Eine Sicherheitslücke in WinRAR ist seit August vergangenen Jahres bekannt, sie wurde dort auch rasch von Kriminellen attackiert. Obwohl ein Update zum Schließen der Schwachstelle bereitsteht, beobachtet Googles Threat Intelligence Group bis heute Angriffe darauf – von mehreren Tätergruppen.

„Von Regierungen unterstützte bösartige Akteure mit Verbindungen zu Russland und China sowie finanziell motivierte Gruppierungen nutzen diese n-Day-Sicherheitslücke weiterhin für unterschiedliche Operationen aus“, erklärt Google in einer aktuellen Analyse. „Die Missbrauchsmethode, eine Path-Traversal-Schwachstelle, die ermöglicht, Dateien in den Windows-Startordner abzulegen und dadurch Persistenz zu erreichen, unterstreicht eine Lücke in der grundlegenden Anwendungssicherheit und im Bewusstsein der Benutzer.“

Missbrauch von alter WinRAR-Lücke

Die in WinRAR 7.13 von Ende Juli 2025 geschlossene Sicherheitslücke (CVE-2025-8088, CVSS 8.4, Risiko „hoch“) nutzen die Angreifer oftmals mit manipulierten Archiven aus, die die schädliche Nutzlast in Alternative Data Streams (ADS) verstecken, wie Googles IT-Forscher erörtern. Opfer erhalten typischerweise eine PDF-Datei im Archiv angezeigt. Dabei sind bösartige ADS-Einträge enthalten, von denen einige Malware und andere einfach nur Dummy-Daten enthalten. Die Malware wird durch einen Path-Traversal in ein kritisches Verzeichnis geschrieben; oftmals zielen die Täter auf den Windows-Start-Ordner zum Einnisten ab. Die ADS-Funktion nutzen sie dabei zusammen mit der Path Traversal, als Beispiel nennt Google den zusammengestellten Namen aus „innocuous.pdf:malicious.lnk“ und dem Pfad „../../../../../Users//AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/malicious.lnk“. Beim Öffnen des Archivs extrahiert WinRAR den ADS-Inhalt in den angegebenen Pfad. Beim nächsten User-Log-in wird die Malware dann automatisch gestartet.

Gleich mehrere staatliche Akteure haben die Lücke für Spionagetätigkeiten missbraucht. Einige Gruppen ordnet Google dabei dem russischen Umfeld zu, die damit das ukrainische Militär und Regierungseinrichtungen angegriffen haben. Andere wie UNC4895, auch als RomCom bekannt, verfolgen demnach finanzielle und Spionage-Ziele, die ebenfalls auf ukrainische Militäreinheiten abzielten. APT44, Spitzname FrozenBarents, verortet Google in Russland; TEMP.Armageddon (Carpathian) hat es auf ukrainische Regierungseinrichtungen abgesehen. Turla (Summit) lockte die Opfer mit Themen rund um ukrainische Militäraktivitäten und Drohneneinsätze.

Aber auch eine China zugeordnete Gruppe hat Google beobachtet, die durch die Schwachstelle die PoisonIvy-Malware mittels .bat-Dateien verteilt hat, die ihrerseits einen Trojan-Dropper nachgeladen hat. Dem gesellen sich rein finanziell ausgerichtete Cybergangs hinzu. Eine zielte auf Einrichtungen in Indonesien. Eine weitere nahm die Reise- und Tourismusbranche, insbesondere in Lateinamerika, ins Visier. Auf Brasilianer hat es eine weitere Gruppierung abgesehen und bösartige Chrome-Erweiterungen ausgeliefert, die von zwei Banken Zugangsdaten erbeutet haben.

Auf den Zug sind auch Gruppen aufgesprungen, die auf Anfrage Exploits erstellen und verkaufen (Malware as a Service), etwa eine Bande namens „zeroplayer“. Die haben jedoch in der Regel gleich mehrere Exploits im Gepäck. Durch solche Angebote verlängert sich laut Google die Zeit mit aktiven Angriffen auf Schwachstellen.

