Angreifer können mehrere Sicherheitslücken in Ciscos System IOS XR ausnutzen. Dieses System dient unter anderem für Router der ASR-9000-Serie als Basis. Bislang gibt es keine Berichte über Attacken.

Die Entwickler versichern, die Lücken in den IOS-XR-Versionen 24.2.21, 24.4.2, 25.1.1, 25.1.2 und 25.2.1 geschlossen zu haben. Cisco gibt an, dass es für die folgenden Ausgaben keine Sicherheitsupdates gibt: 7.10, 7.11, 24.1, 24.3 und 24.4.

Softwareschwachstellen

Am gefährlichsten gilt eine DoS-Lücke (CVE-2025-20340 „hoch„), die sich in der Implementierung des Address Resolution Protocols (ARP) findet. An dieser Stelle können Angreifer ohne Authentifizierung das Managementinterface mit Anfragen überfluten, sodass Instanzen überlastet und nicht mehr nutzbar sind.

Setzen Angreifer erfolgreich an einer weiteren Schwachstelle (CVE-2025-20248 „mittel„) an, können sie .iso-Images manipulieren, die dann installiert werden. Dafür müssen sie aber eine große Hürde überwinden und bereits als Root-Nutzer an verwundbaren Systemen angemeldet sein.

Über die dritte Schwachstelle (CVE-2025-20159 „mittel„) können Angreifer Access Control Lists (ACL) umgehen.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)

Mit dem Werkzeug der Gemeinnützigkeit kann eine Gesellschaft fördern, was ihr wichtig ist und was sie erhalten will. Wer als Körperschaft, zum Beispiel als Verein, selbstlos und für einen gemeinnützigen Zweck tätig ist, der kann Steuervorteile genießen. Weil die Gesellschaft diese Tätigkeit als nützlich für die Allgemeinheit ansieht und deshalb honoriert.

Das ist gut, denn an vielen Orten des Landes arbeiten Menschen fürs Gemeinwohl. Die Abgabenverordnung, die in Deutschland gemeinnützige Zwecke regelt, deckt eine Spannbreite von Tätigkeiten ab, die einer vielfältigen Gesellschaft gerecht werden: Ob nun der bunte Karnevalsumzug, die Ortsverschönerung, der Schachverein, die lokale Umweltschutzinitiative oder die Kriegsgräberpflege – sie alle können vom Staat steuerlich begünstigt werden. Das bedeutet, dass zum Beispiel Spenden an diese Organisationen steuerlich absetzbar und von der Körperschafts- und Gewerbesteuer befreit sind.

Bald soll auch der E-Sport diesen Status der Gemeinnützigkeit bekommen, wie das Bundeskabinett am Mittwoch beschlossen hat. Das ist richtig so, denn warum soll Gaming weniger gut für die Allgemeinheit sein als Schach spielen oder Klettern?

Rechtsunsicherheit für gemeinwohlorientierten Journalismus

Gemeinwohlorientierter Journalismus allerdings bleibt weiter außen vor – und muss sich Hilfskonstruktionen bedienen, um gemeinnützig sein zu dürfen. Das funktioniert, aber birgt Unsicherheiten. Die Ampel-Regierung hatte in ihrem Koalitionsvertrag beschlossen, Rechtssicherheit für gemeinnützigen Journalismus zu schaffen. Es geht um nicht gewinnorientierte, parteipolitisch unabhängige, gemeinwohlorientierte Redaktionen. Doch das Vorhaben ist am Widerstand der Bundesländer gescheitert. Zu einem neuen Anlauf kam es nicht mehr, die Ampel zerbrach.

Dass von der unionsgeführten Bundesregierung keine neuen Impulse kommen, um gemeinwohlorientierten Journalismus zu fördern, verwundert wiederum nicht. Stattdessen zeigt die Union Misstrauen und Drohgebärden gegenüber der Zivilgesellschaft, jüngst durch Familienminsterin Priem, die die demokratische Zivilgesellschaft praktisch unter Generalverdacht stellte, während Kulturstaatsminister Wolfram Weimer die Stimmung weiter aufheizt. Damit stimmt die Union ein in das Lied rechtsradikaler Akteure, die eine angeblich linksgrüne Dominanz propagieren.

Von der Union ist deshalb nicht viel zu erwarten. Dabei ist gerade in Zeiten des galoppierenden Rechtsrucks nicht-kommerzieller, demokratischer, unabhängiger Journalismus ein Mittel, um Lügen, Propaganda und Desinformation mit Fakten, Aufklärung und Transparenz zu begegnen. Medien, die für die Demokratie eintreten statt sie zu demolieren, brauchen gerade jetzt mehr Rechtssicherheit, damit sie für das Gemeinwohl weiter recherchieren und informieren können.

Offenlegung: netzpolitik.org ist als gemeinwohlorientiertes Medium Mitglied im „Forum gemeinnütziger Journalismus“.

In Großbritannien stecken Schüler oder Schülerinnen hinter mehr als der Hälfte der von Insidern ausgeführten Cyberattacken auf Schulen. Das hat eine Analyse der britischen Datenschutzbehörde ergeben, die über 200 Vorfälle aus der Zeit zwischen Januar 2022 und August 2024 ausgewertet hat. Bei knapp einem Drittel der Vorfälle waren demnach entwendete Zugangsdaten ursächlich für eine Datenschutzverletzung, und die seien zu 97 Prozent auf Kosten von Kindern oder Jugendlichen gegangen. Das Information Commissioner’s Office (ICO) spricht von einem besorgniserregenden Trend und ergänzt, dass Nachlässigkeiten vonseiten der Schulen einen erheblichen Anteil an dem Problem hätten. Die sollten deshalb ihre Cybersicherheit verstärken.

Mit Kindern über ihre Aktivitäten reden

Dabei nennt die Behörde einige Beispiele. So hätten sich drei 11-Jährige unrechtmäßig Zugang zu einem System ihrer weiterführenden Schule verschafft, in dem Daten zu mehr als 1400 Schülern vorgehalten wurden. Im Nachhinein hätten sie erklärt, sich für IT und Cybersicherheit zu interessieren. Sie hätten ihre Fähigkeiten testen wollen und Werkzeuge aus dem Internet benutzt, um Passwörter zu knacken. In einem anderen Fall habe ein Schüler genauso einen Zugang benutzt, Informationen in einer Datenbank zu 9000 Beschäftigten, Bewerbern und Schülern nicht nur einzusehen, sondern zu ergänzen und abzuändern. Der Fall landete demnach bei der Polizei.

Die Behörde fordert Schulen jetzt auf, „Teil der Lösung zu sein“ und mehr für Datenschutz und Cybersicherheit zu tun. Aber auch Eltern sollten ihre Rolle wahrnehmen und regelmäßig mit ihren Kindern darüber sprechen, was diese online tun. Was spaßig wirke, könne sich schnell in „illegale und schädliche Aktivität“ mit weitreichenden Konsequenzen ausarten. Das kann offenbar auch früher anfangen, als man denken sollte. So habe die britische Kriminalpolizei NCA ermittelt, dass jedes fünfte Kind zwischen 10 und 16 Jahren online illegal aktiv sei. Zu einem Programm, das auf die schiefe Bahn geratenen Menschen mit weitreichenden IT-Kenntnissen helfen soll, sei erst vor einem Jahr sogar ein gerade einmal sieben Jahre altes Kind vermittelt worden.

(mho)