Comretix Blog

Der KI-Verordnung der EU soll Künstliche Intelligenz und deren Einsatz umfassend regulieren. Doch wie passt dieses Gesetz zu den bestehenden Datenschutzregeln, insbesondere der Datenschutz-Grundverordnung (DSGVO)? In der aktuellen Folge des c't-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit Prof. Dr. Rolf Schwartmann, dem Vorsitzenden der Gesellschaft für Datenschutz und Datensicherheit (GDD).

Prof. Rolf Schwartmann beim Podcasten in der Auslegungssache

Schwartmann weist zunächst auf die unterschiedlichen Ziele beider Regelwerke hin. Während die DSGVO klare Vorgaben für den Umgang mit personenbezogenen Daten macht, ist die KI-Verordnung eine Produktregulierung. Sie definiert, unter welchen Bedingungen Anbieter und Nutzer von KI-Systemen agieren dürfen. Beide Gesetze haben zwar den Schutz von Grundrechten im Blick, verfolgen aber gänzlich unterschiedliche Ansätze.

Ein zentrales Problem sieht die Runde im Zusammenspiel der beiden Gesetze bei der generativen KI, also Systemen wie ChatGPT. Diese KI-Modelle sind grundsätzlich nicht zweckgebunden, sondern flexibel einsetzbar, was mit dem Grundsatz der Zweckbindung aus der DSGVO nur schwer vereinbar ist. Es bestehe die Gefahr, dass viele die KI rechtswidrig, aber sanktionslos einsetzen. Schwartmann betont, dass Nutzer generativer KI für Schäden durch falsche Ergebnisse haften könnten.

Hinzu kommen Herausforderungen wie die automatisierte Entscheidungsfindung: Die DSGVO verbietet automatisierte Entscheidungen mit erheblichen rechtlichen Folgen oder wesentlichen Beeinträchtigungen, während die KI-Verordnung solche Systeme unter strengen Voraussetzungen durchaus erlaubt. Allerdings knüpft sie dies an umfangreiche Compliance-Pflichten.

Wenige Tage nachdem Großbritannien eine elektronische Einreisegenehmigung zur Voraussetzung für Besuche gemacht hat, warnt die deutsche Polizei vor einer neuen Masche, bei der Kriminelle das zu Phishing-Zwecken ausnutzen. In einer Pressemitteilung verweist das Polizeipräsidium Mittelhessen auf den Fall einer betrogenen Frau, gibt Hinweise für die richtige Beantragung und verweist auf die korrekte Website der britischen Regierung. Wegen eines Zeilenumbruchs in der URL führt der Link allerdings ins Leere.

Wie die Polizei erläutert, ist die Frau auf eine seriös erscheinende, aber gefälschte Internetseite hereingefallen, die sie über eine Recherche per Suchmaschine gefunden hat. Dort reichte sie eine Bewerbung für ein Touristenvisum ein und bezahlte per Kreditkarte die geforderte Gebühr von 99 US-Dollar. Ein Foto sowie eine Kopie ihres Reisepasses sollte sie ebenfalls einreichen. Auch dem sei sie nachgekommen. Erst nach Erhalt der angeblichen Bestätigung ihres Visums habe sie Verdacht geschöpft, ihre Kreditkarte gesperrt und die Website erneut aufgerufen. Ihr Antivirusprogramm habe die dann als Phishing-Seite ausgewiesen, woraufhin sie Anzeige erstattete.

Angesichts des Betrugsfalls rät die Polizei dazu, die offizielle Seite zu benutzen. Dort gibt es auch Verweise zu den offiziellen Apps für Android und iOS. Nicht vertrauen dürfe man nicht auf die ersten Ergebnisse in den Trefferlisten von Suchmaschinen, Seiten mit den Top-Level-Domains .org oder .com gehörten nicht der britischen Regierung. Versprechen auf ein "schnelles Visum" oder eine "Garantie" von privaten Anbietern seien unseriös. Der offizielle Antrag für eine "Electronic Travel Authorisation" kostet knapp 20 Euro und die Bearbeitungszeit beträgt drei Tage.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Der Open Source Technology Improvement Fund (OSTIF) hat mit Unterstützung des Sovereign Tech Fund und in Zusammenarbeit mit Quarkslab und der PHP Foundation im vergangenen Jahr eine umfassende Sicherheitsprüfung des PHP-Interpreters (PHP-SRC) durchgeführt. Diese Prüfung zielte darauf ab, die Sicherheit des weitverbreiteten Skriptsprachen-Interpreters noch vor der Veröffentlichung der Version PHP 8.4 im November 2024 zu verbessern.

Im Rahmen des Audits, das offenbar fast zwei Monate dauerte, führten die Experten von Quarkslab eine detaillierte Analyse durch, die sowohl manuelle Codeüberprüfungen als auch dynamische Tests und kryptografische Überprüfungen umfasste. Insgesamt wurden 27 Schwachstellen festgestellt, darunter 17 sicherheitsrelevante Probleme. Zu den schwerwiegendsten entdeckten Schwachstellen zählen zwei mit hoher und sechs mit mittlerer Schwere.

