Auf die KI-gestützte Automatisierungssoftware n8n laufen derzeit Angriffe. Bösartige Akteure missbrauchen dabei eine seit Januar bekannte Sicherheitslücke in dem Prozessautomatisierungstool.

Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA aktuell. Sie hat die Schwachstelle CVE-2025-68613 in den „Known Exploited Vulnerabilities“-Katalog aufgenommen. Die wurde Anfang des Jahres bekannt, sie lässt sich insbesondere mit weiteren Schwachstellen verknüpfen und ermöglicht dann das Ausführen von beliebigen Systemkommandos. Der CVSS-Wert 8.8 weist das Risiko zwar lediglich als „hoch“ aus, jedoch zeigte bereits dort ein Proof-of-Concept-Exploit (PoC) die Verknüpfung mit der „Ni8mare“ getauften Sicherheitslücke CVE-2026-21858 (CVSS 10, Risiko „kritisch“).

Wie üblich nennt die CISA keine weiteren Details zu den beobachteten Angriffen. Der Umfang bleibt unklar, ebenso, wie die konkreten Attacken aussehen. Es fehlen daher auch Hinweise, an denen sich erfolgreiche Angriffe erkennen ließen (Indicators of Compromise, IOC).

n8n: Zahlreiche verwundbare Systeme im Netz

Allerdings finden sich offenbar zahlreiche, nicht ausreichend abgesicherte n8n-Systeme im Internet. Die Shadowserver Foundation hat zwischen Ende Dezember 2025 und Anfang Februar 2026 etwa vermessen, wie viele Systeme für „Ni8mare“ anfällig sind. Anfang Februar waren das global noch 24.607 Systeme, von denen 7878 in Europa standen. Ende Februar wurden weitere Schwachstellen in n8n entdeckt, darunter drei als kritisches Risiko eingestufte. Zu einer davon, CVE-2026-27493 (CVSS4 9.5, Risiko „kritisch“), hat Pillar Security eine detaillierte Analyse vorgelegt. Demnach haben sie mehr als 50.000 potenziell verwundbare Endpunkte im Netz gefunden – für eine Zero-Click-Schwachstelle, die Codeschmuggel erlaubt. Laut der Analyse nutzen mehr als 230.000 Organisationen n8n, die Docker-Container wurden mehr als 100 Millionen Mal gezogen.

IT-Verantwortliche, die n8n-Instanzen in ihrer Organisation einsetzen, sollten daher sicherstellen, dass sie die fehlerkorrigierten Versionen (2.10.1, 2.9.3 und 1.123.22 respektive die aktuellen, noch neueren Fassungen) einsetzen. Außerdem sollte das Tool nicht aus dem Internet zugreifbar sein. Eine weitere Zugriffsbeschränkung im lokalen Netz auf die Rechner der damit arbeitenden Mitarbeiter und Systeme scheint ebenfalls eine sinnvolle Maßnahme zu sein.

(dmk)

Eigentlich soll die europäische digitale Brieftasche ein Musterbeispiel für Datensparsamkeit werden: Wer etwa beim Weinkauf nur sein Alter nachweisen muss, gibt auch nur das Alter preis – so zumindest der Plan. Doch die EU-Kommission untergräbt in ihren aktuellen Durchführungsrechtsakten zur eIDAS-Verordnung genau dieses Prinzip. Die österreichische Nichtregierungsorganisation epicenter.works warnt in einer ausführlichen Stellungnahme davor, dass Unternehmen weit mehr Daten abfragen könnten als nötig.

Im Zentrum der Kritik stehen drei aktuelle Konsultationsentwürfe der EU-Kommission für sogenannte Durchführungsrechtsakte. Insgesamt 40 solcher Rechtsvorschriften will die Kommission erlassen, bevor die European Digital Identity Wallet (EUDI-Wallet) verfügbar ist. Sie regeln die praktische Umsetzung der eIDAS-Verordnung 2.0, die im Mai 2024 in Kraft trat und den rechtlichen Rahmen für die digitale Brieftasche bildet. Die Bundesregierung hat den Start der deutschen EUDI-Wallet zum 2. Januar 2027 angekündigt und bereits eine Testumgebung bereitgestellt.

Technische Lösung nur optional

Das Problem liegt bei den Registrierungszertifikaten für „Relying Parties“ – also Unternehmen und Behörden, die Daten aus der Wallet abfragen wollen. Laut eIDAS-Verordnung müssen sich solche vertrauenswürdigen Parteien vorab in einem EU-Mitgliedstaat registrieren und dabei angeben, welche Daten sie zu welchem Zweck anfordern. Facebook braucht keinen Geburtsort, Erotikseiten keine Klarnamen – das leuchtet ein. Die daraufhin ausgestellten Registrierungszertifikate setzen diese Beschränkung technisch durch: Sie funktionieren als eine Art Datenausweis, mit dem sich anfragende Stellen gegenüber der Wallet legitimieren.

Die Kommission formuliert in ihren neuen Entwürfen jedoch, dass Mitgliedstaaten solche Zertifikate lediglich ausstellen „können“, nicht „müssen“. Ohne Zertifikat kann eine Wallet aber rein technisch nicht überprüfen, ob eine Datenanfrage dem registrierten Zweck entspricht. „Unternehmen aus Ländern wie Irland könnten Schutzmechanismen der Wallet umgehen, sodass illegale Anfragen nach zu vielen Informationen möglich werden“, warnt Thomas Lohninger von epicenter.works bei Netzpolitik.org.

Ein Unternehmen könnte demnach einfach einen Niederlassungsort in einem Mitgliedstaat, der keine Zertifikate verlangt, wählen und dann auch von deutschen Nutzern mehr Daten abfragen als nötig. Laut epicenter.works widerspricht das Artikel 5b Absatz 3 der eIDAS-Verordnung, wonach vertrauenswürdige Parteien nur jene Daten abfragen dürfen, die sie bei ihrer Registrierung angegeben haben.

