Connect with us

Datenschutz & Sicherheit

Die vagen Open-Source-Pläne der EU-Kommission


Die EU-Kommission fördert seit Jahren Open-Source-Projekte. Zentral war dabei bisher ein Programm namens Next Generation Internet (NGI), das schnell und unbürokratisch Geld an vielversprechende Projekte verteilt – etwa den dezentralen Mikroblogging-Dienst Mastodon, die Videoplattform-Software PeerTube oder die Videokonferenz-Anwendung Jitsi.

Diesem NGI-Programm will die Kommission aber den Geldhahn abdrehen. Daran gibt es seit Monaten laute Kritik. NGI funktioniere gut und effizient, so die Botschaft verschiedener Gruppen. Open Source spiele eine zentrale Rolle dabei, Europa vor ausländischen Akteuren zu schützen – das sei gerade im aktuellen geopolitischen Umfeld sehr wichtig.

Die Kommission verweist seit Monaten darauf, dass das Ende von NGI nicht das Ende ihrer Open-Source-Förderung bedeuten soll. Die soll unter einem neuen Namen weiterlaufen – zuerst „Open Europe Stack“, inzwischen „Open Internet Stack“. Wichtig: Trotz des ähnlichen Namens hat das Programm nur indirekt mit dem „EuroStack“ zu tun.

Buzzword-Bingo

Aber was genau bedeutet das? Warum braucht es überhaupt ein neues Programm? Was soll sich mit dem neuen Namen ändern? Wie viel Geld soll das neue Programm haben? Darauf gab es bisher noch keine genauen Antworten.

In der offiziellen Beschreibung ist die Rede von einem „öffentlich verfügbaren und laufenden Stack“. Der soll sich auf „Internet-Technologien für Vertrauen, Transaktionen, Konnektivität und Dezentralisierung“ konzentrieren. Dabei soll eine „Bibliothek an inklusiven, vertrauenswürdigen, interoperablen und menschenzentrierten Anwendungen und Diensten“ entstehen.

Ein tatsächlich neuer Punkt: Das neue Programm soll mit dem sogenannten „Connected Collaborative Computing“-Netzwerk, kurz 3C-Netzwerk, verbunden sein. Dieses Netzwerk ist ein Wunschtraum der Kommission für ein Internet, das sich stärker auf Telekommunikationsfirmen stützen soll – einer der wenigen Sektoren, in denen Europa digital noch mitreden kann. Auch diese Idee ist aber momentan noch sehr vage.

Thibault Kleiner, Direktor im Generaldirektorat Connect der Kommission, wurde heute etwas konkreter. „Wir sind an einem Punkt, wo wir uns weiterentwickeln müssen“, sagte er heute beim jährlichen NGI-Forum in Brüssel. Die Arbeit des Programms sei ein großer Erfolg gewesen, ergebe aber nicht genug in Geschäftserfolge: „Wir machen die Arbeit, aber wir ziehen daraus keinen Gewinn.“ Der neue Fokus soll laut ihm auf Software liegen, die als glaubwürdige Alternative zu Big-Tech-Angeboten dienen soll.

Es stehen Entscheidungen an

Noch mehr Details zum Open Internet Stack liefert ein internes Dokument, dass ein Berater für die Kommission verfasst hat. Eine Kurzversion des Dokuments hat die Kommission für das NGI-Forum freigegeben – wir veröffentlichen die vertrauliche, vollständige Version des Dokuments.

Am konkretesten wird das Papier zum Budget des zukünftigen Programms. Das ist besonders wichtig, weil in Brüssel bald die Verhandlungen über den nächsten mehrjährigen Finanzrahmen der Europäischen Union beginnen. Der wird für die Jahre 2028 bis 2034 grob vorgeben, wofür die EU wie viel Geld ausgeben will – etwa, wie sehr sie Open-Source-Entwickler:innen fördern kann.

Wie viel Geld darf’s sein?

Das Dokument skizziert für diesen Zeitraum vier Szenarien: gar kein Geld, so viel wie bisher, ein wenig mehr Geld oder doppelt so viel. Sollte die EU-Kommission Open Source gar nicht mehr fördern, könnte Europa noch abhängiger von nicht-europäischer Software werden, warnt der Autor des Dokuments. Fachkräfte könnten abwandern.

Die Kommission könnte auch das bisherige Fördermodell von NGI weiterführen. Das habe sich bisher bewährt, schreibt auch der Autor des Papiers. Kosten würde das die Kommission insgesamt 35 Millionen Euro pro Jahr. Diese Option könnte auf dem aufbauen, was NGI bisher schon erreicht habe, und durch das unbürokratische Fördermodell auch kleine Organisationen erreichen.

Als dritte Option erwägt das Dokument ein Jahresbudget von 50 Millionen Euro, mit dem die europäische Digitalindustrie angefeuert werden soll. Das zusätzliche Geld soll etwa in den Bildungssektor fließen oder neue Unternehmen unterstützen. Gesonderte Budgets soll es für Technologie geben, die für Europa „kritisch“ ist – was auch immer das heißen soll.

