Die Chefin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, hatte sich kürzlich in die laufende Debatte um die „digitale Souveränität“ eingemischt. Ihrer Meinung nach könne die technologische Abhängigkeit Deutschlands von Soft- und Hardware aus dem Ausland in absehbarer Zeit nicht überwunden werden, sagte sie der dpa am 12. August. Das beträfe etwa Cloud-Lösungen, Satelliten-Technik oder generative Sprachmodelle.

Es wäre unrealistisch zu glauben, „dass wir das kurzfristig alles selbst können werden“, sagte Plattner. Sie verteidigte auch die enge Kooperation des BSI mit Google.

Dafür bekommt die BSI-Präsidentin nun Kritik in Form eines offenen Briefes, den die Open Source Business Alliance (OSBA) und 60 Mitzeichner heute an sie adressiert haben. Plattner müsse eigentlich qua Amt „eine der stärksten Befürworterinnen von Open-Source-Software sein und sich für den Ausbau von digital souveränen Alternativen aussprechen“, so der OSBA-Vorstandsvorsitzende Peter Ganten. Stattdessen aber säe sie „mit ihren pauschalen Aussagen Verunsicherung in Politik und Wirtschaft“.

Plattner hatte in Bezug auf Investitionen gesagt, „dass manche der großen Firmen, vor allem aus den USA, jetzt schon zehn Jahre Vorsprung“ hätten. Dem halten die Unterzeichner des Briefes entgegen, dass diese Aussage „in dieser Pauschalität ein Marketing-Narrativ“ wiederhole. Es diene häufig nur dazu, „Wirtschaft und Verwaltung vom Einkauf europäischer Lösungen abzuhalten“. Außerdem würde die Aussage „politisch häufig als Begründung herangezogen, um dringend notwendige Beschaffungs- und Investitionsentscheidungen zu vertagen“.

Plattners „Doppelstrategie“

Tatsächlich aber könnten „viele Abhängigkeiten kurzfristig abgebaut werden, wenn die Politik vorhandene Lösungen auch aus Europa gezielt in Ausschreibungen berücksichtigen und fördern würde“. Ganten verweist auf die Angebote der 240 Mitgliedsunternehmen der OSBA: „In zentralen Bereichen existieren bereits heute leistungsfähige und erprobte Open-Source-Lösungen.“ Der Verband ist auch mit dem Zweck geschaffen worden, eine Plattform zu bilden, um „dem gemeinsamen Ziel der digitalen Souveränität mehr Gewicht“ zu verleihen.

Zwischenzeitlich ist Plattner etwas zurückgerudert. Gestern sagte die BSI-Chefin gegenüber der dpa, dass es nicht stimme, dass „wir als BSI die digitale Souveränität Europas für unerreichbar halten. Entsprechende Berichte weise ich entschieden zurück, das habe ich nie gesagt.“

Man verfolge eine „Doppelstrategie“, auf die das BSI schon bei der ursprünglichen dpa-Meldung via Social Media hingewiesen hatte. Sie besteht darin, zum einen die eigene „Digitalindustrie“ zu stärken und zum anderen Software und Dienstleistungen Dritter technisch so abzusichern, „dass ein souveräner Einsatz möglich ist“.

Heute schrieb Plattner auf Linkedin, dass Digitale Souveränität für das BSI vor allem bedeute, „Optionen zu haben“. Wenn mehr vertrauenswürdige Produkte verfügbar seien, könne man souveräner entscheiden. „In diesem Zusammenhang auch Open-Source-Software zu stärken und strategisch weiterzuentwickeln, ist uns genauso ein Anliegen wie der OSBA“, so Plattner.

Abhängig von US-Tech-Konzernen

In Deutschland köchelt die Debatte um „digitale Souveränität“ verstärkt seit dem Amtsantritt von US-Präsident Donald Trump. Denn seine offen zur Schau gestellte Allianz mit den Konzernen des Silicon Valley und seine strikte „America First“-Politik wird diesseits des Atlantiks zunehmend politisch hinterfragt. Die Diskussionen, ob die Vereinigten Staaten noch ein vertrauenswürdiger Partner sein können, nahmen noch zu, als klar wurde, mit welcher Wucht und Rücksichtslosigkeit Trump das Land in seiner zweiten Amtszeit umbaut.

