Auf den Punkt: Angreifer etablieren Zugriff in Forschungssystemen und warten gezielt lange Zeiträume vor der Ausnutzung, um Entdeckung zu vermeiden.
Chinesische Angreifer haben sich in RedCap-Servern in Forschungseinrichtungen etabliert und warteten über ein Jahr, bevor sie ihre Position zur Datenexfiltration einsetzten. Das Vorgehen zeigt eine zeitlich verteilte Angriffsstrategie, die Erkennungsmechanismen umgehen soll.
Sicherheitsuntersuchungen haben ergeben, dass Angreifer mit chinesischem Hintergrund in RedCap-Instanzen (Research Electronic Data Capture) eingriffen, die an Forschungseinrichtungen betrieben werden. Die Angreifer etablierten ihren Zugriff, nutzen ihn jedoch erst nach mehr als einem Jahr aktiv aus — ein Muster, das längerfristige Aufklärungsoperationen charakterisiert.
RedCap ist ein webbasiertes System zur Erfassung und Verwaltung klinischer und epidemiologischer Forschungsdaten. An Hochschulen und Forschungsinstituten beherbergt es häufig sensible Informationen wie Patientendaten, Forschungsergebnisse oder biomekhanische Zugangsdaten. Das lange Lauern vor der Ausnutzung deutet auf planmäßiges Vorgehen hin: Die Angreifer vermeiden kurzfristig sichtbare Aktivitäten und zeitlich konzentrierte Zugriffsuster, um von Sicherheitstools oder manuellen Analysen nicht entdeckt zu werden.
Für CISOs bedeutet dieser Fall, dass der Fokus auf schnelle Angriffserkennung allein unzureichend ist. Längerfristige Sichtbarkeit in Zugriffsmustern, Out-of-Band-Kommunikation und Veränderungen an Konten und Berechtigungen — auch über Wochen und Monate — erfordern kontinuierliche Überwachung. Forschungseinrichtungen sollten RedCap-Systeme hinsichtlich unberechtigter Konfigurationsänderungen, Administrator-Aktivitäten und Datenabfragen prüfen.
Quelle: www.heise.de · Erschienen 16. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.