Wir haben uns ein Ziel gesetzt: mehr Reichweite. Das kann erstmal vieles bedeuten. Beim Auto ist es die Zahl der Kilometer, die mit einer Tankfüllung oder Akkuladung zurückgelegt werden. In der Werbung geht’s um möglichst viele Menschen, die eine Anzeige zu sehen bekommen. Wir aber wollen vor allem neue Leser:innen erreichen. Denn wir sind überzeugt, dass unsere Artikel noch weit mehr Menschen interessieren könnten – vor allem jene, die uns vielleicht bislang gar nicht kennen.

Drei Dinge möchten wir dafür in den kommenden Monaten tun. Erstens frischen wir unsere Website auf. So viel sei verraten: Wir sichten bereits die ersten Entwürfe und sind schon sehr gespannt, wie ihr den neuen Anstrich finden werdet! Zweitens hat vor wenigen Tagen Fio bei uns angefangen. Als Werkstudierender wird er uns dabei unterstützen, unsere Texte, Recherchen und Kampagnen in den sozialen Medien bekannter zu machen. Und drittens hilft uns ab kommenden Jahr eine neue Software dabei, mehr und schnelleren Überblick zu unseren Spendeneinnahmen zu bekommen und die besser auszuwerten. Monat für Monat unterstützen uns viele Tausend Menschen mit durchschnittlich 8 Euro, damit wir unsere Arbeit machen können. Wir freuen uns auf das Upgrade!

Die harten Zahlen

Das Projekt Reichweite erstreckt sich vorerst bis Ende 2027. Aus unseren Rücklagen sind dafür insgesamt 200.000 Euro reserviert. Ungefähr ein Drittel davon geben wir für den Website-Relaunch und für die Implementierung der neuen Spendensoftware aus. Die neu geschaffenen Stellen für die Kampagnenarbeit in den sozialen Medien und für die Spendenverwaltung sind mit diesem Projekt auf bis zu drei Jahre langfristig finanziert. Da wir vorsichtig haushalten, haben wir einen Puffer von 7 Prozent einkalkuliert. Über die weitere Umsetzung und zur Mittelverwendung im Projekt Reichweite halten wir euch in den kommenden Transparenzberichten auf dem Laufenden.

Und damit zu den Zahlen des zweiten Quartals dieses Jahres. In den Monaten April, Mai und Juni erreichen uns bisher die geringsten Spendeneinnahmen im Jahresdurchschnitt. Gespendet habt ihr uns im zweiten Quartal insgesamt 174.320 Euro. Das ist quasi eine Punktlandung zu den von uns geplanten 174.000 Euro.

Unsere Spendeneinnahmen

Der Anteil der Einnahmen aus Spenden beträgt im zweiten Quartal 93 Prozent unserer Gesamteinnahmen, die sich auf 190.700 Euro belaufen. Das sind im Durchschnitt pro Monat 63.600 Euro. Um unsere monatlichen Ausgaben zu finanzieren, brauchen wir rund 100.000 Euro an monatlichen Einnahmen. Diese Lücke tut sich jedes Jahr ab Februar auf und schließt sich erst wieder zur Jahresendkampagne ab Mitte November. Wir halten unterjährig eine mittlere sechsstellige Summe aus dem Spendenergebnis der vorangegangenen Jahresendkampagne an Liquidität vor. Damit zahlen wir die Gehälter und Rechnungen in den Monaten, in denen die Einnahmen unter unseren Ausgaben liegen.

Ihr wisst, dass wir von all unseren Unterstützer:innen schwer begeistert sind. Und je mehr Menschen uns regelmäßig unterstützen, desto langfristiger können wir planen. Deshalb bitten wir euch regelmäßig, Dauerspender:in zu werden. Ende August haben wir eine Dauerspendenkampagne abgeschlossen. Wie die gelaufen ist, erzählen wir im nächsten Quartalsbericht.

Bei den Ausgaben im zweiten Quartal liegen die Personalkosten bei 217.313 Euro und damit rund 9.600 Euro unter den anvisierten Kosten unseres Stellenplans. Das liegt am Tarifabschluss im öffentlichen Dienst. netzpolitik.org zahlt Einheitslohn und fühlt sich bei der Gehaltshöhe dem TVöD Bund (EG 13, Stufe 1) verpflichtet. Die mit dem Tarifabschluss einhergehende erste Phase der Gehaltserhöhung seit April haben wir bei der Budgetrechnung höher kalkuliert als sie eingetroffen ist.

In den Sachkosten haben wir für das erste Quartal 70.236 Euro ausgegeben, rund 4.500 Euro weniger als gedacht. Hier sind alle Ausgabenbereiche unauffällig oder liegen unter dem Plan, da zum Beispiel Beratungskosten (noch) nicht abgerufen wurden. Im Bereich Spendenverwaltung haben wir für die Datenaufbereitung mehr verausgabt als geplant. Diese Kosten entstehen jährlich vor der Versendung der Zuwendungsbestätigungen. Dieses Jahr haben wir für eine Teilautomatisierung dieser Datenaufbereitung Geld in die Hand genommen.

Insgesamt haben wir für Sach- und Personalkosten im zweiten Quartal 287.549 Euro verausgabt. Hier liegen wir mit rund 14.220 Euro unter unserer Kalkulation für dieses Quartal. Im Verhältnis zu unseren gesamten Ausgaben wenden wir für die Redaktion inklusive der IT-Infrastruktur einen Anteil von 70 Prozent auf.

Im Bereich „Unvorhergesehenes“ – kalkulatorische fünf Prozent der Sachkosten – haben wir mit 6.800 Euro fast doppelt so viel ausgegeben als im Budget vorgesehen. Damit haben wir einen Schaden bereinigt, der uns von der Versicherung erstattet wurde. Daher fallen unsere sonstigen Einnahmen entsprechend höher als geplant aus.

Das vorläufige Ergebnis

Wir schließen das zweite Quartal mit einem Ergebnis in Höhe von -96.850 Euro ab. Erwartet hatten wir -123.120 Euro. Somit haben wir dank eures Spenden-Engagements und den zuvor beschriebenen Minderausgaben derzeit 26.270 Euro weniger zu finanzieren als geplant. Wir setzen darauf, dass sich diese Tendenz im Jahresverlauf hält. Danke für euren substanziellen Support!

Wenn ihr uns unterstützen möchtet, findet ihr hier alle Möglichkeiten. Am besten ist eine monatliche Dauerspende. Damit können wir langfristig planen:

Inhaber: netzpolitik.org e.V.
IBAN: DE62430609671149278400
BIC: GENODEM1GLS
Zweck: Spende netzpolitik.org

Wir freuen uns auch über Spenden via Paypal.

Wir sind glücklich, die besten Unterstützer:innen zu haben.

Unseren Transparenzbericht mit den Zahlen für das 1. Quartal 2025 findet ihr hier.

Vielen Dank an euch alle!

Nvidias KI- und Netzwerktechnik BlueField, ConnectX, Cumulus Linux, DGX, DOCA, HGX und Mellanox DPDK sind verwundbar. Nach erfolgreichen Attacken können sich Angreifer in den meisten Fällen höhere Nutzerrechte erschleichen. Bislang gibt es noch keine Berichte zu laufenden Attacken. Sicherheitspatches sind verfügbar.

Die Gefahren

Wie aus einer Warnmeldung hervorgeht, gilt eine Lücke (CVE-2025-23256, Risiko „hoch„) in BlueField am gefährlichsten. Hier können Angreifer unter anderem Daten manipulieren. Dafür müssen sie aber lokalen Zugriff auf das Managementinterface haben. Ist das gegeben, können sie an einer kaputten Authentifizierung ansetzen und sich so unbefugt Zugriff verschaffen, um die Konfiguration des Systems zu manipulieren. Wie solche Angriffe konkret ablaufen könnten, ist bislang unklar.

Über die Schwachstellen in DOCA (CVE-2025-23257 „hoch„, CVE-2025-23258 „hoch„) können sich Angreifer höhere Nutzerrechte verschaffen. Damit das klappt, müssen sie aber bereits über niedrige Rechte verfügen. Auf Mellanox DPDK, ConnectX und Cumulus Linux sind unter anderem DoS-Attacken möglich. Klappt ein solcher Angriff, stürzen Dienste oder Services ab. Außerdem können Angreifer auf eigentlich abgeschottete Daten zugreifen. Im Kontext von DGX und HGX sind ebenfalls für DoS-Angriffe anfällig.

Updates installieren

Die Nennung aller Sicherheitspatches sprengt den Rahmen dieser Meldung. Nvidia hat sie in ihren Warnmeldungen aufgelistet. Um mögliche Attacken vorzubeugen, sollten Admins sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind.

Erst kürzlich haben die Entwickler von Nvidia mehrere Sicherheitslücken in KI-Software wie Apex und Megatron LM geschlossen.

(des)

Eine Zertifizierungsstelle (CA) aus Kroatien hat mehrere Zertifikate für die IP-Adresse 1.1.1.1 ausgestellt, ohne die notwendige Genehmigung dafür eingeholt zu haben. Die Adresse gehört zu Cloudflares frei nutzbarem DNS-Server, der auch Anfragen per verschlüsselter HTTP-Verbindung entgegennimmt. Publik wurde der Lapsus eher zufällig, die CA leistete sich jedoch noch mehr Schnitzer.

Digitale Zertifikate sind essenziell für die sichere Kommunikation im Web, daher ist ihre Vergabe an strenge Richtlinien gebunden. Die kroatische CA Fina hielt sich an diese Richtlinien offenbar nicht immer – und das, obwohl sie zumindest in Microsoft-Browsern und der EU-Infrastruktur für qualifizierte Webseiten-Zertifikate (QWAC) als vertrauenswürdig gilt.

Ein Nutzer des Forums Hacker News fand ein von Fina ausgestelltes Zertifikat, das ihm seltsam vorkam und mit dem er eine weitreichende Untersuchung in Gang setzte. Es war für die IP-Adresse 1.1.1.1 ausgestellt, die das US-Unternehmen Cloudflare seit 2018 für einen freien DNS- und VPN-Dienst verwendet. Dieser unterstützt auch DNS over HTTPS (DoH) und braucht dafür ein gültiges Zertifikat. Das stammt jedoch nicht von Fina, sondern von DigiCert – die kroatische CA hatte die IP-Adresse offenbar nur für Testzwecke verwendet.

Unerlaubte Test-Zertifikate für Cloudflare-IP

Das hätte sie aber nicht gedurft. Denn: Um ein digitales Zertifikat zu erhalten, muss der Antragsteller seine Berechtigung am Subjekt des Zertifikats – üblicherweise eines vollqualifizierten Domainnamens (FQDN) oder einer IP-Adresse – nachweisen. Das gilt auch, wenn die CA selber ein Zertifikat ausstellt, etwa zu Testzwecken. Und so landete der Vorgang rasch auf der zuständigen Mailingliste des Browserherstellers Mozilla und rief die Experten auf den Plan.

Die stellten fest, dass es beileibe nicht beim Einzelfall geblieben war – neben einem halben Dutzend Zertifikaten für 1.1.1.1 hatte Fina auch eines für die von Oracle verwaltete IP-Adresse 2.2.2.2 ausgestellt, einige für private IP-Adressen aus dem Netz 10.0.0.0/8 – und bisweilen hatten die Kroaten erstaunliche Kreativität beim Umgang mit Hostnamen bewiesen. Und das nicht seit gestern: Die Historie der 1.1.1.1-Testzertifikate beginnt im Februar 2024, mithin vor anderthalb Jahren.

Cloudflare zürnt, CA wiegelt ab

Der US-Konzern ist wenig amüsiert und findet in einem ausführlichen Blogeintrag deutliche Worte für den Fauxpas: Es handele sich um einen „inakzeptablen Sicherheitsverstoß der Fina CA“. Wer ihr weiter vertraue, solle unmittelbar handeln, um diese Entscheidung zu überprüfen – offenbar ein Wink mit dem digitalen Zaunpfahl gen Redmond. Zudem führte Cloudflare eine Untersuchung durch, die weitere Sicherheitsverstöße ans Licht bringen sollte, etwa durch „Man in the Middle“-Angriffe oder BGP-Hijacks der IP-Adresse 1.1.1.1.

Cloudflare lobte zudem das Programm der „Certificate Transparency“, das seit Jahren CAs verpflichtet, jedes ausgestellte Zertifikat in ein „Ewiges Logfile“ zu schreiben, das über Dienste wie Censys oder crt.sh einsehbar ist. Doch auch deutliche Selbstkritik erspart der Internetkonzern sich nicht: Man habe das fälschlich ausgestellte Zertifikat zu spät bemerkt und werde nun zusätzliche Maßnahmen ergreifen, um künftig schneller von derlei Problemen zu erfahren.

Die betroffene CA hatte sich zunächst gegenüber Cloudflare gerechtfertigt, tat dies später aber auch öffentlich im Mozilla-Bugtracker. Man habe die IP-Adresse versehentlich zu Testzertifikaten hinzugefügt, die jedoch nie außerhalb der Fina-eigenen Testumgebung in Gebrauch gewesen seien. Alle Zertifikate seien mittlerweile zurückgezogen („revoked“) und werde interne Prozeduren und Dokumentation verbessern.

Auswirkungen: für Nutzer gering, Verursacher muss zittern

Ob dieses Versprechen den gestrengen Hütern der Web-PKI genügt, darf man getrost bezweifeln. Die im CA/Browser Forum (CAB) organisierten Hersteller von Webbrowsern und Vergabestellen digitaler Vertrauensnachweise nehmen Verstöße wie diesen nie auf die leichte Schulter. Microsoft bekommt dies derzeit zu spüren und muss wegen eines Tippfehlers bis November Millionen Zertifikate zurückziehen, anderen CAs entzogen CAB-Mitglieder kurzerhand das Vertrauen komplett.

Für die kroatische CA steht immerhin die Verankerung in Microsofts und Adobes Produkten auf dem Spiel und auch die Betreiber der EU-Infrastruktur für qualifizierte Webzertifikate (QWAC) dürften sich den Vorgang sehr genau anschauen. Nutzer des DNS-Dienstes 1.1.1.1 hingegen dürfen aufatmen: Dass ihnen Gefahr drohte, etwa durch abgefangene DNS-Abfragen, ist höchst unwahrscheinlich.

(cku)