In der quelloffenen Verschlüsselungsbibliothek OpenSSL haben IT-Forscher 12 Sicherheitslücken entdeckt, eine davon gilt als kritisch. Angreifer können dadurch etwa Schadcode einschleusen. Bemerkenswert ist auch, dass die IT-Sicherheitsforscher die Schwachstellen mit KI-Systemen aufgespürt haben.

Das berichten die Mitarbeiter von Aisle in einem Blog-Beitrag. Ein Stack-basierter Pufferüberlauf kann beim Verarbeiten von „CMS AuthEnvelopeData“-Nachrichten mit bösartig manipulierten AEAD-Parametern durch verwundbare OpenSSL-Versionen auftreten. Das führt unter Umständen zu einem Absturz und dadurch zu einem Denial-of-Service; alkternativ kann jedoch auch Schadcode aus dem Netz zur Ausführung gelangen, erklärt das OpenSSL-Projekt in der Schwachstellenbeschreibung. Der Überlauf tritt vor einer Authentifizierung auf, es sind daher keine gültigen Keys oder Bestandteile davon nötig (CVE-2025-15467, CVSS 9.8, Risiko „kritisch“). Die US-amerikanische IT-Sicherheitsbehörde CISA kommt zu der höheren Risikoeinschätzung – das OpenSSL-Projekt selbst stuft das Sicherheitsleck lediglich als Risiko „hoch“ ein.

Eine zweite Sicherheitslücke besteht in der fehlenden Überprüfung einiger Parameter in PKCS#12-Zertifikatsdateien. Sorgsam präparierte Einträge können einen Stack-basierten Pufferüberlauf oder eine Null-Pointer-Dereferenz mit anschließendem Absturz der Software auslösen oder möglicherweise eingeschleusten Schadcode ausführen. Da es unüblich ist, nicht vertrauenswürdigen PKCS#12-Dateien in Apps zu vertrauen, da sie in der Regel private Schlüssel beherbergen, stufen die OpenSSL-Entwickler die Lücke als moderat ein (CVE-2025-11187, CVSS 6.1, Risiko „mittel“).

OpenSSL: Viele Lücken mit niedrigem Risiko

Die restlichen zehn Schwachstellen wurden lediglich als niedriges Sicherheitsrisiko eingestuft: Die Sicherheitslecks mit den Schwachstelleneinträgen CVE-2025-15468, CVE-2025-15469, CVE-2025-66199, CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2026-22795 und CVE-2026-22796 können Angreifer im Wesentlichen für Denial-of-Service-Angriffe missbrauchen.

Die Sicherheitslücken stopfen die OpenSSL-Versionen 3.6.1, 3.5.5, 3.4.4, 3.3.6 und 3.0.19. Einige der als niedriges Risiko eingestuften Lücken betreffen auch ältere Versionen, dort sollen OpenSSL 1.1.1ze und OpenSSL 1.0.2zn für Premium-Support-Kunden bereitstehen. IT-Verantwortliche sollten aufgrund der kritischen Sicherheitslücke die Updates zügig installieren.

Dass die Schwachstellen mittels KI-Tools von Aisle entdeckt wurden, überrascht ein wenig. Das curl-Projekt hat etwa sein Bug-Bounty-Programm eingestellt, da es von unbrauchbaren KI-Schwachstellenmeldungen überflutet wurde. Der Aufwand, die teils plausibel klingenden Meldungen zu untersuchen und am Ende herauszufinden, dass es sich um Halluzinationen oder einfach erschwindelte Lücken handelte, uferte zu sehr aus.

(dmk)

Der dienstbare KI-Bot OpenClaw, auch als Moltbot oder ehedem ClawdBot bekannt, enthält eine schwerwiegende Sicherheitslücke. Angreifer können dadurch Authentifizierungstoken abgreifen und damit am Ende beliebigen Code auf dem Gateway eines Opfers ausführen.

In der Schwachstellenbeschreibung erklärt der Entwickler Peter Steinberger, dass die Kontroll-Bedienoberfläche dem Parameter gatewayUrl einer Anfrage ohne Prüfung vertraue und beim Laden automatisch dorthin verbindet. Dabei überträgt sie den Zugriffstoken zum Gateway in den WebSocket-Verbindungsdaten. Dadurch kann ein Klick auf einen präparierten Link oder der Besuch einer bösartigen Webseite den Token an von Angreifern kontrollierten Servern übertragen, die sich damit auf dem Gateway anmelden können. Dort können sie die Konfiguration ändern, etwa bezüglich Sandbox und Tool-Richtlinien, sowie Aktionen mit höheren Rechten ausführen (CVE-2026-25253, CVSS 8.8, Risiko „hoch“).

