Seit dreieinhalb Jahren streiten die EU-Institutionen über eine verpflichtende Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, auf Anordnung die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Die EU-Staaten können sich im Rat bisher nicht auf eine gemeinsame Position einigen. Letzte Woche hat die dänische Ratspräsidentschaft einen neuen Kompromiss vorgeschlagen. Euractiv hat den Vorschlag veröffentlicht. Wir veröffentlichen das Dokument ohne Wasserzeichen.

Anderer Ansatz erforderlich

Dänemark erklärt darin den bisherigen Verlauf des Gesetzgebungsverfahrens. Die EU-Staaten haben ganze 37 Mal in der Ratsarbeitsgruppe Strafverfolgung und mehrmals auf Ebene der Ständigen Vertreter verhandelt.

Einigen konnten sie sich nicht. Manche Staaten wollen eine weitreichende verpflichtende Chatkontrolle. Andere Staaten haben „Bedenken hinsichtlich des Schutzes der Grundrechte der Nutzer und der Cybersicherheit“ und „Zweifel hinsichtlich der Verfügbarkeit zuverlässiger und genauer Technologien zur Erkennung“ strafbarer Inhalte.

Deshalb ist Dänemark „der Ansicht, dass ein anderer Ansatz erforderlich ist“.

Verpflichtende Chatkontrolle streichen

Dänemark schlägt vor, im Gesetzentwurf den ganzen Abschnitt zu „Aufdeckungspflichten“ zu streichen, also Artikel 7 bis 11. Das sind die „Aufdeckungsanordnungen“, also die Verpflichtung zur Chatkontrolle.

Die „vorübergehende Ausnahme“ der Vertraulichkeit der Kommunikation will Dänemark hingegen „dauerhaft machen“. Laut Datenschutzrichtlinie für elektronische Kommunikation dürfen Internetdienste die Inhalte ihrer Nutzer:innen nicht „mithören, abhören, speichern oder auf andere Arten abfangen oder überwachen“.

Die freiwillige Chatkontrolle war seit 2002 verboten, ist seit 2021 vorübergehend erlaubt, mit dem Gesetz soll sie dauerhaft erlaubt werden.

Risiko für Straftaten mindern

Internet-Dienste sollen das Risiko mindern, dass ihre Dienste für Straftaten genutzt werden. Dazu zählt unter anderem eine Altersüberprüfung. Jetzt soll auch die freiwillige Chatkontrolle als mögliche Minderungsmaßnahme gelten.

Dienste, die ein „hohes Risiko“ haben, für Straftaten genutzt zu werden, sollten „weiterhin verpflichtet werden, Maßnahmen zur Entwicklung relevanter Technologien zu ergreifen, um das Risiko des sexuellen Missbrauchs von Kindern, das auf ihren Diensten festgestellt wurde, zu mindern“.

Sprungbrett für weitere Arbeiten

Dänemark will die verpflichtende Chatkontrolle aber nicht vollständig aufgeben. Die Ratspräsidentschaft will eine „Überprüfungsklausel“ einführen. Die fordert die EU-Kommission auf, „die Notwendigkeit und Durchführbarkeit der künftigen Aufnahme von Aufdeckungspflichten unter Berücksichtigung der technologischen Entwicklungen zu bewerten“. Das kann „zu einem neuen Legislativvorschlag der Kommission führen“.

Die EU-Kommission hat die verpflichtende Chatkontrolle überhaupt erst vorgeschlagen und treibt sie unermüdlich voran. Dänemark schlägt also vor, dass die Kommission die freiwillige Chatkontrolle bewerten soll. Wenn es ihr nicht reicht, soll sie nochmal ein EU-Gesetz mit verpflichtender Chatkontrolle vorschlagen.

Die Ratspräsidentschaft bezeichnet den Kompromissvorschlag „als Sprungbrett für weitere Arbeiten zum Schutz von Kindern im Internet“.

