Ciscos Netzwerkbetriebssysteme IOS und IOS XE sind verwundbar. Die Entwickler haben nun mehrere Sicherheitslücken geschlossen. Eine Schwachstelle nutzen Angreifer bereits aus. In welchem Umfang die Attacken ablaufen, ist derzeit unklar. Sicherheitspatches stehen zum Download bereit.

Weiterführende Informationen zu den Schwachstellen, betroffenen Geräten und Updates finden Admins in den unterhalb dieses Beitrags verlinkten Warnmeldungen.

Netzwerke schützen

Die zurzeit ausgenutzte Lücke (CVE-2025-20352 „hoch„) betrifft Geräte wie Router und Switches mit IOS und IOS XE. Ansatzpunkt für Angreifer ist ein Fehler im Network Management Protocol (SNMP). An dieser Stelle können sie mit präparierten SNMP-Paketen ansetzen, die sie über Ipv4- oder Ipv6-Netzwerke verschicken. Sind Attacken erfolgreich, führt das zu einem DoS-Zustand und daraus resultierenden Abstürzen. Im schlimmsten Fall führen Angreifer sogar als Root Schadcode aus, was zu einer vollständigen Kompromittierung von Systemen führt. In beiden Fällen müssen Angreifer aber bereits authentifiziert sein.

Am gefährlichsten ist eine Schwachstelle (CVE-2025-20334 „hoch„) im Subsystem HTTP API von ISO XE eingestuft. Bringen Angreifer ohne Authentifizierung Opfer dazu, auf einen manipulierten Link zu klicken, können sie im Anschluss Befehle mit Root-Rechten ausführen.

Durch das erfolgreiche Ausnutzen der verbleibenden Sicherheitslücken können Angreifer vorwiegend DoS-Zustände erzeugen oder die Authentifizierung oder Sicherheitsmaßnahmen umgehen. Admins sollten zeitnah sicherstellen, dass die Sicherheitsupdates installiert sind.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)

Für kleinere Netzbetreiber in der EU und ihre Kund:innen steht diesen Herbst viel auf dem Spiel. Wer derzeit einen Internetanschluss braucht, kann in der Regel zwischen mehreren Anbietern auswählen. Umgekehrt müssen Netzbetreiber nicht zwangsläufig eigene Infrastruktur besitzen, um Kund:innen mit konkurrenzfähigen Angeboten zu locken. Dieses Gefüge könnte mit dem geplanten Digital Networks Act (DNA) ins Wanken geraten, dessen Entwurf die EU-Kommission in den kommenden Monaten vorstellen will.

Der Dienstleister Transatel bringt die Sorgen weiter Teile der Branche auf den Punkt. In einer Stellungnahme an die EU-Kommission mahnt der zum japanischen Telekom-Riesen gehörende Anbieter: „Ohne Auflagen für Anbieter mit signifikanter Marktmacht könnten marktbeherrschende Festnetz- und Mobilfunkbetreiber den Zugang zu ihren Netzen einschränken und kleinere sowie virtuelle Anbieter aus dem Markt drängen. Dies würde die Monopolverhältnisse wiederherstellen, die die Liberalisierung eigentlich beseitigen sollte, und den Wettbewerb, die Innovation und die Wahlfreiheit der Verbraucher:innen einschränken.“

Historisch gewachsener Regulierungsrahmen

Seit der Abschaffung der staatlichen Monopole in den 1990er-Jahren ist die europäische Regulierung von Telekommunikation auf Wettbewerb und damit zu weiten Teilen auf die Bedürfnisse kleinerer oder zumindest nicht marktdominanter Anbieter ausgerichtet. Sie erhalten zu streng regulierten Konditionen Zugang zu den Netzen der ehemaligen Staatsbetriebe, um ihnen auch ohne eigene Leitungen Konkurrenz machen zu können. Zugleich soll das Modell des Infrastrukturwettbewerbs Anreize dafür schaffen, dass sich moderne Technik, beispielsweise Glasfaser, gegen zunehmend obsolete Lösungen wie Kupferleitungen durchsetzen kann.

Perfekt war dieser marktgetriebene Ansatz zwar nie. Immerhin hat er jedoch verkrustete Strukturen aufgebrochen und einen Markt mit einer Angebotsvielfalt geschaffen, die zuvor kaum vorstellbar war. In die Kritik ist das Modell mit der Zeit von unterschiedlichen Seiten aus geraten: Inzwischen subventionieren etwa viele EU-Länder, darunter Deutschland, den Netzausbau in ländlichen Regionen, in denen sich das teure Verbuddeln von Leitungen für die Betreiber finanziell nicht rechnet.

