Angreifer können Systeme mit IBM Db2 und Business Automation Workflow attackieren und im schlimmsten Fall Root-Rechte erlangen, um PCs zu kompromittieren. Sicherheitspatches stehen zum Download bereit.

Mehrere Softwareschwachstellen

Wie aus einer Warnmeldung hervorgeht, ist Business Automation über drei mit dem Bedrohungsgrad „mittel“ eingestufte Sicherheitslücken (CVE-2025-54121, CVE-2025-50181, CVE-2025-50182) attackierbar. Sind Attacken erfolgreich, können Nutzer etwa keine neuen Verbindungen mehr zur Anwendung aufbauen. Dagegen ist die Version 24.0.0-IF007 gerüstet.

Da die Auflistung aller jüngst geschlossenen Sicherheitslücken in Db2 und Sicherheitspatches den Rahmen dieser Meldung sprengt, finden Admins weiterführende Informationen in den unterhalb dieses Beitrags verlinkten Warnmeldungen. An dieser Stelle gehen wir nur auf die am gefährlichsten eingestuften Schwachstellen ein.

So können entfernte Angreifer etwa auf eigentlich geschützte Informationen zugreifen. Für diese Lücke wurde offensichtlich noch keine CVE-Nummer vergeben. Ansatzpunkt ist die mangelnde Überprüfung von Eingaben im Kontext von Apache Commons Codec.

Bei bestimmten, nicht näher beschriebenen Konfigurationen, können lokale Angreifer Schadcode ausführen und sich anschließend zum Root-Nutzer hochstufen (CVE-2025-36186 „hoch„). In so einer Position erlangen Angreifer in der Regel die volle Kontrolle über Systeme.

Weiterhin sind noch unter anderem DoS-Attacken und unberechtigte Zugriffe auf Instanzen möglich.

Anfang November haben IBMs Entwickler InfoSphere gegen DoS-Attacken gerüstet.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)

In Synologys BeeStation haben IT-Sicherheitsforscher auf der Pwn2Own 2025 in Irland eine als kritisches Risiko eingestufte Sicherheitslücke aufgedeckt. Updates stehen bereit, um sie zu schließen.

In einer Sicherheitsmitteilung von Synology beschreibt der Hersteller vorerst lediglich, dass Angreifer aus der Ferne beliebigen Code ausführen können (CVE-2025-12686, CVSS 9.8, Risiko „kritisch„). Synology gibt jedoch noch an, dass es sich um eine Lücke mit der Common-Weakness-Enumeration (CWE) CWE-120 handelt: „Pufferkopie ohne Größenprüfung der Eingabe (‚Klassischer Pufferüberlauf‘)“; etwas weniger stakkatoartig auch als „das Produkt kopiert einen Eingabepuffer in einen Ausgabepuffer, ohne zu überprüfen, ob die Größe des Eingabepuffers kleiner ist als die Größe des Ausgabepuffers“ umschrieben.

Die Sicherheitslücke betrifft das Betriebssystem BeeStation OS 1.0, 1.1, 1.2 und 1.3. Synology hat am 30. Oktober bereits die Version BeeStation OS 1.3.2-65648 veröffentlicht, die das Sicherheitsleck stopfen soll.

Eigene Cloud

Synology bewirbt die BeeStations als Systeme, um eine eigene, private Cloud aufzubauen – explizit als Alternative zu Public-Cloud-Systemen. Als Zielgruppe nennt Synology dafür sowohl Privatnutzer wie Familien als auch Teams im Unternehmensumfeld. Admins sollten nicht zögern und prüfen, ob die bereitstehende Aktualisierung bereits auf ihrer BeeStation angekommen und aktiv ist und gegebenenfalls manuell nachholen, sie zu installieren.

Neben den BeeStations waren NAS-Produkte von Qnap ein beliebtes Ziel auf der Pwn2Own 2025, die Entwickler mussten gleich einen Schwung an Sicherheitslücken abdichten. Auch Qnap hält die CVE-Einträge selbst noch zurück, sie behandeln unter anderem als kritisches Risiko eingestufte Schwachstellen. Im Vorjahr hatte Synology ebenfalls Sicherheitslücken geschlossen, die auf der damaligen Pwn2Own-Veranstaltung demonstriert wurden.

