Wenn Angreifer eine bestimmte Hürde überwinden können, sind Systeme mit Serv-U durch Schadcodeattacken kompromittierbar. Solwarwinds Platform ist ebenfalls verwundbar. Für beide Produkte des Softwareherstellers sind Sicherheitspatches verfügbar. Noch gibt es keine Berichte über Attacken.

Systeme absichern

In einer Warnmeldung zu drei „kritischen“ Schwachstellen (CVE-202540547, CVE-202540548, CVE-202540549) führen die Entwickler aus, dass Angreifer Schadcode auf PCs schieben und ausführen könnten. Das klappt aber nur, wenn Angreifer bereits über Admin-Rechte verfügen. Eine derartige Voraussetzung ist eigentlich untypisch für eine kritische Einstufung.

Aus der Beschreibung der Lücke geht hervor, dass das Risiko unter Windows als „mittel“ gilt, weil Services in diesem Fall in der Regel mit niedrigeren Nutzerrechten laufen. Die Entwickler versichern, die Sicherheitsprobleme in Serv-U MFT und Serv-U FTP Server 15.5.3 gelöst zu haben.

In Solarwinds Platform 2025.4.1 haben die Entwickler insgesamt acht Lücken geschlossen. Der Großteil ist mit dem Bedrohungsgrad „mittel“ eingestuft. Setzen Angreifer erfolgreich an einer mit „hoch“ eingestuften Schwachstelle (CVE-2025-47072) an, können sie über eine DoS-Attacke Software-Abstürze auslösen.

(des)

Wer erwartet hatte, dass nach dem gestrigen Gipfeltreffen zur Europäischen Digitalen Souveränität ein digitaler Ruck durchs Land gehen oder dort auch nur irgendwas Überraschendes angekündigt werden würde, konnte nur enttäuscht werden. Dafür sind solche Treffen wohl nicht gemacht. Die Reden der Spitzenpolitiker waren durch erwartbare Plattitüden gekennzeichnet, aber eben auch durch Widersprüchlichkeiten beim großen Thema der Konferenz. Denn was unter „digitaler Souveränität“ verstanden wird, scheint keineswegs klar.

Eigentlich beschreibt das Konzept der „digitalen Souveränität“ die Fähigkeit, dass genutzte Hardware und Software oder auch IT-Dienstleistungen vom Nutzer oder Auftraggeber – hier der Staat oder seine Behörden – selbstbestimmt gestaltet werden können. Das soll zu mehr Unabhängigkeit, Resilienz und auch Nachhaltigkeit führen und dem Vermögen, selbständig entscheiden zu können, ob man Abhängigkeiten von Anbietern eingeht oder vermeidet.

Das klingt gut und modern, hinter dieser Idee können sich die Spitzenpolitiker aus Deutschland und Frankreich versammeln. Haben sie auch, denn ohne Ausnahme betonten gestern alle, künftig auf mehr „digitale Souveränität“ setzen zu wollen. Seitdem im Weißen Haus die Devise „America first“ aktiv umgesetzt wird, ist das Konzept diesseits des Atlantiks in aller Munde.

So auch bei Digitalminister Karsten Wildberger (CDU).

In seiner Rede hatte Wildberger sich und das Publikum gefragt: „Was heißt digitale Souveränität ganz konkret?“ Dahinter verberge sich „etwas ganz, ganz Wichtiges“, es bedeute nämlich, dass „wir in Europa, in Deutschland Technologie wieder selber nicht nur nutzen wollen als Kunden, sondern selber entwickeln wollen und selber Produkte bauen“.

Er beklagte, dass wir „zu sehr über die Zeit Kunde geworden“ seien „von Lösungen anderer“. Das aber „wäre fatal, wenn das so bliebe im Zeitalter von KI“, so Wildberger weiter.

Als der Digitalminister nach Palantir gefragt wurde

Dem dürften viele zustimmen. Als es aber wirklich mal konkret wird, werden seine schönen Worte Makulatur. Als Wildberger nach seiner Rede von Johannes Kuhn vom Tagesspiegel auf den Streit um die Software von Palantir angesprochen wird, zeigt sich, dass es mit der digitalen Souveränität nicht so weit her ist.

Im August hatte Wildberger gesagt, dass er der Nutzung von Palantir-Software für die Polizeibehörden des Bundes offen gegenüber stehe. Nun wollte der Journalist wissen, ob sich diese Position geändert habe.

