Connect with us

Datenschutz & Sicherheit

Linus Torvalds: „Sinnloses Hin und Her“ um per KI gefundene Lücken


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

In seinem wöchentlichen Update zur Kernel-Entwicklung von Linux hat Linus Torvalds diesmal auch die Flut an per KI-Tools gefundenen Sicherheitslücken kommentiert. Der sich nach eigener Beschreibung oft „unverblümt“ äußernde Erfinder von Linux bemängelt nicht, dass aktuell so viele Lücken gefunden werden. Er hält aber den Umgang mit den Funden, und wie sie veröffentlicht werden, für problematisch.

Weiterlesen nach der Anzeige

Zum einen gäbe es zahlreiche Dubletten, was in der Natur der Sache liegt: Wenn mit einem KI-Tool jemand eine Lücke findet, kann das auch jemand anderes tun. Solche Funde seien „per definitionem kein Geheimnis“, schreibt Torvalds. Deshalb solle man sie nicht sofort an die zuständigen Personen in der Community weiterleiten, sondern erst nachsehen, ob die Lücke vielleicht nicht schon geschlossen sei. Die Security-Mailingliste sei durch die vielen Doppelungen und Diskussionen darüber „fast völlig unbewältigbar“.

Noch schlimmer sei die Behandlung der Lücken auf privaten Listen. Das ergebe nur ein „sinnloses Hin und Her“ – eben weil das frühere Geheimnis durch die Existenz eines KI-Tools, das es finden kann, keines mehr ist. Man solle nicht mehr sinnlose Reports einreichen, sondern lieber gleich einen Patch für die gefundene Lücke, meint Torvalds. „KI-Tools sind toll“, schreibt der Entwickler. Aber wenn man sie verwende, müsse man mehr tun, als nur das alleine. Man müsse „einen echten Mehrwert beitragen, zusätzlich zu dem, was die KI gemacht hat“, fordert Torvalds.

Lesen Sie auch


(nie)



Source link

Datenschutz & Sicherheit

Kommentar: CISA-Übereifer macht CVSS-Scores wertlos


Wer als Admin für das Beseitigen von Sicherheitslücken zuständig ist – oder als Journalist über ebensolche berichten will, um Verantwortlichen die Arbeit zu erleichtern –, ist auf zuverlässige Informationsquellen angewiesen. Die müssen im allerersten Schritt beim Priorisieren helfen: Welche Updates sollten möglichst zeitnah durchgeführt werden, um Gefahren abzuwenden, und welche können warten?

Weiterlesen nach der Anzeige

Das Common Vulnerability Scoring System (CVSS) soll als De-facto-Standard diese erste Einschätzung erleichtern: Scores von 1.0 („low“) über „medium“ bis hin zum Maximum von 10.0 („critical“) bewerten den Schweregrad. Das klingt wunderbar einfach – doch in der Praxis klaffen die Einschätzungen je nach Quelle oft weit auseinander.

Ursprünglich sollte der Titel dieses Beitrags in etwa so lauten: „Jetzt aktualisieren: Wichtige Sicherheitsupdates für Tomcat und ActiveMQ verfügbar“.

Die Headline eines typischen heise-security-Alerts also, basierend auf einer Warnmeldung des CERT-Bund mit Verweis auf Einträge in der GitHub Advisory Database. Ein Alert deshalb, weil sich unter den gesammelten Sicherheitshinweisen auch zwei als kritisch gekennzeichnete Sicherheitslücken in Apache Tomcat befanden: CVE-2026-53434 und CVE-2026-55276.

Was auf den ersten Blick eindeutig meldenswert schien, verwirrte auf den zweiten. Denn in den Diskussionsbeiträgen auf der Apache-Mailingliste zu CVE-2026-53434 beziehungsweise CVE-2026-55276 schätzt ein Entwickler aus dem Apache-Team die Bedrohung in beiden Fällen als niedrig („low“) ein.

