleister.