Connect with us

Datenschutz & Sicherheit

Anthropics neues KI-Modell Mythos: Zu gefährlich für die Öffentlichkeit


Anthropic hat mit Mythos ein neues KI-Modell vorgestellt, das so gefährlich sein soll, dass es nicht öffentlich gemacht werden soll. Stattdessen soll Claude Mythos Preview im Rahmen einer Initiative namens Project Glasswing zuerst ausschließlich einer Reihe von Firmen zur Verfügung gestellt werden, die an IT-Sicherheit arbeiten. Die sollen die KI-Technik nutzen, um die „kritischste Software der Welt“ abzusichern. Das KI-Modell habe bereits tausende hochriskante Zero-Day-Lücken identifiziert, begründet Anthropic den Schritt. Solche seien in allen großen Betriebssystemen und jedem Internetbrowser, aber auch in zahlreicher anderer Software entdeckt worden. Vor allem sei Mythos Preview deutlich häufiger in der Lage, einen funktionierenden Exploit zu entwickeln.

Weiterlesen nach der Anzeige

Als Beispiel listet Anthropic etwa eine seit 27 Jahren übersehene Lücke in OpenBSD auf, über die Angreifer ein Gerät aus der Ferne zum Absturz bringen könnten, „indem sie sich nur damit verbinden“. Auch von einer 16 Jahre alten Lücke in FFmpeg ist da die Rede, die bei fünf Millionen automatischen Scans mit speziellen Suchwerkzeugen nicht identifiziert worden sei. Zudem sei das Modell in der Lage gewesen, eine Reihe von bislang unbekannten Lücken im Linux-Kernel zusammenzuführen und daraus eine Attacke zu entwickeln, die es einem Angreifer ermöglichen würde, als normaler User die komplette Kontrolle über einen Rechner zu erlangen. Diese und andere Lücken seien den jeweils Verantwortlichen gemeldet worden. Anthropic hat dazu einen Blogeintrag veröffentlicht.

Der jetzt vorgestellten Initiative „Project Glasswing“ gehören demnach unter anderem Amazon Web Services (AWS), Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, die Linux Foundation, Microsoft, NVIDIA und Palo Alto Networks an. 40 weitere Organisationen, die Software für kritische Infrastruktur verantworten, seien ebenfalls beteiligt. Insgesamt stellt Anthropic demnach Nutzungsrechte im Wert von bis zu 100 Millionen US-Dollar für das neue KI-Modell zur Verfügung, 4 Millionen US-Dollar sollen direkt an Betreiber von Open-Source-Software gehen. Damit soll ihnen allen ermöglicht werden, Systeme nach Schwachstellen zu durchsuchen. Die sollen geschlossen werden, bevor andere KI-Modelle zu den Fähigkeiten von Mythos aufholen.

Anthropic ist primär für seine KI Claude bekannt, die mit ChatGPT von OpenAI konkurriert. Zuletzt geriet die Firma aber durch einen Streit mit dem Pentagon in die Schlagzeilen: Anthropic lehnte den Einsatz seiner KI in autonomen Waffen oder zur Massenüberwachung in den USA ab und wurde im Gegenzug zum Sicherheitsrisiko erklärt. Dagegen geht das Unternehmen gerichtlich vor. Dem US-Magazin Platformer hat die KI-Firma erklärt, dass sie der US-Regierung bei der sicher nötigen Evaluierung von Mythos helfen könnte. Noch sei aber unklar, ob sie das Angebot annehmen würde. Unklar ist auch, ob der Plan, Sicherheitslücken mit immer mächtigeren KI-Werkzeugen jeweils rechtzeitig vor böswilligen Angreifern finden zu wollen, aufgehen kann.


(mho)



Source link

Datenschutz & Sicherheit

Offene Datenbank: Nextcloud GmbH behebt potenzielles Datenleck


Bei der Nextcloud GmbH, dem Unternehmen hinter der gleichnamigen Opensource-Kollaborationslösung, gab es womöglich ein Datenleck. Wie Sicherheitsforscher herausfanden, stand eine ElasticSearch-Datenbank mit über 360.000 Einträgen offen und hätte von jedermann ausgelesen werden können.

Weiterlesen nach der Anzeige

Bereits am 18. Mai stießen die Forscher auf die Datenbank mit etwa 8 GByte Informationen zu Nextcloud-Kunden, -Partnern und Mitarbeitern. Auch Verträge und Scripte für Nextcloud-Firmenkunden sollen sich in dem offenen ElasticSearch-Cluster befunden haben.

Nachdem die Finder das Unternehmen erst eine Woche darauf auf das Problem hingewiesen hatten schloss die Nextcloud GmbH die Lücke zwei Tage später. Sie informierte die zuständigen Aufsichtsbehörden.