(dmk)

Seit dreieinhalb Jahren streiten die EU-Institutionen über die Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Die EU-Staaten konnten sich bisher nicht auf eine gemeinsame Position einigen. Vor zwei Wochen hat die dänische Ratspräsidentschaft einen neuen Kompromiss vorgeschlagen. Internet-Dienste sollen freiwillig Chats kontrollieren dürfen, aber nicht dazu verpflichtet werden.

Letzte Woche haben die Ständigen Vertreter der EU-Staaten den Vorschlag diskutiert. Wir veröffentlichen ein weiteres Mal das eingestufte Protokoll der Sitzung.

Die Vertreter diskutierten auf Basis eines vier-seitigen Debatten-Papiers. Am Tag darauf hat die dänische Ratspräsidentschaft einen neuen Gesetzentwurf verschickt, den wir ebenfalls veröffentlichen.

Geisel des Datenschutzes

Die Ratspräsidentschaft sagte zum eigenen Kompromissvorschlag, „dass man sich mehr erhofft habe und mit dem eigenen Vorschlag nicht glücklich sei“. Dänemark hätte die verpflichtende Chatkontrolle gern durchgesetzt. „Die Möglichkeiten seien aber erschöpft.“

Für die Kommission sei es „sehr schwer zu akzeptieren, dass man es nicht geschafft habe, die Kinder besser vor sexuellem Missbrauch zu schützen“. Die Kommission dankte „allen Anwesenden, die versucht hätten, ein anderes und besseres Ergebnis zu erzielen“.

Einige Staaten drückten ebenfalls „ihr Bedauern aus, keine bessere Lösung gefunden zu haben“. Frankreich nutzte drastische Worte: „Wir sind eine Geisel des Datenschutzes und müssen einem Weg zustimmen, den wir eigentlich für nicht ausreichend erachten, nur weil uns nichts anders übrigbleibt.“

Gegen vermeintliche Überwachung

Der Juristische Dienst des EU-Rats hat die Chatkontrolle als rechtswidrig bezeichnet. Die Kommission lässt sich von solcher Kritik nicht beeindrucken. Stattdessen fordert sie: „Mit Blick auf die Zukunft gelte es, bei vergleichbaren Dossiers besser zu kommunizieren.“

Auch die Ratspräsidentschaft kritisiert die Medien: „Jene Medien, die heute gegen vermeintlich vorgesehene Überwachungsmaßnahmen anschreiben, [würden] schon morgen den Staat dafür kritisieren, seine Kinder nicht hinreichend zu schützen.“

Kinderschutz statt Chatkontrolle

Von Anfang an schreiben wir gegen die Chatkontrolle. Noch länger kritisieren wir den Staat für mangelnden Kinderschutz. Schon vor dem Chatkontrolle-Gesetzentwurf kritisierten wir, dass Polizei und Strafverfolger pädokriminelle Inhalte nicht löschen, sondern online lassen. Das passiert bis heute. Eine Bund-Länder-Gruppe hat einen Bericht dazu verfasst. Der soll jedoch geheim bleiben und nicht öffentlich werden.

Die Vorwürfe erinnern an die Auseinandersetzung zu Netz-Sperren in Deutschland um 2010. Schon damals hat die Bundesregierung keine umfassenden Kinderschutz-Konzepte entwickelt, sondern sich ausschließlich auf Netz-Sperren konzentriert. Die Gegner bewiesen, dass Löschen statt Sperren effektiver und nachhaltiger ist. Seitdem beweist die Bundesregierung jedes Jahr, dass wir recht hatten.

Auch in der Debatte um die Chatkontrolle gibt es viele konkrete Vorschläge für besseren Kinderschutz. Die Chatkontrolle-Befürworter verhindern, über diese konkreten Lösungen zu sprechen.

Keine weiteren Änderungen

Die Ratspräsidentschaft erhielt in der Sitzung für ihren Kompromissvorschlag „ohne Gegenstimme breite Unterstützung“. Mehrere EU-Staaten forderten, „über die von der dänischen Präsidentschaft vorgeschlagenen Änderungen hinaus keine weiteren Streichungen vorzunehmen“.

Auch der Vertreter Deutschlands empfiehlt der Bundesregierung, „die dänische Präsidentschaft weiterhin zu unterstützen“. Deutschland soll „aktiv dafür eintreten“, dass „keine weiteren Änderungen am bereits bekannten Rechtstext vorgenommen werden“.

