Datenschutz & Sicherheit
Jetzt updaten! Angreifer attackieren Low-Coding-Tool Flowise
Ein Sicherheitsforscher warnt vor Attacken auf das Low-Coding-Tool Flowise. Dabei gelangt Schadcode auf Systeme und kompromittiert sie. Admins sollten das bereitgestellte Sicherheitsupdate umgehend installieren.
Weiterlesen nach der Anzeige
Die Gefahr
Mit Flowise erstellt man in einer Drag-&-Drop-Oberfläche KI-Agenten. Im Kontext einer Verbindung zu einem MCP-Server können Angreifer Schadcode einschieben, der dann ungeprüft ausgeführt wird. Die Lücke (CVE-2025-59528) gilt als „kritisch“ und ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft.
Vor den laufenden Attacken warnt ein Sicherheitsforscher von VulnCheck auf Linkedin. Ihm zufolge konnten sie bislang nur von einer Starlink-IP-Adresse Attacken dokumentieren. Unklar ist derzeit auch, in welchem Umfang die Attacken ablaufen. Er gibt an, dass ihren Scans zufolge zwischen 12.000 und 15.000 Flowise-Instanzen öffentlich über das Internet erreichbar sind. Wie viele davon konkret verwundbar sind, führt der Forscher zurzeit nicht aus.
Er erläutert, dass noch zwei weitere „kritische“ Schwachstellen (CVE-2025-26319, CVE-2025-8943) ausgenutzt werden.
Die Lösung
Um Systeme vor diesen Attacken zu schützen, müssen Admins sicherstellen, dass mindestens Flowise 3.0.6 installiert ist. Aktuell ist die Ausgabe 3.1.1.
Weiterlesen nach der Anzeige
(des)
Datenschutz & Sicherheit
Europa stärkt KI-Sicherheit nach US-Modell-Blockade
Nach von der US-Regierung zwischenzeitlich verhängten Sperren für KI-Modelle zur Aufdeckung von Software-Schwachstellen soll Europa besser vor wirkmächtiger künstlicher Intelligenz geschützt werden. Bis zum Ende des Jahres will die EU-Kommission einem Aktionsplan zufolge konkrete Notfallmaßnahmen für den Fall entwickeln, dass der Zugang zu KI mit potenziell bedrohlichen Cyberfähigkeiten von einem Drittstaat eingeschränkt wird.
Weiterlesen nach der Anzeige
In der EU obliegt die Regulierung von künstlicher Intelligenz primär der Europäischen Kommission, alle Anbieter müssen sich etwa an das europäische KI-Gesetz halten.
Trump-Regierung hatte zuvor Zugänge blockiert
Nach einer Anordnung der US-Regierung unter Präsident Donald Trump Mitte Juni hatte das Unternehmen Anthropic mit Sitz in Kalifornien den Zugang zu seinen kürzlich veröffentlichten Frontier-Modellen blockiert. Regierungsbehörden hätten Anthropic unter Verweis auf die nationale Sicherheit angewiesen, den Zugang aller Ausländer zu dem KI-Modell Mythos 5 sowie zu dessen beschränkter Fassung Fable 5 zu unterbinden, teilte das Unternehmen mit.
Anthropic bewirbt das KI-Modell Mythos 5 als besonders geeignet, um Schwachstellen und Sicherheitslücken in Software aufzuspüren. Anfang Juli hob die US-Regierung die Exportsperren für beide KI-Modelle dann nach mehr als zwei Wochen wieder auf.
EU-Digitalkommissarin Henna Virkkunen setzt auf den Aufbau eigener KI-Fähigkeiten in Europa. „Wir können uns bei Fähigkeiten, die entscheidend für unsere Sicherheit sind, nicht allein auf außereuropäische Lösungen verlassen“, sagte Virkkunen. Das sei kostspielig, aber die Kosten, führende KI-Modelle nicht aufzubauen, seien noch höher.
EU-Kommission plant Leitfaden und sichere Test-Plattform
Weiterlesen nach der Anzeige
Die Europäische Kommission will dem Plan nach mit der EU-Cybersicherheitsagentur Enisa einen Leitfaden erarbeiten. Der soll große öffentliche und private Institutionen dabei unterstützen, Zugänge zu fortgeschrittenen KI-Modellen zu erhalten, heißt es in dem Papier weiter. Ebenfalls will die Kommission neue EU-Bewertungskapazitäten im Bereich Cybersicherheit schaffen, die voraussichtlich 2027 ihre Arbeit aufnehmen sollen. Die zusätzlichen Kapazitäten sollen dem EU-KI-Amt zugute kommen und KI-Modelle auf Risiken prüfen, bevor sie in den europäischen Markt kommen.
