In der Nacht zum Donnerstag hat die US-amerikanische IT-Sicherheitsbehörde CISA drei Schwachstellen in den Katalog der „Known Exploited Vulnerabilities“ aufgenommen. Es handelt sich um kritische Sicherheitslücken in Ciscos Secure Email Gateway und Secure Email and Web Manager, Sonicwall SMA1000-Appliances sowie auf die Software Ausus Live Update. Angreifer attackieren die Lecks, Admins sollten jetzt bereitstehende Updates installieren.
Weiterlesen nach der Anzeige
Vor den attackierten Schwachstellen warnt die CISA in der „KEV“ abgekürzten Liste. Am gravierendsten ist die Sicherheitslücke in Ciscos Secure Email Gateway und Web Manager. Der Sicherheitsmitteilung von Cisco zufolge hat das Unternehmen bereits am 10. Dezember eine Angriffskampagne beobachtet, die auf bestimmte Ports von Ciscos AsyncOS-Software für diese Appliances zielte. Laut einer Analyse verortet Cisco die Angreifer in einer Gruppe aus dem chinesischen Umfeld. Bei den Angriffen konnten die Täter aus dem Internet beliebige Befehle mit Root-Rechten im Betriebssystem ausführen. Damit haben sich die Angreifer auch in die Geräte eingenistet. Details zur Schwachstelle selbst nennt Cisco jedoch noch nicht (CVE-2025-20393, CVSS 10.0, Risiko „kritisch“).
Software-Updates stellt Cisco nicht bereit, rät IT-Verantwortlichen mit verwundbaren Geräten – also jenen, die das Web Management Interface oder den Port für die Spam-Quarantäne im Internet exponieren – jedoch, die Konfiguration der Appliances in einen sicheren Zustand zu versetzen. Dazu gehört das Herunterladen und Installieren von virtuellen Ersatz-Appliances. Zudem finden Admins in der Analyse einige Indizien für Kompromittierung (Indicators of Compromise, IOCs). Temporäre Gegenmaßnahmen nennt Cisco nicht.
Zudem attackieren bösartige Akteure eine Schwachstelle in Sonicwalls SMA1000-Appliances. Die neue Sicherheitslücke erlaubt Angreifern das Ausweiten ihrer Rechte aufgrund unzureichender Authentifizierung in der SMA1000 Appliance-Management-Konsole (AMC) (CVE-2025-40602, CVSS 6.6, Risiko „mittel“). Sonicwall weist in der Sicherheitsmitteilung darauf hin, dass Angreifer die Schwachstelle mit einer kritischen Deserialisierung-Schwachstelle verknüpfen, für die bereits seit Januar aktualisierte Software zum Ausbessern bereitsteht. Die neue Sicherheitslücke schließen Aktualisierungen auf SMA1000 12.4.3-03245 sowie 12.5.0-02283 und neuere Versionen. Bis zur Installation der Updates sollten Admins die Zugriffe auf die AMC stark beschränken und etwa SSH-Zugang ausschließlich mittels VPN oder festgelegter IPs für Admins erlauben oder das SSL-VPN-Management-Interface und SSH-Zugänge aus dem Internet deaktivieren. Sonicwall weist darauf hin, dass SSL-VPN auf Sonicwall-Firewalls nicht betroffen ist.
Die dritte Sicherheitslücke, auf die bösartige Akteure es abgesehen haben, betrifft eine alte Asus-Software zum Aktualisieren von Hersteller-Software auf PCs und Notebooks, das Asus Live Update. Im Jahr 2019 konnten staatliche Cyberkriminelle die Live-Update-Server unterwandern und kompromittierte Software – damals auf bestimmte Ziele beschränkt – verteilen, wie Asus damals in einer Warnung schrieb. „Die modifizierten Builds können Geräte eigentlich nicht beabsichtigte Aktionen ausführen lassen, wenn sie bestimmte Bedingungen erfüllen“, schreibt Asus in der Schwachstellenbeschreibung (CVE-2025-59374, CVSS 9.3, Risiko „kritisch“). Nur Geräte, die diese Randbedingungen erfüllen und auf denen die kompromittierte Software installiert wurde, sind betroffen. Die App wird seit Oktober 2021 nicht mehr länger unterstützt, was bedeutet, dass kein aktuelles Asus-Gerät, das noch Support erhält, anfällig ist, schränkt das Unternehmen weiter ein.
Details zu den Angriffen und der Reichweite nennen Cisa und die Hersteller bis auf Cisco nicht. Admins sollten ihre Systeme prüfen und nach Vorgaben der Hersteller absichern.
