Comretix Blog

Cyberkriminelle nutzen zunehmend Deepfakes, um gefälschte Finanz- und Gesundheitsangebote glaubwürdig erscheinen zu lassen. Die Verbraucherzentrale warnt aktuell vor dieser Masche. Mithilfe von KI werden Videos oder Bilder bekannter Persönlichkeiten so manipuliert, dass diese scheinbar persönliche Empfehlungen für dubiose Produkte oder Investitionen aussprechen – meist ohne ihr Wissen. Die KI-generierten Clips kursieren seit Monaten in sozialen Netzwerken, wobei Deutschland zu den Hauptzielmärkten zählt. Selbst aufmerksame Nutzer können getäuscht werden, beispielsweise ist ein Mitarbeiter eines Cybersicherheitsunternehmens fast auf eine geklonte Stimme seines Chefs hereingefallen.

Besonders häufig werden Deepfakes den Verbraucherschützern zufolge aktuell eingesetzt, um vermeintlich lukrative Finanzprodukte oder angeblich revolutionäre Gesundheitsmittel zu bewerben. Die Betrüger versprechen unrealistische Gewinne oder Heilungserfolge und nutzen dabei gefälschte Webseiten und fehlende Quellenangaben als Teil ihrer Masche. Ziel ist es, das Vertrauen in prominente Gesichter auszunutzen und Verbraucher zur Preisgabe sensibler Daten oder zu Investitionen zu bewegen. Besonders häufig betroffen sind Prominente wie Günther Jauch, Frank Thelen und Barbara Schöneberger.

Zu den häufigsten Themen zählen Krypto-Investments, Trading-Plattformen, Börsentipps und angebliche "Insider-Geheimnisse". Jüngst warnte auch das Landeskriminalamt Niedersachsen vor Betrug mit gefälschten Anlage-Webseiten zu Krypto-Währungen wie Bitcoin. Es kursieren teilweise allerdings auch gefälschte Werbe-Beiträge weniger bekannter Menschen. Oft erhalten solche Seiten und Beiträge viele Aufrufe, ohne dass die Personen über den Identitätsmissbrauch Bescheid wissen.

Im Gesundheitsbereich werden oft Diätpillen, Nahrungsergänzungsmittel und Anti-Aging-Produkte beworben. Ein Deepfake-Video zeigte etwa Dieter Bohlen, wie er vermeintlich innovative Behandlungsmethoden gegen Knie- und Gelenkbeschwerden, insbesondere bei Osteoarthritis, empfiehlt – wie eine Analyse von Bitdefender bereits 2024 belegte. Auch Deepfakes von internationalen Stars wie Brad Pitt, Cristiano Ronaldo und George Clooney kursieren. Die Videos werden gezielt über Social-Media-Plattformen wie Facebook, Messenger und Instagram verbreitet, um Nutzer zu betrügerischen Käufen oder zur Preisgabe persönlicher Daten zu verleiten. Teilweise erreichen solche Fake-Profile oder Seiten mehr als 350.000 Follower, bevor sie gelöscht werden.

Für die Erstellung der Deepfake-Videos nutzen die Kriminellen echtes Bild- und Tonmaterial als Trainingsbasis. Auch Politiker und andere Personen des öffentlichen Lebens sind häufig betroffen, da von ihnen besonders viele Aufnahmen verfügbar sind. Die Verbraucherzentrale rät, bei verdächtigen Angeboten besonders wachsam zu sein. Warnzeichen sind etwa unrealistische Versprechen (zum Beispiel hohe Gewinne ohne Risiko), fehlende oder unseriöse Quellen, ungewöhnliche oder neue Webseiten sowie auffällige Fehler in der Bild- oder Tonspur, etwa eine schlechte Lippensynchronisation.

Auf mehr als 600.000 Installationen kommt das WordPress-Plug-in Forminator. IT-Sicherheitsforscher haben darin eine Schwachstelle entdeckt, durch die Angreifer am Ende verwundbare Instanzen vollständig übernehmen können. Ein Update zum Schließen der Lücke steht jedoch schon bereit.

Die IT-Forscher von Wordfence warnen in einem Blog-Beitrag vor der Sicherheitslücke. Durch die Schwachstelle im WordPress-Plug-in Forminator können nicht authentifizierte Angreifer beliebige Dateipfade in einer Formular-Übermittlung angeben, wodurch Forminator die spezifizierte Datei löscht, sofern die Übermittlung gelöscht wird. Dadurch können sie etwa die "wp-config.php" löschen und in der Folge unter Umständen Schadcode ausführen (CVE-2025-6463 / noch kein EUVD, CVSS 8.8, Risiko "hoch").

Detaillierte Angaben zur Schwachstelle

Die Funktion "entry_delete_upload_files" prüft übergebene Pfadangaben nicht ausreichend. Nicht angemeldete bösartige Akteure können beliebige Dateipfade in einer Formular-Übermittlung angeben, die Datei wird dann beim Löschen des übermittelten Formulars entfernt. Das kann von WordPress-Admins angestoßen werden oder automatisch nach Vorgabe in den Plug-in-Einstellungen – Wordfence erläutert nicht, was dort standardmäßig eingestellt ist.

