In der Fernwartungssoftware SimpleHelp klafft eine Sicherheitslücke, die die Höchstwertung beim Risiko erreicht. Sie wurde Mitte des Monats bekannt. Jetzt haben IT-Sicherheitsexperten Cyberangriffe auf das Sicherheitsleck beobachtet.

Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA. Sie hat die Schwachstelle dem „Known Exploited Vulnerabilities“-Katalog hinzugefügt. Details zu den Angriffen nennt die Behörde wie üblich nicht, wie diese aussehen und in welchem Umfang sie stattfinden, bleibt daher unklar. Allerdings hat Blackpoint einen Blogbeitrag veröffentlicht, in dem das IT-Sicherheitsunternehmen erörtert, dass es die Malware „TaskWeaver“ und „Djinn Stealer“ entdeckt hat, die nach Einbrüchen über die Schwachstelle CVE-2026-48558 auf die attackierten Systeme verfrachtet wurden. Die Malware läuft auf Linux ebenso wie unter macOS und Windows. Blackpoint stellt auch Hinweise für erfolgreiche Angriffe (Indicator of Compromise, IOC) bereit, anhand derer Admins prüfen können, ob sie mit der bekannten Malware attackiert wurden.

Bei der angegriffenen Schwachstelle handelt es sich um eine mögliche Umgehung der Authentifizierung, sofern „OIDC-Authentifizierung“ konfiguriert wurde. Die Identity-Tokens beim Login akzeptiert die Software, ohne zuvor ihre kryptografische Signatur zu prüfen. Angreifer aus dem Netz können dadurch ohne vorherige Anmeldung manipulierte Token senden und dadurch vollen Techniker-Zugang erhalten; in manchen Fällen lässt sich dadurch auch die Mehr-Faktor-Authentifizierung umgehen (CVE-2026-48558, CVSS 10.0, Risiko „kritisch“).

SimpleHelp: Updates verfügbar

Verwundbar sind die SimpleHelp-Versionen 5.5.15 und ältere sowie die 6.0-Pre-Release-Fassung. Laut der Release-News steht SimpleHelp 5.5.16 bereit, außerdem erhält SimpleHelp 6.0 RC2 den Sicherheitsfix, wie die Entwickler in ihrer Sicherheitsmitteilung schreiben. Sie raten IT-Verantwortlichen dringend dazu, die bereitstehenden Aktualisierungen zügig zu installieren. Die SimpleHelp-Entwickler erwähnen bislang noch nichts von den beobachteten Angriffen.

(dmk)

Vergangene Woche einigte sich das Europaparlament als letzte der drei großen EU-Institutionen auf ein Gesetzespaket zum Digitalen Euro. Zusätzlich zur digitalen Zentralbankwährung sollen die geplanten Verordnungen aber auch das Bargeld stärken. Doch wie sieht diese Stärkung genau aus? Und worin unterscheiden sich die Pläne von EU-Kommission, Mitgliedstaaten und Europaparlament?
Konkret geht es um das „Single-Currency-Package“: Dieses enthält neben den Vorschlägen zum Digitalen Euro auch ein EU-Gesetz, das Bargeld als gesetzliches Zahlungsmittel („Legal Tender“) definiert.

Was bedeutet „gesetzliches Zahlungsmittel“?

Fragt man den Juristen Sebastian Omlor, ist das bitter nötig: „Die rechtliche Situation des Bargelds im Euroraum ist aktuell einigermaßen defizitär.“ Die Euro-Einführungsverordnung von 1998 stelle lediglich im Wortlaut knapp fest, dass sowohl Euro-Scheine als auch Euro-Münzen gesetzliches Zahlungsmittel seien. „In den Verordnungen der Europäischen Union oder auch mit dem staatlichen Recht etwa der Bundesrepublik Deutschland ist aber nirgends genauer niedergelegt, was wir denn unter einem gesetzlichen Zahlungsmittel verstehen“, erklärt Omlor, der Professor für Wirtschaftsrecht an der Uni Marburg ist und das Institut für das Recht der Digitalisierung leitet.

Omlor geht es vor allem um Rechtsklarheit und Rechtssicherheit. Doch hinter dem juristischen Konzept des „gesetzlichen Zahlungsmittels“ stecken auch Fragen, die ganz konkret den Alltag betreffen. „Wann darf man denn sagen: ‚Ich als Händler nehme kein Bargeld‘? Oder: ‚Wir wollen nur Kreditkartenzahlungen’? Das sind die Details, die im Moment nicht konkret im Gesetz stehen“, erklärt Omlor. In anderen Worten: Es geht um eine gesetzliche Annahmepflicht und ihre Grenzen.

