In der Nacht zum Donnerstag hat die US-amerikanische IT-Sicherheitsbehörde CISA drei Schwachstellen in den Katalog der „Known Exploited Vulnerabilities“ aufgenommen. Es handelt sich um kritische Sicherheitslücken in Ciscos Secure Email Gateway und Secure Email and Web Manager, Sonicwall SMA1000-Appliances sowie auf die Software Ausus Live Update. Angreifer attackieren die Lecks, Admins sollten jetzt bereitstehende Updates installieren.
Weiterlesen nach der Anzeige
Vor den attackierten Schwachstellen warnt die CISA in der „KEV“ abgekürzten Liste. Am gravierendsten ist die Sicherheitslücke in Ciscos Secure Email Gateway und Web Manager. Der Sicherheitsmitteilung von Cisco zufolge hat das Unternehmen bereits am 10. Dezember eine Angriffskampagne beobachtet, die auf bestimmte Ports von Ciscos AsyncOS-Software für diese Appliances zielte. Laut einer Analyse verortet Cisco die Angreifer in einer Gruppe aus dem chinesischen Umfeld. Bei den Angriffen konnten die Täter aus dem Internet beliebige Befehle mit Root-Rechten im Betriebssystem ausführen. Damit haben sich die Angreifer auch in die Geräte eingenistet. Details zur Schwachstelle selbst nennt Cisco jedoch noch nicht (CVE-2025-20393, CVSS 10.0, Risiko „kritisch“).
Software-Updates stellt Cisco nicht bereit, rät IT-Verantwortlichen mit verwundbaren Geräten – also jenen, die das Web Management Interface oder den Port für die Spam-Quarantäne im Internet exponieren – jedoch, die Konfiguration der Appliances in einen sicheren Zustand zu versetzen. Dazu gehört das Herunterladen und Installieren von virtuellen Ersatz-Appliances. Zudem finden Admins in der Analyse einige Indizien für Kompromittierung (Indicators of Compromise, IOCs). Temporäre Gegenmaßnahmen nennt Cisco nicht.
Zudem attackieren bösartige Akteure eine Schwachstelle in Sonicwalls SMA1000-Appliances. Die neue Sicherheitslücke erlaubt Angreifern das Ausweiten ihrer Rechte aufgrund unzureichender Authentifizierung in der SMA1000 Appliance-Management-Konsole (AMC) (CVE-2025-40602, CVSS 6.6, Risiko „mittel“). Sonicwall weist in der Sicherheitsmitteilung darauf hin, dass Angreifer die Schwachstelle mit einer kritischen Deserialisierung-Schwachstelle verknüpfen, für die bereits seit Januar aktualisierte Software zum Ausbessern bereitsteht. Die neue Sicherheitslücke schließen Aktualisierungen auf SMA1000 12.4.3-03245 sowie 12.5.0-02283 und neuere Versionen. Bis zur Installation der Updates sollten Admins die Zugriffe auf die AMC stark beschränken und etwa SSH-Zugang ausschließlich mittels VPN oder festgelegter IPs für Admins erlauben oder das SSL-VPN-Management-Interface und SSH-Zugänge aus dem Internet deaktivieren. Sonicwall weist darauf hin, dass SSL-VPN auf Sonicwall-Firewalls nicht betroffen ist.
Die dritte Sicherheitslücke, auf die bösartige Akteure es abgesehen haben, betrifft eine alte Asus-Software zum Aktualisieren von Hersteller-Software auf PCs und Notebooks, das Asus Live Update. Im Jahr 2019 konnten staatliche Cyberkriminelle die Live-Update-Server unterwandern und kompromittierte Software – damals auf bestimmte Ziele beschränkt – verteilen, wie Asus damals in einer Warnung schrieb. „Die modifizierten Builds können Geräte eigentlich nicht beabsichtigte Aktionen ausführen lassen, wenn sie bestimmte Bedingungen erfüllen“, schreibt Asus in der Schwachstellenbeschreibung (CVE-2025-59374, CVSS 9.3, Risiko „kritisch“). Nur Geräte, die diese Randbedingungen erfüllen und auf denen die kompromittierte Software installiert wurde, sind betroffen. Die App wird seit Oktober 2021 nicht mehr länger unterstützt, was bedeutet, dass kein aktuelles Asus-Gerät, das noch Support erhält, anfällig ist, schränkt das Unternehmen weiter ein.
