Sowohl für Mozillas Firefox und Thunderbird als auch für Googles Chrome-Browser gibt es Aktualisierungen. Kritische Schwachstellen wurden nicht geschlossen – wohl aber einige Lücken mit „High“-Einstufung, die Cybergangster ausnutzen könnten.

Bislang wurde derlei bei den aktuellen Lücken noch nicht beobachtet; dennoch ist baldiges Updaten ratsamer, als es darauf ankommen zu lassen. Bei aktivierter Updatefunktion passiert das in der Regel automatisch. Die neue Firefox-Version 144 steht zudem auch auf der zugehörigen Ankündigungsseite zum Download bereit.

Stable Channel Update für Chrome

Die neuen Stable-Channel-Versionen 141.0.7390.107/.108 für Windows und macOS sowie 141.0.7390.107 für Linux beheben eine Chrome-Sicherheitslücke, von der laut Google ein hohes Risiko ausgeht. Auch die Chrome-Fassung für Android war vor der neuen, abgesicherten Fassung 141.0.7390.111 von der Lücke betroffen.

Die betreffende Lücke CVE-2025-11756 („High“) steckt im Safe-Browsing-Feature. Es handelt sich um eine Use-after-free-Schwachstelle, bei der freigegebener Speicher unzulässigerweise weitergenutzt wird. Weitere Details verrät Googles Ankündigung zum Stable Channel Update aber nicht.

Wer tiefer in technische Interna einsteigen möchte, kann das Changelog der Chromium-Codebasis studieren.

Ist Chrome auf dem neuesten Stand?

Welcher Softwarestand derzeit aktiv ist, kann man über Chromes Browser-Menü herausfinden, das sich hinter dem Symbol mit drei aufeinandergestapelten Punkten rechts von der Adressleiste befindet. Dort geht es weiter über „Hilfe“ – „Über Google Chrome“.

Unter Linux müssen Nutzerinnen und Nutzer dafür in der Regel die Softwareverwaltung der eingesetzten Distribution starten. Die abgesicherte Android-Fassung ist via Google Play verfügbar.

Auch andere Webbrowser auf Chromium-Codebasis dürften verwundbar sein. Deren Hersteller dürften in Kürze ebenfalls Aktualisierungen zum Stopfen des Sicherheitslecks verteilen, etwa Microsoft für den Edge-Webbrowser.

Firefox, Firefox ESR und Thunderbird abgedichtet

Jeweils gleich mehrere Schwachstellen-Updates haben der freie Browser Firefox und dessen ESR (Extended Support Release)-Fassung sowie der E-Mail-Client Thunderbird erhalten.

Mozillas Übersichtsseite mit Sicherheitshinweisen nennt als abgesicherte Versionen den neuen Firefox 144 sowie die ESR-Versionen 140.4 und 115.29. Ebenfalls abgesichert sind Thunderbird 140.4 und natürlich auch die frische E-Mail-Client-Ausgabe 144 (siehe Release-Notes).

Wie gewohnt überschneiden sich einige der Security-relevanten Bugfixes in den Advisories der Mozilla-Software. Mehrere Lücken mit „High“-Einstufung hätten nach Einschätzung des Teams „mit ausreichend Aufwand“ zum Ausführen beliebigen schädlichen Codes missbraucht werden können. Ebenfalls vertreten sind Schwachstellen, die zum Auslesen von Informationen oder für unbefugte schreibende Zugriffe etwa auf JavaScript-Objekte hätten ausgenutzt werden können.

Weiteres zu Firefox 144

Wer sich für neue Funktionen und Änderungen in Firefox 144 interessiert, findet auf der Ankündigungsseite nähere Informationen hierzu.

Aus Security-Perspektive interessant: Der integrierte Passwortmanager setzt zur Verschlüsselung künftig AES-256-CBC (statt zuvor 3DES-CBC) ein, um gespeicherte Daten besser zu schützen.

(ovw)

Wer ein Unternehmen gründen will, soll dies laut den Plänen des Digitalministeriums in Zukunft innerhalb von nur 24 Stunden online erledigen können. In einem Webportal, ganz bequem von zu Hause aus. Dafür soll es ein einheitliches digitales Verfahren geben, ganz egal in welcher Kommune das Unternehmen sitzt. Auch Steuer- und Handelsregisternummern sollen über Schnittstellen zu den zuständigen Behörden im selben Portal erstellt werden.

