Comretix Blog

Laut einer Studie der Datenschutzfirma Incogni geht der französische KI-Anbieter Mistral mit Le Chat am sorgfältigsten mit den privaten Daten von Anwenderinnen und Anwendern um (9,8 Punkte). Es folgen ChatGPT von OpenAI (9,9 Punkte) und Grok von xAI (11,2 Punkte). Am schlechtesten schneidet Meta.ai mit 15,7 Punkten ab, wobei mehr Punkte eine stärkere Verletzung der Privatsphäre bedeuten.

Le Chat von Mistral führt im Privatsphäre-Ranking von ChatGPT und Grok. An letzter Stelle steht Meta.ai.

(Bild: incogni)

Die Herausgeber der Studie kritisieren insgesamt den mangelnden Schutz der Privatsphäre bei KI-Anwendungen: "Das Potenzial für das unautorisierte Teilen von Daten, deren Missbrauch und das Bloßstellen persönlicher Daten hat schneller zugenommen, als dass die Wächter der Privatsphäre oder Untersuchungen mithalten könnten." Einfache Anwender können Praktiken der KI-Firmen und die damit einhergehenden Risiken nicht einschätzen: Sie würden die Trainingsdaten benötigen und Informationen über "laufende Interaktionen", um festzustellen, ob ihre persönlichen Daten bloßgestellt wurden.

Ein guter Teil der Incogni-Analyse befasst sich mit den Trainingsdaten und stellt lapidar fest, dass "alle Plattformen direkt oder indirekt angeben, Feedback der Anwender und öffentlich zugängliche private Daten für das Training ihrer Modelle zu verwenden."

Das Informationssystem für Beamte an EU-Grenzen, Schengen-Informations-System 2 (SIS II), soll "illegale Immigranten" und verdächtige Kriminelle in Echtzeit melden. Vertrauliche E-Mails und Prüfberichte attestieren der Software jedoch zahlreiche Sicherheitslücken und Schwachstellen.

Bloomberg hat diese Berichte und E-Mails zusammen mit Lighthouse Reports erlangt und ausgewertet. Der europäische Datenschutzbeauftragte (EDSB) hatte demnach tausende Sicherheitslücken in einem Bericht aus dem Jahr 2024 mit der Risikoeinstufung "hoch" eingeordnet. Außerdem habe eine exzessive Anzahl von Zugängen Admin-Rechte beim Datenbankzugriff, eine "vermeidbare Schwachstelle, die interne Angreifer missbrauchen konnten". Es gebe keine Hinweise, dass auf Daten aus SIS II unbefugt zugegriffen wurde oder sie entwendet wurden.

Ziel des im Jahr 2013 nach Verzögerungen in der Entwicklung eingeführten Schengen-Informations-System 2 ist, die Außengrenzen mit digitalen und biometrischen Mitteln zu stärken. Es ermöglicht Mitgliedsstaaten, Echtzeit-Alarme einzusehen und auszugeben, wenn markierte Individuen, Gruppen mit Terrorverdächtigen oder Menschen mit ausstehenden Haftbefehlen versuchen, die EU-Grenzen zu übertreten.SIS II laufe derzeit in einem isolierten Netzwerk, soll jedoch in absehbarer Zeit mit einem "EU Entry/Exit System" (EES) verbunden werden, das die Registrierung der hunderte Millionen jährlichen Besucher automatisieren soll. EES ist mit dem Internet verbunden, wodurch bösartige Akteure es leichter haben, die höchst sensiblen Informationen in der SIS-II-Datenbank abzugreifen, warnt der Bericht laut Bloomberg.

Alarme in SIS II können Fotos von Verdächtigen und biometrischen Daten wie Fingerabdrücke an Tatorten umfassen. Seit März 2023 umfassen die Informationen auch "Rückkehr-Entscheidungen", also rechtliche Entscheidungen, die Menschen zur Deportation aus dem EU-Bereich markieren. Der Datenbestand wird auf 93 Millionen Einträge geschätzt, von denen der Großteil gestohlene Objekte wie Fahrzeuge und Ausweisdokumente betreffe, jedoch sollen rund 1,7 Millionen Einträge mit Menschen verknüpft sein. Davon wiederum seien 195.000 als mögliche Bedrohung der nationalen Sicherheit eingestuft. Bloomberg erörtert, dass Einzelpersonen allgemein nicht wissen, welche Informationen über sie in SIS II lagern, bis Strafverfolger darauf reagieren. Ein Datenleck könne es gesuchten Personen leichter machen, der Entdeckung zu entgehen.

Der Prüfbericht attestiert SIS II, anfällig für Cybereinbrüche zu sein, die bösartigen Akteuren unbefugt weitreichenden Zugriff ermöglichen. Zuständig für die Verwaltung von IT-Großprojekten wie SIS II ist die Agentur EU-Lisa. Diese hat die Schwachstellen an das in Paris ansässige Vertragsunternehmen für die Entwicklung und den Betrieb von SIS II, Sopria Steria übermittelt. Die Entwickler haben zwischen acht Monaten und fünfeinhalb Jahren gebraucht, die Probleme zu beseitigen.

Zäsur im Security-Podcast! Eine Folge (fast) ohne PKI – was ist da los? Kein Grund zur Besorgnis: Andere Themen fanden die Hosts dieses Mal einfach spannender. Denn vom berüchtigten Sommerloch ist im Feld der IT-Sicherheit nichts zu spüren.

In der aktuellen Folge beschäftigen sich Sylvester und Christopher zunächst mit einem angeblichen Leak vieler Milliarden Zugangsdaten. Das entpuppte sich bei genauerem Hinsehen weitestgehend als Luftnummer, der dennoch viele Medien und besorgte Nutzer auf den Leim gingen. Das erklärt auch die Rekord-Zugriffszahlen bei der Leak-Plattform "Have I been pwned?" rund um das "Mega-Datenleck".