Die Beschreibungen sind jeweils eher knapp. Deutlich wird: CVE-2026-53434 ist nur unter sehr eng gesteckten Bedingungen ausnutzbar, nämlich wenn Admins den sogenannten FFM-Konnektor in Verbindung mit Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) konfiguriert haben. CVE-2026-55276 wiederum ist ein eher vage beschriebener Autorisierungsbug, zu dem ein separates Red-Hat-Advisory anmerkt: „This is a logging-only issue with no runtime security impact[…]“.

Weiterlesen nach der Anzeige

Wie kommen nun die in der National Vulnerability Database (NVD) hinterlegten Scores von 9.1 für CVE-2026-55276 beziehungsweise CVE-2026-53434 zustande?

Ein Blick in die NVD-Einträge mit dem Vermerk „CISA-ADP“ offenbart ein Eingreifen der US-Cybersicherheitsbehörde CISA in den Scoring-Prozess. Die hat seit 2024 die Erlaubnis, in ihrer Rolle als Authorized Data Publisher (ADP) Einträge in der CVE-Datenbank eigenmächtig zu vervollständigen. Zwar nur innerhalb eines vordefinierten Daten-Containers, dafür aber ohne Rücksprache mit den CNAs (CVE Numbering Authorities), die die Einträge angelegt haben. Haben diese keinen CVSS-Punktwert hinterlegt, kann die CISA im Rahmen ihres sogenannten Vulnrichment-Prozesses „nachbessern“.

Entwickler haben diese Praxis in der Vergangenheit immer wieder kritisiert. So äußerte etwa Daniel Stenberg, Erfinder und Hauptentwickler des Open Source-Kommandozeilentools cURL, dass der Prozess des CVSS-Scorings schon per se ein hohes Risiko für Fehleinschätzungen berge. Diese Gefahr werde durch eigene Punkteberechnungen autorisierter Instanzen wie der CISA noch verschärft.

Schon die Kritik am CVSS-System selbst reicht von der intransparenten Herleitung von Formeln über die Komplexität im Hinblick auf diverse Zusatzmetriken bis hin zu den Eigeninteressen der jeweils bewertenden Personen, die den Score in eine für sie günstige Richtung von Hype bis Verharmlosung verschieben können.

Wenn dann auch noch eine ADP mit fast zufällig wirkenden Scores dazwischenfunkt, wird aus einer grundsätzlich guten Idee eine reine Zeitverschwendung. Und schlimmstenfalls eine Gefahrenquelle für Admins, die Patches irrtümlich hinten anstellen, weil sie sich zu sehr auf einen Score verlassen haben, statt diesen kritisch zu hinterfragen.

Zurück zu Tomcat und ActiveMQ: Die Updates sollten Sie natürlich trotzdem einspielen. Aber in Ruhe und vielleicht sogar beim Hören des Passwort-Podcasts von heise security, dessen aktuelle Folge sich um Sinn und Unsinn von CVSS und anderen Klassifikationssystemen dreht.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.


(ovw)



Source link

Weiterlesen

Datenschutz & Sicherheit

Vereinte Nationen: „Wir können nicht mehr sagen, wir hätten von nichts gewusst“



Vereinte Nationen: „Wir können nicht mehr sagen, wir hätten von nichts gewusst“

Das wissenschaftliche KI-Gremium der Vereinten Nationen hat am Mittwoch einen ersten vorläufigen Bericht zu den Chancen, Risiken und Einsatzmöglichkeiten Künstlicher Intelligenz veröffentlicht. KI könne massive Fortschritte in der Medizin, der Landwirtschaft und vielen weiteren Feldern bringen. Doch die Kluft zwischen ihrer rapiden Entwicklung und der aktuellen KI-Regulierung kann dem Bericht zufolge katastrophale Folgen haben, etwa in der Biotechnologie oder Cybersicherheit.

