Amazon Web Services (AWS) hat Account Regional Namespaces für Amazon S3 General Purpose Buckets eingeführt. Damit können Kunden Bucket-Namen in einem reservierten Namespace pro Konto und Region erstellen – die bisher geltende global eindeutige Namensvergabe wird damit optional. Die Funktion steht seit dem 12. März 2026 in 37 AWS-Regionen bereit, darunter die Frankfurter Region eu-central-1.

Wie AWS in seinem Blog erläutert, folgen die neuen Bucket-Namen dem Schema ---an. Ein Beispiel: mybucket-123456789012-us-east-1-an. Das Suffix aus Konto-ID, Region und dem Kürzel an wird dabei auf die maximal erlaubten 63 Zeichen des Bucket-Namens angerechnet, sodass die verfügbare Präfixlänge je nach Region variiert. Nur der jeweilige Kontoinhaber kann Buckets mit seinem Suffix erstellen – andere Konten erhalten einen entsprechenden Fehler.

AWS behebt damit ein zentrales Problem: das sogenannte Bucketsquatting (auch Bucketsniping). Dabei registrieren Angreifer gelöschte oder vorhersagbare globale Bucket-Namen, um Datenverkehr abzufangen oder Dienste zu stören. Weil viele Organisationen vorhersehbare Namenskonventionen wie myapp-us-east-1 verwenden, war das Risiko bislang hoch. Die neue Funktion verhindert dies bei neuen Buckets vollständig, da die Namen kontoexklusiv reserviert sind.

Erzwingung per IAM-Policy und SCP

AWS stellt einen neuen Condition Key s3:x-amz-bucket-namespace bereit, mit dem Administratoren die Nutzung der Account Regional Namespaces über IAM-Policies oder Service Control Policies (SCP) erzwingen können. In Multi-Account-Setups innerhalb von AWS Organizations lässt sich so organisationsweit sicherstellen, dass nur noch kontogebundene Bucket-Namen erstellt werden. AWS empfiehlt, die neuen Namespaces standardmäßig für alle neuen Buckets zu verwenden, sofern keine zwingenden Gründe dagegen sprechen.

Erstellung und IaC-Unterstützung

In der AWS-Management-Console lässt sich beim Einrichten eines Buckets „Account Regional namespace“ direkt als Namespace-Option auswählen. Über die AWS CLI legt man ein Bucket im neuen Namespace wie folgt an: aws s3api create-bucket --bucket mybucket-123456789012-us-east-1-an --bucket-namespace account-regional --region us-east-1. Für Python-Entwickler bietet AWS im Blog ein Boto3-Beispiel mit dynamischer Namensgenerierung über STS. CloudFormation unterstützt die Funktion bereits mit den Parametern BucketNamespace und BucketNamePrefix. Terraform-Support ist hingegen noch in Arbeit – ein entsprechendes GitHub-Issue wurde am 12. März 2026 eröffnet.

Bestehende S3-Buckets bleiben von der Neuerung unberührt. Eine Umbenennung vorhandener Buckets ist nicht möglich; wer migrieren möchte, muss neue Buckets im regionalen Namespace erstellen und die Daten etwa per aws s3 sync übertragen. Alle S3-Features und APIs sind mit den neuen Namespaces vollständig kompatibel, Änderungen an bestehenden Anwendungen sind laut AWS nicht nötig. Zusätzliche Kosten fallen für die Nutzung der Account Regional Namespaces nicht an.

Ausgenommen von der Verfügbarkeit sind derzeit lediglich die Regionen Middle East (Bahrain) und Middle East (UAE). Amazons Objektspeicher S3 feierte erst kürzlich sein 20-jähriges Bestehen – die neuen Namespaces schließen nun eine seit Jahren bekannte Sicherheitslücke im Namenskonzept des Dienstes.

(fo)

Google hat Zahlen zu seinem Bug-Bounty-Programm „Vulnerability Reward Program“ (VRP) für das Jahr 2025 veröffentlicht. Mehr als 17 Millionen US-Dollar konnten IT-Sicherheitsforscher in dem Jahr einheimsen, ein neuer Höhepunkt.