Weiterlesen nach der Anzeige
(dmk)
Der Streit um den Datenatlas kocht weiter hoch. Über das Metadaten-Portal sollen Mitarbeiter*innen der Bundesverwaltung Datensätze und Dokumente aus der internen Verwaltung leichter auffinden. Vor gut zwei Wochen veröffentlichte David Zellhöfer ein wissenschaftliches Gutachten zu dem Portal. Sein Fazit: Der Datenatlas bleibt weit hinter dem zurück, was die zuständige Bundesdruckerei (BDR) auf ihrer Website verspricht.
Daraufhin teilte die BDR auf Anfrage mit, sie erwäge „rechtliche Schritte“ gegen Zellhöfer. Zellhöfer ist Professor an der Hochschule für Wirtschaft und Recht Berlin und lehrt zum Thema Digitale Innovation in der öffentlichen Verwaltung. Er ist promovierter Information-Retrieval-Spezialist – also ausgewiesener Fachexperte eben jenes Bereichs, dem sich sein Gutachten widmet.
Im Interview mit netzpolitik.org spricht Zellhöfer über seine Motive für das Gutachten und wie es ihm nach der Ankündigung der Bundesdruckerei ergangen ist. Außerdem nimmt er Stellung zu neuen inhaltlichen Angaben, die die BDR gegenüber netzpolitik.org in einem neuen Statement gemacht hat.
netzpolitik.org: Vor zwei Wochen hatte die Bundesdruckerei angekündigt, möglicherweise rechtliche Schritte gegen dich einzuleiten. Wie ist es dir seither ergangen?
David Zellhöfer: Die Reaktion war für mich nicht nur als Wissenschaftler, sondern auch als Privatperson harter Tobak. Sie hat mich ziemlich eingeschüchtert. Umso mehr freue ich mich über die Unterstützung, die ich von vielen Seiten erfahren habe. Rückendeckung bekam zum Beispiel vom Hochschullehrerbund. Er fand die Reaktion der Bundesdruckerei bezüglich der Wissenschaftsfreiheit sehr problematisch. Kolleg*innen haben mir Hilfe angeboten für den Fall, dass ich mich rechtlich zur Wehr setzen muss.
Auf LinkedIn sprangen mir Geschäftsführer von Unternehmen aus dem öffentlichen Sektor zur Seite. Ich glaube, auch ein Referent des Nationalen Normenkontrollrats kritisierte die Reaktion der Bundesdruckerei. Und aus der Bundesverwaltung kamen bestärkende Rückmeldungen, auch von Menschen, die ich nicht kannte und die anonym bleiben wollen. Außerdem haben mir Mitarbeiter*innen aus verschiedenen Datenlaboren im persönlichen Gespräch meine Ergebnisse bestätigt.
Ich wollte gar nicht, dass das Gutachten solch einen Wind macht, aber so ist es halt jetzt.
netzpolitik.org: Im Gutachten schreibst du, dass du dich bereits im Sommer an die Bundesdruckerei gewandt hast. Worum ging es dabei?
David Zellhöfer: Ich habe nach Informationen zum Datenatlas gefragt, die ich für meine Lehrveranstaltung nutzen wollte. Damals diskutierte ich mit Kolleg*innen bei der Bundesdruckerei über den Datenatlas. Meine Anfrage wurde dann aber plötzlich aus Sicherheitsgründen oder so ähnlich abgelehnt. Ich solle von weiteren Nachfragen absehen, hieß es, alle Informationen stünden ja in den Pressemitteilungen.
netzpolitik.org: Ist der Verweis auf Sicherheitsbedenken denn ungewöhnlich?
David Zellhöfer: Bei anderen Datenplattformen des Bundes kam ich immer direkt an Informationen, insofern ja. Außerdem stellte ich keine sicherheitskritischen Fragen. Ich wollte nur wissen, ob sie zum Beispiel Offene Software verwenden oder andere Komponenten. Das konnte ich selbst nicht ermitteln. Alle anderen Systeme der Verwaltung finde ich entweder auf GitHub oder auf openCode.de. Zum Datenatlas habe ich mit Ausnahme der Pressemitteilungen keine öffentlichen Informationen gefunden.
netzpolitik.org: Warum macht die Bundesdruckerei aus dem Datenatlas so ein Geheimnis?
David Zellhöfer: Das kann ich mir nicht erklären. Von verschiedenen Kolleg*innen aus der Bundesverwaltung, die viel mit Datenprozessierung zu tun haben, erfuhr ich, dass sich der Datenatlas nicht gut bedienen lässt. Sie fragten mich nach meiner Einschätzung und gewährten mir Einblick über Live-Demos. Außerdem habe ich Screenshots von der Nutzeroberfläche erhalten und ausgewertet.