Die Forscher von Cybernews schreiben: „Wenn unser Team den exponierten Datensatz finden konnte, dann hätten Angreifer das auch tun können“. Die Nextcloud GmbH stellt gegenüber heise security klar: „Uns ist derzeit kein Fall bekannt, in dem die Daten missbraucht wurden.“

Ursache des potenziellen Lecks ist nach Angaben des Unternehmens eine Fehlkonfiguration der Hostingstruktur der Nextcloud GmbH. Die Open-Source-Kollaborationssoftware sowie ihre Nutzer seien nicht in Mitleidenschaft gezogen worden: „ Andere Nextcloud-Server unserer Kunden, Partner oder anderer Nutzer sind von diesem Problem nicht betroffen.“

Nextcloud positioniert sich als quelloffene Alternative zu proprietären Lösungen wie Microsofts M365. Das Land Mecklenburg-Vorpommern will zugunsten von Nextcloud auf Sharepoint verzichten.

Weiterlesen nach der Anzeige


(cku)



Source link

Weiterlesen

Datenschutz & Sicherheit

Gegenwind wird stärker: SPD-Fraktion gegen De-facto-Abschaffung der Informationsfreiheit


Innen‑, Digital- und Rechtspolitiker:innen der SPD-Fraktion stellen sich deutlich gegen die Pläne des Koalitionsausschusses zur De-Facto-Abschaffung der Informationsfreiheit, die seit einer Woche auf massiven Widerstand aus der Zivilgesellschaft gestoßen ist. Das geht aus einem Positionspapier hervor, das netzpolitik.org im Volltext veröffentlicht.

In diesem Papier aus der SPD-Bundestagsfraktion heißt es deutlich: „Es darf nicht zu einer Reduzierung der bestehenden Auskunftsansprüche für Bürgerinnen und Bürger, für Presse und Zivilgesellschaft kommen.“

Zwar zeigen sich die Abgeordneten offen für eine Überprüfung zu Veröffentlichungspflichten in Spezialgesetzen zu kritischen Infrastrukturen, generell halten sie das Informationsfreiheitsgesetz aber für sicher. Es enthalte heute schon „die notwendigen Vorschriften zum Schutz der berechtigten staatlichen Sicherheitsbelange, die den Schutz seit zwanzig Jahren ausnahmslos gewährleistet“ hätten.

Gegenüber der eigenen Koalition machen die SPD-Abgeordneten eine klare Ansage: „Für eine Abschaffung des bisherigen Transparenzniveaus des Informationsfreiheitsgesetzes wird es keine Zustimmung der SPD-Bundestagsfraktion geben.“

Schwarz-Rot plant Frontalangriff auf Journalismus und Transparenz

Massiver Gegenwind

Der Koalitionsausschuss hatte am 2. Juli Pläne vorgestellt, die einer Abschaffung des Informationsfreiheitsgesetzes nahekommen. Arne Semsrott von FragDenStaat sprach vom „schwersten Angriff auf staatliche Transparenz in der Geschichte der Bundesrepublik“.

Die Pläne beinhalteten unter anderem, dass die Bürger:innen bei Informationsfreiheitsanfragen ein „berechtigtes Interesse“ vortragen müssen und nicht wie heute der Staat begründen muss, wenn er Dokumente nicht freigibt. Gleichzeitig sollten nur noch natürliche Personen und zudem nur noch Deutsche und EU-Bürger:innen Informationen anfragen dürfen.

Außerdem will die Koalition die Gebührenobergrenze von 500 Euro abschaffen, so könnten die Anfragen über Kosten noch mehr als heute abschreckend wirken. Einführen will der Koalitionsausschuss zudem ein generelles Schwärzen von Namen, was die Nachvollziehbarkeit der Informationen erschweren würde.

Gegen diese De-Facto-Abschaffung haben sich mehr als 100 zivilgesellschaftliche Organisationen ausgesprochen, darunter zahlreiche Medien- und Journalismusverbände. Auch die Bundesdatenschutzbeauftragte sowie die Konferenz der Informationsfreiheitsbeauftragten hatten die Pläne mit deutlichen Worten abgelehnt.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Eine Petition gegen das Vorhaben hat in kürzester Zeit mehr als 400.000 Unterzeichner:innen gesammelt. Nun ist der Widerstand gegen die Pläne in der SPD-Fraktion selbst angekommen.

Die Digitalorganisation D64 hat unterdessen eine Aktion „Rettet das Informationsfreiheitsgesetz!“ gestartet. In der Graswurzel-Kampagne stellt D64 Musteranträge für Parteimitglieder von Union und SPD bereit, damit sich dort unterschiedliche Parteigliederungen für das Informationsfreiheitsgesetz und gegen die geplanten Änderungen aussprechen können.

Update 15:25 Uhr:
Die Pläne der Bundesregierung lösen nun auch international Befürchtungen aus. Die Menschenrechtsorganisation Human Rights Watch fordert die Bundesregierung in scharfen Worten auf, die geplante Abschaffung der Informationsfreiheit zu stoppen. Die Pläne würden „grundlegende Menschenrechte gefährden, die für Transparenz und die Beteiligung der Öffentlichkeit in einer rechtsstaatlichen Demokratie unerlässlich sind.“

 


Dokument


 

  • Dokument: Positionspapier der AG Inneres, AG Digitales und AG Recht der SPD-Bundestagsfraktion zur Informationsfreiheit
  • Datum: Juli 2026

„Das Informationsfreiheitsgesetz (IFG) ist in diesem Jahr 20 Jahre alt geworden und die einfachgesetzliche Aktivierung des Grundrechts der Informationsfreiheit hat sich mit dem voraussetzungslosen Informationszugang bewährt. Ein moderner Staat und eine moderne Verwaltung braucht Transparenz.