Das Löschen etwa der "wp-config.php" versetzt die WordPress-Instanz in den Setup-Status, wodurch Angreifer sie vollständig übernehmen können, sofern sie sie an eine Datenbank unter ihrer Kontrolle anbinden. Dadurch können bösartige Akteure auch beliebigen Code ausführen. In ihrer Analyse gehen die IT-Forscher noch weiter in die Quelltextstellen und erörtern das Problem tiefergehend.

"Auch wenn diese Schwachstelle zum Ausnutzen einen Schritt passiver oder aktiver Interaktion erfordert, gehen wir davon aus, dass das Löschen von Formularen eine sehr wahrscheinliche auftretende Situation ist, vor allem, wenn sie sehr nach Spam aussehen", schreiben die Analysten. Das mache die Sicherheitslücke zu einem begehrten Ziel für Angreifer. Wordfence empfiehlt Betroffenen, so schnell wie möglich sicherzustellen, dass die eigenen WordPress-Instanzen bereits auf dem aktualisierten Stand sind. Verwundbar ist Forminator bis Version 1.44.2, die Fehlerkorrektur bringt Version1.44.3 vom Montag dieser Woche oder neuer.

Dells Verbindungsgateway Secure Connect Gateway für unter anderem IT-Support über das Internet ist verwundbar. Die Schwachstellen gefährden Unternehmensnetzwerke. Admins sollten die gepatchte Ausgabe zügig installieren.

In einer Warnmeldung listen die Entwickler die löchrigen Komponenten auf. So kommt es etwa bei Spring Security im Kontext von BCrypt zu Fehlern bei Passwörtern und eigentlich falsche Kennwörter werden unter bestimmten Bedingungen fälschlicherweise als gültig durchgewunken (CVE-2025-22228 "hoch"). Eine Tomcat-Lücke (CVE-2025-24813) gilt als "kritisch". Hier kann es zur Ausführung von Schadcode kommen.

Eine Schwachstelle (CVE-2025-26465) in OpenSSH ist mit dem Bedrohungsgrad "mittel" eingestuft. An dieser Stelle können sich Angreifer in Verbindungen einklinken. Die Entwickler versichern, die Sicherheitslücken in Secure Connect Gateway 5.30.0.14 geschlossen zu haben. Alle vorigen Ausgaben sind attackierbar. Zurzeit gibt es noch keine Meldungen zu laufenden Angriffen. Das kann sich aber schnell ändern und deswegen sollten Admins mit dem Patchen nicht zu lange zögern.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Angreifer können an drei Sicherheitslücken in Tenable Nessus ansetzen und Systeme attackieren. Unter Windows können Angreifer im schlimmsten Fall Systemdateien überschreiben. Bislang gibt es keine Berichte zu laufenden Attacken. Admins sollten die abgesicherte Ausgabe zeitnah installieren.

In einer Warnmeldung erläutern die Entwickler, dass zwei Schwachstellen (CVE-2025-6021 "hoch", CVE-2025-24855 "hoch") die Komponenten libxml2 und libxslt betreffen. In beiden Fällen können Angreifer Speicherfehler auslösen, was zu einem DoS-Zustand führt. In so einem Fall kommt es zu Abstürzen. Oft kann im Kontext von Speicherfehlern aber auch Schadcode auf Systeme gelangen. Wie so eine Attacke ablaufen könnte, ist zurzeit unklar.

Die dritte Sicherheitslücke (CVE-2025-36630 "hoch") betrifft den Codes des Schwachstellen- und Netzwerkscanners direkt. An dieser Stelle können Angreifer als Non-Administrative-Nutzer Systemdateien mit Systemrechten überschreiben. Unklar bleibt, an welchen Parametern Admins bereits erfolgte Attacken erkennen können.

Die Entwickler versichern, die Probleme in Nessus 10.8.5 und Nessus 10.9.0 gelöst zu haben. Alle vorigen Ausgaben sind angreifbar. Zur Absicherung haben sie die gepatchten Versionen libxml2 2.13.8 und liubxslt 11.1.43 implementiert. Alle Lücken sind Tenable zufolge seit Mai dieses Jahres bekannt. Das Sicherheitsupdate und die Warnmeldung wurden erst jetzt veröffentlicht.

Erst kürzlich haben die Entwickler mehrere Sicherheitslücken in Tenable Agent geschlossen. In diesem Kontext kann Schadcode auf PCs gelangen und Systeme so vollständig kompromittieren.

Laut einer Studie der Datenschutzfirma Incogni geht der französische KI-Anbieter Mistral mit Le Chat am sorgfältigsten mit den privaten Daten von Anwenderinnen und Anwendern um (9,8 Punkte). Es folgen ChatGPT von OpenAI (9,9 Punkte) und Grok von xAI (11,2 Punkte). Am schlechtesten schneidet Meta.ai mit 15,7 Punkten ab, wobei mehr Punkte eine stärkere Verletzung der Privatsphäre bedeuten.

Le Chat von Mistral führt im Privatsphäre-Ranking von ChatGPT und Grok. An letzter Stelle steht Meta.ai.

(Bild: incogni)

Die Herausgeber der Studie kritisieren insgesamt den mangelnden Schutz der Privatsphäre bei KI-Anwendungen: "Das Potenzial für das unautorisierte Teilen von Daten, deren Missbrauch und das Bloßstellen persönlicher Daten hat schneller zugenommen, als dass die Wächter der Privatsphäre oder Untersuchungen mithalten könnten." Einfache Anwender können Praktiken der KI-Firmen und die damit einhergehenden Risiken nicht einschätzen: Sie würden die Trainingsdaten benötigen und Informationen über "laufende Interaktionen", um festzustellen, ob ihre persönlichen Daten bloßgestellt wurden.