Die australische Fluggesellschaft Qantas ist Opfer eines Cyberangriffs geworden. Hacker hätten sich Zugang zu wichtigen Daten von bis zu sechs Millionen Kundinnen und Kunden verschafft, darunter Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und Vielfliegernummern, teilte die Airline mit. Betroffen war demnach eine Plattform eines Drittanbieters. Qantas erklärte, dass in dem kompromittierten System aber keine Kreditkarten-, Finanz- oder Passdaten gespeichert waren.

Ungewöhnliche Aktivitäten auf der Plattform, die von einem Qantas-Callcenter genutzt wird, seien erstmals am Montag bemerkt worden, hieß es. Inzwischen sei das System wieder unter Kontrolle. Auf den Betrieb und die Sicherheit der Flüge habe die Cyberattacke keine Auswirkungen, betonte das Unternehmen. Qantas nehme diesen Vorfall sehr ernst und arbeite eng mit Regierungsbehörden und unabhängigen Cybersicherheitsexperten zusammen.

"Wir entschuldigen uns aufrichtig bei unseren Kunden und sind uns der damit verbundenen Unsicherheit bewusst", sagte Vanessa Hudson, Geschäftsführerin der Qantas Group. "Unsere Kunden vertrauen uns ihre persönlichen Daten an, und wir nehmen diese Verantwortung ernst." Es wurde eine spezielle Kunden-Support-Hotline eingerichtet, bei der sich Betroffene informieren können. Bereits im vergangenen Jahr waren bei einer Panne in der mobilen App der Fluglinie die Namen und Reisedaten einiger Passagiere offengelegt worden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

KI-Firmen greifen Inhalte von Webseiten oft ungefragt per Webcrawlern ab, etwa für die Internetsuche oder um KI-Modelle trainieren zu können. Der Betreiber hat außer einer höheren Belastung des Servers bislang nichts davon. Cloudflare will solche KI-Crawler ab sofort standardmäßig blockieren und bietet bald auch an, dass KI-Firmen die Website-Betreiber für dieses Content-Scraping bezahlen können, sollten ihnen die Inhalte wichtig genug sein.

Das Internet- und Netzwerkunternehmen bietet seinen Kunden bereits seit einiger Zeit per Option an, KI-Crawler auszusperren. Doch jetzt wird diese Scraping-Blockade beim Anlegen einer neuen Domain standardmäßig aktiviert. Zuvor hatte Cloudflare bereits weitere Maßnahmen ergriffen. Ein KI-Labyrinth soll unerwünschte Bots abwehren, indem die Webcrawler in einen Honeypot umgeleitet werden, statt Inhalte der Website abzugreifen.

Eine ähnliche Lösung hatte ein Entwickler Anfang dieses Jahres vorgestellt. Das Tool Nepenthes ist eine Teergrube für KI-Webcrawler, denn es lockt Crawler in ein unendliches Labyrinth oder füttert deren endlosen Datenhunger sogar mit massig sinnlosen Inhalten. Es geht aber nicht nur um Urheberrechtsschutz, denn KI-Crawler werden immer häufiger zum Server-Problem. Im Januar legten KI-Bots eine Linux-News-Seite und weitere lahm.

Cloudflare will diesem Problem mit der Blockierung der KI-Crawler begegnen. Website-Betreiber sollen laut Firmenmitteilung selbst bestimmen, "ob KI-Crawler überhaupt auf ihre Inhalte zugreifen können, und wie dieses Material von KI-Unternehmen verwertet werden darf." Denn KI-Firmen würden den Content für ihre eigenen Zwecke nutzen, ohne die Urheber daran zu beteiligen, sodass diese weniger daran verdienen. "Originäre Inhalte sind das, was das Internet zu einer der großartigsten Erfindungen des letzten Jahrhunderts macht", sagt Matthew Prince, Mitgründer und CEO von Cloudflare. "Deshalb ist es unbedingt nötig, dass Urheberinnen und Urheber diese auch weiter erschaffen."

Eine Möglichkeit der Finanzierung von Webseiten könnte "pay per crawl" sein, wie Cloudflare im eigenen Blog ausführt. Diese Initiative ermöglicht Website-Betreibern, KI-Firmen für den Zugriff auf die eigenen Inhalte bezahlen zu lassen, statt KI-Crawler komplett auszusperren oder vollen Zugriff ohne Entschädigung zuzulassen. Cloudflare nutzt dafür den nahezu vergessenen HTTP-Fehlercode 402: "Payment required". Sollte ein KI-Bot darauf stoßen, kann sich die betreffende KI-Firma an Cloudflare oder den Betreiber wenden, um eine bezahlte Vereinbarung abzuschließen, statt einfach per HTTP-403 (Forbidden) abgewiesen zu werden.

Eine kritische Sicherheitslücke klafft in dem Linux-Werkzeug "sudo" und macht unprivilegierte Nutzer im Handumdrehen zu "root", dem Systemverwalter. Grund der Malaise: Ein Fehler in der chroot-Funktion von sudo. Eigentlich soll diese Funktion Benutzer in ihrem Heimatverzeichnis "einsperren", ermöglicht ihnen aber den Ausbruch aus selbigem und die Erweiterung ihrer Rechte. Ein Update steht bereit, Admins von Mehrbenutzersystemen sollten zügig handeln.

Die Sicherheitslücke macht sich einen Fehler in der chroot-Implementation zunutze. Zwischen zwei Funktionsaufrufen ruft diese den "Name Service Switch" (NSS) auf, der wiederum die Datei /etc/nsswitch.conf lädt. Der Angreifer kann diese Funktion nun dazu bringen, eine von ihm präparierte Datei mit C-Code (eine dynamische .so-Bibliothek) zu laden und mit Root-Rechten auszuführen.

