Sicherheitsforscher warnen, dass Angreifer seit April dieses Jahres eine „kritische“ Sicherheitslücke im WordPress-Plug-in Breeze Cache ausnutzen. Im Anschluss gelten Seiten als kompromittiert. Eine dagegen gerüstete Version des Plug-ins steht zum Download bereit. Attacken sind aber nicht ohne Weiteres möglich.

Hintergründe zur Schwachstelle

Vor den Attacken warnen Sicherheitsforscher von Wordfence in einem Beitrag. Der Plug-in-Website zufolge weist Breeze Cache derzeit mehr als 400.000 aktive Installationen auf. Diese Websites sind potenziell attackierbar. Angriffe sind aber nur möglich, wenn die Funktion „Host Files Locally – Gravatars“ aktiv ist, was standardmäßig nicht der Fall ist. Web-Admins sollten sicherstellen, dass die gegen die Attacken geschützte Version 2.4.5 installiert ist.

Die Sicherheitsforscher geben an, dass sie in der Spitze knapp 5000 Exploitversuche an einem Tag beobachtet haben. Insgesamt geben sie an, dass sie mittlerweile mehr als 30.000 Angriffsversuche dokumentiert haben. Aufgrund einer unzureichenden Validierung von Dateien können Angreifer ohne Authentifizierung an der Sicherheitslücke (CVE-2026-3844 „kritisch“) ansetzen und Schadcode hochladen. Darüber platzieren sie unter anderem Hintertüren auf Servern. Dem Entdecker der Schwachstelle hat Wordfence eigenen Angaben zufolge eine Bug-Bounty-Prämie von knapp 2700 US-Dollar gezahlt.

In ihrem Beitrag führen die Forscher aus, wo das Sicherheitsproblem konkret liegt. Außerdem zeigen sie, wie Angreifer vorgehen. Überdies geben sie unter anderem Hinweise auf IP-Adressen der Angreifer. Daraus können Admins Indicators of Compromise (IoC) ableiten, um bereits attackierte Instanzen einzugrenzen.

(des)

Es ging schon nicht gut los mit der neuen Regierung und der Transparenz: Noch bevor sie im Amt war, löste die Koalition in spe einen öffentlichen Ausschrei aus, weil sie auf Vorschlag der CDU über eine Abschaffung des Informationsfreiheitsgesetzes diskutierte. Am Ende flog die umstrittene Formulierung zwar aus dem Koalitionsvertrag von Union und SPD, doch ein Jahr nach Amtsantritt stellen Transparenzorganisationen der Regierung von Friedrich Merz ein vernichtendes Zeugnis aus.

„Der Stellenwert, den diese Regierung Transparenz einräumt, ist sehr gering“, schreibt uns etwa Sarah Schönewolf, Pressesprecherin des Portals Abgeordnetenwatch. „Der politische Wille, Transparenz zu priorisieren und zu stärken, ist in der Regierung Merz praktisch nicht vorhanden“, heißt es auch von FragDenStaat. Die Organisation Lobbycontrol sieht mit Blick auf „die Informationspolitik der schwarz-roten Bundesregierung und den Umgang mit Fragen aus Parlament, Presse und Öffentlichkeit“ sogar „einen neuen Tiefpunkt“ erreicht.

Wir haben die drei Organisationen um eine Transparenz-Bilanz des ersten Jahres Schwarz-Rot gebeten. Sie berichten uns von willkürlichen Auskunftsverweigerungen, verschleppten Anfragen und vorgeschobenen Ausnahmetatbeständen. Immer wieder würden einzelne Ministerien und ihre Leitungen durch skandalöse Intransparenz auffallen. Dass die Regierung die gesetzliche Lage der Informationsfreiheit verbessern könnte, erwartet von ihnen niemand mehr.

Vom Lobby-Gipfel in den Alpen bis zum Buchhandlungspreis

„Ob Interessenkonflikte, Lobbykontakte oder Maskendeals, die aktuelle Regierung zeigt sich besonders zugeknöpft, schmallippig und teilweise geradezu dreist darin, wie Antworten verweigert werden“, schreibt uns etwa Timo Lange von Lobbycontrol. Als Beispiel nennt er unter anderem den vom Gesundheitsministerium seitenweise geschwärzten Sudhoff-Bericht zu den Maskengeschäften des ehemaligen Gesundheitsministers Jens Spahn.