Das Gremium sieht ein großes Dilemma. Auf der einen Seite sollen Regierungen möglichst evidenzbasiert handeln. Auf der anderen Seite entwickeln sich KI-Technologien so schnell, dass Regulierung zu spät komme, wenn wissenschaftliche Befunde feststehen. „Die Fähigkeiten Künstlicher Intelligenz entwickeln sich schneller weiter, als es möglich ist, sie zu messen oder regulieren“, heißt es im Bericht. Zudem könne KI aktiv über ihre Fähigkeiten hinwegtäuschen. Selbst unter den Industrieländern mangele es an technischer Expertise, um Gefahren fortschrittlicher KI-Modelle einzuschätzen.

KI verstärkt globale Ungleichheiten

Ein weiterer Schwerpunkt des Berichts liegt auf dem Digital Divide, der Spaltung im Zugang zu Technologien zwischen reichen und armen Ländern. Folgen der Technologie für die Umwelt würden den Globalen Süden stärker treffen als den Norden, verzerrte KI-Modelle und Deepfakes vor allem marginalisierten Gruppen schaden. Darüber hinaus geht es den Fachleuten um Mitbestimmung: Länder, die KI zwar einsetzen, aber keinen Einfluss auf ihre Entwicklung haben, würden Anschluss und Kontrolle verlieren. Zu investieren sei deshalb lokal: nicht nur in eigene Infrastrukturen, sondern auch in KI-Kompetenz und Regulierungsmaßnahmen.

Das Gremium aus 40 internationalen Forschenden verschiedener Disziplinen soll unabhängig von den Vereinten Nationen arbeiten. Seine Aufgabe ist nicht, direkte politische Maßnahmen vorzuschlagen. Vielmehr sollen die Fachleute den aktuellen Wissensstand aufzeigen, damit daraus entsprechende Schritte abgeleitet werden können. Unter Künstlicher Intelligenz fasst das Gremium alle Maschinensysteme, die „wahrnehmen, lernen und handeln“.

Vom 6. bis 7. Juli findet in Genf der erste Global Dialogue on AI Governance statt: Hier dient der Bericht als Grundlage für die Gespräche der UN-Mitgliedsstaaten. Die Arbeit des Gremius geht unterdessen weiter. Der Bericht soll kontinuierlich erweitert werden, außerdem plant das Gremium Berichte zu inhaltlichen Schwerpunkten wie KI und Umwelt oder KI und Kinderschutz.

„Wir können nicht mehr sagen, wir hätten von nichts gewusst“, sagte UN-Generalsekretär António Guterres auf der Pressekonferenz zum Bericht. „Was wir damit tun, hängt jetzt von uns allen ab.“



Source link

Weiterlesen

Datenschutz & Sicherheit

Staatliche Transparenz: Angriff auf Informationsfreiheit sorgt weiter für heftige Kritik


Am gestrigen Donnerstag hatte die schwarz-rote Koalition ihre Pläne aus dem Koalitionsausschuss vorgestellt. Mit dabei: Ein Frontalangriff auf die Informationsfreiheit, den zahlreiche Medien- und Journalistenverbände scharf verurteilen. Vom „schwersten Angriff auf staatliche Transparenz in der Geschichte der Bundesrepublik“ ist da die Rede und davon, dass die Bundesregierung die Informationsfreiheit in die Tonne trete.

Mit ihrem Urteil sind die zivilgesellschaftlichen Organisationen nicht allein. Auch Louisa Specht-Riemenschneider, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) teilt die Kritik. „Einige der vom Koalitionsausschuss genannten Anpassungen hätten eine erhebliche Tragweite, die im Ergebnis einer Abschaffung der seit zwanzig Jahren bestehenden Informationsfreiheit nahekämen“, sagte Specht-Riemenschneider gegenüber dem RedaktionsNetzwerk Deutschland (RND).