Die Lücke versteckt sich in verschiedenen sudo-Versionen – unklar ist, in welchen genau. Der Entdecker, Rich Mirch von "Stratascale Cyber Research Unit", konnte nicht alle Versionen testen. Er ist jedoch sicher, die Lücke sei in älteren Versionen vor sudo 1.8.32 nicht enthalten, da der schadhafte Code erst in dieser Version auftauchte. In den von ihm getesteten stabilen Versionen 1.9.14 bis 1.9.17 findet sich der Bug. Er hat die CVE-ID CVE-2025-32463 und eine CVSS-Bewertung von 9,2 (Priorität: "kritisch"). Der Entdecker stellt einen Beispielexploit bereit.

Das macht viele, möglicherweise Millionen Linux-Systeme angreifbar. Ubuntu in seiner aktuellen Version 24.04.1, Fedora 41 und potenziell viele andere Distributionsversionen sind gefährdet. Aktualisierte Pakete gibt es jedoch bereits, unter Ubuntu etwa für alle Versionen von Jammy bis Plucky. Sie portieren den Bugfix, der in sudo 1.9.17p1 enthalten ist, in die dort jeweils genutzte sudo-Version. Die aktuell stabile Debian-Version "Bookworm" ist nicht betroffen – ihre sudo-Version ist schlicht zu alt.

So schnell kann's gehen: Im Handumdrehen wird ein unprivilegierter Nutzer dank "chwoot" zum Systemadministrator.

Der Internationale Strafgerichtshof (IStGH) ist wieder Ziel einer Cyberattacke geworden. Die in Den Haag sitzende Institution sprach am Montag von einem "neuen, komplexen und gezielten Cybersicherheitsvorfall". Dieser sei Ende voriger Woche entdeckt und mittlerweile eingedämmt worden. Interne "Warn- und Reaktionsmechanismen" hätten funktioniert. Derzeit erfolge "eine gerichtsweite Folgenabschätzung", heißt es weiter. Es würden Maßnahmen ergriffen, um die Auswirkungen des Angriffs abzuschwächen.

Weitere Details etwa über kompromittierte Daten oder Konten hat der IStGH, der vor 23 Jahren mit der Ratifizierung des sogenannten römischen Statuts durch über 60 Staaten offiziell eingerichtet wurde, bislang nicht bekannt gegeben. Der Gerichtshof war bereits 2023 ins Visier eines damals als "beispiellos" bezeichneten Cyberangriffs geraten. Im Anschluss verdichteten sich Hinweise, dass es sich dabei um einen Versuch handelte, Spionage zu betreiben und den Auftrag der Einrichtung zu untergraben. Diese erhöhte im Anschluss die eigenen IT-Sicherheitsmaßnahmen. Potenzielle Täter wurden bislang nicht genannt.

Der IStGH sorgte in den vergangenen Jahren wiederholt für Schlagzeilen. So erließ er Haftbefehle gegen den israelischen Regierungschef Benjamin Netanjahu, den damaligen israelischen Verteidigungsminister Joav Gallant sowie mehrere Anführer der Hamas. Ihnen werden mutmaßliche Verbrechen gegen die Menschlichkeit und Kriegsverbrechen im Gaza-Krieg zur Last gelegt. Auch gegen den russischen Präsidenten Wladimir Putin liegt ein Haftbefehl vor. Einer der Vorwürfe gegen ihn: unrechtmäßige Verschleppung ukrainischer Kinder.

Jüngst sorgte die Meldung für Aufsehen, dass der IStGH-Chefankläger Karim Khan nach US-Sanktionen von seinem Microsoft-basierten E-Mail-Konto ausgeschlossen wurde. Der Softwareriese behauptet, von ihm ergriffene Maßnahmen hätten "in keiner Weise die Einstellung der Dienste für den IStGH" umfasst. Die Open Source Business Alliance (OSBA) sprach trotzdem von einem Weckruf für digitale Souveränität.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Google startet in Deutschland zusammen mit den Sparkassen ein Pilotprojekt für ein Altersverifikationssystem. Es basiert unter anderem auf Google Wallet, wobei die Sparkasse für die Altersverifikation verantwortlich zeichnet. Es soll unkompliziert ermöglichen, im Netz oder bei Einkäufen einen Altersnachweis zu erbringen – das Ganze auch noch datensparsam.

Google arbeitet bereits länger an einer digitalen Identität (DI), die persönliche Informationen in der Google Wallet speichert und selektiv freigeben kann. Anstatt wie beim Vorzeigen eines Ausweises alle Informationen wie Name, Adresse und weitere persönliche Daten zu teilen, erhalten anfragende Stellen so tatsächlich nur das Geburtsdatum zur Altersprüfung, erörtert Google. Mitte Juni hat Google ein Altersverifikations-Tool für Europa angekündigt, welches die hiesigen Besonderheiten berücksichtigt.

Google liefert mit der Credential Manager API eine sichere Möglichkeit, um Identitätsinformationen einschließlich des Alters zu teilen. Webseiten und Apps können dieses Tool nutzen, um etwa die Mobil-Wallet oder digitale Altersverifikations-App abzufragen – und erhalten ausschließlich die nötige Altersinformation, bekräftigt Google. Das soll eine der größten Herausforderungen der universellen Altersverifikation knacken. In einigen Bundesstaaten der USA und in Großbritannien können Interessierte ihre IDs bereits in der Google Wallet ablegen und damit ihr Alter nachweisen, verkündete Google Ende April.

Auf der Konferenz "Global Digital Collaboration Conference" in Genf hat die Sparkasse nun die Zusammenarbeit mit Google angekündigt. Die Sparkasse mit ihren rund 50 Millionen Kunden stellt den Altersnachweis aus. Der lässt sich dann mittels der Credential Manager API von Google unter Android und mit Chrome bei Apps und Webseiten mit einem Klick einfach freigeben. Kinder und Jugendliche lassen sich so vor ungeeigneten Inhalten schützen.