Das sahen nicht alle Verhandler so. Die Kommission und einige Staaten wie Spanien und Ungarn forderten, die „Pflicht zur Aufdeckung von Missbrauchsdarstellungen […] zumindest für öffentlich zugängliche Webseiten beizubehalten“. Das lehnte die Ratspräsidentschaft ab, weil damit neue Fragen aufkommen und Zeit verloren geht.

Die Bundesdatenschutzbeauftragte kritisierte am Tag der Rats-Verhandlungen weitere Teile des Gesetzentwurfs. Freiwilliges Scannen erfolgt ohne Rechtsgrundlage und damit rechtswidrig. Ein Ausschuss von Jugendlichen schränkt digitale Teilhabe ein. Eine verpflichtende Altersverifikation kann zur weitgehenden Abschaffung der Anonymität im Netz führen. Und Berichtspflichten für Diensteanbieter schaffen Anreize, Scanning als faktisch verpflichtend durchzuführen.

Einvernehmen zur Stoßrichtung

Die EU-Staaten diskutierten diese Elemente am Mittwoch nicht. Die Ständigen Vertreter sprachen ausschließlich über das vier-seitige Debatten-Papier. Die Ratspräsidentschaft schlussfolgerte, dass „dass Einvernehmen zur vorgeschlagenen neuen Stoßrichtung bestehe“.

Am Donnerstag hat die dänische Ratspräsidentschaft einen neuen Gesetzentwurf verschickt. Übermorgen tagt wieder die Arbeitsgruppe Strafverfolgung. Dort werden die Staaten den Gesetzentwurf detailliert besprechen.

Hier das Dokument in Volltext:

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 5. November 2025
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BKAmt, BMF, BMI, BMJ, BMWE
• Betreff: 3003. AStV (2. Teil) vom 5. November 2025
• Hier: TOP 36: (Child Sexual Abuse) Einigung auf „way forward“
• Zweck: Zur Unterrichtung
• Geschäftszeichen: Pol 350.1.3
• DKOR-ID: BRUEEU_2025-11-05_77277

Child Sexual Abuse: Einigung auf „way forward“

I. Zusammenfassung und Wertung

DNK PRÄS erhielt im heutigen AStV ohne Gegenstimme breite Unterstützung für das von ihnen vorgeschlagene (in Dokument 14032/25 skizzierte) weitere Vorgehen zur „Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“.

In einem eindrücklichen Appell dankte KOM allen Anwesenden, die versucht hätten, ein anderes und besseres Ergebnis zu erzielen. Die über Internetplattformen geteilten Bilder und Filme seien regelmäßig die einzige Möglichkeit für Strafverfolgungsbehörden, um überhaupt auf sexuellen Missbrauch von Kindern aufmerksam zu werden. Die betroffenen Kinder seien meist zu jung, um zu verstehen, was ihnen widerfährt; zudem stammten die Täter nicht selten aus dem näheren Umfeld. Die von den Unternehmen (im Rahmen der freiwilligen Kooperation) bei der Aufdeckung kinderpornographischen Bildmaterials genutzten Technologien seien dieselben, die auch zur Bekämpfung von Malware und Spam eingesetzt würden: Hier wie dort gebe es keinen Einblick in Inhalte, von einer Überwachung könne deshalb keine Rede sein. Im Internet gebe es eine regelrechte Flut von Bildern und Filmen, die sexuellen Missbrauch darstellten und die Opfer immer und immer wieder an die schlimmsten Momente ihres Lebens erinnerten. Dass allein diese Bilder eine schwerwiegende Verletzung der Grundrechte der Opfer bedeuten, finde in der Diskussion aber kaum Beachtung. Insgesamt sei es für KOM sehr schwer zu akzeptieren, dass man es nicht geschafft habe, die Kinder besser vor sexuellem Missbrauch zu schützen. Es sei nun aber richtig und wichtig, voranzuschreiten, da man sich in einem Wettlauf mit der Zeit befinde. KOM dankte in diesem Zusammenhang der DNK PRÄS ausdrücklich für ihr hohes Tempo. Es müsse weiterhin alles getan werden, um die durch das Auslaufen der Interims-VO im April 2026 drohende Verschlechterung des heutigen Status Quo soweit möglich zu vermeiden (ebenso GRC). Das Bewusstsein, dass die Zeit drängt und die Triloge dauern werden, müsse nun auch in den Hauptstädten reifen. Mit Blick auf die Zukunft gelte es, bei vergleichbaren Dossiers besser zu kommunizieren.