Es handelt sich damit um eine 1-Klick-Codeschmuggel-Lücke. Da der Webbrowser des Opfers als Brücke diene, können Angreifer die Lücke auch dann missbrauchen, wenn das Gateway nur an das loopback-Interface angebunden ist. Betroffen sind Versionen von OpenClaw/Moltbot bis einschließlich 2026.1.28. Version 2026.1.29 dichtet das Sicherheitsleck ab. Wer sich den KI-Bot installiert hat, sollte daher so schnell wie möglich auf die fehlerkorrigierte Fassung aktualisieren.

Moltbot: Mächtiger KI-Bot

Der ursprünglich unter dem Namen „Clawdbot“ und aufgrund der Namensähnlichkeit zu Anthropics KI Claude dann in „Moltbot“ umbenannte entwickelte KI-Assistent hat einen extremen Hype ausgelöst. Allein auf Github hat er inzwischen fast 150.000 Sterne-Wertungen zum Meldungszeitpunkt – noch einmal ein großer Anstieg seit vergangener Woche. Der KI-Assistent ist sehr mächtig und kann viele Aktionen ausführen, auch mit hohen Rechten direkt auf dem System, auf dem er installiert ist. c’t 3003 hat sich in der jüngsten Ausgabe den KI-Bot genauer angesehen und mit dessen Wiener Entwickler Peter Steinberger gesprochen.

(dmk)

Nach etwa einem Jahr Bedenkzeit, dutzenden Gesprächen über „ethisches Investieren“ und einer albtraumgeplagten Nacht ist der erste Schritt zur Altersvorsorge vollbracht: Der ETF-Sparplan steht. Erst auf Nachfrage erfahre ich, dass die überwältigende Mehrheit meines besserbezahlten Bekanntenkreises schon lange dabei ist: „Ob ich spare? Klar – ETF, Habibi!“, erzählt mir ein Systemadministrator in der Szene-Kneipe am Kottbusser Tor.

ETF steht für Exchange-Traded Fund. Die Indexfonds werden wie Aktien an der Börse gehandelt und bilden die Wertentwicklung eines Marktindex nach. Anstatt in ein einzelnes Unternehmen zu investieren, ermöglicht ein ETF eine breite Streuung über viele Unternehmen gleichzeitig. Im beliebten „iShares Core MSCI World ETF“ der Investmentfirma BlackRock sind etwa 1.300 Unternehmensaktien aus 23 „entwickelten Märkten“ enthalten.

US-amerikanische Unternehmen machen darin den mit Abstand größten Anteil aus. Unter den Top 10 befinden sich Microsoft, Amazon, Google, Meta und Tesla. Auf den hinteren Plätzen folgt sogar noch Palantir. Aufgrund ihres Erfolgs sorgen die Unternehmen von Bezos, Musk und Co. für einen saftigen Teil der Rendite im Sparplan.

Die befreundete Sparschickeria nimmt das locker: „Wenn du ein MacBook nutzt, dann kannst du auch in Apple investieren“, schlussfolgert der Arzt. „Mit ETFs bereichere ich mich am Reicherwerden der Reichen“, argumentiert der Wohnungsbesitzer. Und auch der Systemadministrator nimmt‘s gelassen: „Friedrich Merz war ja lange bei BlackRock, der MSCI World ist also sicher“.

Keine guten Alternativen

Was soll man auch anderes machen? Hierzulande muss sich der Bürger nun einmal selbst um die Altersvorsorge kümmern. Das deutsche Rentensystem ist marode und reformbedürftig. Mit den Zinsen aus Staatsanleihen und Tages- bzw. Festgeldkonten lässt sich gerade so die Inflation ausgleichen. Mehr ist mit den privaten, staatlich geförderten Riester- und Rürup-Renten auch nicht drin.

Der Handel mit Einzelaktien ist derweil mit erheblichen Risiken verbunden. Aktiv gemanagte Fonds verursachen in der Regel hohe Kosten, ohne entsprechend höhere Erträge zu liefern. Und Immobilien, besonders in Großstädten, liegen durch die immensen Preise weit außerhalb der Reichweite von Normalverdienern.