Zustimmung nicht absehbar

Ob die EU-Staaten diesen Kompromiss mitgehen, ist bisher nicht absehbar. Im ersten Halbjahr hat die polnische Ratspräsidentschaft einen sehr ähnlichen Vorschlag gemacht. Dieser Vorschlag fand nicht genug Zustimmung, die Mehrheit der EU-Staaten beharrte auf verpflichtender Chatkontrolle.

Morgen tagen die Ständigen Vertreter der EU-Staaten erneut und diskutieren den Vorschlag.

Die Entwickler der In-Memory-Datenbank Redis haben eine Sicherheitslücke darin geschlossen. Sie ermöglicht Angreifern, beliebigen Schadcode auszuführen.

Im Github-Repository von Redis findet sich ein Schwachstelleneintrag, der die Sicherheitslücke erörtert. Demnach können Nutzerinnen und Nutzer den Befehl XACKDEL mit mehreren IDs aufrufen und dadurch einen Stack-basierten Pufferüberlauf auslösen. Das wiederum kann zur Ausführung von zuvor eingeschleustem Code führen (CVE-2025-62507, CVSS zwischen 7.7 und 9.8, Risiko „hoch“ bis „kritisch„). Das Problem liegt darin, dass der Redis-Code den Fall nicht abfängt, wenn die Anzahl an IDs über die STREAMID_STATIC_VECTOR_LEN hinausgeht. Dadurch überspringt er eine Reallokation, die schließlich in den Stack-basierten Pufferüberlauf mündet.

Redis-Lücke: Unklare Risikoeinstufung

Die Redis-Entwickler rechnen einen CVSS4-Wert von 7.7 aus, was einem hohen Risiko entspricht. Die SUSE-Maintainer kommen hingegen auf CVSS4 9.3 respektive CVSS3.1 9.8, beides der Risikostufe „kritisch“ entsprechend.

Das Problem tritt ab Redis 8.2 auf. Die Version 8.2.3 und neuere enthalten den Fehler hingegen nicht mehr. Admins, die Redis einsetzen, sollten auf diese oder neuere Fassungen der Datenbank aktualisieren. Wer das Update noch nicht durchführen kann, sollte temporäre Gegenmaßnahmen einleiten. Die Redis-Programmierer erklären, dass Nutzerinnen und Nutzer von der Ausführung des anfälligen Befehls XACKDEL ausgeschlossen werden können. Dazu lässt sich der Zugriff auf den Befehl mittels ACL (Access Control List) beschränken.

Vor rund vier Wochen haben die Programmierer bereits eine als kritisches Risiko eingestufte Sicherheitslücke in Redis geschlossen. Mit sorgsam präparierten LUA-Skripten war es möglich, eine Use-after-free-Situation zu provozieren und dabei eingeschleusten Programmcode auszuführen. Das hat die Vorversion 8.2.2 von Redis korrigiert.

(dmk)

Cyberkriminelle unterwandern die IT von Logistikunternehmen und stehlen deren Fracht. Darauf sind nun IT-Sicherheitsforscher gestoßen. Es handelt sich um ein Multi-Millionen-Geschäft für die Täter. Die zunehmende Vernetzung im Internet der Logistiker führt demnach zu einer Zunahme von Netz-basiertem physischem Diebstahl.

Das erklären IT-Sicherheitsforscher von Proofpoint in einem Blog-Beitrag. Angreifer kompromittieren die Logistiker und nutzen den IT-Zugang, um auf Frachttransporte zu bieten, die Ladung dann zu stehlen und sie zu verkaufen. Eine Auffälligkeit ist demnach, dass die Akteure „Remote Monitoring and Management (RMM)“-Werkzeuge installieren, was allgemein ein Trend in der Bedrohungslandschaft ist, dem Cyberkriminelle als ersten Schritt nach Einbruch in die IT von Unternehmen derzeit folgen.

