Angreifer können an einer Sicherheitslücke in MOVEit Transfer ansetzen, um Dateiübertragungen zu stören. Ein Update steht zum Download bereit.

Instanzen vor Attacken schützen

Die Entwickler weisen in einem Beitrag auf die Schwachstelle (CVE-2025-10932 „hoch„) hin. Sie raten zu einem zügigen Update. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Das Sicherheitsproblem betrifft konkret das AS2-Modul. Die Beschreibung der Lücke liest sich so, als können Angreifer Schadcode hochladen und so dafür sorgen, dass die Dateiübertragungssoftware nicht mehr nutzbar ist.

Davon sind die Versionen bis jeweils einschließlich 2023.0, 2023.1.15 (15.1.15), 2024.0, 2024.1.6 (16.1.6) und 2025.0.2 (17.0.2) bedroht. Die Entwickler versichern, die Lücke in den folgenden Ausgaben geschlossen zu haben:

• MOVEit Transfer 2023.1.16 (15.1.16)
• MOVEit Transfer 2024.1.7 (16.1.7)
• MOVEit Transfer 2025.0.3 (17.0.3)

Weil der Support für 2023.0 und 2024.0 ausgelaufen ist und es keine Sicherheitsupdates mehr gibt, müssen Admins auf eine noch unterstützte Version upgraden. Alternativ gibt es eine Übergangslösung: Um Systeme abzusichern, müssen Admins unter C:\MOVEitTransfer\wwwroot die Dateien AS2Rec2.ashx und AS2Receiver.aspx löschen.

Nach der Installation des Sicherheitsupdates ist noch Arbeit vonnöten: Weil der Patch den Zugriff durch eine Liste mit erlaubten IP-Adressen einschränkt, müssen Admins die jeweiligen Adressen manuell in den Einstellungen (Settings->Security Policies->Remote Access->Default Rules) eintragen. Im Onlinedienst MOVEit Cloud soll bereits eine abgesicherte Ausgabe laufen.

MOVEit sorgte Mitte 2023 für viele Schlagzeilen, weil eine attackierte kritische Lücke weltweite Auswirkungen hatte.

(des)

KI war schon mehrfach Thema im Videocast software-architektur.tv. Doch dieses Mal geht es darum, wie Eberhard Wolff und sein Gast Ralf D. Müller KI für den Stream selbst einsetzen: Es gibt jetzt automatische Transkriptionen und Zusammenfassungen. Diese neuen Features sind mithilfe von KI, Prompt-Driven Development und GitHub Copilot entstanden. In dieser Episode sprechen Ralf D. Müller und Eberhard Wolff darüber, wie sie dabei vorgegangen sind und welche Erfahrungen sie gesammelt haben:

Was hat gut funktioniert? Was weniger? Und vor allem – was haben sie über den praktischen Einsatz von LLMs in echten Projekten gelernt?

So stehen in dieser Halloween-Episode keine Kürbisse, sondern Code und KI im Mittelpunkt.

Lisa Maria Schäfer wird diesmal keine Sketchnotes zeichnen.

Livestream am 31. Oktober

Die Ausstrahlung findet am Freitag, 31. Oktober 2025, live von 13 bis 14 Uhr statt. Die Folge steht im Anschluss als Aufzeichnung bereit. Während des Livestreams können Interessierte Fragen via Twitch-Chat, YouTube-Chat, Bluesky, Mastodon, Slack-Workspace oder anonym über das Formular auf der Videocast-Seite einbringen.

software-architektur.tv ist ein Videocast von Eberhard Wolff, Blogger sowie Podcaster auf iX und bekannter Softwarearchitekt, der als Head of Architecture bei SWAGLab arbeitet. Seit Juni 2020 sind über 250 Folgen entstanden, die unterschiedliche Bereiche der Softwarearchitektur beleuchten – mal mit Gästen, mal Wolff solo. Seit mittlerweile mehr als zwei Jahren bindet iX (heise Developer) die über YouTube gestreamten Episoden im Online-Channel ein, sodass Zuschauer dem Videocast aus den Heise Medien heraus folgen können.

