Das Open-Source-Projekt Himmelblau hat Version 3.0.0 veröffentlicht und bringt damit umfangreiche Neuerungen für die Authentifizierung von Linux-Systemen gegen Microsoft Entra ID. Zu den wichtigsten Features gehören ein First-Class-OIDC-Support, Linux Hello TOTP sowie erweiterte Compliance-Funktionen für Intune.

Himmelblau ist ein Authentifizierungsframework, das eine nahtlose Integration zwischen Linux-Umgebungen und Microsoft Entra ID ermöglicht. Das unter der GPLv3-Lizenz stehende Projekt entstand als Fork des Kanidm OAuth2 Client und wird hauptsächlich von David Mulder entwickelt, mit Unterstützung von SUSE. Ziel ist es, Linux-Systeme ebenso gut in Microsoft-Infrastrukturen zu integrieren wie Windows-Rechner – inklusive Multi-Faktor-Authentifizierung, Device Trust und Intune-Compliance.

OIDC-Provider ohne Domänenkonfiguration

Die größte Neuerung in Version 3.0.0 ist der umfassende Support für OpenID Connect. Administratoren können nun beliebige OIDC-Provider über die Konfigurationsoption oidc_issuer_url einbinden. Die Implementierung unterstützt Password- und PIN-Flows sowie Breakglass-Mechanismen für Notfallszenarien, wenn der OIDC-Provider nicht erreichbar ist. Besonders hervorzuheben ist die Funktion Domainless OIDC: Nutzer können sich dank ihr auch ohne vorherige Domänenkonfiguration authentifizieren.

Der OIDC-Support macht Himmelblau unabhängiger von Microsoft-Diensten. Administratoren können nun auch alternative Identitäts-Provider wie Keycloak einsetzen. Für eine bessere Keycloak-Kompatibilität wurde seit Himmelblau 2.0 ein OIDC-Provider-Online-Check implementiert, der die Erreichbarkeit des Providers prüft.

Zwei-Faktor-Authentifizierung per TOTP

Mit Linux Hello TOTP führt Himmelblau 3.0 eine Time-based One-Time-Password-Authentifizierung für Linux-Systeme ein. Die Einrichtung erfolgt über QR-Code-basierte Enrollment-Flows, die sowohl im Terminal als auch im GNOME QR-Greeter verfügbar sind. Der QR-Greeter funktioniert ab GNOME 49 und ist mit dem Login von Windows Hello vergleichbar.

Der QR-Greeter selbst wurde ebenfalls erweitert und unterstützt nun OIDC Device Admin Grants (DAG) sowie Microsoft Consumer DAG Flows. Auch persönliche Microsoft-Konten lassen sich nun für die Anmeldung an Linux-Systemen verwenden. Bislang war Himmelblau ausschließlich auf Unternehmen zugeschnitten, diese Funktion erweitert das Einsatzspektrum nun auch auf Privatnutzer.

Erweiterte Compliance und einfacheres Deployment

Für Enterprise-Umgebungen hat Himmelblau 3.0 die Compliance- und Policy-Unterstützung deutlich ausgebaut. Die neue Version bietet Default Custom Compliance Processing und dedizierte Pakete für Browser-SSO-Policy-Deployment. Mit himmelblau-broker steht zudem ein eigenständiges Broker-Paket zur Verfügung, das als separater Service läuft.

Auch die Bereitstellung wurde vereinfacht: Der Daemon startet nun konfigurationslos und automatisch bei der Installation oder einem Upgrade. Single-Domain-Autokonfiguration ermöglicht es, Systeme ohne manuelle Konfiguration in Betrieb zu nehmen. Für Umgebungen ohne Passwordless-Methoden gibt es einen Password-Only Local Authentication Mode.

Breite Distributionsunterstützung

Himmelblau 3.0 unterstützt offiziell openSUSE Tumbleweed, SUSE Linux Enterprise, Fedora, Red Hat Enterprise Linux, Ubuntu, Debian und NixOS. Neu hinzugekommen sind Amazon Linux 2023 und Gentoo. Zudem lässt sich die Software jetzt mit ARM64/aarch64 einsetzen.