Biometrie statt Pseudonym

Neben der technischen Kontrolle steht auch das in der eIDAS-Verordnung verankerte Recht auf Pseudonymität unter Druck. Nutzer sollten sich demnach im Alltag mit selbst gewählten Pseudonymen ausweisen können, sofern keine gesetzliche Identifizierungspflicht besteht. Die Kommission beschränkt den Pseudonym-Gebrauch in ihren Entwürfen jedoch auf reine Authentifizierungsvorgänge – etwa pseudonyme Logins bei Webdiensten.

epicenter.works kritisiert diese enge Auslegung: Gerade vor dem Hintergrund der aktuellen Debatte um Alterskontrollen auf sozialen Medien, Glücksspiel- und Pornografie-Seiten sei das fahrlässig. Denn mit so einer engen Auslegung könnten solche – möglicherweise sehr an Klarnamen interessierten – Parteien vollständige Identitätsdaten erhalten, trotz fehlender Rechtsgrundlage.

Besonders brisant: Die Kommission will nun auch biometrische Gesichtsdaten verpflichtend in den bewusst minimal gehaltenen Mindestdatensatz zur Personenidentifizierung (Person Identification Data, PID) aufnehmen. Bislang umfasst dieser Datensatz Name, Geburtsdatum, Geburtsort und Staatsangehörigkeit. Dabei fallen biometrische Daten unter Artikel 9 der DSGVO und unterliegen damit besonders strengen Verarbeitungsregeln. Ohne verpflichtende Registrierungszertifikate könnten auch diese sensiblen Daten an Unternehmen fließen, die sie nicht benötigen. Zehn Nichtregierungsorganisationen, darunter EDRi und der Chaos Computer Club, forderten daher am 10. März 2026 verpflichtende Registrierungszertifikate in einem offenen Brief an EU-Kommissarin Henna Virkkunen.

Wiederholtes Muster

Bereits im November 2024 hatte die Kommission versucht, die Registrierung vertrauenswürdiger Parteien freiwillig zu machen. Nach Protesten zivilgesellschaftlicher Organisationen korrigierte sie vorübergehend ihre Position – nur um wenige Wochen später zur ursprünglichen Forderung zurückzukehren. epicenter.works bezeichnet dieses Vorgehen als unprofessionell und warnt, dass es „das Vertrauen der Öffentlichkeit in das künftige eIDAS-Ökosystem erheblich“ untergrabe.

Die Wallet-Entwicklung in Deutschland schreitet derweil voran. Die Bundesagentur für Sprunginnovationen (Sprind) hat zusammen mit dem BSI und der Bundesdruckerei einen funktionsfähigen Prototypen vorgeführt, der den Personalausweis per NFC auslesen und signierte Ausweisdaten lokal speichern kann. BSI-Präsidentin Claudia Plattner demonstrierte die App auf der re:publica und betonte, Datenschutz sei ein zentrales Unterscheidungsmerkmal gegenüber kommerziellen Anbietern. Auch der digitale Führerschein soll bis 2030 in die EUDI-Wallet integriert werden.

Ob die technischen Schutzmaßnahmen in der Praxis wirken, hängt nun maßgeblich davon ab, wie die Kommission ihre Durchführungsrechtsakte finalisiert. epicenter.works fordert, Registrierungszertifikate EU-weit verpflichtend zu machen und biometrische Daten aus dem PID-Mindestdatensatz zu streichen. Nur so lasse sich ein einheitliches Datenschutzniveau gewährleisten – und verhindern, dass die digitale Brieftasche zum Freibrief für Datensammler wird.

(kki)

Aufgrund von mehreren Softwareschwachstellen können Angreifer Switches mit HPE Aruba Networking AOS-CX attackieren. Im schlimmsten Fall sind Geräte im Anschluss vollständig kompromittiert. Sicherheitsupdates stehen zum Download bereit. Derzeit gibt es noch keine Berichte über Attacken.

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler insgesamt fünf Sicherheitslücken geschlossen. Sie geben an, dass die AOS-CX-Versionen 10.10.1180, 10.13.1161, 10.16.1030 und 10.17.1001 repariert sind. Alle vorigen Ausgaben sind angreifbar. Die Entwickler weisen darauf hin, dass nicht mehr im Support befindliche Versionen ebenfalls verwundbar sind. Dafür gibt es aber keine Sicherheitspatches mehr. An dieser Stelle müssen Admins auf eine noch unterstützte Ausgabe umsteigen.

Kritische Admin-Lücke

Am gefährlichsten gilt eine „kritische“ Lücke (CVE-2026-23813) im Web-Managementinterface. Setzen entfernte Angreifer erfolgreich an der Schwachstelle an, können sie Admin-Kennwörter zurücksetzen. Wie eine solche Attacke konkret ablaufen könnte, ist bislang unklar. Klappt solch ein Angriff, ist davon auszugehen, dass Angreifer die volle Kontrolle über Geräte erlangen. Können Admins den Sicherheitspatch nicht sofort installieren, sollten sie Instanzen durch eine strenge Zugriffskontrolle abschotten.

Über drei Schwachstellen mit dem Bedrohungsgrad „hoch“ (CVE-2026-23814, CVE-2026-23815, CVE-2026-23816) kann ein Angreifer eigene Kommandos ausführen. Dafür müssen sie aber in allen drei Fällen bereits angemeldet sein.

Durch das erfolgreiche Ausnutzen der verbleibenden Lücke (CVE-2026-23817 „mittel“) können Angreifer Opfer auf eine von ihnen kontrollierte URL umleiten.

(des)