Einige der identifizierten Sicherheitslücken umfassen:

Die PHP Foundation hebt in einem Blogbeitrag hervor, dass aufgrund eingeschränkter Budgetmittel nur die kritischsten Komponenten des Quellcodes geprüft wurden. Zu den überprüften Komponenten gehören unter anderem der PHP-FPM (FastCGI Process Manager), der MySQL-Datenbanktreiber und kryptografische Funktionen.

(Bild: nuevoimg / 123rf.com)

Der Autovermieter Hertz und 59 weitere Unternehmen wurden im Januar 2025 mit der Veröffentlichung sensibler Daten im Darknet erpresst. Nun hat das Unternehmen den Datenklau eingeräumt und erste Ergebnisse von Untersuchungen vorgelegt.

In einem nun veröffentlichten Dokument erläutert Hertz den Vorfall. "Cleo ist ein Anbieter, der eine Plattform zum Datentransfer zur Verfügung stellt, die Hertz für begrenzte Zwecke einsetzt", schreibt das Unternehmen. "Am 10. Februar 2025 haben wir bestätigen können, dass Daten von Hertz von unberechtigten Dritten erlangt wurden, die nach unseren Erkenntnissen Zero-Day-Schwachstellen in der Cleo-Plattform im Oktober 2024 und Dezember 2024 missbraucht haben".

Hertz habe umgehend die Daten analysiert, um das Ausmaß des Ereignisses herauszufinden und die Individuen zu identifizieren, deren persönliche Informationen von dem Ereignis betroffen sein könnten. "Wir haben die Analyse am 2. April 2025 abgeschlossen und sind zu dem Schluss gekommen, dass die von dem Vorfall betroffenen persönlichen Daten von Individuen aus der EU Name, Kontaktdaten, Geburtsdatum, Führerscheindaten und Zahlungskartendaten umfassen können. Bei einer kleinen Nummer Betroffener könnten auch die Ausweisdaten von dem Ereignis betroffen sein", erklärt Hertz weiter.

Hertz habe sichergestellt, dass Cleo Schritte unternommen habe, den Vorfall zu untersuchen und die erkannten Schwachstellen anzugehen, heißt es weiter. Strafverfolgungsbehörden wurden bereits informiert, die Benachrichtigung zuständiger Regulierungsbehörden erfolge derzeit. Das Autovermietungsunternehmen hat zudem das Unternehmen Kroll mit einer Darknet-Überwachung bezüglich der Daten der Betroffenen beauftragt. Zwar seien dem Unternehmen keine Missbrauchsfälle mit den abgeflossenen Informationen bekannt, Betroffene sollten jedoch Vorsicht walten lassen, um nicht Opfer von Betrug zu werden. Sie sollten zudem bei Kontoauszügen und Kreditberichten auf nicht autorisierte Aktivitäten achten.

Im Januar ist die Cybergang Cl0p durch eine Sicherheitslücke in der Datentransfersoftware Cleo bei vielen Unternehmen eingebrochen und hat dort dann teils sensible Daten kopiert. Das Geschäftsmodell der kriminellen Gruppierung ist die Erpressung betroffener Unternehmen mit der Androhung der Veröffentlichung der kopierten Daten, sollten die Unternehmen nicht zahlen.

Ubuntu weist aktuell darauf hin, dass der reguläre Support für die Linux-Distribution in Version 20.04 (Focal Fossa), die im April 2020 erschienen ist, in Kürze endet. Als Optionen für Betroffene empfiehlt Ubuntu, entweder eine erweiterte Support-Liznz Ubuntu Pro zu kaufen oder auf das Ubuntu 24.04 zu aktualisieren – allerdings mit kleiner Schleife im Prozess.

Focal Fossa ist eine Long-Term-Support-Version (LTS), die fünf Jahre lang mit Sicherheitsupdates versorgt wird. Damit ist am 29. Mai 2025 Schluss. Ubuntu empfiehlt Nutzern, zu prüfen, ob eine Aktualisierung auf 24.04 – ebenfalls eine LTS-Version – infrage kommt. Der offizielle Migrationspfad erfolgt jedoch über den Zwischenschritt auf Ubuntu 22.04 (auch LTS). Dafür stellt Ubuntu Anleitung und Hinweise auf mögliche Stolperfallen bereit: eine Anleitung für das Upgrade auf Ubuntu 22.04 LTS (Jammy Jellyfish) und im Anschluss die für die Aktualisierung auf Ubuntu 24.04 LTS (Noble Numbat).

Die beiden Versionen erhalten noch aktiv Unterstützung mit Sicherheitsupdates und Fehlerkorrekturen, erörtert das Unternehmen. Für diejenigen, für die das Upgrade nicht infrage kommt, bietet Ubuntu mit Ubuntu Pro das offizielle verlängerte Support-Programm "Expanded Security Maintenance" an.

