Angreifer können Systeme mit OpenSSL attackieren und unter bestimmten Voraussetzungen private Schlüssel wiederherstellen. Außerdem kann Schadcode auf PCs gelangen. Dagegen gerüstete Versionen stehen zum Download bereit.

Mit der freien OpenSSL-Software realisiert man unter anderem verschlüsselte Internetverbindungen auf TLS-Basis.

Mehrere Sicherheitsprobleme

In einer Warnmeldung listen die Entwickler die Softwareschwachstellen auf. Am gefährlichsten gilt eine Lücke mit der Kennung CVE-2025-9230 und dem Bedrohungsgrad „hoch„. Dabei kann es bei der Entschlüsselung von bestimmten CMS-Nachrichten zu Fehlern kommen, was zu Speicherfehlern (out-of-bounds) führt. Das resultiert in Abstürzen (DoS) oder es kann sogar zur Ausführung von Schadcode kommen.

Die zweite Sicherheitslücke (CVE-2025-9231 „mittel„) betrifft ausschließlich 64-Bit-ARM-Plattformen. Dort können entfernte Angreifer mit einer Timing-Side-Channel-Attacke im Kontext von SM2-Signaturen private Schlüssel rekonstruieren.

Die dritte Schwachstelle (CVE-2025-9232 „mittel„) kann zu DoS-Zuständen führen. Um die geschilderten Attacken vorzubeugen, sollten Admins zeitnah eine der abgesicherten Versionen installieren:

• OpenSSL 1.0.2zm (Premium-Support)
• OpenSSL 1.1.1zd (Premium-Support)
• OpenSSL 3.0.18
• OpenSSL 3.2.6
• OpenSSL 3.3.5
• OpenSSL 3.4.3
• OpenSSL 3.5.4

(des)

Nach der öffentlichen Empörung über den Erpressungsversuch eines britischen Kindergartenbetreibers durch Cyberkriminelle hat die Gang angeblich alle erbeuteten Fotos und Daten zu 8000 Kindern gelöscht. Das berichtet die BBC unter Berufung auf die Bande, die sich selbst Radiant nennt. Die hat demnach vor Tagen Zugang zu den Systemen von Kido Schools erlangt und dann begonnen, Profile zu einzelnen Kindern im Darknet zu veröffentlichen, um ein Lösegeld zu erpressen. Später seien dann sogar betroffene Eltern direkt kontaktiert worden, um Druck für die Zahlung der geforderten Summe zu erzeugen. Offenbar wurden sie dann aber von der öffentlichen Empörung überrascht. Zuerst hätten sie die erbeuteten Fotos weichgezeichnet und jetzt angeblich alle Daten gelöscht sowie sich entschuldigt.

Ermittlungen im Anfangsstadium

Das britische Unternehmen Kido Schools betreibt zahlreiche Kindergärten in Großbritannien, den USA und Indien, von dem Cyberangriff waren Medienberichten zufolge aber nur die britischen Einrichtungen betroffen. Laut der BBC hat die Gang namens Radiant den Zugang zu den Systemen von Kido Schools nicht selbst erlangt, sondern einem anderen Cyberkriminellen abgekauft. Radiant habe dann mit dem Erpressungsversuch begonnen. Insgesamt wollte die Bande demnach wohl etwas über 110.000 Euro in Form von Bitcoin erpressen. Die Londoner Polizei hatte laut Reuters Ermittlungen aufgenommen, die aber nicht weit fortgeschritten waren.

Während die Cyberkriminellen nun aber behaupten, dass sie den Erpressungsversuch aus moralischen Gründen beendet hätten, meint die Cybersicherheitsexpertin Jen Ellis gegenüber der BBC, dass die Ursache wohl eigentlich eine andere gewesen sei. Die Bande sei „sichtlich schockiert“, welche Aufmerksamkeit der Angriff bekommen habe und würde jetzt versuchen, ihre Marke zu schützen. Zudem kann gar nicht überprüft werden, ob die erbeuteten Daten tatsächlich gelöscht wurden. Der britische Nachrichtensender hat nach eigenen Angaben aber zumindest Hinweise erhalten, dass Kido Schools das geforderte Lösegeld nicht bezahlt hat. Für die Cybergang wäre der Angriff damit ein Verlustgeschäft. Zudem gebe es Hinweise, dass Radiant vergleichsweise unerfahren ist, schreibt die BBC noch.

