Auch Intel hat eine Reihe an Sicherheitsmeldungen in der Nacht zum Mittwoch veröffentlicht. Von den 30 Sicherheitsmitteilungen behandeln sieben Schwachstellen, die der Chiphersteller als hochriskant einstuft. Admins und Nutzerinnen sowie Nutzer sollten die dafür bereitstehenden Aktualisierungen zügig anwenden.

Unter anderem sticht die Intel PROset / Wireless WiFi Software heraus. Darin klaffen gleich sechs Sicherheitslücken, die Angreifern einen Denial-of-Service ermöglichen. Die Schwachstellen CVE-2025-35971, CVE-2025-30255, CVE-2025-35963 und CVE-2025-33029 erreichen mit einem CVSS4-Wert von 8.3 das Risiko „hoch„. Betroffen sind diverse Intel-WiFi-Produkte und Prozessoren mit integrierten Drahtlos-Funktionen; der Treiber für Windows in Version 23.160 und neuere Fassungen stopfen die Sicherheitslecks. Sie stehen auf einer Download-Seite von Intel zum Herunterladen bereit.

In der Firmware und Software von Intels Grafikhardware finden sich ebenfalls teils hochriskante Sicherheitslecks. Angreifer können durch eine Schwachstelle in der Firmware zu Intels Arc-B-Serie-GPUs sowie in den Treibern der Intel-Arc-Grafik ihre Rechte im System ausweiten (CVE-2025-32091, CVSS4 8.4, Risiko „hoch„). Weitere Lücken in den Treibern für Intels Arc-, Arc-Pro- und Iris-Xe-Grafikmodule ermöglichen ebenfalls eine Rechteausweitung (CVE-2025-31647, CVSS4 5.4, Risko „mittel„) oder einen Denial of Service (CVE-2025-25216, CVSS4 2.0, Risiko „niedrig„). Intel stellt das Update auf die Treiberversion 32.0.101.6913 für Intel Arc-und Irix-Xe bereit. Für Intel Arc Pro steht die Fassung 32.0.101.6862 bereit. Intel empfiehlt zudem, die Intel-LTS-Kernel-Software auf den aktuellen Stand zu bringen.

Weitere hochriskante Schwachstellen

In Intels UEFI-Referenz-Plattform kann aktiver Debug-Code zur Ausweitung der Rechte oder für Denial-of-Service-Attacken missbraucht werden. Das betrifft Intel Xeon 6 mit E-Cores (Sierra Forest) sowie mit P-Cores (Granite Rapids). Die Systemanbieter haben Zugriff auf die jüngsten Aktualisierungen und sollten die an Kunden verteilen. (CVE-2025-30185, CVSS4 8.3, Risiko „hoch„).

Weitere Sicherheitsmeldungen, die Admins zeitnah in der Update-Planung berücksichtigen sollten:

23 weitere Schwachstellen-Meldungen hat Intel im Security-Center veröffentlicht. IT-Verantwortliche sollten prüfen, ob sie verwundbare Produkte einsetzen und die bereitgestellten Aktualisierungen installieren.

(dmk)

Microsoft hat Windows 11 aufgebohrt und ermöglicht nun die Nutzung externer Passkey-Manager. Nutzerinnen und Nutzer haben von jetzt an die Wahl, ob sie die passwortlose Anmeldung mit dem Microsoft Passwort-Manager oder vertrauenswürdigen Drittanbieter-Programmen erledigen wollen.

Laut dem Blog-Eintrag des Windows-IT-Pro-Blogs in Microsofts Techcommunity ist die Funktion ab sofort mit den Windows-Sicherheitsupdates zum November-Patchday allgemein verfügbar. Zu Anfang unterstützt Microsoft die Passwort-Manager 1Password und Bitwarden.

Plug-in-Passkey-Manager

Passkeys sind nicht für Phishing anfällig, weniger verwundbar bei Datenlecks – und schließlich einfacher und schneller zu nutzen als Passwörter. Die Unterstützung für Plug-in-Passkey-Manager liefere daher Auswahl und Flexibilität, da Nutzer die Wahl haben, ihren bevorzugten Passkey-Manager zu nutzen. Die Authentifizierung sei einfach, da Passkeys sich mit Windows Hello erstellen und zur Anmeldung einsetzen lassen. Zudem werden die Passkeys damit überall verfügbar, da sie zwischen Windows-PC und Mobilgeräten synchronisiert werden.

In der Praxis bietet Windows Hello beim Erstellen von Passkeys nun die Möglichkeit, das Programm zum Speichern auszuwählen. Der Screenshot zeigt etwa, wie 1Password für die Speicherung eines Github-Passkeys genutzt wird. Ein weiterer Screenshot im Blog-Beitrag zeigt, wie Windows Hello den Passwort-Manager Bitwarden zum Ausliefern des Anmelde-Passkeys verwendet.

Die Passkey-Manager-Unterstützung ermöglicht Passwort-Managern mit Passkey-Support, sich direkt in Windows zu integrieren. Nutzerinnen und Nutzer können ihre Passkeys über Browser und native Apps hinweg speichern, verwalten und nutzen. Die Einrichtung der bevorzugten Zugangsdatenverwaltung haben die Entwickler als Teil des Passkey-Erstellungs-Prozesses umgesetzt. Die Authentifizierung setzt dabei auf Windows Hello mit PIN, Fingerabdruck oder Gesichtserkennung, sodass die Zugangsdaten nur vom Besitzer genutzt werden können.