Der Europäischen Union drohen durch den US-Präsidenten weiterhin massive Strafzölle in Milliardenhöhe. Gerade Deutschland kann das nur als wirtschaftspolitischen Angriff interpretieren. Zudem verärgern Trump zwei EU-Gesetze, da sie die Geschäftsmodelle der US-Tech-Konzerne in Europa regulieren: Digital Markets Act (DMA) und Digital Services Act (DSA).

Europa und Deutschland versuchen seit dem offen gärenden Streit um die Zölle, ihre Abhängigkeiten zu reduzieren. Ideen dafür sind keine Mangelware: Die Regierungskoalition könnte in den weiteren Ausbau von Open-Source-Infrastrukturen investieren, die EU-Gesetze DMA und DSA konsequenter durchsetzen und mehr unabhängige nicht-kommerzielle Dienstleistungen und offene Protokolle unterstützen.

In diese Richtung gehen auch die Forderungen der OSBA und ihrer Unterstützer im offenen Brief: Nötig seien „gezielte Investitionen in Open-Source-Software und eine Ausgabenpolitik der öffentlichen Hand, die Nachfrage nach offenen, europäischen Lösungen schafft“. Nur so könne man Abhängigkeiten tatsächlich reduzieren, „statt sie nur zu verwalten“. Digitalwirtschaft und Zivilgesellschaft brächten „dazu seit Jahren konkrete Vorschläge ein“.

Was „digitale Souveränität“ für die öffentliche Verwaltung bedeutet

Auch CDU-Minister unterzeichnet

Plattner hatte schon in einem im März veröffentlichten Artikel ihre Haltung zu „digitaler Souveränität“ dargelegt. Demnach sei sie „in vielen Fällen schlichtweg nicht möglich“. Grund sei, dass „viele der notwendigen technischen Services und Innovationen bisher außerhalb der EU entstehen“.

Sie erklärte im März, es sei „nicht leistbar, kurzfristig alle relevanten digitalen Lösungen lokal zu entwickeln und bereitzustellen“. Dafür müsste man auch „mehrstellige Milliardeninvestitionen“ nachholen. Für Wirtschaft und Verwaltung in Deutschland sei dies folgenschwer, denn sie würden sich „von globaler Innovation abrupt und unvorbereitet“ abwenden.

Der offene Brief hingegen betont: „Digitale Souveränität für Deutschland ist möglich. Wir müssen sie nur wollen und beherzt vorantreiben“. Unterzeichnet wurde das Schreiben beispielsweise vom Digitalminister Schleswig-Holsteins, Dirk Schrödter (CDU), von gleich drei Arbeitskreis-Sprechern der Gesellschaft für Informatik (GI), von Vereinen der Zivilgesellschaft sowie von Nextcloud-Chef Frank Karlitschek und vielen weiteren CEOs von Digitalunternehmen.

Der OSBA-Vorstandsvorsitzende Ganten stellt heraus, dass die heutigen strategischen Entscheidungen bestimmen würden, „ob wir in fünf Jahren weiter hinter amerikanischen oder chinesischen Tech-Giganten zurückliegen oder ob wir aufgeholt und signifikante Teile unserer digitalen Infrastruktur unabhängiger und resilienter gemacht haben“.

Das BSI hat der OSBA nun eine Einladung zum Gespräch zukommen lassen, die der Verband gern angenommen hat. Welche Vertreter der zahlreichen unterzeichnenden Verbände, Vereine und Unternehmen dabeisein werden, ist noch nicht überliefert.

IT-Sicherheitsforscher von Zscalers ThreadLabz überwachen den Google Play Store und analysieren darüber verteilte bösartige Apps. Besonders im Fokus steht die Malware Anatsa (auch als Teabot bekannt), die Android-Geräte angreift und auf Finanz-Apps abzielt. Erste Samples wurden bereits 2020 entdeckt, nun hat sich die Malware jedoch deutlich weiterentwickelt.

In ihrer Analyse schreiben die Zscaler-Forscher, dass Anatsa ursprünglich als Banking-Trojaner startete, der Zugangsdaten stehlen, Keylogging betreiben und betrügerische Transaktionen ausführen konnte. Die jüngste Inkarnation kann inzwischen 831 Finanzinstitutionen weltweit angreifen. Außerdem sind Institute in Deutschland und Südkorea neu hinzugekommen – nebst Kryoptwährung-Plattformen. Die Auslieferung des bösartigen Codes haben die Drahtzieher verschlankt, indem sie das dynamische Laden von Dalvik-Executable-Payloads (DEX) aus dem Netz durch direkte Installation des Anatsa-Schadcodes ersetzt haben.

