Canonicals IT-Infrastruktur steht unter Beschuss: Snapstore, Launchpad, die Ubuntu-Website und andere wichtige Komponenten sind zurzeit schwer bis gar nicht erreichbar. Canonical bestätigt den Angriff und arbeitet bereits an der Behebung der Probleme.

Derzeit gibt es einen „laufenden, grenzüberschreitenden Angriff“, schreibt Canonical auf seiner Statusseite. Dadurch häufen sich Spekulationen über eine DDoS-Attacke, bestätigt ist das aktuell jedoch nicht (Stand: Freitag, 1. Mai, 13:28). Der Angriff fällt laut der Seite unter die Kategorie „Komplettausfall“. Die Liste betroffener Linux-Komponenten ist lang:

• gopkg.in
• lists.ubuntu.com
• security.ubuntu.com
• jaas.ai
• keyserver.ubuntu.com:11371
• wiki.ubuntu.com
• ppa.launchpad.net
• archive.ubuntu.com
• Livepatch API
• canonical.com
• login.ubuntu.com
• maas.io
• launchpad.net
• blog.ubuntu.com
• developer.ubuntu.com
• contracts.canonical.com
• Ubuntu Security API – CVEs
• Ubuntu Security API – Notices
• academy.canonical.com
• ubuntu.com
• Landscape,
• portal.canonical.com
• images.maas.io
• assets.ubuntu.com

Nutzer können derzeit keine ISO-Images von Linux-Distros bei Ubuntu beziehen oder sich in ihre Canonical-Accounts einloggen. Ein Ad-hoc-Versuch, via snap install eine Anwendung unter Kubuntu 25.10 herunterzuladen, verlief aber erfolgreich (Stand: Freitag, 1. Mai, 13:33). Laut einem Bericht des IT-Newsportals The Register bekennt sich die pro-iranische, cyberkriminelle Gruppe „313 Team“ zu dem Angriff. Dieser hätte demnach am Donnerstag begonnen und sollte laut einer Ankündigung auf einem Telegram-Kanal der Gruppe vier Stunden lang laufen. Aktuell dauern die Probleme aber immer noch an. 313 Team hat sich laut dem Bericht mit Kontaktdetails an Canonical gewendet und droht, dass der Angriff weitergeht, wenn Canonical sich nicht bei der Gruppe meldet.

Auch einen DDoS-Angriff auf die Social-Media-Plattform Bluesky reklamierte 313 Team bereits für sich, ebenso geriet Mastodon schon ins Visier der Kriminellen. Die Cybergang wird von IT-Sicherheitsexperten dem Iran zugeordnet. Sie ist offenbar für zahlreiche DDoS-Angriffe verantwortlich und liegt ideologisch mit dem Regime des Iran auf einer Linie. Die Auswahl der Angriffsziele wirkt jedoch willkürlich. Konkrete Forderungen sind nicht erkennbar.

(nen)

Was passiert eigentlich mit den Standortdaten, die Smartphone-Apps tagtäglich sammeln? Diese Frage haben sich Ingo Dachwitz und sein Kollege Sebastian Meineck von netzpolitik.org gestellt. Seit fast zwei Jahren sind sie gemeinsam mit dem Bayerischen Rundfunk und internationalen Partnern den sogenannten „Databroker Files“ auf der Spur. Was sie dabei zutage förderten, ist erschreckend: Über die Plattform Datarade.ai bekamen die Journalisten von Datenhändlern kostenlose „Probedatensätze“ mit inzwischen mehr als 13 Milliarden Standortdaten aus über 140 Ländern zugespielt. Allein in einem deutschen Datensatz fanden sich 3,6 Milliarden Standortpunkte, zugeordnet zu rund elf Millionen Smartphones.

Im Gespräch mit c’t-Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich erläutert Dachwitz, wie die Recherche funktionierte. Mit einem von BR-Datenjournalistin Katharina Brunner gebauten Tool ließen sich die Daten auf Karten visualisieren. Anhand der Mobile Advertising ID – einer eindeutigen Werbe-Kennung, die Android und iOS den Apps zur Verfügung stellen – konnten die Bewegungsmuster einzelner Personen über Wochen nachvollzogen werden.

