Cisco und Ubiquiti haben Sicherheitsupdates veröffentlicht, die IP-Telefonie-Schwachstellen mit High-Einstufung schließen. Über aktive Angriffe ist bislang nichts bekannt. Dennoch sollten IT-Verantwortliche lieber drangehen und die verfügbaren Aktualisierungen einspielen.

Cisco: Denial-of-Service und Cross-Site-Scripting

Die von Cisco behobene Sicherheitslücke betrifft die Produktserien Desk Phone 9800, IP Phone 7800, IP Phone 8800 und Video Phone 8875. Ausdrücklich nicht verwundbar sind IP Phone 7800 und 8800-Serien, die auf der Cisco Multiplatform Firmware aufsetzen.

Erfolgreiche Angriffe via CVE-2025-20350 und CVE-2025-20351 aus der Ferne und ohne vorherige Authentifizierung könnten die Telefone per aufgezwungenem Neustart vorübergehend lahmlegen (Denial of Service, DoS). Außerdem sind Cross-Site-Scripting-Angriffe gegen Nutzer des grafischen Webinterfaces denkbar. Das Risiko bewertet Cisco als „hoch“ (CVSS-Score 7.5).

Exploits sind laut Cisco nur dann möglich, wenn das jeweilige Telefon beim Cisco Unified Communications Manager angemeldet ist und der Web-Zugriff aktiviert ist. Per Default sei dies nicht der Fall.

Wie man den aktuellen Status der Web-Access-Funktion prüft, ist Ciscos Advisory zu den Lücken zu entnehmen. Dort findet man auch eine Übersicht über die gefixten Releases der von den Geräten genutzten Cisco SIP Software.

Ubiquiti: Debugging-Funktionen als potenzielles Einfallstor

Die Sicherheitslücke CVE-2025-52663 (CVSS-Score 7.2) steckt in UniFi Talk Touch bis einschließlich Version 1.21.16, UniFi Talk Touch Max bis inklusive Version 2.21.22 sowie Telefonen der Serie UniFi Talk G3 bis inklusive Version 3.21.26.

Bei diesen Geräten wurde offenbar ab Werk die Debugging-Funktionalität nicht wie vorgesehen deaktiviert. Ein entfernter Angreifer mit Zugriff auf das UniFi Talk Management Network könnte über die Programmierschnittstelle der Geräte auf diese Funktionen zugreifen.

Welche Konsequenzen solche Manipulationen im Einzelnen hätten, ist Ubiquitis Schwachstellenbeschreibung im Security Advisory Bulletin nicht zu entnehmen. Ein Update mindestens auf die jeweils nächste Version (Talk Touch 1.21.17, Talk Touch Max 2.21.23, Talk G3 3.21.27) bannt jedenfalls die Gefahr.

(ovw)

Der gegenwärtige Trend, Künstliche Intelligenz (KI) zunehmend in Online-Suchmaschinen einzubauen, dürfte weitreichende Folgen für die Informationsvielfalt im Internet haben. Unabhängig von der Qualität automatisiert generierter KI-Antworten droht, dass sich viele Nutzer:innen mit ihnen zufrieden geben und nicht mehr auf die eigentlichen Quellen klicken – sofern sie diese überhaupt zu Gesicht bekommen. Der wegbrechende Traffic könnte wiederum das bestehende Geschäftsmodell vieler Medien gefährden, die sich bislang über Werbung auf ihren Online-Auftritten finanzieren.

Das sind die Kernaussagen eines aktuellen Gutachtens des Informationswissenschaftlers Dirk Lewandowski von der Hochschule für Angewandte Wissenschaften Hamburg (HAW), erstellt im Auftrag der Direktorenkonferenz der Landesmedienanstalten. Näher untersucht hat der Wissenschaftler die Angebote von Google und Bing, die inzwischen KI-Suchergebnisse prominent einblenden, sowie die KI-Chatbots ChatGPT und Perplexity. Die Datenerhebung fand im Mai 2025 statt und stellt eine „Momentaufnahme in einem sich schnell entwickelnden Feld“ dar, betont Lewandowski.