Aus ihrer Sicht werde der Grundgedanke eines grundsätzlich voraussetzungslosen Zugangs zu amtlichen Informationen in sein Gegenteil verkehrt. Denn in Zukunft sollen Anfragende ein „berechtigtes Interesse“ an den abgefragten Dokumenten darlegen. Bislang muss der Staat begründen, wenn er Informationen nicht herausgeben will. „Hier sollte daran festgehalten werden, dass der Staat im Einzelfall darlegen muss, dass das öffentliche Interesse der Transparenz entgegensteht“, so Specht-Riemenschneider gegenüber dem RND.

„Undemokratisch“

Specht-Riemenschneider kritisiert zudem, dass die Pläne in Zukunft eine große Anzahl von Menschen in Deutschland ausschließen würde. Die Koalition plant das Auskunftsrecht auf Deutsche und EU-Bürger:innen zu beschränken. Die Bundesdatenschutzbeauftragte sagt, dies führe zu einer undemokratischen Zwei-Klassen-Informationsfreiheit.

Kritik an den Plänen kommt auch von der Linkspartei. Die Digitalpolitikerin Sonja Lemke kritisiert, dass die Koalition die Informationsfreiheit de facto abschaffen will. „Mit den Angriffen auf das Informationsfreiheitsgesetz will die Bundesregierung ihre Hinterzimmerpolitik durchsetzen. Dabei ist Transparenz gegenüber den Bürger*innen in einer Demokratie Pflicht! Denn nur so können Interessenkonflikte und geheime Machenschaften aufgedeckt werden“, so Lemke gegenüber netzpolitik.org.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Sie verweist darauf, dass durch IFG-Anfragen „rechtswidrige Machenschaften“ von Regierungspolitikern aufgedeckt worden seien. „Sei es bei Spahn und seinen Maskendeals oder seiner Villa, Katharina Reiche mit ihrer Wirtschaftskumpanei oder bei Phillip Amthors Werbung für Augustus Intelligence: Diese Personen machen deutlich, warum es eine staatliche Transparenz mit einer klaren Benennung der Verantwortlichen braucht.“

Auf einen solchen Zusammenhang verweist auch der investigative Journalist Markus Grill auf Bluesky: „Die von der CDU/SPD-Regierung geplante massive Einschränkung des Informationsfreiheitsgesetzes (IFG) wird die Arbeit investigativer Journalisten, und damit die Aufklärung über Missstände bzw. die Kontrolle der Regierung, sehr behindern. Viele Spahn-Enthüllungen z.B. wären ohne IFG unmöglich gewesen.“

Bundesregierung will zentrale demokratische Rechte beschneiden

Yannick Müller von D64 verweist gegenüber netzpolitik.org darauf, dass unter der Ampel-Regierung sogar ein bundesdeutsches Transparenzgesetz geplant war, das die Informationsfreiheit ausbauen sollte. „Die Einschränkung des IFG ergibt sich also nicht aus der Verwaltungspraxis heraus, sondern aus dem politischen Willen gegen mehr Transparenz“, sagt Müller.

Manfred Redelfs aus dem Investigativteam bei Greenpeace spricht von einem „massiven Schlag gegen Transparenz und Beteiligungsrechte“. Er schreibt: „Ausgerechnet in Zeiten, in denen viele Menschen mit den demokratischen Institutionen hadern, versucht die Bundesregierung, zentrale demokratische Rechte zu beschneiden. Vertrauen schafft man aber nicht durch Abschottung und Geheimhaltung, sondern nur durch Transparenz.“

Auf das Vertrauensproblem weist auch Lilli Iliev von Wikimedia Deutschland hin: „Das Vertrauen in Politik und Demokratie ist auf einem Rekordtief. Mit dem Rückbau in Sachen Transparenz wird das Misstrauen weiter zunehmen.“ Sie fordert deswegen: „Wir brauchen mehr Transparenz, nicht weniger – für alle.“



Source link

Weiterlesen

Beliebt