Christopher Kunz

Das ist schwer zu sagen.

Die zählen ja nicht streng monoton hoch, sondern die werden blockweise vergeben.

Also was wir ja in diesem Kontext auch noch nicht betrachtet haben, ist auch wieder ein Teil dieser Risikoabwägung und du hast ja gerade gefragt, was ist der Notstand?

Wir sind uns ja auch gar nicht klar, ob überhaupt irgendjemand, außer denen, die es dem BKA erzählt haben, diese Sicherheitslücke gefunden hat.

Weil der Hersteller sagt, wir haben keine Anzeichen gefunden.

dass ein erfolgreicher Exploit ausgeführt wurde.

Das ist ja auch nochmal immer ganz wichtig, das sehen wir dann ja auch, wenn wir zum Beispiel in die USA gucken, die CISA pflegt so eine Liste dieser Known Exploited Vulnerabilities, also der als ausgenutzt bekannten Schwachstellen, weil irgendeine Ransomware-Bande oder irgendwelche Threat Actors die ausgenutzt haben und das irgendwo mal in so einen

in so ein Threat Intelligence Feed reingefallen ist.

Und da steht diese Lücke nicht drauf.

Sie steht auch nicht auf irgendeinem Advise der britischen Cybersicherheitsbehörde.

Ich habe überhaupt noch nirgendwo anders, außer in Deutschland, was von dieser Sicherheitslücke und ihrem riesigen Gefahrenpotenzial gehört.

Und der Hersteller sagt, wir haben da auch keinen Nachweis.

Wir paraphrasieren das mal mit, es gibt keinen Indikator, dass da was kompromittiert wurde über diese Sicherheitslücke.

Und zwei Absätze weiter schreibt der gleiche Hersteller, hier sind übrigens so Webshells, die haben wir gefunden und die sind auf den Systemen gewesen und das sind Anzeichen für eine Kompromittierung.

Guckt mal lieber, ob die bei euch auf den Systemen auch drauf sind.

Im gleichen Advice, also der gleiche Artikel.

Das ist schon auch irgendwie ein bisschen seltsam.

Das ist so ein bisschen wie Schrödingers IOC.

Also es ist gleichzeitig ein Indikator, dass was kompromittiert wurde, möglicherweise.

Und es gibt keinen Indikator, dass was kompromittiert wurde.