Die Entwickler der Low-Coding-Plattform Flowise haben insgesamt sieben Sicherheitslücken geschlossen. Fünf Schwachstellen gelten als „kritisch„. Im schlimmsten Fall kann Schadcode auf Systeme gelangen. Eine gepatchte Version schafft Abhilfe.

Verschiedene Gefahren

Am Ende dieses Beitrags finden Interessierte die Warnmeldungen der Entwickler mit weiterführenden Informationen zu den Sicherheitslücken. Am gefährlichsten gilt eine „kritische“ Schadcode-Schwachstelle mit Höchstwertung (CVSS v3 10/10), für die offensichtlich noch keine CVE-Nummer vergeben wurde. Weil im Kontext einer Verbindung zu einem Model-Context-Protocol-Server (MCP) JavaScript-Code offensichtlich nicht validiert wird, können entfernte Angreifer eigenen Code ausführen. Im Anschluss führt so etwas in der Regel dazu, dass sie die volle Kontrolle über Computer erlangen.

Durch das Ausnutzen der weiteren kritischen Lücken können Angreifer unter anderem Passwörter zurücksetzen, um sich unbefugt Zugriff zu verschaffen (CVE-2025-58434). Außerdem können Angreifer auf eigentlich abgeschottete Dateien zugreifen. Auch für diese Schwachstelle wurde offensichtlich noch keine CVE-Nummer vergeben.

Durch das erfolgreiche Ausnutzen einer weiteren Lücke (noch keine CVE-Nummer, Bedrohungsgrad „hoch„) können Angreifer aufgrund einer unsicheren Standardkonfiguration aus der Sandbox ausbrechen und Systemkommandos ausführen. Das führe den Entwicklern zufolge dazu, dass Angreifer Schadcode aus der Ferne ausführen und Systeme über diesen Weg vollständig kompromittieren können.

Sicherheitsupdate installieren

Die Entwickler geben an, die Softwareschwachstellen in der Flowise-Version 3.0.6 aus der Welt geschafft zu haben. Ob es bereits Attacken gibt, ist derzeit nicht bekannt.

Zuletzt wurden im März dieses Jahres mehrere Sicherheitslücken in der Low-Coding-Plattform geschlossen.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)

„In den vergangenen Wochen, haben wir eine besorgniserregende Zunahme kompromittierter Schülerkonten gesehen“ schreiben die 81 öffentlichen Schulen Portland, Oregons (Portland Public Schools, PPS) an die Eltern, „Angreifer verschaffen sich Zugriff auf diese Konten und nutzen sie, um tausende Phishing- und Betrugs-Emails in alle Welt zu senden.“ Die ungewöhnliche Lösung für das Problem: „Schüler werden keine Multifaktorauthentifizierung (MFA) für ihre Google-Konten mehr einrichten können.“

Kein Scherz. Die PPS haben heise online die Echtheit des Rundschreibens bestätigt, meinen aber: „Wir schaffen MFA nicht vollständig ab. Wir wechseln auf eine andere Plattform.“ Klingt gut, entpuppt sich aber als potemkinsches Dorf. Die neue „MFA“ ist keine, zudem schützt die Maßnahme die Google-Konten nicht.

Anstatt sich wie bisher auf ihren Chromebooks in ihre Google-Konten einzuloggen, was auch den Zugriff auf die Schulumgebung Classlink öffnet, wird das Prozedere umgedreht: Die Kinder sollen sich bei Classlink einloggen, und ihr Konto mit Google verknüpfen, sodass sie über Classlink zu Gmail, Google Drive und Co gelangen können. Theoretisch bietet Classlink Zwei-Faktor-Authentifizierung (2FA, eine Form der MFA) an: mittels Authenticator-App (TOTP), Hardware-Schlüssel (Yubikey) oder der veralternden Methode per SMS zugemittelter Einmalcodes.

