Überwachung und digitale Gewalt sind Kernthemen auf netzpolitik.org. Jetzt haben Chris und Martin nachgelegt: Es ist das erste Mal, dass sie die Geschichte einer Person erzählen können, die nachweislich von ihrem Ex-Partner mithilfe eines Spionage-Programms auf ihrem Telefon überwacht wurde.

Aiko und Tom waren weniger als ein Jahr zusammen, das Stalking danach dauert länger. Er will nicht loslassen, verfolgt sie, lauert ihr auf. Immer wieder scheint er ganz genau zu wissen, wo sie sich aufhält. Selbst als sie sich auf eine Reise nach China flüchtet.

Möglich macht das die Software mSpy, über die Martin und Chris schon länger kritisch berichten. Im Podcast erzählen sie, wie sie auf Aiko gestoßen sind, die bereit war, ihre Geschichte zu erzählen. Wir sprechen über Emotionen bei der Recherche-Arbeit und wie man juristisch sauber über Fälle schreibt, bei denen nicht jeder Verdacht abschließend belegt werden kann.

In dieser Folge: Chris Köver, Ingo Dachwitz und Martin Schwarzbeck.
Produktion: Serafin Dinges.
Titelmusik: Trummerschlunk.

Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.

Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.

Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.

Links und Infos

Blattkritik

Hausmitteilungen

Die Texte unserer Praktikantin Laura Jaruszewski: Von Grok über Frontex bis zum Social-Media-Verbot

Thema des Monats

Kapitel

(00:00:00) Begrüßung
(00:02:06) Blattkritik
(00:07:26) Hausmitteilungen
(00:09:49) Thema des Monats
(00:40:29) Postfach
(00:44:54) Credits

IT-Forscher haben in Aviras Antimalware-Software Sicherheitslücken entdeckt, durch die Angreifer verwundbare Systeme kompromittieren können. Dazu müssen sie teils lediglich Dateien an bestimmte, von Nutzern und Nutzerinnen zugreifbare Orte im Dateisystem ablegen, was zur Ausführung von beliebigem Code mit Systemrechten führt.

Konkret führen die Quarkslab-Analysten die Schwachstellen anhand der kostenlosen „Avira Free Security“-Software vor, allerdings ist auch Avira Internet Security und weitere Software mit den genutzten Komponenten anfällig. Bei allen setzen die Angreifer auf eine Technik, die durch Löschen bestimmter Dateien durch die attackierte Software das Ausführen von Code ermöglicht. Trend Micros Zero-Day-Initiative (ZDI) liefert eine umfassende Erläuterung der Missbrauchsmöglichkeiten.

Avira: Drei hochriskante Sicherheitslücken

In der Updater-Komponente der Software fehlt eine Prüfung, ob eine Datei unter „C:\ProgramData“ ein symbolischer Link ist. Angreifer können einen bösartigen Link erstellen, um dadurch beliebige Dateien im System zu löschen – aufgrund der Löschung durch den Dienst mit „SYSTEM“-Rechten. Das erlaubt die Ausweitung der Rechte und vollständige Kompromittierung des Systems (CVE-2026-27748, CVSS4 8.5, Risiko „hoch“). Die System-Speedup-Komponente hingegen deserialisiert Daten aus einer Datei in dem vorgenannten Ordner, ohne etwaige Prüfung oder Sicherheitsmaßnahmen. Standardmäßig können lokale User diese Datei anlegen oder verändern. Angreifer können das direkt lokal oder etwa mittels Social Engineering aus dem Netz gegen arglose Opfer missbrauchen, um beliebigen Code mit „SYSTEM“-Rechten auszuführen (CVE-2026-27749, CVSS4 8.5, Risiko „hoch“).