Ein guter Teil der Incogni-Analyse befasst sich mit den Trainingsdaten und stellt lapidar fest, dass "alle Plattformen direkt oder indirekt angeben, Feedback der Anwender und öffentlich zugängliche private Daten für das Training ihrer Modelle zu verwenden."

Das Informationssystem für Beamte an EU-Grenzen, Schengen-Informations-System 2 (SIS II), soll "illegale Immigranten" und verdächtige Kriminelle in Echtzeit melden. Vertrauliche E-Mails und Prüfberichte attestieren der Software jedoch zahlreiche Sicherheitslücken und Schwachstellen.

Bloomberg hat diese Berichte und E-Mails zusammen mit Lighthouse Reports erlangt und ausgewertet. Der europäische Datenschutzbeauftragte (EDSB) hatte demnach tausende Sicherheitslücken in einem Bericht aus dem Jahr 2024 mit der Risikoeinstufung "hoch" eingeordnet. Außerdem habe eine exzessive Anzahl von Zugängen Admin-Rechte beim Datenbankzugriff, eine "vermeidbare Schwachstelle, die interne Angreifer missbrauchen konnten". Es gebe keine Hinweise, dass auf Daten aus SIS II unbefugt zugegriffen wurde oder sie entwendet wurden.

Ziel des im Jahr 2013 nach Verzögerungen in der Entwicklung eingeführten Schengen-Informations-System 2 ist, die Außengrenzen mit digitalen und biometrischen Mitteln zu stärken. Es ermöglicht Mitgliedsstaaten, Echtzeit-Alarme einzusehen und auszugeben, wenn markierte Individuen, Gruppen mit Terrorverdächtigen oder Menschen mit ausstehenden Haftbefehlen versuchen, die EU-Grenzen zu übertreten.SIS II laufe derzeit in einem isolierten Netzwerk, soll jedoch in absehbarer Zeit mit einem "EU Entry/Exit System" (EES) verbunden werden, das die Registrierung der hunderte Millionen jährlichen Besucher automatisieren soll. EES ist mit dem Internet verbunden, wodurch bösartige Akteure es leichter haben, die höchst sensiblen Informationen in der SIS-II-Datenbank abzugreifen, warnt der Bericht laut Bloomberg.

Alarme in SIS II können Fotos von Verdächtigen und biometrischen Daten wie Fingerabdrücke an Tatorten umfassen. Seit März 2023 umfassen die Informationen auch "Rückkehr-Entscheidungen", also rechtliche Entscheidungen, die Menschen zur Deportation aus dem EU-Bereich markieren. Der Datenbestand wird auf 93 Millionen Einträge geschätzt, von denen der Großteil gestohlene Objekte wie Fahrzeuge und Ausweisdokumente betreffe, jedoch sollen rund 1,7 Millionen Einträge mit Menschen verknüpft sein. Davon wiederum seien 195.000 als mögliche Bedrohung der nationalen Sicherheit eingestuft. Bloomberg erörtert, dass Einzelpersonen allgemein nicht wissen, welche Informationen über sie in SIS II lagern, bis Strafverfolger darauf reagieren. Ein Datenleck könne es gesuchten Personen leichter machen, der Entdeckung zu entgehen.

Der Prüfbericht attestiert SIS II, anfällig für Cybereinbrüche zu sein, die bösartigen Akteuren unbefugt weitreichenden Zugriff ermöglichen. Zuständig für die Verwaltung von IT-Großprojekten wie SIS II ist die Agentur EU-Lisa. Diese hat die Schwachstellen an das in Paris ansässige Vertragsunternehmen für die Entwicklung und den Betrieb von SIS II, Sopria Steria übermittelt. Die Entwickler haben zwischen acht Monaten und fünfeinhalb Jahren gebraucht, die Probleme zu beseitigen.

Zäsur im Security-Podcast! Eine Folge (fast) ohne PKI – was ist da los? Kein Grund zur Besorgnis: Andere Themen fanden die Hosts dieses Mal einfach spannender. Denn vom berüchtigten Sommerloch ist im Feld der IT-Sicherheit nichts zu spüren.

In der aktuellen Folge beschäftigen sich Sylvester und Christopher zunächst mit einem angeblichen Leak vieler Milliarden Zugangsdaten. Das entpuppte sich bei genauerem Hinsehen weitestgehend als Luftnummer, der dennoch viele Medien und besorgte Nutzer auf den Leim gingen. Das erklärt auch die Rekord-Zugriffszahlen bei der Leak-Plattform "Have I been pwned?" rund um das "Mega-Datenleck".

Die australische Fluggesellschaft Qantas ist Opfer eines Cyberangriffs geworden. Hacker hätten sich Zugang zu wichtigen Daten von bis zu sechs Millionen Kundinnen und Kunden verschafft, darunter Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und Vielfliegernummern, teilte die Airline mit. Betroffen war demnach eine Plattform eines Drittanbieters. Qantas erklärte, dass in dem kompromittierten System aber keine Kreditkarten-, Finanz- oder Passdaten gespeichert waren.