Weitere Details bleiben derzeit noch unklar. Das Projekt soll in den kommenden Monaten in die Pilotphase gehen. Wie genau der Altersnachweis der Sparkasse gegenüber den Google-Systemen aussieht, ist noch nicht bekannt. Aktuell lassen sich Sparkassenkarten nicht zur Google Wallet hinzufügen – das wäre ein Weg, wie sich die Volljährigkeit belegen ließe. Bislang können sich Sparkassenkundinnen und -kunden damit behelfen, ein Paypal-Konto in der Google Wallet zu hinterlegen und darüber mit der Wallet zu zahlen.

Aufgrund verschiedener verwundbarer Komponenten können Angreifer Systeme mit Dell OpenManage Network Integration attackieren. Sicherheitsupdates stehen zum Download bereit.

Mit Dell OpenManage Network Integration verwalten Admins unter anderem Ethernetswitches. Wie aus einer Warnmeldung hervorgeht, sind unter anderem die Komponenten Git, OpenSSH und Vim attackierbar. Setzen Angreifer erfolgreich an den Schwachstellen an, können sie etwa Speicherfehler auslösen (CVE-2024-22667 "hoch"), worüber in der Regel Schadcode auf Systeme gelangt. Außerdem sind Man-in-the-Middle-Attacken (CVE-2025-26465 "mittel") möglich.

Weiterhin wurden Sicherheitspatches für sehr viele Linux-Kernel-Lücken implementiert. Um Systeme abzusichern, müssen Admins Dell OpenManage Network Integration 3.8 installieren. Alle älteren Ausgaben sind verwundbar.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

"Politikerinnen und Politiker, aber auch alle anderen Menschen, die sich politisch aktiv einbringen, sind kein Freiwild", sagt die CDU-Politikerin Yvonne Magwas. Ihr eindringlicher Appell spiegelt die Erfahrungen wider, von denen Betroffene im heise-Podcast "Bits & Böses" berichten. Digitale Gewalt in Form von Hasskommentaren oder KI-generierten Fälschungen, sogenannten Deepfakes, trifft vor allem Frauen und Menschen, die in der Öffentlichkeit stehen. Die Schauspielerin Collien Ulmen-Fernandes, der c't-Journalist Jan-Keno Janssen und die Politikerin Yvonne Magwas erzählen, wie sie mit Anfeindungen umgehen und warum der Kampf dagegen oft aussichtslos erscheint.

Collien Ulmen-Fernandes kämpft seit Jahren gegen gefälschte Nacktbilder von sich im Netz. Obwohl sie sich bewusst nie für Magazine wie den Playboy auszog, tauchen immer wieder KI-generierte Bilder auf, die genau danach aussehen. Mit anwaltlicher Hilfe ließ sie die Bilder entfernen, doch immer wieder entdeckt sie neue pornografische Deepfakes von sich im Netz. "Es fühlt sich ein bisschen so an wie ein Kampf gegen Windmühlen, weil mich das natürlich auch viel Geld gekostet hat", erklärt sie. Die psychische Belastung ist enorm. Judith Strieder, Psychologin bei der Hilfsorganisation HateAid, zieht Parallelen zu realem Missbrauch: "Viele betroffene Personen fühlen sich ohnmächtig, fühlen sich hilflos, haben große Schuld- und Schamgefühle." Die Folgen reichen von Schlafstörungen bis hin zu Suizidalität.

Auch der c't-Journalist und YouTuber Jan-Keno Janssen von "c't 3003" kennt den Hass im Netz. Seit er Videos produziert, wird er nicht nur für seine Arbeit, sondern auch für sein Äußeres angegriffen. Den einen ist er mit Brille und Vollbart zu sehr Hipster, den anderen ist er nicht männlich genug, wenn er mal ein rosa Shirt trägt. Seine Strategie: Persönliche Angriffe konsequent löschen. "Sobald da ein Kommentar ist, der uns irgendwie emotional anfasst, in irgendeiner Form, dann hat jeder absolut hundertprozentig das Recht, diesen Kommentar zu löschen", sagt Janssen. Jede und jeder habe das Recht, seine Arbeit zu kritisieren, aber Kritik an seiner Person und seinem Aussehen findet er deplatziert. Den oft gehörten Ratschlag, sich ein "dickeres Fell" zuzulegen, hält der Redakteur für problematisch, besonders wenn er von Menschen kommt, die solche Erfahrungen nie machen mussten. Aufgeben kommt für ihn nicht infrage, denn das würde bedeuten, den Pöblern das Feld zu überlassen und damit auch die Vielfalt im Netz zu schwächen.

Angreifer können an mehreren Sicherheitslücken in IBM App Connect Enterprise Container und MQ ansetzen und so Systeme attackieren. Bislang gibt es keine Berichte zu Attacken. Admins sollten aber nicht zu lange zögern und die Sicherheitsupdates zeitnah installieren, um ihre Instanzen vor möglichen Attacken zu schützen.

IBMs Integrationssoftwareangebot Connect Enterprise Container zum Zusammenfügen von Geschäftsinformationen aus unterschiedlichen Anwendungen ist über mehrere DoS-Schwachstellen (CVE-2025-47935 "hoch", CVE-2025-47944 "hoch", CVE-2025-48997 "hoch") attackierbar. Die Lücken betreffen die Node.js-Middleware Multer. Daran können Angreifer unter anderem mit präparierten Multi-Part-Upload-Anfragen ansetzen. Die Verarbeitung der Anfragen führt zu einem Crash.

Außerdem können Angreifer an einer weiteren Sicherheitslücke (CVE-2025-48387 "hoch") ansetzen, um sich Schreibzugriffe in einem bestimmten Kontext zu verschaffen. Die Entwickler geben in einer Sicherheitsmeldung an, dass dagegen die folgenden Versionen von IBM App Connect Enterprise Container abgesichert sind:

IBMs Middlewaresoftware MQ ist über mehrere mit dem Bedrohungsgrad "mittel" eingestufte Sicherheitslücken angreifbar. So können Angreifer etwa auf nicht näher beschriebenen Wegen DoS-Attacken ausführen (CVE-2025-3631, CVE-2025-3631) oder aufgrund von Fehlern bei der Überprüfung von Zertifikaten die Authentifizierung umgehen (CVE-2025-33181). Gegen die geschilderten Attacken sind die Versionen 9.3.0.30, 9.4.0.12 und 9.4.3 gerüstet.

