Das als Cloud- und On-Premises-Lösung verfügbare CMS Sitecore Experience Manager (XM) und Sitecore Experience Platform (XP) ist von einer kritischen Schwachstelle betroffen. Angreifer können ohne vorherige Anmeldung Schadcode einschleusen und ausführen. Offenbar wird die Lücke bereits im Internet angegriffen.

Sitecore beschreibt das Problem in einer Sicherheitsmitteilung. Es handelt sich um eine Schwachstelle des Typs „Deserialisierung nicht vertrauenswürdiger Daten“, durch die Angreifer Schadcode einschleusen können, der zur Ausführung gelangt (CVE-2025-53690 / EUVD-2025-26629, CVSS 9.0, Risiko „kritisch„). Mandiant hat einen aktiven Angriff auf eine sogenannte „ViewState Deserialisation“ im Sitecore-CMS untersucht und dabei die Sicherheitslücke entdeckt. In Anleitungen zur Einrichtung von Sitecore aus dem Jahr 2017 und davor wurde ein Beispiel-Machine-Key genutzt – den dadurch offengelegten ASP.NET-Machine-Key haben Angreifer zur Ausführung von Code aus dem Netz missbraucht, erklären die IT-Forscher.

Es handelt sich damit um eine verwundbare Konfiguration von Sitecore, die Kunden betrifft, die eine anfällige Sitecore-Version mit dem Beispiel-Key in den öffentlichen Anleitungen ausgestattet haben; insbesondere SItecore XP 9.0 und Active Directory 1.4 und jeweils frühere Versionen hebt Mandiant hervor. Den genauen Angriffsverlauf erörtern die IT-Sicherheitsforscher in der Analyse, dort nennen sie auch einige Indizien für eine Infektion (Indicators of Compromise, IOCs).

Verwundbare Versionen

Als potenziell anfällig nennt Sitecore in der Sicherheitsmitteilung Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) und Managed Cloud. Wer mit diesen Software-Paketen die Installationsanleitungen für XP 9.0 und AD 1.4 oder früher zusammen mit dem Sample-Machine-Key eingesetzt hat, der etwa mit der Zeichenkette „BDDFE367CD…“ anfängt und einen Validation Key „0DAC68D020…“ nutzt, sollte umgehend handeln.

Sitecore empfiehlt dann, die Umgebung auf verdächtiges oder anormales Verhalten zu untersuchen, die Machine-Keys in der „web.config“-Datei zu ersetzen, zudem sicherzustellen, dass alle System--Elemente der „web.config“ verschlüsselt sind, Zugriff auf die „web.config“ auf Admins beschränken und anschließend das regelmäßige Austauschen statischer Machine-Keys umsetzen.

Zuletzt wurden Angriffe auf Sitecore CMS Ende 2021 bekannt. Auch da waren Angriffe aus dem Netz ohne vorherige Authentifizierung möglich gewesen sein, jedoch erreichte der Schweregrad der Schwachstelle lediglich die Einstufung „hoch“, und nicht wie jetzt „kritisch“.

(dmk)

Sieben Microsoft-Mitarbeitende besetzten in der vergangenen Woche vorübergehend das Büro von Microsoft-Vizechef Brad Smith auf dem Firmengelände nahe Seattle. Die Aktivist:innen der Gruppe „No Azure for Apartheid“ stellten die Möbel um und klebten pro-palästinensische Banner an die Fenster.

Die Demonstrierenden forderten Microsoft auf, sämtliche Verträge mit dem israelischen Militär und der israelischen Regierung aufzukündigen. Außerdem solle der Konzern sämtliche Verbindungen zur Tech-Industrie in Israel offenlegen.

Konkret kritisieren sie, dass die israelische Armee Microsofts Cloud-Plattform Azure im Krieg in Gaza dazu nutzt, um Überwachungsdaten über die palästinensische Bevölkerung zu speichern. Damit mache sich Microsoft zum Komplizen an den anhaltenden Menschenrechtsverletzungen in dem Küstenstreifen.