Ungewöhnliche Aktivitäten auf der Plattform, die von einem Qantas-Callcenter genutzt wird, seien erstmals am Montag bemerkt worden, hieß es. Inzwischen sei das System wieder unter Kontrolle. Auf den Betrieb und die Sicherheit der Flüge habe die Cyberattacke keine Auswirkungen, betonte das Unternehmen. Qantas nehme diesen Vorfall sehr ernst und arbeite eng mit Regierungsbehörden und unabhängigen Cybersicherheitsexperten zusammen.

"Wir entschuldigen uns aufrichtig bei unseren Kunden und sind uns der damit verbundenen Unsicherheit bewusst", sagte Vanessa Hudson, Geschäftsführerin der Qantas Group. "Unsere Kunden vertrauen uns ihre persönlichen Daten an, und wir nehmen diese Verantwortung ernst." Es wurde eine spezielle Kunden-Support-Hotline eingerichtet, bei der sich Betroffene informieren können. Bereits im vergangenen Jahr waren bei einer Panne in der mobilen App der Fluglinie die Namen und Reisedaten einiger Passagiere offengelegt worden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

KI-Firmen greifen Inhalte von Webseiten oft ungefragt per Webcrawlern ab, etwa für die Internetsuche oder um KI-Modelle trainieren zu können. Der Betreiber hat außer einer höheren Belastung des Servers bislang nichts davon. Cloudflare will solche KI-Crawler ab sofort standardmäßig blockieren und bietet bald auch an, dass KI-Firmen die Website-Betreiber für dieses Content-Scraping bezahlen können, sollten ihnen die Inhalte wichtig genug sein.

Das Internet- und Netzwerkunternehmen bietet seinen Kunden bereits seit einiger Zeit per Option an, KI-Crawler auszusperren. Doch jetzt wird diese Scraping-Blockade beim Anlegen einer neuen Domain standardmäßig aktiviert. Zuvor hatte Cloudflare bereits weitere Maßnahmen ergriffen. Ein KI-Labyrinth soll unerwünschte Bots abwehren, indem die Webcrawler in einen Honeypot umgeleitet werden, statt Inhalte der Website abzugreifen.

Eine ähnliche Lösung hatte ein Entwickler Anfang dieses Jahres vorgestellt. Das Tool Nepenthes ist eine Teergrube für KI-Webcrawler, denn es lockt Crawler in ein unendliches Labyrinth oder füttert deren endlosen Datenhunger sogar mit massig sinnlosen Inhalten. Es geht aber nicht nur um Urheberrechtsschutz, denn KI-Crawler werden immer häufiger zum Server-Problem. Im Januar legten KI-Bots eine Linux-News-Seite und weitere lahm.

Cloudflare will diesem Problem mit der Blockierung der KI-Crawler begegnen. Website-Betreiber sollen laut Firmenmitteilung selbst bestimmen, "ob KI-Crawler überhaupt auf ihre Inhalte zugreifen können, und wie dieses Material von KI-Unternehmen verwertet werden darf." Denn KI-Firmen würden den Content für ihre eigenen Zwecke nutzen, ohne die Urheber daran zu beteiligen, sodass diese weniger daran verdienen. "Originäre Inhalte sind das, was das Internet zu einer der großartigsten Erfindungen des letzten Jahrhunderts macht", sagt Matthew Prince, Mitgründer und CEO von Cloudflare. "Deshalb ist es unbedingt nötig, dass Urheberinnen und Urheber diese auch weiter erschaffen."

Eine Möglichkeit der Finanzierung von Webseiten könnte "pay per crawl" sein, wie Cloudflare im eigenen Blog ausführt. Diese Initiative ermöglicht Website-Betreibern, KI-Firmen für den Zugriff auf die eigenen Inhalte bezahlen zu lassen, statt KI-Crawler komplett auszusperren oder vollen Zugriff ohne Entschädigung zuzulassen. Cloudflare nutzt dafür den nahezu vergessenen HTTP-Fehlercode 402: "Payment required". Sollte ein KI-Bot darauf stoßen, kann sich die betreffende KI-Firma an Cloudflare oder den Betreiber wenden, um eine bezahlte Vereinbarung abzuschließen, statt einfach per HTTP-403 (Forbidden) abgewiesen zu werden.

Eine kritische Sicherheitslücke klafft in dem Linux-Werkzeug "sudo" und macht unprivilegierte Nutzer im Handumdrehen zu "root", dem Systemverwalter. Grund der Malaise: Ein Fehler in der chroot-Funktion von sudo. Eigentlich soll diese Funktion Benutzer in ihrem Heimatverzeichnis "einsperren", ermöglicht ihnen aber den Ausbruch aus selbigem und die Erweiterung ihrer Rechte. Ein Update steht bereit, Admins von Mehrbenutzersystemen sollten zügig handeln.

Die Sicherheitslücke macht sich einen Fehler in der chroot-Implementation zunutze. Zwischen zwei Funktionsaufrufen ruft diese den "Name Service Switch" (NSS) auf, der wiederum die Datei /etc/nsswitch.conf lädt. Der Angreifer kann diese Funktion nun dazu bringen, eine von ihm präparierte Datei mit C-Code (eine dynamische .so-Bibliothek) zu laden und mit Root-Rechten auszuführen.