Ich habe mich erkundigt, ob der Datenatlas einer Geheimhaltungsstufe unterliegt. Das ist nicht der Fall. Daher steht es prinzipiell jede*r Person in der Bundesverwaltung frei, mich in das System schauen zu lassen. Auch habe ich keinerlei Belehrungen erhalten, dass ich nichts darüber sagen darf.
netzpolitik.org: Was ist deine Hauptkritik am Datenatlas?
David Zellhöfer: Meine Bewertung bezieht sich auf den Stand vom Juli dieses Jahres, als ich mir das Portal zuletzt anschauen konnte. Damals gab es nur die Möglichkeit einer gerichteten Suche, auch bekannt als „Known Item Search“. Damit kann ich nur Dokumente finden, von denen ich weiß, dass sie existieren. Für Expert*nnen kann diese Suchart sinnvoll sein, für Laien ist sie es eher nicht. Laut Pressemitteilungen will die Bundesdruckerei im Datenatlas künftig eine explorative Suche anbieten, die eine breitere Suche ermöglicht. Das entspräche dann auch dem aktuellen Stand der Technik.
Mich hat außerdem überrascht, dass die BDR etwas komplett Neues entwickeln wollte, statt zu schauen, was am Markt bereits verfügbar ist und gut funktioniert. Im Gutachten habe ich ausgeführt, dass es seit den frühen 1990er-Jahren Repository-Systeme gibt, die für den Datenatlas geeignet wären. Bei der Software-Entwicklung hätte sich die Bundesdruckerei einfach an GovData orientieren können, die bieten alle Features an.
Schließlich haben mich verschiedene Personen aus der Bundesverwaltung auf die Freitext-Problematik hingewiesen. Wenn Nutzer*innen einen Eintrag in die Datenbank vornehmen wollen, können sie in die entsprechenden Datenfelder beliebige Texte einfügen. Das versucht man üblicherweise zu verhindern.
netzpolitik.org: Was ist das Problem mit Freitext-Feldern?
David Zellhöfer: Um eine Auffindbarkeit von Dokumenten sicherzustellen, sollten sie, vereinfacht gesprochen, immer mit denselben Schlagwörtern belegt werden. Dementsprechend nutzt man hier kontrollierte Vokabulare, wie es sie im Bibliotheks- und Archivwesen seit mehr als 500 Jahren gibt.
Im Datenatlas hat man sich aber anscheinend dagegen entschieden. Das bringt Probleme mit sich, etwa bei Tippfehlern. Zum einen schränkt das die Datenqualität ein. Zum anderen erhalten Nutzende, wenn es nur eine gerichtete Suche gibt, unvollständige Trefferlisten. Sie können sich so gar nicht im Datenraum bewegen.
Darüber hinaus sind Suchanfragen im Datenatlas nur sehr eingeschränkt möglich, weil bestimmte Suchoperatoren wie zum Beispiel „UND“, „ODER“ oder „NICHT“ nicht anwendbar sind. Ich weiß aus verschiedenen Stellen der Bundesverwaltung, dass so etwas eigentlich gefordert war.
netzpolitik.org: Uns liegt inzwischen eine weitere Stellungnahme der Bundesdruckerei vor. Demnach hast du nur das Frontend des Datenatlas begutachtet und kannst keine Aussagen zum gesamten System machen. Im Frontend liege eine „limitierte Suchfunktion“ vor, die außerdem „in Abstimmung mit dem Auftraggeber für eine Nutzergruppe ohne spezielle IT-Kenntnisse entwickelt“ und seit Juli „noch weiterentwickelt“ wurde. Wie bewertest du diese Behauptung?
David Zellhöfer: Dass ich nur das Frontend begutachten konnte, stimmt nicht ganz. Ein Kapitel im Gutachten stützt sich zwar auf die Screenshots. Abgesehen davon gehören zu meinen Datenquellen aber auch die Berichte von Mitarbeitenden der Datenlabore sowie anderen Personen, die während des Projektverlaufs mit der Softwarelösung zu tun hatten.
Dass die Bundesdruckerei die limitierte Suchfunktion für Laien eingerichtet hat, ist aus informationswissenschaftlicher Sicht nicht plausibel. Eine gerichtete Suche mit Schlagworten hilft Nutzenden nicht, wenn sie nicht auch den gesamten Dokumentkorpus kennen. Das belegen Studien seit den 1980er-Jahren. Für das Gros der Bevölkerung, zu dem auch die meisten Nutzenden der Bundesverwaltung zählen werden, ist eine solche Suche nicht machbar.
