Die Maintainer von Tails haben dem anonymisierenden Linux-Livesystem eine Aktualisierung spendiert.

Nachdem das vor rund einem Monat erschienene Tails 7.0 umfangreiche Neuerungen – darunter ein Upgrade auf Debian 13, Änderungen an der GNOME-Desktopumgebung und neue Tools – mitbrachte, sind die Neuerungen in Version 7.1 eher überschaubar. Gemäß der Ausrichtung des Linux-OS auf Anonymität und Privatsphäre sollten sicherheitsorientierte Nutzer dennoch nicht versäumen, verfügbare Upgrades zeitnah durchzuführen.

Mini-Updates & -Änderungen

Laut Release-Informationen zu Tails 7.1 hat die neue Version Thunderbird in der ESR (Extended Support Release)-Fassung 140.3.0 an Bord. Den integrierten Tor Browser haben die Entwickler auf die vergangene Woche veröffentlichte Version 14.5.8 angehoben, der Tor Client kommt in Version 0.4.8.19.

Apropos Tor: Wer den Browser künftig im Livesystem startet, sieht sich statt einer Online-Ansicht von der Tails-Webseite einer Offline-Site mit Suchfenster gegenüber.

Eine bislang offenbar missverständlich formulierte Eingabeaufforderung des Admin-Passworts wurde umformuliert, eine eher irritierende als hilfreiche Warnmeldung („Your connection to Tor is not being managed by Tor Browser„) beim Öffnen neuer Tabs beseitigt.

Tails auf 7.1 aktualisieren

Wer bereits Tails 7.0 verwendet, hat die Möglichkeit, ein automatisches Upgrade auf 7.1 durchzuführen. Für den Umstieg von früheren Versionen gibt es eine Anleitung zum manuellen Aktualisieren.

Des Weiteren haben die Entwickler wie gewohnt Anleitungen zur Tails-Neuinstallation von Windows-, macOS- und Linux-Systemen bereitgestellt. Wer keine Anleitung braucht, kann direkt das benötigte Image für USB-Sticks und in einer weiteren Fassung als ISO-Abbild etwa zum Brennen auf DVD oder zum Testen in einer VM herunterladen.

(ovw)

Sowohl für Mozillas Firefox und Thunderbird als auch für Googles Chrome-Browser gibt es Aktualisierungen. Kritische Schwachstellen wurden nicht geschlossen – wohl aber einige Lücken mit „High“-Einstufung, die Cybergangster ausnutzen könnten.

Bislang wurde derlei bei den aktuellen Lücken noch nicht beobachtet; dennoch ist baldiges Updaten ratsamer, als es darauf ankommen zu lassen. Bei aktivierter Updatefunktion passiert das in der Regel automatisch. Die neue Firefox-Version 144 steht zudem auch auf der zugehörigen Ankündigungsseite zum Download bereit.

Stable Channel Update für Chrome

Die neuen Stable-Channel-Versionen 141.0.7390.107/.108 für Windows und macOS sowie 141.0.7390.107 für Linux beheben eine Chrome-Sicherheitslücke, von der laut Google ein hohes Risiko ausgeht. Auch die Chrome-Fassung für Android war vor der neuen, abgesicherten Fassung 141.0.7390.111 von der Lücke betroffen.

Die betreffende Lücke CVE-2025-11756 („High“) steckt im Safe-Browsing-Feature. Es handelt sich um eine Use-after-free-Schwachstelle, bei der freigegebener Speicher unzulässigerweise weitergenutzt wird. Weitere Details verrät Googles Ankündigung zum Stable Channel Update aber nicht.

Wer tiefer in technische Interna einsteigen möchte, kann das Changelog der Chromium-Codebasis studieren.

Ist Chrome auf dem neuesten Stand?

Welcher Softwarestand derzeit aktiv ist, kann man über Chromes Browser-Menü herausfinden, das sich hinter dem Symbol mit drei aufeinandergestapelten Punkten rechts von der Adressleiste befindet. Dort geht es weiter über „Hilfe“ – „Über Google Chrome“.

Unter Linux müssen Nutzerinnen und Nutzer dafür in der Regel die Softwareverwaltung der eingesetzten Distribution starten. Die abgesicherte Android-Fassung ist via Google Play verfügbar.

Auch andere Webbrowser auf Chromium-Codebasis dürften verwundbar sein. Deren Hersteller dürften in Kürze ebenfalls Aktualisierungen zum Stopfen des Sicherheitslecks verteilen, etwa Microsoft für den Edge-Webbrowser.