Die Lücke versteckt sich in verschiedenen sudo-Versionen – unklar ist, in welchen genau. Der Entdecker, Rich Mirch von "Stratascale Cyber Research Unit", konnte nicht alle Versionen testen. Er ist jedoch sicher, die Lücke sei in älteren Versionen vor sudo 1.8.32 nicht enthalten, da der schadhafte Code erst in dieser Version auftauchte. In den von ihm getesteten stabilen Versionen 1.9.14 bis 1.9.17 findet sich der Bug. Er hat die CVE-ID CVE-2025-32463 und eine CVSS-Bewertung von 9,2 (Priorität: "kritisch"). Der Entdecker stellt einen Beispielexploit bereit.

Das macht viele, möglicherweise Millionen Linux-Systeme angreifbar. Ubuntu in seiner aktuellen Version 24.04.1, Fedora 41 und potenziell viele andere Distributionsversionen sind gefährdet. Aktualisierte Pakete gibt es jedoch bereits, unter Ubuntu etwa für alle Versionen von Jammy bis Plucky. Sie portieren den Bugfix, der in sudo 1.9.17p1 enthalten ist, in die dort jeweils genutzte sudo-Version. Die aktuell stabile Debian-Version "Bookworm" ist nicht betroffen – ihre sudo-Version ist schlicht zu alt.

So schnell kann's gehen: Im Handumdrehen wird ein unprivilegierter Nutzer dank "chwoot" zum Systemadministrator.

Der Internationale Strafgerichtshof (IStGH) ist wieder Ziel einer Cyberattacke geworden. Die in Den Haag sitzende Institution sprach am Montag von einem "neuen, komplexen und gezielten Cybersicherheitsvorfall". Dieser sei Ende voriger Woche entdeckt und mittlerweile eingedämmt worden. Interne "Warn- und Reaktionsmechanismen" hätten funktioniert. Derzeit erfolge "eine gerichtsweite Folgenabschätzung", heißt es weiter. Es würden Maßnahmen ergriffen, um die Auswirkungen des Angriffs abzuschwächen.

Weitere Details etwa über kompromittierte Daten oder Konten hat der IStGH, der vor 23 Jahren mit der Ratifizierung des sogenannten römischen Statuts durch über 60 Staaten offiziell eingerichtet wurde, bislang nicht bekannt gegeben. Der Gerichtshof war bereits 2023 ins Visier eines damals als "beispiellos" bezeichneten Cyberangriffs geraten. Im Anschluss verdichteten sich Hinweise, dass es sich dabei um einen Versuch handelte, Spionage zu betreiben und den Auftrag der Einrichtung zu untergraben. Diese erhöhte im Anschluss die eigenen IT-Sicherheitsmaßnahmen. Potenzielle Täter wurden bislang nicht genannt.

Der IStGH sorgte in den vergangenen Jahren wiederholt für Schlagzeilen. So erließ er Haftbefehle gegen den israelischen Regierungschef Benjamin Netanjahu, den damaligen israelischen Verteidigungsminister Joav Gallant sowie mehrere Anführer der Hamas. Ihnen werden mutmaßliche Verbrechen gegen die Menschlichkeit und Kriegsverbrechen im Gaza-Krieg zur Last gelegt. Auch gegen den russischen Präsidenten Wladimir Putin liegt ein Haftbefehl vor. Einer der Vorwürfe gegen ihn: unrechtmäßige Verschleppung ukrainischer Kinder.

Jüngst sorgte die Meldung für Aufsehen, dass der IStGH-Chefankläger Karim Khan nach US-Sanktionen von seinem Microsoft-basierten E-Mail-Konto ausgeschlossen wurde. Der Softwareriese behauptet, von ihm ergriffene Maßnahmen hätten "in keiner Weise die Einstellung der Dienste für den IStGH" umfasst. Die Open Source Business Alliance (OSBA) sprach trotzdem von einem Weckruf für digitale Souveränität.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Google startet in Deutschland zusammen mit den Sparkassen ein Pilotprojekt für ein Altersverifikationssystem. Es basiert unter anderem auf Google Wallet, wobei die Sparkasse für die Altersverifikation verantwortlich zeichnet. Es soll unkompliziert ermöglichen, im Netz oder bei Einkäufen einen Altersnachweis zu erbringen – das Ganze auch noch datensparsam.

Google arbeitet bereits länger an einer digitalen Identität (DI), die persönliche Informationen in der Google Wallet speichert und selektiv freigeben kann. Anstatt wie beim Vorzeigen eines Ausweises alle Informationen wie Name, Adresse und weitere persönliche Daten zu teilen, erhalten anfragende Stellen so tatsächlich nur das Geburtsdatum zur Altersprüfung, erörtert Google. Mitte Juni hat Google ein Altersverifikations-Tool für Europa angekündigt, welches die hiesigen Besonderheiten berücksichtigt.

Google liefert mit der Credential Manager API eine sichere Möglichkeit, um Identitätsinformationen einschließlich des Alters zu teilen. Webseiten und Apps können dieses Tool nutzen, um etwa die Mobil-Wallet oder digitale Altersverifikations-App abzufragen – und erhalten ausschließlich die nötige Altersinformation, bekräftigt Google. Das soll eine der größten Herausforderungen der universellen Altersverifikation knacken. In einigen Bundesstaaten der USA und in Großbritannien können Interessierte ihre IDs bereits in der Google Wallet ablegen und damit ihr Alter nachweisen, verkündete Google Ende April.

