Es bleibt spannend in der IT-Sicherheitswelt – und abwechslungsreich, wie Sylvester und Christopher feststellen. Erneut haben sie so viele Themen auf dem Zettel, dass unmöglich alle in eine Folge passen. In der vierzigsten Ausgabe von „Passwort“ sprechen sie nicht nur wie üblich ausgiebig über verschiedene Aspekte der WebPKI, sondern schauen sich auch zwei interessante Sicherheitsfehler im Detail an.

Feedback und Ergänzungen zu vergangenen Folgen kommen zu verschiedenen Themen: Angesichts der schlampig gestalteten und sicherheitstechnisch sehr fragwürdigen Marketing-Mail einer großen CA rauft sich Sylvester am Mikrofon das Haupthaar und bittet die Hörer um Mithilfe: Wer E-Mails von Dienstleistern, Online-Shops oder digitalen Plattformen erhalten hat, die von Phishing nicht zu unterscheiden sind, melde sich gern mit Beweisfoto per E-Mail. Sylvester sammelt für einen Vortrag im Spätherbst und möchte möglichst viele gruselige Beispiele sammeln.

Viel Web und viel PKI

In einem Gutteil der Folge geht es ums Web und die zugehörige PKI: So ergänzen die Podcaster Informationen und Diskussionen um Let’s Encrypt und Certificate Transparency und führen erstmals ein kleines Theaterstück auf. Christopher (in seiner Rolle als Microsoft-CA) und Sylvester (das Chrome-Root-Programm verkörpernd) interpretieren einen Disput zwischen den beiden Akteuren, den diese coram publico ausgetragen hatten. Grund des Streits: Microsofts Zögern, über 70 Millionen TLS-Zertifikate wegen eines Schreibfehlers in den Zertifikatsrichtlinien zurückzuziehen.

Nur durch massiven Druck der Konkurrenz aus Mountain View hatte Microsoft sich überzeugen lassen, das für alle Zertifizierungsstellen geltende Regelwerk einzuhalten. Zwar hatte Microsoft erst in der vergangenen Folge reichlich Kritik der Hosts abbekommen, aber auch dem Vorgehen des Softwareriesen im aktuellen Fall können sie wenig Positives abgewinnen. Denn Microsofts merkliche Unlust rührte offenbar auch daher, dass die CA mit den Widerrufen technisch überfordert war – ein böses Omen.

Gewiss, eine derart gewaltige Zertifikatszahl zurückrufen und teilweise neu ausstellen zu müssen, ist kein Pappenstiel. Doch „pacta sunt servanda“, musste auch Microsoft einsehen und widerruft nun so schnell langsam, wie es ihr aktuelles Set-up erlaubt. In Zukunft soll das besser werden, nicht nur bei Microsoft, denn wer im Fall eines eher unbedeutenden Dokumentationsfehlers nicht widerrufen kann, kann es auch bei einer massiven Sicherheitslücke nicht. Jetzt muss jede CA bis zum 1. Dezember 2025 einen Plan für Fälle von „Mass Revocation“, also massenhaftem Zertifikatswiderruf, erarbeiten und veröffentlichen. So profitiert immerhin das gesamte Ökosystem von dem Vorfall.

Auch die „MadeYouReset“-Lücke greift das Web an, allerdings nicht seine Verschlüsselung, sondern seine Leistungsfähigkeit. Israelische Forscher haben eine Lücke in der Zustandsmaschine des Protokolls HTTP/2 gefunden und können diese unter bestimmten Bedingungen für einen „Denial of Service“-Angriff nutzen. Doch das Internet wird deswegen nicht abbrennen, beruhigt Christopher: Viele populäre Webserver sind offenbar gar nicht von „MadeYouReset“ betroffen. Interessant ist MadeYouReset dennoch.

Schwatzhafte Coredumps

Einen Fehler im „Coredump“-Handler von systemd erläutert Sylvester ausführlich. An CVE-2025-4398 interessiert die beiden Hosts besonders, wie verschiedene Forscher den zunächst als schwer ausnutzbar geltenden Fehler doch zuverlässig reproduzieren konnten und darüber recht zuverlässig an geschützte Informationen aus dem Speicher von Linuxprozessen gelangten. Denn die plauderte systemd-coredump aus, wenn der Angreifer den Handler mit geschickter Prozessmanipulation aufs Glatteis führte. Und je leichter eine Lücke auszunutzen ist, desto gefährlicher wird sie – daher stieg der CVSS-Wert von 4,7 auf 7,1.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(cku)

Im Fall des bekanntesten politischen Häftlings Ägyptens gibt es nach Jahren erstmals wieder Hoffnung, dass er freigelassen wird. Wie die Nachrichtenagentur Reuters am Mittwoch berichtet, hat der ägyptische Machthaber al-Sisi die Behörden am Dienstag angewiesen, die Begnadigung des Aktivisten und Bloggers Alaa Abd el-Fattah zu prüfen. Das gehe auf ein Appell des ägyptischen Nationalrats für Menschenrechte zurück, in der el-Fattahs Name neben sieben anderen Gefangenen genannt werde, berichtet die Nachrichtenagentur. Der Nationalrat ist eine Institution des ägyptischen Regimes.

Tarek al-Awady, Mitglied des ägyptischen Präsidialbegnadigungskomitees, erklärte gegenüber Reuters, dass die Entscheidung über die Freilassung des Gefangenen voraussichtlich innerhalb „weniger Tage“ getroffen werde.

