In der vergangenen Woche hatten erste Windows-10-Rechner bei der Update-Suche angezeigt, dass in Kürze eine Registrierung für erweiterte Sicherheitsupdates verfügbar werden soll. Nun ist es offenbar so weit. Uns liegt ein Leserhinweis vor, dass dort nun ein Link auf die Registrierung erschienen ist.

Es handelt sich um Windows 10 in der Home-Edition, die Anmeldung erfolgte mit einem Admin-Konto. Damit setzt Microsoft das Versprechen um, erstmals auch Privatkunden-PCs mit erweiterten Sicherheitsupdates zu versorgen. Die „Extended Security Updates“ (ESU) sind im Europäischen Wirtschaftsraum (EWU) entgegen erster Ankündigungen jetzt sogar kostenlos – wenn auch eine Registrierung mit einem Microsoft-Konto nötig ist, was einer Zahlung mit Daten entspricht. Der offizielle Support für Windows 10 endet mit dem Patchday am 14. Oktober.

Vorbedingungen für erweiterten Windows-10-Support

Microsoft nennt weitere Voraussetzungen, die für das Angebot des (kostenlosen) erweiterten Supports erfüllt sein müssen: Windows 10 muss auf Stand 22H2 sein und eine Lizenz für Privatnutzer nutzen. Microsoft nennt Home, Professional, Pro Education oder Workstations Edition. Die aktuellen Windows-Updates müssen installiert und eine Nutzerin oder ein Nutzer mit Administratorrechten angemeldet sein. „Um sich zu registrieren, werden Sie aufgefordert, sich mit einem Microsoft-Konto anzumelden, wenn Sie sich normalerweise mit einem lokalen Konto bei Windows anmelden“, ergänzt das Unternehmen.

Um zu prüfen, ob bereits eine Registrierung für den erweiterten Support möglich ist, sollen Interessierte auf die Windows-Update-Suche gehen. Die findet sich in den „Einstellungen“ unter „Update & Sicherheit“ und dort dann unter „Windows Update“. „Wenn Ihr Gerät die Voraussetzungen erfüllt, wird ein Link zur Registrierung für ESU angezeigt“, verspricht Microsoft. Die Registrierung ermöglicht die Freischaltung auf insgesamt zehn Rechnern. Auf den anderen PCs müssen Betroffene ebenfalls auf die Update-Suche gehen und bei der angebotenen Registrierung lediglich das verwendete Microsoft-Konto angeben. Dann können sie die Option „Gerät hinzufügen“ auswählen.

(dmk)

Die Bundesregierung hat sich in der Bundespressekonferenz am Mittwochmittag gegen eine anlasslose Chatkontrolle ausgesprochen. Ein Sprecher der Bundesregierung sagte: „Eine anlasslose Chatkontrolle ist für die Bundesregierung tabu“, sie wolle verschlüsselte Kommunikation „nicht kontrollieren“. Es gehe jetzt darum, die Ratsverhandlungen positiv zu begleiten. Darüber hinaus gebe es keine verkündbare Einigung zum Thema.

Zuvor hatte am Morgen schon Bundesjustizministerin Stefanie Hubig (SPD) mitgeteilt: „Anlasslose Chatkontrolle muss in einem Rechtsstaat tabu sein. Private Kommunikation darf nie unter Generalverdacht stehen.“ Der Staat dürfe Messenger auch nicht dazu zwingen, Nachrichten vor Versendung massenhaft auf verdächtige Inhalte zu scannen.

„Solchen Vorschlägen wird Deutschland auf EU-Ebene nicht zustimmen“, so Hubig. Zwar müsse man im Kampf gegen sogenannte Kinderpornographie auch auf EU-Ebene vorankommen. Dafür setze sie sich ein. „Aber auch die schlimmsten Verbrechen rechtfertigen keine Preisgabe elementarer Bürgerrechte. Darauf habe in den Abstimmungen der Bundesregierung seit Monaten beharrt. Und dabei wird es bleiben.“

Eine Abstimmung über die Chatkontrolle soll eigentlich am 14. Oktober in Brüssel stattfinden. Es zeichnet sich mit der Entscheidung der Bundesregierung ab, dass es keine Mehrheit im EU-Rat für den Vorschlag der dänischen Ratspräsidentschaft gibt. Das führte in der Vergangenheit immer wieder dazu, dass die Abstimmung von der Tagesordnung des EU-Rates genommen wurde.

„Bundesregierung muss Client-Side-Scanning ausschließen“

Elina Eickstädt, Sprecherin des Chaos Computer Clubs, warnt jedoch vor zu viel Euphorie. Man müsse die endgültige Position der Bundesregierung abwarten und analysieren, was diese enthalte. Die Phrase „anlassloses Scannen“ habe bereits in der Vergangenheit für Diskussionen gesorgt und könnte als juristischer Taschenspielertrick genutzt werden, um die Technologie des Client-Side-Scannings trotzdem einzubauen – um dann bei einem „Anlass“ scannen zu können.