Bei der vierten Option soll es sogar 70 Millionen Euro pro Jahr geben. Damit könnte Europa „die Regeln für das digitale Zeitalter setzen“, sagt der offenbar sehr optimistische Autor voraus. Mit diesem Geld könnte man zur ersten Region werden, die Open-Source-Maintainer als Personal für kritische Infrastruktur behandelt. Das könnte die digitale Infrastruktur widerstandsfähiger machen.

Noch viele Fragen offen

Die Zahlen für das Budget sind zwar relativ konkret – aber darüber hinaus bleiben die Pläne vage. Was bedeutet der neue Name etwa für die NLnet Foundation, die aktuell die Open-Source-Fördermittel an Entwickler:innen verteilt? Diese Frage bereitet momentan den Mitarbeitenden dort einiges Kopfzerbrechen. Es könnte auch sein, dass die Stiftung ihre Arbeit komplett einstellen muss.

Auch die Entwickler:innen sind momentan noch im Unklaren darüber, was der Open Internet Stack für sie bedeutet. Selbst die bekanntesten Open-Source-Projekte, die die EU bisher unterstützt hat, haben momentan noch eine Menge Fragen.

Das schwierige Thema Beschaffung

Das Dokument enthält auch noch eine ganze Liste an weiteren Ideen, was die EU in Sachen Open Source tun könnte. Ein zentrales Problem, auf das Open-Source-Entwickler:innen seit Jahren hinweisen, ist die öffentliche Beschaffung. Sie haben oft große Probleme damit, ihre Produkte an Behörden zu verkaufen, weil deren Prozesse für fertig verfügbare Software-Pakete aufgebaut sind.

Das Dokument schlägt deshalb vor, dass die EU ihre Verfahrensregeln besser auf Open Source ausrichten soll. Außerdem soll das zuständige Personal darüber fortgebildet werden, wie die Entwicklung von Open-Source-Software funktioniert. Die Kommission soll dabei mit gutem Beispiel vorangehen.

Diese Vorschläge kommen zu einem guten Zeitpunkt: Erst gestern berichtete Euractiv, dass die Kommission aktiv darüber verhandelt, für interne Cloud-Dienste von Microsoft Azure auf den französischen Open-Source-Cloud-Anbieter OVH Cloud umzusteigen. Auch die Beschaffungsregeln für Europas Behörden werden gerade überarbeitet.

Eine weitere Idee ist eine EU-Rechtsform für spendenfinanzierte Open-Source-Organisationen. Diese Rechtsform soll vor allem einfach und damit für Entwickler:innen zugänglich sein. Das könnte Problemen wie denen von Mastodon begegnen, dem in Deutschland die Gemeinnützigkeit aberkannt wurde.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Backup-Diebstahl: Angreifer stahlen bei Sonicwall Firewallkonfigurationen


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Der Firewallhersteller Sonicwall meldet einen Einbruch in Cloud-Konten seiner Kunden. Dabei haben Unbekannte Sicherungskopien von Firewallkonfigurationsdateien unerlaubt vervielfältigt und exfiltriert. Es handelt sich jedoch nicht um einen Cyberangriff auf Sonicwall, sondern offenbar um massenhaftes Durchprobieren von Zugangsdaten.

Wie Sonicwall ermittelt hat, haben die Angreifer bei weniger als fünf Prozent der Kunden Cloud-Konfigurationsdateien entwendet. Zwar sind in diesen jegliche Passwörter „verschlüsselt“, so der Hersteller (gemeint ist wohl, dass sie gehasht abgespeichert werden), doch könnten weitere Informationen spätere Angriffe auf die Firewalls erleichtern.

Nicht alle Sonicwall-Kunden betroffen

Die unbekannten Datendiebe haben sich weder mit einer Lösegeldforderung gemeldet noch ihre Beute in den üblichen Leak-Foren angeboten, beruhigt Sonicwall seine Kunden. Dennoch sollten diese zur Vorsicht überprüfen, ob sie betroffen sein könnten. Ein ausführlicher Leitfaden hilft bei der Feststellung und Beseitigung möglicher Risiken.

Über den genauen Hergang der Angriffe schweigt der Hersteller sich aus. Auch findet sich in den Sicherheitshinweisen keine Erklärung, wessen Zugangsdaten massenhaft – und offenbar bisweilen erfolgreich – durchprobiert worden seien. Infrage kommen nicht nur Kundenkonten, sondern auch die Zugänge von Sonicwall-Mitarbeitern oder -Partnern.

Erst vor wenigen Wochen wurden großangelegte Angriffe auf Sonicwall-Firewalls bekannt, die eine längst behobene Sicherheitslücke ausnutzten. Offenbar hatten reichlich Firewall-Administratoren die Aktualisierungen nicht eingespielt, was sie anfällig für Angriffe unter anderem der Ransomwaregruppe Akira machte.