Bereits Anfang des Jahres hatte Let's Encrypt angekündigt, keine Benachrichtigungsmails mehr verschicken zu wollen, wenn alte Zertifikate ablaufen. Nun erinnert das Projekt daran, dass es die Funktion zum 4. Juni eingestellt hat.

Das schreiben Let's-Encrypt-Beteiligte in einem News-Beitrag. Dort erörtern sie nochmals die Gründe, weshalb sie diesen Dienst nicht mehr anbieten. In den vergangenen zehn Jahren habe demnach eine zunehmende Zahl an Nutzern verlässliche Automatisierung für die Zertifikatserneuerung eingerichtet. Das Bereitstellen von Auslauf-Benachrichtigungen bedeute, dass Let's Encrypt Millionen an E-Mail-Adressen in Verbindung mit den Ausgabedaten vorhalten müssten; da die Organisation Privatsphäre wichtig nehme, sei ihr das Auflösen dieser Anforderung wichtig.

Zudem koste das Ausliefern von Zertifikatsablaufmails tausende US-Dollar jedes Jahr. Geld, das Let's Encrypt lieber für andere Aspekte der Infrastruktur aufwenden würde. Als letztes Argument nennt Let's Encrypt, dass der Mailversand der IT-Infrastruktur zusätzliche Komplexität hinzufüge, was Zeit und Aufmerksamkeit für die Verwaltung beanspruche und die Wahrscheinlichkeit erhöhe, dass Fehler passieren. Auf lange Sicht müsse die Organisation die allgemeine Komplexität einhegen. Insbesondere mit Hinblick auf das Hinzufügen neuer Dienst-Komponenten müssten daher alte Systemkomponenten gehen, die sich nicht länger rechtfertigen lassen.

Let's Encrypt weist zudem wieder darauf hin, dass es Drittanbieterdienste gebe, die die Organisation empfehle. Etwa Red Sift Certificates Lite, ehemals unter dem Namen Hardenize bekannt, liefere einen Überwachungsdienst, der kostenlos Ablaufmails für bis zu 250 Zertifikate umfasse.

Der Zertifikatsdienst Let's Encrpyt hat nun die E-Mai-Adressen gelöscht, die in der CA-Datenbank (Certificate Authority) in Verbindung mit den Ausgabe-Daten stehen. E-Mail-Adressen, die zum Abonnieren von Mailinglisten und anderen Systemen dienen, sind davon ausgenommen. Künftig speichert Let's Encrypt E-Mail-Adressen nicht mehr, die über die ACME API eintreffen; stattdessen landen die auf der Internet Security Research Group (ISRG)-Mailingliste, ohne mit etwaigen Kontodaten verknüpft zu sein. Sofern die E-Mail-Adresse bislang unbekannt ist, versendet der Dienst eine Onboarding-Mail. ISRG ist die Non-Profit-Mutter-Organisation von Let's Encrypt.

Kanadas Regierung hat dem dortigen Ableger von Hikvision untersagt, Geschäfte in Kanada zu machen und die Schließung verfügt. Das hat Industrieministerin Mélanie Joly bekannt gegeben. Hintergrund sei eine Überprüfung unter Gesichtspunkten der nationalen Sicherheit. Auf deren Grundlage sei Kanadas Regierung zu dem Schluss gekommen, dass eine Fortführung der Geschäftstätigkeit von Hikvision Canada schädlich wäre. Die Prüfung habe sich aber nur auf den kanadischen Ableger des chinesischen Herstellers von Überwachungskameras bezogen, andere seien nicht betroffen. Hikvision-Produkte aus dem Ausland könnten also weiter gekauft werden – auch wenn davon abgeraten wird. Nur staatlichen Stellen ist das jetzt untersagt.

Welche Gefahren für die nationale Sicherheit genau Kanadas Regierung durch die Produkte von Hikvision Canada sieht, geht aus der Mitteilung nicht hervor. Der betroffene Konzern hat die Entscheidung bereits harsch kritisiert. Ihr fehle es an einer Grundlage, einem fairen Prozess und Transparenz. Stattdessen scheine sie auf ungerechtfertigten Vorurteilen gegenüber dem chinesischen Heimatland des Mutterkonzerns zu beruhen. Man fordere die Regierung in Ottawa dringend dazu auf, Entscheidungen auf der Basis von Fakten zu treffen. Die Entscheidung bringe die Menschen und Firmen in Kanada um den Zugang zu bezahlbaren und technisch hochwertigen Überwachungskameras.

Hikvision steht schon längerem im Fokus westlicher Regierungen. In den USA ist die Einfuhr und der Verkauf von Hikvision-Produkten seit Jahren untersagt. In Großbritannien dürfen Geräte des chinesischen Herstellers nicht in bestimmten staatlichen Gebäuden benutzt werden. Hikvision wird unter anderem vorgeworfen, an der Unterdrückung der muslimischen Minderheit der Uiguren in der Provinz Xinjiang beteiligt zu sein. Ende 2023 sorgten Berichte für Aufsehen, laut denen das Unternehmen an einer Hochschule in China Überwachungstechnik installiert haben soll, die Verantwortliche automatisch alarmieren sollte, wenn Studierende beim Fasten ertappt werden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.

Google verteilt ein ungeplantes Update für den Webbrowser Chrome – auf eigentlich allen unterstützten Plattformen. Ursache ist eine bereits aktiv im Internet angegriffene Sicherheitslücke im Browser.