Die Grundlage dafür soll künftig der Deutschland-Stack bilden, kurz: D-Stack. Es ist eines der Prestigeprojekte des neu gegründeten Ministeriums für Digitales und Staatsmodernisierung und soll eines der zentralen Versprechen der Bundesregierung einlösen: den Staat und die Verwaltung zu modernisieren und zu digitalisieren. Und zwar indem der Deutschland-Stack eine einheitliche digitale Infrastruktur für die öffentliche Verwaltung in Bund, Ländern und Kommunen bereitstellt.

Die Erwartungen an den D-Stack sind dementsprechend riesig. Sein Aufbau wird aus dem Sondervermögen Infrastruktur bezahlt. Allein für das laufende Jahr wurden knapp 40 Millionen Euro eingeplant, wie das Digitalministerium auf Anfrage mitteilte.

Was ist der Deutschland-Stack?

In einem kürzlich von der Bundesregierung beschlossenen Reformen-Fahrplan, der sogenannten Modernisierungsagenda, wird der Deutschland-Stack als „eine sichere, interoperable, europäisch anschlussfähige und souveräne Technologie-Plattform zur Digitalisierung der gesamten Verwaltung“ beschrieben. Er soll in den nächsten Jahren schrittweise aufgebaut werden. Ab 2028 sollen Bund, Länder und Kommunen den Stack nutzen können.

In einem Stack sind üblicherweise bestimmte aufeinander aufbauende Softwarekomponenten wie Programmiersprachen, Front- und Backend, Datenbanken, Bibliotheken, Schnittstellen und Entwicklungswerkzeuge gebündelt. Mit ihrer Hilfe werden dann Anwendungen entwickelt und betrieben. Der Deutschland-Stack wird demnach aus einer einheitlichen IT-Infrastruktur mit festgelegten technischen Standards und Diensten, wie der digitalen Legitimation, der Bezahlfunktion, dem Once-Only-Prinzip, einem vom Bund kuratierten Marktplatz sowie einer KI-gestützten Planungs- und Genehmigungsplattform bestehen.

Diese grundlegenden Dienste nennt der Bund „Basiskomponenten“ und will sie erstmals selbst bereitstellen, damit Verwaltungen der Länder und Kommunen sie nachnutzen können. Das sei zielführender als die Digitalisierung der Verwaltung über Rechtsvorschriften, teilt Jörg Kremer von der Föderalen IT-Kooperation (Fitko) gegenüber netzpolitik.org mit. Die Fitko koordiniert die Digitalisierung der öffentlichen Verwaltung von Bund und Ländern. Mit den Bausteinen werde ein deutlicher Weg hin zu einer Zentralisierung der digitalen Infrastruktur der öffentlichen Verwaltung eingeschlagen, sagt der Leiter der Abteilung Föderales IT-Architektur- und Standardisierungsmanagement und Cybersicherheit. Kremer hat selbst an den Grundlagen des Stacks mitgearbeitet.

Was sind die zentralen Basiskomponenten?

Die Basiskomponenten stehen bereits fest. Laufende Projekte wie die geplante EUDI-Wallet fügen sich laut BMDS in den Deutschland-Stack ein. Die EUDI-Wallet soll künftig eine Art digitale Brieftasche für alle EU-Bürger*innen sein, mit der sie sich online ausweisen und Verträge unterzeichnen können. Bis Ende 2026 muss jeder EU-Mitgliedsstaat eine Wallet anbieten, ihre Implementierung auf dem D-Stack ist innerhalb von drei Jahren geplant.

Für Markus Richter, Staatssekretär im Bundesdigitalministerium, bildet die „KI-gestützte Planungs- und Genehmigungsplattform H2-Plattform“ den „Nukleus“ des Stacks. Dabei handelt es sich um eine Plattform zur beschleunigten Planung von Wasserstoffleitungen, die bis 2032 in Betrieb gehen sollen. Ein etwa 9.000 Kilometer langes Netz aus Leitungen wird klimaneutralen Wasserstoff zu Industrie und Kraftwerken transportieren.

