Fast ein Jahr hatte das Verfahren vor dem Landgericht München gedauert. Am Dienstag gab das Gericht dann der Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte (GEMA) recht. Die GEMA verwaltet die Lizenzrechte zu den Werken vieler tausend Musiker*innen und hatte gegen den ChatGPT-Entwickler OpenAI geklagt. Das Gericht urteilte, OpenAI dürfe urheberrechtlich geschützte Songtexte nicht ohne eine entsprechende Lizenz verwenden. Außerdem verurteilte es OpenAI zu Schadensersatz. Das Urteil ist noch nicht rechtskräftig.

Bereits im November 2024 hatte die GEMA eine Klage gegen den US-amerikanischen Technologiekonzern eingereicht. Der Vorwurf: OpenAI benutze gesichert GEMA-Werke, um seine KI zu trainieren, zum Beispiel „In der Weihnachtsbäckerei“ von Rolf Zuckowski. Streitgegenstand war die Frage, ob ChatGPT diese memorisiert und dann auf Anfrage reproduziert oder nur aus ihnen lernt und sehr ähnliche Texte neu produziert.

Das Gericht schloss sich der ersteren Position und damit der GEMA an. Prof. Silke von Lewinski, Wissenschaftliche Referentin am Max-Planck-Institut für Innovation und Wettbewerb, sieht darin ein Urteil von „grundlegender Bedeutung für alle Werke, sei es Literatur, journalistische Texte, Musik, bildende Kunst, Fotografie oder jegliche andere Werke, die für Generative KI benutzt werden“.

KI-Unternehmen sollen für geschützte Werke zahlen

Es ist allerdings zu erwarten, dass OpenAI das Urteil nicht auf sich beruhen lassen wird. Auch eine Weiterverweisung an den Europäischen Gerichtshof wäre wohl möglich. OpenAI beharrt darauf, dass ChatGPT die Songtexte durch eine „sequenziell-analytische, iterativ-probabilistische Synthese“ selbst neu erstellt hätte und diese keineswegs einfach kopiert seien.

Die Klage gegen OpenAI ist nicht die einzige der GEMA gegen einen KI-Anbieter. Im Januar 2025 reichte der Verein zusätzlich Klage gegen Suno AI ein, eine Plattform, die mithilfe von Künstlicher Intelligenz Musik generiert. Suno AI erstelle Lieder, die von der GEMA geschützten Werken wie „Cheri Cheri Lady“ oder „Daddy Cool“ zum verwechseln ähnlich seien, so der Vorwurf der GEMA. Eine Anhörung hat bis jetzt noch nicht stattgefunden.

Die GEMA verfolgt mit den Klagen das Ziel, ein Lizenzmodell durchzusetzen. Wer seine KI-Modelle mit einem bestehenden Lied trainieren will, soll dafür zahlen. Ein entsprechendes Lizenz-Modell für generative KI hatte die GEMA im vergangenen Jahr eingeführt. „Die Songs unserer Mitglieder sind nicht der kostenlose Rohstoff für die Geschäftsmodelle der Anbieter generativer KI-Systeme“ sagt GEMA-CEO Tobias Holzmüller in einem Statement auf der Website. „Wer diese Songs verwenden möchte, muss eine Lizenz erwerben und die Urheberinnen und Urheber fair vergüten.“

SAP hat am Dienstag den monatlichen Patchday begangen und dazu 18 neue Sicherheitsmitteilungen veröffentlicht. Zwei davon behandeln Sicherheitslecks, die die Walldorfer Entwickler als kritisches Sicherheitsrisiko einstufen; eine erreicht sogar den Höchstwert CVSS 10.

Auf der Übersichtsseite zum November-Patchday reißt SAP die betroffenen Produkte mit kurzer Schwachstellenbeschreibung an. Im SQL Anywhere Monitor (Non-GUI) findet sich demnach eine Schwachstelle, die eine unsichere Verwaltung von Keys und Secrets betrifft (CVE-2025-42890, CVSS 10.0, Risiko „kritisch„). Der CVE-Eintrag präzisiert, dass Zugangsdaten fest im Code verankert sind, was schlussendlich in der Ausführung von eingeschleustem Schadcode münden kann.