In der Versionsankündigung schreiben die Chrome-Entwickler, dass die Aktualisierung lediglich einen Sicherheitsfix enthält. Es handelt sich um eine Schwachstelle vom Typ "Type Confusion", bei dem unerwartete Datentypen an Programmcode-Teile übergeben werden. Das löst unerwartetes Verhalten aus und Angreifer können im konkreten Fall, der die JavaScrip-Engine V8 betrifft, das für beliebige Schreib- und Lesezugriffe durch sorgsam präparierte, bösartige Webseiten missbrauchen (CVE-2025-6554 / noch kein EUVD, kein CVSS, Risiko laut Google "hoch").

Gegenmaßnahmen durch eine Konfigurationsänderung hat Google bereits am 26. Juni für alle Plattformen im Stable-Kanal verteilt. Die Lücke hatte am 25. Juni die Google Threat Analysis Group entdeckt. Die Schwachstelle schließen die Entwickler nun jedoch korrekt mit Code-Änderungen. "Google ist bekannt, dass ein Exploit für CVE-2025-6554 in freier Wildbahn existiert", ergänzen die Entwickler zudem – die Sicherheitslücke wird also bereits von bösartigen Akteuren missbraucht.

Den Fehler bügeln die Versionen Chrome 138.0.7204.63 für Android, 138.0.7204.119 für iOS, 138.0.7204.96 für Linux, 138.0.7204.92/.93 für Mac und schließlich 138.0.7204.96/.97 für Windows aus. Die Extended-Stable-Fassungen hieven die Entwickler zudem auf die Versionen 138.0.7204.93 für macOS und 138.0.7204.97 für Windows.

Um zu prüfen, ob Chrome bereits auf dem aktuellen Stand ist, können Nutzerinnen und Nutzer den Versionsdialog aufrufen. Den erreichen sie durch Klick auf das Symbol mit den drei aufgestapelten Punkten rechts von der Adressleiste und dort den weiteren Weg über "Hilfe" hin zu "Über Google Chrome". Das stößt gegebenenfalls auch den Update-Vorgang an, wenn der Browser veraltet ist.

Die Sicherheitsbehörden in Niedersachsen müssen sich den wachsen Herausforderungen durch die Digitalisierung laut Innenministerin Daniela Behrens ständig neu stellen. Cyberangriffe, hybride Bedrohungen und vorsätzlich platzierte Desinformationen seien keine Zukunftsszenarien, sondern Realität, sagte die SPD-Politikerin. Sicherheitsbehörden müssen nach Behrens Worten ihre Denkweise
anpassen, um technologische Entwicklungen nicht nur nachvollziehen, sondern aktiv mitgestalten zu können.

Die Innenministerin äußerte sich anlässlich eines Symposiums des Landeskriminalamtes in Hannover, bei dem am Dienstag rund 100 Experten Sicherheitsherausforderungen im Rathaus der Landeshauptstadt diskutieren. "Nur wenn sie die Komplexität der digitalen Welt verstehen, können sie wirksame Schutzmechanismen entwickeln und Vertrauen in staatliches Handeln bewahren", sagte Behrens.

Die Experten vor Ort wollen unter anderem die sicherheitspolitischen Abhängigkeiten zwischen ziviler und militärischer Verteidigung in den Mittelpunkt stellen. Auch das subjektive Sicherheitsempfinden und die Rolle von Einsatzkräften im gesellschaftlichen Wandel soll ein Hauptaspekt des Treffens sein.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

In einer koordinierten Aktion sind US-Strafverfolgungsbehörden gegen Nordkoreas Programm zur Geldbeschaffung durch Jobs im Home-Office vorgegangen. Wie das US-Justizministerium mitteilt, sind in 16 US-Bundesstaaten 29 tatsächliche oder potenzielle "Laptop-Farmen" durchsucht, sowie dutzende Konten und 21 betrügerische Internetseiten übernommen worden, die damit in Verbindung standen. Bei den Betrügereien ging es einmal mehr um Menschen aus Nordkorea, die aus der Ferne für US-Unternehmen gearbeitet haben. Dabei hätten sie nicht nur Gehaltszahlungen für das nordkoreanische Regime erarbeitet, sondern auch Firmengeheimnisse oder sogar Kryptogeld entwendet.

Laut dem US-Justizministerium hatte Nordkorea bei dem Vorgehen die Hilfe von mehreren Individuen aus den USA, China, den Vereinigten Arabischen Emiraten und Taiwan. Die hätten den Remote-Angestellten dabei geholfen, Anstellungen bei über 100 US-Unternehmen zu bekommen. Dafür hätten sie beispielsweise in den USA an verschiedenen Standorten "Laptop-Farmen" eingerichtet, über die die Nordkoreaner ihre Tätigkeiten ausüben konnten, ohne dass sie nach Nordkorea hätten zurückverfolgt werden können. Außerdem hätten sie Scheinfirmen inklusive Internetauftritten eingerichtet, über die Tätigkeiten der angeblichen Angestellten bei früheren Arbeitgebern vorzutäuschen.

Bei dem ausgeklügelten Vorgehen ging es demnach nicht nur danach, den Nordkoreanern Gehaltszahlungen aus den USA zu ermöglichen, über die das Regime an den strikten US-Sanktionen vorbei US-Dollar bekommen kann. In einem Fall seien die Nordkoreaner dabei einem Dienstleister für das US-Militär aus der Ferne an sensible Arbeitnehmerdaten und Quelltexte gelangt, die unter die Regeln zur Exportkontrolle für Waffen gefallen sind. In einem anderen Fall hätten Nordkoreaner von ihren Arbeitgebern Kryptogeld im Wert von 900.000 US-Dollar gestohlen. Im Zusammenhang mit den Vorwürfen wurde eine Person in den USA festgenommen, die meisten Angeklagten sind aber außerhalb der Reichweite der US-Strafverfolgung.

