Im populären Packprogramm 7-Zip attackieren Angreifer eine Sicherheitslücke, die das Einschleusen von Schadcode und Ausführung mit erhöhten Rechten ermöglicht. Aktualisierungen zum Schließen des Sicherheitslecks stehen bereits länger bereit.

Vor beobachteten Angriffen auf die Sicherheitslücke CVE-2025-11001 warnt nun der nationale Gesundheitsdienst von England (National Health Service, NHS). „Aktive Angriffe auf CVE-2025-11001 wurden in freier Wildbahn beobachtet. Ein Sicherheitsforscher hat zudem einen Proof-of-Concept-Exploit (PoC) für CVE-2025-11001 veröffentlicht. Der PoC erlaubt Angreifern, das Handling von symbolischen Links zu missbrauchen, um Dateien außerhalb des vorgesehenen Ordners zum Entpacken zu schreiben, was in einigen Szenarien das Ausführen beliebigen Codes ermöglicht.“ Weitergehende Informationen zu den Attacken nennt der NHS jedoch nicht.

Ausführlichere Schwachstellenbeschreibung

Die ursprüngliche Erläuterung der Sicherheitslücke durch Trend Micros Zero Day Initiative (ZDI) war äußerst knapp. Der später veröffentlichte CVE-Eintrag liefert hingegen mehr Informationen, auch beim ZDI sind die nun zu finden. Demnach kann 7-Zip beim Verarbeiten von Archiven patzen, sodass Angreifer eine „Path Traversal“ missbrauchen können – also das Durchwandern von Verzeichnissen mit Anweisungen wie „../“ zum Zugriff auf übergeordnete Verzeichnisse. Der Umgang mit symbolischen Links in 7-Zip vor 25.00 war fehlerhaft. Dadurch konnten manipulierte Archive Code einschleusen, indem sie etwa Dienst-Dateien überschreiben und dann mit deren Rechten ausführen. Nutzerinteraktion ist erforderlich, so ein Archiv muss entpackt werden (CVE-2025-11001, CVSS 7.0, Risiko „hoch„).

Es handelt sich um eine Sicherheitslücke, die der Entwickler bereits im Juli mit Version 25.00 von 7-Zip angegangen ist. Da 7-Zip jedoch keinen integrierten Update-Mechanismus besitzt, müssen Nutzerinnen und Nutzer selbst aktiv werden und die Software auf den aktuellen Stand bringen. Sie sollten unbedingt die aktuelle Version von der Download-Seite von 7-Zip herunterladen und damit die bisher installierte Version ersetzen.

(dmk)

Angreifer haben es zum wiederholten Male auf Fortinets Web Application Firewall (WAF) FortiWeb abgesehen. Mittlerweile gibt es einen Sicherheitspatch. Es sind aber noch weitere Produkte des Anbieters von Netzwerksicherheit-Appliances angreifbar.

Admins sollten einen Blick auf den IT-Sicherheitsbereich der Fortinet-Website werfen, um die für sie relevanten Produkte ausfindig zu machen. Im Anschluss sollten sie die verfügbaren Sicherheitsupdates zeitnah installieren.

Jetzt patchen!

FortiWeb ist abermals im Visier von Angreifern. Dieses Mal schleusen Angreifer Schadcode über HTTP-Anfragen oder CLI-Kommandos auf Instanzen und kompromittieren diese. In welchem Umfang die Attacken ablaufen und was Angreifer konkret anstellen, ist derzeit nicht bekannt. Die Schwachstelle (CVE-2025-58034 „hoch„) haben die Entwickler eigenen Angaben zufolge in den folgenden Ausgaben geschlossen. Alle vorigen Versionen sollen angreifbar sein.

• FortiWeb 7.0.12
• FortiWeb 7.2.12
• FortiWeb 7.43.11
• FortiWeb 7.6.6
• FortiWeb 8.0.2

Vor den Attacken warnt bereits die US-Sicherheitsbehörde CISA. Sie stuft die Lücke als Gefahr für Bundesunternehmen ein. Erst vor wenigen Tagen wurde bekannt, dass Angreifer eine „kritische“ Softwareschwachstelle in FortiWeb ausnutzen und im Anschluss Aktionen als Admin ausführen.

Weitere Gefahren

Drei Lücken in FortiClientWindows (CVE-2025-47761, CVE-2025-46373) und FortiVoice (CVE-2025-58692) sind mit dem Bedrohungsgrad „hoch“ versehen. An diesen Stellen können Angreifer etwas ohne Authentifizierung ansetzen, um Schadcode auszuführen.

Weitere Schwachstellen bedrohen etwa FortiADC, FortiExtender und FortiSandbox. Hier können Angreifer zum Großteil ebenfalls Schadcode ausführen. Oft resultiert das in einer kompletten Übernahme von Systemen durch Angreifer.