Ein zentrales Problem macht Sarah Schönewolf von Abgeordnetenwatch in der Wirtschaftsnähe wichtiger Akteur:innen aus. „Überdurchschnittlich viele Mitglieder dieser Regierung waren bis kurz vor ihrer Ernennung selbst als Lobbyist:innen tätig und legen einen sehr unbefangenen Umgang mit Lobbyeinfluss einerseits und einen sehr zurückhaltenden Umgang mit Transparenz darüber andererseits an den Tag.“

Das Paradebeispiel hierfür dürfte Wirtschaftsministerin Katherina Reiche sein, die bis kurz vor ihrem Amtsantritt Vorstandsvorsitzende einer Tochtergesellschaft des Energiekonzerns E.ON war. Erinnert sei beispielhaft an die vermeintlich rein private Reise zu einem Lobby-Treffen in Tirol im Oktober 2025, das von ihrem Ehemann Karl-Theodor zu Guttenberg mitorganisiert wurde. Als Journalist:innen Anfragen zu dem exklusiven Stelldichein mit Wirtschaftsbossen und internationalen Politiker:innen stellten, verweigerte das Wirtschaftsministerium die Auskunft. Reiche sei schließlich privat bei dem Event gewesen, auch wenn sie im Programm als „Ihre Exzellenz“ und amtierende Bundeswirtschaftsministerin vorgestellt wurde.

Ein anderes Beispiel ist Kulturstaatsminister Wolfram Weimer, der zunächst behauptet hatte, sein Medienunternehmen, das unter anderem das Online-Magazin The European herausgibt, mit Amtsantritt verlassen zu haben. Erst durch Recherchen der Süddeutschen Zeitung wurde öffentlich, dass er weiter Anteile an der Weimer Media Group hielt. In Reaktion auf den öffentlichen Aufschrei ließ der Unternehmer seine Beteiligung ruhen.

Auch Weimers Vorgehen zum Buchhandlungspreis war durch Intransparenz geprägt: Die Streichung dreier linker Buchhandlungen von der Liste der Preisträger:innen wurde zunächst als Jury-Entscheidung getarnt. Als später klar wurde, dass der Staatsminister die Läden wegen „verfassungsschutzrelevanter Erkenntnisse“ ausschließen ließ, verweigerte er konkretere Auskünfte. Inzwischen haben die betroffenen Buchhandlungen Klagen angekündigt.

4.000 Euro Gebühren für eine Akteneinsicht

Womöglich noch gravierender als das Verhalten einzelner Regierungsvertreter:innen sind systematische Hürden bei Auskunftsanfragen durch Journalist:innen und zivilgesellschaftliche Akteur:innen.

Als Abgeordnetenwatch beispielsweise Einsicht in Unterlagen zu acht Lobbyterminen von Wirtschaftsministerin Katherina Reiche beantragte, drohte ihr Ministerium der Organisation nach Auskunft von Pressesprecherin Sarah Schönewolf mit Bearbeitungsgebühren von bis zu 4.000 Euro. Die Begründung: Es handele sich um acht separate Anträge, sodass acht Mal der Höchstbetrag von 500 Euro aufgerufen werden könne. Dabei habe das Bundesverwaltungsgericht eine vergleichbare Praxis bereits 2016 für rechtswidrig erklärt: „Abschreckend wirkende Gebühren sind mit dem IFG unvereinbar“, so Schönewolf. Bei einem vergleichbaren Fall unter Reiches Vorgänger Robert Habeck habe das Ministerium lediglich einmal die Höchstgebühr verlangt.