Der 1981 geborene el-Fattah befindet sich nach Angaben seiner Mutter Laila Soueif seit dem 1. September in einem Hungerstreik, um gegen seine Inhaftierung zu protestieren. Die Familie des Aktivisten, der auch einen britischen Pass besitzt, setzt sich seit Jahren für seine Freilassung ein. Sie hatte dabei zuletzt auch die Unterstützung der britischen Regierung erhalten. Eine Arbeitsgruppe der Vereinten Nationen hatte die Haft von el-Fattah als rechtswidrig und willkürlich eingestuft.

„Das ist wirklich vielversprechend. Wir hoffen, dass die Behörden dies dringend umsetzen und dass Alaa bald zu uns zurückkehren kann“, sagte seine Schwester Sanaa laut Reuters auf X.

Prominentes Gesicht der demokratischen Revolte

El-Fattah war eine der zentralen Figuren und prominenten Gesichter des Arabischen Frühlings in Ägypten. Seit nunmehr fast 20 Jahren ist el-Fattah immer wieder im Fokus der ägyptischen Repression. Schon vor der arabischen Revolution war er im Jahr 2006 für zwei Monate verhaftet worden. Nach dem arabischen Frühling 2011 saß er ab 2015 für mehr als vier Jahre im Gefängnis, weil ihm vorgeworfen wurde, politische Proteste organisiert zu haben.

Im September 2019 wurde el-Fattah erneut festgenommen, vermutlich weil er den Tweet eines politischen Gefangenen teilte. Ein ägyptisches Staatssicherheitsgericht hat ihn im Dezember 2021 zu einer Gefängnisstrafe von fünf Jahren wegen angeblicher Verbreitung von Falschnachrichten verurteilt. Während seiner Haft trat er zuletzt im Jahr 2022 in Hungerstreik, um konsularischen Zugang zur britischen Botschaft zu erhalten.

Am 29. September 2024 hätte Alaa Abd el-Fattah eigentlich wieder auf freiem Fuß sein sollen. Dann wäre eigentlich die fünfjährige Haftstrafe abgelaufen. Doch die ägyptische Justiz weigert sich – entgegen der eigenen Strafprozessordnung – ihn aus dem Gefängnis zu entlassen, indem sie die zweijährige Untersuchungshaft nicht anrechnete.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Medienpaket mit Arbeitsblättern und Erläuterungen für Heranwachsende, Lehrkräfte und Eltern veröffentlicht. Das Paket soll die Vermittlung grundlegender Cybersicherheitskompetenzen unterstützen und richtet sich vor allem an 10- bis 14-Jährige. Damit es möglichst sorgenfrei von pädagogischem Fachpersonal und Erziehungsberechtigten genutzt werden kann, stehen alle Materialien unter der Lizenz CC BY-NC frei zur Verfügung. Sie dürfen unter Nennung des BSI als Urheber weiterverwendet werden.

Material zu drei Themen

Das Medienpaket soll dazu beitragen, Jugendliche frühzeitig für digitale Risiken zu sensibilisieren und ihnen einen sicheren Umgang mit digitalen Medien vermitteln. Bisher gibt es Arbeitsblätter und Erläuterungen zu drei Themen: 1. Smartphone- und App-Sicherheit, 2. Methoden der Cyberkriminalität und Schadprogramme, und 3. Account-Schutz. Sie können einzeln oder auch als Gesamtpaket heruntergeladen werden. Zu jedem Thema stehen jeweils drei Dokumente zur Verfügung, die für die verschiedenen Zielgruppen verfasst wurden: Arbeitsblätter für Schülerinnen und Schüler, das Begleitmaterial für Pädagoginnen und Pädagogen und das Begleitmaterial für Eltern.

Die Arbeitsblätter verweisen über QR-Codes auf digitale Angebote des BSI – etwa auf weitergehende Informationsseiten des BSI oder Videos. Wollen Lehrkräfte die Arbeitsblätter also im Unterricht nutzen, müssen Schülerinnen und Schüler die Möglichkeit haben, über Endgeräte das Internet nutzen zu können. Dem BSI zufolge sind die Materialien auf die Lebenswelt von 10- bis 14-Jährigen ausgerichtet und didaktisch aufbereitet. In Schulen könnten sie in verschiedensten Unterrichtsfächern eingesetzt werden, eine außerschulische Nutzung in Volkshochschulen oder auch Jugendzentren sei ebenso möglich.

Larissa Hänzgen, Expertin für Verbraucherschutz im BSI, erklärt zur Veröffentlichung des Medienpakets: „Cybersicherheit ist ein grundlegender Bestandteil digitaler Bildung. Unser Ziel ist, Kinder und Jugendliche nicht nur technisch fit, sondern auch sicher durch die digitale Welt zu führen. Mit dem neuen Medienpaket geben wir Lehrkräften ein praxistaugliches und strukturiertes Werkzeug an die Hand, mit dem sie Wissen und Handlungskompetenz im Bereich IT-Sicherheit nachhaltig vermitteln können.“ Für Eltern stehen noch mehr auf sie ausgerichtete Informationsangebote zur Verfügung. Auf einer Webseite für Eltern des BSI wird unter anderem über Jugendschutzeinstellungen, Smart Toys und Cybermobbing informiert.

Präventionsansatz

Wie das BSI erklärt, sind 19 Prozent der 16- bis 22-Jährigen schon einmal von Kriminalität im Internet betroffen gewesen. Das gehe aus dem aktuellen Cybersicherheitsmonitor 2025 hervor. Die 16- bis 22-Jährigen sind dort die jüngste Gruppe der Befragten. Die nun veröffentlichten Informationsangebote des BSI setzen dementsprechend bei Jüngeren an.

(kbe)