Microsoft warnt vor einer Sicherheitslücke im Windows Admin Center. Angreifer können dadurch ihre Rechte ausweiten. IT-Verantwortliche müssen zum Schließen der Lücke aktiv werden und ein Software-Update installieren.

Die Schwachstellenbeschreibung mit der Bezeichnung CVE-2026-26119 hat Microsoft in der Nacht zum Mittwoch veröffentlicht. Es handelt sich um eine unzureichende Authentifizierung (CWE-287), schreibt Microsoft lediglich. Zu den Auswirkungen bei einem erfolgreichen Missbrauch führen die Entwickler noch aus: „Angreifende würden die Rechte der Benutzenden erlangen, die die betroffene Anwendung ausführen.“ (CVE-2026-26119, CVSS 8.8, Risiko „hoch“). Abweichend von der Risikoeinstufung gemäß CVSS3-Wert schätzen die Redmonder das Risiko jedoch sogar als „kritisch“ ein.

Zwar wurden die Details zur Schwachstelle bislang nicht veröffentlicht und Microsoft weiß auch noch von keinem verfügbaren Exploit. Jedoch schätzt das Unternehmen, dass Angreifer in absehbarer Zeit die Sicherheitslücke mit höherer Wahrscheinlichkeit ausnutzen werden.

Windows Admin Center: Update verfügbar

Für das Windows Admin Center steht die Software-Version 2511 bereit. Die ist bereits im Dezember vergangenen Jahres erschienen und korrigiert das nun gemeldete Sicherheitsproblem. Vor einer Woche haben Microsofts Entwickler jedoch noch ein Verteilungsskript sowie die zugehörige Dokumentation aktualisiert. Wer die Softwareaktualisierung bereits installiert hat, muss nicht erneut handeln; wer noch ältere Fassungen einsetzt, sollte zügig auf den neuen Stand wechseln.

Das Windows Admin Center ist eine kostenlose Zusatzsoftware, die zur Verwaltung von Windows-Geräten ab Windows 10 und Windows Server 2012 in Netzwerken mit einer webbasierten Bedienoberfläche dient. Sie stellt übersichtlich Informationen zu Server-Performance, Voraussagen für benötigte Kapazitäten sowie Funktionen zur Verwaltung von Windows-Systemen und zur Lösung von auftretenden Problemen etwa mittels Fernwartung bereit. Sie fußt technisch auf der Microsoft Management Console (MMC).

(dmk)

Mit dem Digital Services Act (DSA) verpflichtet die EU sehr große Online-Plattformen, Risiken ihrer Angebote zu identifizieren und zu beheben. Weil der chinesische Fast-Fashion-Händler Shein diesen Vorgaben möglicherweise nicht ausreichend nachgekommen ist, hat die EU-Kommission nun ein Verfahren gegen das Unternehmen eröffnet. Das teilte sie am heutigen zweijährigen Geburtstag der EU-Verordnung über digitale Dienste mit.

Die Shopping-Plattform soll monatlich etwa 126 Millionen aktive Nutzer*innen in der EU haben. Seit Juni 2024 hatte die Kommission mehrfach Informationen von Shein angefragt. Die Entscheidung, eine Untersuchung einzuleiten, basiert auf diesen Auskunftsersuchen, auf einer vorläufigen Analyse der von Shein vorgelegten Risikobewertungsberichte und auf Einschätzungen dritter Parteien.

In Frankreich hatte sich im letzten Jahr bereits Widerstand gegen den Online-Händler geregt, jedoch war die französische Regierung mit dem Versuch gescheitert, die Plattform für drei Monate zu sperren.

„Illegale Produkte sind verboten“

Die Kommission attestiert dem Konzern Handlungsbedarf in drei Bereichen. An erster Stelle steht der Verkauf illegaler Waren, wegen dem der Fast-Fashion-Händler in der Vergangenheit bereits in Kritik stand. Zum Beispiel konnten genehmigungspflichtigen Waffen oder kinderähnliche Sexpuppen auf dem Marktplatz erworben werden.