Wer WinRAR einsetzt, sollte die Software auf den jüngsten Stand bringen. Google führt in der Analyse eine längere Liste an Hinweisen auf eine Infektion (Indicators of Compromise, IOCs) auf, anhand welcher Interessierte prüfen können, ob sie möglicherweise Opfer eines Angriffs geworden sind.

(dmk)

Die Forscherfabrik Schorndorf hat einen IT-Vorfall zu verzeichnen. Daten von mehr als 19.000 Kundinnen und Kunden können betroffen sein. Beim Ticketkauf wurden Nutzerinnen und Nutzer demnach zu einer externen Telegram-Gruppe weitergeleitet.

Das teilt die Stadt Schorndorf auf ihrer Webseite mit. Dort informiert sie über einen IT-Sicherheitsvorfall, der in Zusammenhang mit dem Online-Ticketverkaufssystem der Forscherfabrik steht. Demnach habe man am 9. Januar 2026 festgestellt, dass Ticketkäufer zu Telegram weitergeleitet wurden. Die Untersuchung ergab bislang, dass es sich um einen gezielten Cyberangriff handele, „bei dem eine technische Schwachstelle ausgenutzt wurde“ – welche, nennt die Stadt jedoch nicht.

„Betroffen ist ein extern betriebenes und gehostetes Buchungssystem der Gantner Electronic GmbH Deutschland. Ein tatsächlicher Abfluss personenbezogener Daten konnte bislang nicht bestätigt, aber auch nicht ausgeschlossen werden“, schreibt die Stadt Schorndorf. Sie konkretisiert zudem: „Möglicherweise betroffen sind E-Mail-Adressen, Passwörter sowie Kontakt- und Adressdaten von bis zu 19.238 Personen.“ Die Kundinnen und Kunden, die ein Passwort im Buchungssystem angelegt haben, sollten dieses überall ändern, wo sie es ebenfalls einsetzen, rät die Stadtverwaltung. Viel besser ist jedoch, keinesfalls Passwörter wiederzuverwenden.

Aufräummaßnahmen und Untersuchungen

Nachdem die Stadt Kenntnis von dem Vorfall erlangt hat, habe sie den Datenschutzbeauftragten der Stadtverwaltung informiert, außerdem sei eine Meldung an die zuständige Datenschutzbehörde erfolgt. Die betroffenen IT-Systeme habe der Betreiber gesperrt und mit zusätzlichen Sicherheitsmaßnahmen neu aufgesetzt. „Für technische Detailfragen zum Buchungssystem ist der Betreiber zuständig“, erklärt die Stadtverwaltung und beteuert dabei, die Aufarbeitung des Vorfalls eng zu begleiten und „für allgemeine und datenschutzrechtliche Fragen weiterhin als Ansprechpartner zur Verfügung“ zu stehen.

Der Vorfall erinnert an einen IT-Angriff auf das Miniatur Wunderland in Hamburg, der im vergangenen November bekannt wurde. Auch dort hatten Kriminelle Schadcode in das Online-Ticketbuchungssystem eingeschleust.

(dmk)

Seit dem 25. Juli vergangenen Jahres müssen im Vereinigten Königreich Apps und Websites das Alter ihrer Nutzer*innen kontrollieren, falls es dort pornografische Inhalte zu sehen gibt. So verlangt es der Online Safety Act, den die britische Medienaufsicht Ofcom durchsetzt.

Ein halbes Jahr lang ist Pornhub, eine der meistbesuchten Websites der Welt, diesen Regeln gefolgt. Um zu beweisen, dass sie schon erwachsen sind, mussten sich britische Nutzer*innen etwa über eine Kreditkarte oder ihren Mobilfunkanbieter verifizieren lassen. Doch damit soll bald Schluss sein.

