In Straßburg hat die EU-Kommission Dienstag eine Zäsur für den europäischen IT-Markt eingeleitet. Ihr Entwurf für den Cybersecurity Act 2 sucht Lösungen für eine Ära, in der digitale Infrastrukturen zum Schauplatz geopolitischer Machtkämpfe geworden sind. Die Kommission verlässt damit den Pfad unverbindlicher Empfehlungen und will eine Rechtsgrundlage schaffen, um Anbieter mit kritischem Risikoprofil wie Huawei oder ZTE aus China konsequent aus europäischer Infrastruktur verdrängen zu können.

„Festung Europa“

Die Stoßrichtung des Gesetzespakets ist unmissverständlich: Die EU will ihre Abhängigkeit von Drittstaaten-Ausrüstern beenden, die im Ernstfall als verlängerter Arm ausländischer Regierungen fungieren könnten. Was bisher vor allem für 5G-Netze im Rahmen einer „Toolbox“ galt, soll nun auf insgesamt 18 kritische Sektoren ausgedehnt werden. Die Kommission macht deutlich: Es geht nicht mehr nur darum, ob ein Router eine Hintertür hat. Vielmehr gelte es zu beachten, wer so ein Gerät gebaut hat und welchen Gesetzen dieser Hersteller in seiner Heimat unterliegt. Ziel ist eine „Festung Europa“ im digitalen Raum.

„Sicherheit ist kein optionales Extra, sondern das Fundament unserer digitalen Souveränität und die Voraussetzung für eine krisenfeste Wettbewerbsfähigkeit in einer instabilen Welt“, sagte Henna Virkkunen, die für Technik-Souveränität zuständige Kommissionsvizepräsidentin, am Dienstag. IT-Sicherheit müsse von der reinen IT-Aufgabe zum zentralen Element der nationalen Sicherheitspolitik aufgewertet werden.

Wie erwartet, enthält der Entwurf keine Liste von Staaten oder Unternehmen, von denen nach Ansicht der Kommission erhöhtes Risiko ausgeht. Diese EInschätzung kann sich ja rahsc ändern. Die EU-Staaten sollen vielmehr gemeinsam Risiken in Lieferketten erkennen und minimieren. Dabei sollen sie explizit wirtschaftliche Auswirkungen berücksichtigen, um Versorgungsengpässe bei Komponenten wie Chips zu verhindern.

Beschleunigte Zertifizierung als Wettbewerbsvorteil

Um den Ausschluss problematischer Anbieter wirtschaftlich abzufedern, setzt die Kommission auf einen Ausbau von Zertifizierung. Der neue Europäische Rahmen für die Cybersicherheitszertifizierung (ECCF) soll sicherstellen, dass Produkte nach dem Prinzip „Security by Design“ entwickelt werden. Und das mit Tempo: Neue Zertifizierungsschemata sollen künftig standardmäßig innerhalb von nur zwölf Monaten entwickelt werden. Bisher hinkte die Regulierung der technischen Entwicklung oft hinterher. Für Firmen in der EU soll das zum Wettbewerbsvorteil werden: Wer zertifiziert ist, weist nach, dass er die strengen EU-Sicherheitsvorgaben erfüllt.

Im Fokus stehen dabei kleine und mittlere Unternehmen (KMU), die oft unter der Last der Bürokratie stöhnen. Hier greift die Kommission korrigierend ein: Rund 28.700 Unternehmen sollen durch Vereinfachungen entlastet werden. Eine neue Kategorie für „Midcap-Unternehmen“ soll die Compliance-Kosten für zehntausende Firmen senken, ohne dass dabei Abstriche bei der Sicherheit gemacht werden. Ergänzt wird dies durch einen zentralen Meldeweg für Sicherheitsvorfälle (Single Entry Point), der die Reaktionsgeschwindigkeit bei Ransomware-Attacken massiv erhöhen dürfte.