Firefox, Firefox ESR und Thunderbird abgedichtet

Jeweils gleich mehrere Schwachstellen-Updates haben der freie Browser Firefox und dessen ESR (Extended Support Release)-Fassung sowie der E-Mail-Client Thunderbird erhalten.

Mozillas Übersichtsseite mit Sicherheitshinweisen nennt als abgesicherte Versionen den neuen Firefox 144 sowie die ESR-Versionen 140.4 und 115.29. Ebenfalls abgesichert sind Thunderbird 140.4 und natürlich auch die frische E-Mail-Client-Ausgabe 144 (siehe Release-Notes).

Wie gewohnt überschneiden sich einige der Security-relevanten Bugfixes in den Advisories der Mozilla-Software. Mehrere Lücken mit „High“-Einstufung hätten nach Einschätzung des Teams „mit ausreichend Aufwand“ zum Ausführen beliebigen schädlichen Codes missbraucht werden können. Ebenfalls vertreten sind Schwachstellen, die zum Auslesen von Informationen oder für unbefugte schreibende Zugriffe etwa auf JavaScript-Objekte hätten ausgenutzt werden können.

Weiteres zu Firefox 144

Wer sich für neue Funktionen und Änderungen in Firefox 144 interessiert, findet auf der Ankündigungsseite nähere Informationen hierzu.

Aus Security-Perspektive interessant: Der integrierte Passwortmanager setzt zur Verschlüsselung künftig AES-256-CBC (statt zuvor 3DES-CBC) ein, um gespeicherte Daten besser zu schützen.

(ovw)

Wer ein Unternehmen gründen will, soll dies laut den Plänen des Digitalministeriums in Zukunft innerhalb von nur 24 Stunden online erledigen können. In einem Webportal, ganz bequem von zu Hause aus. Dafür soll es ein einheitliches digitales Verfahren geben, ganz egal in welcher Kommune das Unternehmen sitzt. Auch Steuer- und Handelsregisternummern sollen über Schnittstellen zu den zuständigen Behörden im selben Portal erstellt werden.

Die Grundlage dafür soll künftig der Deutschland-Stack bilden, kurz: D-Stack. Es ist eines der Prestigeprojekte des neu gegründeten Ministeriums für Digitales und Staatsmodernisierung und soll eines der zentralen Versprechen der Bundesregierung einlösen: den Staat und die Verwaltung zu modernisieren und zu digitalisieren. Und zwar indem der Deutschland-Stack eine einheitliche digitale Infrastruktur für die öffentliche Verwaltung in Bund, Ländern und Kommunen bereitstellt.

Die Erwartungen an den D-Stack sind dementsprechend riesig. Sein Aufbau wird aus dem Sondervermögen Infrastruktur bezahlt. Allein für das laufende Jahr wurden knapp 40 Millionen Euro eingeplant, wie das Digitalministerium auf Anfrage mitteilte.

Was ist der Deutschland-Stack?

In einem kürzlich von der Bundesregierung beschlossenen Reformen-Fahrplan, der sogenannten Modernisierungsagenda, wird der Deutschland-Stack als „eine sichere, interoperable, europäisch anschlussfähige und souveräne Technologie-Plattform zur Digitalisierung der gesamten Verwaltung“ beschrieben. Er soll in den nächsten Jahren schrittweise aufgebaut werden. Ab 2028 sollen Bund, Länder und Kommunen den Stack nutzen können.

In einem Stack sind üblicherweise bestimmte aufeinander aufbauende Softwarekomponenten wie Programmiersprachen, Front- und Backend, Datenbanken, Bibliotheken, Schnittstellen und Entwicklungswerkzeuge gebündelt. Mit ihrer Hilfe werden dann Anwendungen entwickelt und betrieben. Der Deutschland-Stack wird demnach aus einer einheitlichen IT-Infrastruktur mit festgelegten technischen Standards und Diensten, wie der digitalen Legitimation, der Bezahlfunktion, dem Once-Only-Prinzip, einem vom Bund kuratierten Marktplatz sowie einer KI-gestützten Planungs- und Genehmigungsplattform bestehen.

Diese grundlegenden Dienste nennt der Bund „Basiskomponenten“ und will sie erstmals selbst bereitstellen, damit Verwaltungen der Länder und Kommunen sie nachnutzen können. Das sei zielführender als die Digitalisierung der Verwaltung über Rechtsvorschriften, teilt Jörg Kremer von der Föderalen IT-Kooperation (Fitko) gegenüber netzpolitik.org mit. Die Fitko koordiniert die Digitalisierung der öffentlichen Verwaltung von Bund und Ländern. Mit den Bausteinen werde ein deutlicher Weg hin zu einer Zentralisierung der digitalen Infrastruktur der öffentlichen Verwaltung eingeschlagen, sagt der Leiter der Abteilung Föderales IT-Architektur- und Standardisierungsmanagement und Cybersicherheit. Kremer hat selbst an den Grundlagen des Stacks mitgearbeitet.