Fake 2FA

Bloß nutzt die Schulverwaltung keine dieser MFA-Methoden. Vielmehr wir den Schülern geraten („we strongly encourage“), zusätzlich zu Username und Passwort noch eine sechsstellige PIN (bei kleineren Kindern ein Bild) auszuwählen, was beim Login abgefragt wird. Classlink vermarktet das zwar als MFA, es ist aber keine. Denn Multifaktorauthentifizierung stellt darauf ab, dass neben dem Faktor Wissen (Username, Passwort, PIN/Bild, Mädchenname der Base, Geburtsort des Oheims, et cetera) eben noch andere, vom Erinnerungsvermögen unabhängige Faktoren, gegeben sein muss.

Das wäre in aller Regel der Besitz eines Geräts wie zum Beispiel eines Handys (Authenticator App), einer SIM-Karte (SMS) oder eines Hardwareschlüssels; möglich wäre auch die Beschränkung auf bestimmte Orte oder Netzem aber die Kinder sollen sich auch von auswärts einloggen können. Handys sind in Portlands Schulen verboten, und 44.000 Yubikeys für die Schüler (4-18 Jahre) zu beschaffen, war wohl zu teuer. Zudem wäre die Verlustrate der kleinen USB-Dinger unter Schülern wohl nicht unerheblich.

Wer ist schuld? Die Kinder!

An der Misere sollen nach Darstellung der Schulverwaltung übrigens die Kinder schuld sein: Sie würden die Passwörter für ihre schulischen Google-Konten oft auch bei anderen Online-Diensten verwenden (wo sie unzulänglich gesichert werden). Dort eingedrungene Angreifer würden die erbeuteten Zugangsdaten dann bei Google einsetzen.

Dagegen hilft 2FA. Doch weil die Kinder mangels Handys oder Yubikeys Googles 2FA nicht nutzen können, verwenden sie diese Abwehrmaßnahme nicht. Ein gefundenes Fressen für die Angreifer: Sie loggen sich ein und aktivieren selbst die 2FA des fremden Google-Kontos – mit ihrer eigenen Authenticator-App, zum Beispiel – um sich zu verankern. In Verbindung mit unzureichendem Support Googles macht es das für die IT-Administratoren der PPS schwierig, die gekaperten Google-Konten zurückzuholen.

Die generelle Abschaltung der 2FA-Funktion in den Google-Konten ist Ausweis der Kapitulation: Die Angreifer dürfen ruhig kommen und sich direkt bei Google einloggen. Weil sie die 2FA nicht aktivieren können, wird man sie schneller los. Als flankierende PR-Maßnahme wird die Pseudo-MFA mit den PINs oder Bildern ventiliert. Dass echte MFA funktionieren würde, ist dem Rundschreiben selbst zu entnehmen: „Es ist erwähnenswert, dass wir keine vergleichbaren Probleme mit Mitarbeiterkonten haben, dank Duo MFA.“

(ds)

Am vergangenen Mittwoch wurde der rechtsradikale Influencer Charlie Kirk erschossen. Obwohl er sich immer wieder wieder klar antisemitisch, rassistisch und LGBTQI+-feindlich geäußert hatte, erklärten ihn einige etablierte Medien posthum zum Kämpfer der Redefreiheit. „Kirk hat Politik auf genau die richtige Weise praktiziert“, schrieb etwa Ezra Klein in der New York Times. „Er tauchte an Universitäten auf und sprach mit jedem, der mit ihm reden wollte.“

In Deutschland kam es zu ähnlichen Trauerbekundungen. Manuel Ostermann, stellvertretender Vorsitzender der Deutschen Polizeigewerkschaft, lobte Kirks „Einsatz für Meinungsfreiheit, Demokratie und Menschlichkeit“. Und die CDU-Bundestagsabgeordnete Caroline Bosbach beschrieb Kirk auf Instagram als „Kämpfer für westliche Werte“, mit ihm sterbe „eine der einflussreichsten jungen konservativen Stimmen weltweit“. Den Post hat die Politikerin nach vielfacher Kritik inzwischen gelöscht.

Bereits unmittelbar nach der Tat hatte US-Präsident Donald Trump die „radikale Linke“ für den Tod seines Unterstützers Kirk verantwortlich gemacht und landesweit Trauerbeflaggung angeordnet. Elon Musk schrieb auf X: „The Left is the party of murder.“ Etliche weitere Stimmen sahen in dem Anschlag einen Aufruf „der Linken“ zum Bürgerkrieg.