(des)

Eine Bürgerin reicht online Klage ein, nutzt dafür eine Kommunikations-Plattform, über die alle wichtigen Dokumente mit dem Gericht und der Anwältin geteilt werden. Die Verhandlung erfolgt über Video und die Richterin verkündet das Urteil auf digitalem Weg. So in etwa soll das Gerichtsverfahren der Zukunft aussehen, wenn es nach der Bundesregierung geht. Das spart Zeit, denn mündliche Verhandlungen sind optional und der Stoff des Streits kann digital strukturiert und den Beteiligten direkt zugänglich gemacht werden.

In der Nacht zum Freitag beschloss der Bundestag das „Gesetz zur Entwicklung und Erprobung eines Online-Verfahrens in der Zivilgerichtsbarkeit“. Die Bundesregierung will damit nicht nur Gerichtsverfahren beschleunigen, sondern auch den Bürger*innen den Zugang zum Recht erleichtern, erklärte Daniel Rinkert von der SPD.

Das neue Gesetz von CDU/CSU und SPD zielt auf den Bereich des Zivilrechts, also auf einen Bereich, der das Leben von Bürger*innen direkt betrifft. Zunächst soll das Online-Verfahren nur an Fällen erprobt werden, wo es um reine Geldforderungen von bis zu 10.000 Euro geht.

Geldforderung über Online-Klage

Klassische Fälle von Geldforderungen: Jemand bringt einen Anspruch auf Schadensersatz vor, wenn etwa bei einem Unfall das Auto oder das Fahrrad beschädigt wurde. Aber auch alle Zahlungsklagen an Amtsgerichten fallen in den Erprobungsbereich von Online-Verfahren.

Fälle, wo jemand seine Rechnung nicht bezahlt hat, etwa bei Mietrückständen oder wenn jemand einen Kaufvertrag nicht einhält. Bei familienrechtlichen Angelegenheiten soll es vorerst keine Online-Verfahren geben, also etwa da, wo es um Unterhalt geht.

Bekanntes Beispiel für Geldforderungen sind auch Verfahren, wo Fluggäste von ihren Fluggastrechten Gebrauch machen. Wenn ein Flug deutlich verspätet gestartet oder ganz ausgefallen ist, können sie eine Entschädigung erhalten. Inzwischen gibt es gerade in diesem Bereich mehrere Rechtsdienstleister, etwa Flightright oder MyFlight. Ihr Geschäftsmodell besteht darin, solche Fälle massenhaft abzuwickeln. Betroffene können hier ohne Anwalt online an ihre Entschädigung kommen, die Klage und das Verfahren übernimmt Flightright, ohne dass Betroffene sich weiter kümmern müssen.

Ins Online-Verfahren hineingezogen

Ähnlich bequem soll das Online-Verfahren sein, das die Bundesregierung nun erproben und entwickeln will. Das Versprechen: Bürger*innen können vom Sofa aus (ohne anwaltliche Hilfe) eine Klage online einreichen – barrierefrei, sicher und einfach. So weit, so fair.

Doch das Gesetz hat einen Haken. Es benachteiligt die Beklagten. Sobald eine Person Klage online einreicht, setzt sie ein Online-Verfahren in Gang. Das Problem: Die beklagte Person wird unweigerlich in das Online-Verfahren hineingezogen. Nach dem neuen Gesetz kann sie nicht auf einem analogen Verfahren bestehen.

Das setze die beklagte Person enorm unter Druck und sei vor allem für Beklagte riskant, die keine Anwältin oder keinen Anwalt haben, sagt Sabine Fuhrmann gegenüber netzpolitik.org. Fuhrmann ist Rechtsanwältin und Vizepräsidentin der Bundesrechtsanwaltskammer (BRAK). Im Oktober sprach sie als Sachverständige in der öffentlichen Anhörung des Ausschusses für Recht und Verbraucherschutz. Zusammen mit anderen Kolleg*innen der BRAK hat sie zudem das Gesetz von Anfang an beratend begleitet. Und von Anfang an habe sie der Bundesregierung dringend empfohlen, den Beklagten im Gesetz eine Exit-Strategie einzuräumen.

Damit könnten sie selbst entscheiden: „Lasse ich mich auf ein Online-Verfahren ein, fühle ich mich dem gewachsen? Bin ich damit einverstanden, weil ich die nächsten zwei Jahre ohnehin in Australien bin und gar nicht in persona vor dem deutschen Gericht auftreten möchte? Oder gehe ich zu meinem Amtsgericht und erkläre, warum ich die 3.000 Euro nicht bezahle, die XY von mir verlangt.“

Mündliche Verhandlung optional

Der klassische Klageweg läuft auf Papier ab und es gibt zwingend eine mündliche Verhandlung. Beim Online-Verfahren gibt es die nicht unbedingt. Vielmehr soll laut Gesetz der Richter nach freiem Ermessen entscheiden, ob er die Parteien sehen will oder nicht. Der Beklagte wird demnach künftig nicht mehr unbedingt in einer mündlichen Verhandlung angehört. „Sein Wort dringt womöglich nicht mehr bis zum Richter vor, so wie wir es von Zivilprozessen kennen“, erklärt Fuhrmann.