(mho)

Während die Öffentlichkeit mit Covid-19-Varianten und Lockdowns beschäftigt war, rauschte im Mai des Jahres 2021 ein Gesetz durch den Gesetzgebungsprozess, das langfristig eine größere Wirkung haben dürfte, als vielen bewusst ist: das Registerzensus-Erprobungsgesetz (RegZensErpG).

Demnach darf das Statistische Bundesamt (StBA) nicht nur auf personenbezogene Daten aus den Datenbeständen der öffentlichen Verwaltung zugreifen, sondern vielmehr auch Tests für eine neue Art der Volkszählung durchführen.

Zunächst ging es hier vor allem um Daten aus den Melderegistern der kommunalen Verwaltungen. Seit Juli liegt nun ein neuer Referentenentwurf für eine Gesetzesänderung vor, wonach das Bundesamt Daten aus zwei weiteren Bereichen für die Erprobung statistisch auswerten können soll – und zwar aus Bildung und Arbeitsmarkt.

Schon im Jahr 2021 bemängelten Datenschützer*innen bei dem ursprünglichen Gesetz den laxen Umgang mit personenbezogenen Daten. Denn seine Tests darf das StBA entsprechend dem alten Gesetz auch mit Echtdaten durchführen. Laut Expert*innen verschärft sich das Problem, wenn mit dem neuen Entwurf weitere Arten von Daten hinzukommen.

Zensus? Register? Was ist das?

Aber erstmal ganz von vorn: Was ist ein Zensus, was ist ein Register und was will das Statistische Bundesamt testen? Besser bekannt ist der Zensus unter dem Namen „Volkszählung“. Das kann man sich so ähnlich vorstellen wie in der Bibel, in der alle Bewohner*innen gezählt wurden. Zweitausend Jahre später befragen Ämter die Bürger*innen nicht mehr direkt, sondern nutzen im Zuge der Digitalisierung personenbezogene Daten aus der öffentlichen Verwaltung. Die hält diese Daten in sogenannten Registern vor, daher der Ausdruck „Registerzensus“.

Bei den letzten beiden Volkszählungen in den Jahren 2011 und 2022 erhoben die Statistischen Ämter von Bund und Ländern Daten über die Bevölkerung nur noch stichprobenartig über Interviewer*innen, die von Haustür zu Haustür gehen. Weil das relativ lautlos vor sich ging, gab es auch keinen Aufschrei mehr wie bei der westdeutschen Volkszählung in den Achtziger Jahren.

Die zukünftigen Volkszählungen sollen, so die Pläne der Bundesregierung, nur noch mit Daten aus den Registern erfolgen. Da dieses Vorgehen verhältnismäßig neu ist, muss das Statistische Bundesamt entsprechende Verfahren ausprobieren.

Um welche Daten geht es?

Mit dem Erprobungsgesetz darf das Bundesamt, gesetzlich abgesichert, sensible Daten von Bürger*innen verarbeiten. Diese erhält es von den Statistischen Ämtern der Länder. Dazu gehören unter anderem „Vor- und Familienname, Wohnanschrift, Gemeinde, Geschlecht, Kalendermonat und Kalenderjahr der Geburt, Familienstand, Staat der Geburt, Kalenderjahr des Zuzugs nach Deutschland und Staatsangehörigkeiten“.

Das StBA darf die Daten aus verschiedenen Quellen zusammenführen und Verfahren testen, um einen reibungslosen Registerzensus zu üben. Künftig will es Daten aus „den Themenbereichen Bevölkerung, Gebäude und Wohnungen, Haushalte und Familien sowie Arbeitsmarkt und Bildung“ aus den Datenbeständen der Verwaltung entnehmen, „automatisiert zusammenführen sowie aufbereiten“, so das StBA auf seiner Website.

Bürger*innen direkt zu befragen, werde nur noch dann notwendig, wenn die entsprechenden Daten nicht zur Verfügung stehen.

Was erprobt das Statistische Bundesamt und wozu?

