Die US-amerikanische IT-Sicherheitsbehörde CISA hat fünf Schwachstellen neu in den „Known-Exploited-Vulnerabilities“-Katalog aufgenommen. Demnach attackieren Angreifer derzeit Schwachstellen in Produkten von Apple, Kentico, Microsoft und Oracle.

Eine der Sicherheitslücken, die die CISA als bekannt attackiert auflistet, stammt bereits aus dem Jahr 2023 und betrifft mehrere Apple-Produkte. Details nennt der CVE-Eintrag nicht, Apple berichtet dort jedoch, dass das Problem durch verbesserte Begrenzungsprüfungen korrigiert wurde – das klingt nach einem potenziellen Pufferüberlauf, den Apple in tvOS 15.6, watchOS 8.7, iOS und iPadOS 15.6, macOS 12.5 sowie Safari 15.6 korrigiert hat (CVE-2022-48503, CVSS 8.8, Risiko „hoch„).

Auch junge Schwachstellen im Visier

In der Kentico-Xperience-Umgebung hat der Hersteller im März dieses Jahres kritische Sicherheitslücken gestopft, die Angreifern die Umgehung der Authentifizierung über den Staging Sync Server ermöglichten (CVE-2025-2746, CVE-2025-2747, CVSS 9.8, Risiko „kritisch„). Auf beide Lücken haben es Angreifer inzwischen abgesehen. Ebenso auf eine Lücke im Windows-SMB, durch die angemeldete Angreifer ihre Rechte über das Netzwerk ausweiten können – und die Microsoft bereits im Juni mit einem Update geschlossen hat (CVE-2025-33073, CVSS 8.8, Risiko „hoch„).

Schließlich wurden nun auch Attacken auf die in der vergangenen Woche mit einem Notfall-Update geschlossene Sicherheitslücke in der Oracle E-Business-Suite beobachtet. Es handelt sich um eine CrossServer-Side-Request-Forgery (SSRF), die laut Oracle aus dem Netz ohne vorherige Authentifizierung ausnutzbar ist (CVE-2025-61884. CVSS 7.5, Risiko „hoch„). Sie ermöglicht den Zugriff auf sensible Informationen.

IT-Verantwortliche sollten die bereitstehenden Software-Aktualisierungen zügig herunterladen und installieren, um die Angriffsfläche zu minimieren. Die CISA nennt wie üblich keine Details zu den Angriffen, sodass derzeit keine Indizien für Angriffe (Indicators of Compromise, IOCs) verfügbar sind, mit denen sich diese erkennen ließen.

(dmk)

Die Meldung sorgte jüngst für größeres Medienecho: Das deutsche Software-Unternehmen SAP will mit ChatGPT-Hersteller OpenAI kooperieren. Zusammen wollen sie sogenannte Künstliche Intelligenz für den öffentlichen Sektor anbieten. Zur Zielgruppe gehören neben Schulen und Universitäten auch die öffentliche Verwaltung.

Bundesdigitalminister Karsten Wildberger (CDU) bezeichnet die Kooperation als „gutes Signal für den Digitalstandort Deutschland“. Konkreter wird er nicht. Das könnte daran liegen, dass die Nachrichtenmeldung zahlreiche Fragen offenlässt: Um welche KI-Produkte wird es bei der Kooperation gehen? Wer kontrolliert das dahinterliegende KI-Modell am Ende? Und wer wird auf die Daten zugreifen, die aus der öffentlichen Verwaltung in die KI-Systeme fließen?

Bislang nur ein „Marktangebot“

Noch ist nichts in trockenen Tüchern. Denn die Übereinkunft zwischen SAP und OpenAI ist bislang nicht mehr als eben das: eine angekündigte Kooperation zwischen zwei großen IT-Herstellern. Und noch ist nicht entschieden, dass die öffentliche Verwaltung auch zu deren Kunden zählt. Das bestätigt das Bundesdigitalministerium (BMDS) auf Anfrage von netzpolitik.org.

Das Ministerium begrüßt zwar generell Kooperationen „führender deutscher Unternehmen“ und im Konkreten „die KI-Offensive von SAP“, so ein Sprecher gegenüber netzpolitik.org. Er stellt aber zugleich klar: „Bei dem von SAP und OpenAI angekündigten KI-Angebot handelt es sich um ein Marktangebot.“ Und bevor die öffentliche Verwaltung ein solches Angebot „für schutzwürdige Daten“ nutzt, müsse sie es prüfen und zertifizieren. Beides sei bislang nicht erfolgt.

Was bieten SAP und OpenAI?

SAP und OpenAI rühren derweil kräftig die Werbetrommel. Mit Unterstützung von KI sollen Behördenmitarbeiter*innen ihre Arbeit fortan schneller erledigen, so ihr Versprechen, um mehr Zeit „für wertschöpfende Aufgaben“ zu haben. Die KI-Systeme sollen etwa automatisch Akten verwalten und Daten analysieren. Die Verarbeitung erfolge „sicher und verantwortungsvoll“.

Zugleich werben die Unternehmen damit, so zur Umsetzung der KI-Strategie des Bundes und die High-Tech-Agenda der Bundesregierung beizutragen. Die High-Tech-Agenda verfolgt das Ziel, mit einer KI-Offensive bis zum Jahr 2030 „zehn Prozent unserer Wirtschaftsleistung KI-basiert [zu] erwirtschaften“. Außerdem sollen die KI-Produkte beider Unternehmen dabei helfen, dass die Bundesrepublik „digital souverän“ wird.

