Ein „Meilenstein für die Sicherheitsarchitektur Deutschlands“ sei das Gesetz zur Stärkung der Cybersicherheit, sagte Bundesinnenminister Alexander Dobrindt (CSU). Denn damit komme als „Kernbestandteil“ die „aktive Cyberabwehr“. „Wir schlagen zurück, wir schalten die Bedrohung aus. Wenn wir angegriffen werden, werden wir die Angreifer stören und ihre Infrastruktur zerstören können.“ Politisch wird diese neue Befugnis für das Bundeskriminalamt mit der geänderten Sicherheitslage und der erhöhten Dringlichkeit begründet.

„Aktive Cyberabwehr“ soll kein Hackback sein

Umstritten ist, dass nach dem Willen der Bundesregierung künftig mutmaßliche Angreifersysteme zur Gefahrenabwehr lahmgelegt oder manipuliert werden dürfen. „Bisher haben wir bei Angriffen reagiert, indem wir versucht haben, sie in schadlose Bereiche des Netzes umzuleiten“, erläutert Dobrindt. Das sei wirkungsvoll, aber bislang das Einzige an aktiver Abwehr. Software und Server von Angreifern im Ausland würden künftig ebenfalls ins Visier genommen, was aus seiner Sicht einen qualitativen Unterschied darstellt. Es handele sich bei den vorgesehenen Maßnahmen um eine notwendige Ergänzung zu allen anderen, ebenfalls vorgenommenen Maßnahmen wie der Härtung von IT-Systemen oder gesetzlichen Verpflichtungen zu mehr IT-Sicherheit wie durch die NIS2-Regeln.

Kritiker sehen in der Regelung die Befugnis zum Hackback – bei der bereits in einem frühen Stadium in fremde Systeme eingedrungen werden könne. Da professionelle Angreifer sich jedoch regelmäßig fremder Geräte bedienten, beträfen die Maßnahmen nicht die Urheber, sondern Dritte. Diese Befürchtung hält Bundesinnenminister Alexander Dobrindt (CSU) jedoch für unbegründet. Eine Gefahr, hier unbeabsichtigt Grenzen des völkerrechtlich Zulässigen zu überschreiten, sieht der Minister nicht.

Vergleichsmaßstab: Herrenloser Koffer

Ein Hackback sei ein ungerichteter Vergeltungsschlag, hier gehe es hingegen um konkrete Gefahrenabwehr durch Bundeskriminalamt, Bundespolizei und Bundesamt für Sicherheit in der Informationstechnik. Daher bedürfe es auch keiner Änderung am Grundgesetz, sagte der Minister. „Wir gehen nicht wahllos auf Server zu, sondern es muss klar sein, dass von dieser Serverstruktur die Gefahr ausgeht.“ Wer genau hinter dem System stecke, sei dafür irrelevant. Der Minister zieht dabei eine Analogie: „Wenn von einem herrenlosen Koffer eine Gefahr ausgeht, dann schreiten wir dagegen ein und klären nicht erst auf, wem dieser Koffer gehört.“ Oft sei heute allerdings bekannt, wem angreifende Geräte zuzurechnen seien.

Vom IoT-Device über Server bis zu gekaperten Cloudinstanzen soll das BKA künftig frühzeitig eingreifen können, um Angriffe wie DDoS-Attacken von vornherein zu unterbinden, indem etwa Command & Control-Server identifiziert und unschädlich gemacht werden.

Kritik vonseiten der Zivilgesellschaft

Nach den Vorhaben für Vorratsdatenspeicherung, den Umsetzungsgesetzen zur digitalen Beweissicherung, den Datenanalyse- und biometrischen Internetabgleichsbefugnissen ist das bereits das dritte große Paket, mit dem die schwarz-rote Bundesregierung Polizeien und Staatsanwaltschaften weitere Befugnisse einräumen will. Gegen Teile dieser Pläne, die zudem im Eiltempo den Bundestag passieren sollen, gibt es scharfe Kritik aus der Zivilgesellschaft.

(dmk)

Im Archivprogramm 7-Zip haben IT-Forscher eine Sicherheitslücke entdeckt, die Angreifern das Einschleusen von Schadcode ermöglicht. Dazu genügt das Öffnen einer sorgsam präparierten Archiv-Datei. Ein Update zum Schließen des Sicherheitslecks steht bereit.

Das GitHub-Security-Team hat einen entsprechenden Schwachstelleneintrag veröffentlicht. In 7-Zip 26.00 können bösartige Akteure demnach einen Heap-basierten Pufferüberlauf provozieren. Bei der Verarbeitung von komprimierten NTFS-Streams kann ein zu kleiner Puffer angelegt werden, was zum Absturz der App oder sogar zur Ausführung beliebigen Codes führen kann (CVE-2026-48095, CVSS 8.8, Risiko „hoch“).