Auf der Konferenz "Global Digital Collaboration Conference" in Genf hat die Sparkasse nun die Zusammenarbeit mit Google angekündigt. Die Sparkasse mit ihren rund 50 Millionen Kunden stellt den Altersnachweis aus. Der lässt sich dann mittels der Credential Manager API von Google unter Android und mit Chrome bei Apps und Webseiten mit einem Klick einfach freigeben. Kinder und Jugendliche lassen sich so vor ungeeigneten Inhalten schützen.

Weitere Details bleiben derzeit noch unklar. Das Projekt soll in den kommenden Monaten in die Pilotphase gehen. Wie genau der Altersnachweis der Sparkasse gegenüber den Google-Systemen aussieht, ist noch nicht bekannt. Aktuell lassen sich Sparkassenkarten nicht zur Google Wallet hinzufügen – das wäre ein Weg, wie sich die Volljährigkeit belegen ließe. Bislang können sich Sparkassenkundinnen und -kunden damit behelfen, ein Paypal-Konto in der Google Wallet zu hinterlegen und darüber mit der Wallet zu zahlen.

Aufgrund verschiedener verwundbarer Komponenten können Angreifer Systeme mit Dell OpenManage Network Integration attackieren. Sicherheitsupdates stehen zum Download bereit.

Mit Dell OpenManage Network Integration verwalten Admins unter anderem Ethernetswitches. Wie aus einer Warnmeldung hervorgeht, sind unter anderem die Komponenten Git, OpenSSH und Vim attackierbar. Setzen Angreifer erfolgreich an den Schwachstellen an, können sie etwa Speicherfehler auslösen (CVE-2024-22667 "hoch"), worüber in der Regel Schadcode auf Systeme gelangt. Außerdem sind Man-in-the-Middle-Attacken (CVE-2025-26465 "mittel") möglich.

Weiterhin wurden Sicherheitspatches für sehr viele Linux-Kernel-Lücken implementiert. Um Systeme abzusichern, müssen Admins Dell OpenManage Network Integration 3.8 installieren. Alle älteren Ausgaben sind verwundbar.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

"Politikerinnen und Politiker, aber auch alle anderen Menschen, die sich politisch aktiv einbringen, sind kein Freiwild", sagt die CDU-Politikerin Yvonne Magwas. Ihr eindringlicher Appell spiegelt die Erfahrungen wider, von denen Betroffene im heise-Podcast "Bits & Böses" berichten. Digitale Gewalt in Form von Hasskommentaren oder KI-generierten Fälschungen, sogenannten Deepfakes, trifft vor allem Frauen und Menschen, die in der Öffentlichkeit stehen. Die Schauspielerin Collien Ulmen-Fernandes, der c't-Journalist Jan-Keno Janssen und die Politikerin Yvonne Magwas erzählen, wie sie mit Anfeindungen umgehen und warum der Kampf dagegen oft aussichtslos erscheint.

Collien Ulmen-Fernandes kämpft seit Jahren gegen gefälschte Nacktbilder von sich im Netz. Obwohl sie sich bewusst nie für Magazine wie den Playboy auszog, tauchen immer wieder KI-generierte Bilder auf, die genau danach aussehen. Mit anwaltlicher Hilfe ließ sie die Bilder entfernen, doch immer wieder entdeckt sie neue pornografische Deepfakes von sich im Netz. "Es fühlt sich ein bisschen so an wie ein Kampf gegen Windmühlen, weil mich das natürlich auch viel Geld gekostet hat", erklärt sie. Die psychische Belastung ist enorm. Judith Strieder, Psychologin bei der Hilfsorganisation HateAid, zieht Parallelen zu realem Missbrauch: "Viele betroffene Personen fühlen sich ohnmächtig, fühlen sich hilflos, haben große Schuld- und Schamgefühle." Die Folgen reichen von Schlafstörungen bis hin zu Suizidalität.

Auch der c't-Journalist und YouTuber Jan-Keno Janssen von "c't 3003" kennt den Hass im Netz. Seit er Videos produziert, wird er nicht nur für seine Arbeit, sondern auch für sein Äußeres angegriffen. Den einen ist er mit Brille und Vollbart zu sehr Hipster, den anderen ist er nicht männlich genug, wenn er mal ein rosa Shirt trägt. Seine Strategie: Persönliche Angriffe konsequent löschen. "Sobald da ein Kommentar ist, der uns irgendwie emotional anfasst, in irgendeiner Form, dann hat jeder absolut hundertprozentig das Recht, diesen Kommentar zu löschen", sagt Janssen. Jede und jeder habe das Recht, seine Arbeit zu kritisieren, aber Kritik an seiner Person und seinem Aussehen findet er deplatziert. Den oft gehörten Ratschlag, sich ein "dickeres Fell" zuzulegen, hält der Redakteur für problematisch, besonders wenn er von Menschen kommt, die solche Erfahrungen nie machen mussten. Aufgeben kommt für ihn nicht infrage, denn das würde bedeuten, den Pöblern das Feld zu überlassen und damit auch die Vielfalt im Netz zu schwächen.