Die Genehmigungsprozesse für Wasserstoffleitungen sind lediglich ein erster Anwendungsfall. Später sollen weitere Antragsverfahren über die Plattform laufen, beispielsweise für den Bau von Windkraftanlagen, Biogas-Raffinerien sowie Energie- und Verkehrsinfrastrukturen.

Die KI-Komponente soll die Daten, die bei solchen Verfahren anfallen, verarbeiten und Teile der Prüfung automatisieren. Der erste Pilot der Plattform soll laut Richter am 15. November in Betrieb gehen, die KI-Komponente wird später angebunden. Derzeit läuft ein Vergabeverfahren für ihre Entwicklung.

Auch die deutsche Verwaltungscloud, ein Marktplatz für Cloud-Dienste für die öffentliche Verwaltung, und das National-Once-Only-Technical-System (NOOTS) sollen über den D-Stack laufen. Letzteres ist eine „Datenautobahn“ von Bund und Ländern, über die Behörden ebenenübergreifend miteinander Daten austauschen sollen. Ziel ist, dass Menschen ihre Daten bei verschiedenen Behörden nicht mehrmals eingeben müssen.

Im August hatte das Digitalministerium außerdem noch andere Missionen vorgestellt, in denen es weitere Kernkomponenten für den D-Stack erarbeitet. Dazu gehören das Identitäts- und Zugangsmanagement (Identity and Access Management, IAM), eine Low-Code-Plattform und Kipitz.

Mit IAM lässt sich regulieren, welche Personen Zugriff auf bestimmte Daten und Systeme in einer Organisation haben dürfen. Die Low-Code-Plattform ist eine Entwicklungsumgebung, die eher grafisch-visuell funktioniert und weniger Kenntnisse in klassischen Programmiersprachen erfordert. Kipitz ist ein bereits existierendes KI-Portal des ITZBund, des IT-Dienstleisters des Bundes, auf dem die Bundesverwaltung verschiedene KI-Modelle benutzt.

Konsultation eröffnet: Zweifel über die Umsetzung bleiben

Nach monatelanger Definitionsphase hat das Digitalministerium mittlerweile die Online-Konsultation für den Deutschland-Stack gestartet. Die Öffentlichkeit ist eingeladen, bis Ende November an der Konzeption des Stacks mitzuwirken. Eine neue Landing Page des Projekts ist auf der Open-Source-Plattform der öffentlichen Verwaltung OpenCode online gegangen.

Diese Seite hat beim Fachpublikum jedoch mehr Fragen aufgeworfen, als Antworten geliefert. Es gebe keine Klarheit darüber, wie der Deutschland-Stack genau ausgestaltet sein soll. „Es gibt weiterhin nicht ansatzweise ein Konzept, wie dieser Stack technisch, organisatorisch oder föderal überhaupt funktionieren soll“, schreibt beispielsweise Thomas Bönig, Leiter des Stuttgarter Amts für Digitalisierung, auf LinkedIn. Das Projekt wirke oberflächlich, unprofessionell und planlos. Wesentliche Aspekte wie Architektur, Roadmap oder klare Verantwortlichkeiten fehlen laut Bönig.

Auch der zivilgesellschaftliche Digitalverein D64 bemängelt gegenüber netzpolitik.org, dass entscheidende Fragen offen bleiben: Wer betreibt, finanziert und haftet für den Deutschland-Stack? Die Webseite beschreibe vor allem technische Ziele und liefere Allgemeinplätze. Es fehle an Substanz und einem belastbaren Konzept.

„Die größten Hemmnisse der Verwaltungsdigitalisierung sind nicht primär fehlende Technik, sondern fehlende Verbindlichkeit, föderale Koordination, nachhaltige Betriebsverantwortung, Nutzenden-Orientierung und Wiederverwendbarkeit von Komponenten“, sagt Bendix Sältz von D64. Technologie ohne klare organisatorische und rechtliche Verankerung werde diese Probleme nicht beseitigen.

Auch Kremer von der Fitko wünscht sich klare und eindeutige Absprachen darüber, wer welche Aufgaben beim Deutschland-Stack übernimmt. Der Stack muss sich in erster Linie daran orientieren, was Kommunen und Länder tatsächlich benötigen. Wenn eine konkrete Lösung entwickelt, gut dokumentiert und die Schnittstellen klar beschrieben sind, könnten etwa die Länder dafür verantwortlich sein, sie für ihre Fachverfahren zu nutzen.