Wie Pornhubs Mutterkonzern Aylo nun bekanntgab, wird die Plattform am 2. Februar für britische Nutzer*innen dichtmachen. Die Ausnahme sind diejenigen, die vor dem Stichtag bereits einen Account angelegt hatten. Das gleiche gilt für die kleineren Schwesterseiten Redtube und YouPorn.

Zur Begründung schreibt der Konzern, das britische Gesetz habe sein Ziel verfehlt, den Zugang Minderjähriger zu Inhalten für Erwachsene einzuschränken. Die Erfahrung nach sechs Monaten habe das gezeigt. Weiter heißt es auf Englisch:

Wir können innerhalb eines Systems, das unserer Ansicht nach sein Versprechen des Jugendschutzes nicht einlöst und sogar gegenteilige Auswirkungen hatte, nicht weiter operieren. Wir sind der Auffassung, dass dieses Regelwerk in der Praxis den Datenverkehr in dunklere, unregulierte Bereiche des Internets verlagert und zudem die Privatsphäre sowie die persönlichen Daten von Bürger:innen des Vereinigten Königreichs gefährdet hat.

Pornhub spielt damit auf gleich drei Punkte an, die Kritiker*innen von Alterskontrollen häufig ins Feld führen.

• Erstens, dass neugierige Kinder und Jugendliche ihre Recherche nach sexuellen Inhalten nicht beenden, wenn sie bei populären Pornoseiten auf eine Alterskontrolle stoßen – sondern diese Hürde entweder mit Tools wie VPN-Diensten überwinden oder auf andere Seiten ausweichen.
• Zweitens, dass strenge Alterskontrollen generell Nutzer*innen zu weniger regulierten Angeboten mit möglicherweise weniger Inhaltsmoderation locken.
• Und drittens, dass sich durch Alterskontrollen Berge sensibler Daten anhäufen können; verlockend sowohl für Kriminelle als auch für staatliche Überwachung.

Künstliche Verknappung

Neu ist diese Kritik nicht, auch nicht für Pornhub. Auf Grundlage dieser Argumente hätte die Plattform von Anfang an die Alterskontrollen im Vereinigten Königreich zurückweisen können. Zum Vergleich: In mehreren US-Bundesstaaten hat die Plattform ihre Geschäfte eingestellt statt Kontrollen einzuführen.

Die jetzige Kehrtwende nach sechs Monaten britischer Alterskontrollen legt nahe, dass Aylo einen PR-Stunt hinlegt. Besonders ins Auge fällt die Ankündigung, dass Brit*innen die Plattform weiter nutzen können, sofern sie bis 2. Februar einen Account anlegen. Diese von Aylo selbst gewählte Frist ist künstliche Verknappung – also eine bewährte Marketing-Strategie. Droht ein landesweiter Aufnahme-Stopp neuer Nutzer*innen, dürften sich viele vorher noch schnell einen Account anlegen, für alle Fälle.

Was Aylo nicht weiter ausführt: Auch ohne Account dürften britische Nutzer*innen künftig Pornhub erreichen können, wenn sie ihre britische IP-Adresse verschleiern, zum Beispiel per VPN oder Tor-Netzwerk.

Mehrfach verknüpft Aylo in seinem Blogbeitrag valide Argumente mit eigenen Konzerninteressen. So warnt Aylo ausdrücklich vor Pornoseiten, die keine Alterskontrollen durchführen, Uploader*innen nicht verifizieren, Inhalte nicht moderieren – und dennoch auftauchen, wenn Brit*innen nach „free porn“ googeln. Im Kontrast dazu kann sich Pornhub selbst als vorbildlich inszenieren und schreibt in polierter PR-Prosa von seiner „Bibliothek vollständig moderierter, einvernehmlicher Erwachsenen-Unterhaltung“.

