Standardmäßig mehr Sicherheit für Microsoft 365: Für die Office-Anwendungen, Entra, SharePoint Online und OneDrive sind künftig viele Legacy-Protokolle ab Werk deaktiviert. Die Änderungen sind Teil der Secure Future Initiative (SFI), bei der Microsoft auf Basis des Secure-by-Default-Prinzips die Standardkonfiguration seiner Dienste anpasst. Betroffen sind explizit alle Microsoft-365-Tenants sowie Administratoren und Nutzer gleichermaßen.

Konkret blockiert M365 künftig den Webbrowser-Zugriff auf SharePoint und OneDrive über das RPS-Protokoll (Relying Party Suite). Es ist anfällig für Brute-Force-Angriffe und kam bislang bei alten Webbrowsern oder Client-Anwendungen zum Einsatz, die ohne moderne Authentifizierungstechnik auf Cloud-Dienste zugreifen mussten.

Außerdem blockiert M365 das FPRPC-Protokoll, über das sich bislang Office-Dokumente öffnen ließen. Der Name FrontPage Remote Procedure Call zeigt: Es stammt vom vor fast 20 Jahren abgekündigten Webdesign-Werkzeug FrontPage ab. Entsprechend veraltet und sicherheitsanfällig ist der Zugriff via FPRPC, es kommt allerdings noch immer wie RPS bei Legacy-Anwendungen und automatisierten Prozessen in Unternehmen zum Einsatz.

Drittentwickler bleiben erst einmal draußen

Schließlich fordert Microsoft künftig von Drittanbieter-Applikationen beim Zugriff auf Dateien und Seiten eine explizite Freigabe durch den Administrator ein. Anwender können standardmäßig also nicht mehr selbst diese Einwilligung erteilen. Verantwortliche können die zugehörigen Rechte granular steuern, indem sie zum Beispiel bestimmte Programme auf einzelne Nutzer oder Gruppen einschränken.

Die Auswirkungen der Änderungen sind zweischneidig: Zum einen erhöhen sie fraglos die Sicherheit der M365-Standardkonfiguration. Allerdings könnten bislang eingesetzte Applikationen ohne händisches Einschreiten der Administratoren von einem Tag zum anderen nicht mehr funktionieren – daher empfiehlt Microsoft, sofort betroffene Anwendungen zu identifizieren. Sollten Drittentwickler-Apps zusammen mit M365 eingesetzt werden, sollten Verantwortliche außerdem einen Workflow für die Freigabe des Zugriffs einrichten.

Zeitraum der Umstellung ist ab Mitte Juli 2025, abgeschlossen soll sie bereits ab August sein. Weitere Informationen zu den Änderungen finden sich Microsoft 365 Message Center unter dem Eintrag MC1097272.

Windows 365: Praktisches Feature deaktiviert

Gleichzeitig führt Microsoft neue Security-Einstellungen für seine Cloud-PCs Windows 365 ein: Standardmäßig ist die Verknüpfung der Zwischenablage, Speichers, von USB-Geräten und des Druckers zwischen Cloud-Systemen und dem lokalen Rechner künftig deaktiviert. Betroffen sind ausschließlich neu eingerichtete Cloud-PCs, das praktische Feature lässt sich nachträglich aktivieren.

Wer Windows 365 mit einem Windows 11 Gallery Image einrichtet, aktiviert auf dem neuen System künftig standardmäßig VBS, Credential Guard und HVCI. Details zu den Security-Updates für die Cloud-PCs finden sich in der Tech Community. Einführen will Microsoft die neuen Windows-365-Defaults in der zweiten Jahreshälfte 2025.

(fo)

Im WordPress-Theme „Motors“ haben IT-Sicherheitsforscher eine kritische Sicherheitslücke entdeckt. Sie ermöglicht Angreifern, ihre Rechte auszuweiten und in der Folge anfällige WordPress-Instanzen zu kompromittieren. Genau das findet seit Anfang Juni offenbar statt.

Die Sicherheitslücke besteht laut Schwachstellenbeschreibung darin, dass das Theme die Identität von Nutzern nicht korrekt validiert, bevor es Passwort-Änderungen übernimmt. Angreifer aus dem Netz können dadurch ohne vorherige Authentifizierung Passwörter beliebiger Nutzer ändern – einschließlich das des Admins, und dadurch Vollzugriff erlangen (CVE-2025-4322 / EUVD-2025-15813, CVSS 9.8, Risiko „kritisch„).