Ungleichbehandlung beim Digitalen Euro

Eine solche Annahmepflicht schreibt die Kommission in ihrem Vorschlag für eine Verordnung für das Bargeld vor. Doch sie will auch Ausnahmen verankern. Explizit nennt der Entwurf den Fall, dass jemand einen kleinen Geldbetrag mit einem großen Geldschein zahlt. Auch wenn ein Geschäft „ausnahmsweise“ kein Wechselgeld hat, soll die Pflicht zur Bargeldannahme wegfallen. Außerdem behält sich die Kommission das Recht vor, weitere Ausnahmen zu erlassen.

Aus Sicht von Professor Omlor ändert die Verordnung, so wie die EU-Kommission sie vorgelegt hat, fast nichts in der Geschäftsbeziehung zwischen Verkäuferin und Kunde. Das kritisieren Bargeld-Befürworter:innen. Denn anders als beim Bargeld will die EU-Kommission es beim Digitalen Euro deutlich schwerer machen, dass Geschäfte die Zahlung damit verweigern. „Das Schild ‚No Cash‘ wäre zulässig, das Schild ‚No Digital Euro’ wäre nicht zulässig“, bricht Omlor den Unterschied in der Annahmepflicht vereinfacht herunter.

Sebastian Omlor sieht das vor allem darin begründet, dass der Digitale Euro neu ist, während das Bargeld etabliert ist. „Das heißt, der Digitale Euro müsste jetzt den Markteintritt schaffen und jedenfalls so weit ausgerollt werden, dass es für mich als privaten Zahler attraktiv wird, damit zu zahlen.“ Um eine dafür notwendige breite Akzeptanzstruktur zu schaffen, hätte sich die EU-Kommission dazu entschlossen, die Annahmepflicht beim digitalen Euro strikter auszugestalten als das beim Bargeld der Fall ist.

Gegenwind von Bürger:innen, Parlament und Mitgliedstaaten

Die Bargeld-Branche sowie eine Initiative, die dem Namen nach ein angebliches „Bargeldverbot“ bekämpft, laufen gegen diese Ungleichbehandlung Sturm. Ihre Forderung: Die EU-Verordnung zum Bargeld müsse auch „No Cash“-Schilder verbieten. Eine entsprechende Petition, die unter anderem das zum Ziel hat, wurde Ende Mai in Straßburg übergeben.

Das Lobbyieren fürs Bargeld hatte offenbar Erfolg: Die EU-Mitgliedstaaten sehen in ihrem Vorschlag zum Gesetzentwurf der Kommission ein Verbot von „No Cash“-Schildern vor, zumindest wenn Kund:innen und Verkäufer:innen beide vor Ort sind. Gleiches gilt für das Europaparlament, das sich ebenfalls dazu entschied, No-Cash-Schilder auszuschließen.

Verkaufsautomaten dürfen Bargeld laut Parlaments-Mandat zwar ablehnen, allerdings muss der Zugang der Bevölkerung zu „essenziellen Dienstleistungen“ beachtet werden. Der Volt-Abgeordnete Damian Boeselager erklärt diesen Punkt so: „Sei es jetzt am Bahngleis oder auch im Supermarkt, es soll auch weiterhin die Möglichkeit geben, mit Bargeld zu zahlen, sodass sozusagen essenzielle Dienstleistungen auch weiter angeboten werden.“

Gegen das Geldautomaten-Sterben

Die Verordnung zum Digitalen Euro greift auch ein zweites Problem der Euro-Münzen und ‑Scheine auf: Es wird schwerer, sie zu bekommen. Laut Zahlen der Bundesbank sank in Deutschland die Zahl der Geldautomaten von 2018 bis 2023 um fast 14 Prozent. Das sind in absoluten Zahlen 8.000 Automaten. Zudem gibt es seit über 20 Jahren Jahr für Jahr weniger Bankfilialen, seit 2018 fielen alleine 9.000 Standorte weg.

Der Gesetzesvorschlag der Kommission begegnet dem Problem nicht direkt, verpflichtet aber die Staaten, in städtischen und ländlichen Gebieten „für einen hinreichenden und wirksamen Zugang zu Bargeld“ zu sorgen. Dafür müssen diese einen jährlichen Bericht erstellen und gegebenenfalls gegensteuern.