Enisa als Knotenpunkt der Verteidigung

Ein zentraler Pfeiler der neuen Sicherheitsarchitektur ist die EU-Cybersicherheitsagentur Enisa. Ihr Mandat wird nicht nur verstetigt, sondern ausgebaut. Die Agentur rückt ins Zentrum der europäischen Verteidigungslinie: Sie soll Frühwarnsysteme betreiben, die Zusammenarbeit mit Europol koordinieren und Unternehmen aktiv dabei unterstützen, sich nach Angriffen wieder aufzurappeln. Mit einer neuen, bei der Enisa angesiedelten Akademie für Cybersicherheitskompetenzen und EU-weiten Zertifikaten für IT-Sicherheitspersonal will die Kommission die personelle Basis für den Betrieb sicherer Netze schaffen.

Mit dem Aufschlag beginnt das Gesetzgebungsverfahren im Parlament und im Rat der EU. Stimmen diese zu, tritt die Verordnung unmittelbar in Kraft. Für die nationalen Regierungen bedeutet das Paket auch, dass sie innerhalb eines Jahres flankierende Änderungen der NIS2-Richtlinie umsetzen müssen.

Für Größen wie Huawei, dessen Mobilfunktechnik in Deutschland schon schrittweise zurückgebaut wird, tickt damit die Uhr: Die Zeit, in der sie trotz Sicherheitsbedenken tragende Rollen bei europäischer Infrastruktur spielen konnten, neigt sich dem Ende zu. Bundeskanzler Friedrich Merz (CDU) hat sich bereits klar positioniert, keine Komponenten von chinesischen Herstellern in deutschen 6G-Netzen zulassen zu wollen.

Doch reicht das Vorhaben der EU weit über den Mobilfunk hinaus: Auch in anderen kritischen Bereichen wie bei der Bahn, dem Energiesektor oder in städtischen Netzen ist seit Jahren Technik chinesischer Hersteller im Einsatz. Und Huawei ist Weltmarktführer bei Wechselrichtern für Solaranlagen.

(vbr)

Let’s Encrypt hat die allgemeine Verfügbarkeit von 6-Tages- und IP-Zertifikaten verkündet. Tests liefen teils bereits seit einem Jahr – nun sollen alle in den Genuss von besseren Sicherheitsmöglichkeiten kommen.

Auf der Let’s-Encrypt-Webseite teilt das Projekt mit, dass Interessierte ab sofort die kurzlebigen Zertifikate einsetzen können, die für 160 Stunden gültig sind, knapp über sechs Tage. Dazu müssen sie in ihrem ACME-Client lediglich das „shortlived“-Zertifikatprofil auswählen. „Kurzlebige Zertifikate erhöhen die Sicherheit dadurch, dass sie eine häufigere Validierung benötigen und sich nicht auf unzuverlässige Widerrufsmechanismen verlassen“, schreibt der Projekt-Beteiligte Matthew McPherrin.

Er erklärt weiter: „Wenn der private Schlüssel eines Zertifikats offengelegt oder kompromittiert wird, war bisher der Widerruf (Revocation) die Methode der Wahl, um den Schaden vor Ablauf des Zertifikats zu begrenzen. Leider ist der Zertifikat-Widerruf ein unzuverlässiges System, sodass viele bis zum Ablauf des Zertifikats, also bis zu 90 Tage lang, weiterhin gefährdet sind. Mit kurzlebigen Zertifikaten reduziert sich der anfällige Zeitraum stark.“

Let’s Encrypt: Freie Wahl

Kurzlebige Zertifikate wollen die Proejtkbeteiligten optional anbieten. „Wir haben derzeit keine Pläne, sie zum Standard zu machen“, führt McPherrin aus. Diejenigen Let’s-Encrypt-Nutzer, die ihren Renewal-Prozess vollständig automatisiert haben, sollten einfach auf die kurzlebigen Zertifikate umstellen können. Das Projekt hofft, dass im Laufe der Zeit alle auf automatisierte Lösungen umstellen, sodass sich zeigen lässt, dass Kurzzeitzertifikate gut funktionieren. Die standardmäßige Laufzeit wird jedoch von 90 Tagen auf 45 Tage in den kommenden Jahren gesenkt, wie das Projekt bereits im Dezember angekündigt hatte.