Dass Nordkorea IT-Arbeiter mit verschleierter Herkunft in westliche Firmen entsendet, ist nicht neu. Schon 2022 hat die US-Regierung Unternehmen vor den Risiken gewarnt. Damals hieß es, dass das abgeschottete Regime Tausende von hoch qualifizierten IT-Arbeitern in alle Welt entsende, um mit deren Einnahmen das von den Vereinten Nationen sanktionierte Programm zur Waffenentwicklung zu finanzieren. Insgesamt geht es um Millionensummen, hat sich bereits ein Jahr später gezeigt. Im Oktober hat dann auch das Bundesamt für Verfassungsschutz deutsche Unternehmen vor den damit verbundenen Gefahren gewarnt. Dazu gehört auch das Risiko, dass man unwissentlich Sanktionen verletzt.

In Internetforen mehren sich Diskussionen über fehlerhafte Midea-PortaSplit-Klimaanlagen. Die Fernbedienung mit der App des Anbieters steuert bei Betroffenen offenbar nicht die eigenen, sondern fremde Klimaanlagen. Insbesondere jetzt, wo die Meteorologen für die Woche Temperaturspitzen von teils mehr als 39 °C im Schatten an mehreren Stellen Deutschlands vorhersagen, eher ungünstig.

Möglicherweise ist das jedoch auch ein Datenschutzproblem. In einer Diskussion auf Reddit sucht ein Betroffener etwa einen Midea-Besitzer, der ein WLAN-Netzwerk mit dem Namen "Guybrush" betreibt. Der User vermutet gar den gegenseitigen Austausch von Bluetooth-Kennwörtern zur Steuerung und merkt an, dass er dem Gesuchten offenbar die Temperatur heruntergeregelt hat. Dort äußern weitere Diskussionsteilnehmer Ängste, die Midea-Geräte ins Netz zu stellen. Andere geben den Hinweis, dass das kein Problem sei, sofern im Router die Internetfreigabe für die Klimaanlage deaktiviert wird – sie läuft dann nur im lokalen Netz.

In einem weiteren Reddit-Thread berichten weitere Nutzer, dass ihre Anlage nach längerer Offline-Zeit sich nach neuer Inbetriebnahme verselbstständigen, sofern sie mittels App ins WLAN angebunden wird. Die Vermutungen gehen dort in die Richtung, dass Geräte-IDs mehrfach vergeben wurden. Im speziellen Fall der deaktivierten Anlage zeigte der Verbrauchsverlauf zudem eine konstante Nutzung seit dem Juni 2024 – obwohl das Gerät im August 2024 gekauft wurde und mehrere Monate stromlos im Keller stand.

Schließlich findet sich ein Thread mit einer Problemzusammenfassung, ebenfalls auf Reddit. Demnach hat Midea im September 2024 bereits Kunden bestätigt, dass es bei einigen Geräten zu den genannten Problemen kommt. Dort ließ sich offenbar noch nicht eingrenzen, welche Geräte betroffen sind. Midea riet den Kunden, die nächste Kühlperiode abzuwarten und bei weiterhin bestehendem Problem ab März oder April 2025 einen Austausch des Geräts zu veranlassen. Die User haben die Kontaktadresse Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. für Support-Mailanfragen als Anlaufstelle ausgemacht.

Wir konnten das Problem mit einer Midea-PortaSplit-Klimaanlage nicht nachstellen. Das Gerät hat der Hersteller jedoch im Laufe des Tests einmal ausgetauscht. Dies könnte solche Probleme vermeiden, so wurde auch auf Reddit von einigen Nutzern angegeben, dass sie auf Nachfrage ein Austauschgerät erhalten haben. Eine Server- oder App-seitige Korrektur scheint nicht möglich.

Der gemeinnützige Verein Deutsche Welthungerhilfe e.V. ist Opfer eines Cyberangriffs geworden. Das bestätigte die Hilfsorganisation heute gegenüber heise online. Die Täter wollen 20 Bitcoins erpressen. Bei dem Kurs zum Meldungszeitpunkt von etwa 91.825 Euro entspricht das rund 1,8 Millionen Euro Lösegeldforderung.

Auf dem Darknet-Auftritt von Rhysida deuten die Erpresser ein paar der kopierten Daten wie Ausweiskopien an und fordern eine Zahlung von 20 Bitcoin.

(Bild: Screenshot / dmk)

Die kriminellen Täter bauen Druck auf, dass die Welthungerhilfe noch etwas mehr als fünf Tage Zeit hat, bevor die Daten veröffentlicht werden. Den Erpressern ist dabei gleich, von wem das Geld kommt: "Nutzt die Möglichkeit, auf exklusive, einzigartige und beeindruckende Daten zu bieten. Öffnet eure Brieftaschen und seid bereit, exklusive Daten zu kaufen. Wir verkaufen nur an einen, keine Weiterverkäufe, du bist der einzige Besitzer!", versprechen sie im Darknet.

Auf Nachfrage von heise online erklärte eine Sprecherin der Organisation, dass sie den Einbruch in die IT-Systeme bestätigen kann. "Der genaue Kreis der betroffenen Personen, deren Daten nach außen gelangt sind, lässt sich leider nicht ermitteln", führte sie weiter aus, die zuständige Datenschutzbehörde habe man informiert, die Polizei sei bereits involviert; der Austausch mit den Behörden sei eng.

Bei dem Wertpapierinstitut Tradersplace.de gab es einen "Cybercrimevorfall", wie das Unternehmen gegenüber heise online bestätigt. Betroffene Kunden werden offenbar mittels E-Mail mit PDF-Anhang darüber informiert.

In dem Schreiben an Kundinnen und Kunden der Handelsplattform unter anderem für diverse Krypto-Währungen und -assets oder ETFs erörtert das Unternehmen, dass unter anderem "Verfügernummer, Vorname, Name, Kontakt- und Adressdaten sowie Depotwert Stand November/Dezember 2023" möglicherweise in unbefugte Hände gelangt sind. Dem PDF zufolge habe das Unternehmen "Sicherungsmaßnahmen zur Verhinderung unberechtigter Zugriffe auf Konten-/Depots und Vermögensverschiebungen getroffen". Weiterhin hätten "intensive interne Prüfungen bislang keine Anhaltspunkte für eine missbräuchliche Verwendung der Daten ergeben".