Details zu den Angriffen und der Reichweite nennen Cisa und die Hersteller bis auf Cisco nicht. Admins sollten ihre Systeme prüfen und nach Vorgaben der Hersteller absichern.
Weiterlesen nach der Anzeige
(dmk)
Der SPD-Politiker Sebastian Fiedler hat in einer Bundestagsdebatte zur Chatkontrolle am vergangenen Mittwoch gefordert: „Es darf kein Endgerät mehr auf dem europäischen Markt geben, das überhaupt in der Lage ist, kinderpornografisches Material anzuzeigen und zu verarbeiten.“ (Video)
Der Vorschlag würde eine extreme Form von Zensur und Inhaltskontrolle erfordern. Die Technologie und das Vorhaben wären noch weit eingriffsintensiver als die verpflichtende Chatkontrolle, die in Europa vier Jahre lang diskutiert wurde und nun vorerst vom Tisch ist. Zensurtechnologien auf Endgeräten, wie die von Fiedler vorgeschlagene Version, sind eher aus Ländern wie Nordkorea bekannt.
Der Innenpolitiker und Polizist Fiedler, der früher Vorsitzender des Bundes Deutscher Kriminalbeamter war, fordert diese Form der Überwachung und Informationskontrolle nicht zum ersten Mal. Schon im Jahr 2024 hatte er seinen Vorschlag im Rahmen der Chatkontrolle-Debatte ins Spiel gebracht. Damals behauptete er im Interview mit WDR5, dass eine technische Umsetzung des Vorschlags möglich sei.
Wir hatten schon damals nachgefragt, wie dies funktionieren soll – und bedauerlicherweise keine Antwort von Herrn Fiedler erhalten.
Weil er nun erneut diesen Vorschlag ins Rennen schickt, haben wir wieder nachgefragt. Wir wollten wir unter anderem wissen, wie die Technologie funktionieren soll, ohne dass es zu einer anlasslosen Komplettüberwachung aller digitalen Inhalte auf sämtlichen Endgeräten kommt.
Außerdem wollten wir von Herrn Fiedler wissen, ob ihm eine Technologie bekannt ist, die das leistet.
Und wir wollten wissen, wie Herr Fiedler ausschließen möchte, dass die Technologie in autoritären Ländern oder in Deutschland unter einer AfD-Regierung dazu genutzt wird, um unliebsame politische Inhalte zu sperren.
Auch dieses Mal hat Herr Fiedler auf die Presseanfrage von netzpolitik.org nicht reagiert.
Eine Sicherheitslücke im schlanken SSH-Server Dropbear ermöglicht Angreifern, ihre Rechte im System auszuweiten. Aktualisierte Softwarepakete schließen die Sicherheitslücke.
Weiterlesen nach der Anzeige
Dropbear kommt aufgrund seiner geringen Größe oftmals auf Single-Board-Computersystemen und Routern zum Einsatz, etwa in OpenWRT. Jetzt haben die Entwickler die Dropbear-Version 2025.89 veröffentlicht und schreiben in der Ankündigung, dass bei älteren Fassungen bis einschließlich Dropbear 2024.84 Angreifer beliebige Programme im System als „root“ starten können, sofern sie eine Sicherheitslücke in Dropbear ausnutzen.
Ursache des Sicherheitslecks ist die Weiterleitung von Unix-Sockets. Andere Programme auf dem System können Unix-Sockets mittels SO_PEERCRED authentifizieren, was bei von Dropbear weitergeleiteten Verbindungen der User „root“ ist, was die Ausweitung der eigenen Rechte ermöglicht, führen die Dropbear-Programmierer aus (CVE-2025-14282, CVSS 9.8, Risiko „kritisch“).
Wer noch nicht aktualisieren kann, kann sich damit behelfen, den Zugriff auf Unix-Socket-Forwarding zu unterbinden. Das erledigt der Aufruf mit Kommandozeilenparameter dropbear -j – das deaktiviert jedoch zugleich auch TCP-Forwarding. Wer Dropbear aus den Quellen selbst baut, kann auch in den Header-Dateien „localoptions.h“ sowie „distrooptions.h“ einen Define passend setzen: „#define DROPBEAR_SVR_LOCALSTREAMFWD 0“ sorgt dafür, dass die anfällige Funktion nicht ausgeführt wird. Die vollständige Korrektur benötigt jedoch weiterreichende Änderungen.