Kurzlebige 6-Tage-Zertifikate stellen zudem die Basis für die ab jetzt ebenfalls allgemein verfügbaren IP-Zertifikate dar. Server-Admins können TLS-Verbindungen damit auch zu IP-Adressen authentifizieren. Let’s Encrpyt unterstützt dafür sowohl IPv4 als auch IPv6.

Die Ankündigung für interne Tests der Zertifikate mit verkürzter Laufzeit von sechs Tagen kam vor rund einem Jahr. Zur Jahresmitte folgte dann das erste ausgestellte IP-Zertifikat von Let’s Encrypt.

(dmk)

Kritische Sicherheitslücken in zwei populären WordPress-Plug-ins gefährden Instanzen des CMS im Netz. Angreifer missbrauchen eine der Schwachstellen bereits in freier Wildbahn. Wer WordPress einsetzt, sollte schauen, ob die verwundbaren Plug-ins installiert sind, und diese zügig aktualisieren.

Das Plug-in Modular DS kommt auf mehr als 40.000 aktive Installationen, erklären die IT-Sicherheitsforscher von Patchstack in ihrer Sicherheitsmitteilung. Es dient der Verwaltung mehrerer WordPress-Webseiten und bietet dazu Monitoring, Updaten und das Erledigen weiterer Aufgaben aus der Ferne. In der Version 2.5.1 und älteren von Modular DS ermöglicht eine Schwachstelle die Ausweitung der Rechte. Mehrere Probleme lassen sich verketten, etwa die Umgehung der Authentifizierung, automatisches Log-in als Admin und eine direkte Route-Auswahl (CVE-2026-23800, CVSS 10, Risiko „kritisch“).

Details erörtert Patchstack in der Mitteilung. Seit Freitag vergangener Woche beobachten die IT-Forscher zudem aktive Angriffe auf die Lücken. Einige Indizien für Kompromittierungen (Indicators of Compromise, IOCs) nennt die Analyse auch. Dazu gehören HTTP-Get-Aufrufe an den API-Endpunkt „/api/modular-connector/login/“ mit origin-Parameter „mo“ und type „foo“. Die Angreifer versuchen, einen „PoC Admin“-Zugang mit WordPress-Administratorrolle anzulegen, wobei der User-Name „admin“ enthält und eine ungültige E-Mail-Adresse verwendet wird. Drei IP-Adressen hat Patchstack außerdem mit den Angriffen in Verbindung bringen können. Weitere Attacken erfolgen auf „/?rest_route=/wp/v2/users&origin=mo&type=x“, oftmals mit User-Agent als „firefox“ und „username“ mit Bestandteil „backup“. Die Version 2.6.0 oder neuer stopft das Sicherheitsleck.

Weiter verbreitetes WordPress-Plug-in

Das WordPress-Plug-in „Advanced Custom Fields: Extended“ bringt es sogar auf mehr als 100.000 aktive Installationen. Das erklärt Wordfence in einer Sicherheitsmitteilung. Bis zur Version 0.9.2.1 des Plug-ins können nicht authentifizierte Angreifer bei der Registrierung als Rolle „Administrator“ angeben und damit vollen Zugriff auf die Instanz erhalten, da die „insert_user“-Funktion keine Einschränkungen vornimmt. Als Einschränkung nennen die IT-Sicherheitsforscher, dass sich das nur missbrauchen lässt, wenn „role“ dem benutzerdefinierten Feld zugeordnet wird (CVE-2025-14533, CVSS 9.8, Risiko „kritisch“). Ab Version 0.9.2.2 des Plug-ins ist das Problem gelöst.

Im November warnten IT-Sicherheitsforscher vor einer Schwachstelle im WordPress-Plug-in AI Engine. Auch das kommt auf mehr als 100.000 WordPress-Instanzen zum Einsatz. Angreifer konnten das Sicherheitsleck missbrauchen, um ihre Rechte zum Admin auszuweiten und damit die Instanz zu übernehmen.

(dmk)