„Die Vereinbarungen können auch anders gestaltet sein. Wichtig ist, dass sie im Vorfeld einheitlich geregelt werden“, betont der Abteilungsleiter bei der Fitko, um nicht die gleichen Fehler wie beim Onlinezugangsgesetz zu wiederholen. Der Plattformkern, der Basiskomponenten für alle föderalen Ebenen zur Verfügung stellt, sollte seiner Meinung nach idealerweise föderal gesteuert werden.

Digitale Souveränität: Wirtschaftsförderung oder Gemeinwohl?

„Digitale Infrastruktur entscheidet darüber, wer Zugang zu Informationen, Verwaltung und gesellschaftlicher Teilhabe hat“, teilt das Bündnis F5 auf unsere Anfrage mit, das aus fünf digitalpolitischen Vereinen besteht. Ähnlich wie D64 betont das Bündnis, dass der D-Stack sich nicht allein an Effizienz und Wirtschaftsförderung orientieren darf.

Öffentliche Infrastrukturmaßnahmen können sinnvoll sein, um die Abhängigkeit von Big Tech zu vermindern, so Sältz von D64 weiter. „Aber Souveränität darf weder als Rechtfertigung für nationale Abschottung dienen, noch als Subventionsprogramm für deutsche oder europäische Unternehmen, die die Geschäftsmodelle von Big Tech nachahmen.“

Sowohl F5 als auch D64 fordern daher, den Deutschland-Stack stärker am gesellschaftlichen Nutzen auszurichten. D64 fordert, dass Open-Source-First, interoperable Schnittstellen sowie die Zusammenarbeit auf internationaler und europäischer Ebene verbindlich vorgeschrieben werden.

Nicht zuletzt fehle es bei dem bisherigen Konzept an echter Einbindung der Zivilgesellschaft. Das offizielle Beteiligungsverfahren sieht vor allem Workshops mit Unternehmen, Wirtschaftsverbänden und IT-Dienstleistern der öffentlichen Verwaltung vor. Für die Zivilgesellschaft bleibt bisher das Feedback-Formular auf der Seite. Für eine echte Beteiligung von Kommunen, Ländern und Zivilgesellschaft brauche es aber Ressourcen wie beispielsweise Budget und Personalkapazität, sagt Bendix Sältz von D64.

Personalwechsel in der Abteilung „Deutschland-Stack“

Parallel zum Konsultationsstart gab es im Digitalministerium einen Personalwechsel: Digitalminister Karsten Wildberger setzte Anfang Oktober Martin von Simson von der Leitung der gleichnamigen Abteilung „Deutschland-Stack“ ab. Als Grund dafür wird vermutet, dass das Projekt bislang nicht von der Stelle gekommen war. Nach Informationen von Tagesspiegel Background habe die Abteilung mit „Chaos“ sowie fehlendem strategischen Handeln und Unklarheiten über den Kern des Projekts gekämpft. Auch die verzögerte Bereitstellung der H2KI-Plattform soll zu diesem frühen Wechsel der Leitung beigetragen haben.

An Simsons Stelle tritt Christina Decker, die bislang die Abteilung Zukunftstechnologien im Bundeswirtschaftsministerium leitete. Sie wird ab jetzt die größte Abteilung des Digitalministeriums mit 13 Referaten und einer Arbeitsgruppe führen.

Der Netzwerkanbieter F5 sieht sich mit einem Datenleck konfrontiert, das offenbar lange Zeit bestand und bei dem Quellcode und bisher unveröffentlichte Sicherheitslücken abhandenkamen. Dutzende Flicken für seine BIG-IP-Appliance und andere Produkte müssen Admins nun dringend einspielen, sonst drohen weitere Einbrüche. Das veranlasst auch die US-Cybersicherheitsbehörde CISA und ihr britisches Gegenstück zu einer dringenden Warnung.