Die Debatte war damals ausgelöst worden, nachdem die Pläne für ein Sicherheitspaket mit einem Referentenentwurf Gestalt angenommen hatten. Darin steckte auch die automatisierte polizeiliche Datenanalyse, für die der US-Konzern Palantir den deutschen Polizeien eine Softwarelösung anbietet.

Anders als Bundesjustizministerin Stefanie Hubig (SPD), die Palantir gegenüber skeptisch war und auf die Vereinbarkeit mit „rechtsstaatlichen Grundsätzen“ pochte, sagte der Digitalminister: „Wir sollten […] Technologien nutzen, um unseren Staat und unsere Demokratie zu schützen. Wenn ein Anbieter eine solche Technologie bereitstellt, sollten wir in sie investieren. Wir sollten aber auch europäische Unternehmen haben, die solche Lösungen bieten können.“

Wildbergers abgespeckte digitale Souveränität

Souveränitätsgipfel hin oder her, der Digitalminister bleibt auch heute bei dieser Haltung. Er antwortet auf die Frage von Kuhn, dass die Software von Palantir eine „weltweit extrem mächtige Lösung“ sei, das gelte sowohl im zivilen als auch im militärischen Bereich. Damit wiederholt er die vom US-Konzern gern betonte Saga einer quasi konkurrenzlosen Stellung im Markt. Naturgemäß wird das von alternativen Anbietern ganz anders dargestellt, technisch sei Palantir den Konkurrenten ebenbürtig. Wildberger sagt dann:

Wenn man mit so einer Lösung arbeitet, auch in einem nationalen Kontext, dann hängt es sehr davon ab, wie man diese Lösung implementiert, auch von der Architektur lokal. Wie werden die Daten gehalten, wie ist sichergestellt, dass die Daten nicht rausfließen etc. Und das ist durchaus möglich.

Möglich ist das ohne Zweifel, aber das wäre eine bis zur Unkenntlichkeit abgespeckte Version von „digitaler Souveränität“. Denn man bleibt ja bloßer Kunde und entwickelt gar nichts selber, sondern begibt sich sehendes Auges in eine langfristige Abhängigkeit, die nur ein absolutes Minimum an Datensicherheit in Aussicht stellt.

Fatal, um Wildberger selbst zu zitieren.

Es passt nicht zusammen

Ob das im Fall von Software von Palantir aber auch tatsächlich so gehandhabt wird, weiß der Minister gar nicht. Denn er habe „keine Kenntnis darüber, wie es im Einzelfall ausgestaltet“ werde. Worüber er aber immerhin Kenntnis habe, sei, dass „diejenigen, die das gegebenenfalls nutzen“, also die Polizeibehörden, „diese Fragen ganz, ganz vorne auf der Agenda haben“.

Dem Minister scheint zu schwanen, dass seine anfängliche Definition der „digitalen Souveränität“ mit der proprietären Palantir-Lösung des US-Konzerns, die sensible polizeiinterne Datenbanken miteinander verknüpft und deren Inhalte analysiert, nicht recht zusammengeht. So fügt er an:

Der nächste Satz ist mir sehr wichtig. Wir sind auch dabei, als Ministerium, uns Technologie aus Europa anzuschauen, die vieles kann, vielleicht nicht immer so weit ist, vielleicht sogar einiges besser kann. Und natürlich muss dann auch unser Anspruch sein, auch solche Technologie in Europa zu haben.

Die Palantir-Konkurrenz wird es freuen. Dass das Digitalministerium offenbar dabei ist, nun nach Alternativen zum abgründigen US-Tech-Konzern zu suchen, wäre allerdings ein nur kleiner Schritt in Richtung „digitale Souveränität“.

Eine Sprecherin des Bundesministeriums für Digitales und Staatsmodernisierung erklärt auf Nachfrage von netzpolitik.org, dass sich der Minister grundsätzlich dafür ausgesprochen hätte, im Sicherheitsbereich die neuesten Technologien zu nutzen. Sie fügt aber hinzu: „Er spricht sich hier nicht für oder gegen eine bestimmte Software aus.“ Die ebenfalls gestellte Frage, wie deutsche Behörden beim Einsatz von Palantir digital souverän bleiben könnten, beantwortet sie nicht.

Grundrechte nur im Disclaimer

Auf der Strecke bleibt mal wieder die Frage nach den Grundrechten. Zwar baut Wildberger in seine Rede einen „Disclaimer“ ein, den er auch so nennt. Er betont, „Datenschutz, Sicherheit, Grundrechte von Bürgerinnen und Bürgern“ stünden „nicht zur Debatte“, sie seien „essentiell wichtig und notwendig“. Dennoch zieht sich nach diesem „Disclaimer“ durch seine gesamte Rede die Forderung, alle vermeintlichen Innovationsbremsen wie Regulierung und Datenschutz endlich zu lockern.

