„Mit China in Verbindung stehende Akteure“ sollen ihre Taktik massiv verändert haben und zur Verschleierung nun primär auf kompromittierte Endgeräte nichtsahnender kleinerer Unternehmen und Heimanwender zugreifen. Darauf weisen Bundesnachrichtendienst (BND), Bundesamt für Verfassungsschutz (BfV), Bundesamt für Sicherheit in der Informationstechnologie (BSI) und internationale Partnerbehörden wie FBI, NSA und weitere Nachrichtendienste und Cybersicherheitsbehörden in einem koordinierten Warnhinweis hin. Federführend war erneut das National Cyber Security Centre des Vereinigten Königreichs (NCSC), das eine umfangreiche Meldung veröffentlichte.

Neukonfektionierung passend zu Angreifer und Ziel

„Jeder, der Ziel der chinaverbundenen Cyberakteure ist, kann von der Nutzung herkunftsverschleiernder Netzwerke betroffen sein“, heißt es in der NCSC-Mitteilung. Sowohl bei Angriffen der Gruppierung Volt Typhoon als auch von Flax Typhoon seien unterschiedliche derartige Netzwerke aufgefallen. Raptor Train sei 2024 mit einem Netzwerk von mehr als 200.000 kompromittierten Geräten aufgefallen, von Routern über IoT-Geräte wie etwa vernetzten Kameras über Videorecorder und Netzwerkspeicher oder Firewalls.

Neu ist den Empfehlungen nach offenbar, dass die Angreifer sich nicht immer der gleichen Wege zur Mitnutzung fremder Infrastrukturen bedienten, sondern für Kampagnen jeweils neue Verschleierungsnetze individuell für den Bedarf zusammenstellten. Die Sicherheitsbehörden, betont das Bundesamt für Verfassungsschutz, detektierten auch in Deutschland kompromittierte Endgeräte, wenn diese für Angriffe genutzt werden – allerdings eben auch erst dann.

Keine einzelne Möglichkeit zur Abwehr

Besonders unbefriedigend für möglicherweise Betroffene: Es gibt nicht den einen Fix für die Probleme, die sich durch die ungebetenen Mitnutzer im eigenen Netzwerk auftun – das NCSC empfiehlt vor allem Maßnahmen der Cybersicherheitshygiene wie das zügige Updaten von Geräten, das systematische Prüfen der Netzverkehre auf Auffälligkeiten und eine möglichst klare Netzwerksegmentierung.

(mho)

Die Thüringer Regierungskoalition (CDU, SPD, BSW) will im Namen der Modernisierung ein sogenanntes „Entlastungsgesetz“ verabschieden und damit nach eigenen Angaben die Bürokratie abbauen. Die Maßnahmen haben demnach das „Ziel, Abläufe zu vereinfachen und Ressourcen zu schonen“.

Das sieht Arne Semsrott, Transparenz-Experte und Chefredakteur von FragDenStaat, anders. Gegenüber netzpolitik.org äußert dieser: „Die längst überfällige Veröffentlichungspflicht für Kommunen auf den letzten Metern noch zu streichen, passt zur peinlichen Digitalisierungs- und Demokratieverweigerung von CDU und SPD. Dass der BSW daran mitwirkt, ist auch kein Wunder.“

Die Open Knowledge Foundation (OKF), Wikimedia und der Hackspace Jena kritisieren das Gesetzesvorhaben ausführlich in ihren parlamentarischen Stellungnahmen. Der Stellungnahme des Hackspace schließt sich der Chaos Computer Club (CCC) an. Sie alle kommen zu ähnlichen Ergebnissen: Das geplante Entlastungsgesetz baut Transparenz gegenüber den Bürger:innen und Presse ab – und verfehlt sein Modernisierungsziel. Bisherige Fortschritte würden mit dem Gesetz zunichtegemacht. Auch das ausgewiesene Ziel der Landesregierung, die Effizienz zu erhöhen, werde verfehlt. Nicht trotz, sondern aufgrund des Rückbaus.

Transparenzpflicht soll Kann-Bestimmung werden

Die Organisationen sehen im Entlastungsvorhaben vor allem einen Rückbau des Thüringer Transparenzgesetzes (ThürTG) aus dem Jahr 2019. Thüringer Behörden stellen aufgrund des Gesetzes amtliche Informationen unaufgefordert auf dem Thüringer Transparenzportal (TTP) zur öffentlichen Verfügung. Diese Veröffentlichungspflichten sollen nun „zusammengekürzt werden – getarnt als ‚Bürokratieentlastung’“, moniert der CCC.