Wie die Angreifer ins F5-Netzwerk eingedrungen sind, lässt der Hersteller im Unklaren, doch haben die Nachforschungen einen Datenabfluss bestätigt. So sei Quellcode für BIG-IP in unbefugte Hände gelangt, gemeinsam mit Informationen über bekannte, aber zum Zeitpunkt des Angriffs noch nicht behobene Sicherheitslücken niedrigen, mittleren und hohen Schweregrads. Die sind für Exploit-Entwickler ein gefundenes Fressen – sie dürften sich unmittelbar an die Arbeit gemacht und Malware auf die Lücken maßgeschneidert haben. Ebenso fatal: Für einige F5-Kunden waren in den angegriffenen Systemen spezifische Konfigurations- und Implementierungshinweise hinterlegt, die dann für gezielte Attacken missbraucht werden können.

F5 legt Wert auf die Feststellung, dass weder Sicherheitslücken kritischen Schweregrads noch solche mit Möglichkeiten zur Codeausführung (RCE) in die Hände der Angreifer gelangt seien. Ein schwacher Trost, denn: Mit dem erbeuteten Quellcode könnten diese gezielt nach solchen Lücken suchen. Immerhin: Der oder die Angreifer hatten offenbar keinen Zugriff auf die Entwicklungs-Infrastruktur für den Webserver NGINX, der seit sechs Jahren zu F5 gehört. Und Kunden-, Finanz- oder Supportdatenbanken blieben nach Erkenntnissen des Herstellers ebenfalls verschont.

Private Schlüssel geklaut, aber Buildprozess intakt?

Die Software-Supply-Chain und der Buildprozess seien hingegen nicht betroffen, hätte eine Untersuchung gemeinsam mit den Sicherheitsspezialisten der NCC Group und IOActive ergeben. Die Aussage passt jedoch nicht so recht zu einem weiteren Beutestück. Denn offenbar gerieten die zur Software- und Image-Signatur verwendeten Schlüssel ebenfalls in die Hände der Angreifer, denn der Hersteller hat die privaten Schlüssel und Zertifikate ausgetauscht.

Wie F5 in einem Support-Artikel erklärt, sind dadurch ältere Versionen nicht mehr in der Lage, die mit den neueren Schlüsseln signierten Versionen zu verifizieren, was sich auf Installationen, Updates und das Ausrollen virtueller Maschinen auswirken könnte.

F5-Patches: Im Dutzend billiger

Unter den offenbar geleakten Sicherheitslücken findet sich eine mit hohem Schweregrad (CVE-2025-53868, CVSS 8,7/10), die Angreifern mit gültigen Zugangsdaten eine Umgehung von Sicherheitsvorkehrungen ermöglicht. Dafür muss das Gerät jedoch im Appliance Mode laufen und der Angreifer bereits Zugriff auf das SCP- oder SFTP-Protokoll haben (Secure Copy / Secure File Transfer Protocol).

Auch in F5OS und verschiedenen Untermodulen von BIG-IP klaffen reichlich Lücken, die F5 nun behebt. Darunter finden sich:

• 27 Lücken mit hohem Schweregrad beziehungsweise derer 29, wenn das BIG-IP-Gerät im „Appliance Mode läuft“,
• 16 mittelschwere Lücken und
• 1 als niedrig eingestufte Sicherheitslücke.

Admins sollten sich zügig an die Aktualisierung machen und der Gefahr gewahr sein, die durch die gestohlenen Daten droht. Dass mit den Patches auch eine Neuausstellung der Codesigning-Zertifikate einher geht, dürfte zusätzlich für Schweißperlen auf der Sysadmin-Stirn sorgen.

CISA und NCSC in Alarmstimmung

Der Einbruch und die entwendeten Sicherheitslücken veranlassten die US-Cybersicherheitsbehörde CISA zu einer dringenden Handlungsanweisung („Emergency Directive“) an alle Bundesbehörden. Bis Mitte nächster Woche, spätestens bis Ende des Monats sollen deren Admins betroffene Geräte entweder patchen oder vom Netz nehmen. Sie müssen zudem berichten, welche betroffenen Geräte sich in ihren Netzen fanden. Wegen des Haushalts-Shutdown in den USA könnte es jedoch zu Verzögerungen kommen, wenn IT-Personal entlassen oder in den unbezahlten Zwangsurlaub geschickt wurde.

Auch die britische NCSC stimmte in die Warnungen ein. Vom deutschen CERT-Bund gab es zunächst nur einen Sicherheitshinweis, der jedoch den Netzwerkeinbruch bei F5 ausklammerte.

(cku)