Erst nachdem man Klage angedroht habe, hätte das Ministerium eingelenkt, erzählt Schönewolf. „Das ist kein Einzelfall: Wir erleben wiederholt, dass Ministerien versuchen, den Zugang zu Informationen durch hohe Gebühren oder Verzögerungen von deutlich mehr als der einmonatigen Frist zu erschweren.“

FragDenStaat muss häufiger Klagen

Auch FragDenStaat berichtet von immer neuen Steinen, die der Transparenzorganisation in den Weg gelegt werden. Anfragen nach dem Informationsfreiheitsgesetz würden immer wieder verschleppt oder komplett ignoriert, so Pressesprecherin Michelle Trimborn. Außerdem mache man die Erfahrung, dass häufig Ausnahmetatbestände vorgeschoben und etwa Sicherheitsbedenken extrem großzügig ausgelegt werden oder Dokumente plötzlich als geheime „Verschlusssache“ gelten würden.

Die Zahl der Klagen und Verfahren, die man deshalb gegen die Regierung führe, habe zugenommen. Man würde „manche Ministerien in Sachen Transparenz als ‚mangelhaft‘ bewerten“.

Besonders auffällig sei das Innenministerium mit seinen nachgeordneten Behörden. Aktuell versucht FragDenStaat beispielsweise, Fragenkataloge zu erhalten, die das Ministerium an Politische Stiftungen geschickt hat. Eine Antwort wäre laut gesetzlicher Vorgaben bis Anfang April fällig gewesen, bislang hat das Ministerium laut Dokumentation auf der Plattform nicht einmal reagiert. Auch zur Durchleuchtung zivilgesellschaftlicher Organisationen durch den Verfassungsschutz im Rahmen des sogenannter Haber-Verfahrens schweigt das Innenministerium beharrlich.

Erstmals ist Transparenz kein politisches Ziel mehr

Auch wir bei netzpolitik.org machen unsere Erfahrungen mit der schweigsamen Regierung. Gerne hätten wir zum Beispiel erfahren, ob auch deutsche Behörden mutmaßlich illegal aus der Werbeindustrie gesammelte Informationen von Datenhändlern kaufen, doch die Regierung schweigt sich dazu aus. Selbst als die Bundestagsabgeordnete Donata Vogtschmidt im Parlament eine Kleine Anfrage zu dem Thema stellt, erhält sie keine Auskunft, nicht mal eine eingestufte. „Auch ein geringfügiges Risiko des Bekanntwerdens derart sensibler Informationen kann unter keinen Umständen hingenommen werden“, so die Begründung.

Dabei ist es natürlich nicht so, als hätten vorangegangen Bundesregierungen in Sachen Transparenz immer besonders geglänzt. Schon vor zehn Jahren war die „Informationsfreiheits-Ablehnung des Tages“ eine beliebte Rubrik auf netzpolitik.org. Auch unter den Kanzler:innen Merkel und Scholz wurden IFG-Anfragen gerne mal unter Verweis auf absurde Gründe wie das Urheberrecht abgelehnt.

Neu sei allerdings, dass die Regierung Merz Transparenz nicht mal mehr als politisches Ziel benenne, so Sarah Schönewolf von Abgeordnetenwatch:

Die Ampel hatte sich Transparenz explizit auf die Fahnen geschrieben und trotz einiger Schwächen zumindest teilweise umgesetzt. Schwarz-Rot habe nicht einmal das. Im Koalitionsvertrag findet sich kein einziges konkret benanntes Transparenzvorhaben in den für uns relevanten Bereichen. Das ist eine unambitionierte und uninspirierte Fortführung des Status quo.

Informationsfreiheit unter Druck

Zu den Fortschritten unter der Ampel-Regierung zählt etwa der „exekutive Fußabdruck“, der den Einfluss von Interessengruppen auf Gesetzestexte sichtbar machen soll. Dieser werde von den Ministerien bisher kaum angewendet, kritisieren Abgeordnetenwatch und Lobbycontrol. Aktuell evaluiert das Digitalministerium die Regelung, Timo Lange von Lobbycontrol fordert deshalb, dass das Instrument dringend nachgebessert werden müsse.