Die IT-Sicherheitsforscher von Wordfence schreiben in einer Analyse, dass sie seit dem 7. Juni massenhaften Missbrauch der Schwachstelle in dem Theme beobachten. Das Theme heißt mit vollem Namen „Motors – Car Dealer, Rental & Listing“. Laut Anbieter-Webseite wurde es rund 22.500 Mal verkauft. Es ist daher offenbar weit verbreitet im Einsatz.

„Motors“-Theme: Verwundbare Versionen

Die Schwachstelle findet sich im „Motors“-Theme bis einschließlich Version 5.6.67. Die Entwickler haben die Sicherheitslücke in Version 5.6.68 vom 12. Juni und neueren Fassungen gestopft. Admins, die auf das Theme setzen, sollten es zügig aktualisieren und gegebenenfalls ihre WordPress-Instanz prüfen, ob dort ungewöhnliche Aktivitäten aufgefallen sind oder Nutzerkonten unbefugt verändert wurden.

Für das populäre Webseiten-CMS WordPress gibt es so viele Plug-ins und Themes, die von teils auch weniger professionellen Anbietern stammen, dass ständig welche mit Sicherheitslücken auffallen. So wurde etwa am Donnerstag dieser Woche bekannt, dass das WordPress-Plug-in „AI Engine“, das immerhin auf mehr als 100.000 WordPress-Instanzen zum Einsatz kommt, eine hochriskante Schwachstelle aufweist, durch das Angreifer ebenfalls die Instanz vollständig kompromittieren können. Auch hierfür steht aktualisierte Software bereit, die Admins zügig installieren sollten.

(dmk)

Sieben Kreisverbände der Grünen Jugend wurden laut der Organisation im vergangenen Jahr aus ihren Instagram-Accounts ausgesperrt: Düsseldorf, Solingen, Mönchengladbach, Bonn, Dortmund, Minden-Lübbecke, Coesfeld, Leer, Gotha, Meißen. Für die Betroffenen ist das dramatisch. Die Meta-Plattform Instagram „spielt eine zentrale Rolle in der digitalen Öffentlichkeitsarbeit, besonders in unserer Zielgruppe“, sagt Oketade Olayiwola-Olosun, Sprecher der Grünen Jugend Bonn.

Neben den Grüne-Jugend-Accounts wurden auch Accounts der Partei Die Linke gesperrt und der Hauptaccount der Partei der Humanisten, berichten Vertreter die Parteien. Auch Greenpeace leidet unter einer Vielzahl von Accountsperrungen. Immer wieder gibt es auch Privatpersonen, die sich bei netzpolitik.org darüber beschweren, dass ihr Konto ohne nachvollziehbare Begründung gesperrt wurde. Doch im Fall der politischen Organisationen sind die Sperren noch brisanter.

„Wenn politische Akteur*innen die Stimme verwehrt wird, ohne dass klar ist, warum, und ohne dass es schnell zu einer Korrektur kommt, hat das einen Einfluss auf die politische Meinungsbildung“, sagt Jürgen Bering, der für die Gesellschaft für Freiheitsrechte (GFF) das Center for User Rights leitet.

Grüne Jugend soll sich als Unternehmen ausgegeben haben

Als Begründung, warum das Konto der Grünen Jugend Bonn gesperrt wurde, schrieb Meta, dass es gegen Gemeinschaftsstandards verstoße. „Auf Instagram ist es nicht erlaubt, sich für ein Unternehmen auszugeben oder sich ohne dessen Genehmigung in seinem Namen zu äußern“, heißt es. Was das mit seinem Kreisverband zu tun haben soll, kann sich Olayiwola-Olosun nicht erklären.

Jürgen Bering berichtet, dass eine Reihe von Greenpeace-Ortsverbänden ähnliches erlebt habe: „Da wurden Accounts gesperrt mit der Begründung: Wir bezweifeln, dass ihr die Organisation vertretet.“

Die Fälle seien klar, die GFF habe bei Meta Dokumente des Bundesverbands eingereicht, die besagen, dass die Ortsverbände legitim sind. „Da muss man eigentlich nicht mehr viel prüfen“, sagt Bering. Dennoch seien die Accounts einiger Ortsverbände weiterhin gesperrt. Meldewege und Entsperrungen bei Meta funktionierten häufig nicht gut. „Ich habe den Eindruck, da gibt es nicht ausreichend Menschen, die sich das angucken“, sagt Bering.