Wenn es stimmt, dass sie die Suchfunktion weiterentwickelt haben, freut mich das natürlich. Aber das kann ich derzeit nicht überprüfen.
netzpolitik.org: Die Bundesdruckerei schreibt weiter, dass du das Backend des Datenatlas „sowie die umfangreichen Programmierschnittstellen“ nicht auswerten konntest. Gerade die Schnittstellen seien „jedoch für versierte Nutzende und Data Scientists gedacht“.
David Zellhöfer: Die Programmierschnittstellen als Teil des Backends konnte ich mir bislang tatsächlich nicht anschauen. Das wurde mir verwehrt. Für das Gutachten ist das allerdings kaum ausschlaggebend. Denn ich konzentriere mich auf das Thema der Informationssuche. Dafür muss ich mir in erster Linie die Nutzeroberfläche anschauen. Ich gehe auch nicht davon aus, dass selbst „versierte Nutzende und Data Scientists“ auf Programmierungsebene mit dem System arbeiten werden.
Die Bundesdruckerei verwendet das Wort „Backend“ aber zudem nicht trennscharf. Denn offenbar meint sie damit auch jene Funktionalitäten, die Datenforschende nutzen können. Und hierzu kann ich in meinem Gutachten Aussagen treffen: konkret darüber, wie Nutzende Datensätze anlegen und wie sie Metadaten importieren.
netzpolitik.org: Auch in ihrer neuen Stellungnahme stellt die BDR die wissenschaftliche Expertise deines Gutachten infrage. Demnach beruhe der Inhalt unseres Artikels „auf einem Papier, das sowohl fachlich, inhaltlich als auch von der Herangehensweise mehr als fragwürdig ist.“
David Zellhöfer: Immerhin setzen sie das Wort „Gutachten“ nicht mehr in Anführungsstriche. Das hatten sie in ihrer ersten Stellungnahme ja noch getan. Ich habe inzwischen ausführlich auf die Stellungnahme reagiert.
Die Aussage der BDR wirkt wie eine Diffamierung meiner Arbeit. Dieser Eindruck verstärkt sich, wenn sie an anderer Stelle schreibt, im Gutachten hätte ich „Vorwürfe und Meinungen“ geäußert. Eben das habe ich aber an keiner Stelle des Gutachtens getan. Sondern ich habe wissenschaftliche Methoden angewandt, die in jedem Einführungsband zum Thema Informationssuche zu finden sind.
Außerdem enthält das Gutachten mehrere Vorschläge, wie man den Datenatlas verbessern könnte. Alle im Gutachten getätigten Aussagen sind fachlich eingeordnet und anhand von Forschungsliteratur belegt. Und spätestens jetzt sollte die Bundesdruckerei den Datenatlas öffentlich zugänglich machen, damit er verbessert werden kann – bekannt ist er ja nun.
„Dass unsere Demokratie und ihre Institutionen zunehmend hybriden Angriffen autoritärer Regime ausgesetzt sind, kann spätestens seit den jüngsten und deutlichen Warnungen der Spitzen unserer Nachrichtendienste und der Einbestellung des russischen Botschafters niemand mehr bestreiten“, sagt der stellvertretende Vorsitzende der Grünen-Bundestagsfraktion, Konstantin von Notz.
Weiterlesen nach der Anzeige
Dieser bedrohlichen Kombination aus „anhaltend großer Verwundbarkeit und zunehmender Gefahren“ müsse die schwarz-rote Koalition endlich entschlossen entgegentreten.
Zwar hätten die Regierungsfraktionen den schlechten Entwurf der Bundesregierung zur Umsetzung der europäischen NIS-2-Richtlinie zum Schutz der kritischen Infrastruktur vor Cyberangriffen so überarbeitet, dass hiervon nun auch die Bundesverwaltung und die Verwaltung des Bundestages umfasst seien. Der Bundestag selbst, inklusive der Fraktionen und Abgeordneten mit ihren Wahlkreisbüros, gehöre aber nicht zum Geltungsbereich.
Es sei „geradezu absurd“, dass der Bundestag als „Herzstück der Demokratie“ bisher nicht als kritische Infrastruktur eingestuft sei, obwohl er seit Jahren immer wieder angegriffen werde, sagt der Grünen-Politiker, der dem Bundestagsgremium zur Kontrolle der Geheimdienste angehört.