Tarn-Apps mit hohen Download-Zahlen

Viele der Tarn-Apps, die Anatsa mitbringen, haben Installationszahlen von mehr als 50.000 Downloads im Play Store, gibt Zscaler an. Mit Beifang, also Malware-Apps mit nicht-Anatsa-Schadcode, kommen die IT-Forscher auf 77 Apps, die insgesamt mehr als 19 Millionen Mal installiert wurden. Diese hat Zscaler an Google gemeldet.

Die vorhergehenden Anatsa-Kampagnen hatten noch mehr als 650 Finanzinstitutionen zum Ziel. Unter den etwa 180 hinzugekommenen finden sich mehr als 150 neue Banking- und Kryptowährungs-Apps. Anatsa setzt auf eine Dropper-Technik, bei der die bösartige App im Google Play Store bei Installation harmlos erscheint. Nach der Installation lädt Anatsa jedoch als Update getarnten Schadcode vom Command-and-Control-Server herunter. Dadurch umgeht Anatsa den Erkennungsmechanismen im Play Store und kann erfolgreich Geräte infizieren. Das Zscaler-Team analysiert zudem die Tarnmechanismen genauer. So kommt etwa ein defektes Archiv zum Einsatz, um eine DEX-Datei zu verstecken, die zur Laufzeit aktiviert wird. Standard-ZIP-Tools können wegen des Defekts die Datei nicht analysieren und die Malware vorbei schlüpfen.

Zugangsdaten leitet Anatsa aus, indem die Malware gefälschte Log-in-Seiten anzeigt, die sie vom Command-and-Control-Server herunterlädt. Die Seiten sind maßgeschneidert an die Apps der Finanzinstitute, die Anatsa auf dem Smartphone vorfindet.

In ihrer Analyse nennen die Zscaler-Forscher vier Indizien für einen Befall (Indicators of Compromise, IOCs). Eine vollständige Liste der 77 bösartigen Apps fehlt jedoch – nach Meldung an Google sind die offenbar jedoch nicht mehr im Play Store verfügbar und mittels Google Play Protect auch von Smartphones im Google-Kosmos automatisch entfernt worden.

Im vergangenen Jahr hatte Zscaler einen Lagebericht herausgegeben, dem zufolge das Unternehmen mehr als 200 bösartige Apps im Google Play Store aufgespürt hatte. Die kamen jedoch lediglich auf 8 Millionen Installationen, diese Zahl hat sich also mehr als verdoppelt.

(dmk)

Stimmen die Voraussetzungen, können Angreifer WordPress-Websites mit dem Plug-in Dokan Pro attackieren, um Admin-Accounts zu übernehmen und Seiten zu kompromittieren.

Die Gefahr

Mit dem Plug-in setzt man Onlineshops auf, in denen sich Nutzer als Verkäufer mit eigenen Marktplatzshops registrieren können. Nun weisen Sicherheitsforscher von Wordfence in einem Beitrag auf eine mittlerweile geschlossene Sicherheitslücke (CVE-2025-5931 „hoch„) hin.

Um eine Attacke einleiten zu können, müssen Angreifer aber bereits authentifiziert sein. Ist das gegeben, können sie am fehlerhaften Code, über den sich Nutzer als Marktplatzverkäufer registrieren können, ansetzen und einen neuen Nutzer mit Adminrechten anlegen. Im Anschluss können sie ein eigenes Passwort festlegen und weitreichend auf die Website zugreifen. Darüber können sie etwa Hintertüren in Onlineshops verankern.

Sicherheitspatch verfügbar

Die Entwickler versichern, dass sie die Version 4.0.6 gegen die geschilderte Attacke abgesichert haben. Alle vorigen Ausgaben sollen verwundbar sein. Unklar ist derzeit, ob es bereits Attacken gibt. Admins von WordPress-Websites mit diesem Plug-in sollten in den Einstellungen Ausschau nach unbekannten Accounts halten. Werden sie fündig, sollten sie die Konten umgehend löschen.

Zuletzt wurden Sicherheitslücken im WordPress-Plug-in UiCore Elements mit rund 40.000 aktiven Installationen geschlossen. An dieser Stelle konnten Angreifer eigentlich abgeschottete Informationen auf Servern einsehen.

(des)