(cku)



Source link

Weiterlesen

Datenschutz & Sicherheit

Entra-ID-Lücke: Angreifer hätten global alle Tenants übernehmen können


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Microsofts Identitäts- und Zugriffsverwaltungsdienst Entra ID war kaputt. Angreifer hätten mit vergleichsweise wenig Aufwand an einer „kritischen“ Sicherheitslücke ansetzen können. Davon waren global alle Entra-ID-Tenants betroffen. Microsoft hat die Schwachstelle im Juli dieses Jahres geschlossen. Nun führt ein Sicherheitsforscher Hintergründe zur Lücke aus.

Durch das erfolgreiche Ausnutzen der Schwachstelle war ein Admin-Zugriff auf beliebige Tenants möglich. Weil weltweit unter anderem große Unternehmen Entra ID nutzen, hätten Attacken weitreichende Folgen haben können.

In einem ausführlichen Beitrag erläutert ein Sicherheitsforscher von Outsidersecurity das Sicherheitsproblem. Er gibt an, die „kritische“ Schwachstelle (CVE-2025-55241) mit Höchstwertung (CVSS Score 10 von 10) im Juli dieses Jahres entdeckt und umgehend an Microsoft gemeldet zu haben. Er schreibt, dass Microsoft die Schwachstelle innerhalb weniger Tage geschlossen hat. Dafür mussten Entra-ID-Tenants nichts tun. Offensichtlich wurde das Problem serverseitig gelöst.

Um die Lücke auszunutzen, mussten Angreifer aber die Tenant-ID und die NetID eines Nutzers kennen. Doch beides lässt sich dem Forscher zufolge mit vergleichsweise wenig Aufwand herausfinden. Dass das keine so große Hürde sein kann, unterstützt auch die kritische Einstufung der Schwachstelle.

Kombinierter Angriff

Dem Sicherheitsforscher zufolge fußt eine Attacke auf zwei Grundlagen: Der erste Ansatzpunkt ist ein undokumentierter Token zur Identitätsfeststellung mit der Bezeichnung „Actor Token“. Diesen nutzt Microsoft in seinem Backend für Service-to-Service-Kommunikation.

Die zweite Komponente ist die eigentliche Schwachstelle in der Azure AD Graph API (Legacy), die solche Tokens nicht ausreichend überprüft. Demzufolge hätten sich Angreifer damit ausgerüstet als Admin für beliebige Tenants ausgeben können. Der Sicherheitsforscher führt aus, dass diese Tokens aufgrund ihrer Beschaffenheit an allen Sicherheitsrichtlinien vorbeischlüpfen, sodass es keine Gegenmaßnahme gab.

Nach erfolgreichen Attacken hätten Angreifer vollen Zugriff auf Entra-ID-Tenants gehabt. So hätten sie unter anderem persönliche Informationen und BitLocker-Schlüssel einsehen und die volle Kontrolle über Services wie SharePoint Online erlangen können. Erschwerend kommt hinzu, dass ein Angreifer mit einem Actor Token keine Spuren in Logs hinterlässt.

Microsoft gibt an, dass ihnen keine derartigen Attacken bekannt sind. Der Sicherheitsforscher führt in seinem Bericht weitere technische Hintergründe aus. In einer Warnmeldung listet Microsoft weitere Details auf.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Jetzt patchen! Angreifer nutzen Chrome-Sicherheitslücke in JavaScript-Engine aus


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Googles Chrome ist verwundbar und Angreifer nutzen derzeit eine Sicherheitslücke aus. Wer den Browser nutzt, sollte sicherstellen, dass die aktuelle Version installiert ist.

Jetzt updaten!

In einer Warnmeldung führen die Entwickler aus, dass sie insgesamt vier Softwareschwachstellen mit dem Bedrohungsgrad „hoch“ geschlossen haben. In drei Fällen (CVE-2025-10500, CVE-2025-10501, CVE-2025-10502) können Angreifer Speicherfehler provozieren, um so Schadcode auf Systeme zu schieben.

Eine Lücke (CVE-2025-10585) haben Angreifer derzeit im Visier. Dabei handelt es sich der knappen Beschreibung zufolge um eine Type-Confusion-Schwachstelle in der JavaScript-Engine V8. Wie ein solcher Angriff vonstattengeht und welche Auswirkungen eine erfolgreiche Attacke hat, ist derzeit unklar. In der Regel manipulieren Angreifer bei solchen Attacken bestimmte Parameter, um Fehler auszulösen. Das führt dann etwa dazu, dass sie unter anderem Zugangsbeschränkungen umgehen können. In welchem Umfang die Angriffe ablaufen, führt Google zurzeit nicht aus.

Die Entwickler versichern, dass sie die geschilderten Sicherheitsprobleme in den Chrome-Ausgaben 140.0.7339.185/.186 für Linux, macOS und Windows gelöst haben. Etwa unter Windows kann man unter „Hilfe“, „Über Google Chrome“ die installierte Version prüfen. In der Regel aktualisiert sich der Webbrowser automatisch. Ist das nicht der Fall, kann man das Update in dem Menü manuell anstoßen.


(des)



Source link

Weiterlesen

Beliebt