Vorsitz stimmte diesen Ausführungen zu und merkte an, dass jene Medien, die heute gegen vermeintlich vorgesehene Überwachungsmaßnahmen anschreiben, schon morgen den Staat dafür kritisieren würden, seine Kinder nicht hinreichend zu schützen.

Mehrere MS drückten ihr Bedauern aus, keine bessere Lösung gefunden zu haben (FRA: „Wir sind eine Geisel des Datenschutzes und müssen einem Weg zustimmen, den wir eigentlich für nicht ausreichend erachten, nur weil uns nichts anders übrigbleibt“; weniger drastisch auch ESP, HUN, IRL, EST). Einige wiesen auf für sie wichtige Punkte hin, ohne dass sich hierzu ein einheitliches Bild ergeben hätte. Ich unterstützte den DNK Vorgehensvorschlag und betonte u.a. die große Bedeutung des EU-Zentrums.

Abschließend schlussfolgerte Vorsitz, dass Einvernehmen zur vorgeschlagenen neuen Stoßrichtung bestehe. DNK PRÄS werde den vorliegenden Rechtstext entsprechend überarbeiten und schnellstmöglich vorlegen.

II. Handlungsempfehlungen

Wir sollten DNK PRÄS weiterhin unterstützen und dabei schon aus Zeitgründen aktiv dafür eintreten, dass über die heute im AStV konsentierten Neuerungen hinaus keine weiteren Änderungen am bereits bekannten Rechtstext vorgenommen werden.

III. Im Einzelnen

Vorsitz skizzierte eingangs entlang Dokument 14032/25 (liegt in Berlin vor) das bisherige, erfolglose Vorgehen und den infolgedessen unterbreiteten Vorschlag, verpflichtende Aufdeckungsanordnungen aus der Verordnung zu streichen und eine dauerhafte Verlängerung der freiwilligen Zusammenarbeit nach der Interim-VO aufzunehmen. Vorsitz betonte dabei, dass man sich mehr erhofft habe und mit dem eigenen Vorschlag nicht glücklich sei, da er polizeiliche Belange und damit den Schutz von Kindern vor sexuellem Missbrauch abschwäche. Die Möglichkeiten seien aber erschöpft.

Einige MS wiesen auf für sie bedeutsame Punkte hin: Es sei wichtig, über die von DNK PRÄS vorgeschlagenen Änderungen hinaus keine weiteren Streichungen vorzunehmen, auch wenn der Mehrwert des Verordnungstexts an manchen Stellen infolge der Herausnahme verpflichtender Aufdeckungsanordnungen geringer ausfalle (FRA). Der Bürokratieaufwand sei möglichst gering zu halten (HUN). Eine Pflicht zur Aufdeckung von Missbrauchsdarstellungen solle zumindest für öffentlich zugängliche Webseiten beibehalten werden (ESP, HUN; ebenso KOM; ablehnend aber DNK PRÄS unter Hinweis auf damit einhergehende neue Fragen und infolgedessen drohenden weiteren Zeitverlusts).

Ich unterstützte den DNK Vorgehensvorschlag. DEU messe der Bekämpfung der Kinderpornographie höchste Priorität bei, eine Verstetigung der rechtlichen Grundlage bei Beachtung von Grundrechten sei von großer Bedeutung. Die Einrichtung des EU-Zentrums werde einen wichtigen Mehrwert leisten. DNK PRÄS und KOM wiesen daran anknüpfend ausdrücklich darauf hin, dass das EU-Zentrum auch ohne verpflichtende Aufdeckungen einen Mehrwert biete, etwa beim Risikomanagement, bei der Entwicklung technischer Maßnahmen zur Risikominimierung, bei der Entgegennahme von Hashwerten und der Einstufung des entsprechenden Bildmaterials als kinderpornographisch, bei der Prävention und bei der Opferbetreuung. Längerfristig sei es zudem von Vorteil, eine europäische Unabhängigkeit vom in den USA angesiedelten NCMEC zu erreichen.

Weitere Wortmeldungen blieben sehr kurz: EST unterstütze das DNK Vorgehen ausdrücklich. CZE gab an, aufgrund der neuen Regierung keine Position zu haben. LUX und SWE bekannten sich zum Kindesschutz und gaben an, sich nach Vorlage des Rechtstextes näher zu äußern.