Was sind die zentralen Basiskomponenten?

Die Basiskomponenten stehen bereits fest. Laufende Projekte wie die geplante EUDI-Wallet fügen sich laut BMDS in den Deutschland-Stack ein. Die EUDI-Wallet soll künftig eine Art digitale Brieftasche für alle EU-Bürger*innen sein, mit der sie sich online ausweisen und Verträge unterzeichnen können. Bis Ende 2026 muss jeder EU-Mitgliedsstaat eine Wallet anbieten, ihre Implementierung auf dem D-Stack ist innerhalb von drei Jahren geplant.

Für Markus Richter, Staatssekretär im Bundesdigitalministerium, bildet die „KI-gestützte Planungs- und Genehmigungsplattform H2-Plattform“ den „Nukleus“ des Stacks. Dabei handelt es sich um eine Plattform zur beschleunigten Planung von Wasserstoffleitungen, die bis 2032 in Betrieb gehen sollen. Ein etwa 9.000 Kilometer langes Netz aus Leitungen wird klimaneutralen Wasserstoff zu Industrie und Kraftwerken transportieren.

Die Genehmigungsprozesse für Wasserstoffleitungen sind lediglich ein erster Anwendungsfall. Später sollen weitere Antragsverfahren über die Plattform laufen, beispielsweise für den Bau von Windkraftanlagen, Biogas-Raffinerien sowie Energie- und Verkehrsinfrastrukturen.

Die KI-Komponente soll die Daten, die bei solchen Verfahren anfallen, verarbeiten und Teile der Prüfung automatisieren. Der erste Pilot der Plattform soll laut Richter am 15. November in Betrieb gehen, die KI-Komponente wird später angebunden. Derzeit läuft ein Vergabeverfahren für ihre Entwicklung.

Auch die deutsche Verwaltungscloud, ein Marktplatz für Cloud-Dienste für die öffentliche Verwaltung, und das National-Once-Only-Technical-System (NOOTS) sollen über den D-Stack laufen. Letzteres ist eine „Datenautobahn“ von Bund und Ländern, über die Behörden ebenenübergreifend miteinander Daten austauschen sollen. Ziel ist, dass Menschen ihre Daten bei verschiedenen Behörden nicht mehrmals eingeben müssen.

Im August hatte das Digitalministerium außerdem noch andere Missionen vorgestellt, in denen es weitere Kernkomponenten für den D-Stack erarbeitet. Dazu gehören das Identitäts- und Zugangsmanagement (Identity and Access Management, IAM), eine Low-Code-Plattform und Kipitz.

Mit IAM lässt sich regulieren, welche Personen Zugriff auf bestimmte Daten und Systeme in einer Organisation haben dürfen. Die Low-Code-Plattform ist eine Entwicklungsumgebung, die eher grafisch-visuell funktioniert und weniger Kenntnisse in klassischen Programmiersprachen erfordert. Kipitz ist ein bereits existierendes KI-Portal des ITZBund, des IT-Dienstleisters des Bundes, auf dem die Bundesverwaltung verschiedene KI-Modelle benutzt.

Konsultation eröffnet: Zweifel über die Umsetzung bleiben

Nach monatelanger Definitionsphase hat das Digitalministerium mittlerweile die Online-Konsultation für den Deutschland-Stack gestartet. Die Öffentlichkeit ist eingeladen, bis Ende November an der Konzeption des Stacks mitzuwirken. Eine neue Landing Page des Projekts ist auf der Open-Source-Plattform der öffentlichen Verwaltung OpenCode online gegangen.

Diese Seite hat beim Fachpublikum jedoch mehr Fragen aufgeworfen, als Antworten geliefert. Es gebe keine Klarheit darüber, wie der Deutschland-Stack genau ausgestaltet sein soll. „Es gibt weiterhin nicht ansatzweise ein Konzept, wie dieser Stack technisch, organisatorisch oder föderal überhaupt funktionieren soll“, schreibt beispielsweise Thomas Bönig, Leiter des Stuttgarter Amts für Digitalisierung, auf LinkedIn. Das Projekt wirke oberflächlich, unprofessionell und planlos. Wesentliche Aspekte wie Architektur, Roadmap oder klare Verantwortlichkeiten fehlen laut Bönig.