„Die Weiterleitung von Unix-Sockets ist jetzt deaktiviert, wenn erzwungene Befehlsoptionen verwendet werden, da sie Befehlsbeschränkungen umgehen könnten“, erklären die Dropbear-Entwickler. Das stehe nicht direkt mit der Rechteausweitung in Verbindung, aber könnte die Ausführung beliebiger Befehle als korrekter User erlauben.
Die Risikoeinstufung als „kritisch“ der Schwachstelle stammt vom CERT-Bund. Wer Dropbear als SSH-Server einsetzt, sollte nach aktualisierten Paketen Ausschau halten und diese zeitnah installieren. Sofern das noch nicht möglich ist, hilft der vorgeschlagene Workaround, die eigene Installation abzusichern.
Weiterlesen nach der Anzeige
(dmk)
Mehr Europäische Souveränität – weniger Abhängigkeit von großen US-Konzernen. Das ist das zentrale Versprechen des Digitalen Euro. Doch immer wenn über technische Standards beim Digitalen Euro geredet wird, sitzen US-amerikanische Big Tech- und Finanzkonzerne mit am Tisch. Mastercard ist sogar an einem der Unternehmen beteiligt, die den Digitalen Euro zum Leben erwecken sollen.
Der Digitale Euro (D€) soll das grenzüberschreitende Bezahlen möglich machen und damit das Oligopol von Mastercard, Visa und PayPal aufbrechen. Spätestens seit der Rückkehr von Donald Trump ins Weiße Haus begründen Befürworter:innen das Projekt der EZB auch mit Europäischer Souveränität.
So verweist Burkhard Balz, Vorstand der Bundesbank, im Tagesspiegel auf das Schicksal des brasilianischen Richters Alexandre de Moraes, der zuerst den ehemaligen brasilianischen Präsidenten Bolsonaro für seinen Putschversuch verurteilte. Die Trump-Regierung sanktionierte daraufhin den Richter und schloss ihn so de-facto vom Finanzsystem aus. Ähnliche Szenarien seien im europäischen Zahlungsverkehr denkbar. US-Anbieter „können dann darüber entscheiden, ob wir Europäer digital zahlen können oder nicht“, schreibt Bundesbanker Balz.
Weniger Abhängigkeit von US-Firmen ist also das Ziel des D€, insbesondere von Mastercard und Visa, die das bargeldlose Bezahlen in Europa dominieren. Umgesetzt werden soll das auf der einen Seite von EU-Kommission, Ministerrat und Europäischem Parlament – den EU-Gesetzgebern. Sie arbeiten an einem Gesetzespaket zum Digitalen Euro. Auf der anderen Seite arbeitet die Europäische Zentralbank (EZB) bereits an der Umsetzung. Und genau dort wirft der Einfluss von US-Konzernen Fragen auf.
Denn ausgerechnet Mastercard ist auch an einem wichtigen Unternehmen für die Entwicklung des Digitalen Euro beteiligt. Der gleiche Digitale Euro, der uns unabhängiger von Mastercard machen soll.
Denn zur Umsetzung des D€ hat die EZB bereits Aufträge vergeben. Unter Vertrag genommen wurden zehn Unternehmen für insgesamt fünf Aufträge: Alias-System, App und Software Entwicklung, Offline-Lösung, Risko- und Betrugsmanagement sowie sicherer Austausch von Zahlungsinformationen.
Einen Teil der Ausschreibung zur App-Entwicklung gewann die italienische Firma Fabrick. Mastercard hat Anteile an dem Unternehmen, das mehrheitlich zur italienischen Banca Sella Gruppe gehört. Mastercard kaufte sich 2023 in das Unternehmen ein, wie ein Pressemitteilung zeigt, und hält die Anteile bis heute. Wie viele Anteile Mastercard an Fabrick besitzt, ist unklar. Beide Unternehmen haben nicht auf Anfragen von netzpolitik.org reagiert.
Bruno de Conti von der NGO Positive Money führt die Beteiligung von Mastercard auf die hohe Konzentration und Vernetzung innerhalb des Finanzmarkts zurück, er sei daher nicht überrascht gewesen, dass Mastercard an einem der Unternehmen beteiligt gewesen sei. „Dennoch stellt das ein Risiko dar“, warnt de Conti. Es brauche einen möglichst transparenten Prozess und eine starke EZB, die das Gemeinwohl verteidige.