Dieses Internet der Zukunft wünschen sich die mächtigen Telekom-Konzerne

An anderer Stelle zeigt das sogenannte Überbau-Phänomen die Grenzen des Marktes auf, indem volkswirtschaftlich fragwürdig wiederholt Straßen aufgerissen werden, um neue Leitungen zu verlegen, anstatt kooperativ bereits vorhandene zu nutzen. Auf EU-Ebene wiederum wollen die Stimmen nicht verhallen, die sich „europäische Champions“ wünschen – also möglichst große Netzbetreiber, die auf einem harmonisierten EU-Markt und letztlich auf dem Weltmarkt mitmischen können. Was sich die ehemaligen Monopolisten vom DNA erwarten, haben wir hier zusammengefasst.

Ambitionierte Ausbauziele der EU

Über all dem steht das Ziel der Kommission, bis Ende des Jahrzehnts ganz Europa auf moderne Gigabit- und Mobilfunk-Verbindungen aufzurüsten. Ein Selbstzweck ist das nicht: Ohne schnelle und flächendeckend verfügbare Internetverbindungen ist ein modernes Leben kaum vorstellbar. Außerdem steigert eine bessere Breitbandversorgung das Wirtschaftswachstum, wie Studien immer wieder belegen. Letzteres hat die Kommission zu einer ihrer Prioritäten für die laufende Legislaturperiode erklärt.

Regulatorisch hat die Politik in den vergangenen Jahren bereits an einigen Stellschrauben gedreht: Seit der letzten Überarbeitung der EU-Regeln durch den sogenannten TK-Kodex sind selbst marktdominante Betreiber von besonders strenger Vorab-Regulierung befreit, solange sie in Zusammenarbeit mit anderen Anbietern oder Investoren moderne Netze neu bauen.

Noch weiter gingen manche EU-Länder, Frankreich etwa. Diese schwenken immer mehr auf sogenannte symmetrische Regulierung um, bei der alle Marktakteure, unabhängig von ihrer Größe, gleich behandelt werden. Auch die Strategie Deutschlands, den Ausbau mit öffentlichen Mitteln zu unterstützen, war alles andere als eine Selbstverständlichkeit: Ihr waren zähe Verhandlungen mit der EU-Kommission vorangegangen, die Sorge vor Marktverzerrungen hatte.

Bretons Weißbuch gibt Richtung vor

In dieses Umfeld platzte der inzwischen aus der Kommission ausgeschiedene Thierry Breton. Im Vorjahr stellte der damalige EU-Binnenmarktkommissar ein Weißbuch mit teils detaillierten Visionen zur Zukunft digitaler Infrastrukturen in Europa vor. Darin enthalten und potenziell wegweisend für den DNA: Vorschläge einer umfassenden Deregulierung und Konsolidierung des Marktes, einer Abschwächung der Netzneutralität unter dem Schlagwort „Fair Share“ sowie die Vorhersage eines weiteren Zusammenwachsens von Netz- und Diensteebene, was sich entsprechend in der Regulierung des Bereichs widerspiegeln müsse.

Schon damals musste Breton saftige Kritik für seine großindustrie-freundliche Sicht einstecken, sowohl aus der Zivilgesellschaft als auch von EU-Ländern. Künftige Regulierungspolitik müsse den Wettbewerb fördern und den Verbraucherschutz hochhalten, zudem müsse in bestimmten Zugangsmärkten die bewährte Vorab-Regulierung nicht leichtfertig aufgehoben werden, hieß es etwa in einer Erklärung des EU-Rats zu seinem Weißbuch.

Hinzu kommt die Sorge vor allzu harmonisierten Vorschriften, die der zersplitterten Betreiberlandschaft in der EU kaum gerecht werden könnten. So gibt sich der deutsche Glasfaser-Verband BUGLAS, der rund 180 deutsche Anbieter vertritt, überzeugt davon, dass „einheitliche Regelungen angesichts der Heterogenität der Märkte in den Mitgliedsstaaten nicht zielführend sind“.

Tatsächlich bringt jedes EU-Land unterschiedliche politische, regulatorische und wirtschaftliche Voraussetzungen mit: Der Ausbau verhält sich in Flächenländern anders als in gebirgigen Gegenden. In manchen Ländern ist die Marktkonsolidierung weiter fortgeschritten als in anderen, und einige Länder haben etwa den Zwischenschritt Vectoring übersprungen und gleich auf Glasfaser gesetzt, weil es keine verlegte Kupferinfrastruktur gab, die sich wie in Deutschland hätte aufmöbeln lassen.

EU-Länder sind nicht gleich

Wie teils fundamental unterschiedlich die Ausgangslagen und Bedürfnisse innerhalb der EU sind, zeigt beispielsweise die Stellungnahme von Epic Communications, eines kleinen Anbieters aus Malta. Generell sei das Land in vielen Bereichen dysfunktional, erklärt der Anbieter: Bis heute seien schon vor Jahren verabschiedete EU-Gesetze wie die Kostensenkungsrichtlinie oder der Gigabit Infrastructure Act nicht umgesetzt. Außerdem sei die Wettbewerbsbehörde des Landes seit über einem Jahr nicht mehr handlungsfähig.