Mit einfachen OSINT-Methoden, etwa dem Abgleich von Wohnadressen mit Klingelschildern und Telefonbüchern, gelang es dem Team in einigen Fällen, die vermeintlich anonymen Daten Personen zuzuordnen: hochrangigen Beamten, Mitarbeitern von Bundesnachrichtendienst und Verfassungsschutz, Soldaten auf US-Militärbasen wie dem Fliegerhorst Büchel und sogar einer mutmaßlichen NSA-Mitarbeiterin in Bad Aibling.

Bußgeld ante portas

Die Daten stammen aus zwei Quellen: zum einen aus Tracking-SDKs, die App-Entwickler gegen kleines Geld in ihre Anwendungen einbauen, zum anderen aus Echtzeit-Auktionssystemen für Online-Werbung (Real-Time Bidding). Besonders aufgefallen war den Journalisten die App Wetter Online. Die nordrhein-westfälische Datenschutzaufsicht stattete dem Anbieter daraufhin einen Besuch ab und stellte fest, dass tatsächlich präzise Standortdaten abflossen. Auch die Hamburger Datenschutzbehörde wurde aufgrund der Recherche bei einer Dating-App fündig.

Rechtlich, da sind sich die drei einig, ist das gesamte Geschäftsmodell kaum zu rechtfertigen. Eine Einwilligung kann die komplexen Datenflüsse mit hunderten beteiligten Firmen praktisch nicht abbilden, ein berechtigtes Interesse scheidet nach Auffassung der Datenschutzbehörden für Werbe-Tracking ohnehin aus. Hinzu kommt, dass sich Plattformen wie Datarade laut Dachwitz selbst nicht als Verantwortliche im Sinne der DSGVO sehen, sie vermittelten ja nur. Dachwitz fordert daher eine politische Debatte: Statt die Verantwortung allein auf Nutzer abzuwälzen, brauche es klare Verbote bestimmter Datengeschäfte.

Wer sich schützen will, kann immerhin die Werbe-ID auf dem Smartphone zurücksetzen oder deaktivieren, Apps den Standortzugriff nur bei aktiver Nutzung erlauben und konsequent Tracking ablehnen. Ein Tool auf netzpolitik.org erlaubt es zudem, die eigene Werbe-ID gegen den deutschen Datensatz abzugleichen.

Episode 158:

Hier geht es zu allen bisherigen Folgen:

(hob)

Kein Donnerstag ohne neues Sprachmodell: Anthropic eröffnet den Beta-Test für Claude Security. Das auf Künstliche Intelligenz spezialisierte Produkt soll Quellcode auf Schwachstellen scannen und gezielte Patches zur menschlichen Überprüfung vorschlagen. Es steht ab sofort allen Claude-Enterprise-Kunden zur Verfügung – erreichbar direkt über die Claude.ai-Seitenleiste oder unter claude.ai/security. Eine Ausweitung auf Team- und Max-Kunden soll folgen. Im Kern des Angebots steht laut Anthropic das kürzlich veröffentlichte Sprachmodell Claude Opus 4.7.

Claude Security – zuvor Claude Code Security – ist nach Unternehmensangaben in den vergangenen zwei Monaten von Hunderten Unternehmen in einer eingeschränkten Forschungsvorschau getestet worden. Auf Basis der Rückmeldungen sind geplante und gezielte Scans, bessere Integration in Audit-Systeme sowie verbessertes Tracking von Erkenntnissen hinzugekommen. Eine API-Integration oder ein eigener Agentenbau seien nicht nötig: Wer Claude bereits nutze, könne sofort loslegen, schreibt Anthropic.

Das Modell soll Code nicht durch Musterabgleich analysieren, sondern Interaktionen zwischen Komponenten über Dateien und Module hinweg verstehen und Datenflüsse verfolgen – ähnlich wie ein erfahrener Sicherheitsforscher, beschreibt Anthropic das Vorgehen. Zu jedem Fund liefere Claude Security eine Erklärung mit Konfidenzwert, Schweregrad, wahrscheinlicher Auswirkung und Reproduktionsweg. Gefundene Schwachstellen ließen sich direkt in Claude Code im Web beheben. Ergebnisse könnten als CSV oder Markdown exportiert oder per Webhook an Slack, Jira und andere Tools weitergeleitet werden.