Die Vorschriften des Transparenzgesetzes sollen in „Kann-Bestimmungen“ umgewandelt werden, die auf Freiwilligkeit setzen und damit zu weniger Transparenz führen, heißt es dazu in der Stellungnahme des Hackspace Jena. „Der geplante § 6 Abs. 3 S. 1 ThürTG schafft die bisherige Transparenzpflicht de facto ab. Die Informationen aus dem gekürzten Katalog können eingestellt werden. Damit ist zu erwarten, dass die ohnehin sehr dürftigen Informationen im TTP noch weniger werden.“

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Timo Melzer kritisiert die Änderungen in der Anhörung zum Gesetzesvorhaben. Sein Amt spreche sich deutlich gegen eine Umwandlung von Soll- in Kann-Bestimmungen aus. Dies diene „nicht dem Zweck des Thüringer Transparenzgesetzes, der die Förderung der demokratischen Meinungs- und Willensbildung sowie die Ermöglichung der Kontrolle staatlichen Handelns verfolgt“. Beides sei in der heutigen Zeit „wichtiger denn je, auch gerade im Hinblick auf Fake News“, so Melzer. Ohne eine verbindliche Veröffentlichungspflicht würde zudem die Qualität und Quantität der Informationen im TTP erheblich reduziert werden.

TTP hinkt bereits hinterher

Melzer sagt, dass durch die Änderung sogar ein höherer Verwaltungsaufwand möglich sei. Er ist davon überzeugt, dass die Attraktivität des TTP durch konsequente Digitalisierung gesteigert werden kann. Die tatsächliche Nutzung der Plattform ließe sich demnach erhöhen, wenn die Nutzbarkeit der Webseite verbessert werde. Beispielsweise durch ein verbessertes IT-Design und KI-Unterstützung auf dem Portal.

Der Hackspace Jena kritisiert in diesem Zusammenhang die ohnehin dürftige Bilanz des staatlichen Portals im Vergleich mit anderen Bundesländern: Seit Inkrafttreten des Transparenzgesetzes Im Jahr 2020 seien insgesamt nur 907 Dokumente eingestellt worden. Gleichzeitig habe Hamburg insgesamt 170.000 Dokumente veröffentlicht. In Rheinland-Pfalz seien es 31.000 Dokumente.

Der Hackspace kritisiert auch die technische Umsetzung des Portals selbst: Aus Sicht der Psychologie und Kognitionsforschung führten lange Ladezeiten bereits ab 5 Sekunden zu einem Gefühl von Verunsicherung und Vertrauensverlust bei den Nutzenden. Ab 15 Sekunden sei es Frustration. Nutzende würden eine Webseite unter solchen Umständen wieder verlassen – und beim TTP läge die vollständige Ladezeit zwischen 20 und 47 Sekunden. Netzpolitik.org hat die langen Ladezeiten in einer Stichprobe ebenso nachvollziehen können.

De facto Rückabwicklung zum Informationsfreiheitsgesetz

„Letztlich entwickelt sich das Transparenzgesetz zurück und ist damit im Kern nur noch ein Informationsfreiheitsgesetz“, so der Hackspace Jena in der Stellungnahme. Berichtspflichten an den Landtag entfielen. Beispielsweise für Gutachten, Stellungnahmen von Verbänden und für Kabinettsvorlagen würden Ausnahmen geschaffen. Es würden damit genau jene Dokumente herausgelöst, die für informierte gesellschaftliche Teilhabe zentral seien.

„Ein Ziel eines Transparenzgesetzes sollte es sein, den Bürgerinnen und Bürgern Informationen auch während des normsetzenden Verfahrens zur Verfügung zu stellen“, so Hackspace Jena. Die Ausnahmen sorgten nun dafür, dass Dokumente „erst nach Abschluss des Verfahrens und auf Antrag zur Verfügung stehen“. Damit werde die Möglichkeit eingeschränkt, das Verfahren überhaupt noch beeinflussen zu können.