Dauerhaft deaktiviert

Der Grüne-Jugend-Kreisverband Bonn versuchte in der App Einspruch gegen die Kontolöschung einzulegen. Meta antwortete: „Wir haben uns dein Konto noch einmal angesehen und sind zu dem Schluss gekommen, dass es tatsächlich gegen unsere Gemeinschaftsrichtlinien zu Kontointegrität und Authentizität verstößt.“ Das war Anfang vergangenen Jahres.

Olayiwola-Olosun und seine Mitstreiter*innen betrieben von da an noch den Account des Grüne-Jugend-Bezirks Mittelrhein, in dem verschiedene Kreisverbände, auch der aus Bonn, vertreten sind. Im Februar 2025 wurde dann auch dieses Konto gesperrt, „weil dein Konto bzw. dessen Aktivitäten gegen unsere Gemeinschaftsstandards zu Kontointegrität verstoßen haben“, so Meta in einer Info-Mail.

Auf einen Einspruch in der App antwortete das Unternehmen mit den selben Textbausteinen wie schon zuvor bei der Sperre des Bonner Accounts. Man habe das Konto noch einmal geprüft und festgestellt, dass es gegen Gemeinschaftsstandards verstoße. „Aus diesem Grund wurde dein Konto dauerhaft deaktiviert.“

Instagram muss Sperren erläutern

Nach dem Digital Services Act der EU müssen Nutzer*innen umfassend über die Gründe einer Accountsperre informiert werden. Es braucht einen Verweis auf die vertragliche Bestimmung und eine Erläuterung, warum das Handeln der Accountinhaber damit unvereinbar ist. Diese Begründung gäbe es aber meist nicht, sagt Jürgen Bering von der GFF.

„Um mich gegen eine Entscheidung zu Wehr zu setzen, muss ich wissen, was mir vorgeworfen wird. Wenn ich nur auf einen groben Grund in den Nutzungsbedingungen verwiesen werde, weiß ich gar nicht, ob meine Beschwerde Erfolg haben kann“, sagt Bering.

Olayiwola-Olosun hörte sich um und stellte fest, dass zahlreiche weitere Kreisverbände der Grünen Jugend ebenfalls ihre Instagram-Konten verloren hatten. Meta schreibt auf Anfrage in einer Mail, aus der wir nicht direkt zitieren sollen, dass die betroffenen Accounts aufgrund von Hinweisen auf Nachahmung und Fake Accounts fälschlicherweise entfernt worden seien. Den Fehler habe man sofort korrigiert, nachdem man davon erfahren hatte.

Beim NRW-Landesverband der Partei Die Linke gibt es ebenfalls regelmäßig Probleme mit Accounts von Kreisverbänden. Die Instagram-Seiten der Kreisverbände in Dortmund, Düsseldorf, Minden-Lübecke und Köln wurden mindestens zeitweise gesperrt.

„Diverse Basisgruppen hatten immer wieder Probleme“

Der Bundesverband der Linken schreibt auf netzpolitik.org-Anfrage: „Es kommt immer mal wieder vor, dass die Accounts von Kreisverbänden gesperrt werden. Manchmal melden sie sich dann bei uns, in der Hoffnung, wir hätten einen besonderen Draht zu Meta. Wir haben aber keine Liste dazu.“

Eine Vertreterin der Linksjugend solid, des Jugendverbands der Partei Die Linke, schreibt auf netzpolitik.org-Anfrage, dass der Instagram-Account ihres Kreisverbandes Bonn schon öfter getroffen worden sei. Die Linksjugend Köln sei zweimal blockiert worden und auch der Account des Landesverbandes der Linksjugend Nordrhein-Westfalen. „Diverse vor allem neue Basisgruppen hatten wohl immer mal wieder Probleme“, schreibt sie.

