Die Groupware Zimbra weist wie jede andere Software regelmäßig Sicherheitslücken auf, die durch aktualisierte Pakete geschlossen werden. So wurde erst diese Woche eine hochriskante Cross-Site-Scripting-Schwachstelle darin bekannt. Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) bemängelt jedoch, dass ein großer Anteil der rund 1500 in Deutschland stehenden Zimbra-Server noch einen alten, verwundbaren Softwarestand aufweist.

Die oberste IT-Sicherheitsbehörde Deutschlands schreibt dort: „Es wird – auch von uns – immer wieder auf Exchange-Server geschimpft, die noch mit veralteten und verwundbaren Versionen laufen“. Bei Alternativen wie Zimbra sehe es besser, aber auch nicht rosig aus. „Von den uns bekannten ca. 1500 Zimbra-Servern in Deutschland laufen aktuell 40% mit einer nicht mehr vom Hersteller unterstützten Version (10.0 und älter) oder sind noch für kritische Schwachstellen wie CVE-2025-68645 verwundbar.“

Zimbra: Aktuelle hochriskante Sicherheitslücken

Bei der genannten Schwachstelle handelt es sich um eine File-Inclusion-Lücke, bei der Angreifer aus dem Netz ohne Anmeldung sorgsam präparierte Anfragen an den API-Endpunkt „/h/rest“ richten und dadurch das Einbinden beliebiger Dateien aus dem Webroot-Verzeichnis erreichen können (CVE-2025-68645, CVSS 8.8, Risiko „hoch“). Betroffen sind Zimbra Collaboration (ZCS) 10.0 und 10.1. Erst in dieser Woche wurde zudem eine Stored-Cross-Site-Scripting-Lücke in der Classic-UI bekannt, die durch die „@import“-Direktive in HTML-E-Mails missbrauchbar ist (CVE-2025-66376, CVSS 7.2, Risiko „hoch“).

Auch diese Lücken betreffen Zimbra Collaboration (ZCS) 10.0 und 10.1, wobei die Zimbra-Versionen 10.0.18 und 10.1.13 aus dem November den sicherheitsrelevanten Fehler ausbessern. Auf diesem Stand sind offenbar lediglich 60 Prozent der Zimbra-Server, wie das BSI nun anmerkt. Admins sollten nicht lange fackeln, sondern zügig auf die jüngsten Versionen aktualisieren.

Über veraltete Exchange-Server beschwert sich das BSI regelmäßig seit vielen Jahren. Zuletzt hat die Behörde Ende Oktober davor gewarnt, dass noch mehr als 30.000 veraltete Exchange-Server mit nicht mehr unterstützten Versionen wie Exchange 2016 und 2019 in Deutschland im Netz erreichbar sind.

(dmk)

In Episode 150 des c’t-Datenschutz-Podcasts geht es um IT-Forensik, insbesondere die digitale Spurensicherung nach Cyberangriffen und bei Verdachtsfällen im Unternehmen. Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich haben dazu Joanna Lang-Recht eingeladen. Sie leitet den Bereich Forensik bei der Intersoft Consulting Services AG und bringt einen ungewöhnlichen Werdegang mit: Nach einem Germanistikstudium wechselte sie zur IT-Security und erwarb zahlreiche Zertifizierungen im Bereich Forensik.

Lang-Recht beschreibt IT-Forensik als klassische Spurensuche, nur eben komplett digital. Ermittelt wird auf Laptops, Smartphones, Servern oder in ganzen IT-Landschaften. Ziel sei es, sauber zu rekonstruieren: Wer ist eingedrungen, welche Daten sind betroffen und wie groß ist der Schaden. Ihr Team identifiziert Spuren, sichert sie möglichst gerichtsfest und wertet sie neutral aus.

Schwerpunkt Ransomware

Den größten Teil ihrer Einsätze machen laut Lang-Recht Ransomware-Angriffe aus. Mehr als die Hälfte aller Vorfälle drehen sich um erpresste Unternehmen, deren Systeme verschlüsselt wurden. Feiertage gelten dabei als Hochrisikophase: IT-Abteilungen sind dünn besetzt, Angriffe werden später bemerkt, Schäden wachsen.

Ein heikles Thema ist das Zahlen von Lösegeld. Viele Unternehmen verhandeln tatsächlich mit den Erpressern, oft aus purer Not, weil Backups fehlen oder unbrauchbar sind. Lang-Recht schildert, dass diese kriminellen Gruppen professionell auftreten: mit eigenen Chatportalen, Support-Strukturen und einer Art Notrufsystem. Wer zahlt, erhält in der Regel auch funktionierende Entschlüsselungsschlüssel, sonst würde das kriminelle Geschäftsmodell zusammenbrechen.