Rechtsprofessor Andreas Kerkemeyer von der TU Darmstadt findet die Minderheitsbeteiligung von Mastercard zumindest überraschend: „Es ist wichtig für das Gelingen des Digitalen Euros, dass die Unternehmen, mit denen die EZB zusammenarbeitet, um die Kernfunktionen bereitzustellen, ihren Sitz in Europa haben, in europäischer Hand sind und auch nicht von nicht-europäischen Unternehmen aufgekauft werden.“
Die EZB teilt auf Anfrage mit, dass die Verträge und Ausschreibungen eine Bedingung beinhalten, um die europäische Autonomie zu sichern. Dieser Bedingung zur Folge müssen alle Dienstleister des Digitalen Euro europäisch kontrolliert sein, also von einem Unternehmen mit Sitz in der EU oder einem EU-Bürger. Die EZB schreibt:
Kontrolle’ bedeutet die Möglichkeit, direkt oder indirekt über ein oder mehrere zwischengeschaltete Unternehmen einen entscheidenden Einfluss auf ein Unternehmen auszuüben. Die Kontrolle kann in einer der folgenden Formen ausgeübt werden: direkte oder indirekte Beteiligung von mehr als 50 % des Nennwerts des ausgegebenen Aktienkapitals der betreffenden juristischen Person oder Mehrheit der Stimmrechte der Aktionäre oder Gesellschafter dieser Person.
Die Minderheitsbeteiligung von Mastercard habe „offenbar keine ‚Kontrolle‘ über den Anbieter zur Folge und wirkt sich daher nicht auf die Eignung des Anbieters aus, Arbeiten und Dienstleistungen für die EZB zu erbringen“, antwortet die EZB auf netzpolitik.org-Anfrage.
Neben der Unternehmensbeteiligung ist Mastercard noch an einer anderen Stelle in der Umsetzung des Digitalen Euro mindestens involviert – ebenso wie einige US-amerikanische Big Tech-Konzerne.
Denn ein wichtiger Teil der D€-Umsetzung geschieht in der Rulebook Development Group (RDG). Diese arbeitet ein Rulebook („Regelwerk“) aus, in welchem einheitliche Regeln und technische Standards festgelegt sind. Besonders relevant ist das für die Unternehmen, die die zukünftigen Zahlungsprozesse abwickeln, etwa Banken oder andere Zahlungsdienstanbieter. Nach Auskunft der Bundesbank wurde die RDG „ins Leben gerufen, um eine Branchenperspektive auf den Entwurf des Regelwerks für den digitalen Euro zu gewinnen.“
Doch mit am Tisch sitzen auch Verbände, deren Mitglieder große US-amerikanischen Unternehmen sind, also genau die, von denen die EZB die europäische Abhängigkeit reduzieren möchte.
Bundesbank und EZB verteidigen auf Anfrage die indirekte Präsenz von US-Konzernen in der RDG. So schreibt die EZB: „Alle derzeitigen RDG-Mitglieder aus dem privaten Sektor stammen aus einem europäischen Verband oder sind mit privaten Institutionen/Unternehmen mit Sitz in der EU verbunden.“ Das schließt allerdings auch Tochterunternehmen nicht-europäischer Konzerne mit ein.
Zudem seien die in der RDG ausgehandelten Regeln nicht verbindlich. „Die Rolle der RDG-Mitglieder ist beratend“, schreibt die Bundesbank auf netzpolitik.org-Anfrage. Die Verantwortung und Eigentümerschaft des Regelwerks bleibe beim Eurosystem. Auch die EZB betont, dass die letztendliche Entscheidung bei ihr liege: „Ein endgültiger Entwurf des vorläufigen Regelwerks wird einer öffentlichen Konsultation unterzogen. Anschließend wird das Regelwerk für den digitalen Euro dem EZB-Rat zur Prüfung und anschließenden Genehmigung vorgelegt.“
Expert:innen aus der Zivilgesellschaft sehen die indirekte Beteiligung von großen US-Konzernen kritischer. So sagt Carolina Melches zu netzpolitik.org: „Dass US-Unternehmen indirekt mit am Tisch sitzen, zeigt die problematische Allgegenwärtigkeit dieser Unternehmen im europäischen Zahlungsverkehr. Will man wichtige Stakeholder dabeihaben, kommt man an den US-Anbietern kaum vorbei.“
Bruno de Conti von der Nichtregierungsorganisation Positive Money Europe warnt, dass es beim Rulebook um „wesentliche Entscheidungen“ gehe. Die Einbindung von privaten Firmen bei Projekten wie dem Digitalen Euro sei auch eine Strategie der Zentralbanken, „um die Zurückhaltung vieler privater Unternehmen in Bezug auf digitale Zentralbankwährungen zu verringern“, schreibt de Conti auf Anfrage.