Das Verhalten der Lücke unterscheidet sich je nach Wortbreite der Systemarchitektur. 32-Bit-Builds sind in jedem Fall davon betroffen, auf 64-Bit-Systemen hängt es davon ab, wie viel RAM tatsächlich im System verbaut ist. Auf Systemen mit 16 GByte und mehr findet die Speicherallokation korrekt statt, sodass dort Schadcode eingeschleust werden kann.

Auf Systemen mit weniger Speicher kann das fehlschlagen und führt dann zu einem Denial-of-Service-Zustand. Die Meldung enthält auch Proof-of-Concept-Code, sodass Angreifer in Kürze die Schwachstelle in ihr Standard-Repertoire aufnehmen könnten.

Das SOC-Prime-Team hat einen Blog-Beitrag zur Schwachstelle veröffentlicht. Die Lücke ist dadurch gefährlich, dass Angreifer keine speziellen Dateiendungen für die manipulierten Archive nutzen müssen, um den NTFS-Handler in Aktion zu setzen. Die Endungen können auch beliebig sein, etwa .7z, .zip, .rar oder ähnliche. Wenn die dafür zuständigen Handler die Daten in der Datei nicht verarbeiten können, wendet 7-Zip eine Art MIME-Magic an und füttert den NTFS-Handler mit dem Input, weil der die Datei erkennt und verarbeitet.

Aktualisierte Software

Das Problem besteht in 7-Zip 26.00. Am 27. April 2026 erschien 7-Zip 26.01, das unter anderem diese Sicherheitslücke schließt. Da 7-Zip keinen automatischen Update-Mechanismus enthält, müssen Nutzerinnen und Nutzer sowie Admins die Aktualisierung manuell vornehmen. An der Windows-Eingabeaufforderung sollte der Aufruf von winget upgrade --all die Aktualisierung finden und installieren.

Ansonsten steht die aktuelle 7-Zip-Fassung auch auf der Download-Seite des Projekts zum Herunterladen bereit. Eine weitere Download-Seite bei Sourceforge hält zudem Updates für diverse Plattformen abseits von Windows bereit, dort finden sich auch die weiteren Änderungen gegenüber der Version 26.00.

Das Update sollte rasch erfolgen. Im vergangenen November haben Angreifer eine Schwachstelle in 7-Zip missbraucht, um damit ihren Opfern Schadcode unterzuschieben.

(dmk)

Seit über zwei Jahren feilt das BSI nun schon an der neuen Version des IT-Grundschutzes. Bislang gab es aus der Praxis viel Kritik, dass entscheidende Fragen zur Umsetzung unbeantwortet blieben – etwa, ab wann nach dem neuen Standard zertifiziert werden kann und wie es mit den Personenzertifizierungen weitergeht.

Diese Unklarheiten hat das BSI nun auf seiner Webseite beseitigt: Am 1. November startet die Fortbildung für bereits zertifizierte Berater und Auditteamleiter auf den neuen Standard. Organisationen können sich den 1. Januar 2027 im Kalender anstreichen. Ab diesem Stichtag ist die Zertifizierbarkeit nach Grundschutz++, der auf ISO 27001 basiert, offiziell gegeben.

Die guten Nachrichten für die Praxis gehen weiter: Auch die von vielen sehr geschätzten Checklisten für den „WiBA – Weg in die Basis-Absicherung“ wird es wieder geben. Sie sind laut BSI fester Bestandteil des Grundschutz auch in der neuen Version. Damit bleibt vor allem kleineren Organisationen ein vergleichsweise unbürokratischer und einfacher Einstieg in die IT-Sicherheit erhalten.

Zudem hält die Behörde an den Mindeststandards für „ausgewählte Anwendungsbereiche“ fest. Diese richten sich weiterhin maßgeblich an die Einrichtungen des Bundes (gemäß BSIG), um dort ein einheitliches Sicherheitsniveau zu gewährleisten. Offen bleibt jedoch, ob und wie diese Mindeststandards künftig für Unternehmen greifen werden, die unter die NIS-2-Richtlinie fallen. Wie hier die genaue Prüfgrundlage in der Praxis aussehen wird, lässt das BSI bislang unbeantwortet.

Ein deutlicher Wermutstropfen für alle, die sich aktuell in die Materie einarbeiten wollen, bleibt der Leitfaden zur Methodik. Die verlinkte Version verharrt unverändert auf dem Stand vom März dieses Jahres und ist nach wie vor sehr lückenhaft.

(axk)