In einem Blog-Beitrag schreibt Google weiter, dass die Prämien an mehr als 700 IT-Forscher quer über den Globus verteilt ausgezahlt wurden. Im abgelaufenen Jahr haben genauer gesagt 747 IT-Forscher insgesamt 17,1 Millionen US-Dollar erhalten, 2024 bekamen demnach 660 Analysten zusammen 11,8 Millionen US-Dollar. Die ausgezahlte Summe liegt damit um mehr als 40 Prozent höher und ist die höchste seit Start des VRP.

Das VRP untergliedert sich in mehrere Einzelprogramme, etwa für Android und Geräte, Chrome, Cloud, KI oder Open-Source-Software. Das Android-Programm alleine hat rund 2,9 Millionen US-Dollar ausgeschüttet. Google investiert dem eigenen Bekunden nach in die Härtung der Plattform. Der Einsatz von speichersicheren Sprachen und Hardware-Maßnahmen habe zu einer Verschiebung der Taktiken der Angreifer geführt – die müssen ihre bösartigen Werkzeugkästen dadurch anpassen. Die ausgeklügeltsten Exploits setzten mehr auf Logikfehler anstatt auf Code-Schwachstellen. KI stellt eine Erweiterung der Angriffsfläche dar, hier haben Forscher etwa Logikfehler in der Gemini-Implementierung auf den Geräten entdeckt, etwa um den Sperrbildschirm zu umgehen.

Interessante Zahlen aus den Teil-Programmen von VRP

In Google Chrome haben mehr als 100 IT-Forscher Prämien erhalten, zusammen mehr als 3,7 Millionen US-Dollar. Die Sandbox der JavaScript-Engine v8 war einer der Schwerpunkte, darin fanden sich neue Möglichkeiten zum Ausbruch. Google hebt zwei IT-Sicherheitsforscher hervor, die Logikfehler in der Interprozesskommunikation gefunden, deren Missbrauch demonstriert und dafür schließlich sogar 250.000 US-Dollar erhalten haben.

Das Cloud-Bug-Bounty-Programm hat noch mehr IT-Forscher angezogen. 143 Experten haben für gemeldete Schwachstellen mehr als 3,5 Millionen US-Dollar erhalten. Insgesamt 1774 Sicherheitsmeldungen hat Google für die Cloud-Dienste im Jahr 2025 verarbeitet. Seit vergangenem Oktober betreibt Google zudem ein Bug-Bounty-Programm speziell für KI-Anwendungen. Alleine dabei konnten IT-Forscher bereits 390.000 US-Dollar an Prämien einstreichen; insgesamt flossen 2025 für KI-Schwachstellen sogar 890.000 US-Dollar. Bei der ersten KI-Sicherheitsveranstaltung „AI bugSWAT“ von Google in Tokio kamen demnach alleine schon 70 gültige Meldungen zusammen, die ihren Entdeckern 400.000 US-Dollar einbrachten. Der Open-Source-Software-Bereich fällt dagegen stark ab. Von 192 eingereichten Fehlermeldungen konnten 62 eine Prämie erhalten – insgesamt gab es knapp 330.000 US-Dollar.

Im Jahr 2026 plant Google weitere Veranstaltungen vergleichbar mit der in Tokio, die das Unternehmen „bugSWAT“ nennt. Außerdem steht eine IT-Sicherheitskonferenz mit dem Namen „ESCAL8“ auf dem Programm.

Einen detaillierten Bericht hatte Google zuletzt für das Jahr 2023 vorgelegt. Dort hatten 632 IT-Forscher zusammen 10 Millionen US-Dollar an Prämien erhalten.

(dmk)

Unbekannte haben IT-Systeme des Arbeiter-Samariter-Bunds im Saarland angegriffen und sich Zugriff auf Daten von Beschäftigten und Kund:innen verschafft. Der Ex-BND-Vizepräsident ist auf eine Phishing-Attacke über einen Messenger reingefallen. Böswillige Hacker:innen erpressen eine Einrichtung für Menschen mit Behinderungen in Essen. Das sind nur drei von unzähligen Meldungen über IT-Sicherheitsvorfälle der letzten Wochen. Das Problem scheint bodenlos und in Deutschland gibt es eine unübersichtliche Landschaft an Behörden, Organisationen und Gesetzen, die dabei helfen sollen, es in den Griff zu bekommen.