Microsoft-Passwort-Manager

Wie vergangene Woche bekannt wurde, hat Microsoft den Passwort-Manager „Autofill“ in Microsofts Webbrowser Edge mit Passkey-Synchronisation versehen. Mit dem November-Sicherheitsupdate für Windows 11 landet der Passwort-Manager als natives Plug-in in Windows. Er lässt sich dadurch mit Microsoft Edge, anderen Webbrowsern oder jeder App nutzen, die Passkeys unterstützt.

Microsoft preist Vorteile an wie die durch die Passwort-Manager-PIN geschützte Synchronisation, die die Passkeys auf weiteren Windows-Geräten verfügbar macht, auf denen Nutzer mit demselben Microsoft-Konto in Edge angemeldet sind. Serverseitig sollen Azure Managed Hardware Security Modules (HSMs) die Verschlüsselungs-Keys schützen. Vertrauliche Operationen finden dort in Hardware-isolierten Umgebungen (Azure Confidential Compute) statt, und die Wiederherstellung soll sicher vor Veränderungen sein durch Azure Confidental Ledger.

(dmk)

Die Abgeordneten des Ausschusses für Arbeit und Soziales im EU-Parlament fordern, dass finale Entscheidungen über Einstellungen, Kündigungen oder Vertragsverlängerungen, Gehaltsänderungen oder Disziplinarmaßnahmen immer von einem Menschen getroffen werden. Niemand soll durch einen Algorithmus gefeuert werden, sagte der Berichterstatter Andrzej Buła von der EVP. Er bezeichnete den Berichtsvorschlag des Ausschusses als „ausgewogen“, da er sowohl Unternehmen als auch Beschäftigten zugutekomme. Arbeitgeber sollen weiterhin frei entscheiden können, welche Systeme sie nutzen. Arbeitnehmer:innen bekämen damit das Recht auf Datenschutz und Information.

Beschäftigte sollen sich etwa algorithmische Entscheidungen erklären lassen können. Außerdem sollen sie erfahren, wie entsprechende Systeme eingesetzt werden, welche Daten diese über sie sammeln und wie die menschliche Aufsicht garantiert wird, die es für alle Entscheidungen durch algorithmische Systeme geben soll. Der Ausschuss will zudem, dass Arbeitnehmer:innen zum Umgang mit diesen Systemen geschult werden.

Verbot von Verarbeitung mancher Daten

Darüber hinaus soll die Verarbeitung von gewissen Datenkategorien verboten werden. Dazu zählen psychische und emotionale Zustände, private Kommunikation und der Aufenthaltsort außerhalb der Arbeitszeit. Daten über gewerkschaftliches Engagement und kollektive Verhandlungen sollen ebenso tabu sein.

Der Antrag wurde im Ausschuss mit 41 Stimmen angenommen, bei 6 Gegenstimmen und 4 Enthaltungen. Das EU-Parlament wird in seiner Sitzung Mitte Dezember über den Ausschussvorschlag abstimmen. Anschließend hat die EU-Kommission drei Monate Zeit zu reagieren: Sie kann das Parlament entweder über die geplanten nächsten Schritte informieren oder erklären, warum sie keine entsprechende Gesetzesinitiative einleitet.

Auf Nachfrage von netzpolitik.org erklärte Kommissionssprecher Thomas Regnier am Dienstag, dass der AI Act bereits Beschäftigte schütze. Beispielsweise sei dadurch verboten, dass Arbeitgeber Systeme zur Emotionserkennung einsetzen. Das gehört zu den verbotenen Anwendungen von KI, die bereits seit Inkrafttreten der Verordnung gelten.

AI Act reicht nicht aus

Im Oktober wurde zu dem Thema eine Studie veröffentlicht, die der Ausschuss in Auftrag gegeben hatte. Darin heißt es, dass der AI Act diese Art von Systemen als risikoreiche KI-Systeme einstuft, wenn sie am Arbeitsplatz eingesetzt werden. Das zieht Verpflichtungen in Bezug auf Transparenz, menschliche Aufsicht und Konformitätsbewertungen nach sich. Jedoch gebe es Lücken. Etwa seien Arbeitgeber nicht dazu verpflichtet, Verzerrungen in Algorithmen zu erkennen und zu mindern, die Arbeitnehmer:innen diskriminieren könnten.

Außerdem müssen laut der EU-Verordnung Betroffene zwar über automatisierte oder KI-gestützte Entscheidungen informiert werden. Es gibt jedoch keine Regelung, dass manche Entscheidungen ausschließlich von Menschen getroffen werden dürfen, so wie es die Abgeordneten fordern. Weiterhin stütze sich der AI Act in der Umsetzung auf Marktüberwachungsbehörden, nicht auf Behörden für den Schutz von Grundrechten. Auch schaffe der AI Act keine spezifischen Datenschutzrechte für den Arbeitsplatz.

Die Studie verweist zudem auf die EU-Richtlinie zur Plattformarbeit von 2024, die ähnliche Aspekte behandelt. Sie gilt jedoch nur für Plattformbeschäftigte. Die Autor:innen kommen zu dem Schluss, dass die bestehenden Regelungen einen gewissen Basisschutz bieten, aber kein kohärentes Regelwerk spezifisch für den Arbeitsplatz beinhalten.