Nur einen Tag nach der Protestaktion entließ der Tech-Konzern zwei Mitarbeitende, die sich an der Bürobesetzung beteiligt hatten. Zwei weitere Angestellte, die an einer vorangegangenen Aktion in der Microsoft-Zentrale teilgenommen hatten, müssen das Unternehmen ebenfalls verlassen.

Als Grund dafür gab der Konzern schwerwiegende Verstöße gegen die unternehmensinternen Richtlinien an. Die Demonstrationen auf dem Firmengelände hätten „erhebliche Sicherheitsbedenken aufgeworfen”.

Medienrecherchen als Auslöser der Proteste

Die Proteste hatte eine gemeinsame Recherche der britischen Tageszeitung The Guardian, der israelisch-palästinensischen Publikation +972 Magazine und des hebräischsprachigen Online-Mediums Sikha Mekomit ausgelöst. Die Medien hatten ihre Ergebnisse am 6. August dieses Jahres veröffentlicht.

Demnach nutze die Geheimdienst-Einheit „Unit 8200“ der israelischen Armee seit 2022 Microsofts Cloud-Angebot Azure, um Daten von Telefonanrufen im Westjordanland und im Gazastreifen im großen Stil zu speichern. Die quasi unbegrenzte Speicherkapazität der Cloud macht es der auf Überwachung spezialisierten Einheit möglich, eine riesige Menge an täglichen Anrufen aufzuzeichnen und die entsprechenden Daten über einen längeren Zeitraum zu horten.

Die Recherche basiert auf geleakten Microsoft-Dateien sowie auf Gesprächen mit Mitarbeitenden von Microsoft und des israelischen Militärs, darunter auch der „Unit 8200“. Ein Großteil der Überwachungsdaten wird der Recherche zufolge mutmaßlich in Microsoft-Rechenzentren in den Niederlanden und Irland gespeichert. Die Daten nutze das israelische Militär auch dazu, um Angriffsziele in Gaza auszumachen.

Microsoft will Vorwürfe klären

Gut eine Woche nach den Medienberichten leitete Microsoft eine Untersuchung der Vorwürfe durch eine externe Anwaltskanzlei ein. Die Untersuchung werde auf einer vorangegangenen Prüfung aufbauen, die keine Beweise dafür hervorgebracht habe, „dass Azure- und KI-Technologien von Microsoft dazu genutzt wurden, Menschen im Konflikt in Gaza anzugreifen oder zu schädigen“.

Das Unternehmen betont, die eigenen Nutzungsbedingungen würden eine Speicherung von Massenüberwachungsdaten untersagen. Zugleich schreibt der Konzern, nur begrenzt einsehen zu können, „wie Kunden unsere Software auf ihren eigenen Servern oder anderen Geräten nutzen“.

Die Gruppe „No Azure for Apartheid“ wies die angekündigte Untersuchung als „Verzögerungstaktik“ zurück. Sie kritisiert, dass Microsoft nicht auf ihre Forderung eingehe, Verträge mit der israelischen Armee zu beenden.

Auch Amazon und Google stellen Dienste für das israelische Militär bereit

Die Proteste gegen Microsofts Geschäftsbeziehungen mit Israel dauern bereits seit Monaten an.

Bereits im Mai dieses Jahres hatte Microsoft einen Mitarbeiter entlassen, der eine Rede von CEO Satya Nadella mit Zwischenrufen gestört hatte. Im April kündigte das Unternehmen zwei Mitarbeitenden, nachdem diese eine Feier zum 50-jährigen Firmenjubiläum unterbrochen hatten.

Microsoft ist nicht der einzige Tech-Konzern, dessen Belegschaft gegen die Zusammenarbeit mit dem israelischen Militär protestiert.

Seit Beginn des Krieges in Israel und Gaza am 7. Oktober 2023 nutze die israelische Armee nicht nur zivile Clouddienstleistungen von Microsoft, sondern auch von Amazon und Google, schreibt +972 Magazine. Demnach sei die Zusammenarbeit mit der Armee für die drei Unternehmen ein lukratives Geschäft. Das israelische Verteidigungsministerium gelte zudem als wichtiger strategischer Kunde, dessen Meinung als „Vorreiter“ auch für andere Sicherheitsbehörden großen Wert habe.