Nun soll ein weiteres Gesetz dazukommen, das „Gesetz zur Stärkung der Cybersicherheit“. Ende Februar veröffentlichte das Bundesinnenministerium dazu einen Referentenentwurf, der Vorschriften für Bundespolizei, Bundeskriminalamt (BKA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) ändern und ihnen mehr Befugnisse geben soll. Dabei markiert der Gesetzentwurf eine Abkehr vom Grundsatz, dass der beste Schutz vor Angriffen auf IT-Systeme in der Prävention und Stärkung von Resilienz liegt.

Von der Abwehr zum Angriff

„Gegen groß angelegte Cyberangriffe mit großem Schadenspotential“ böten präventive Maßnahmen in eigenen IT-Systeme keinen „hinreichenden Schutz“, heißt es in der Problembeschreibung. Daher müsse es „ergänzend Möglichkeiten zur Unterbindung solcher Cyberangriffe“ geben. Das heißt: Bundespolizei, BKA und BSI sollen künftig in IT-Systeme eingreifen dürfen, um sie etwa abzuschalten, Datenverkehr zu verändern oder sogar Daten zu löschen.

Das BKA würde dem Entwurf zufolge die Aufgabe bekommen, Gefahren für IT-Sicherheit „bei internationaler Zusammenarbeit oder außen- und sicherheitspolitischer Bedeutung“ abzuwehren. Liegt eine solche Gefahr vor, soll das BKA unter anderem Datenverkehr umleiten oder blockieren dürfen sowie Daten auf einem IT-System „erheben, löschen oder verändern“ können.

Es soll also „zurückhacken“, was unter dem Begriff „Hackback“ bekannt ist. Das gilt in bestimmten Fällen selbst für privat genutzte IT-Systeme, beispielsweise wenn es um Gefahren geht, die für „die Vertraulichkeit und Integrität informationstechnischer Systeme einer großen Anzahl von Personen“ relevant sind.

Die Eingriffsbefugnisse sind so formuliert, dass sie sich nicht nur gegen IT-Systeme richten, von denen Angriffe ausgehen, sondern auch gegen Opfersysteme. Das können gekaperte Router im Heimnetz sein, die von Angreifer:innen für kriminelle Zwecke missbraucht werden. Ähnliche Regeln sind analog für die Bundespolizei in deren Aufgabenbereich vorgesehen.

IT-Sicherheitsfachleute kritisieren diese Befugnis scharf. Sven Herpig, Leiter für Cybersicherheitspolitik und Resilienz beim Policy-Institut interface, schreibt gegenüber netzpolitik.org: „Auch wenn für Eingriffe in private Systeme zusätzliche gerichtliche Hürden vorgesehen sind, wird der Anwendungsbereich strukturell weit gezogen. Die Darstellung als bloße Detailkorrektur verkennt damit die qualitative Erweiterung staatlicher Eingriffsbefugnisse im digitalen Raum.“ Herpigs Auffassung nach müsste wegen der „Intensität der vorgesehenen Maßnahmen und ihrer potenziellen Reichweite“ die Frage gestellt werden, ob es dafür nicht eine „offene verfassungsrechtliche Grundsatzdebatte – einschließlich der Frage nach einer Grundgesetzänderung“ geben müsse.

Warnung vor Kollateralschäden

Die Arbeitsgruppe KRITIS, die sich insbesondere mit der Sicherheit Kritischer Infrastrukturen wie Energieversorgern oder Transportunternehmen befasst, warnt in einer Stellungnahme vor möglichen Folgeschäden. Auch Betreiber Kritischer Infrastrukturen und Behörden könnten ohne ihr Wissen von Angreifern instrumentalisiert werden und wären damit entsprechende Opfersysteme, in die Bundespolizei oder BKA eingreifen könnten.

