Geht es nach der Schweizer Regierung, sollen Internetdienste mit über 5.000 Nutzer*innen diese per Ausweis identifizieren – und deren Identität auf Anfrage gegenüber Behörden offenlegen müssen. Möglich wäre auch eine Identifizierung per Kreditkarte oder Telefonnummer, für die gesetzesgemäß ja ebenfalls eine Ausweiskopie hinterlegt ist.

Der Bundesrat – die Regierung der Schweiz – hat das Vorhaben Ende Januar vorgeschlagen. Konkret geht es um eine Änderung der Verordnung über die Überwachung des Post- und Fernmeldeverkehrs. Die Regierung erlässt Regierungsverordnungen ohne Parlamentsbeschluss.

Bis zum Mai konnten Organisationen Stellungnahmen dazu abgeben. Das taten sie auch vielfältig, insgesamt gibt es 830 Seiten Feedback. Doch der Bundesrat scheint an dem Vorhaben festzuhalten.

Deshalb hat nun der Schweizer Verein Digitale Gesellschaft gemeinsam mit der Kampagnenplattform Campax über 15.000 Unterschriften eingereicht. Sie wollen das Projekt noch aufhalten oder zumindest entschärfen.

Überwachung wie in autoritären Staaten

Laut der Petition droht „eine anlasslose, massenhafte Überwachung, wie man sie sonst nur aus autoritären Staaten kennt.“ Das Vorgehen des Bundesrates untergrabe demokratische Institutionen und stelle den Willen der Bevölkerung, des Parlaments und der Justiz in Frage. Durch die Verordnung würden „Risiken von Datenlecks steigen, während Geschäftsmodelle, die auf Datenschutz und Anonymität beruhen (Proton, Threema, …), nicht mehr möglich sind.“

Proton, das unter anderem E-Mail-Adressen und VPNs anbietet, überlegt aufgrund der Verordnung, einen Teil seiner technischen Infrastruktur aus der Schweiz abzuziehen und in Deutschland und Norwegen anzusiedeln. Robin Simon, Chef des datenschutzfreundlichen Messengers Threema, sagte gegenüber dem Tages-Anzeiger, dass der Bundesrat versuche, die Überwachungsmöglichkeiten, die das Bundesgericht 2021 zurückgewiesen habe, „durch die Hintertür wieder einzuführen“.

Laut dem Medium Republik überlegt Threema sogar, wenn nötig eine Volksinitiative gegen die Verordnung zu lancieren. Dort wird auch Alexis Roussel, COO des Technologie-Start-ups Nym zitiert: „In der Schweiz wird es keine private, digitale und datenschutzfreundliche Kommunikation mehr geben“, sagt er.

Meta oder Google sind nicht betroffen

Laut Republik fiele jede Website, über die sich Personen Direktnachrichten zuschicken können, unter die neue Bestimmung. „Also beispielsweise auch die Marktplätze Ricardo, Tutti und der Onlinehändler Digitec. Aber auch Videospiel-Betreiber, bei denen sich Gamerinnen über Text- und Videokommunikation austauschen können.“

In der Petition heißt es dazu: „Ausländische Anbieter wie Meta oder Google sind von der Verordnung nicht betroffen. Schweizer Anbieter werden hingegen massiv belastet – das ist ein klarer Wettbewerbsnachteil für unsere Tech-Branche. Damit wird ausgerechnet in einer geopolitisch kritischen Zeit die digitale Souveränität der Schweiz untergraben.“

Neben der Pflicht zur Identifizierung der Nutzer*innen droht mit der Verordnung auch eine Mitwirkungspflicht der Dienste-Anbieter bei der Entschlüsselung von Inhalten. In Artikel 50a heißt es, die Anbieterinnen „entfernen die von ihnen oder für sie angebrachten Verschlüsselungen. Sie erfassen und entschlüsseln dafür den Fernmeldeverkehr der überwachten Person an geeigneten Punkten“. Ende-zu-Ende-verschlüsselte Nachrichten sind dabei allerdings ausgenommen.

„Die Regelungen gehören in ein Gesetz“

Für Dienste mit über einer Million Nutzer*innen weltweit würden sogar noch weitergehende Pflichten gelten. So müssten sie beispielsweise speichern, wer wann wie lange von wo mit wem kommuniziert.

Der Verein Digitale Gesellschaft kritisiert vor allem den Versuch, eine derart weitreichende Veränderung per Verordnung durchzusetzen. „Die Regelungen gehören zwingend in ein Gesetz, müssen vom Parlament erlassen und einer demokratischen Legitimation mittels Referendum unterstellt werden“, schreibt er in einer Stellungnahme.

Das Medium Republik sieht in der Verordnung eine große Gefahr für die zu speichernden persönlichen Daten. In dem genannten Artikel heißt es: „KMU müssten einen enormen Aufwand leisten, um jene neuen Datenbanken auch gebührend gegen kriminelle Cyberattacken abzusichern, damit sie nicht im Darknet landen. Dass das möglich sein wird, dürfte eine Illusion sein. Denn Studien aus den letzten Jahren zeigen, dass viele kleine und mittlere Unternehmen das Risiko von Cyberattacken unterschätzen und sich entsprechend zu wenig schützen.“

Berichte machen derzeit die Runde, dass es bei Paypal zu einem massiven Datenabfluss gekommen sei. In einem Untergrundforum verkauft ein Krimineller mit dem Handle „Chucky_BF“ angeblich rund 15,8 Millionen Zugangsdaten zu Paypal – einschließlich Klartext-Passwörtern.