Bei der Untersuchung geht es jedoch nicht darum, dass die EU gezielt den Verkauf einzelner Produktgruppen kontrollieren will. Vielmehr will sie dafür sorgen, dass die Plattform selbst ihre Systeme so gestaltet, dass Risiken minimiert werden. Konkret muss Shein also dafür sorgen, dass auf dem Marktplatz keine illegalen Waren gehandelt werden können.

„In der EU sind illegale Produkte verboten – egal, ob sie im Ladenregal oder auf einem Online-Marktplatz angeboten werden“, so EU-Kommissionsvizepräsidentin Henna Virkkunen zu dem Verfahren. „Der Digital Services Act schützt die Sicherheit und das Wohlergehen von Käufern und versorgt sie mit Informationen über die Algorithmen, mit denen sie interagieren.“

Ein zweiter Kritikpunkt betrifft mutmaßlich süchtig machendes Design des Online-Händlers. Er vergibt unter anderem Verbraucherpunkte oder Belohnungen für Engagement auf der Plattform. Das könne Suchtpotenzial entwickeln, welches sich negativ auf das Wohlbefinden der Nutzer*innen und den Verbraucherschutz im Internet auswirkt.

Außerdem kritisiert die Kommission mangelnde Transparenz des algorithmischen Empfehlungssystems von Shein. Dieses muss nach dem DSA zudem so gestaltet sein, dass sich Nutzer*innen optional für ein nicht-personalisiertes Empfehlungssystem entscheiden können.

EU ermittelt auch gegen Temu

Shein ist die zweite sehr große Plattform im Bereich Online-Handel, gegen die eine Untersuchung wegen süchtig machender Designpraktiken besteht. Bereits im Jahr 2024 hatte die EU-Kommission aus den gleichen Gründen ein Verfahren gegen Temu eröffnet.

Sollte die Kommission im Zuge der formalen Untersuchung zu einer Nichteinhaltungsentscheidung kommen, also einen tatsächlichen Verstoß gegen den DSA feststellen, kann sie zum Beispiel Bußgelder gegen das Unternehmen verhängen. Bis dahin ist es der Online-Plattform aber möglich, auf Forderungen zu reagieren und Anpassungen vorzunehmen. Wann es zu einer Entscheidung in dem Verfahren kommt, bleibt jedoch offen, denn der DSA schreibt hierfür keine Frist vor.

Der Online-Händler zeigt sich nach Angaben von Zeit.de bisher kooperationswillig: „Wir teilen das Ziel der Kommission, eine sichere und vertrauenswürdige Online-Umgebung zu gewährleisten, und werden uns weiterhin konstruktiv an diesem Verfahren beteiligen.“ Bei altersbeschränkten Produkten habe man bereits weitere Sicherheitsvorkehrungen ergriffen.

Seit dem 6. Dezember 2025 gelten in Deutschland neue Transparenzpflichten für .de-Domain-Registrierungen. Wie DENIC in seinem Blog mitteilt, wirken sich die Regelungen auch unmittelbar auf die WHOIS-Abfrage für .de-Domains aus. Hintergrund ist die nationale Umsetzung der europäischen NIS2-Richtlinie zur Cybersicherheit.

Die Domainabfrage stellt nunmehr zusätzliche Informationen bereit. Bei allen .de-Domains wird grundsätzlich das jeweils verwaltende DENIC-Mitglied veröffentlicht – also der Provider, über den die Domain registriert und administrativ betreut wird. Damit gibt es zu jeder .de-Domain eine klar benannte und kontaktierbare Stelle, selbst wenn die Inhaberdaten aus Datenschutzgründen nicht angezeigt werden dürfen.

