Freitag: Microsoft droht Sicherheitsforscher, Phishing-Affäre auch in Australien

Microsoft hadert mit veröffentlichten Beweisen ungepatchter Sicherheitslücken. Der Konzern droht jetzt mit rechtlichen Schritten, denn er sei entgegen üblicher Vorgehensweise nicht vorab informiert worden. Der Entdecker der Schwachstellen sieht sich dagegen ignoriert und diffamiert. Technische Schwachstellen waren nicht nötig, dass ein australischer Parlamentsabgeordneter und drei Mitarbeiter Opfer offenbar ausländischer Angreifer wurden. Die Masche ähnelt der Signal-Affäre in Deutschland, in Australien ist es WhatsApp. Auch hier sind die Opfer einer Phishing-Kampagne auf den Leim gegangen. In Europa will die EU-Kommission Behörden nahelegen, vor Ort einzukaufen, konkret bei Prozessoren europäischer Start-ups. Das soll Teil des zweiten Chips-Gesetzes werden, um das Ziel der Verdopplung des Weltmarktanteils bei der Halbleiterproduktion bis 2030 doch noch zu erreichen – die wichtigsten Meldungen im kurzen Überblick.

Nachweise von Sicherheitslücken in Microsoft Windows sind zuletzt mehrfach veröffentlicht worden, ohne dass es dafür ein Sicherheitsupdate gegeben hat. Solche Lücken wurden dann auch ausgenutzt. Das missfällt Microsoft. Der Konzern droht mit Klagen und der Polizei. Es gehört grundsätzlich zum guten Ton in der IT-Sicherheitsbranche, dass Entdecker einer Sicherheitslücke die Zuständigen informieren und diesen beschränkte Zeit geben, Updates herauszugeben, um den Fehler zu beheben. Deshalb ärgert sich Microsoft, nicht vorab über die Sicherheitslücken informiert worden zu sein. Der Entdecker der Windows-Lücken sieht sich diffamiert, denn der Konzern habe sein Konto, über das er Schwachstellen unentgeltlich gemeldet habe, gesperrt: Microsoft reagiert mit Drohung auf Offenlegung von Sechs Zero-Days in sechs Wochen.

Sicherheitslücken gab es lediglich auf menschlicher Seite, als die WhatsApp-Konten eines Mitglieds des australischen Parlaments und dreier Mitarbeiter von vermeintlich staatlichen Angreifern aus dem Ausland übernommen wurden. Sie wurden Opfer einer Phishing-Kampagne, die in der Vorgehensweise der kürzlichen Signal-Affäre Deutschlands ähnelt, wo ebenfalls Spionageverdacht besteht. Auch in Australien haben die Angreifer vermeintlich vertrauenswürdige Konten verwendet, um die Opfer zur Herausgabe von Prüfcodes zu verleiten, mit denen die WhatsApp-Konten übernommen werden konnten. Nach Angaben des zuständigen IT-Leiters gebe es „Beweise für einen ausländischen staatlichen Akteur“, er führte dies aber nicht weiter aus: Auch in Australien fallen Parlamentarier einer Phishing-Kampagne zum Opfer.

In Europa sollen Behörden ihre Prozessoren künftig vorrangig bei EU-Start-ups bestellen. Außerdem sollen die umweltrechtlichen Genehmigungen für Chipfabriken flotter ausgestellt werden. Mit diesen Maßnahmen möchte die EU-Kommission die Halbleiterproduktion in der Union unterstützen, heißt es jetzt. Denn bislang hat die als „Chips-Gesetz“ bekannte EU-Verordnung 2021/694, mit der die EU ihren Weltmarktanteil an der Halbleiterproduktion bis 2030 von zehn auf 20 Prozent verdoppeln möchte, die in ihr gesetzten Erwartungen nicht erfüllt. Die Verordnung hat aber auch noch nicht viel Zeit gehabt, zu wirken. Weil diese drängt, ist nun ein zweites Chips-Gesetz in Vorbereitung, mit dem Chip-Start-ups durch Binnennachfrage unterstützt werden sollen: Behörden sollen durch Chips Act 2.0 mehr europäische Chips kaufen.

Was für Microsoft der Patch Tuesday, ist für Anthropic der Release Thursday: Claude Opus 4.8 ist ab sofort verfügbar – zum gleichen Preis wie Vorgänger Opus 4.7. Wenig überraschend soll sich das neue Modell in Benchmarks für Coding, agentische Fähigkeiten, Reasoning und Wissensarbeit weiter verbessert haben, ist allerdings nicht in jeder Diziplin Benchmarksieger. Begleitend zum Modell-Update stellt das Unternehmen mehrere neue Funktionen bereit, die primär auf autonomes, großskaliges Arbeiten abzielen. Laut Anthropic macht Opus 4.8 Unsicherheiten häufiger kenntlich und stellt seltener ungestützte Behauptungen auf als sein Vorgänger. Parallel zur Veröffentlichung von Opus 4.8 kündigt Anthropic an, Modelle der Mythos-Klasse in den nächsten Wochen für alle Kunden verfügbar zu machen: Anthropic bringt „ehrlicheres“ Claude Opus 4.8 – und kündigt Mythos an.

Im heutigen c’t-Datenschutz-Podcast widmen wir uns gleich mehreren Themen der jüngsten Vergangenheit. Den Auftakt macht ein bemerkenswertes Bußgeld der niederländischen Datenschutzaufsicht: 100 Millionen Euro muss die MLU B.V. zahlen, Betreiberin der europäischen Version der Yandex-Taxi-App Yango, denn sensible Daten wurden nach Russland übermittelt. Zudem diskutieren wir die Pläne der neuen grün-schwarzen Landesregierung Baden-Württembergs, 40 Prozent der Stellen beim Landesbeauftragten für Datenschutz und Informationsfreiheit zu streichen. Den Schwerpunkt der Episode bildet das Russmedia-Urteil des Europäischen Gerichtshofs, das Plattformbetreiber unter Umständen zu einer anlasslosen Vorabprüfung von Inhalten verpflichtet. Das sind die Themen der Auslegungssache 160: Kippt der Datenschutz das Haftungsprivileg?

Auch noch wichtig:

(fds)