Die Daten sollen einen Umfang von 1,1 GByte haben und die Log-in-E-Mail-Adressen, Klartextpasswörter sowie verknüpfte URLs enthalten. Dazu gehören API-Endpunkte und URLs wie /signin und /signup. Ordentlich sortiert scheinen die Daten nicht zu sein, denn „Chucky_BF“ räumt ein, dass Varianten davon Paypal-Links mit eingebetteten Zugangsdaten umfassen sowie länderspezifische Domains oder Mobil-Formate. Sie seien jedoch „ein hohes Risiko für Credential Stuffing, Phishing oder Betrugskampagnen“, bewirbt der Täter sein Angebot. Das behauptete Datum des Datenlecks war am 6. Mai dieses Jahres.

Datenherkunft Paypal?

Auf X ordnet Troy Hunt, der das Have-I-Been-Pwned-Projekt betreibt, das Datenleck ein. An Paypal selbst als Ursprung glaubt er nicht.

Demnach schätzt er: „Da die Passwörter definitiv nicht als Klartext von Paypal kommen, wurden sie entweder auf einem anderen Weg ergattert (Info-Stealer, Credential Stuffing) oder es gibt eine andere Erklärung für diese Behauptung.“

Auch das angekündigte „Durcheinander“ der Daten spricht dafür, dass diese nicht von Paypal selbst stammen, sondern eben aus anderen (älteren) Dumps zusammengestellt wurden, die etwa Info-Stealer, also Malware auf Rechnern von Opfern, gesammelt haben. Ein weiterer Hinweis für die eher maue Qualität der Daten ist der Preis, den „Chucky_BF“ sich vorstellt. Er möchte 750 US-Dollar dafür haben. Das ist eher wenig für echte, aktuelle Paypal-Zugangsdaten.

Auch wenn die Daten nicht bei Paypal entwendet wurden, sollten Paypal-Nutzer prüfen, ob es unbefugte Zugriffe mit ihren Zugangsdaten gab. Außerdem sollten sie entweder die Mehr-Faktor-Authentifizierung aktivieren oder gleich zu Passkeys wechseln.

In jüngerer Vergangenheit machen öfter derartige Funde von Zugangs-Datenhalden die Runde. Sie entpuppen sich regelmäßig als Wiederveröffentlichung oder Remixe alter Daten aus früheren Leaks. So war auch im Juni die Aufregung um einen Datenfund von 16 Milliarden Zugangsdaten deutlich überzogen.

(dmk)

In der Remote-Monitoring-und-Management-Software (RMM) N-central von N-able wurden zwei Sicherheitslücken entdeckt, die Angreifern das Einschleusen von Befehlen ins Betriebssystem respektive das Ausführen von eingeschmuggelten Schadcode erlauben. Diese werden bereits im Internet angegriffen. IT-Forscher sehen noch mehr als tausend ungepatchte N-central-Instanzen, darunter auch viele in Deutschland.

Tiefgehende Details nennt N-able in den Schwachstelleneinträgen nicht. Zum einen können Angreifer lokal beliebigen Code ausführen, da N-central nicht vertrauenswürdige Daten deserialisiert (CVE-2025-8875 / EUVD-2025-24823, CVSS 9.4, Risiko „kritisch„). Zum anderen filtert N-central Benutzereingaben nicht ausreichend, sodass bösartige Akteure Befehle ans Betriebssystem einschleusen können (CVE-2025-8876 / EUVD-2025-24822, CVSS 9.4, Risiko „kritisch„).

Die US-amerikanische IT-Sicherheitsbehörde CISA hat in der vergangenen Woche die Sicherheitslücken in den „Known Exploited Vulnerabilities“-Katalog aufgenommen. Wie die Angriffe aussehen, ist derzeit unklar, auch der Umfang und das Ausmaß verrät die CISA nicht.

Aktualisierte Software korrigiert die Fehler

Die Sicherheitslecks stopft N-able mit dem Update auf N-central 2025.3.1. Der Hersteller schweigt sich in der Versionsankündigung – darin enthalten auch der Download-Link auf die Aktualisierung – zu den laufenden Attacken aus, ergänzt jedoch den Hinweis, dass eine Authentifizierung zum Missbrauch der Schwachstellen nötig sei. Aufgrund des hohen Schweregrads scheint das jedoch eine einfach zu erklimmende Hürde zu sein.

Die Shadowserver Foundation hat am Wochenende eine Auswertung der Internet-Scans auf X veröffentlicht. Demnach waren am vergangenen Freitag 1077 IP-Adressen für die Schwachstellen CVE-2025-8875 und CVE-2025-8876 anfällig.

Der Großteil verteilt sich auf die USA, Kanada, die Niederlande und das Vereinigte Königreich. Jedoch waren auch in Deutschland etwa 50 Systeme im Netz erreichbar und nicht gegen die Sicherheitslecks abgesichert. IT-Verantwortliche sollten die Aktualisierung umgehend installieren, um die Angriffsfläche zu reduzieren.

Cyberkriminelle sind oftmals sehr zügig dabei, neu entdeckte Sicherheitslücken zum Einbruch in Netzwerke zu missbrauchen. Auch in Trend Micros Apex One wird derzeit eine Schwachstelle aktiv angegriffen, für die erst jetzt ein finaler Patch bereitsteht, um die Lücke korrekt zu schließen.

(dmk)