Informationsfreiheitsgesetze regeln den voraussetzungslosen Zugang zu amtlichen Informationen. Doch unter dieser Maßgabe bleibt Transparenz auf die Eigeninitiative von Bürger:innen und Journalist:innen angewiesen – die Informationen müssen extra angefragt werden. Transparenzgesetze verfolgen demgegenüber das Ziel, die Behörden zu einer unaufgeforderten Veröffentlichung zu verpflichten.

Laut der Stellungnahme der OKF, Betreiberin der Plattform FragDenStaat, werde nun aus der Pflicht, digitale Dokumente vorzulegen, ein Ermessen, dies zu verweigern. Auch die Rechte des Landesbeauftragten für den Datenschutz und die Informationsfreiheit würden de facto abgeschwächt.

Abbau von Transparenz führt zu Ineffizienz

Die Thüringer Landesregierung begründet das „Entlastungsgesetz“ mit zwei Hauptargumenten: Die Transparenzpflicht würde Personalressourcen binden. Ein prominent genanntes Beispiel ist dabei der Aufwand durch Schwärzungen. Zudem werde das Portal ohnehin kaum genutzt, während kommerzielle Suchmaschinen in der Regel schnellere Ergebnisse lieferten. Beide Argumente seien laut den Stellungnahmen ungültig – und zwar unter Berufung auf den Evaluationsbericht, den die Landesregierung selbst beim Deutschen Forschungsinstitut für öffentliche Verwaltung in Auftrag gegeben hat.

Laut der OKF kam das Institut in dem rund 200 Seiten starken Bericht zu dem Ergebnis, dass es am Vollzug der Regelungen mangele – nicht, dass der Verwaltungsaufwand ein Problem darstelle. Vielmehr gäbe es „‚deutliche Vollzugsdefizite‘ beim Einstellen von Informationen, die auch auf unklare Formulierungen in den §§ 5 und 6 ThürTG zurückzuführen seien“.

„Anstelle einer Abschwächung der Transparenz empfiehlt die Evaluation eine Schärfung der Definitionen sowie die Verfolgung des in anderen Bundesländern gängigen ‚Access for one – Access for all‘-Ansatzes, bei dem individuell beantragte Informationen automatisch auch ins Transparenzportal überführt werden“, so die OKF. Es könne zudem keine Lösung sein, die Bereitstellung staatlicher Informationen an Privatkonzerne zu übertragen – zumal bei Suchmaschinen ohnehin nur gelistet werden könne, was vorher auch veröffentlicht wurde.

Regierungskoalition ignoriert Evaluationsbericht

Auch der Hackspace Jena quittiert der Landesregierung insgesamt: „Bei dem vorliegenden Entwurf ist nicht zu erkennen, dass diese Vorschläge umgesetzt worden oder dass diese Erkenntnisse irgendwie in den Entwurf eingeflossen sind.“

Dem Aufwand von Schwärzungen ließe sich durch eine konsequente Digitalisierung der Verwaltung ebenfalls begegnen, so die Stellungnahme von Wikimedia, und zwar automatisiert, „technisch wirksam und ohne weiteres Zutun“ indem personenbezogene Sachverhalte in Dokumenten maschinenlesbar codiert werden. Es sei demnach die IT-Infrastruktur zu modernisieren, die gleichsam die Voraussetzung für weitere Modernisierungsvorhaben sei.

„Die geplanten Änderungen des Thüringer Transparenzgesetzes gehen an der ausweislichen Zielstellung des Thüringer Entlastungsgesetzes vorbei“, kritisiert Wikimedia ferner. Wenn die Handlungsfähigkeit und Effizienz der Verwaltung durch das ThürTG beeinträchtigt werde, sei dies lediglich ein Indikator für mangelnde Verwaltungsdigitalisierung. Die automatisierte Veröffentlichung von Dokumenten schaffe nicht nur Transparenz, sondern auch eine Grundlage für viele weitere alltägliche Behördenabläufe – intern oder im Austausch mit den Bürger:innen.

Probleme bei personellen Ressourcen ausgerechnet durch den Abbau von Transparenzvorschriften lösen zu wollen, sei deshalb kontraproduktiv, so Wikimedia. Grundlegende Ursachen würden dadurch nicht angegangen, sondern lediglich die „sichtbaren Konsequenzen abgeschafft“. Dies mache es in der Zukunft umso schwerer, Effizienzprobleme zu erkennen.

