Nach erfolgreichen Attacken auf Hard- und Software von Cisco kann es zu schwerwiegenden Problemen in Netzwerken kommen. Um dem vorzubeugen, sollten Admins zeitnah die jüngst veröffentlichten Sicherheitsupdates installieren. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Admins sollten aber nicht zu lange zögern.

Weil eine Auflistung aller Patches den Rahmen dieser Meldung sprengt, finden IT-Sicherheitsverantwortliche konkrete Hinweise auf verwundbare und reparierte Versionen in den am Ende dieser Meldung verlinkten Warnbeiträgen des Netzwerkausrüsters.

Netzwerke gefährdet

In erster Linie haben die Entwickler DoS-Lücken geschlossen. Sind solche Attacken erfolgreich, stürzen etwa Dienste ab und Firewalls funktionieren nicht mehr. Etwa im Fall von WLAN-Controllern der Catalyst-CW9800-Reihe können Angreifer einer Warnmeldung zufolge mit präparierten CAPWAP-Paketen an einer Sicherheitslücke (CVE-2026-20086 „hoch“) ansetzen. Die Verarbeitung führt zu Fehlern, sodass es zu Abstürzen kommt.

Aufgrund von mehreren Schwachstellen in den Netzwerkbetriebssystemen IOS und IOS XE kann es ebenfalls zu Abstürzen kommen. Zum Beispiel bei Secure Firewall Adaptive Security Appliance (CVE-2026-20012 „hoch“). An dieser Stelle können Angreifer durch manipulierte IKEv2-Pakete Neustarts auslösen.

Bei Switches der Catalyst- und Rugged-Serie können Angreifer den Sicherheitsmechanismus Secure Boot umgehen (CVE-2026-20104 „mittel“) und im Kontext des Bootvorgangs Schadcode ausführen. Dafür benötigt ein Angreifer aber physischen Zugriff auf ein Gerät.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)

Was ist das für ein Grauen, wenn jemand sexualisierte Deepfakes, die vermeintlich dich zeigen, an Männer in deinem Umfeld schickt? Wie schlimm muss es sein, wenn diese Videos und Bilder auf Pornoplattformen landen? Was sagt es über unsere Gesellschaft aus, wenn es nicht verboten ist, solche Aufnahmen herzustellen und zu teilen?

Seit die Geschichte im Spiegel über Collien Fernandes erschien, herrscht große Fassungslosigkeit. Obwohl schon seit Jahren bekannt ist, dass solche Deepfakes von Fernandes im Umlauf sind. Und dass solche Bildern auch von sehr vielen anderen kursieren, vor allem von Frauen und Mädchen.

Doch Fernandes schafft, was sonst nur den allerwenigsten Betroffenen dieser Grausamkeiten gelingt: Ihr wird zugehört. Sie spricht offen von Panikattacken, von Scham, dem Gefühl von Wertlosigkeit. Und von einer „virtuellen Vergewaltigung“.

Die Hölle sind die Anderen

Zu dem Grauen, das Fernandes‘ Geschichte offenbart, gesellte sich in den vergangenen Tagen ein weiteres: das über die Reaktionen. Diese findet man nicht nur in den Abgründen der rechten Höllenmaschine, zu der die Plattform X wurde. Sie stehen auch in den Kommentaren unter den Beiträgen, die wir in den vergangenen Tagen veröffentlicht haben.

„Wenn sexuelle Deepfakes ohne Einverständnis verbreitet werden und daraus eine psychische Schädigung der betroffenen Person entsteht, sollte dies strafbar sein“, schreibt da jemand. Für die „reine Herstellung ohne Verbreitungsabsicht“ sehe man diese Notwendigkeit aber nicht. Das schade schließlich niemandem.

Es ist nicht der einzige Kommentar dieser Art. Viele weitere, darunter auch weitaus derbere, haben wir gar nicht erst freigeschaltet. Der Tenor ist bei allen der gleiche. Überspitzt lässt er sich so zusammenfassen: Was soll so schlimm daran sein, wenn ich in meiner Freizeit einen Deepfake-Porno für mein eigenes Vergnügen bastele? Das steht mir doch wohl zu – Zustimmung hin oder her.

Wenn man den Kommentatoren diese kleine Freude nehmen würde, geht der Gedanke weiter, könne man ja gleich anfangen, Fantasien zu verbieten. Tatütata, ruf doch die Gedankenpolizei.

Checkst du?

Tatsächlich hat das Bundesjustizministerium einen Gesetzentwurf vorgelegt, der zwar schon länger in Arbeit war, nun aber im Eiltempo abgestimmt werden soll. Dieses Gesetz gegen digitale Gewalt soll bereits das Erstellen von sexualisierten Deepfakes unter Strafe stellen. Immer unter der Voraussetzung, dass dies ohne die Zustimmung der gezeigten Personen erfolgt.

Mal ganz abgesehen davon, ob es eine gute Idee ist, so etwas über das Strafrecht regeln zu wollen – es gibt berechtigte Zweifel daran –, wird derzeit vor allem eines deutlich: Genau diese „Freiheit“ wollen sich viele nicht nehmen lassen.

Ich saß in den vergangenen Tagen oft fassungslos vor dem Computer, wenn ich diese Kommentare in meiner Inbox las. Minutenlang nicht mal in der Lage, auf Löschen zu drücken. Mit jeder Nachricht offenbarten die Kommentierenden ja auch etwas über sich selbst. Und diese Selbstoffenbarungen waren für mich wie der Blick in einen sehr tiefen Abgrund.