Seit Donnerstagabend sitzt der 22-jährige Tatverdächtige Tyler R. in Untersuchungshaft. Er stammt aus dem Bundesstaat Utah und gehört offenbar einer Familie von Trump-Anhänger:innen an. Ehemalige Mitschüler:innen beschreiben ihn als zurückhaltend und online sehr aktiv.

Wir haben mit Berit Glanz über den Fall und seine mediale Deutung gesprochen. Sie ist Schriftstellerin und Essayistin, lebt in Island und veröffentlicht regelmäßig den Newsletter Phoneurie, in dem es um die „allgegenwärtige Verzahnung von virtuellem und realem Raum“ geht.

Medien und Missverständnisse

netzpolitik.org: Nach dem Attentat auf Charlie Kirk veröffentlichten mehrere etablierte Medien Nachrufe, die den rechtsradikalen Influencer als eine Art Märtyrer der Redefreiheit darstellen. Wie kommt es dazu?

Berit Glanz: Ich glaube, dass Kirk eine Projektionsfläche ist. Es geht überhaupt nicht darum, was er gesagt hat, wer er als Person ist und was seine Geschichte im Internet ist. Sondern es geht einfach nur darum, wie man diesen Mord für eigene politische Ziele stilisieren kann.

Etwas Ähnliches passierte nach der mutmaßlichen Tat von Luigi Mangione, …

netzpolitik.org: … der im vergangenen Dezember Brian Thompson erschossen haben soll, den damaligen CEO von UnitedHealthcare.

Berit Glanz: Auch dieser Mord wurde umgehend dazu verwendet, um eine bestimmte politische Agenda zu pushen. Und zwar von allen Seiten.

Das Gleiche ist jetzt bei Kirk passiert. Rechte nutzen das Attentat, um eine Machtposition im Diskurs zu gewinnen. Sie behaupten dann etwa, dass ihre Positionen so gefährlich seien, dass sie dafür ermordet würden. Im aktuellen Fall und bei Luigi Mangione sehen wir also einen sehr unehrlichen Diskurs, in dem die Gewalttat so genutzt wird, das sie dem jeweiligen Milieu den maximalen politischen Nutzen bringt.

netzpolitik.org: Erkennen Sie auch Parallelen, wenn Sie die Debatte in den sozialen Medien verfolgen?

Berit Glanz: Im Internet wird die Debatte teilweise besser geführt. Dort gibt es eine größere Kompetenz bei der Einordnung von Personen und es werden sehr viel mehr Originalquellen verlinkt. So können alle gut nachverfolgen, wie bestimmte Behauptungen zustandekommen.

Ich habe außerdem den Eindruck, dass es auf Reddit und Blue Sky, teilweise sogar auf Twitter eine größere Kenntnis darüber gibt, wer die Person Charlie Kirk gewesen ist. Besonders auffällig war das auf TikTok. Dort wurden sehr viel Clips von Charlie Kirk geteilt, also O-Töne von ihm als rechten Influencer. Wer sich die Aufnahmen anschaut, erkennt schnell, dass vor wenigen Tagen kein friedlicher Debattierer ermordet wurde. Sondern dass Kirk eine massiv toxische Person war, die eine überaus gefährliche Rolle im öffentlichen Diskurs gespielt hat.

netzpolitik.org: Kirk war auch eine öffentliche Person. Man kennt seine Aussagen. Das unterscheidet ihn auch von Luigi Mangione, oder?

Berit Glanz: Ja, und zugleich kannten viele Leute seine Aussagen offenkundig nicht. Das finde ich so faszinierend: Da ist ein Mensch gestorben, der vielen Leuten, die sich aktiv im Internet aufhalten, klar ein Begriff ist. Andere wiederum hörten seinen Namen das erste Mal und mussten ihre 15-jährigen Kinder fragen, wer das ist.

Dabei hat Charlie Kirk eine entscheidende Rolle dabei gespielt, dass Donald Trump die US-Präsidentschaftswahl gewonnen hat. Und dennoch ist er einer bestimmten Generation, die sich nicht auf diesen Plattformen aufhält, schlichtweg unbekannt.