Die SPD-Bundestagsfraktion unterstützt daher das Vorhaben, das Informationsfreiheitsgesetz (IFG) unter Wahrung des Rechts auf Informationszugang weiterzuentwickeln, zu vereinfachen und verständlicher sowie transparenter zu machen. Maßgabe dazu ist die Vereinbarung des Koalitionsvertrages, nach der wir das Informationsfreiheitsgesetz in der bisherigen Form wir mit einem Mehrwert für Bürgerinnen und Bürger und Verwaltung reformieren wollen. Dazu zählt insbesondere die Digitalisierung des Bearbeitungsprozesses, denn es ist nicht nachvollziehbar, dass die Bundesverwaltung auch nach 20 Jahre nach Inkrafttreten des IFG die Akten noch händisch schwärzt.

Selbstverständlich muss auch angesichts der dramatisch veränderten Sicherheitslage überprüft werden, ob die staatliche Resilienz und der Schutzbedarf etwa der kritischen Infrastrukturen sichergestellt ist. Nach unserer Einschätzung enthält das IFG die notwendigen Vorschriften zum Schutz der berechtigen staatlichen Sicherheitsbelange, die den Schutz seit zwanzig Jahren ausnahmslos gewährleistet haben. Überprüft werden müssen aber Veröffentlichungspflichten in den Spezialgesetzen etwa zu kritischen Infrastrukturen, da sich hier möglicherweise heute andere Einschätzungen ergeben. Es darf nicht zu einer Reduzierung der bestehenden Auskunftsansprüche für Bürgerinnen und Bürger, für Presse und Zivilgesellschaft kommen. Für eine Abschaffung des bisherigen Transparenzniveaus des Informationsfreiheitsgesetzes wird es keine Zustimmung der SPD-Bundestagsfraktion geben.“



Source link

Weiterlesen

Datenschutz & Sicherheit

ArcGIS Enterprise: Wichtiger Patch sichert Geoinformationssystem-Plattform ab


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Über seinen Warn- und Informationsdienst hat das Computer Emergency Response Team (CERT) des BSI in einem aktuellen Sicherheitshinweis nochmals auf die Dringlichkeit des seit Ende Juni verfügbaren Portal for ArcGIS Security 2026 Update 2 Patches für Esri ArcGIS Enterprise hingewiesen.

Weiterlesen nach der Anzeige

Das auf Geoinformationssysteme (GIS) spezialisierte Softwareunternehmen Esri hatte Administratoren in einem auf den 18. Juni datierten und im Anschluss offenbar mehrfach aktualisierten Security-Bulletin dringend dazu geraten, das Update innerhalb von zwei Wochen einzuspielen.

Wer dies bislang noch nicht getan hat, sollte jetzt handeln: Die Aktualisierung schließt zwei Sicherheitslücken, von denen eine als kritisch eingestuft wurde und für die mittlerweile auch CVE-IDs und weiterführende Informationen vorliegen. Im Bulletin berichtet Esri zudem, dass laut Kundenberichten unsichere Account-Wiederherstellungsmechanismen für gezielte Angriffe missbraucht worden seien.

Verwundbar sind laut Bulletin „Portal for ArcGIS“-Versionen bis einschließlich 12.1 – und zwar grundsätzlich nur dann, wenn im ArcGIS-Enterprise-Deployment vorangelegte (“built-in“) Accounts aktiviert sind.

Die beiden Sicherheitslücken mit den IDs CVE-2026-13019 (CVSS-Base-Score 9.8, „critical“) und CVE-2026-13020 (8.1, „high“) fußen auf einem fehlenden Authentifizierungsmechanismus für eine nicht näher bezeichnete kritische Funktion beziehungsweise auf schwachen Passwort-Wiederherstellungsmechanismen. Beide könnten aus der Ferne und ohne vorherige Authentifizierung missbraucht werden, um auf eine ungeschützte Programmbibliothek zuzugreifen (CVE-2026-13019) oder um sich Zugriff auf den angegriffenen Nutzeraccount zu verschaffen (CVE-2026-13020).

Laut Esris Security Bulletin bannt der verfügbare Sicherheitspatch die Gefahr unter anderem dadurch, dass er die bisherige, auf einer Sicherheitsabfrage („recovery question“) basierende Passwortwiederherstellungsfunktion aus der Software entfernt. Dies führe unter Umständen dazu, dass je nach Konfiguration die verantwortlichen Admins oder aber die Nutzer selbst ihre bisherigen Passwörter zurücksetzen müssen.

Hinweise zur Vorgehensweise sowie grundsätzliche Tipps zur besseren Absicherung und Konfiguration von ArcGIS Enterprise sind dem Bulletin sowie auch den detaillierten Relase-Notes zum Patch zu entnehmen.

Weiterlesen nach der Anzeige


(ovw)



Source link

Weiterlesen

Beliebt