Merken sie denn nicht, wie empathielos und surreal ihre Haltung wirkt? Insbesondere für all jene, die weiter unten im patriarchalen Machtgefüge stehen?

In den vergangenen Tagen zeigten sehr viele Medienbeiträge doch vor allem eines deutlich: Digitale Gewalt ist echte Gewalt. Das Leid und die Folgen, die solche Handlungen für die Betroffenen haben, liegen gerade so deutlich auf dem Tisch wie selten zuvor.

Wer darf was mit wem?

Es ist mehr als ausreichend dokumentiert, dass die Vorstellung falsch ist, mit sexualisierten Deepfakes keinen Schaden zu verursachen. Die psychischen und körperlichen Folgen für die Betroffenen, die Panik, der Stress, die Angst – sie sind real. Ja, sie sind ähnlich wie bei anderen Gewalterfahrungen, der Körper unterscheidet da nicht.

Wer das ignoriert, gibt viel über das eigene Innenleben preis. Diese Haltung zeigt zugleich, was das eigentliche Problem ist: Es gibt Menschen, die offenbar glauben, es stünde ihnen zu, Gewalt auszuüben.

Sie gehen davon aus, dass es ihr gutes Recht ist, das Aussehen von Frauen und Mädchen nicht nur zu bewerten und zu kommentieren, wie es in unserer Gesellschaft noch immer üblich ist. Sondern dass sie deren Körper darüber hinaus ungefragt zu ihrem Vergnügen verwenden dürfen. Ganz nach dem Motto: Das ist im Patriarchat normal, das haben wir so gelernt.

Sie rechtfertigen sich dann etwa damit, dass es wohl kaum ein Unterschied mache, ob sie sich etwas in ihrem Kopf ausmalten oder ob sie auf einen Knopf drücken würden, um diese Fantasien zu visualisieren.

Aber sexualisierte Bilder entstehen gegen den Willen der Betroffenen. Allein diese Vorstellung, dass Menschen sexualisierte Deepfakes nach Belieben herstellen können, kann für Betroffene beschämend und demütigend sein. Die Verletzung ist noch größer, wenn die Bilder an andere Personen oder gar an die Öffentlichkeit gelangen und sich unkontrolliert weiterverbreiten.

Es geht um Macht

In der aktuellen Debatte muss sich endlich eine Erkenntnis durchsetzen, zu der Feministinnen schon in ihren Analysen zu #metoo und anderen Formen von Machtmissbrauch gelangt sind. Eine Erkenntnis, die immer noch als eine Art Geheimwissen gehandelt wird:

Sexualisierte Gewalt – analog oder in Form von digitalen Deepfakes – hat nichts mit Sex zu tun. Sondern sie handelt von Macht. Eine Person übt sie über eine andere Person aus, etwa indem sie ihr Gesicht ungefragt auf den Körper einer Pornodarstellerin montiert. Die im Übrigen auch nicht gefragt wurde.

Wenn Menschen also bezweifeln, ob digitale Gewalt wirklich so schlimm sei; ob der Schaden, der von Deepfakes ausgeht, wirklich echt sei; oder ob es strafbar sein sollte, ein sexualisiertes Bild ohne die Zustimmung der gezeigten Person zu generieren oder zu teilen – dann streiten wir um Macht. Wer hat sie? Wem steht sie zu? Wer soll sie abgeben?

Ein Blick in die Kommentarspalte zeigt, wie lang die Strecke ist, die wir in diesem Kampf noch vor uns haben.

Derzeit haben es Angreifer auf eine Schwachstelle im KI-Tool Langflow zur Entwicklung und Bereitstellung von KI-gestützten Agenten und Workflows abgesehen. Nach erfolgreichen Attacken führen sie Schadcode aus und kompromittieren Systeme.

Systeme vor Attacken schützen

Davor warnt die US-Behörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag. In einer Warnmeldung schreiben die Entwickler, dass davon alle Versionen bis einschließlich 1.8.2 bedroht sind. Sie geben an, die „kritische“ Sicherheitslücke (CVE-2026-33017) in der Ausgabe 1.9.0 geschlossen zu haben.

Weil die Authentifizierung kaputt ist, akzeptiert ein Public Build Endpoint Python-Schadcode, der dann ohne Sandboxschutz ausgeführt wird. Es ist davon auszugehen, dass Angreifer im Anschluss die volle Kontrolle über Computer erlangen. In welchem Umfang die Attacken ablaufen, ist derzeit unbekannt. Unklar ist auch, woran Admins bereits attackierte Systeme erkennen können.

Weitere Sicherheitsprobleme

In der Version 1.9.0 haben die Entwickler noch mehr Softwareschwachstellen geschlossen. Darunter ist unter anderem eine weitere „kritische“ Lücke (CVE-2026-33475), über die Angreifer GitHub-Repositorys von Langflow mit Schadcode attackieren können.

Ferner können Angreifer unbefugt auf Bilddateien zugreifen (CVE-2026-33484 „hoch“). Wer mit dem KI-Tool arbeitet, sollte regelmäßig im Sicherheitsbereich der GitHub-Website des Projekts vorbeischauen und gegen Attacken gerüstete Versionen installieren. Dort gibt es auch Sicherheitstipps, wie man Langflow so sicher wie möglich nutzt. Zusätzlich gibt es eine Anleitung, wie man Sicherheitslücken meldet.

(des)