Damit bleiben für Sparer oft nur ETFs übrig, die gemessen am Wachstum der Weltwirtschaft ein relativ geringes Risiko und höhere Renditen als andere Anlageoptionen versprechen – vorausgesetzt, der Anleger ist bereit, sein Geld über einen langen Zeitraum zu investieren.

Widersprüche akzeptieren

Spare ich mit dem iShares Core MSCI World ETF, setze ich mit meinem Geld indirekt auf ein Land, das sich offensichtlich im kulturellen, ästhetischen und politischen Niedergang befindet. Ökonomisch sind die USA aber als größte Volkswirtschaft der Welt nach wie vor führend. Wer mit den Standard-ETFs effizient sparen will, hat leider keine andere Wahl, als auch diesen Widerspruch zu akzeptieren.

Der gedankliche Spagat zwischen politischer Realität und Rendite bleibt damit anspruchsvoll – vor allem für jene, die von Haus aus nie mit Geldanlage in Berührung gekommen sind. Die Auseinandersetzung erfordert eine gewisse Offenheit gegenüber der befremdlichen Finanzwelt und natürlich auch Ressourcen. Leider fehlt es jenen, die Finanzbildung am nötigsten hätten, oft an allem.

Blinder Fleck Finanzbildung

Suche ich nach „Geld anlegen“ bei YouTube, werden mir direkt zwei Krypto-Influencer angezeigt. In nur wenigen Sekunden legt mir einer der selbsternannten Finanzexperten dar, dass der Handel mit Kryptowährungen wohl kein Glücksspiel, sondern ein nachhaltiges Business ist: „Aber das dauert halt dann ein paar Jahre, bis man von 10.000 € auf 100.000 € oder eine Million kommt“.

Im breiten Feld der sogenannten Finfluencer ist von Clickbait-Clowns („ICH WURDE REICH ALS ICH DAS VERSTANDEN HABE“) bis hin zu sachlichen und besser recherchierten Formaten wie „Finanzfluss“ alles dabei. Letztere beantworten zwar zuverlässig Fragen rund um die Geldanlage, sprechen dafür aber selten über politische Aspekte.

An Universitäten, insofern sie keinen wirtschaftlichen Schwerpunkt haben, spielt Finanzbildung dagegen eine untergeordnete bis keine Rolle. Das liegt auch daran, dass sich viele Studenten in einem einseitigen Generationenvertrag mit ihren Eltern befinden, die sich um die finanziellen Angelegenheiten kümmern.

Auch vermeintlich linke Meinungsmacher klammern das Thema gerne aus. Die feurige Erregung über identitätspolitische Trendthemen nimmt der Finanzbildung die Luft weg. „Börse“, „Aktien“ und „Anlage“ gelten als reaktionäre oder bisweilen rechts interpretierte Begriffe eines über Jahre kultivierten Feindbildes. Manch ein Journalist beschwert sich gar über das eigene Erbe. Dabei wird oft vergessen, dass jene, denen die Kohle zum Heizen fehlt, sich nicht an den „Hot Takes“ privilegierter Medienmenschen wärmen können.

Mitunter kommt es zu erstaunlichen Kehrtwenden. Noch 2019 bezeichneten Wolfgang M. Schmitt und Ole Nymoen in ihrem Wirtschaftspodcast „Wohlstand für alle“ die Beteiligung am Aktienmarkt als „Unfug“. Fünf Jahre später befürworten die beiden dann das Sparen mit ETFs. „Als Selbstständiger muss ich Rücklagen bilden, so habe ich auch kürzlich begonnen mit ETF-Sparen“, sagt Schmitt.

Notwendiges Übel

Was am Ende bleibt, ist eine bittersüße Erkenntnis. Die Beteiligung am Kapitalmarkt ändert nichts an Chancenungleichheit, Preissteigerungen und Niedriglöhnen. Das größte Risiko bei kleinstmöglichem Gewinn tragen die, die am wenigsten haben. Ein Grund auf die Altersvorsorge zu verzichten, ist das nicht.

Wo der Sozialstaat zu kurz greift, muss der Bürger Verantwortung übernehmen. Und wer etwas sparen möchte, kann sich allzu strenge Erwägungen bei der Geldanlage im gegenwärtigen System schlicht und einfach nicht leisten.

Für die Altersvorsorge sind ETFs offenbar also die beste unter vielen schlechten Optionen. Zähneknirschend reihe auch ich mich in den Kreis der Sparschickeria ein. Es ist eine alte Weisheit von Bertolt Brecht, die mir die Sache leichter macht: „Nur wer im Wohlstand lebt, lebt angenehm.“