In der Web-basierten Datentransfer-Software Monsta FTP klafft eine Sicherheitslücke. Angreifer können dadurch Schadcode einschleusen und ausführen. Ein Update steht bereit.

Die Schwachsstellenbeschreibung lautet: „Monsta FTP 2.11 und frühere Versionen enthalten eine Schwachstelle, die nicht authentifizierten Nutzern das Hochladen beliebiger Dateien erlaubt. Der Fehler ermöglicht Angreifern, Code auszuführen, indem sie speziell präparierte Dateien von einem bösartigen (S)FTP-Server hochladen“ (CVE-2025-34299, CVSS4 9.3, Risiko „kritisch“).

Schwachstellen-Analyse führt zu Stirnrunzeln

Die IT-Forscher von watchtowr haben die Lücke entdeckt und eine Analyse mit viel Augenzwinkern dazu veröffentlicht. Von Monsta FTP finden sich mindestens 5000 aus dem Internet zugreifbare Instanzen. Damit kann man etwa auf Inhalte eines externen (S)FTP-Servers zugreifen – Dateien lesen, schreiben und verändern, mit einem nutzerfreundlichen Interface. Die Nutzerbasis besteht etwa aus Finanzinstituten, Unternehmen und auch überambitionierten Einzelnutzern. Für Angreifer ist die Software auch deshalb interessant, da sie in PHP programmiert sei, frotzelt watchtowr.

Interessierte können dort eine Untersuchungskette verfolgen, die von der nicht ganz taufrischen Version 2.10.4 von Monsta FTP ausgeht – aktuell ist der 2.11er-Entwicklungszweig –, da ein großer Teil des Internets nicht die aktuelle Version einsetze. Darin fanden sich drei Sicherheitslücken, die bereits für die Version 2.10.3 bekannt waren. Daher haben die IT-Sicherheitsforscher sich den aktuellen 2.11er-Zweig angesehen, ob die Lücken darin abgedichtet waren.

Die Analysten fanden neue Funktionen im Programmcode, die Filterung etwa für Pfade nachrüsten. Proof-of-Concept-Code zum Missbrauch der SSRF-Schwachstelle CVE-2022-31827 – in Monsta FTP 2.10.3 – funktionierte jedoch immer noch. Die Analyse der Schwachstelle führte dann zur Entdeckung der neuen Sicherheitslücke, die das Ausführen von Schadcode ermöglicht – im Speziellen eine „Pre-Authentication Remote Code Execution“, also Ausführen von Schadcode aus dem Netz ohne vorherige Anmeldung.

Monsta FTP 2.11.3 vom 26. August 2025 soll diese Sicherheitslücke korrekt abdichten, erklärt watchtowr. Das Changelog von Monsta FTP schreibt zu dem Release lediglich „Resolved PHP 7.x compatibility issue“; abgedichtete Sicherheitslecks erwähnen die Entwickler nicht.

Datentransfer-Software mit Lücken: Liebling der Cybergangs

Datentransferlösungen wie Monsta FTP kommen etwa zur Verwaltung von Webseiten zum Einsatz, oder auch allgemeiner zum Datenaustausch. Cybergangs wie cl0p nutzen derartige Sicherheitslücken darin aus, um Daten in großem Stil zu kopieren und die betroffenen Unternehmen damit zu erpressen. Mitte 2023 hatte die kriminelle Vereinigung etwa durch eine Sicherheitslücke in MOVEit Transfer Daten bei vielen namhaften Unternehmen und Konzernen abgegriffen.

Erst vor wenigen Tagen ist auf der Darknet-Leaksite der cl0p-Bande die Washington Post als Opfer eines Datenabzugs aufgetaucht. Die Washington Post reagierte nicht auf unsere Anfragen dazu; die Täter nennen auch nicht den Umfang und die Art der angeblich kopierten Daten. Noch jünger ist der Eintrag zum Tastatur- und Maus-Hersteller Logitech. Auch hier fehlen etwaige Informationen zu Art und Umfang des Datendiebstahls oder gar eine Bestätigung seitens Logitech. Ob cl0p tatsächlich Daten bei den beiden namhaften Organisationen abgegriffen hat und durch welche Sicherheitslücke in welcher Software, ist derzeit vollkommen unklar.