„Eine Position, die wirklich Grundrechte schützt, muss jegliche Form von Client-Side-Scanning ausschließen und verschlüsselte Kommunikation dezidiert schützen.“ Auch Client-Side-Scanning für besondere Anlässe sorge für ein Schwächen der verschlüsselten Kommunikation, so Eickstädt weiter.

Die Positionierung der Bundesregierung hatte sich schon am Dienstagnachmittag angekündigt. Unionsfraktionsvorsitzender Jens Spahn nahm in einer Pressekonferenz ungefragt zum Thema Chatkontrolle Stellung und sagte: „Wir als CDU/CSU-Bundestagsfraktion sind gegen die anlasslose Kontrolle von Chats. Das wäre so, als würde man vorsorglich mal alle Briefe öffnen und schauen, ob da etwas Verbotenes drin ist. Das geht nicht, das wird es mit uns nicht geben.“ In diesem Statement sagte er auch, dass die Bundestagsfraktion zahlreiche Zuschriften zum Thema erreicht hätten.

Protest wirkt

Das Thema Chatkontrolle hat in den letzten Tagen hohe Wellen geschlagen und ist seit voriger Woche ein politischer Dauerbrenner in sozialen Medien, der viele Menschen mobilisiert hat. Zahlreiche zivilgesellschaftliche Organisationen haben sich in den vergangenen Tagen mit Nachdruck gegen die Chatkontrolle positioniert, darunter Amnesty International, Reporter ohne Grenzen, der Deutsche Kinderschutzbund, aber auch Wirtschaftsverbände wie eco und Bitkom sowie europäische Digital-Unternehmen. Auch Messenger wie Signal, Threema und WhatsApp sind gegen die Chatkontrolle.

Eine Petition gegen die Chatkontrolle hat innerhalb der letzten 48 Stunden fast 300.000 Unterschriften gesammelt. Das Bündnis „Chatkontrolle stoppen“ hat für den Donnerstagmorgen eine Kundgebung vor dem Bundesinnenministerium angemeldet, um die Unterschriften zu übergeben.

Seit Jahren reden sich Hunderte von IT-Expertinnen und Sicherheitsforschern, Juristinnen, Datenschützern, Digitalorganisationen, Tech-Unternehmen, Messengern, UN-Vertretern, Kinderschützern, Wächterinnen der Internetstandards und Wissenschaftlerinnen weltweit den Mund gegen die Chatkontrolle fusselig. Eine unglaubliche Breite der Zivilgesellschaft lehnt die Chatkontrolle ab, weil sie die wohl größte und gefährlichste Überwachungsmaschine Europas werden würde.

Die Sicherheitssoftware IBM Security Verify Access und IBM Verify Identity Access zur Identitäts- und Zugangsverwaltung (IAM) ist für Angriffe anfällig. Vor drei Sicherheitslücken darin warnt IBM aktuell, von denen eine sogar als kritisches Risiko gilt.

IBM erörtert in der Sicherheitsmitteilung, dass lokale angemeldete Nutzerinnen und Nutzer ihre Rechte zu „root“ ausweiten können, da die Software mit höheren Rechten als nötig ausgeführt wird (CVE-2025-36356 / EUVD-2025-32573, CVSS 9.3, Risiko „kritisch„). Außerdem können angemeldete Nutzer bösartige Skripte von außerhalb ihres Kontrollbereichs ausführen (CVE-2025-36355 / EUVD-2025-32575, CVSS 8.5, Risiko „hoch„). Die dritte Schwachstelle ermöglicht nicht angemeldeten Nutzern, beliebige Befehle mit niedrigeren Nutzerrechten auszuführen, da die Software benutzerübergebene Daten nicht hinreichend prüft (CVE-2025-36354 / EUVD-2025-32574, CVSS 7.3, Risiko „hoch„).

Updates schließen die Schwachstellen

Die Schwachstellen bessert IBM mit den Versionen IBM Security Verify Access 10.0.9.0-IF3 und IBM Verify Identity Access 11.0.1.0-IF1 aus. Betroffen sind die Appliances sowie die Docker-Container der Sicherheitslösung. IT-Verantwortliche sollten die Updates auf diese Fassungen zeitnah anwenden. IBM rät dazu, das so schnell wie möglich zu erledigen.

Der Aufruf des Befehls docker pull icr.io/isva/verify-access:[tag] bringt IBM Security Verify Access auf den aktuellen Stand, für IBM Verify Identity Access erledigt das der Aufruf von docker pull icr.io/ivia/verify-access:[tag]. Die korrekten Tags dafür listet IBM auf einer eigenen Webseite auf.

Ende vergangenen Jahres hatte IBM vier Sicherheitslücken in Security Verify Access schließen müssen. Drei davon galten als kritisches Risiko. Zwei Lücken hatten hartkodierte Zugangsdaten zum Gegenstand – die ließen sich quasi als Backdoor zur unbefugten Anmeldung missbrauchen.

(dmk)