Cisco hat am Mittwoch drei Sicherheitsmitteilungen zu teils als kritische eingestuften Schwachstellen veröffentlicht. Sie betreffen Ciscos Unified Communications Manager, Webex Meetings und Finesse. Admins sollten die bereitgestellten Updates zügig anwenden, da im Netz offenbar Proof-of-Concept-Exploit-Code für mindestens eine Lücke aufgetaucht ist.

Am schwersten wiegt eine Schwachstelle des Typs Server-Side Request Forgery (SSRF), bei der Angreifer Zugriff auf interne, geschützte Netzwerke erhalten. Einige HTTP-Anfragen werden laut Ciscos Mitteilung nicht korrekt geprüft, sodass nicht authentifizierte Angreifer aus dem Netz sogar schreibenden Zugriff auf das Betriebssystem und dabei root-Rechte erlangen können (CVE-2026-20230, CVSS 8.6, Risiko „hoch“). Abweichend von der Einstufung nach CVSS sehen Ciscos Entwickler die Sicherheitslücke jedoch sogar als „kritisch“ an. Damit die Lücke ausnutzbar ist, muss der WebDialer-Dienst aktiviert sein – standardmäßig ist er das jedoch nicht. Ciscos Unified CM und Unified CM SME 14SU6 sowie 15SU5 stopfen das Leck, wobei letztere Fassung erst für den September 2026 angekündigt ist. Für diese Lücke ist im Netz Proof-of-Concept-Exploit-Code aufgetaucht, ergänzt Cisco, jedoch sei dem Hersteller noch kein bösartiger Missbrauch der Schwachstelle bekannt.

Lücken mit mittelschwerem Bedrohungsgrad

Außerdem können Angreifer aus dem Netz ohne vorherige Anmeldung in Ciscos Webex Meetings Cross-Site-Scripting-Angriffe ausführen und dabei Opfern in bösartigen Links JavaScript-Code unterschieben, der in ihrem Kontext ausgeführt wird (CVE-2026-20233, CVSS 6.1, Risiko „mittel“). Da die Software die Cloud-basierte Lösung von Cisco ist, haben die Entwickler die Fehler bereits serverseitig ausgebessert, schreiben sie in der Sicherheitsmitteilung. Nutzer oder Admins müssten weiter nichts machen.

In Ciscos Finesse klafft eine Sicherheitslücke, die nicht authentifizierten Angreifern aus dem Netz das Einbinden beliebiger externer Dateien in aktive User-Sessions ermöglicht, was browserbasierte Angriffe erlaubt (CVE-2026-20175, CVSS 6.1, Risiko „mittel“). Angreifer, die die Adresse eines verwundbaren Gerätes kennen, können das durch Verleiten von Nutzern, auf einen sorgsam präparierten Link zu klicken, missbrauchen, erklärt Cisco. Cisco Finesse 15.0(1)SU1 korrigiert den Fehler, ältere Versionen müssen auf diesen Entwicklungszweig migriert werden.

Vor rund drei Wochen hatte Cisco ein Sicherheitsleck mit Höchstwertung in Secure Workload schließen müssen.

(dmk)

Anthropic will den Zugriff auf sein leistungsstärkstes KI-Modell Mythos deutlich ausweiten und Organisationen in mehr als 15 Staaten damit nach Sicherheitslücken in systemrelevanter Software suchen lassen. Das hat das KI-Unternehmen jetzt mitgeteilt, ohne das aber aufzuschlüsseln. Die Financial Times berichtet unter Berufung auf eine eingeweihte Person, dass auch Einrichtungen in Deutschland und der Schweiz, sowie anderen europäischen Staaten, in Indien, Japan und Südkorea einen Zugriff erhalten sollen. Namentlich nennt die Zeitung Samsung, SK Hynix, das Finanzkommunikationsnetzwerk Swift und die Militärallianz NATO. Insgesamt soll das Anfang April ins Leben gerufene Projekt auf 150 neue Organisationen ausgeweitet werden.

Nur sicherheitsrelevante Organisationen mit Zugriff

Anthropic hat Mythos Anfang April vorgestellt und erklärt, dass das Modell so gefährlich sei, dass es nur Firmen zur Verfügung gestellt wird, die an IT-Sicherheit arbeiten. Das KI-Modell habe seitdem über 10.000 hochriskante Zero-Day-Lücken identifiziert, darunter auch welche in allen großen Betriebssystemen und jedem Internetbrowser. Gleichzeitig sei die KI-Technik deutlich häufiger in der Lage, einen funktionierenden Exploit für solche Lücken zu entwickeln, teilweise würden dafür sogar mehrere in Verbindung miteinander ausgenutzt. Im Rahmen von „Project Glasswing“ soll die Branche daran arbeiten, damit gefundene Lücken abzudichten. Damit soll die Branche bereit sein, wenn andere KI-Modelle zur Verfügung stehen, mit denen Kriminelle aufholen können.