Cybercrime und Ransomware sind keine Naturkatastrophen, denen man ohnmächtig gegenübersteht. Wer verstanden hat, wie die Angreifer ticken, welche Methoden sie einsetzen und wie die existierenden Schutzmöglichkeiten funktionieren, kann seine IT so absichern, dass deren Schutzmaßnahmen nicht beim ersten falschen Klick in sich zusammenstürzen. Genau dabei hilft das heise security Webinar Die Bedrohung durch Cybercrime – und wie man sich davor schützt.

(dmk)

Das Konzept der digitalen Integrität setzt sich in der Schweiz immer mehr durch. Zu diesem Schluss kommt ein Artikel von Adrienne Fichter in der Republik. Doch um was geht es dabei eigentlich?

Das in der Westschweiz zuerst auftauchende neue Grundrecht breitet sich zunehmend auf kantonaler Ebene in der Schweiz aus und findet dort Eingang in Verfassungen. Laut Republik haben Genf und Neuenburg das Recht auf digitale Integrität bereits in ihre Kantons­verfassungen aufgenommen, im Kanton Jura habe das Parlament Ja dazu gesagt. In der Waadt, in Basel sowie Luzern hätten Kantons­rätinnen Vorstöße eingereicht.

Am 30. November wird in Zürich über eine Volksinitiative zum Thema abgestimmt. Weltweit sei das neue Grundrecht aber noch einzigartig und nur in der Schweiz anzutreffen, so der Bericht weiter. Getragen würde es von unterschiedlichen politischen Strömungen und Parteien, ein heterogenes Netzwerk stehe hinter dem Grundrecht.

Das Grundrecht auf digitale Integrität setzt sich, wie hier in der Volksinitiative in Zürich beschrieben, aus folgenden Rechten zusammen:

• Ein Recht auf Vergessenwerden
• Ein Recht auf ein Offline-Leben
• Ein Recht auf Informationssicherheit
• Ein Recht darauf, nicht von einer Maschine beurteilt zu werden
• Ein Recht darauf, nicht überwacht, vermessen und analysiert zu werden
• Ein Recht auf Schutz vor Verwendung von Daten ohne Zustimmung, welche das digitale Leben betreffen

Das Grundrecht bildet demnach einen Gegenpol zu einer Welt, in der Daten das neue Öl seien und Datenschutz immer weiter durch entgrenzte Datennutzung unter Druck gerät. Dabei ist das neue Grundrecht auf digitale Unversehrtheit eine Erweiterung und Teil des Grundrechts auf körperliche Unversehrtheit, die durch die immer bedeutendere Rolle des Digitalen als Teil des Persönlichkeitsrechtes nötig werde. Gegner:innen des Konzepts argumentieren, dass die körperliche Unversehrtheit die digitale Integrität schon abdecke.

Ein wichtiger Teil der digitalen Unversehrtheit ist die informationelle Selbstbestimmung, die in Deutschland bereits als eigenes Grundrecht formuliert wurde. Ebenso gibt es in Deutschland das so genannte IT-Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das auch zur Digitalen Integrität gezählt werden kann. Ein längeres Video, welches das neue Grundrecht erklärt, hat die Digitale Gesellschaft Schweiz veröffentlicht.

„Maßstäbe für Behörden setzen“

Bislang wurde das neue Grundrecht in der Schweiz auf regionaler und kantonaler Ebene eingeführt. Gegner:innen des neuen Grundrechtes argumentieren beispielsweise in Zürich, dass solche Dinge auf Bundesebene geregelt werden müssten und dass die Bürger:innen sonst falsche Erwartungen an das Recht hätten. Monica Amgwerd, die sich für die Volksinitiative einsetzt, widerspricht gegenüber Republik diesem Argument. Sie sieht den Staat als Vorbild. „Das Recht auf digitale Integrität soll Maßstäbe für Behörden setzen und indirekt auch auf den privaten Sektor ausstrahlen“, so Amgwerd gegenüber dem Medium. Dennoch gehöre das Thema auch auf die bundesweite Ebene.