Rechtsprofessor Omlor sieht darin eine Stärkung des Bargelds. „Wir haben jetzt erstmals eine europarechtliche Vorgabe, die die Bargeldversorgung in der gesamten Union sichert“, sagt Omlor im Gespräch mit netzpolitik.org.

Die Mitgliedstaaten der EU wollen sich sogar selbst eine Pflicht auferlegen, Resilienzpläne für Bargeld zu erstellen. Auch das EU-Parlament ist für eine solche Pflicht. Hintergrund sind Sorgen vor Angriffen auf die Stromversorgung. In solchen Situationen wäre das bargeldlose Zahlen so gut wie unmöglich und die Nachfrage nach Münzen und Scheinen stiege stark an.

Nutzung des Bargelds geht in Deutschland zurück

Am Ende bleibt die Rolle des Bargelds auch eine Frage der Praxis. Denn je stärker Menschen Bargeld nutzen, desto mehr Anreize haben Politik und Unternehmen, eine breite Akzeptanz und Versorgung sicherzustellen. Der Trend geht in Deutschland allerdings in die andere Richtung: Die Bargeldnutzung gehe kontinuierlich zurück, schreibt die Bundesbank in einer kürzlich veröffentlichten Studie. Zum ersten Mal wurde die Mehrheit der erfassten Zahlungen unbar durchgeführt.

Gleichzeitig ist der gesellschaftliche Wert der Münzen und Scheine vielen klar. So gaben 80 Prozent der Befragten an, dass es „für Deutschland“ wichtig sei, bar zahlen zu können. Ob die Politik diesem gesellschaftlichen Anspruch gerecht werden kann, zeigt sich wohl auch dann, wenn Kommission, Parlament und Rat im Trilog über die finale Version der EU-Bargeld-Verordnung verhandeln. Die Verhandlungen könnten schon im Juli starten, sofern es im Europaparlament keinen Einspruch über das Mandat des Währungssausschusses gibt.

Admins und Nutzer sollten Ausschau nach Aktualisierungen für diverse Softwarepakete halten. Die libssh2-Bibliothek, die weit verbreitet zum Einsatz kommt, enthält eine kritische Sicherheitslücke. Ein veröffentlichter Proof-of-Concept-Exploit vereinfacht deren Ausnutzung durch bösartige Akteure deutlich.

Im Schwachstelleneintrag hat die US-amerikanische IT-Sicherheitsbehörde CISA inzwischen die freie Verfügbarkeit des Proof-of-Concept-Exploits ergänzt. Die Sicherheitslücke basiert auf einer nicht erfolgten Begrenzung des „packet_length“-Feldes bei der Verarbeitung in der Funktion ssh2_transport_read(). Angreifer aus dem Netz können das missbrauchen, um mit übermäßig großen „packet_length“-Werten in manipulierten SSH-Paketen den Speicher auf dem Heap durcheinander zu bringen und dabei das Ausführen von eingeschleustem Code zu provozieren (CVE-2026-55200, CVSS 9.8, Risiko „kritisch“).

Wenn Angreifer Opfer dazu bringen, sich mit ihrer Client-Software mit manipulierten Servern zu verbinden, können sie ihnen damit Schadcode unterjubeln. Projekte wie curl, PHP, libgit2 und diverse weitere setzen libssh2 ein. libssh2 ist bis einschließlich Version 1.11.1 anfällig. Noch immer ist das die letzte verfügbare offizielle Version, der Patch ist derzeit lediglich als Quellcode-Commit verfügbar. Diverse Linux-Distributionen stellen jedoch aktualisierte Pakete mit eigenen Backports bereit.

Zügig aktualisieren

Unter Linux sollte also das Aufrufen der Softwareverwaltung und die Installation der angebotenen Aktualisierungen zum Ziel führen. Etwa unter Windows wird das jedoch schwieriger. Die offiziellen curl-Binaries für Windows 8.21.0_2 vom 24. Juni 2026 sind etwa noch statisch mit libssh2 1.11.1 verlinkt, die die Sicherheitslücke aufweist. Zwar macht das curl-Team im „Sommer der Glückseligkeit“ Urlaub – allerdings dürfte der Bedarf nach einer Aktualisierung seitens der zahlenden Supportkunden nun wachsen und in Kürze eine Aktualisierung bereitstehen.

Die Sicherheitslücke und eine weitere in libssh2 wurden in der vergangenen Woche bekannt. Seitdem steht lediglich der Commit im Quellcode bereit, ein offizielles neues Paket mit dem Update steht seitdem noch aus.

(dmk)