Um statistische Daten zu erheben, ohne Bürger*innen direkt befragen zu müssen, darf das Statistische Bundesamt auf die Melderegister zugreifen. Hier arbeiten die Statistischen Ämter der Länder mit dem Bundesamt zusammen. Künftig will das StBA Aussagen zu Einkommen oder Familienverhältnissen wie auch demografische Entwicklungen rein aus Registerdaten ableiten. Dazu will es beispielsweise Daten aus anderen Registern probeweise mit den Meldedaten verbinden.

Eigenen Angaben zufolge startete das Statistische Bundesamt 2024 die erste Erprobungsphase und testet seither Methoden für den Registerzensus. Dazu gehören technische Tests von IT-Fachanwendungen. Das Ziel ist, Methoden zu finden, die dem Qualitätsanspruch der bisherigen Völskzählung entsprechen. Sobald die Änderung des RegZensErpG verabschiedet ist, will das Statistische Bundesamt weitere Methodentests in den Modulen Arbeitsmarkt und Bildung durchführen.

Echte Daten statt Dummys

Zwar waren sich bei der öffentlichen Anhörung zum RegZensErpG im Mai 2021 alle Sachverständigen darin einig, dass Politik und Verwaltung eine gute Datenbasis für ihr Handeln brauchen und dass der Registerzensus von der Idee her gut ist. Zudem folgt das Gesetz inhaltlich Vorgaben der Europäischen Union. Hier greift etwa die EU-Rahmenverordnung über Zensus und Bevölkerungsstatistiken (ESOP).

Doch gingen die Meinungen dazu weit auseinander, was beim Testen entsprechender Verfahren erlaubt sein soll. Das mag auch daran liegen, dass das Gesetz nicht eindeutig festlegt, was in den Bereich der Erprobung fällt, was also das StBA konkret testen darf, erklärt Jurist und Datenschutzexperte Christian Aretz gegenüber netzpolitik.org. Der Begriff „Erprobung“ ist hier sehr weit gefasst.

Aus dem Gesetz scheine hervorzugehen, dass das StBA unter anderem „die reine technische Umsetzbarkeit“ testen will. Das sei höchstproblematisch. Denn das Amt testet mit Echtdaten und „ein Test impliziert immer, dass er auch fehlschlagen kann“, so Aretz. „Sonst müsste ich nicht testen. Dazu echte personenbezogene Daten zu verwenden, erzeugt ein unnötiges Risiko für den Datenschutz“, so Christian Aretz. Läuft ein Test schief, könnten etwa mehr Daten übermittelt werden als erlaubt.

Dabei könne das StBA für Tests leicht eine Testumgebung einrichten, erklärt Kirsten Bock von der Stiftung Datenschutz, die im Jahr 2021 Sachverständige im Bundestag zum Thema war. Das lohne sich nicht nur angesichts aller Tests, die das StBA künftig noch ausführen will. „Vielmehr trägt es dem Datenschutz Rechnung und ist in IT-Umgebungen übliches Vorgehen, da hier andernfalls ein großes Risiko für die IT-Sicherheit die Rechte und Freiheiten der Bürger*innen besteht.“

Schafft der Bund ein quasi-Zentralregister?

Das Thema IT-Sicherheit hat der Gesetzgeber kaum mitbedacht. Denn die echten Daten laufen beim StBA zentral zusammen und sollen sogar mit dem jeweiligen Identifier der einzelnen Bürger*innen verknüpft werden. Der Identifier, auch einheitliches Personenkennzeichen genannt, ist mal wieder die Steuer-ID.

Dabei sei es gar nicht erforderlich, Daten zentral zusammenzuführen, sagt Bock gegenüber netzpolitik.org. Meldedaten aus den kommunalen Registern könnten zwar auf Bundesebene miteinander abgeglichen werden. Sie mit Sozial- und Wirtschaftsdaten zusammenzuführen, könnte aber auch gut ausschließlich auf regionaler Ebene erfolgen. Das ist gerade relevant, wenn Lokalpolitiker*innen entscheiden müssen, ob eine Schule gebaut werden soll oder ob eine Gemeinde noch ein Seniorenheim braucht.