Ubuntu Pro liefert Aktualisierungen für tausende Pakete für insgesamt zehn Jahre. Vor einem Jahr hat Ubuntu den Support-Zeitraum im Ubuntu-Pro-Programm sogar noch weiter ausgedehnt, Interessierte können zwei weitere Jahre Support buchen. Damit sind sogar zwölf Jahre Support möglich und es lässt sich derzeit sogar noch die Ubuntu-Version 14.04 betreiben, ohne auf Sicherheitsupdates verzichten zu müssen.

Im April 2020 wurde Ubuntu 20.04 veröffentlicht. Die auffälligsten Änderungen betraf optische Neuerungen, Performance-Verbesserungen sowie Unterstützung für das ZFS-Dateisystem.

Atlassian hat für Bamboo, Confluence und Jira Aktualisierungen herausgegeben, die als hohes Risiko eingestufte Sicherheitslücken in den Produkten abdichten sollen. IT-Verantwortliche sollten die Updates zeitnah herunterladen und anwenden.

In der Übersicht der April-Updates von Atlassian gehen die Entwickler auf Details zu den Schwachstellen ein. In Bamboo steckt eine Denial-of-Service-Schwachstelle aufgrund der Drittherstellerkomponente Netplex Json-smart (CVE-2024-57699, CVSS 7.5, Risiko "hoch"). Confluence ist aufgrund der "io.netty"-Komponente ebenfalls für eine Denial-of-Service-Situation anfällig (CVE-2025-24970, CVSS 7.5, Risiko "hoch"). Außerdem können Angreifer eine XML External Entity Injection-Schwachstelle (XXE) in der Bibliothek "org.codehaus.jackson:jackson-mapper-asl" missbrauchen – die Lücke scheint schon gut abgehangen zu sein und hat einen Schwachstelleneintrag von 2019 (CVE-2019-10172, CVSS 7.5, Risiko "hoch").

Eine weitere XXE-Schwachstelle betrifft Jira (CVE-2021-33813, CVSS 7.7, Risiko "hoch"). Zudem können Angreifer aufgrund einer Schwachstelle in der "net.minidev.json-smart"-Bibliothek eine Denial-of-Service-Situation auslösen (CVE-2024-57699, CVSS 7.5, Risiko "hoch"). Jira Service Management enthält ebenfalls eine XXE-Lücke (CVE-2021-33813, CVSS 7.7, Risiko "hoch") und teilt die Schwachstelle in der "net.minidev.json-smart"-Bibliothek mit Jira.

Betroffen sind unterschiedliche Entwicklungszweige der Software, aber zum Korrigieren der sicherheitsrelevanten Fehler stellt Atlassian folgende Versionen bereit:

Im Februar hatte Atlassian ebenfalls Aktualisierungen veröffentlicht, die hochriskante Schwachstellen ausbessern. Dort waren neben Bamboo auch Bitbucket und Jira von den Sicherheitslücken betroffen.

In den Firewalls der SMA100-Serie von Sonicwall wird derzeit eine alte Sicherheitslücke aktiv angegriffen. Das hat die US-amerikanische IT-Sicherheitsbehörde CISA nun mitgeteilt und die Sicherheitslücke in den Known-Exploited-Vulnerabilities-Katalog aufgenommen.

Aber auch Sonicwall hat eine Sicherheitsmitteilung aktualisiert und räumt darin aktuell beobachtete Cyberangriffe ein. Ursprünglich wurde die Lücke im September 2021 bekannt. "Unzureichende Filterung von Elementen in der Verwaltungsoberfläche der SMA100-Baureihe ermöglicht angemeldeten Angreifern aus dem Netz, beliebige Befehle als User 'nobody' einzuschleusen, was möglicherweise zu einem Denial-of-Service führt", lautet die Schwachstellenbeschreibung des CVE-Eintrags CVE-2021-20035, damals mit CVSS 6.5 als Risikostufe "mittel" bewertet.

Nun findet sich bei Sonicwall der CVSS-Wert 7.2, die Lücke gilt demnach als Risiko-Stufe "hoch". Außerdem lautet die Beschreibung nun am Ende nicht mehr, dass Angreifer einen Denial-of-Service provozieren können, sondern als Auswirkung können sie tatsächlich offenbar Schadcode einschleusen und ausführen, wie die aktualisierte Mitteilung ausführt. Ergänzt hat Sonicwall zudem unter der Kommentar-Rubrik: "Diese Schwachstelle wird möglicherweise in freier Wildbahn missbraucht".

Aus der SMA100-Baureihe sind die Geräte SMA 200, 210, 400, 410 sowie 500v (sowohl für ESX, KVM, AWS und Azure) anfällig. Die Firmware-Versionen 10.2.1.1-19sv, 10.2.0.8-37sv sowie 9.0.0.11-31sv und jeweils neuere stopfen die missbrauchten Sicherheitslecks. IT-Verantwortliche sollten zügig die bereitstehenden Aktualisierungen anwenden.