Eine Abschaffung der Vorab-Regulierung und Umstellung auf nachträgliche Kontrolle würde schnell an ihre Grenzen stoßen und wohl zu einer Remonopolisierung des Sektors führen, warnt der Anbieter: „Malta ist als kleiner Inselstaat mit erheblichen Hindernissen konfrontiert, darunter eine schwache Durchsetzungskapazität, begrenzte institutionelle Ressourcen, dominante Martakteure und im Verhältnis zu seiner Wirtschaftsgröße unverhältnismäßig hohe Kapitalausgaben.“

Ganz anders die Situation in Schweden, das zumindest in Ballungsgebieten, wo der überwiegende Teil der Bevölkerung lebt, schon früh auf Glasfaser gesetzt hatte und heute über eine entsprechend gute und über dem EU-Schnitt liegende Versorgung verfügt. Basierend auf eigenen Erfahrungen dämpft etwa der schwedische Anbieter Stokab die Erwartungen der EU-Kommission, dass eine Konsolidierung des Marktes und Reduzierung des Wettbewerbs große Effekte hätte.

Infrastruktur und Netzwerke wie Glasfasernetze hätten den „gleichen lokalen Charakter“ wie Wasserleitungen und Straßen, führt Stokab in seiner Stellungnahme aus. Dies gelte für das Verlegen neuer Leitungen sowie für den Betrieb und Wartung. „Der landesweite oder multinationale Ausbau und die Bereitstellung solcher Infrastrukturen und Netzwerke bieten grundsätzlich keine Skalenvorteile – die Hauptkosten (Erdarbeiten) bleiben die gleichen.“

Lob für TK-Kodex

Demnach würde eine Abkehr vom bisherigen Regulierungsrahmen kaum den Ausbau beschleunigen oder billiger machen. Der Ansatz sei „weder passend noch angebracht“, so Stokab, zumal die im TK-Kodex enthaltenen Regulierungserleichterungen für Wholesale-Anbieter wie Stokab „positive Auswirkungen auf Investitionen und die Marktentwicklung“ gehabt haben sollen. Gleichwohl würden diese Einwände nicht bei der grenzüberschreitenden Bereitstellung von Diensten gelten, wo sich die erwünschten Skaleneffekte mittels harmonisierter Regeln vermutlich umsetzen ließen, so der Netzbetreiber.

In eine ähnliche Kerbe schlägt der französische Wholesale-Anbieter Altitude. Der gegenwärtige Regulierungsrahmen samt der im TK-Kodex enthaltenen Anreize zur Kooperation habe das Ausrollen von Glasfasernetzen begünstigt und sollte schon allein aus Gründen der Rechtssicherheit beibehalten werden, schreibt Altitude. Und der Anbieter erinnert daran, wer eigentlich den initialen Ausbau bezahlt hat – bevor der einstige Monopolist France Télécom teilprivatisiert und zu Orange umbenannt wurde: „Die Leitungen von Orange, die größtenteils von der öffentlichen Hand für den Bau des Kupfernetzes finanziert werden, umfassen das gesamte Gebiet und sind nicht replizierbar. Sie sind die Hauptstütze für die Netze der nächsten Generation, und daher ist es notwendig, die asymmetrische Regulierung dieser Infrastruktur aufrechtzuerhalten.“

Die Supportticket-Management-Software Web Help Desk (WHD) von SolarWinds ist trotz mehrer Sicherheitspatches seit rund einem Jahr verwundbar. Nun gibt es abermals ein Update. Ob es zwischenzeitlich Attacken gegeben hat, ist bislang nicht bekannt.

Finaler Patch?

In den Versionshinweisen von WHD 12.8.7 hotfix 1 versichern die Entwickler, eine „kritische“ Schwachstelle (CVE-2025-26399) geschlossen zu haben. Sie betrifft der Beschreibung zufolge die AjaxProxy-Komponente. An dieser Stelle können Angreifer ohne Authentifizierung für Schadcode-Attacken ansetzen, um Hostsysteme zu kompromittieren.

Die Entwickler führen aus, dass der aktuelle Sicherheitspatch die Lücke jetzt endgültig schließen soll. Die Schwachstelle ist nämlich schon seit rund einem Jahr bekannt (CVE-2024-28986, CVE-2024-28988). Die vorigen Sicherheitspatches ließen sich den Entwicklern zufolge umgehen.

In einer Warnmeldung beschreiben sie, wie Admins ihre Instanzen aktualisieren können

(des)