Unternehmen aus der frühen Testphase berichten laut Betreiber, den Weg vom Scan zum fertigen Patch in einer einzigen Sitzung zurückgelegt zu haben – statt tagelangem Hin-und-Her zwischen Sicherheits- und Entwicklungsteam. Zu den Technikpartnern, die Opus 4.7 in ihre Plattformen integrieren wollen, gehören demnach CrowdStrike, Microsoft Security, Palo Alto Networks, SentinelOne, TrendAI und Wiz. Beratungsunternehmen wie Accenture, BCG, Deloitte, Infosys und PwC sollen Unternehmen bei der Einführung unterstützen.

Bewusst gedrosselt? Claude 4.6 nervöser bei Exploit-Fragen

Wer zuletzt Claude Opus 4.6 nach Exploits oder Schwachstellendetails gefragt hat, dürfte zunehmende Zurückhaltung bemerkt haben – das ist vermutlich kein Zufall. Im Kleingedruckten zu Claude Security schreibt Anthropic, dass Opus 4.7 mit neuen Schutzmaßnahmen ausgestattet sei, die Anfragen mit Bezug auf verbotene oder hochriskante Sicherheitsanwendungen automatisch erkennen und blockieren sollen. Organisationen, die legitim in diesem Bereich arbeiten, könnten sich für ein „Cyber Verification Program“ qualifizieren, so das Unternehmen.

Mythos weiterhin exklusiv – und politisch brisant

Claude Security ist das breite Angebot; das mächtigere Modell „Mythos“ bleibt für die meisten ein solcher. Anthropic hat Anfang April mit Mythos Preview ein KI-Modell vorgestellt, das nach eigenen Angaben so gefährlich sei, dass es nicht öffentlich zugänglich gemacht werden solle. Im Rahmen von „Project Glasswing“ erhalten bislang nur rund 40 ausgewählte Unternehmen Kritischer Infrastruktur – darunter Apple, AWS, Cisco, Google, Microsoft und Nvidia – Zugang, um ihre Systeme nach Schwachstellen zu durchsuchen.

Anthropics Plan, diesen Kreis um rund 70 weitere Unternehmen auszuweiten, stößt nun auf politischen Widerstand: Laut einem Bericht des Wall Street Journal hat das Weiße Haus dem Unternehmen mitgeteilt, gegen die Ausweitung. Als Gründe werden Sicherheitsbedenken genannt – und die Sorge, Anthropic könnte schlicht nicht genug Rechenkapazität haben, um so viele Anwender zu bedienen, ohne die Nutzung durch die US-Regierung selbst zu beeinträchtigen.

Auch in Deutschland sorgt Mythos für Nervosität. BSI-Präsidentin Claudia Plattner hat bereits kurz nach der Vorstellung erklärt, „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt“ zu erwarten. Sie stellte die Frage, ob derart wirkmächtige Werkzeuge mittelfristig überhaupt noch auf dem freien Markt verfügbar sein werden.

Spezialisierung als Strategie

Claude Security reiht sich in eine erkennbare Produktstrategie ein: Nach Claude Code für die Softwareentwicklung und Claude Design für kreative Aufgaben folgt jetzt das Sicherheitsprodukt. Die gesamte Branche folgt diesem Trend zur Spezialisierung. OpenAI hat vergangene Woche GPT-5.5 vorgestellt, das ebenfalls stark auf agentisches Arbeiten setzt – und bereits Mitte April mit GPT-5.4-Cyber eine Variante mit gelockerten Sicherheitsbeschränkungen für verifizierte Sicherheitsforscher angekündigt. Als europäische Alternative präsentierte das französische Unternehmen Mistral Medium 3.5 – ein Open-Weights-Modell mit den Verkaufsargumenten Datensouveränität und Selbst-Hosting.

(vza)