Für NixOS-Nutzer bringt die neue Version eine moderne Flake Shell, eine Split-Modulstruktur für himmelblau und himmelblau-desktop sowie typisierte NixOS-Optionen, die aus XML-Konfigurationsdefinitionen generiert werden.

Weitere Informationen und Downloads zu Himmelblau stehen auf GitHub bereit.

(fo)

Heute startet in Bochum die zweitägige Konferenz Bits & Bäume NRW 26. Anne Mollen von der Universität Münster gehört zum Team der Organisator:innen. Gegenüber netzpolitik.org erläutert sie, was die Akteur*innen aus Wissenschaft, Zivilgesellschaft und Verwaltung von der Landespolitik fordern, warum es wichtig ist, Digitalisierung von Anfang an nachhaltig zu gestalten, und wie das die Abhängigkeit von Tech-Konzernen verringert.

netzpolitik.org: Anne Mollen, warum findet die Konferenz in NRW statt?

Anne Mollen: Es gab schon zwei Konferenzen in den Jahren 2018 und 2022, allerdings auf Bundesebene. Bereits damals ging es darum, die Themen Nachhaltigkeit und Digitalisierung zusammenzubringen. Aber die Bits-&-Bäume-Bewegung besteht aus vielen lokalen Zweigen, einer davon ist der nordrhein-westfälische. Uns vor Ort war schnell klar: Wir müssen auch die Landespolitik adressieren. Denn sie nutzt ihre politischen Handlungsspielräume nur unzureichend oder gar nicht.

Beim Bau von Rechenzentren Probleme gemeinsam betrachten

netzpolitik.org: In NRW baut Microsoft gerade Hyperscaler-Rechenzentren im Rheinischen Revier. Das Braunkohlegebiet soll zukünftig als Vorzeigeregion für strukturellen Wandel gelten. Was ist daran falsch?

Anne Mollen: So einiges. Der Bund für Umwelt und Naturschutz NRW hat etwa die Flächenversiegelung kritisiert, weil für die Rechenzentren nicht bereits brachliegende Flächen genutzt werden, sondern landwirtschaftliche Nutzflächen wegfallen.

Und natürlich geht es auch um den Energieverbrauch. Denn Microsoft hat wichtige Informationen nicht öffentlich gemacht. Zum Beispiel, wie sie den Bedarf an erneuerbaren Energien decken wollen. Solche fehlenden Informationen sind ein wiederkehrendes Muster. An anderen Orten sehen wir, dass Unternehmen dann klimaschädliches Gas zur Energiegewinnung einsetzen, wenn nicht ausreichend Grundlaststrom vorhanden ist.

Diese Intransparenz ist ein Problem. Wir wissen aus der Forschung, wie sich Rechenzentren etwa in Irland Zusagen für erneuerbare Energien holen, um sich klimaneutral zu präsentieren. Im Anschluss kommt es dann aber zu Verteilungskonflikten, weil Privathaushalte das Nachsehen haben. Deswegen fordern wir einen ganzheitlichen, nachhaltigen Strukturwandel, der lokale Akteur*innen stärkt.

netzpolitik.org: Aber profitieren strukturschwache Regionen nicht wenigstens von neuen Arbeitsplätzen?

Anne Mollen: Microsoft hat versprochen, 450 Arbeitsplätze in der Region zu schaffen. Ich habe aber nicht herausgefunden, wie sie auf diese Zahl kommen.

Angaben aus den USA zeigen, dass pro Terawattstunde, die ein Rechenzentrum an Energie aufnimmt, in der Regel sehr wenige langfristige Vollzeitarbeitsplätze geschaffen werden. Kurzfristig entstehen natürlich Jobs, um die Rechenzentren hochzuziehen. Aber bei dem Bedarf, den wir im Rheinischen Revier mit dem Wegfall des Kohleabbaus haben, ist das ein Tropfen auf den heißen Stein.