"Der unberechtigte Zugriff wurde am 19.06.2025 erfolgreich beendet und der Vorfall bereits der Datenschutzbehörde gemeldet", ergänzt Tradersplace. Auf Anfrage von heise online antwortete CEO Ernst Huber, dass Tradersplace derzeit "zu dem Vorfall keine konkreten Details veröffentlichen können, um die aktuell auf Hochtouren laufenden internen und behördlichen Ermittlungen nicht zu gefährden." Es bestehe die Möglichkeit, dass unbefugte Dritte Zugriff auf mehrere interne statische Auswertungen erhalten hätten, die personenbezogene Kundendaten enthalten. "Zu keinem Zeitpunkt waren die vom betroffenen Bereich vollständig getrennten Kern- und Kundensysteme gefährdet", schließt Huber die Stellungnahme ab.

Die Kunden-E-Mails mit PDF-Anhang sind daher als echt einzustufen, es gab einen IT-Vorfall bislang unbekannten Ausmaßes. Tradersplace empfiehlt Kundinnen und Kunden, "erhöhte Vorsicht bei E-Mails und sonstigen Kontaktaufnahmen, insbesondere, wenn diese einen ungewöhnlichen Inhalt aufweisen, Sie beispielsweise zur Bekanntgabe von Zugangs- oder Konto-/Depotdaten, Änderungen von Zugangsdaten oder Konto-/Depotdaten oder auch Zahlungen aufgefordert werden". Wer derartige E-Mails erhalte, bittet Tradersplace um Mitteilung, da dies bei der Aufklärung des "Cybercrimeangriffs" beitragen könne.

Derartige Vorfälle im Finanzsektor sind besonders brisant. Auf Nachfrage bestätigt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), dass die Traders Place GmbH & Co KGaA unter ihrer Aufsicht stehe, sie könne jedoch keine weiteren Angaben machen, da diese unter Verschwiegenheitspflicht fallen. Laut BaFin fallen nahezu alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors unter DORA, die europäische Verordnung über die digitale operationale Resilienz im Finanzsektor. DORA verpflichtet die Institute dazu, schwerwiegende IKT-bezogene Vorfälle zu melden.

Eine Sicherheitslücke in Citrix Netscaler ADC und Gateway entpuppte sich vergangene Woche als gravierend. Sie bekam daher von IT-Sicherheitsforschern den Titel "CitrixBleed 2" verpasst. Nun haben andere IT-Forscher Indizien entdeckt, die auf laufende Angriffe auf die Schwachstelle hindeuten. IT-Verantwortliche sollten schleunigst die bereitstehenden Updates anwenden.

Die IT-Forscher von Reliaquest beschreiben in einem Blog-Beitrag, dass sie Ende vergangener Woche Indizien für aktiven Missbrauch der Schwachstelle im Internet beobachtet haben. Ganz sicher sind sie sich jedoch nicht, denn sie schränken ein: "Mit mittlerer Sicherheit stufen wir ein, dass Angreifer aktiv die Schwachstelle attackieren, um initialen Zugriff auf Ziel-Umgebungen zu erlangen". Bei der "CitrixBleed 2"-Lücke handelt es sich um lesenden Speicherzugriff außerhalb vorgesehener Speichergrenzen, wodurch etwa Session-Token ausgelesen und zur Umgehung von Authentifizierung einschließlich Mehr-Faktor-Authentifizierung (MFA) missbraucht werden können (CVE-2025-5777 / EUVD-2025-18497, CVSS 9.3, Risiko "kritisch").

Sie haben übernommene Citrix-Web-Sessions auf Netscaler-Geräten beobachtet, schreiben die IT-Sicherheitsforscher. Authentifizierung sei ohne Kenntnis der User erlangt worden, was auf die Umgehung von MFA hindeute. Zudem wurden Session von mehreren IP-Adressen aus wieder genutzt, einschließlich Kombinationen von erwarteten und verdächtigen IP-Adressen. Weiterhin fanden LDAP-Anfragen statt, die üblicherweise mit Active-Directory-Reconnaissence-Aktivitäten, also erneutem Zugriff nach initialem Einbruch, in Verbindung stehen. Quer über die Umgebung fanden sich weiterhin Instanzen des "ADExplorer64.exe"-Tools, mit dem Domänen-Gruppen und Zugriffsrechte an mehrere Domain-Controller gestellt wurden. Außerdem stammten einige der Citrix-Sessions aus Rechenzentren-IP-Bereichen, die die Nutzung von Endkunden-VPN-Diensten nahelegen.

Die Reliaquest-Mitarbeiter empfehlen, umgehend die fehlerbereinigten Softwareversionen zu installieren und den Zugriff auf Netscaler einzuschränken. Zudem sollten Admins ungewöhnliche Aktivitäten überwachen, die auf Exploit-Versuche hindeuten. Das schließt die Wiederbenutzung von Sessions und die Webserver-Logs mit HTTP-Anfragen mit ungewöhnlichen Zeichenlängen ein. Als Beispiel verweisen die IT-Forscher auf das ursprüngliche "CitrixBleed", bei dem HTTP-GET-Anfragen an den API- Endpunkt "/oauth/idp/.well-known/openid-configuration HTTP/1.1" gerichtet wurden, bei denen der HOST_Header 24.812 Zeichen enthielt.

Auf Mastodon hat die Shadowserver Foundation aktuelle Zahlen bekanntgegeben. Demnach waren Stand 29. Juni insgesamt noch 1289 aus dem Internet erreichbare Systeme verwundbar. Der Höhepunkt war am 24. Juni, mit 2804 verwundbaren Citrix-Netscaler-Instanzen. Im Telegramm-Stil verkünden die IT-Forscher zudem: "Top: US & DE", also, dass die meisten anfälligen Server in den USA und in Deutschland stehen.