Bislang steht die Schweiz mit dem neuen Grundrecht noch recht alleine da. In Deutschland hatte die Piratenpartei im Jahr 2021 das Grundrecht in ihrem Wahlprogramm eingefordert, im französischen Straßburg hat es die digitale Integrität in einen Beschluss des Stadtrates geschafft.

Am Mittwoch will die grün-schwarze Landesregierung in Baden-Württemberg einen heftig umstrittenen Gesetzentwurf verabschieden. Er erlaubt dem Bundesland den Einsatz der Palantir-Software zur Datenanalyse, die das Land für mehr als 25 Millionen Euro bereits eingekauft hat.

Im Windschatten dieses Ansinnens bringt der Gesetzentwurf eine weitere bedeutende Verschlechterung des Datenschutzes im Land mit sich: Laut Paragraf 57a soll die Polizei von Baden-Württemberg künftig personenbezogene Daten zur Entwicklung, zum Training, zum Testen, zur Validierung und zur Beobachtung von informationstechnischen Systemen einsetzen dürfen. Dabei ist unerheblich, ob sich die betroffenen Menschen zuvor verdächtig gemacht haben. Die entsprechende Datenverarbeitung ist nicht an ein Ermittlungsverfahren gebunden, sondern allein zur Verbesserung und Implementierung von Überwachungssoftware gedacht.

Bürger*innen werden demnach künftig Daten liefern, mit denen beispielsweise das privatwirtschaftliche Unternehmen Palantir, gegründet vom rechten Anti-Demokraten Peter Thiel, seine Produkte verbessern kann. Wenn also in Kürze die ersten Tests der Palantir-Software in Baden-Württemberg beginnen, könnten diese direkt mit realen personenbezogenen Daten vorgenommen werden, die millionenfach in Polizeidatenbanken lagern.

Auch der Test und das Training von beispielsweise automatisierter Verhaltens- oder Gesichtserkennung ist damit möglich. Ausgenommen sind nur Daten, die im Rahmen einer Wohnraumüberwachung erhoben wurden.

Daten dürfen auch an Dritte weitergegeben werden

Sobald „unveränderte Daten benötigt werden oder eine Anonymisierung oder Pseudonymisierung der Daten nicht oder nur mit unverhältnismäßigem Aufwand möglich ist“, dürfen beispielsweise auch Klarnamen und andere eindeutig identifizierende Informationen wie Gesichtsfotos dabei genutzt werden. Die Daten dürfen auch an Dritte weitergegeben werden.

Tobias Keber, der Landesdatenschutzbeauftragte, fordert in einer Stellungnahme, zumindest in jedem Fall zu prüfen, ob eine Anonymisierung oder Pseudonymisierung tatsächlich unverhältnismäßig ist. Nach dem Entwurf, der Mittwoch zur Abstimmung gestellt wird, ist dies nicht zwingend vorausgesetzt, sobald „unveränderte Daten benötigt werden“. Außerdem solle, so Keber, seine Behörde jeweils frühzeitig eingebunden werden.

Es ist gut möglich, dass diese Rechtsgrundlage zum Testen und Trainieren mit personenbezogenen Daten eine Reaktion auf den bayerischen Umgang mit Palantir-Software ist. Dort hatten die Behörden die Datenanalyse mit Echtdaten tatsächlicher Menschen ohne Rechtsgrundlage getestet, woraufhin der bayerische Landesdatenschutzbeauftragte forderte, den Test zu beenden. Laut der Wissenschaftlichen Dienste des Bundestages muss ein derartiger Testbetrieb den gleichen – hohen – Anforderungen genügen wie der tatsächliche Einsatz.

Wer zusehen möchte, wie die grün-schwarze Landesregierung diesen massiven Grundrechtseingriff durchs Parlament bringt, kann dies Mittwoch ab 13.30 Uhr auf der Website des Landtags tun.