Geplant ist der Mitteilung zufolge auch eine sichere Plattform zum Testen von KI etwa mit simulierten Umgebungen, über die auch Betreiber in der kritischen Infrastruktur wie im Finanz-, Energie-, Gesundheits- oder Transportbereich oder der öffentlichen Verwaltung Erkenntnisse gewinnen können. Bereits jetzt sollten Organisationen beginnen, IT-Schwachstellen mit Hilfe von frei zugänglichen KI-Modellen zu finden und zu beheben, mahnte die EU-Kommission an.
In der zentralen Frage, wie Europa stärker eigene KI-Kapazitäten aufbauen kann, verweist die Kommission auf ihr im Juni vorgestelltes Paket für technologische Souveränität sowie das über 200 Milliarden Euro schwere Programm für KI-Gigafactories.
(axk)
Datenschutz & Sicherheit
Offene Datenbank: Nextcloud GmbH behebt potenzielles Datenleck
Bei der Nextcloud GmbH, dem Unternehmen hinter der gleichnamigen Opensource-Kollaborationslösung, gab es womöglich ein Datenleck. Wie Sicherheitsforscher herausfanden, stand eine ElasticSearch-Datenbank mit über 360.000 Einträgen offen und hätte von jedermann ausgelesen werden können.
Weiterlesen nach der Anzeige
Bereits am 18. Mai stießen die Forscher auf die Datenbank mit etwa 8 GByte Informationen zu Nextcloud-Kunden, -Partnern und Mitarbeitern. Auch Verträge und Scripte für Nextcloud-Firmenkunden sollen sich in dem offenen ElasticSearch-Cluster befunden haben.
Nachdem die Finder das Unternehmen erst eine Woche darauf auf das Problem hingewiesen hatten schloss die Nextcloud GmbH die Lücke zwei Tage später. Sie informierte die zuständigen Aufsichtsbehörden.
Die Forscher von Cybernews schreiben: „Wenn unser Team den exponierten Datensatz finden konnte, dann hätten Angreifer das auch tun können“. Die Nextcloud GmbH stellt gegenüber heise security klar: „Uns ist derzeit kein Fall bekannt, in dem die Daten missbraucht wurden.“
Fatale Fehlkonfiguration
Ursache des potenziellen Lecks ist nach Angaben des Unternehmens eine Fehlkonfiguration der Hostingstruktur der Nextcloud GmbH. Die Open-Source-Kollaborationssoftware sowie ihre Nutzer seien nicht in Mitleidenschaft gezogen worden: „ Andere Nextcloud-Server unserer Kunden, Partner oder anderer Nutzer sind von diesem Problem nicht betroffen.“
Nextcloud positioniert sich als quelloffene Alternative zu proprietären Lösungen wie Microsofts M365. Das Land Mecklenburg-Vorpommern will zugunsten von Nextcloud auf Sharepoint verzichten.
Weiterlesen nach der Anzeige
(cku)
Datenschutz & Sicherheit
Gegenwind wird stärker: SPD-Fraktion gegen De-facto-Abschaffung der Informationsfreiheit
Innen‑, Digital- und Rechtspolitiker:innen der SPD-Fraktion stellen sich deutlich gegen die Pläne des Koalitionsausschusses zur De-Facto-Abschaffung der Informationsfreiheit, die seit einer Woche auf massiven Widerstand aus der Zivilgesellschaft gestoßen ist. Das geht aus einem Positionspapier hervor, das netzpolitik.org im Volltext veröffentlicht.
In diesem Papier aus der SPD-Bundestagsfraktion heißt es deutlich: „Es darf nicht zu einer Reduzierung der bestehenden Auskunftsansprüche für Bürgerinnen und Bürger, für Presse und Zivilgesellschaft kommen.“
Zwar zeigen sich die Abgeordneten offen für eine Überprüfung zu Veröffentlichungspflichten in Spezialgesetzen zu kritischen Infrastrukturen, generell halten sie das Informationsfreiheitsgesetz aber für sicher. Es enthalte heute schon „die notwendigen Vorschriften zum Schutz der berechtigten staatlichen Sicherheitsbelange, die den Schutz seit zwanzig Jahren ausnahmslos gewährleistet“ hätten.
Gegenüber der eigenen Koalition machen die SPD-Abgeordneten eine klare Ansage: „Für eine Abschaffung des bisherigen Transparenzniveaus des Informationsfreiheitsgesetzes wird es keine Zustimmung der SPD-Bundestagsfraktion geben.“
Schwarz-Rot plant Frontalangriff auf Journalismus und Transparenz
Massiver Gegenwind
Der Koalitionsausschuss hatte am 2. Juli Pläne vorgestellt, die einer Abschaffung des Informationsfreiheitsgesetzes nahekommen. Arne Semsrott von FragDenStaat sprach vom „schwersten Angriff auf staatliche Transparenz in der Geschichte der Bundesrepublik“.