„Um das zu gewährleisten, wird OpenAI für Deutschland von der SAP-Tochter Delos Cloud angeboten“, argumentiert SAP. In der öffentlichen Verwaltung ist die Delos-Cloud bereits seit längerem bekannt. Vor gut einem Jahr warben der damalige Bundeskanzler Olaf Scholz (SPD) gemeinsam mit Markus Richter (CDU) – Richter war damals Bundes-CIO und ist inzwischen Staatssekretär im BMDS – dafür, dass die Delos-Cloud eine zentrale Rolle in der Verwaltungscloud-Strategie des Bundes einnimmt. In einer Sondersitzung des IT-Planungsrats im Juni 2024 lehnten die Länder dies allerdings unter anderem deshalb ab, weil SAP in den Rechenzentren von Delos die Cloud-Software Azure des US-Konzerns Microsoft einsetzt.

Zunehmende Abhängigkeit von Microsoft

Kritiker*innen wiesen bereits damals darauf hin, dass sich die Bundesregierung immer stärker in die Abhängigkeit von Microsoft begebe. Der Tech-Gigant mischt aber nicht nur bei der Delos-Cloud mit, sondern ist auch strategischer Partner und Großinvestor bei OpenAI. Sollte die öffentliche Verwaltung fortan zu den Kunden von SAP und OpenAI zählen, wird diese Abhängigkeit vermutlich noch stärker werden. Da beruhigt auch die Zusicherung von Philipp Herzig, Chief AI Officer von SAP, nur wenig, wonach das KI-Angebot des Konzerns den Vorgaben des europäischen Datenschutzes entspreche.

Außerdem sollen die Produkte für die Verwaltung „aus Deutschland heraus betrieben“ werden, so Herzig. Die Daten öffentlicher Einrichtungen würden demnach auf Rechenzentren in Deutschland gespeichert. Das verhindere, dass Unberechtigte außerhalb der Bundesrepublik darauf zugreifen könnten.

Doch dieses Versprechen wird Herzig vermutlich nicht einhalten können. Grund ist der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, aus dem Jahr 2018. Das Gesetz bestimmt, dass US-Tech-Anbieter unter bestimmten Voraussetzungen zur Offenlegung von Daten gegenüber US-Behörden verpflichtet (PDF) werden können – auch wenn sich diese Daten außerhalb der Vereinigten Staaten befinden.

Dieses Risiko ist zuständigen Politiker*innen offenbar bewusst. Erst im Juli stellte das baden-württembergische Innenministerium (PDF) fest, dass Microsofts Software den Vorgaben des CLOUD Acts unterliege. Daher könne hier „nicht in vollem Umfang von vollständiger Souveränität gesprochen werden, da theoretisch Zugriffe auf Anwendungsdaten durch Drittstaaten nicht ausgeschlossen werden können“. Das Ministerium warnt sogar explizit davor, dass Microsoft auf Geheiß der US-Regierung einen Datenabfluss in seine Software einbauen könnte, ohne dass Software-Nutzer*innen davon wüssten.

Heute berät der Landtag von Baden-Württemberg (PDF) unter Ausschluss der Öffentlichkeit, ob er die Delos-Cloud in der Landesverwaltung einführen will.

Das Have-I-Been-Pwned-Projekt (HIBP) ist um 183 Millionen entwendete Zugänge reicher. Betreiber Troy Hunt hat von Infostealern ausgeleitete Zugangsdaten, die von der Firma Synthient gesammelt wurden, zur ohnehin schon riesigen Datensammlung hinzugefügt.

Bei Infostealern handelt es sich um Trojaner, die auf dem Rechner oder Smartphone von Opfern installiert wurden – oftmals landen die dort, weil die Besitzer etwa vermeintlich gecrackte Software installiert haben oder weil durch Sicherheitslücken in der genutzten Software eingeschleuste Malware sich einnisten konnte. Die schneiden dort mit, wenn sich die Opfer in Dienste einloggen, und schicken die Zugangsdaten an ihre Command-and-Control-Server. Oftmals landen die Daten dann in offen zugänglichen Cloudspeichern oder etwa in Telegram-Kanälen, wo sie andere Kriminelle sammeln und neu zusammenstellen sowie mit Daten aus älteren Lecks abgleichen und vermengen.

Solche Daten hat Synthient gesammelt. Have-I-Been-Pwned-Betreiber Troy Hunt hat nun die Synthient-Datensammlung aus dem April dieses Jahres erhalten. Nach dem Aufräumen – „Normalisieren“ und Deduplizeren nennt Hunt explizit in der Ankündigung – blieben aus den Milliarden Einträgen noch 183 Millionen einzigartige Zugänge übrig. Die umfassen die Webseite, auf der sie eingegeben wurden, sowie Nutzernamen und Passwort.

Auf HIBP auffindbar

Der Datensatz ist nun über die HIBP-Webseite durchsuchbar. Als Suchkriterien sind E-Mail-Adressen, Passwörter, Domains und die Website, auf der Zugangsdaten eingegeben wurden, verfügbar.

Bis Anfang dieses Jahres hatte das HIBP-Projekt lediglich Daten aus bekannten Datenlecks oder Einbrüchen von Organisationen in der Datenbank gesammelt. Seitdem hat Troy Hunt jedoch begonnen, auch die öffentlich aufgetauchten, von Infostealern entwendeten Daten aufzubereiten und zu ergänzen.

Die direkte Adresssuche soll solche Infostealer-Daten jedoch nicht zurückliefern. Da auch die Adressen dazugehören, wo die Zugangsdaten eingegeben wurden, könnten sonst die Privatsphäre der Opfer kompromittiert werden. Hunt nannte dazu als Beispiel, dass bei den Infostealer-Daten Domains mit Wörtern wie „Porn“, „Adult“ oder „xxx“ enthalten sind. Die Informationen können Interessierte sich jedoch an ihre E-Mail-Adresse senden lassen. Dafür ist eine Anmeldung am „Notify Me“-Dienst von HIBP nötig.

(dmk)