Daten könnte man sogar auf föderaler Ebene erheben und dann erst mit Daten auf Bundesebene zusammenführen, wenn sie bereits anonymisiert sind. Das wären echte statistische Daten, so Bock.

Hingegen baue der Bund hier eine zentrale Infrastruktur auf, mit der das StBA die Zweckbindung unterlaufen und sich ein Bild zu verschiedenen Fragen machen kann. Das sei aus gutem Grund verfassungsmäßig für Deutschland nicht vorgesehen. Denn diese Infrastruktur könne „von einer übelmeinenden Regierung ausgenutzt werden“, erklärt Bock.

Großzügige bis unklare Löschfristen

Die zentrale Zusammenführung personenbezogener Daten im StBA hat aber auch noch ein weiteres Problem: Das Amt darf sie laut mindestens drei Jahre lang vorhalten. Ulrich Kelber, damaliger Bundesdatenschutzbeauftragter, kritisierte im Mai 2021: Das Gesetz legt nicht klar fest, wie lange das StBA die Daten bei sich vorhalten darf und wann es die verarbeiteten Daten löschen muss. Er mahnte im Eilverfahren dringend an, das Gesetz nachzubessern. Die damalige Große Koalition ließ diese Mahnung jedoch verpuffen.

Der Gesetzgeber hatte seinerseits bereits einen vorsichtigen Schutzmechanismus ins Gesetz geschrieben. Denn er unterscheidet zwischen sogenannten Erhebungs- und Hilfsmerkmalen und gibt vor, dass letztere möglichst früh zu löschen sind.

Hilfsmerkmale sind die, „mit deren Hilfe man zwei Datenbanken miteinander verheiraten kann“, erklärt Aretz. Das muss man in etwa so vorstellen: „Damit ich den Datensatz zu Max Mustermann aus der Datenbank A dem Datensatz zu Max Mustermann in der Datenbank B zuordnen kann, brauche ich ein Hilfsmittel, beispielsweise die Personalausweisnummer.“

Sobald die Zuordnung geklappt hat, könne man das Hilfsmittel löschen, spätestens nach drei Jahren. „Man rechnet also damit, dass die Daten in dieser Zeit irgendwo herumliegen“, so Aretz. Das verstoße gegen den datenschutzrechtlichen Grundsatz der Erforderlichkeit. Danach dürfen Daten nur dann verarbeitet werden, wenn dies gegenwärtig erforderlich ist. Sie dürfen also nicht vorgehalten werden für den Fall, dass man sie mal braucht.

Dabei handele es sich faktisch nicht mehr um statistische Daten. „Hier müssen wir von personenbezogenen Daten sprechen“, so Bock. Dass das StBA die Daten zentral bei sich und über einen so langen Zeitraum speichert, mache es zu einem attraktiven Ziel für Angreifer. Im Zweifelsfall bekomme es sogar nicht einmal unbedingt jemand mit, wenn an dieser Stelle Daten abfließen.

„Die informationelle Macht von Staat und Verwaltung“

Daten von Bürger*innen in dieser Art und Weise miteinander zu verknüpfen und zentral zu speichern, verstoße laut Bock außerdem gegen den Grundsatz der Gewaltenteilung. Der besage nämlich auch, dass die Verwaltungsbereiche voneinander getrennte Datenhaltungen haben.

Die Trennung hier aufzuheben, widerspreche dem verfassungsmäßigen Schutz der Bürger*innen vor den übermächtigen Zugriffen einer Verwaltung oder Regierung. Die dürften keine Profile zu einzelnen Bürger*innen anfertigen. Es bedeute Schutz der Demokratie, wenn keine staatliche Stelle übermäßig mächtig wird. „Doch was hier aufgebaut wird, ist eine massive informationelle Macht von Staat und Verwaltung.“

Diese Dynamik nehme zu, wenn der Referentenentwurf durchkommt und das StBA zusätzliche Daten zu den Beschäftigungsverhältnissen und Ausbildungswegen der Bürger*innen verarbeiten kann, so Bock.

Der Referentenentwurf liegt nun den Bundesländern, Verbänden, Organisationen und Institutionen vor. Sie haben die Gelegenheit zur schriftlichen Stellungnahme.