„Dies würde ohne Wissen des Betreibers geschehen. Die Behörden hätten dabei sogar die Befugnis, Daten zu verändern oder zu löschen“, schreibt die AG KRITIS. „Ein nicht abgestimmter Eingriff in Konfigurationsdaten, Systemparameter oder Netzwerkverbindungen kann dort unmittelbare Betriebsstörungen auslösen und bis zum Versorgungsausfall für die Bevölkerung führen.“ Auf dieses Risiko gehe der Entwurf nicht ein. Neben Kollateralschäden gehört zur Kritik der offensiven Abwehr von Angriffen, dass Sicherheitslücken offengelassen werden könnten, um im Zweifel Angreifer darüber zu schlagen – was wiederum IT-Systeme für alle unsicherer macht. Ein klar geregeltes Schwachstellenmanagement, das zur konsequenten Schließung der Lücken verpflichtet, fehlt weiterhin.

Die AG KRITIS kritisiert zusätzlich, dass das BKA überhaupt eine Zuständigkeit für Cyberangriffe bekommt. Gemäß dem Grundgesetz ist Gefahrenabwehr prinzipiell Sache der Länder, das BKA ist hingegen etwa bei internationalem Terrorismus oder Verbrechen zuständig. Dass es nun auch bei Cyberangriffen von „außen- und sicherheitspolitischer Bedeutung“ tätig werden soll, sei „verfassungsrechtlich in mehrfacher Hinsicht fragwürdig“. Der Begriff sei unbestimmt und biete einen „unkontrollierbaren Beurteilungsspielraum“.

Wie bereits Herpig von interface regt die AG KRITIS an, dass der Weg einer Verfassungsänderung geboten sei, wenn es bei Angriffen auf IT-Systeme Bundesregelungen brauche. Eine Haltung, die von Staatsrechtlern geteilt wird.

Neben den Polizeien soll künftig auch das BSI neue Kompetenzen bekommen. Bislang durfte das Bundesamt etwa bei Vorfällen in der Bundesverwaltung helfen, um einen Schaden zu bewältigen und Systeme wiederherzustellen. Nun soll es bereits dann zu Hilfe gerufen werden können, wenn Anhaltspunkte für eine Beeinträchtigung vorliegen. Das heißt beispielsweise: wenn erkannt wird, dass ein Angriff vorbereitet werden könnte, indem Systeme ausgeforscht werden. Ebenso soll es Dienstleistern wie Domain-Registrierungsstellen anordnen können, Einträge umzuleiten.

Massiver Personalaufwuchs bei BKA und Bundespolizei

Neben den Befugniserweiterungen für die drei Behörden ist der Teil des Gesetzentwurfs bemerkenswert, der keine existierenden Gesetze ändert, sondern den personellen Aufwand für die Änderungen einschätzt. Allein im BKA sollen 264 Personen für die Umsetzung benötigt werden, in der Bundespolizei schätzt das Innenministerium, dass 90 und im BSI 21 neue Stellen bis zum Jahr 2030 anfallen.

Herpig sieht den massiven Stellenaufbau bei BKA und Bundespolizei „für hochinvasive, personalintensive und nur in Einzelfällen benötigte aktive Abwehrmaßnahmen“ kritisch. „Dies steht im Widerspruch zu politischen Versprechen von Bürokratieabbau und Ausgabendisziplin“, so der Experte für IT-Sicherheit. Er verweist dabei auf einen Bericht des Bundesrechnungshofs aus dem Sommer 2025. Der bemängelte, dass die IT des Bundes selbst „nicht auf die aktuellen Bedrohungen vorbereitet“ sei, es Mängel bei Detektion und Resilienz gäbe und sich die Cybersicherheitsarchitektur „durch einen Dschungel von Institutionen und Zuständigkeiten“ auszeichne.

Für Herpig ist das „ein klarer Hinweis darauf, dass die Priorität auf die Stärkung dauerhafter Schutz- und Früherkennungsstrukturen liegen sollte, statt auf den Ausbau einmalig einsetzbarer Einsatzapparate“.