Rund 100 Seiten Stellungnahmen haben Fachleute dem hessischen Landtag zu einer Anhörung am Mittwoch im Gesundheitsausschuss vorgelegt. Es ging dabei um eine geplante Änderung des dortigen Psychisch-Kranken-Hilfe-Gesetzes, vor allem eine Passage darin alarmiert Ärzt:innen, Kliniken, Betroffene und Angehörige gleichermaßen.

Die CDU-SPD-Landesregierung will psychiatrische Kliniken dazu verpflichten, Patient:innen bei Entlassungen in bestimmten Fällen an Ordnungs- und Polizeibehörden zu melden. Und zwar, wenn bei einer nicht freiwillig aufgenommenen Person „aus medizinischer Sicht die Sorge besteht, dass von der untergebrachten Person ohne weitere ärztliche Behandlung eine Fremdgefährdung ausgehen könnte“. Bislang wird in Hessen der örtliche sozialpsychiatrische Dienst informiert, wenn der Klinikaufenthalt von untergebrachten Menschen endet. Dadurch sollen diese Begleitung und Hilfsangebote nach ihrer stationären Zeit bekommen.

Mehr statt weniger Gefahr durch Stigmatisierung

Eine Übermittlung an die Polizei jedoch steht vor allem im Zeichen einer vermeintlichen Gefahrenabwehr. „Die Entlassung aus einer ärztlichen Behandlung wird somit von einem Schritt in die Autonomie und Genesung zu einem potenziellen Sicherheitsrisiko gemacht, das staatlicher Überwachung bedarf“, kritisiert der Hessische Städtetag, der die Interessen von 83 Städten und Gemeinden im Bundesland vertritt.

Zusätzlich sieht der Städtetag wie viele andere der Fachleute und Verbände das Risiko, dass Menschen mit psychischen Erkrankungen durch das Gesetz stigmatisiert und als Gefahr dargestellt werden. Das könnte dazu führen, dass weitere Hürden entstehen, Hilfe zu suchen. So schreibt etwa die hessische Landesarbeitsgemeinschaft der Deutschen Gesellschaft für Soziale Psychiatrie: „Die Stigmatisierung, die diese geplante Rechtsregelung mit sich bringen würde, ist ein für die sozialpsychiatrische Arbeit erschwerender Faktor und es werden unnötigerweise Risiken erhöht.“

Das Zentrum für Psychische Gesundheit der Frankfurter Uniklinik warnt dabei vor einer Störung des Vertrauensverhältnisses zwischen Behandelnden und Patient:innen. Das könnte dazu führen, „dass Betroffene aus Angst vor einer Meldung an die Behörden nicht offen mit den Behandelnden über ihre Gedanken und ihr Erleben sprechen und deshalb keine psychiatrische Behandlung mehr in Anspruch nehmen“.

Psychisch erkrankte Menschen sind nicht gefährlich

Die Motivation für die geplante Gesetzesänderung liegt in mehreren vergangenen Gewalttaten, bei denen im Nachgang über eine psychische Erkrankung der mutmaßlichen Täter:innen berichtet wurde. Ein Beispiel, das explizit im Gesetzentwurf ausgeführt wird, ist ein Messerangriff in Aschaffenburg im Januar 2025, bei dem zwei Personen getötet und weitere schwer verletzt wurden. Der Verdächtige war zuvor mehrfach in stationärer psychiatrischer Behandlung.

Ereignisse wie dieses haben immer wieder viel mediale Aufmerksamkeit bekommen. Dadurch kann leicht der Eindruck entstehen, dass von psychisch erkrankten Menschen generell ein Sicherheitsrisiko ausgehe. Das führt in die Irre. „Tatsächlich sind sie statistisch deutlich häufiger Opfer von Gewalt als Täter“, schreibt die Frankfurter Sozialdezernentin Elke Voitl in ihrer Stellungnahme.