Datenschutz im Blick

Neben externen Angriffen bearbeiten Forensik-Teams auch interne Fälle in Unternehmen: Verdacht auf Datendiebstahl durch Mitarbeitende, Wirtschaftsspionage oder Arbeitszeitbetrug. Hier sei besondere Vorsicht gefragt, erzählt Lang-Recht. Untersuchungen müssen eng am konkreten Verdacht bleiben, um nicht unnötig in private Daten einzudringen. Bring-your-own-Device-Modelle erschweren solche Ermittlungen erheblich und machen sie manchmal sogar unmöglich.

Im Spannungsfeld zwischen Aufklärung und Datenschutz betont Lang-Recht die Zusammenarbeit mit den Datenschutz-Aufsichtsbehörden der Länder. Meldungen zu Sicherheitsvorfällen laufen demnach meist pragmatisch ab, Nachfragen bleiben sachlich. Betroffenenrechte spielen laut Lang-Recht bei der Spurensuche eine Rolle, bremsen die Ermittlungen aber selten, solange die Datensicherung gut begründet ist. Vor jeder Analyse prüfe das Team, ob ein berechtigtes Interesse gemäß DSGVO vorliege und ob Privatnutzung der Geräte erlaubt war. Bei unklaren Situationen lehne man Aufträge ab.

Episode 150:

Hier geht es zu allen bisherigen Folgen:

(hob)

In den US-Bundesstaaten Florida, Texas, Colorado and New York handeln Google und Character Technologies Vergleiche mit fünf Familien aus, deren Kinder angeblich durch Chatbot-Nutzung zu Schaden gekommen sind. Der Fall, der die meiste Aufmerksamkeit erhielt, behandelt den Suizid eines 14-Jährigen Jungen. Der Jugendliche hatte eine emotionale Beziehung zum Chatbot „Dany“ von Character Technologies aufgebaut, der den Suizid des Jungen befürwortete.

In anderen Fällen hatten Chatbots von Character Technologies angeblich Jugendliche zu Gewalt gegen ihre Eltern oder selbstverletzendem Verhalten inspiriert. Die Bedingungen der Vergleiche sind bisher öffentlich nicht bekannt und werden nach Angaben von TechCrunch weiter verhandelt. Demnach wollen sich weder Sprecher*innen von Character Technologies, noch die Anwältin der Anklage dazu äußern.

Haften Techkonzerne für ihre Chatbots?

Zwei ehemalige Google-Mitarbeiter gründeten 2021 den Chatbot-Hersteller Character Technologies. Drei Jahre später kehrten sie zu Google zurück. Im gleichen Zug erwarb der Konzern Lizenzen in Höhe von 2,7 Milliarden US Dollar von Character Technologies. Beide Gründer stehen als Angeklagte vor Gericht. Die Mutter des toten 14-Jährigen hat ebenfalls Googles Mutterkonzern Alphabet angeklagt. Sie argumentiert, dass das Unternehmen den Chatbot mitentwickelt hat. Google beteiligt sich nun auch an dem Vergleich.

Im Mai des vergangenen Jahres hatte die verantwortliche US-Bezirksrichterin Anne C. Conway entschieden, dass KI-Chatbots rechtlich als Produkte zu behandeln sind. Ihre Ausgaben seien nicht als geschützte Meinungsäußerung zu werten. Andernfalls hätte das die Chancen einer Haftungsklage stark verringert.

Gegenmaßnahme Altersbeschränkungen

Aktuell laufen in den USA sieben Verfahren gegen den Tech-Konzern OpenAI. Eine Anklage stammt von den Eltern eines 16-Jährigen Jungen. Auch sie werfen dem Unternehmen vor, dass die KI den Jugendlichen bei der Selbsttötung unterstützt habe. OpenAI zieht sich bisher aus der Verantwortung. Der KI-Hersteller verweist auf die Missachtung der Sicherheitsmaßnahmen durch den 16-Jährigen.

Gleichzeitig führt das Unternehmen neue Tools zur Alterskontrolle und „Kindersicherung“ ein. Auch der KI-Hersteller Character Technologies hat neue Regelungen zur Altersüberprüfung eingeführt.

Präzedenzfall steht aus

Character Technologies und Google streben die nicht-öffentlichen Vergleiche wohl auch deshalb an, um Präzedenzfälle zu vermeiden, auf die sich Kläger*innen bei zukünftigen Verstößen berufen können. Außerdem ist der Schaden für die Reputation bei einem Vergleich vermutlich geringer als bei einer juristischen Niederlage.

Aline Blankertz von Rebalance Now, einem Verein der sich gegen Monopolisierung einsetzt, sagt: „Die kollektive Schutzwirkung der Gesetze wird dadurch untergraben, denn es bleibt offen, ob das Verhalten illegal war. Wir beobachten diese Tendenz in verschiedenen Rechtsbereichen.“

Blankertz erklärt auch, warum sich Kläger*innen auf Vergleiche einlassen: „Aus Sicht der einzelnen Geschädigten ergeben Vergleiche Sinn: Sie geben ihnen ein sicheres Ergebnis innerhalb kürzerer Zeit.“