Außerdem können angemeldete Angreifer im SAP Solution Manager Schadcode einschleusen (CVE-2025-42887, CVSS 9.9, Risiko „kritisch„). Laut Beschreibung geht das auf fehlende Prüfung und Filterung von Eingaben zurück. Das gelingt beim Aufruf eines Funktionsmoduls aus dem Netz und führt zu erhöhten Zugriffsrechten, mit denen Angreifer die volle Kontrolle über das System übernehmen können. Schließlich klafft in SAP CommonCryptoLib eine Speicherzugriffslücke (CVE-2025-42940, CVSS 7.5, Risiko „hoch„). Mit manipulierten Paketen können Angreifer einen Absturz der Software und somit einen Denial-of-Service auslösen, erörtert die Schwachstellenbeschreibung.

Weitere, weniger gravierende Sicherheitslücken

Die weiteren Sicherheitsmitteilungen kümmern sich um Schwachstellen, die weniger schwerwiegend ausfallen. Admins sollten trotzdem prüfen, ob sie verwundbare Instanzen betreiben, und die Aktualisierungen im kommenden Wartungsfenster installieren.

• Code Injection vulnerability in SAP HANA JDBC Client, CVE-2025-42895, CVSS 6.9, Risiko „mittel„
• OS Command Injection vulnerability in SAP Business Connector, CVE-2025-42892, CVSS 6.8, „mittel„
• Path Traversal vulnerability in SAP Business Connector, CVE-2025-42894, CVSS 6.8, „mittel„
• JNDI Injection vulnerability in SAP NetWeaver Enterprise Portal, CVE-2025-42884, CVSS 6.5, „mittel„
• Open Redirect vulnerabilities in SAP S/4HANA landscape (SAP E-Recruiting BSP), CVE-2025-42924, CVSS 6.1, „mittel„
• Open Redirect vulnerability in SAP Business Connector, CVE-2025-42893, CVSS 6.1, „mittel„
• Reflected Cross-Site Scripting (XSS) vulnerability in SAP Business Connector, CVE-2025-42886, CVSS 6.1, „mittel„
• Miissing authentication in SAP HANA 2.0 (hdbrss), CVE-2025-42885, CVSS 5.8, „mittel„
• Information Disclosure vulnerability in SAP GUI for Windows, CVE-2025-42888, CVSS 5.5, „mittel„
• SQL Injection vulnerability in SAP Starter Solution (PL SAFT), CVE-2025-42889, CVSS 5.4, „mittel„
• Information Disclosure vulnerability in SAP NetWeaver Application Server Java, CVE-2025-42919, CVSS 5.3, „mittel„
• Information Disclosure vulnerability in SAP Business One (SLD), CVE-2025-42897, CVSS 5.3, „mittel„
• Missing Authorization check in SAP S4CORE (Manage Journal Entries), CVE-2025-42899, CVSS 4.3, „mittel„
• Missing Authorization check in SAP NetWeaver Application Server for ABAP, CVE-2025-42882CVSS 4.3, „mittel„
• Insecure File Operations vulnerability in SAP NetWeaver Application Server for ABAP (Migration Workbench), CVE-2025-42883, CVSS 2.7, „niedrig„

Der Patchday von SAP im Oktober fiel mit 13 Sicherheitsmitteilungen spürbar weniger umfangreich aus. Von den Sicherheitslücken hatten die Entwickler dort drei als kritisch eingestuft.

(dmk)

Wenn Angreifer erfolgreich an einer Lücke in Dell Display and Peripheral Manager unter Windows ansetzen, können sie sich höhere Nutzerrechte verschaffen. In einer aktuellen Version der Software haben die Entwickler eine Sicherheitslücke geschlossen. Bislang gibt es keine Hinweise auf bereits laufende Attacken.

Mit der Anwendung verwalten Nutzerinnen und Nutzer PC-Zubehör wie Tastaturen und Webcams.

Sicherheitsrisiko

In einer Warnmeldung ist die Schwachstelle (CVE-2025-46430) mit dem Bedrohungsgrad „hoch“ eingestuft. Die Schwachstelle findet sich im Installer. Dort können der Beschreibung zufolge lokale Angreifer mit niedrigen Rechten ansetzen und ihre Zugriffsrechte im System hochstufen. Wie ein solcher Angriff im Detail ablaufen könnte, ist derzeit nicht bekannt.

Die Entwickler versichern, das Sicherheitsproblem in der Version 2.1.2.12 gelöst zu haben. Alle vorigen Ausgaben sind verwundbar.

Erst kürzlich hat Dell Sicherheitslücken in CloudLink und Command Monitor geschlossen.

(des)