Weder Sonicwall noch die CISA schreiben näher, wie die beobachteten (oder "möglichen") Angriffe aussehen und in welchem Umfang sie stattfinden. Es ist daher auch unklar, wie IT-Admins erkennen können, ob sie Angegriffen oder gar kompromittiert wurden.

Microsoft hat weitere Probleme eingeräumt, auf die Admins und Nutzer nach der Installation der jüngsten Sicherheitsupdates stoßen können. Sowohl Server- als auch Desktop-Betriebssysteme sind davon betroffen.

Im Windows-Release-Health-Center für Windows Server 2025 erklären Microsofts Entwickler, dass Windows Server 2025 in der Domaincontroller-Rolle (DC) – etwa, wenn sie als DC ein Active Directory hosten – nach einem Neustart "Netzwerkverkehr nicht korrekt verwalten" können. Dadurch sind Windows Server 2025 DCs möglicherweise nicht im Domänennetz erreichbar, oder fälschlicherweise durch Netzwerk-Ports und -Protokolle ansprechbar, die durch das Domänen-Firewall-Profil verhindert sein sollten.

Das Problem gehe daraus hervor, dass die Nutzung des Domain-Firewall-Profils auf den Domaincontrollern fehlschlägt, sofern sie neu gestartet werden. Stattdessen komme dann das Standard-Firewall-Profil zum Einsatz. Im Ergebnis können Apps und Dienste, die auf dem DC laufen, oder auf Geräten im Netz laufen, fehlschlagen oder in der Domäne nicht erreichbar sein. Ein Gegenmittel hat Microsoft jedoch gefunden. Durch den Neustart des Netzadapters stelle sich das erwartete Verhalten – also die Nutzung des Firewall-Domain-Profils – wieder ein. Etwa durch den Befehl Restart-NetAdapter * an der Powershell lässt sich das erreichen, schreiben Microsofts Entwickler. Das ist vorerst bei jedem Neustart betroffener DCs nötig. IT-Verantwortliche können eine geplante Aufgabe einrichten, die diesen Adapter-Neustart nach einem Rechner-Neustart des DC durchführt, schlägt Microsoft weiter vor. Derweil arbeiten die Entwickler an einer Lösung des Problems.

Aber die Probleme hören bei Servern nicht auf, auch auf Windows-11-Clients kommt es nach der Installation der Windows-Sicherheitsupdates zu unerwünschten Nebeneffekten. So weist Microsoft in Notizen zum Sicherheitsupdate darauf hin, dass nach der Installation der Ordner %systemdrive%\inetpub – in der Regel also c:\inetpub – angelegt wird. Microsoft schreibt dazu: "Dieser Ordner sollte nicht gelöscht werden, unabhängig davon, ob Internetinformationsdienste (IIS) auf dem Zielgerät aktiviert ist. Dieses Verhalten ist Teil von Änderungen, die den Schutz erhöhen, und erfordert keine Aktion von IT-Administratoren und Endbenutzern." Der Patch, der das auslöst, schließt eine Rechteausweitungs-Sicherheitslücke in Windows (CVE-2025-21204, CVSS 7.8, Risiko "hoch").

Nun ist noch ein weiteres Problem bekanntgeworden, das bislang lediglich in den englischsprachigen Windows-Update-Anmerkungen für Windows 11 24H2 zu finden ist: Nach der Installation der Updates kann es beim Neustart zu einem Bluescreen of Death (BSoD) kommen. Eine "Bluescreen-Ausnahmebedingung mit dem Fehlercode 0x18B, die auf einen SECURE_KERNEL_ERROR hinweise" könne auftreten. Microsoft hat deshalb den Mechanismus Known-Issue-Rollback (KIR) angestoßen, der innerhalb von 24 Stunden auf Endkunden- und nicht-verwalteten-Geräten wirksam wird und die problematischen Update-Komponenten entfernt.

Notfall-Updates für iPhones, iPads und Macs: Apple beseitigt mit den neuen Versionen iOS 18.4.1, iPadOS 18.4.1 sowie macOS 15.4.1 Sequoia zwei schwere Sicherheitslücken in seinen Betriebssystemen. Nutzer sollten die Updates umgehend einspielen.

Die Schwachstellen ermöglichen Angreifer offenbar, gezielte und "extrem ausgeklügelte Angriffe" auf einzelne iPhone-Nutzer durchzuführen, wie der Hersteller unter Verweis auf einen Bericht vermerkt. Weitere Details zu diesen Angriffen wurden nicht genannt. Gewöhnlich handelt es sich hier um kommerzielle Spyware, die von staatlichen Stellen gegen Zielpersonen eingesetzt wird.