Sollte jemand in Zusammenhang mit ihrer Erkrankung in seltenen Fällen fremdgefährdendes Verhalten aufweisen, fordern Expert:innen ganz andere Ansätze. Aguedita Afemann vom Landesverband der Privatkliniken in Hessen schreibt, Gewaltprävention gelinge am wirksamsten „durch eine gute psychiatrisch-psychotherapeutische Behandlung, durch Förderung von Teilhabe und soziale Integration und nicht durch das Führen von Listen oder Meldungen an Sicherheitsbehörden.“

Der hessische Landesverband der Angehörigen und Freunde von Menschen mit psychischen Erkrankungen fordert: Statt „Erfassung und Kontrolle“ plädiert der Verband für „ein ernstzunehmendes Präventionsmanagement und nahtlose und bedarfsgerechte Unterstützungsangebote für psychisch erkrankte Menschen“.

Fehlende Kriterien und Schutzmechanismen

Juristische Sachverständige sehen im Entwurf der Landesregierung auch einen grundlegenden Konflikt mit Datenschutzgesetzen. Der Landesdatenschutzbeauftragte Alexander Roßnagel stellt fest, dass es sich bei der geplanten Datenübermittlung „um einen tiefen Eingriff in die Grundrechte der betroffenen Personen“ handelt. Er weist darauf hin, dass Gesundheitsinformationen nach der Datenschutzgrundverordnung besonders sensible Daten sind, für die besondere Anforderungen gelten.

Zwar erkennt Roßnagel an, dass der beabsichtigte Zweck der Gefahrenabwehr in erheblichem öffentlichen Interesse sei, aber vieles bleibe in dem Entwurf unklar. Etwa was genau die „notwendigen Informationen für eine Gefährdungseinschätzung“ sind, die gemeldet werden sollen oder wie die entsprechenden Daten genutzt werden sollen. Ihm reicht die aktuelle Fassung nicht in Bezug auf eine verfassungsmäßige Verhältnismäßigkeit.

Die Hessische Krankenhausgesellschaft ergänzt, dass Kriterien fehlen, „wann eine Weitergabe erfolgen darf. Schutzmechanismen wie ein Richtervorbehalt, Transparenzpflichten, Protokollierung oder Einspruchsmöglichkeiten der betroffenen Person fehlen“.

Polizeigewerkschaft zweifelt an Nutzen

Zweifel am Gesetz kommen ebenfalls von denen, die letztlich die Daten der Entlassenen empfangen sollen: der Polizei. Die Gewerkschaft der Polizei begrüßt in ihrer Stellungnahme zwar die Zielrichtung des Gesetzentwurfs. Die Interessenvertretung stellt jedoch die Frage, was die Beamt:innen eigentlich mit den übermittelnden Daten tun sollen – und wie die Meldungen überhaupt technisch und personell bewältigt werden können.

Ein ständiger Mangel bei medizinischem Personal lasse laut Polizeigewerkschaft „erhebliche Zweifel daran aufkommen, ob die gesetzlich geforderte Einschätzung im Alltag verlässlich erbracht werden kann“. Auch die drohende Stigmatisierung bewerten die Polizeivertreter:innen kritisch und plädieren für einen Ausbau der kommunalen sozialpsychiatrischen Dienste.

Hessen ist nur der Anfang

Nach der Anhörung und der zahlreichen Kritik im Gesundheitsausschuss hat der hessische Landtag nun die Gelegenheit, den Gesetzentwurf zu überarbeiten. Parallel zu der dortigen Entwicklung läuft eine bundesweite Diskussion über den Umgang von Menschen mit psychischen Erkrankungen. Die Innenminister:innen der Länder und des Bundes einigten sich bei ihrer Konferenz im Juni darauf, ein „behördenübergreifendes Risikomanagement“ einführen zu wollen. Eine entsprechende Arbeitsgruppe soll bei der nächsten Sitzung dazu berichten, die im Dezember in Bremen stattfinden wird.