Das Debian-Projekt hat ein Kommunikationsproblem. Entwickler, die keine Zeit oder kein Interesse mehr haben, ziehen sich still zurück – ohne ihre Verantwortung offiziell zu übertragen. Ein solches Verhalten gefährdet die Wartung von Paketen, die Sicherheit von Accounts und die Kontinuität wichtiger Teams. Debian-Projektleiter Andreas Tille hat das Problem in seiner Februar-Mitteilung an die Entwickler-Community detailliert beschrieben.

Das Kernproblem ist laut Tille nicht, dass Freiwillige aufhören zu arbeiten – das sei völlig normal. Problematisch sei vielmehr, dass sie dies nicht kommunizieren. „Debian existiert, weil Menschen sich freiwillig dafür entscheiden, ihre Zeit dafür aufzuwenden“, schreibt Tille. Doch die meisten seien mit Enthusiasmus beigetreten, ohne eine explizite Vereinbarung zu einer späteren Ankündigung, falls sich ihre verfügbare Zeit, Energie oder Interessen ändern.

Die Konsequenzen dieser stillen Abwanderung sind erheblich: Bugs bleiben unbearbeitet, sicherheitsrelevante Accounts ohne aktive Überwachung, delegierte Rollen existieren nur noch auf dem Papier. Besonders deutlich wurde das Problem bei der Reorganisation des FTPmaster-Teams, das über zwei Jahrzehnte für die Debian-Archive verantwortlich war. Im Oktober 2025 musste es aufgelöst und in zwei neue Teams aufgeteilt werden, weil wesentliche Arbeit von zu wenigen Menschen getragen wurde – mit negativen Auswirkungen auf Transparenz und Kommunikation.

MIA-Team soll automatisiert nach Inaktiven fahnden

Als Lösung schlägt Tille einen sechsstufigen automatisierten Prozess vor: Das MIA-Team (Missing In Action) soll mithilfe von Heuristiken inaktive Entwickler identifizieren und nach sechs Monaten ohne Aktivität automatisierte E-Mails versenden. Diese bieten einfache Optionen: Bestätigung der aktiven Präsenz, Übergang zum Emeritus-Status (ehrenhalber zurückgezogener Entwickler ohne aktive Pflichten) oder Kontaktaufnahme mit dem MIA-Team.

Bleibt eine Antwort aus, folgen sechs Monate lang monatliche Erinnerungen. Danach versucht das MIA-Team, die Person manuell zu erreichen, und warnt vor der Verwaisung ihrer Pakete. Erfolgt auch dann keine Reaktion, werden die Pakete nach einem weiteren Monat verwaist und der Account wird schließlich den Debian Account Managers zur möglichen Entfernung gemeldet.

Der Vorteil dieses automatisierten Systems: Es vermeidet direkte Fragen, die für manche Menschen sozial schwierig seien. Viele Entwickler empfinden es als unangenehm, von Freunden oder Kollegen direkt auf ihre Inaktivität angesprochen zu werden. „Aus gegenseitiger Rücksicht vermeiden wir es oft, zu fragen. Aus derselben Rücksicht vermeiden wir es auch, proaktiv zu sagen, dass wir zurückgetreten sind“, beschreibt Tille das Dilemma.

Delegation mit Ablaufdatum als weiterer Ansatz

Für delegierte Rollen schlägt Tille zusätzlich einen leichten Erneuerungsmechanismus vor. Delegierte sollen sechs Monate vor Ablauf ihrer Delegation einen kurzen Bericht mit Erneuerungsantrag einreichen. Bleibt dieser aus, läuft die Delegation automatisch ab. Dieser Ansatz normalisiere die Rotation und mache sie zu einem regulären Prozess statt einer konfliktbeladenen Ausnahmesituation.

Ein Beispiel für die Folgen fehlender Kommunikation ist das Data Protection Team: Alle bisherigen Delegierten sind zurückgetreten, die Delegation wurde widerrufen. Debian hat derzeit kein aktives Datenschutz-Team, obwohl die Aufgabe im DSGVO-Kontext wichtig ist. Der Workload war dabei gering – nur vier Anfragen im Jahr 2025.

Tille betont, dass bessere Sichtbarkeit von Inaktivität auch Chancen für neue Freiwillige schafft. Über eineinhalb Jahre hat er täglich ein langfristig inaktives Paket zur Zusammenarbeitsplattform Salsa migriert. Dies senke die Barriere für Beiträge erheblich und sende ein klares Signal, dass Hilfe willkommen ist. Bei aktiven Maintainern seien die Antworten meist konstruktiv gewesen – bei Paketen ohne Aktivität seit Jahren blieb die Reaktion dagegen meist aus.