US-Digitalkonzerne könnten versuchen, auf einen möglichst unattraktiven Digitalen Euro hinzuarbeiten, aber es könnte auch auf eine interoperable Lösung hinauslaufen, so de Conti weiter. Die Frage nach der Problematik der Beteiligung von großen US-Konzernen „betrifft also weniger die Einbeziehung an sich, sondern vielmehr den Einfluss, den sie in den Gesprächen hatten – etwas, über das wir erschreckend wenig wissen.“
Professor Andreas Kerkemeyer ist von der mindestens indirekten Beteiligung der US-Konzerne an der RDG nicht beunruhigt. „Da der Zugang zum Digitalen Euro für die Nutzer nicht über die EZB oder das Eurosystem erfolgt, sondern über (digitale) Zahlungsdienstleister, macht es schon Sinn mit all denjenigen zusprechen, die in diesem Markt aktiv sind“, sagt der Jura-Professor im Gespräch mit netzpolitik.org.
Für Kerkemeyer „besteht immer die Gefahr eines ‚regulatory capture‘, wenn die Vertreter von Firmen an Rechtsregeln mitarbeiten.“ Regulatory capture meint das Kapern einer Institution, die eigentlich dem Gemeinwohl dienen soll, durch einzelne Lobbygruppen.
„Allerdings steuert die EZB den Prozess maßgeblich, sie hat den Vorsitz und das Sekretariat der RDG inne und am Ende entscheidet sie über das Rulebook“, so Kerkemeyer. Außerdem habe die RDG noch mehr Mitglieder als die oben angesprochenen Verbände.
Dass der Digitale Euro gelinge, sehen alle drei Expert:innen auch in der Verantwortung von Parlament und Rat, diese beraten aktuell über das Gesetzespaket zum Digitalen Euro. So sagt Andreas Kerkemeyer: „In der Verordnung werden die wesentlichen Entscheidungen über den Digitalen Euro getroffen. Es ist klar, dass sich das Rulebook innerhalb des Rahmens der Verordnung bewegen muss.“
Carolina Melches von Finanzwende betont: Der Digitale Euro könne nur dann ein echtes Gegengewicht zu US-amerikanischen Anbietern werden, „wenn Infrastruktur und Betrieb bei seiner Einführung rein europäisch sind“. Hierfür müssten sich auch die EU-Gesetzgeber einsetzen.
Aus Sicht von Positive Money Europe ist das Europäische Parlament aktuell die größte Hürde, um Abhängigkeiten von den USA abzubauen. De Conti bezieht sich damit auf den Entwurf von Berichterstatter Navarrete, der im November im Wirtschaftsausschuss diskutiert wurde. Navarrete hatte vorgeschlagen, einen Online-D€ nur dann einzuführen, wenn bis zu seiner Einführung keine privat-wirtschaftliche pan-europäische Alternative bereitstünde.
Dieser Ansatz sei „kurzsichtig“, kritisiert de Conti: „Würde ein solches System letztendlich von einem Nicht-EU-Unternehmen aufgekauft, stünden wir wieder am Anfang – nur mit einer noch größeren Verzögerung bei der Entwicklung eines umsetzbaren und zuverlässigen Plans und einer weiteren Konsolidierung der Marktmacht in den Händen von Nicht-EU-Unternehmen.“
Illustrierte Reise nach New York City › PAGE online
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
SK Rapid Wien erneuert visuelle Identität
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Neue PC-Spiele im November 2025: „Anno 117: Pax Romana“
Donnerstag: Deutsches Flugtaxi-Start-up am Ende, KI-Rechenzentren mit ARM-Chips
Arndt Benedikt rebranded GreatVita › PAGE online