Die Patches liegen mit tvOS 18.4.1 auch für Apple-TV-Boxen und die Vision Pro (visionOS 2.4.1) vor. Für ältere Betriebssystemversionen von iOS, iPadOS und macOS und damit auch bestimmte ältere Hardware gibt es aktuell keine Updates. Ob diese noch folgen, bleibt offen. Für iPadOS 17 und iOS 16 auf bestimmten älteren iPhones und iPads stellte Apple zuletzt noch Sicherheits-Patches bereit. iOS 17 erhält offenbar keine weiteren Updates mehr: Alle iPhones, die iOS 17 unterstützen, können auch auf iOS 18 aktualisieren.

Eine Speicherverwaltungsschwachstelle in CoreAudio ermöglichte demnach die Ausführung von Code bei der Wiedergabe eines Audiostreams mithilfe einer manipulierten Mediendatei. Die Schwachstelle CVE-2025-31200 entdeckten offenbar Sicherheitsforscher von Apple und Google. Noch heikler erscheint die zweite Lücke, die es Angreifern mit Lese- und Schreibrechten ermöglichte, die in Apple-Chips integrierte Sicherheitstechnik Pointer Authentication Codes zu umgehen und so beliebigen Code auszuführen. Das Problem wurde beseitigt, indem der fehlerhafte Code entfernt wurde, schreibt Apple.

Neben den wichtigen Patches soll iOS 18.4.1 auch einen Bug auf iPhones ausräumen, der die Verbindungsaufnahme zu drahtlosen CarPlay-Infotainmentsystemen in bestimmten Fahrzeugmodellen störte. Laut Apple trat der Fehler nur selten auf.

Die Macher der anonymisierenden Linux-Distribution Tails haben als Notfallupdate die Version 6.14.2 veröffentlicht. Sie schließt Sicherheitslücken im Linux-Kernel und dem Perl-Interpreter.

In der Versionsankündigung erklären die Tails-Entwickler die Änderungen. Zum einen hievt Tails 6.14.2 den Kernel auf Version 6.1.133 – und der stopft gleich mehrere Sicherheitslücken, die Angreifer etwa zu Rechteausweitung oder den unbefugten Zugriff auf Informationen missbrauchen können. Die zugehörige Debian-Meldung enthält einen Schwung von 108 CVE-Einträgen, die mit der aktualisierten Fassung korrigiert werden.

Das könnte die Vertraulichkeit des anonymisierenden Linux unterwandern. Dies ist ebenfalls aufgrund einer weiteren Sicherheitslücke im Perl-Interpreter möglich. Darin können Angreifer einen Heap-basierten Pufferüberlauf ausnutzen, um die Software lahmzulegen oder potenziell sogar Schadcode einzuschleusen und auszuführen (CVE-2024-56406, derzeit keine konkrete Risikoeinschätzung verfügbar).

Andere Software-Bestandteile haben demnach keine signifikanten Neuerungen erfahren. Wer Tails nutzt, sollte umgehend auf die neue Fassung aktualisieren, um die Anonymisierungsfunktionen nicht zu gefährden. Es stehen wie üblich aktuelle Images für das Verfrachten auf USB-Sticks bereit und solche für DVDs oder die Nutzung in der VM.

Vor zwei Wochen haben die Tails-Entwickler Version 6.14.1 veröffentlicht. Während der Tests der 6.14-Fassung stießen sie auf Probleme, die sich korrigierten, und gingen dann gleich mit der erhöhten Versionsnummer nach draußen. In der Fassung haben sie etwa die Integration des Tor-Browsers und einige kleinere Fehler korrigiert. Durch den Schwenk auf AppArmor sind nun mehr Freiheiten ohne Einschränkung bei der Sicherheit vorhanden, etwa mehr Orte für das Speichern von Dateien.

Der Webbrowser Chrome ist in aktualisierter Version erschienen – und schließt damit eine als kritisch einsortierte Sicherheitslücke. Chrome-Nutzerinnen und -Nutzer sollten sicherstellen, dass die aktuelle Fassung bei ihnen läuft.

In einer Versionsankündigung umreißen Googles Entwickler die Schwachstellen sehr knapp, die die neue Fassung schließt. "Heap-basiertert Pufferübelauf in Codecs", deuten sie dort an, mit dem CVE-Eintrag CVE-2025-3619 und der Einstufung des Risiko als "kritisch". Ein konkreter CVSS-Wert fehlt, wie es bei Googles Chrome-Schwachstellenmeldungen üblich ist. Es gibt keine weiteren Details, aber es lässt sich herleiten, dass bereits das Verarbeiten manipulierter Multimediadateien wie Videos zur Kompromittierung des Geräts führen kann.

Bei der zweiten Lücke handelt es sich um eine Use-after-free-Schwachstelle im USB-Code von Chrome. Dabei greift der Programmcode fälschlicherweise auf Ressourcen zu, die zuvor bereits freigegeben wurden und deren Inhalt daher undefiniert ist. Oftmals kann das zum Einschleusen und Ausführen von Schadcode missbraucht werden – offenbar auch in diesem Fall, was die Risikoeinstufung als "hoch" für den CVE-Eintrag CVE-2025-3620 impliziert.