Bei Domains juristischer Personen wie Unternehmen, Vereinen oder Organisationen werden Name und Anschrift des Domaininhabers, E-Mail-Adresse und Telefonnummer sowie das Datum der Domainregistrierung öffentlich sichtbar. Hinzu kommen Name und Kontaktdaten des verwaltenden DENIC-Mitglieds. Bei Domains natürlicher Personen bleiben personenbezogene Inhaberdaten hingegen weiterhin geschützt – hier sind lediglich das Registrierungsdatum sowie Name und Kontaktdaten des DENIC-Mitglieds einsehbar. Diese waren früher einmal auch frei einsehbar.

Die Änderungen sind Teil der umfassenden NIS2-Umsetzung in Deutschland. Das NIS2-Umsetzungsgesetz verschärft die Cybersicherheitsanforderungen erheblich und zwingt Unternehmen sowie staatliche Stellen, Informationssicherheit als strategische Daueraufgabe zu begreifen. Deutschland nutzt den Spielraum der Richtlinie konsequent aus und geht teilweise über die europäischen Mindestvorgaben hinaus.

Zugriff auf nicht-öffentliche Daten

Domaininhaber können weiterhin ihre eigenen, bei DENIC gespeicherten Daten einsehen. Dazu ist eine entsprechende Legitimation im Rahmen der Domainabfrage erforderlich, etwa durch Eingabe der Postleitzahl oder Bestätigung per E-Mail-Link. Darüber hinaus können Dritte wie Rechteinhaber, Behörden, Insolvenzverwalter oder Anspruchsteller mit vollstreckbarem Titel bei Vorliegen eines berechtigten Interesses und nach Einzelfallprüfung Einsicht in nicht öffentlich sichtbare Daten erhalten. DENIC stellt dafür spezialisierte Formulare bereit.

Die WHOIS-Abfrage liefert die erweiterten Informationen in strukturierter Form als Text oder JSON. Die Regelungen sollen insbesondere Missbrauch durch falsche oder unvollständige Registrierungsdaten reduzieren und die Kontaktaufnahme bei rechtlichen Problemen erleichtern.

Risk Assessment ab April 2026

In Phase II, die am 14. April 2026 startet, werden Contact- und Domainaufträge einem automatisierten Risk Assessment unterzogen. Das System arbeitet mit einem Ampel-Prinzip und klassifiziert Domains nach Risikograd (Low/Suspicious/High Risk). Auffälligkeiten in den Registrierungsdaten – etwa verdächtige IP-Adressen, Namen oder Muster – lösen eine Verifizierungsanfrage beim zuständigen DENIC-Mitglied aus.

Reagiert der Provider nicht oder kann die Daten nicht verifizieren, drohen Konsequenzen: Die betroffene Domain wird in Quarantäne versetzt, was ihre DNS-Auflösung deaktiviert, und kann bei weiterem Ausbleiben einer Reaktion gelöscht werden. Domaininhaber werden innerhalb der ersten drei Wochen zusätzlich per E-Mail über die Verifizierungsanfrage informiert. DENIC-Mitglieder müssen künftig sicherstellen, dass alle Registrierungsdaten korrekt und verifizierbar sind, einschließlich valider Telefonnummern und E-Mail-Adressen.

Die NIS2-Richtlinie erfasst DNS- und TLD-Anbieter wie DENIC als kritische Infrastruktur. Die Anforderungen von NIS2 gelten auch für Klein- und Kleinstunternehmen, die für ihre Kunden Domains verwalten. In Deutschland sind schätzungsweise 29.500 Unternehmen von den neuen Cybersicherheitspflichten betroffen.

Unternehmen sollten ihre .de-Domains umgehend überprüfen und sicherstellen, dass alle Registrierungsdaten vollständig, korrekt und aktuell sind. Besonders wichtig ist die Validierung von E-Mail-Adressen und Telefonnummern, da diese in Phase II systematisch geprüft werden. Die EU-Kommission arbeitet bereits an weiteren Anpassungen der NIS2-Richtlinie.

(mki)