Diese Transformationserzählung, dass Rechenzentren den Strukturwandel bringen und die auch die Landespolitik weiterträgt, ist hochproblematisch. Denn wenn man genauer hinschaut, wohin die Milliardeninvestitionen fließen, wird dieses Versprechen nicht eingelöst.

Microsoft hat Investitionen in Höhe von 3,2 Milliarden Euro zugesagt, die ins Rheinische Revier fließen sollen. Ein Großteil des Geldes wird aber für die Hardware der Rechenzentren aufgewendet. Die wird jedoch nicht in NRW hergestellt, im Zweifel nicht einmal in Deutschland.

Unabhängige Gutachten müssen Transparenz schaffen

netzpolitik.org: Was wäre denn die Alternative?

Anne Mollen: Damit Prozesse transparenter sind, müssten den Unternehmen klare Auflagen gemacht werden. Es braucht verpflichtende unabhängige Gutachten zu den ökologischen Auswirkungen. Und die Unternehmen müssten nachweisen, wie sie Umweltschäden eindämmen wollen.

Außerdem sollten kommunale Akteur*innen massiv gestärkt und sensibilisiert werden, wenn es um Verhandlungen mit großen Playern wie Microsoft geht. Damit sie einschätzen können, was es bedeutet, wenn ein Konzern bei ihnen vor Ort ein Rechenzentrum aufmacht.

netzpolitik.org: Aber reicht der Blick aufs Lokale?

Anne Mollen: Nein, die globale Perspektive entlang der Lieferketten ist natürlich ebenso wichtig. Werden Server so hergestellt und später entsorgt, dass ihre Einzelteile in einen Kreislauf überführt werden? Auch dafür sind verpflichtende Umweltgutachten wichtig.

Mit unseren politischen Forderungen gehen wir in die Breite. Und die Rechenzentren sind nur ein Aspekt von vielen. Ebenso setzen wir uns für partizipative Beteiligungsprozesse ein. In Chile können wir zum Beispiel sehen, wie lokale Proteste Wirkung zeigen. Dort hat die Ansiedlung von Microsoft-Rechenzentren die Wasserkrise massiv verschärft. Das Unternehmen ist daraufhin auf eine weniger wasserintensive Technologie umgestiegen. Und auch in Hessen hat lokaler Widerstand dazu geführt, dass ein Hyperscale-Rechenzentrum nicht gebaut wurde.

Deshalb fordern wir, dass die Zivilgesellschaft von vornherein eingebunden ist. Da stehen dann auch die kommunale Politik und die Landespolitik in der Verantwortung. Statt solchen Bodenwert leichtfertig an große Unternehmen abzugeben, könnten sie mehr Geld in digitale Souveränität investieren.

Selbstbestimmung statt digitale Abhängigkeiten fördern

netzpolitik.org: Digitale Souveränität ist ein gutes Stichwort. Was kann NRW hier aus eurer Sicht ausrichten?

Anne Mollen: Es ist wichtig, über alternative Formen der digitalen Infrastruktur zu sprechen. Und gerade Hochschulen verfügen über unabhängige digitale Infrastrukturen, die kommunale Rechenzentrumsbetreiber oder die Hochschulen selbst betreiben. Das Prinzip der digitalen Souveränität wird auf Grundlage von Open-Source-Anwendungen hier bereits seit rund 15 Jahren umgesetzt.

Aber auch bei generativer KI ist das Land NRW vorne dabei. Verschiedene Universitäten, auch bundesweit, hosten beispielsweise ein lokales großes Sprachmodell. Und es gibt das Projekt Open Source-KI.nrw. Das ist ein Servicezentrum, das KI-Infrastrukturen für Hochschulen und Forschungseinrichtungen anbietet.

Aber solche Angebote kosten Geld. Deswegen muss das Land NRW in Hochleistungsrechenzentren investieren, die diese KI-Dienste durch entsprechende Dauerstellen stützen.