Die Browser-Versionen 135.0.7049.95/.96 für macOS und Windows, 135.0.7049.95 für Linux, 135.0.7049.100 für Android sowie die Extended-Stable-Fassung 134.0.6998.205 für macOS und Windows stellen den derzeit aktuellen Stand dar. Sie enthalten die Sicherheitslücken nicht mehr.

Der Klick auf das Icon mit den drei übereinandergestapelten Punkten rechts von der Adressleiste des Browsers öffnet das Chrome-Menü, Unter "Hilfe" – "Über Google Chrome" gelangt man zum Versionsdialog. Der zeigt die aktuell laufende Softwarefassung an. Sind Updates verfügbar, lädt der Dialog sie gleich herunter und installiert sie, um im Anschluss zum Browser-Neustart zur Aktivierung der fehlerkorrigierten Software aufzufordern. Unter Linux zeichnet in der Regel die Softwareverwaltung der eingesetzten Distribution für das Update verantwortlich.

Unter dem Eindruck einer drohenden CVE-Abschaltung haben sich in den Morgenstunden des 16. April verschiedene Initiativen und Organisationen bemüht, Alternativen an den Start zu bringen. CVE steht für Common Vulnerabilities and Exposures (Allgemeine Schwachstellen und Gefährdungen) und dient international zur Dokumentierung von Sicherheitslücken.

Die Bandbreite der Bemühungen ist dabei durchaus beeindruckend: Während sich die einen eher auf die organisatorische Überführung des CVE-Systems in eine Stiftung konzentrieren wollen, stellte die EU-Cybersicherheitsbehörde ENISA ihre seit vergangenem Jahr angekündigte Alternativlösung kurzerhand ins Web.

Bereits im Juni 2024 kündigte ENISA (European Network and Information Security Agency) an, sie arbeite im Einklang mit der NIS2-Richtlinie an einer eigenen Schwachstellendatenbank namens European Vulnerability Database. Anfang April war die Datenbank dann überraschend online – jedoch nur für wenige Stunden. Auf Nachfrage durch heise security antwortete eine ENISA-Sprecherin damals, es habe sich um einen Funktionstest während der Entwicklung gehandelt. Nach der MITRE-Ankündigung einer möglichen Stilllegung entschied man sich dann in Athen offenbar kurzerhand, Nägel mit Köpfen zu machen und die Gunst der Stunde zu nutzen.

Die US-Cybersicherheitsbehörde CISA hat derweil offenbar ein Optionsrecht ausgeübt und den auslaufenden Vertrag in letzter Sekunde verlängert. Das zumindest berichtet Metacurity auf Mastodon, unter Berufung auf ungenannte Sprecher bei MITRE und CISA. Die Verantwortlichen würden lediglich auf die Unterschrift warten; es gebe bald "gute Nachrichten". Wir werden diese Meldung aktualisieren, sobald diese guten Nachrichten tatsächlich eintreffen.

Bei MITRE im US-Bundesstaat Virginia wird es im Juni wegen der DOGE-bedingten Kürzungen über 400 Kündigungen geben, berichtete das lokale Nachrichtenportal Virginia Business. Zum 3. Juni 2025 sollen 442 Personen ihre Stelle verlieren, weil verschiedene US-Regierungsstellen ihre Verträge mit MITRE gekündigt hätten, so der Bericht weiter.

Das aktuelle Critical Patch Update von Oracle bedeutet viel Arbeit für Admins: Ganze 378 Updates sind zu installieren, die meisten davon schließen Lücken, die sich ohne Anmeldung und aus der Ferne ausnutzen lassen; 162 Patches tragen einen CVSS von 7.0 oder höher, 42 sogar ≥ 9.0 (kritisch). Betroffen sind Datenbanken, Middleware, Cloud-Dienste und Kommunikationsanwendungen, von denen einige für globale Finanzinstitute, Telekommunikationsanbieter und Cloud-native Plattformen von zentraler Bedeutung sind.

Einen kompletten Überblick liefert das Oracle Critical Patch Update Advisory - April 2025. Darin betont der Hersteller auch, dass Berichten über erfolgreiche Angriffe zufolge "die Angreifer erfolgreich waren, weil die betroffenen Kunden es versäumt hatten, die verfügbaren Oracle-Patches anzuwenden". Ob Oracle das auch auf sich selbst und die offenbar erfolgreich kompromittierten Cloud-Server bezieht, bleibt leider offen. Zu diesen Vorfällen beschränkt Oracle die Kommunikation weiterhin auf irreführendes Kleinreden; unsere Nachfragen sind nach wie vor unbeantwortet. Das nächste Oracle CPU steht dann am 15. Juli an.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Der deutsche Smartphone-Hersteller Volla Systeme hat die Beta-Phase der Volla Messages App eröffnet und damit für viele Schlagzeilen gesorgt. Der Messenger sei eine WhatsApp- und Telegram-Alternative, aber sogar "Made in Germany". Viel Vorschusslorbeeren, die bei genauerer Betrachtung jedoch ziemlich deplatziert wirken.