Weitere Informationen zur Folge finden sich auf der Videocast-Seite.

(mdo)

Zwei Monate vor Weihnachten hat die Bundesregierung ihren Wunschzettel für den sogenannten Digital-Omnibus nach Brüssel gesandt. Und in dem steckt einiges: Auf gut zehn Seiten ist teils detailreich vermerkt, was die sie gerne an Änderungen bei der von der EU-Kommission geplanten Überarbeitung der Digitalgesetzgebung hätte. Einige der Änderungswünsche haben es jedoch in sich und gehen in ihrer Wirkung über die eigentlich in solchen Verfahren üblichen kleineren Änderungswünsche weit hinaus. Auch deshalb wurde in der Bundesregierung über Wochen intensiv verhandelt.

Berlin für Verschiebung bei Hochrisiko-KI-Regulierung

Besonders lang geraten ist die Liste der Änderungswünsche bei der KI-Verordnung. Bei der zunächst umrungenen Verabschiedung waren die Mitgliedsstaaten zunächst stolz, eine neue Technologie frühzeitig zu regulieren. Nun sollen maßgeblich Änderungen vorgenommen werden. Der wohl wichtigste Vorschlag: Für die beiden Hochrisikobereiche der Anhänge I und III der KI-VO soll die Anwendung um ein Jahr verzögert werden. Hinter Anhang I verbergen sich eine Reihe bereits anderweitig regulierter Systeme, darunter fällt etwa Spielzeug oder Motorboote. Anhang III befasst sich unter anderem mit Systemen zur biometrischen Überwachung und kritischer Infrastruktur.

Der Vorschlag, den Digitalminister Karsten Wildberger schon vor einigen Monaten erstmals machte, sieht nun vor, dass die erweiterte Regulierung nach KI-VO ein Jahr später greift, also statt 2026 erst 2027. Zusätzlich schlägt die Bundesregierung vor, dass die Kriterien zur Feststellung, ob ein Allzweck-KI-Modell (gpAI) über „hochwirksame Fähigkeiten“ verfügt und daher als gpAI-Modell mit systemischem Risiko eingestuft wird, überarbeitet werden sollen. Das war bislang vor allem über den Schwellenwert der Rechenpower für den Trainingsdatensatz definiert – etwas, das von Beginn an für Kritik sorgte. Hier will die Bundesregierung künftig jenseits der reinen Rechenpower differenzieren.

Einzelstreichungen mit großen Auswirkungen

Einige Diskussionen dürfte die Forderung nach einer ersatzlosen Streichung der Folgeabschätzung für Hochrisikosysteme für die Menschenrechte auslösen. Denn gerade die Frage, ob algorithmisch „erlernte“ oder durch Trainingsdatensätze beförderte Diskriminierung sich perpetuiert oder konzentriert, sowie ob nichteuropäische Modelle den europäischen Wertevorstellungen aktiv widersprechend designt wurden, war in der Entstehungsgeschichte der KI-Verordnung von großer Bedeutung.

Berlin möchte zudem weitere Ausnahmen für die Forschung festhalten. Die Bundesregierung schlägt vor, dass die Forschungsbesserstellung in Artikel 2 der KI-VO künftig auch in Realanwendungen erhalten bleiben soll – was bisher nicht erlaubt war. Da aber KI-Modell-Training immer auch Forschung und Entwicklung ist und die Ausnahme nicht auf Forschungseinrichtungen begrenzt ist, könnte das de facto eine Komplettaushöhlung der Vorschriften bedeuten.