Dabei ist die mündliche Verhandlung im Online-Verfahren auch für den Richter wichtig: Bei der Frage „Traue ich dem Beklagten zu, dass er dies oder jenes gemacht oder nicht gemacht hat?“ kann er sich von den Parteien buchstäblich ein Bild machen. Das sei nach Fuhrmann ein wichtiger Aspekt für die Überzeugungsfindung des Gerichts. Mit der großen Arbeitsbelastung drohe die mündliche Verhandlung zur Ausnahme zu werden.

Entscheidet sich eine Richterin gegen die mündliche Verhandlung, hat der Beklagte frühestens im Berufungsverfahren die Chance, vor das Gericht zu treten, und auch nur, wenn der Streitwert bei über 1.000 Euro liegt.

Online-Hürde hängt Menschen ab

Laut Gesetz sollen Bürger*innen ihre Klage auf einem Online-Portal einreichen können, das gleichzeitig auch als Kommunikationsplattform dienen soll. Der DigitalService des Bundes hat bereits angefangen, eine solche Plattform zu entwickeln. Dass die beklagte Person, die in ein Online-Verfahren involviert ist, dazu gezwungen ist, über ein Online-Portal zu kommunizieren, stelle laut Fuhrmann nicht nur für wenig digitalversierte Menschen eine Hürde dar.

Vorausgesetzt die beklagte Person hat den Brief vom Gericht überhaupt verstanden, so muss sie sich auf dem Portal zunächst registrieren und anschließend identifizieren. Die gesamte Kommunikation mit dem Gericht und weiteren beteiligten Stellen soll dann darüber laufen. Das werde für viele, gerade ältere Menschen zum Hindernis, die sich mit Online-Diensten schwertun.

Andere könnten schon daran scheitern, dass sie die notwendigen technischen Geräte nicht besitzen. Aus ihrem beruflichen Alltag weiß Fuhrmann, viele Mandat*innen haben nur ein Smartphone, wenn überhaupt. Inwieweit sich die Plattform auch über eine mobile Anwendung nutzen lässt und wie nutzerfreundlich diese ist, muss sich noch zeigen.

Auch sprachliche Hürden benachteiligen Beklagte, etwa wenn sie Analphabeten oder keine Muttersprachler sind. So seien Übersetzer*innen und Dolmetscher*innen im Gesetz nicht ausreichend berücksichtigt, stellte Elvira Iannone vom Bundesverband der Dolmetscher und Übersetzer (BDÜ) als Sachverständige bei der öffentlichen Anhörung zum Gesetz im Oktober fest.

Unfair

Die Bedrängnis, in die Beklagte geraten könnten, verschärft sich unter Umständen auch durch eine ins Gesetz geschriebene Frist. Um zu erklären, dass sie sich gegen eine Klage verteidigen wollen, müssen Beklagte eine Frist von zwei Wochen einhalten, nachdem sie Post vom Amt erhalten haben. Das sei viel zu kurz angesetzt, so Fuhrmann. Es sei viel zu wenig Zeit, um sich mit der Komplexität des Verfahren als Laie auseinanderzusetzen oder im Falle das Falls doch noch einen Anwalt zu suchen.

Ob sie dabei überhaupt eine Anwältin oder einen Anwalt finden, hänge vom verfügbaren Angebot ab. Die BRAK beobachte seit Jahren, dass gerade in ländlichen Gebieten die Zahl der Kanzleien zurückgeht, berichtet Tanja Nitschke, Rechtsanwältin und Geschäftsführerin der BRAK. „Natürlich kann man sich auch an Anwält*innen irgendwo in Deutschland wenden, die dann telefonisch oder per Zoom-Call beraten.“ Das sei aber für Betroffene schwierig, die angesichts sensibler Angelegenheiten den persönlichen Kontakt suchen.

Erschwerend kommt hinzu, dass Menschen nicht selten zu Unrecht beklagt werden. Kläger*innen vertauschen Adressdaten – etwa Energiedienstleister, die Forderungen geltend machen und den falschen Markus Müller anschreiben. So etwas komme viel zu häufig vor, erklärt Fuhrmann. Die Betroffenen können in einem solchen Fall nicht einmal wissen, dass eine Klage droht.

Reine Digitalgerichte

Die Online-Verfahren sollen zunächst an Pilot-Gerichten getestet werden. Wie weit die Vision von Digitalgerichten gehen soll, bleibt zunächst unklar. Ganz auf reine Digitalgerichte zu setzen, empfindet Dirk Behrendt, Richter am Amtsgericht Neukölln und Mitglied des Bundesvorstands der Neuen Richter*Innenvereinigung (NRV), als „nicht verlockend“. Das erklärte er als Sachverständiger bei der öffentlichen Anhörung im Oktober.

Sabine Fuhrmann sagt, sie begrüße wie auch ihre Kolleg*innen von der BRAK die Digitalisierung in der Justiz allgemein und im Gerichtsverfahren im Besonderen. Doch könne eine vollständig ins Digitale übertragene Justiz ihrer wichtigen Rolle im Rechtsstaat nicht gerecht werden. Dass es Gerichtsgebäude gibt, zu denen Bürger*innen mit ihrem Anliegen auch hingehen können, mache den Rechtsstaat wahrnehmbar.