In der Nacht auf den 4. Juni 2025 hat es dann auch den Instagram-Account der Partei der Humanisten erwischt. Es war der reichweitenstärkste Kanal der Partei. Er wurde ohne konkrete Begründung gesperrt, so Sascha Klughardt, der Generalsekretär. „Trotz mehrfacher Kontaktaufnahme reagierte Meta bislang lediglich mit automatisierten Verweisen auf allgemeine Richtlinien. Es wurden keine Inhalte veröffentlicht, die gegen die Plattformregeln verstoßen hätten“, sagt er. Die Partei habe nun einen Anwalt eingeschaltet.

Demokratische Teilhabe in Gefahr

Für seine Partei sei Social Media ein zentrales Mittel der politischen Kommunikation, sagt Klughardt. Als kleine Partei sei sie besonders auf digitale Sichtbarkeit angewiesen.

„Die Sperrung stellt daher nicht nur einen massiven Eingriff in die digitale Sichtbarkeit dar, sondern wirft auch grundlegende Fragen zur Fairness und Transparenz digitaler Öffentlichkeiten auf. Wenn politische Parteien ohne nachvollziehbare Gründe von sozialen Netzwerken ausgeschlossen werden, gefährdet das die demokratische öffentliche Präsenz und Teilhabe“, sagt er. Es brauche neben einer schnellen Klärung durch Meta nun eine politische Debatte über die Verantwortung großer Plattformen für die digitale Demokratie.

Neben dem Parteiaccount seien auch private Accounts von Mitgliedern gesperrt worden. „Offenbar aufgrund von Verknüpfungen oder Interaktionen mit unseren Inhalten“, vermutet Klughardt. Zuvor hätte die Partei auf ihrem Account darauf hingewiesen, dass man der Nutzung seiner Daten für die Meta-KI widersprechen könne. Außerdem sei ein Video zum Pride Month gepostet worden, „das starke Aufmerksamkeit, auch aus rechten Influencer-Kreisen, auf sich gezogen hat.“

Meta will weniger Politik

Dass möglicherweise Rechte die Sperren angestoßen haben, kann sich auch Olayiwola-Olosun von der Grünen Jugend vorstellen. „Es ist möglich, dass Rechte uns melden“, sagt er. Wäre es der Fall, sollte Meta aber merken, dass die Meldungen falsch sind. „Das wäre deren Verantwortung.“

Er kann sich auch vorstellen, dass die Sperrungen mit Metas Ankündigung zu tun haben, künftig die Reichweite politischer Akteure auf den Plattformen zu begrenzen. Er sieht eine „möglicherweise politisch motivierte Einschränkung der digitalen Meinungsfreiheit.“

Olayiwola-Olosun und die Grüne Jugend Bonn haben sich auf einen kafkaesken Feldzug begeben, um ihr Konto zurückzubekommen. Sie haben Meta geschrieben und eine inhaltsleere Antwort bekommen. Sie haben eine Beschwerde bei der irischen Datenschutzbehörde eingereicht, die für Meta zuständig ist. Die hat sie an die Bundesbeauftragte für Datenschutz und Informationsfreiheit weitergeleitet, die wiederum an die Hamburger Datenschutzbehörde verwiesen hat. Die schrieb, dass sie nicht zuständig sei.

„Gefühlt ein Verwaltungsstudium“

Olayiwola-Olosun und die Grüne Jugend Bonn haben auch die Bundesnetzagentur kontaktiert und die Firma User Rights, die als externe Schlichtungsstelle Nutzer*innenrechte durchsetzt. Von diesen beiden gab es bislang keine Rückmeldung. Olayiwola-Olosun sagt: „Es ist ein Unding, dass es so viele parallele Strukturen gibt, man aber gefühlt ein Verwaltungsstudium braucht, um überhaupt die Zuständigkeiten zu verstehen.“

Geholfen habe bislang nur politischer Einfluss, zum Beispiel durch die grüne Europaabgeordnete Alexandra Geese. Eine Reihe von Grüne-Jugend-Accounts sei so wieder entsperrt worden. Die von Mittelrhein, Minden-Lübbecke, Gotha und Meißen sind aber weiterhin blockiert.

Um weniger abhängig von den Tech-Giganten zu sein, posten Olayiwola-Olosun und seine Mitstreiter*innen mittlerweile alle Inhalte auch auf der offenen Plattform Mastodon.