Angreifer können an mehreren Sicherheitslücken in IBM App Connect Enterprise Container und MQ ansetzen und so Systeme attackieren. Bislang gibt es keine Berichte zu Attacken. Admins sollten aber nicht zu lange zögern und die Sicherheitsupdates zeitnah installieren, um ihre Instanzen vor möglichen Attacken zu schützen.

IBMs Integrationssoftwareangebot Connect Enterprise Container zum Zusammenfügen von Geschäftsinformationen aus unterschiedlichen Anwendungen ist über mehrere DoS-Schwachstellen (CVE-2025-47935 "hoch", CVE-2025-47944 "hoch", CVE-2025-48997 "hoch") attackierbar. Die Lücken betreffen die Node.js-Middleware Multer. Daran können Angreifer unter anderem mit präparierten Multi-Part-Upload-Anfragen ansetzen. Die Verarbeitung der Anfragen führt zu einem Crash.

Außerdem können Angreifer an einer weiteren Sicherheitslücke (CVE-2025-48387 "hoch") ansetzen, um sich Schreibzugriffe in einem bestimmten Kontext zu verschaffen. Die Entwickler geben in einer Sicherheitsmeldung an, dass dagegen die folgenden Versionen von IBM App Connect Enterprise Container abgesichert sind:

IBMs Middlewaresoftware MQ ist über mehrere mit dem Bedrohungsgrad "mittel" eingestufte Sicherheitslücken angreifbar. So können Angreifer etwa auf nicht näher beschriebenen Wegen DoS-Attacken ausführen (CVE-2025-3631, CVE-2025-3631) oder aufgrund von Fehlern bei der Überprüfung von Zertifikaten die Authentifizierung umgehen (CVE-2025-33181). Gegen die geschilderten Attacken sind die Versionen 9.3.0.30, 9.4.0.12 und 9.4.3 gerüstet.

Bereits Anfang des Jahres hatte Let's Encrypt angekündigt, keine Benachrichtigungsmails mehr verschicken zu wollen, wenn alte Zertifikate ablaufen. Nun erinnert das Projekt daran, dass es die Funktion zum 4. Juni eingestellt hat.

Das schreiben Let's-Encrypt-Beteiligte in einem News-Beitrag. Dort erörtern sie nochmals die Gründe, weshalb sie diesen Dienst nicht mehr anbieten. In den vergangenen zehn Jahren habe demnach eine zunehmende Zahl an Nutzern verlässliche Automatisierung für die Zertifikatserneuerung eingerichtet. Das Bereitstellen von Auslauf-Benachrichtigungen bedeute, dass Let's Encrypt Millionen an E-Mail-Adressen in Verbindung mit den Ausgabedaten vorhalten müssten; da die Organisation Privatsphäre wichtig nehme, sei ihr das Auflösen dieser Anforderung wichtig.

Zudem koste das Ausliefern von Zertifikatsablaufmails tausende US-Dollar jedes Jahr. Geld, das Let's Encrypt lieber für andere Aspekte der Infrastruktur aufwenden würde. Als letztes Argument nennt Let's Encrypt, dass der Mailversand der IT-Infrastruktur zusätzliche Komplexität hinzufüge, was Zeit und Aufmerksamkeit für die Verwaltung beanspruche und die Wahrscheinlichkeit erhöhe, dass Fehler passieren. Auf lange Sicht müsse die Organisation die allgemeine Komplexität einhegen. Insbesondere mit Hinblick auf das Hinzufügen neuer Dienst-Komponenten müssten daher alte Systemkomponenten gehen, die sich nicht länger rechtfertigen lassen.

Let's Encrypt weist zudem wieder darauf hin, dass es Drittanbieterdienste gebe, die die Organisation empfehle. Etwa Red Sift Certificates Lite, ehemals unter dem Namen Hardenize bekannt, liefere einen Überwachungsdienst, der kostenlos Ablaufmails für bis zu 250 Zertifikate umfasse.

Der Zertifikatsdienst Let's Encrpyt hat nun die E-Mai-Adressen gelöscht, die in der CA-Datenbank (Certificate Authority) in Verbindung mit den Ausgabe-Daten stehen. E-Mail-Adressen, die zum Abonnieren von Mailinglisten und anderen Systemen dienen, sind davon ausgenommen. Künftig speichert Let's Encrypt E-Mail-Adressen nicht mehr, die über die ACME API eintreffen; stattdessen landen die auf der Internet Security Research Group (ISRG)-Mailingliste, ohne mit etwaigen Kontodaten verknüpft zu sein. Sofern die E-Mail-Adresse bislang unbekannt ist, versendet der Dienst eine Onboarding-Mail. ISRG ist die Non-Profit-Mutter-Organisation von Let's Encrypt.

Google verteilt ein ungeplantes Update für den Webbrowser Chrome – auf eigentlich allen unterstützten Plattformen. Ursache ist eine bereits aktiv im Internet angegriffene Sicherheitslücke im Browser.

In der Versionsankündigung schreiben die Chrome-Entwickler, dass die Aktualisierung lediglich einen Sicherheitsfix enthält. Es handelt sich um eine Schwachstelle vom Typ "Type Confusion", bei dem unerwartete Datentypen an Programmcode-Teile übergeben werden. Das löst unerwartetes Verhalten aus und Angreifer können im konkreten Fall, der die JavaScrip-Engine V8 betrifft, das für beliebige Schreib- und Lesezugriffe durch sorgsam präparierte, bösartige Webseiten missbrauchen (CVE-2025-6554 / noch kein EUVD, kein CVSS, Risiko laut Google "hoch").