Auf der Wunschliste der drei Organisationen bleibt zudem die Einführung eines Transparenzgesetzes auf Bundesebene. „Transparenz bleibt ein wichtiges Mittel, um Vertrauen in die Regierung, Teilhabe und letztlich Demokratie zu stärken“, so Michelle Trimborn. „Dass die schwarz-rote Regierung gerade jetzt nicht für mehr Transparenz sorgt, um autoritären Entwicklungen und Desinformation etwas entgegenzusetzen, ist fahrlässig und gefährlich.“

Tatsächlich stehen die Zeichen aktuell sogar eher auf Abbau von Transparenz. Im Bund ist der erwartete Angriff bislang zwar nicht erfolgt, dafür jedoch auf Länderebene. In mehreren Bundesländern laufen derzeit Gesetzgebungsverfahren, die die Informationsfreiheit im Namen von Bürokratieabbau und Sicherheit beschneiden.

Dabei sei Transparenz keine Kür, sondern eine der Grundvoraussetzungen dafür, dass Demokratie funktioniert, so Sarah Schönewolf. „Wer sie verweigert, schwächt den Rechtsstaat.“

Palo Alto Networks warnt vor einer Sicherheitslücke in dem Betriebssystem PAN-OS. Sie hat die Risikoeinstufung „kritisch“ erhalten und wird bereits im Internet attackiert. Die ersten Updates sollen frühestens in einer Woche kommen. Palo Alto nennt aber temporäre Gegenmaßnahmen, die Admins dringend ergreifen sollten.

In der Sicherheitsmitteilung schreibt Palo Alto, dass es ein Pufferüberlauf im User-ID-Authentifizierungsportal (auch als Captive-Portal bekannt) nicht authentifizierten Angreifern ermöglicht, mit sorgsam präparierten Paketen beliebigen Code mit root-Rechten auf Firewalls der PA- und VM-Reihen zu schieben und auszuführen (CVE-2026-0300, CVSS4 9.3, Risiko „kritisch“). Um die Schwachstelle auszunutzen, muss das User-ID-Authentifizierungsportal in PAN-OS konfiguriert sein. Standardmäßig ist das nicht der Fall.

Das ist bereits ein Teil der vorgeschlagenen temporären Gegenmaßnahmen: Einfach das Captive-Portal deaktivieren. Ist das nicht möglich, sollen IT-Verantwortliche den Zugriff auf das Portal auf vertrauenswürdige Zonen beschränken. Diese Zugriffseinschränkung etwa auf interne IPs senkt den CVSS4-Wert auf 8.7, mithin das Risiko auf „hoch“.

Betroffene Software-Versionen

Betroffen sind PAN-OS 12.1, 11.2, 11.1 und 10.2. Die Aktualisierungen auf 12.1.4-h5 (13.05.), 12.1.7 (28.05.), 11.2.4-h17 (28.05.), 11.2.7-h13 (13.05.), 11.2.10-h6 (13.05.), 11.2.12 (28.05.), 11.1.4-h33 (13.05.), 11.1.6-h32 (13.05.), 11.1.7-h6 (28.05.), 11.1.10-h25 (13.05.), 11.1.13-h5 (13.05.), 11.1.15 (28.05.), 10.2.7-h34 (28.05.), 10.2.10-h36 (13.05.), 10.2.13-h21 (28.05.), 10.2.16-h7 (28.05.) und 10.2.18-h6 (13.05.) oder neuere bessern die Schwachstelle aus. In Klammern steht jeweils das geplante Veröffentlichungsdatum laut Palo Alto Networks. Nicht betroffen sind Cloud NGFW, Prisma Access und Panorama-Appliances, versichert der Hersteller.

Palo Alto schreibt zudem, dass das Unternehmen begrenzten Missbrauch der Schwachstelle im User-ID-Authentifizierungsportal beobachtet hat. Auf betroffenen Geräten war der Zugriff von nicht vertrauenswürdigen IP-Adressen und teils aus dem offenen Internet möglich. Diese Konfiguration sei jedoch im Widerspruch zu den Security-Best-Practices, ergänzt Palo Alto.

Im Januar wurden Schwachstellen in Palo Altos Firewalls bekannt, durch die Angreifer die Appliances in den Wartungsmodus zwingen und so offenbar den Firewall-Schutz aushebeln konnten.

(dmk)