Für eine erste Beta-Version wenig verwunderlich, bietet Volla Messages momentan nur Basisfeatures: Man könne "Textnachrichten senden sowie Links, Fotos und Dateien teilen – inklusive Download-Option", schreibt der Anbieter. Audio- und Videokonferenzen für Gruppen und Einzelkontakte seien in Planung. Volla Messages ist eine Peer-to-Peer-Anwendung (P2P): Geräte der Nutzer schließen sich zur "Volla Cloud" zusammen und leiten so Nachrichten weiter. Eine Registrierung oder Kontoerstellung soll nicht nötig sein und klassische Server wie bei zentral oder föderiert organisierten Messengern entfallen. Partner, die miteinander chatten wollen, müssen zuvor irgendwie anderweitig einen Kontaktcode austauschen, um einander zu finden.

Peer-to-Peer, verschlüsselt und angeblich sicher. Recht viel mehr erfährt man aber nicht, vermutlich kann WhatsApp noch gelassen auf diese Konkurrenz blicken.

(Bild: Volla Messages)

Um Verfügbarkeit sicherzustellen, verteilen derartige P2P-Systeme Daten oft auf diverse, nicht vertrauenswürdige Endgeräte. Sie müssen dann großen Aufwand treiben, um Datenintegrität und -sicherheit herzustellen sowie beispielsweise Betroffenenrechte nach der DSGVO zu garantieren. Volla umgeht diese Probleme, indem Daten ausschließlich zwischen Chatpartnern weitergegeben werden, wie das Unternehmen auf Nachfrage von heise online erklärt. Das bedeutet aber auch "dass ein Nachrichtenaustausch nur möglich ist, wenn mindestens ein weiterer Knoten im Netz verbunden ist." Chatpartner müssen bei Volla Messages also simultan online sein. In Gruppen können Teilnehmer Nachrichten anderer Mitglieder weiterreichen, sodass es genügt, wenn verschiedene Teile der Gruppe überschneidend online sind.

Die maximale Laufzeit von digitalen Zertifikaten für verschlüsselte Verbindungen zu Web- und anderen Servern wird sich künftig drastisch verkürzen. Im Jahre 2029 sind diese statt mit 398 Tagen nur noch mit 47 Tagen Laufzeit ausgestattet. Das hat das CA/Browser Forum per Abstimmung beschlossen und folgt damit einem Vorschlag von Apple.

Vor allem die Browserhersteller haben schon lange Bauchschmerzen bei den üblichen Laufzeiten für Serverzertifikate. Ihnen sind etwa fehlende Möglichkeiten der Löschung betrügerisch oder falsch ausgestellter Zertifikate ein Dorn im Auge, die vorhandenen Methoden (OCSP und CRLs) skalieren schlecht. Daher hatte sich Apple Ende 2024 mit dem Vorschlag vorgewagt und sich Unterstützung weiterer Mitglieder des CA/Browser Forums gesichert. Ein Vorstoß von Google aus dem Jahr 2023 war noch gescheitert.

Beim CA/Browser Forum (CA/B) ist der Name Programm: Browserhersteller und Certificate Authorities (CAs) wachen in dem Zusammenschluss über die ordnungsgemäße Ausstellung und Verarbeitung von Zertifikaten. In der Hauptsache befasst sich das CA/B mit der Web-PKI (also den Zertifikaten, die für das "s" in "https" sorgen), hat aber auch Arbeitsgruppen für S/MIME und andere eher browserferne PKI-Anwendungen. Das CA/B legt fest, welche Zertifikatsherausgeber von Browsern akzeptiert werden – CAs, die durch schlampige Überprüfung oder unsichere Vergabepraxis auffallen, fliegen raus.

Auch am Überprüfungsvorgang vor der Ausstellung oder Verlängerung der Zertifikate schraubt das CA/B. War es zuvor möglich, die notwendigen Identifikationen, also etwa automatisierte ACME-Challenges oder auch Firmendokumente, mehr als ein Jahr lang für erneute Ausstellungen oder Verlängerungen zu recyclen, verkürzt sich dieser Zeitraum schrittweise auf nur noch zehn Tage. Das bedeutet in der Praxis, dass Antragsteller für jedes neue Zertifikat alle relevanten Dokumente erneut bei der CA vorzeigen müssen. Wohl dem, der diesen Vorgang bis zum Jahr 2029 vollständig automatisiert hat.