Es gibt also offenkundig eine große Informationslücke über Influencer, die einen Diskurs bestimmen, die radikalisieren und die eine aufpeitschende Wirkung haben.

Memes als Botschaften

netzpolitik.org: Im Laufe der vergangenen Tage taten sich dann weitere Informationslücken auf. Nämlich als bekannt wurde, dass auf den Patronen, die der Attentäter verwendete, kryptisch anmutende Sätze eingestanzt waren. Haben diese Botschaften Sie überrascht?

Berit Glanz: Beschrifteten Patronen zählen fast schon zum Standard bei solchen Gewalttaten. Die Patronen, mit denen der CEO Thompson getötet wurde, trugen die Worte „deny“, „defend“ und „depose“, wahrscheinlich ein Verweis auf die Geschäftspraktiken von US-Versicherungen. Dieses Mal waren es die Sätze wie „Hey fascist! Catch!“, „Oh bella ciao bella ciao bella ciao ciao ciao“ und „If you read this, you are gay lmao“.

Es bereitet den Tätern wohl eine Freude, wenn alle versuchen, in diese Botschaften etwas hinein zu interpretieren. Dieser hermeneutische Akt wird dann selbst zu einem essenziellen Teil ihrer Gewalttaten.

Bei Kirks Ermordung waren die Sprüche bekannt, bevor der Name des Verdächtigen kursierte. Prompt wurden die Botschaften als angeblich transideologisch identifiziert und der Täter einem bestimmten Milieu zugeordnet. Auch das war Teil der politischen Instrumentalisierung. Sind solche Vermutungen erst einmal in den Timelines und in der Welt, kriegt man sie nur noch sehr schwer wieder eingefangen.

netzpolitik.org: Warum nutzen Attentäter eine so große Bühne und greifen dann auf derart kryptischen Botschaften zurück, die fast unweigerlich für Missverständnisse sorgen?

Berit Glanz: Es wäre naheliegend und würde die Dinge auch sehr vereinfachen, wenn es ein klassisches Bekenntnisschreiben gäbe, das eine klare Ideologie ausformuliert. Aber das Internet funktioniert so halt nicht.

Der Mord an Kirk entstammt einer Trollkultur. Und da geht es immer auch darum, sich über die Ratlosigkeit anderer lustig zu machen. Es gibt einen Wissensvorsprung, bestimmte Eingeweihte können die Botschaften leicht dechiffrieren und daraus entsteht dann ein eigener Trollhumor. Bei allen anderen herrscht massive Verwirrung oder sie verirren sich in vorschnelle, aber falsche Annahmen.

netzpolitik.org: Ist die tödliche Gewalt dann ebenfalls Teil der Trollerei?

Berit Glanz: Wir sprechen seit mehr als zehn Jahren – also mindestens seit Gamergate – darüber, dass Minderheiten im Internet Trollkultur als Gewalt erleben. Dafür sind die Betroffenen eine Dekade lang belächelt worden. Das sei Hysterie oder sie seien zu empfindlich, war meist die Antwort.

Und dann bricht sich diese Gewalt ihren Weg in die Realität. Dann zeigt sich: Das ist eine reale Gewalt – im Internet und in der analogen Welt. Das jetzt Menschen sterben, zeigt jenen Menschen, die diese Gewalt lange ignoriert oder als irrelevant abgetan haben, dass diese da ist und mitunter tödliche Auswirkungen hat. Und diese Entwicklung wird sich mit dem Zusammengehen von Online und Offline, das wir seit einigen Jahren beobachten können, weiter verschärfen.

Schon jetzt gibt es keine klare Grenze mehr zwischen Online und Offline. Und die Gewalt, die es im Internet bereits seit Jahren gegeben hat, bahnt sich vermehrt ihren Weg in die Offline-Welt.

Und dass Memes in gewaltvollen Konflikten eine zentrale Rolle spielen, sehen wir nicht nur bei solchen Attentaten. Sondern das gibt es auch bei Strategie im russischen Angriffskrieg auf die Ukraine. Das ist auch ein Memewar – ein Krieg der Memes –, in dem beide Seiten Formen der Internetkommunikation einsetzen und damit versuchen, die öffentliche Meinung zu beeinflussen.

netzpolitik.org: Wie erklären Sie sich, dass das in den etablierten Medien noch immer so eine geringe Rolle spielt? Ist das ein Generationenproblem?