Einbrechende Klick-Zahlen

Dass sich die Informationslandschaft im Netz drastisch verändern dürfte, hatte sich bereits abgezeichnet, seit generative KI vor rund drei Jahren im großen Stil im Massenmarkt ausgerollt wurde. Seitdem verzeichnen viele Verlage teils erhebliche Einbrüche in den Klickzahlen und warnen vor dem „Ende des Internets, wie wir es kennen“, titelte etwa ein Kommentar auf heise online. Erste Studien zu diesen Effekten bestätigen den Eindruck: Dem US-amerikanischen Pew Research Center zufolge würden Nutzer:innen nur etwa halb so oft auf die Links zu den dazu gehörigen Suchergebnissen klicken, wenn ihnen KI-Zusammenfassungen angezeigt würden. Der bisherige Deal, Inhalte gegen Reichweite zu tauschen, wackelt beträchtlich.

Dabei starten die KI-Firmen von unterschiedlichen Ausgangspunkten. Alphabet und Microsoft, denen Google respektive Bing gehören, integrieren ihren KI-Ansatz in ihre etablierten Suchmaschinen und blenden die Ergebnisse von Anfragen dort ein. Chatbots wie ChatGPT setzen hingegen auf Konversationen mit ihren Nutzer:innen. KI-generierte Antworten stehen entsprechend im Mittelpunkt ihrer Produkte. Diese Richtung schlagen nun offenbar auch traditionelle Suchmaschinen ein. Zuletzt hat etwa Google damit begonnen, Nachfragen und Unterhaltungen mit den Suchergebnissen zu erlauben. Einfließen konnte dies in das aktuelle Gutachten allerdings nicht mehr.

Mehr Chats, weniger Quellenbesuche

Ein stärkerer Fokus auf chatbasierte Systeme dürfte die „Bedeutung der Quellen noch weiter einschränken“, heißt es in der Studie. Quellen dienten dann nur noch der vertiefenden Beschäftigung mit einem Thema, während sich viele Nutzer:innen mit den KI-Antworten zufriedengeben und allenfalls beim Bot weiter nachfragen.

Zugleich würden KI-basierte Systeme jedoch die sogenannte „Task Frontier“ erweitern. Hier fallen die Suche nach Informationen und deren anschließende Nutzung nahtlos zusammen. Solche Systeme könnten die Bearbeitung komplexer Aufgaben übernehmen, die sich mit bisherigen Suchsystemen nicht bearbeiten ließen, versprechen zumindest die KI-Anbieter. Wer braucht da noch Quellen?

Insgesamt verändere sich damit die Rolle von Suchmaschinen, die sich zunehmend von ihrer bisherigen Vermittlungsrolle verabschieden und „eigenständige Informationsobjekte“ erstellen würden. Daraus dürften sich medienrechtliche Fragen nach einem passenden Regulierungsansatz ergeben, was „juristisch zu betrachten und zu beantworten sein“ werde, schreibt Lewandowski.

Im Fluß ist auch die Frage, unter welchen Bedingungen und aus welchen Informationen diese Wissenshäppchen erstellt werden. Anfangs haben die KI-Firmen erst einmal ohne Rücksicht auf Urheberrecht oder Privatsphäre alles aus dem Netz abgezogen, was nicht niet- und nagelfest war, um damit ihre Systeme zu trainieren. Klagen folgten prompt. Zwar ist bis heute nicht endgültig geklärt, ob und in welchem Ausmaß sie dabei tatsächlich Recht gebrochen haben – aber neben außergerichtlichen Einigungen musste etwas Tragfähiges her.

Lizenzmodelle im Aufwind

In den vergangenen Jahren haben viele Verlage, aber auch Online-Dienste wie Reddit Verträge mit KI-Anbietern geschlossen. Gegen Bezahlung liefern sie mal mehr, mal weniger qualitativ hochwertiges Traningsmaterial. In Deutschland hat der Springer Verlag, der unter anderem die Bild, Welt und Politico herausgibt, eine Vorreiterrolle eingenommen. Seit Ende 2023 soll die Partnerschaft mit OpenAI „das Nutzungserlebnis mit ChatGPT um aktuelle und verlässliche Inhalte zu einer Vielzahl von Themen bereichern“, bewirbt der Verlag die Zusammenarbeit.

Das schlägt sich entsprechend auf der inhaltlichen Ebene nieder, wie das KI-Gutachten am Rande illustriert. Bisweilen blendet ChatGPT unterhalb der Antworten weiterführende Links ein, wenn es um besonders „aktualitätsrelevante Inhalte“ geht. Erwartungsgemäß handelt es sich im deutschsprachigen Raum sehr häufig um Angebote des Axel-Springer-Verlags. Die Folge: Interessierte Nutzer:innen können sich dann vor allem bei Bild oder Welt weiter darüber informieren, wie die Merz-Regierung etwa mit Themen wie Migration umgeht.