Die Pläne beinhalteten unter anderem, dass die Bürger:innen bei Informationsfreiheitsanfragen ein „berechtigtes Interesse“ vortragen müssen und nicht wie heute der Staat begründen muss, wenn er Dokumente nicht freigibt. Gleichzeitig sollten nur noch natürliche Personen und zudem nur noch Deutsche und EU-Bürger:innen Informationen anfragen dürfen.
Außerdem will die Koalition die Gebührenobergrenze von 500 Euro abschaffen, so könnten die Anfragen über Kosten noch mehr als heute abschreckend wirken. Einführen will der Koalitionsausschuss zudem ein generelles Schwärzen von Namen, was die Nachvollziehbarkeit der Informationen erschweren würde.
Gegen diese De-Facto-Abschaffung haben sich mehr als 100 zivilgesellschaftliche Organisationen ausgesprochen, darunter zahlreiche Medien- und Journalismusverbände. Auch die Bundesdatenschutzbeauftragte sowie die Konferenz der Informationsfreiheitsbeauftragten hatten die Pläne mit deutlichen Worten abgelehnt.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Eine Petition gegen das Vorhaben hat in kürzester Zeit mehr als 400.000 Unterzeichner:innen gesammelt. Nun ist der Widerstand gegen die Pläne in der SPD-Fraktion selbst angekommen.
Die Digitalorganisation D64 hat unterdessen eine Aktion „Rettet das Informationsfreiheitsgesetz!“ gestartet. In der Graswurzel-Kampagne stellt D64 Musteranträge für Parteimitglieder von Union und SPD bereit, damit sich dort unterschiedliche Parteigliederungen für das Informationsfreiheitsgesetz und gegen die geplanten Änderungen aussprechen können.
Update 15:25 Uhr:
Die Pläne der Bundesregierung lösen nun auch international Befürchtungen aus. Die Menschenrechtsorganisation Human Rights Watch fordert die Bundesregierung in scharfen Worten auf, die geplante Abschaffung der Informationsfreiheit zu stoppen. Die Pläne würden „grundlegende Menschenrechte gefährden, die für Transparenz und die Beteiligung der Öffentlichkeit in einer rechtsstaatlichen Demokratie unerlässlich sind.“
Dokument
- Dokument: Positionspapier der AG Inneres, AG Digitales und AG Recht der SPD-Bundestagsfraktion zur Informationsfreiheit
- Datum: Juli 2026
„Das Informationsfreiheitsgesetz (IFG) ist in diesem Jahr 20 Jahre alt geworden und die einfachgesetzliche Aktivierung des Grundrechts der Informationsfreiheit hat sich mit dem voraussetzungslosen Informationszugang bewährt. Ein moderner Staat und eine moderne Verwaltung braucht Transparenz.
Die SPD-Bundestagsfraktion unterstützt daher das Vorhaben, das Informationsfreiheitsgesetz (IFG) unter Wahrung des Rechts auf Informationszugang weiterzuentwickeln, zu vereinfachen und verständlicher sowie transparenter zu machen. Maßgabe dazu ist die Vereinbarung des Koalitionsvertrages, nach der wir das Informationsfreiheitsgesetz in der bisherigen Form wir mit einem Mehrwert für Bürgerinnen und Bürger und Verwaltung reformieren wollen. Dazu zählt insbesondere die Digitalisierung des Bearbeitungsprozesses, denn es ist nicht nachvollziehbar, dass die Bundesverwaltung auch nach 20 Jahre nach Inkrafttreten des IFG die Akten noch händisch schwärzt.
Selbstverständlich muss auch angesichts der dramatisch veränderten Sicherheitslage überprüft werden, ob die staatliche Resilienz und der Schutzbedarf etwa der kritischen Infrastrukturen sichergestellt ist. Nach unserer Einschätzung enthält das IFG die notwendigen Vorschriften zum Schutz der berechtigen staatlichen Sicherheitsbelange, die den Schutz seit zwanzig Jahren ausnahmslos gewährleistet haben. Überprüft werden müssen aber Veröffentlichungspflichten in den Spezialgesetzen etwa zu kritischen Infrastrukturen, da sich hier möglicherweise heute andere Einschätzungen ergeben. Es darf nicht zu einer Reduzierung der bestehenden Auskunftsansprüche für Bürgerinnen und Bürger, für Presse und Zivilgesellschaft kommen. Für eine Abschaffung des bisherigen Transparenzniveaus des Informationsfreiheitsgesetzes wird es keine Zustimmung der SPD-Bundestagsfraktion geben.“
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Künstliche Intelligenzvor 3 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Apps & Mobile Entwicklungvor 3 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
UX/UI & Webdesignvor 3 TagenRegional & mit Gefühl: Identity für Klimafonds Baden-Württemberg › PAGE online
-
Künstliche Intelligenzvor 2 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