Denn Webserver-Admins können vorerst aufatmen. Die verkürzte Laufzeit tritt nämlich nicht sofort in Kraft, sondern in einem jahrelangen Prozess mit mehreren Zwischenschritten:

Die Mutter aller Schwachstellendatenbanken, die Common Vulnerabilities and Exposures (CVEs) der MITRE Corporation, könnte in den nächsten Stunden offline gehen. Denn die US-Regierung verlängert die Finanzierung nicht. CVE ist elementar für Kooperation im Bereich IT-Sicherheit. Dank CVE erhalten gemeldete Sicherheitslücken eine eindeutige Nummer, anhand der alle Beteiligten sicherstellen können, dass sie vom selben Problem sprechen.

In einem kurzen, internen Schreiben warnt MITRE vor einem "Zerfall" der National Vulnerability Database (NVD) des National Institute of Standards and Technology (NIST) samt der zugehörigen Warnungen und Ratschläge. Ebenso betroffen wären Sicherheitsprodukte aller Provenienz, Maßnahmen zur Abwehr von IT-Angriffen und schließlich alle Arten Kritischer Infrastruktur. Die NVD baut auf CVE auf und reichert diese mit detaillierten Bedrohungsinformationen, Hinweisen zu verfügbaren Updates und sonstigen Handlungsempfehlungen an. IT-Sicherheitsverantwortliche, aber beispielsweise auch Journalisten wie wir von heise security, nutzen die NVD zum Nachschlagen aktueller Bedrohungsdetails.

Erst im Vorjahr haben sich die US-Bundesbehörden NIST und CISA (Cybersecurity and Infrastructure Security Agency) daran gemacht, die NVD zu verbessern. Ohne CVE liefe das aber ins Leere.

MITRE will nicht einfach die Server löschen, sondern versichert, dem Projekt verbunden zu sein. Die Regierung unternehme "erhebliche Anstrengungen", um MITREs Rolle zu sichern. CISA hat das Auslaufen der Finanzierung bestätigt und teilt mit, "dringlich daran zu arbeiten, die Auswirkungen zu milden und CVE zu erhalten". Allerdings ist CISA selbst von erheblichen Kürzungen und Chaos dank Elon Musks DOGE betroffen.

Offen bleibt, wie es konkret weitergeht. Eine Liste der bisher zugeteilten CVE-Nummern steht bis auf Weiteres bei Github online. Solange MITRE die eigentlichen CVE-Server noch laufen lässt, dürften bereits akkreditierte Einrichtungen (CVE Numbering Authorities) weiter in der Lage sein, sich automatisiert CVE-Nummern zu lösen. Von Dritten gemeldete Sicherheitslücken wird MITRE ab Donnerstag aber wohl nicht mehr in die Liste aufnehmen.

Microsoft deaktiviert die Unterstützung für ActiveX in seinem Office-Paket Microsoft 365. Noch im April werden die Windows-Versionen Microsoft Words, Excels, PowerPoints und Visios ActiveX standardmäßig nicht mehr ausführen und die Nutzer auch nicht mehr darauf hinweisen. Das soll das Sicherheitsniveau der Software heben.

ActiveX gilt mindestens seit 2003 als inhärent unsicher. "Die Security-Advisories von Symantec und Trend Micro zeigen: So etwas wie ein 'sicheres ActiveX-Control' gibt es nicht", schrieb Heise-Security-Leiter Jürgen Schmidt damals in seinem Kommentar. Denn: "Wenn Sie ein ActiveX-Control auf Ihrem Rechner installieren, ist das genauso sicher oder unsicher wie ein normales Programm: Wenn der Entwickler in das Control reinschreibt: 'Lösche alle Dateien auf diesem System', dann löscht es alle Dateien, auf die der Nutzer, der es gestartet hat, Zugriff hat."

In den letzten zweieinhalb Jahrzehnten hat Microsoft wiederholt am ActiveX-System gebastelt und beispielsweise das Deaktivieren einzelner ActiveX-Module im Internet Explorer, er Ruhe in Frieden, ermöglicht. Am Ende hat sich ActiveX immer wieder als Einfallstor für Malware und IT-Angreifer erwiesen.

In Office 2024 hat Microsoft die ActiveX-Unterstützung bereits zum Release im Oktober standardmäßig abgeschaltet, jetzt sind die obgenannten Microsoft-365-Anwendungen dran (ab Version 2504 respektive Build 18730.20030). Im Beta-Channel ist die Abschaltung bereits erfolgt, wie ein Blogpost Microsofts informiert. Manche ActiveX-Objekte werden demnach als statisches Bild sichtbar bleiben, Interaktion damit wird jedoch nicht mehr möglich sein.

Ganz Schluss ist mit ActiveX aber dann doch nicht. Wer gerne riskant lebt, kann in den Einstellungen des Trust Center festlegen, dass er doch wieder die Möglichkeit erhält, einzelne AcxtiveX-Objekte manuell zu reaktivieren. Gibt es einen Gruppenadmin, kann der das jedoch verhindern, oder ebenfalls für alle seine Schäfchen freigeben.