Laut Anthropic haben alle Organisationen, die bereits Zugriff auf Mythos haben und solche, die ihn jetzt erhalten, eins gemeinsam: „Ein erfolgreicher Angriff auf ihre Codebasis könnte katastrophal sein.“ Das KI-Unternehmen erklärt, dass eine „große Attacke“ auf jede einzelne davon jeweils mehr als 100 Millionen Menschen betreffen würde, mit schwerwiegenden Folgen für die globale und nationale Sicherheit. Während bestimmte Industrien bislang nicht so gut repräsentiert gewesen seien, habe man das jetzt primär für die Energie- und Wasserversorgung, die Gesundheitsbranche, Kommunikation und Hardwareherstellung geändert. Gleichzeitig arbeite man mit Hochdruck daran, Fähigkeiten wie jene von Mythos sicher der Öffentlichkeit zur Verfügung stellen zu können.

Über die Bedeutung von Mythos und ähnlichen KI-Modellen sowie das Vorgehen von Anthropic wird seit Wochen diskutiert. Dabei gehen die Meinungen darüber auseinander, ob es sich nun um clevere PR vor dem geplanten Börsengang handelt oder tatsächlich die beste Methode zur Vorbereitung auf eine Security-Katastrophe. Bei Mozilla etwa hat man zuletzt deutlich mehr Lücken in Firefox gefunden und den Browser damit absichern können. Im Download-Tool curl wurde dagegen nur eine Lücke entdeckt. Gleichzeitig klagen Verantwortliche für Softwareprojekte seit Monaten über die stark gewachsene Arbeitslast durch KI-unterstützte Fehlersuche, bei der es viel zu wenig Hilfe gebe.

(mho)

20 Jahre nach dem ersten Informationsfreiheitsgesetz des Bundes fordert die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Louisa Specht-Riemenschneider, vom Bundestag weitere Schritte zur dauerhaften Verankerung der Auskunftsansprüche für Bürger.

Der erste notwendige Schritt sei ein Transparenzgesetz auf Bundesebene, das den Informationszugang für Bürgerinnen und Bürger besser regele als das bisherige Informationsfreiheitsgesetz. Der Staat erhebe immer mehr Daten, die Verwaltung werde digitaler, sagte die vom Parlament gewählte Informationsfreiheitsbeauftragte. Ein echtes Transparenzgesetz erhebe etwa die Veröffentlichung von Gutachten oder Studien im Auftrag des Staats zum Standard statt zur Ausnahme.

Auch eine Stärkung der Durchsetzungsmöglichkeiten der Informationsfreiheitsbeauftragten fordert die Bundesbeauftragte. Ein solches Gesetz entlaste auch die Verwaltungsgerichte, die mit Fällen wie etwa Textnachrichten von Ministern oder verweigerten Informationen zu Maskenbeschaffungen regelmäßig über Monate und Jahre beschäftigt seien. „Wir müssen in der Lage sein, den Zugang zu Informationen direkt und effizient durchzusetzen – auch als Entlastung für die Justiz“, fordert Specht-Riemenschneider.

Auskunftsrechte derzeit in der Defensive

Dass derzeit insbesondere aus Sicherheitskreisen eine Beschneidung von Informationsrechten der Bürgerinnen und Bürger gefordert werde, sei nicht hilfreich, ebenso wie die oft geäußerte Angst vor einer Überlastung der Verwaltung durch IFG-Anfragen, warnte Specht-Riemenschneider: „Wer Informationsfreiheit pauschal beschränkt, schafft nicht mehr Sicherheit, sondern weniger Demokratie.“ Zuletzt hat etwa das von CDU und SPD dominierte Berliner Abgeordnetenhaus das dortige Informationsfreiheitsgesetz beschnitten. Anlass war die Attacke gegen eine unzureichend physisch abgesicherte wichtige Stromleitung, die einen tagelangen Stromausfall in einem Teil der Stadt zur Folge hatte. Bei den Bürgern ist die Informationsfreiheit grundsätzlich beliebt, mehr als ein Vierteljahrhundert nach dem ersten Informationsfreiheitsgesetz, das in Brandenburg verabschiedet wurde.

Informationsanspruch soll ins Grundgesetz

Specht-Riemenschneider plädiert dafür, die Informationsfreiheit auf Bundesebene daher nicht nur einfachgesetzlich wie im 2005 erstmals verabschiedeten Bundes-IFG zu stärken und ein weitergehendes Transparenzgesetz auf den Weg zu bringen, sondern noch einen Schritt weiter zu gehen. „Ein einfaches Gesetz ist nur so stark, wie es die nächste Mehrheit im Parlament will“, sagte sie. „Deshalb gehört die Informationsfreiheit dauerhaft abgesichert.“ Dafür brauche es eine Verankerung im Grundgesetz. Eine solche müsste von Bundestag und Bundesrat mit Zwei-Drittel-Mehrheit beschlossen werden.

(afl)