Gemeinde- und Städtebund begründet mit Personalmangel

Dr. Carsten Rieder, geschäftsführendes Vorstandsmitglied des Gemeinde- und Städtebundes Thüringen, argumentiert in der Anhörung zum Gesetzesvorhaben dennoch mit einer Mehrbelastung für die Kommunen. Transparenz werde prinzipiell unterstützt, aber durch die Pflichten entstünden personelle Mehrbelastungen im Verwaltungsalltag. Zudem gäbe es Berichte von Einzelfällen, in denen Verwaltungseinheiten mit Anfragen überhäuft würden. Die Transparenzgesetze könnten demnach „ansatzweise missbräuchlich“ genutzt werden, um „Verwaltungen lahmzulegen“.

Melzer sieht auch in dieser Hinsicht das Potenzial bei technischen Lösungen, die Missbrauch verhindern können. Nach seinem Kenntnisstand würden Mitarbeitende der Kommunen das TTP zudem selbst nutzen, um sich einen schnellen Informationsüberblick zu verschaffen.

Für Linux und andere Unix’oide Betriebssysteme gibt es mehrere Treiber-Optionen für den Zugriff auf das Windows-NTFS-Dateisystem. Eine davon ist das quelloffene NTFS-3G von Tuxera, das auf FUSE (Filesystem in Userspace) fußt. Nach knapp vier Jahren haben die Entwickler ein Update veröffentlicht, das auch eine hochriskante Sicherheitslücke schließt.

Laut Sicherheitsmitteilung von Tuxera handelt es sich dabei um einen Heap-basierten Pufferüberlauf. In der mit SUID-root ausgeführten ntfs-3g-Binärdatei können Angreifer mit einem sorgsam präparierten NTFS-Image den Pufferüberlauf in der Funktion ntfs_build_permissions_posix() provozieren, erklären die Programmierer. Der Fehler löst bei Lesezugriffen beim Verarbeiten von Security-Deskriptoren aus, die mehrere „Zugriff verboten“-Einträge mit Inhalt „WRITE_OWNER“ von unterschiedlichen Gruppen-Security-Identifiern (SID) enthalten (CVE-2026-40706, CVSS 7.8, Risiko „hoch“).

Die Entwickler führen weiter aus, dass bösartige Akteure Kontrolle über die Größe des Überlaufs haben, von 8 bis über 14.000 Bytes. Zudem können sie zum Teil kontrollierte Daten dadurch in den Speicher hinter dem allokierten Heap schreiben. Das grätscht wiederum in Heap-Daten der glibc. Explizit schreiben sie es nicht, aber auch der Schweregrad der Lücke deutet damit an: Angreifer können so Code einschleusen und mit den root-Rechten aus SUID laufen lassen.

Korrigierter Quellcode

Tuxera hat am Dienstag dieser Woche korrigierte Quellen veröffentlicht. Sie heben NTFS-3G auf den Stand 2026.2.25 – zuvor war Version 2022.10.3 aus dem Jahr 2022 aktuell. Die Release-Notizen zählen noch zahlreiche kleinere Fehlerkorrekturen auf. Die reichen von Tippfehlern in Meldungen hin zu Crash-Bugs.

Wer den Treiber nicht umgehend aktualisieren kann, kann vorgeschlagene Gegenmaßnahmen umsetzen. Das Deaktivieren von ACLs in der Build-Konfiguration mit anschließendem Rebuild und Reinstall hilft den Entwicklern zufolge, oder etwa das erzwungene Deaktivieren von User-Mapping mit anschließendem unmount und mount mit einer gesetzten Option -ousermapping=. Zudem soll Abhilfe schaffen, für alle gemounteten NTFS-Volumes die Datei „.NTFS-3G/UserMapping“ zu löschen und anschließend die Images aus- und wieder neu einzuhängen. Wer auf den Paketmanager seiner Distribution setzen kann: Debian stellt bereits gepatchte Pakete für alle stabilen Releases über den Security-Channel bereit, Ubuntu folgte ebenfalls mit Backports des Sicherheitsupdates.

Es gibt inzwischen alternative NTFS-Treiber, die im Linux-Kernel laufen und performanter sein sollen. Im vergangenen Oktober hat der Entwickler Namjae Jeon etwa „ntfsplus“ vorgestellt.

Siehe auch:

• NTFS-3G: Download schnell und sicher von heise.de

(dmk)