Bisher gibt es landesweit noch Projekte, die zweigleisig unterwegs sind. Einige haben Schnittstellen zu kommerziellen Anbietenden. Langfristig sollten sich aber alle Akteur*innen zu souveränen Lösungen verpflichten, damit wir uns nicht in die nächste digitale Abhängigkeit begeben.

Denn die Abhängigkeit kostet auch. Gerade sind Lizenzkosten für kommerzielle KI-Modelle zwar noch massiv subventioniert. Forschende warnen aber davor, dass Lizenzkosten langfristig vermutlich deutlich höher ausfallen, als Investitionen in digitale Souveränität kosten würden.

Bürger*innen beteiligen, Forschung anhören, mit der Politik verbinden

netzpolitik.org: Lassen sich eure Forderungen auf andere Bundesländer übertragen?

Anne Mollen: Zunächst halten wir es für wichtig, auf Landesebene das Politikfeld nachhaltige Digitalisierung zu schaffen. Bisher ging es dort vor allem um die Frage, wie wir mit dem Einsatz digitaler Technologien Nachhaltigkeit erreichen können. Wir wollen aber die Perspektive etablieren, dass wir Digitalisierung gemeinsam und nachhaltig gestalten sollten.

Dabei darf die Landespolitik nicht allein in der Verantwortung sein, aber sie sollte neuen Ideen auch nicht im Wege stehen.

Wir wollen gemeinsam mit Menschen aus der Forschung und aus der Zivilgesellschaft darüber diskutieren, welche digitale Zukunft wir anstreben. Denn wir alle sollten die Möglichkeit haben, unsere digitale Zukunft zu gestalten, sei es an der Hochschule, in der Verwaltung oder auch im Verein.

Eine solche Zukunftsvorstellung, auf die wir hinarbeiten, können wir auch anderen Bundesländern anbieten. Unsere Hoffnung ist, dass unsere Forderungen eine Eigendynamik entwickeln und die Länder dann durch gute Beispiele voneinander lernen.

Angreifer können die volle Kontrolle über Cisco Secure Firewall Management Center (FMC) erlangen. Diese und weitere Sicherheitsprobleme in Secure Firewall Adaptive Security Appliance (ASA) und weiteren Produkten haben die Entwickler mit nun veröffentlichten Sicherheitspatches gelöst. Bislang gibt es keine Hinweise, dass Angreifer bereits Netzwerke attackieren.

Root-Schwachstellen

FMC ist gleich über zwei „kritische“ Sicherheitslücken mit Höchstwertung (CVE-2026-20079, CVE-2026-20131 jeweils CVSS Score 10 von 10) angreifbar. Im ersten Fall können entfernte Angreifer ohne Authentifizierung mit präparierten HTTP-Anfragen an der Schwachstelle ansetzen. Klappt das, können sie Skripte mit Root-Rechten ausführen.

Im zweiten Fall sind Attacken ebenfalls aus der Ferne und ohne Authentifizierung möglich. Hier können Angreifer Schadcode mit Root-Rechten ausführen. In beiden Fällen ist davon auszugehen, dass Instanzen im Anschluss als vollständig kompromittiert gelten. Um die jeweils passenden Sicherheitsupdates zu finden, müssen Admins in den unter den CVE-Nummern verlinkten Warnmeldungen in einem Auswahlmenü unter anderem ihre Firewall-Modelle angeben.

Weitere Gefahren

Über sieben weitere mit dem Bedrohungsgrad „hoch“ eingestufte Lücken in ASA und FMC können Angreifer DoS-Attacken auslösen oder auf eigentlich abgeschottete Daten zugreifen. Zusätzlich haben die Entwickler noch mehrere mit „mittel“ eingestufte Sicherheitslücken geschlossen. An diesen Stellen sind neben DoS- auch XSS-Attacken möglich.

In Webex wurde ebenfalls eine XSS-Lücke (CVE-2026-20149 „mittel“) geschlossen. Weitere Informationen zu den Schwachstellen und Sicherheitspatches listet Cisco im Sicherheitsbereich seiner Website auf.

(des)