Vom IT-Einbruch zum physischen Diebstahl

Proofpoints Analysten haben ihre eigenen Beobachtungen mit öffentlich zugänglichen Informationen angereichert und kommen dadurch zu der Erkenntnis, dass die Bedrohungsakteure mit Gruppen des organisierten Verbrechens zusammenarbeiten, um Einrichtungen des Transportwesens zu kompromittieren. Im Speziellen haben sie Fracht-Fernverkehr und Fracht-Makler im Visier, um Frachtladungen zu entführen und damit physische Güter zu stehlen. „Die gestohlene Fracht wird höchstwahrscheinlich online verkauft oder nach Übersee verschifft“, erklären die IT-Analysten. Diese Straftaten können massive Einschränkungen in Lieferketten verursachen und Unternehmen Millionen kosten. Die Täter stehlen dabei alles vom Energy-Drink bis zu Elektronik.

Bei den beobachteten Angriffskampagnen haben die Täter versucht, Unternehmen zu infiltrieren und die betrügerischen Zugänge zum Bieten auf das Verfrachten von echten Gütern zu nutzen, um diese am Ende zu stehlen. Laut der Analyse beträgt der jährliche Schaden 34 Milliarden US-Dollar. Allerdings sind nicht nur die USA betroffen. Proofpoint nennt Zahlen von Munich Re, wonach globale Diebstahl-Schwerpunkte Brasilien, Chile, Deutschland, Indien, Südafrika und die USA umfassen. Zumeist sind Transporte von Nahrungsmitteln und Getränken im Visier der Kriminellen. IT-gestützter Diebstahl ist demnach eine der häufigsten Formen des Frachtdiebstahls und basiert auf Social Engineering und Kenntnissen über die Funktionsweise der Lkw- und Transportbranche.

Aktuelle Kampagne

Die nun beobachteten Fälle fingen mindestens im Juni dieses Jahres an, wobei es Hinweise darauf gibt, dass die Kampagnen der Gruppierung bereits im Januar anfingen. Die Angreifer haben eine Reihe von RMM-Tools einschließlich ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able und LogMeIn Resolve installiert, wobei diese oftmals zu zweit eingesetzt wurden: So sei PDQ Connect dabei beobachtet worden, ScreenConnect und SimpleHelp herunterzuladen und zu installieren. Es ist den Kriminellen also wichtig, sich nachhaltig in die kompromittierten Netzwerke einzunisten.

Nach diesem initialen Zugriff forschen die Angreifer die Netzwerke aus und verteilen etwa Werkzeuge zum Mitschneiden von Zugangsdaten wie WebBrowserPassView. Die Täter scheinen über Kenntnisse zu Software, Dienstleistungen und Richtlinien rund um die Funktionsweise der Frachtlieferkette zu verfügen. Die Aktivitäten zielen offenbar darauf ab, Zugriff auf die Einrichtungen zu erlangen und Informationen zu stehlen. Die RMM-Tools helfen dabei, unter dem Radar zu fliegen und unbemerkt zu bleiben.

Die Proofpoint-Analyse zeigt noch Details zu Angriffen mittels Social-Engineering in E-Mails und nennt am Ende einige Indizien für Infektionen (Indicators of Compromise, IOCs). Insbesondere Frachtunternehmen sollten um diese Angriffe wissen und die Vorgehensweise der Täter kennen. Außerdem empfiehlt Proofpoint, IT-Sicherheitsmaßnahmen einzurichten, um erfolgreiche Angriffe zu verhindern.

Das Problem ist bislang weniger im Rampenlicht. Häufiger finden sich hingegen Meldungen etwa von Cyberattacken auf die Logistik-Branche, die zu Einschränkungen im Güterverkehr führen. Etwa Ende 2023 führte ein Cyberangriff auf Häfen in Australien dazu, dass keine Container verladen werden konnten. 30.000 Waren zwischenzeitlich dort gestrandet.

(dmk)