Die dritte Sicherheitslücke betrifft die Optimizer-Komponente und ist zeitbasiert: Eine Datei wird dabei zwar überprüft, kann vor der Nutzung noch einmal verändert werden (time-of-check time-of-use, TOCTOU). Zunächst scannt der privilegierte Dienst, welche Ordner sich zur Systembereinigung löschen lassen, und löscht die dann später in einem zweiten Durchgang. Angreifer können ein bereits gescanntes Verzeichnis durch eine Junction oder einen sogenannten Reparse Point (auf Deutsch „Analysepunkt“) ersetzen und den Dienst so dazu bringen, beliebige Dateien oder Ordner mit den höchsten Rechten zu löschen, mit den bekannten Folgen (CVE-2026-27750, CVSS4 8.5, Risiko „hoch“).

Die Schwachstellen betreffen Avira-Versionen bis einschließlich 1.1.109.1990. Die Fassung 1.1.114.3113, die offenbar Anfang Februar 2026 verfügbar wurde, soll die Sicherheitslecks stopfen. Wer Avira einsetzt, sollte daher zügig sicherstellen, dass die Software tatsächlich auf aktuellem Stand ist. Bereits im Mai vergangenen Jahres haben TuneUp und weitere Dienste in Avira, aber auch in AVG- und Norton-Produkten Sicherheitslücken in Windows-Systemen aufgerissen.

(dmk)

Am Freitag endet die NIS2-Frist für alle Behörden, Unternehmen und sonstigen Einrichtungen, die schon bei Inkrafttreten der unter die geänderten Regeln für Kritische Infrastrukturen gefallen sind. Sie müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) anzeigen, dass sie betroffen sind. Aber auch weitere technische Angaben zu betroffenen kritischen Komponenten, öffentlichen IP-Adressbereichen und Details zu Anlagen, wie es in §33 BSI-Gesetz vorgeschrieben ist, sind fällig.

Wer unter die Regeln der geänderten IT-Sicherheitsvorgaben der Europäischen Union fällt, muss ab heute, drei Monate nach dem Inkrafttreten, also damit rechnen, dass das BSI unter Verweis auf die Registrierungspflicht anklopft und die entsprechenden Angaben verlangt. Die Nichtregistrierung kann eine bußgeldbewehrte Ordnungswidrigkeit darstellen.

Die Wahrscheinlichkeit dafür, dass das BSI mindestens erinnern muss, ist dabei hoch: Laut Auskunft des zuständigen Bundesinnenministeriums auf eine Anfrage der Grünen-Digitalpolitikerin Jeanne Dillschneider hatten zwei Wochen vor dem heutigen Stichtag gerade einmal 4856 „wichtige und besonders wichtige Einrichtungen“ ihre Registrierung beim BSI vorgenommen. Die Bundesregierung rechnete bei der Gesetzesverabschiedung allerdings mit etwa 30.000 betroffenen Stellen.

Grüne fordert weniger Gecyber und mehr IT-Sicherheit vom Innenminister

Ein „Armutszeugnis“ ist das für die Grünenpolitikerin: „Die NIS2-Richtlinie wird nicht nur mittelmäßig umgesetzt, es fehlt auch jede ernsthafte Idee, um die Vorgaben wirksam durchzusetzen.“ Wirkung könnte das Gesetz nur entfalten, wenn es auch umgesetzt würde. Sie erwartet von der Bundesregierung mehr Unterstützung für betroffene Organisationen, um den anspruchsvollen Registrierungsprozess abzuschließen. Politisch verantwortlich ist dafür Bundesinnenminister Alexander Dobrindt (CSU). „Offenbar ist der Innenminister so beschäftigt damit, von Cyberdomes und aktiver Cyberabwehr zu träumen, dass er ganz die Cybersicherheit im eigenen Land vergisst“, kritisiert die Grünen-Abgeordnete Dillschneider.

Das Bundesamt für Sicherheit in der Informationstechnik hält im sogenannten BSI-Portal umfangreiche Anleitungen und Hinweise bereit. Allerdings erfordert die Registrierung dort zuvor das Anlegen eines Unternehmenskontos auf Elster-Organisationszertifikatbasis im Portal „Mein Unternehmenskonto“ (MUK).

(dahe)