Generell bestehe bei solchen Lizenzvereinbarungen die Gefahr, schreibt Lewandowski, dass Suchsysteme nur die Inhalte eines oder weniger Anbieter in einem Themenfeld für die Generierung ihrer KI-Antworten verwenden. Letztlich könnte sich auch das negativ auf die Angebotsvielfalt im Netz auswirken und den Trend der abnehmenden Zugriffszahlen und rückläufigen Werbeeinnahmen verstärken.

Dabei sei es fraglich, ob neue Geschäftsmodelle wie die Lizenzierung der Inhalte an KI-Anbieter die geringeren Einnahmen durch den Traffic-Einbruch ausgleichen könnten. „Sofern dies nicht gelingt, wird die Menge und/oder Qualität der produzierten Inhalte zurückgehen“, heißt es im Gutachten.

Untergejubelte Informationen

Im Datenbestand der KI-Firmen zunehmen dürfte hingegen der Anteil von Inhalte-Lieferanten, die nicht auf eine direkte Refinanzierung ihrer Inhalte angewiesen sind. Das können Nichtregierungsorganisationen, Verbände und ohnehin alle sein, die die öffentliche Meinung beeinflussen wollen. Gerne auch verdeckt: PR-Agenturen, Unternehmen, Lobby-Firmen, Parteien und Staaten wie Russland, die groß angelegte Desinformationsnetzwerke mit massenhaft produzierten Inhalten betreiben.

In jedem Fall sei mehr Forschung notwendig, betont das Gutachten mehrfach, etwa im Hinblick auf das Nutzerverhalten und die langfristigen Traffic-Auswirkungen von KI-Antworten auf die Refinanzierung von Online-Inhalten. Zumindest ein rechtliches Folgegutachten befinde sich bereits in der Vergabephase, sagte Eva Flecken, Direktorin der Medienanstalt Berlin-Brandenburg und Vorsitzende der Direktorenkonferenz der Landesmedienanstalten, gegenüber Tagesspiegel Background (€).

Dieses Folgegutachten solle untersuchen, welche Rolle Intermediäre bei der Vielfaltssicherung spielen müssen; insbesondere stellten sich Fragen rund um Transparenz und Haftung. Außerdem habe der Digital Services Coordinator um eine Stellungnahme gebeten; also jene Stelle, die in Deutschland die Umsetzung des EU-Gesetzes über digitale Dienste (DSA) überwacht. Das Thema könnte bei der EU-Kommission landen.

Microsoft hat eine Erweiterung der .NET Security Group angekündigt. Bisher lief diese als private Gruppe und war nur auf Einladung zugänglich. Nun können sich jedoch Unternehmen, die ihre eigene Distribution von .NET ausliefern, um eine Mitgliedschaft bewerben – und vom Vorteil profitieren, früher als die Öffentlichkeit von erkannten Sicherheitslücken zu erfahren und Patches zu erhalten.

Die .NET Security Group mit den aktuellen Mitgliedern Canonical, IBM, Red Hat und Microsoft existiert bereits seit 2016. Das von Microsoft geführte .NET-Projekt veröffentlicht an den meisten Monaten am Patch Tuesday Informationen zu bekannten Sicherheitslücken und Fixes – so auch diesen Monat. Mitglieder der .NET Security Group erfahren jedoch schon rund eine Woche früher von bekannten Bedrohungen und erhalten entsprechende Patches, sodass sie ihre Binary-Pakete zur gleichen Zeit wie Microsoft bauen, validieren und veröffentlichen können.

Mitgliedschaft erfordert Vertrauen

Wie Microsoft auf seinem Entwicklerblog betont, erfordern die sensiblen Informationen ein hohes Maß an Vertrauen gegenüber den Partnern in der .NET Security Group. Nachdem Unternehmen das Bewerbungsformular eingereicht haben, findet daher zunächst eine Überprüfung der potenziellen neuen Mitglieder statt, die basierend auf dem Umfang der eingereichten Informationen meist einige Tage bis Wochen dauern soll. Zu den Kriterien zählen die Unternehmensauthentizität, Sicherheitsrisiken und mögliche Handelssanktionen. Jährlich prüft Microsoft die Mitglieder erneut und fordert unter Umständen weitere Informationen an.

Zugelassene Mitglieder müssen eine Programmvereinbarung über die Bedingungen der Mitgliedschaft unterschreiben, und zusätzlich ein Non-Disclosure Agreement (NDA) mit Microsoft, sofern noch nicht vorhanden.

(mai)