Am 6. Dezember ist das Gesetz in Kraft getreten, mit dem die NIS-2-Richtlinie in deutsches Recht umgesetzt wird. Das Gesetz erhöht die Anforderungen an die Cybersicherheit der Bundesverwaltung sowie bestimmter Unternehmen, die als wichtig für das Gemeinwesen gelten. Dazu zählen etwa Telekommunikationsanbieter und Energieversorger.
Für sie gelten jetzt strengere Vorgaben in puncto IT-Sicherheit sowie die Pflicht, erhebliche Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik zu melden.
Weiterlesen nach der Anzeige
Die Bundesregierung wirft Russland eine massive Cyberattacke sowie Falschinformationen im jüngsten Bundestagswahlkampf vor und hatte deshalb vergangene Woche Konsequenzen angedroht. Die „gezielte Informationsmanipulation“ reihe sich in eine Serie von Aktivitäten ein, die das Ziel hätten, das Vertrauen in demokratische Institutionen und Prozesse in Deutschland zu untergraben, teilte das Auswärtige Amt mit. Der russische Botschafter wurde daher ins Ministerium einbestellt.
Konkret gehen nach Überzeugung der Bundesregierung zwei hybride Angriffe auf das Konto des russischen Militärgeheimdienstes GRU.
Zum einen könne ein Cyberangriff gegen die Deutsche Flugsicherung (DFS) im August 2024 klar der russischen Hackergruppe „Fancy Bear“ und dem GRU zugeordnet werden.
Zum anderen könne man nun verbindlich sagen, dass Russland mit der Kampagne „Storm 1516“ versucht habe, „sowohl die letzte Bundestagswahl als auch fortlaufend die inneren Angelegenheiten der Bundesrepublik Deutschland zu beeinflussen und zu destabilisieren“.
Im Fokus standen vor der Bundestagswahl unter anderem der Grünen-Spitzenkandidat Robert Habeck und der damalige Unions-Kanzlerkandidat Friedrich Merz (CDU). Um sie in Misskredit zu bringen, wurden unter anderem falsche Zeugenaussagen produziert und ins Netz gestellt sowie Websites mit erfundenen Inhalten aufgesetzt.
(dmk)
Wenn jemand im Telekom-Netz von einer inländischen oder ausländischen Nummer angerufen wird, die in einer Datenbank als unseriös oder betrügerisch erfasst ist, dann erscheint auf dem Smartphone-Display den Angaben zufolge der Hinweis „Vorsicht, möglicher Betrug!“.
Weiterlesen nach der Anzeige
Vodafone hat ein ähnliches Warnsystem bereits im Mai aktiviert, seither hat dieser Spam-Warner Firmenangaben zufolge bereits 50 Millionen Mal Alarm geschlagen. Nur 12 Prozent der Anrufe werden trotzdem angenommen, bei anonymen Anrufen – also wenn keine Nummer im Display erscheint – liegt die Annahmequote bei 60 Prozent.
Die Anrufe, bei denen vorher der Betrugshinweis sichtbar war, dauerten laut Vodafone in 90 Prozent der Fälle weniger als 30 Sekunden – also sehr kurz, was ein gutes Zeichen ist: Vermutlich waren die allermeisten Angerufenen auf der Hut und legten ruckzuck wieder auf, noch bevor der Betrüger seine rhetorischen Winkelzüge vollziehen konnte. Die Betrugsanrufe kamen nicht nur aus Deutschland, sondern besonders häufig auch aus den Niederlanden, aus Österreich, Italien und dem Vereinigten Königreich.
„Betrüger sind oft sehr geschickt darin, Vertrauen aufzubauen – sei es durch vermeintliche Gewinnspiele oder Umfragen“, warnt Marc Atkins, Leiter der Cyber-Sicherheitszentrale von Vodafone Deutschland. Solche Methoden dienten häufig dazu, sensible Informationen wie Bankdaten oder Passwörter zu erlangen. „Seien Sie skeptisch und geben Sie keine persönlichen Daten am Telefon preis“, warnt der Sicherheitsexperte.
Weiterlesen nach der Anzeige
Der dritte etablierte Handynetz-Betreiber in Deutschland, O2 Telefónica, hat noch kein solches Betrugswarnsystem für seine Kundinnen und Kunden aktiviert.
(afl)
Illustrierte Reise nach New York City › PAGE online
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
SK Rapid Wien erneuert visuelle Identität
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Neue PC-Spiele im November 2025: „Anno 117: Pax Romana“
Donnerstag: Deutsches Flugtaxi-Start-up am Ende, KI-Rechenzentren mit ARM-Chips
Arndt Benedikt rebranded GreatVita › PAGE online