Gegenmaßnahmen durch eine Konfigurationsänderung hat Google bereits am 26. Juni für alle Plattformen im Stable-Kanal verteilt. Die Lücke hatte am 25. Juni die Google Threat Analysis Group entdeckt. Die Schwachstelle schließen die Entwickler nun jedoch korrekt mit Code-Änderungen. "Google ist bekannt, dass ein Exploit für CVE-2025-6554 in freier Wildbahn existiert", ergänzen die Entwickler zudem – die Sicherheitslücke wird also bereits von bösartigen Akteuren missbraucht.

Den Fehler bügeln die Versionen Chrome 138.0.7204.63 für Android, 138.0.7204.119 für iOS, 138.0.7204.96 für Linux, 138.0.7204.92/.93 für Mac und schließlich 138.0.7204.96/.97 für Windows aus. Die Extended-Stable-Fassungen hieven die Entwickler zudem auf die Versionen 138.0.7204.93 für macOS und 138.0.7204.97 für Windows.

Um zu prüfen, ob Chrome bereits auf dem aktuellen Stand ist, können Nutzerinnen und Nutzer den Versionsdialog aufrufen. Den erreichen sie durch Klick auf das Symbol mit den drei aufgestapelten Punkten rechts von der Adressleiste und dort den weiteren Weg über "Hilfe" hin zu "Über Google Chrome". Das stößt gegebenenfalls auch den Update-Vorgang an, wenn der Browser veraltet ist.

Kanadas Regierung hat dem dortigen Ableger von Hikvision untersagt, Geschäfte in Kanada zu machen und die Schließung verfügt. Das hat Industrieministerin Mélanie Joly bekannt gegeben. Hintergrund sei eine Überprüfung unter Gesichtspunkten der nationalen Sicherheit. Auf deren Grundlage sei Kanadas Regierung zu dem Schluss gekommen, dass eine Fortführung der Geschäftstätigkeit von Hikvision Canada schädlich wäre. Die Prüfung habe sich aber nur auf den kanadischen Ableger des chinesischen Herstellers von Überwachungskameras bezogen, andere seien nicht betroffen. Hikvision-Produkte aus dem Ausland könnten also weiter gekauft werden – auch wenn davon abgeraten wird. Nur staatlichen Stellen ist das jetzt untersagt.

Welche Gefahren für die nationale Sicherheit genau Kanadas Regierung durch die Produkte von Hikvision Canada sieht, geht aus der Mitteilung nicht hervor. Der betroffene Konzern hat die Entscheidung bereits harsch kritisiert. Ihr fehle es an einer Grundlage, einem fairen Prozess und Transparenz. Stattdessen scheine sie auf ungerechtfertigten Vorurteilen gegenüber dem chinesischen Heimatland des Mutterkonzerns zu beruhen. Man fordere die Regierung in Ottawa dringend dazu auf, Entscheidungen auf der Basis von Fakten zu treffen. Die Entscheidung bringe die Menschen und Firmen in Kanada um den Zugang zu bezahlbaren und technisch hochwertigen Überwachungskameras.

Hikvision steht schon längerem im Fokus westlicher Regierungen. In den USA ist die Einfuhr und der Verkauf von Hikvision-Produkten seit Jahren untersagt. In Großbritannien dürfen Geräte des chinesischen Herstellers nicht in bestimmten staatlichen Gebäuden benutzt werden. Hikvision wird unter anderem vorgeworfen, an der Unterdrückung der muslimischen Minderheit der Uiguren in der Provinz Xinjiang beteiligt zu sein. Ende 2023 sorgten Berichte für Aufsehen, laut denen das Unternehmen an einer Hochschule in China Überwachungstechnik installiert haben soll, die Verantwortliche automatisch alarmieren sollte, wenn Studierende beim Fasten ertappt werden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.

Die Sicherheitsbehörden in Niedersachsen müssen sich den wachsen Herausforderungen durch die Digitalisierung laut Innenministerin Daniela Behrens ständig neu stellen. Cyberangriffe, hybride Bedrohungen und vorsätzlich platzierte Desinformationen seien keine Zukunftsszenarien, sondern Realität, sagte die SPD-Politikerin. Sicherheitsbehörden müssen nach Behrens Worten ihre Denkweise
anpassen, um technologische Entwicklungen nicht nur nachvollziehen, sondern aktiv mitgestalten zu können.

Die Innenministerin äußerte sich anlässlich eines Symposiums des Landeskriminalamtes in Hannover, bei dem am Dienstag rund 100 Experten Sicherheitsherausforderungen im Rathaus der Landeshauptstadt diskutieren. "Nur wenn sie die Komplexität der digitalen Welt verstehen, können sie wirksame Schutzmechanismen entwickeln und Vertrauen in staatliches Handeln bewahren", sagte Behrens.

Die Experten vor Ort wollen unter anderem die sicherheitspolitischen Abhängigkeiten zwischen ziviler und militärischer Verteidigung in den Mittelpunkt stellen. Auch das subjektive Sicherheitsempfinden und die Rolle von Einsatzkräften im gesellschaftlichen Wandel soll ein Hauptaspekt des Treffens sein.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)