Palantir bietet eine Softwarelösung für ein Vorhaben an, dass die rechtlich vorgeschriebene Zweckbindung polizeilich aufgenommener Daten weitgehend hinfällig macht und damit verfassungsrechtlich auf dünnem Eis steht. Der US-Konzern, der solche in Software gegossene Praktiken in seinem Mutterland jahrelang durchführen und verfeinern dürfte, hat auch deswegen einen Wettbewerbsvorteil, weil er solche „Innovationsbremsen“ wie das Recht auf informationelle Selbstbestimmung ignorieren konnte.

Dass Wildberger bei Fragen nach automatisierter polizeilicher Datenanalyse kein Wort über die massiven Eingriffe in Grundrechte von Millionen Menschen verliert, ist überaus bedauerlich, aber auf schwarz-roter Koalitionslinie. Aber dass die Software von Palantir auch nach seiner eigenen Definition nicht „digital souverän“ ist, hätte dem Digitalminister wenigstens auffallen können.

Zum Beginn der Heizsaison nutzen Kriminelle die Gelegenheit und versuchen, Opfer mit vermeintlichen Heizöl-Schnäppchen zu ködern. Ebenso haben sie Angebotsjäger im Rahmen der Black Week und der folgenden Weihnachtsgeschenke-Käufe im Visier. Doch nach Bestellung ist lediglich das Geld weg, Waren kommen keine.

Vor Fakeshops mit angeblich billigen Heizöl- und Brennholz-Angeboten warnt die Verbraucherzentrale Nordrhein-Westfalen aktuell. Vor dem Zuschlagen bei solchen Offerten lohnt sich eine Prüfung des Onlineshops im Fakeshop-Finder der Verbraucherzentralen. Die c’t hat einige praktische Tipps und Hinweise zur Erkennung von Betrugsabsichten in petto, auch die etwas älteren Hinweise besitzen weiterhin Gültigkeit.

Zahlreiche Fakeshops mit Brennstoffen

Die Verbraucherzentrale NRW warnt, dass jetzt in der kalten Zeit viele Verbraucher erst spät merken, dass der Heizöltank oder das Brennholz-Lager nicht gefüllt sind, und dadurch in Zeitdruck geraten. Fakeshops nutzen dies aus und locken mit Preisen, die weit unter dem Marktpreis liegen. Die Aufmachung der falschen Onlineshops wirke auf den ersten Blick seriös, wodurch potenzielle Opfer leicht darauf hereinfallen können. Die Verbraucherzentralen haben eine aktuelle Liste von derzeit aktiven betrügerischen Onlineshops herausgegeben. Nicht bestellen sollten Verbraucher demnach bei:

• brennholzmeister.de
• heizoelpreise-region.de
• europellet.at
• easyoel.net
• e.holzheiz.com
• graenergie.com
• heizoel-liefern.de
• heizoel-marke.de
• heizoel-kalkulator.de
• holzmarket24.com
• brennstoffe-energy.de
• heizoel-freunde.de
• pellet-profi24.de
• heizoelpreise-region.de

Betrüger setzen auf saisonale Ereignisse

Die kriminellen Täter satteln mit ihren betrügerischen Angeboten auf saisonal aktuelle Themen und Ereignisse auf. Daher sollten Kaufinteressierte jetzt auch im Rahmen der Angebotsjagd zur Black Week – dem ausgeweiteten Black Friday, der anlässlich des US-amerikanischen Thanksgiving stattfindet –, die traditionell die Weihnachtskäufe einläutet, aufmerksam und vorsichtig bleiben. Die oben verlinkten Hinweise helfen dabei.

Von der Online-Betrugsmasche mit Fakeshops sind viele Menschen tatsächlich betroffen. Einer kürzlich veröffentlichten Forsa-Umfrage im Auftrag der Verbraucherzentralen zufolge ist in den vergangenen zwei Jahren fast jeder achte Online-Shopper auf so einen betrügerischen Handel hereingefallen. Einer aktuellen SCHUFA-Umfrage zufolge erstatten gut ein Drittel der Fakeshop-Opfer überhaupt Anzeige bei der Polizei. Die Umfrage hat die Nordlight research GmbH im Auftrag der SCHUFA vom 09.09.2025 bis zum 25.09.2025 mit einem Online-Panel unter 1000 bevölkerungsrepräsentativen Teilnehmern durchgeführt.

(dmk)