KMU-Ausnahmen würden KI-Verordnung aushöhlen

Die Bundesregierung schlägt außerdem vor, dass die Ausnahmen nach Artikel 63 Absatz 1 KI-Verordnung nicht nur auf Kleinstunternehmen, also Unternehmen mit weniger als 10 Mitarbeitern und weniger als 2 Millionen Euro Jahresumsatz, sondern auch auf alle sogenannten Kleinen und Mittelständischen Unternehmen Anwendung finden soll. Das würde Unternehmen bis 50 Millionen Euro Jahresumsatz und bis zu 249 Mitarbeitern einschließen. Laut EU-Statistiken würden, wenn auch die KMU ausgenommen würden, 99 Prozent der Unternehmen in der EU von vielen AI-Act-Pflichten ausgenommen. Dass schon die bisherigen Kriterien ihre Tücken haben, da digitale Unternehmen auch mit wenigen Mitarbeitern und formell geringen Jahresumsätzen schnell einen großen Impact entwickeln können, ignoriert der Berliner Input für Brüssel.

Die Regierung äußert zudem den Wunsch, über verschiedene Rechtsakte hinweg konsistente Begrifflichkeiten zu definieren. Denn bislang gab es teils gleichlautende, allerdings je nach Gesetz unterschiedlich definierte Begriffe – das Papier der Bundesregierung nennt hier etwa die Definition des Inverkehrbringens eines Modells oder notwendigen Sicherheitsmaßnahmen zwischen der KI-Verordnung und der Maschinenverordnung.

Fragwürdiger Cookie-Kompromissvorschlag

Auch jenseits des AI Acts hat sich Berlin mit Vorschlägen für gesetzliche Änderungen eingebracht. Während die Bundesregierung sich in den Vorschlägen für den Omnibus zum Thema Datenschutz zurückhält und sich nur vage für eine möglichst weitgehende Ausnahme von kleinen, mittelständischen und mit geringen Risiken behafteten Datenverarbeitungen ausspricht, macht sie sich zudem noch für eine Änderung der E-Privacy-Richtlinie stark: „Eine Einwilligung ist nicht erforderlich, wenn die technische Speicherung oder der Zugriff eindeutig keine Auswirkungen auf die Privatsphäre und den Datenschutz hat“, heißt es in dem Papier. Dass diese Eindeutigkeit selten gegeben sein dürfte, wird auch den Bundesministerien dabei durchaus bewusst gewesen sein. Mittelfristig wünsche sich Deutschland eine stärkere Berücksichtigung der Wettbewerbsfähigkeit im Datenschutzrecht – aber ohne, dass das Niveau abgesenkt werden dürfe. Wie das gehen soll, verrät die Stellungnahme gleichwohl nicht.

Konkreter wiederum sind die Vorstellungen geraten, mit denen die Bundesregierung den Data Act überarbeiten will: Von der Definition, was eigentlich genau unter dieses Gesetz fällt über die damit verbundenen Pflichten bis hin zur Streichung kompletter Teile und der Abschaffung der Verordnung über den freien Verkehr nichtpersonenbezogener Daten in der EU gehen hier die Ideen, die Berlin gen Brüssel geschickt hat. Offenbar scheint in Berlin der Eindruck vorzuherrschen, dass die verschiedenen Regulierungsstränge, an denen auch alle bisherigen Bundesregierungen mitgewirkt haben, derzeit vor allem Durcheinander verursachen.

Nur dort, wo es um den Staat selbst als Akteur geht, ist der Wunschzettel besonders wortkarg ausgefallen: Bei der Verwaltungsdigitalisierung bleibt Berlin in der Stellungnahme vage: Hier sollten die unterschiedlichen Vorschriften besser aufeinander abgestimmt werden, so der Wunsch. Die EU-Kommission will ihre eigenen Pläne am 19. November vorstellen, das „Digitalomnibus“ genannte Artikelgesetz könnte, bereinigt um allzu strittige Punkte, relativ zügig verabschiedet werden, hoffen die Beteiligten.

(emw)