Auch der zivilgesellschaftliche Digitalverein D64 bemängelt gegenüber netzpolitik.org, dass entscheidende Fragen offen bleiben: Wer betreibt, finanziert und haftet für den Deutschland-Stack? Die Webseite beschreibe vor allem technische Ziele und liefere Allgemeinplätze. Es fehle an Substanz und einem belastbaren Konzept.

„Die größten Hemmnisse der Verwaltungsdigitalisierung sind nicht primär fehlende Technik, sondern fehlende Verbindlichkeit, föderale Koordination, nachhaltige Betriebsverantwortung, Nutzenden-Orientierung und Wiederverwendbarkeit von Komponenten“, sagt Bendix Sältz von D64. Technologie ohne klare organisatorische und rechtliche Verankerung werde diese Probleme nicht beseitigen.

Auch Kremer von der Fitko wünscht sich klare und eindeutige Absprachen darüber, wer welche Aufgaben beim Deutschland-Stack übernimmt. Der Stack muss sich in erster Linie daran orientieren, was Kommunen und Länder tatsächlich benötigen. Wenn eine konkrete Lösung entwickelt, gut dokumentiert und die Schnittstellen klar beschrieben sind, könnten etwa die Länder dafür verantwortlich sein, sie für ihre Fachverfahren zu nutzen.

„Die Vereinbarungen können auch anders gestaltet sein. Wichtig ist, dass sie im Vorfeld einheitlich geregelt werden“, betont der Abteilungsleiter bei der Fitko, um nicht die gleichen Fehler wie beim Onlinezugangsgesetz zu wiederholen. Der Plattformkern, der Basiskomponenten für alle föderalen Ebenen zur Verfügung stellt, sollte seiner Meinung nach idealerweise föderal gesteuert werden.

Digitale Souveränität: Wirtschaftsförderung oder Gemeinwohl?

„Digitale Infrastruktur entscheidet darüber, wer Zugang zu Informationen, Verwaltung und gesellschaftlicher Teilhabe hat“, teilt das Bündnis F5 auf unsere Anfrage mit, das aus fünf digitalpolitischen Vereinen besteht. Ähnlich wie D64 betont das Bündnis, dass der D-Stack sich nicht allein an Effizienz und Wirtschaftsförderung orientieren darf.

Öffentliche Infrastrukturmaßnahmen können sinnvoll sein, um die Abhängigkeit von Big Tech zu vermindern, so Sältz von D64 weiter. „Aber Souveränität darf weder als Rechtfertigung für nationale Abschottung dienen, noch als Subventionsprogramm für deutsche oder europäische Unternehmen, die die Geschäftsmodelle von Big Tech nachahmen.“

Sowohl F5 als auch D64 fordern daher, den Deutschland-Stack stärker am gesellschaftlichen Nutzen auszurichten. D64 fordert, dass Open-Source-First, interoperable Schnittstellen sowie die Zusammenarbeit auf internationaler und europäischer Ebene verbindlich vorgeschrieben werden.

Nicht zuletzt fehle es bei dem bisherigen Konzept an echter Einbindung der Zivilgesellschaft. Das offizielle Beteiligungsverfahren sieht vor allem Workshops mit Unternehmen, Wirtschaftsverbänden und IT-Dienstleistern der öffentlichen Verwaltung vor. Für die Zivilgesellschaft bleibt bisher das Feedback-Formular auf der Seite. Für eine echte Beteiligung von Kommunen, Ländern und Zivilgesellschaft brauche es aber Ressourcen wie beispielsweise Budget und Personalkapazität, sagt Bendix Sältz von D64.

Personalwechsel in der Abteilung „Deutschland-Stack“

Parallel zum Konsultationsstart gab es im Digitalministerium einen Personalwechsel: Digitalminister Karsten Wildberger setzte Anfang Oktober Martin von Simson von der Leitung der gleichnamigen Abteilung „Deutschland-Stack“ ab. Als Grund dafür wird vermutet, dass das Projekt bislang nicht von der Stelle gekommen war. Nach Informationen von Tagesspiegel Background habe die Abteilung mit „Chaos“ sowie fehlendem strategischen Handeln und Unklarheiten über den Kern des Projekts gekämpft. Auch die verzögerte Bereitstellung der H2KI-Plattform soll zu diesem frühen Wechsel der Leitung beigetragen haben.

An Simsons Stelle tritt Christina Decker, die bislang die Abteilung Zukunftstechnologien im Bundeswirtschaftsministerium leitete. Sie wird ab jetzt die größte Abteilung des Digitalministeriums mit 13 Referaten und einer Arbeitsgruppe führen.