Berit Glanz: Es ist natürlich naheliegend, darin ein Altersproblem zu sehen. Das ist es aber nicht unbedingt. Was es vor allem braucht, ist eine Anerkennung von Gewalt und spezifischen Kommunikationsstrukturen im Internet. Und die sind nicht auf den Computer beschränkt oder auf ein paar merkwürdige Leute, die ihre Handys viel nutzen. Sondern das ist etwas, was in unser aller Welt hineinfließt und diese verändert.

Und das Bewusstsein dafür, dass es da etwas gibt, was man eventuell nicht versteht, muss jetzt entstehen. Vor allem Menschen in institutionellen Machtpositionen sollten zur Kenntnis nehmen, dass sie dieses Wissen erwerben müssen.

netzpolitik.org: In der öffentlichen Debatte sprechen wir viel über Social-Media- oder Gaming-Sucht und über Alterskontrollen und Handyverbote. Diskutieren wir also an entscheidenden Themen vorbei?

Berit Glanz: Ja, und zwar auf zwei Ebenen. Der Diskurs ist zum einen oftmals sehr alarmistisch. Und zum anderen ignoriert er, warum wir eigentlich im Internet sind.

Die meisten Menschen verbringen sehr viel Zeit im Netz und das hat Gründe. Weil es halt Spaß macht, weil wir da in sozialen Austausch gehen, weil wir dort einer besonderen Form von Humor begegnen. Das wird alles komplett ausgeblendet.

Und gleichzeitig gibt es auch die dunkle Seite von Radikalisierung durch Internetkultur, besonders bei Memes mit ihren mehrdeutigen Anspielungen. Diese Entwicklung wird in den öffentlichen Debatten häufig nicht angeschaut. Stattdessen geht es sehr viel um Regulierung und ob man Teenagern das Handy verbieten soll. Ich glaube nicht, dass dieser Ansatz etwas bringt.

Rechtsradikaler Nihilismus

netzpolitik.org: Es scheint sich abzuzeichnen, dass der mutmaßliche Attentäter von Charlie Kirk der rechtsradikalen Szene entstammt. Ein Motiv für den Mord könnte demnach in den Groyper Wars liegen. Was hat es damit auf sich?

Berit Glanz: Die Rechte im Internet ist fragmentiert. Es gibt unterschiedliche Fraktionen, die sich seit Jahren bekriegen. Zu den Streitfragen zählen etwa der Umgang mit Israel, mit Antisemitismus oder bestimmten Vorstellungen von ideologischer Reinheit.

Zwei Fraktionen in der US-amerikanischen Rechten sind hier besonders einflussreich. Die eine scharrt sich um den rechten Influencer Nick Fuentes, die andere um Charlie Kirk. Daher haben viele, die sich gut im Internet auskennen, nach dem Attentat auch umgehend eine Verbindung zu diesem Konflikt gezogen. [Anm. d. Red.: Sogenannten Groypern sind Kirk oder Trump nicht rechtsextrem genug.]

Das größere gesellschaftliche Problem sind aber die Gemeinschaften junger Männer im Internet, die sich antisozial gebärden. Das können Fan-Communitys sein, teilweise sind das auch Gaming-Subkulturen. Dieses Problem bekommt man nicht in den Griff, wenn man jetzt nur auf die Groyper Wars blickt. Stattdessen müssen wir untersuchen, in welche Radikalisierungskanäle junge Männer gelangen. Dazu gehören Incel-Culture und Andrew Tate, aber auch bestimmte Formen von Sport- und Körperkult, die etwa auf TikTok oft ein Einstieg sind in rechtes und maskulinistisches Denken.

Diese Foren müssen wir uns gründlich anschauen. Und wir müssen darüber nachdenken, wie wir als Gesellschaft damit umgehen. Das ist für mich die eigentliche Antwort, die wir auf den Mord an Charlie Kirk geben sollten.