In der Tat hat die Plattform inzwischen umfassende Richtlinien eingeführt, um Uploader*innen und Inhalte zu prüfen. Geschehen ist das allerdings erst nach jahrelangen Skandalen zu laxen Kontrollen und nicht-einvernehmlichen Aufnahmen auf der Plattform – was Aylo an dieser Stelle unerwähnt lässt. Früher hatte sich Pornhub mit diesen Maßnahmen mühsam aus einer internationalen Image-Krise herausgearbeitet; heute verkauft die Plattform es als Alleinstellungsmerkmal.

Strategie: Flucht nach vorn

Inzwischen wählt Pornhub wiederholt die Flucht nach vorn als Strategie. Klar erkennbar ist das spätestens seit 2023, als Pornhub die eigenen Krisen in der Netflix-Doku „Money Shot“ aufarbeiten ließ – und sich dabei fast nebenbei als Stellvertreter der gesamten Branche überhöhte.

Während Regierungen und Aufsichtsbehörden weltweit Druck mit verschärften Alterskontrollen machen, erprobt Pornhub-Mutter Aylo unterschiedliche Reaktionen. Augenscheinlich lotet der Konzern dabei die eigenen Optionen aus. So hatte Pornhub auch in Frankreich feierlich eine freiwillige Selbst-Sperre verkündet; das war im Juni 2025.

Derweil sind Sperren in Deutschland kein Thema, wobei es hierzulande ähnlich strenge Pflichten für Alterskontrollen gibt. Stattdessen streitet sich Pornhub seit Jahren mit der deutschen Medienaufsicht vor Gericht. Noch vor wenigen Monaten hatte Pornhub auf Anfrage von netzpolitik.org zumindest Bereitschaft signalisiert, in der EU Ausweise zu kontrollieren.

Ruf nach Jugendschutz auf Geräte-Ebene

Den prominenten Appell für einen strategischen Umgang von Pornoseiten mit kommender Regulierung gab es bereits im Jahr 2022, und zwar durch den Unternehmer Fabian Thylmann. Er ist ehemaliger Geschäftsführer des Aylo-Vorgängers Manwin. Im Gespräch mit dem Bayerischen Rundfunk sagte Thylmann damals, es brauche strenge Gesetze für Pornoseiten und der Pornhub-Mutterkonzern solle mitwirken. Dahinter steckt ein simples Kalkül: Wenn eine Regulierung nicht mehr zu vermeiden ist, dann können sich große Plattformen ihre Vormachtstellung sichern, indem sie aktiv mitmachen und mitbestimmen.

Genau das versucht Aylo offenbar heute. So betont Aylo: „Wir bleiben der Zusammenarbeit mit dem Vereinigten Königreich, der Europäischen Kommission und anderen internationalen Partnern verpflichtet.“ Den geplanten Rückzug aus dem Vereinigten Königreich verbindet der Konzern mit einer klaren netzpolitischen Forderung. Demnach sollten alle Smartphones, Tablets und Computer zuerst in einem Kinderschutz-Modus ausgehändigt werden, der bekannte Websites für Erwachsene ab Werk blockiert.

Diese Forderung nach Jugendschutz auf Geräte-Ebene anstelle von Alterskontrollen hat Aylo bereits wiederholt vorgebracht. Auf etwaige Bedenken zu den Fallstricken von Filtersystemen für Jugendliche geht der Konzern an dieser Stelle nicht ein.

Der Kurs, den nicht zuletzt die Europäische Union etwa mit der Richtlinie für audiovisuelle Mediendienste (AVMD-RL) und dem Gesetz über digitale Dienste (DSA) beim Jugendschutz einschlägt, geht ohnehin in eine andere Richtung. Großflächige Ausweiskontrollen scheinen vor allem politisch gewollt zu sein. Statt Pornoseiten stehen in der aktuellen Debatte derzeit insbesondere Social-Media-Seiten im Fokus, während Kinder und Jugendliche auch jenseits davon eine Vielzahl an Risiken im Netz erleben.