Unklar ist derzeit, wie viel vom vorgeschlagenen MIA-Prozess bereits implementiert wurde. Tille fordert die Community auf, den aktuellen Status sichtbar zu machen, und lädt Interessierte explizit ein, sich einzubringen. Das Problem betreffe nicht nur Debian: „Dies ist eine wichtige Initiative für die Gesundheit des Debian-Projekts – und tatsächlich für jedes Open-Source-Projekt“, schreibt der Projektleiter.

(fo)

Bei Substack konnten Kriminelle Daten von zahlreichen Nutzern abgreifen. Das Unternehmen hat den IT-Sicherheitsvorfall inzwischen eingeräumt.

Die Plattform Substack bietet Interessierten die Möglichkeit, journalistische Angebote, Blogs, Newsletter oder Podcasts anzubieten und gegebenenfalls als Abonnements zu monetarisieren. Der CEO Chris Best hat nun in einer Rundmail Kundinnen und Kunden angeschrieben und über den IT-Vorfall informiert. „Ich kontaktiere Sie, um Sie von einem Sicherheitsvorfall wissen zu lassen, der darin mündete, dass Ihre E-Mail-Adresse und Telefonnummer Ihres Substack-Kontos ohne Ihr Einverständnis geteilt wurde“, fängt die Mail von Best an.

IT-Vorfall Anfang Februar

Demnach hat Substack am 3. Februar 2026 Belege für ein Problem mit den IT-Systemen gefunden, das nicht autorisierten Dritten einen begrenzten Zugriff auf Nutzerdaten ermöglichte. Davon betroffen sind E-Mail-Adressen, Telefonnummern und andere interne Metadaten; auf Kreditkartennummern, Passwörter und Finanzinformationen wurde dabei nicht zugegriffen.

„Wir haben das Problem mit unseren Systemen gelöst, das ermöglichte, dass dies passiert. Wir führen eine vollständige Untersuchung durch und ergreifen Maßnahmen, die Prozesse und Systeme zu verbessern, damit diese Art von Problem künftig nicht noch einmal passiert“, führt Best weiter aus. „Wir haben keine Hinweise darauf, dass diese Informationen missbraucht werden, aber wir empfehlen Ihnen, bei E-Mails oder Textnachrichten, die Ihnen verdächtig erscheinen, besondere Vorsicht walten zu lassen.“ Best schließt mit den Worten: „Das ist wirklich ärgerlich. Es tut mir leid. Wir werden hart daran arbeiten, dass so etwas nicht noch einmal passiert.“

Der Datensatz kursiert bereits im digitalen Untergrund. Die Datei ist 697.293 Zeilen lang und die Daten erwecken den Anschein, durch Scraping erlangt worden zu sein. Dabei lesen Täter Informationen massenhaft aus, die in einzelnen Konten in der Regel öffentlich einsehbar sind, und erstellen daraus eine große Datenbank. Diese können bösartige Akteure dann etwa für gezielteres und authentischer wirkendes Phishing missbrauchen, da sie mit der Information arbeiten können, dass die gelisteten Opfer einen Substack-Zugang besitzen.

Der Datensatz dürfte in Kürze auch bei Troy Hunts Have-I-Been-Pwned-Projekt zugänglich und damit durchsuchbar werden. Substack hatte vor rund zwei Jahren für Aufsehen gesorgt, da das Unternehmen Nazi-Beiträge nicht löschen wollte. Kurz nachdem das höhere Wellen schlug, lenkte Substack schließlich ein – zumindest ein wenig.

(dmk)

Setzen Angreifer erfolgreich an Sicherheitslücken in BIG-IP-Appliances wie Advanced WAF/ASM oder APM an, können sie Abstürze auslösen oder eigentlich geschützte Daten einsehen. Dagegen stehen abgesicherte Versionen zum Download bereit. Bislang gibt es keine Berichte zu Attacken.

Abstürze und Datenlecks

Am gefährlichsten gilt eine Schwachstelle (CVE-2026-22548 „hoch“) in BIG-IP Advanced WAF/ASM. Wie aus einer Warnmeldung hervorgeht, sollen DoS-Attacken aus der Ferne ohne Authentifizierung möglich sein. Dabei stürzt der bd-Prozess ab, was zu einer Unterbrechung des Netzwerkverkehrs führt. Wie ein derartiger Angriff im Detail ablaufen könnte, führen die Entwickler derzeit nicht aus. Dagegen ist die Version 17.1.3 gerüstet.

Die verbleibenden Lücken sind größtenteils mit dem Bedrohungsgrad „niedrig“ eingestuft. Nach erfolgreichen Attacken können Angreifer etwa im Kontext von BIG-IP APM und APM Clients auf eigentlich abgeschottete sensible Daten zugreifen (CVE-2026-20730). Weitere Informationen zu den Schwachstellen und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen.

(des)