Im April will Microsoft die nächste Phase im Prozess zum Rauswurf der unsicheren RC4-Verschlüsselung aus Kerberos starten. Die Authentifizierung im Active Directory soll dadurch deutlich sicherer werden, gilt die RC4-Verschlüsselung doch bereits viele Jahre als geknackt.

Dazu hat Microsoft im Message-Center der Windows-Release-Health-Notizen eine 30-Tage-Erinnerung veröffentlicht. Die Windows-Updates zum April-Patchday und die darauf folgenden läuten die zweite Umsetzungsphase ein, um Schutzmaßnahmen gegen ein Kerberos-Informationsleck zu etablieren (CVE-2026-20833, CVSS 5.5, Risiko „mittel“). Die erste Phase, die Microsoft „Bereitstellungsphase“ nennt, begann mit den Windows-Updates zum Januar-Patchday. Damit hat Microsoft „neue Überwachungs- und optionale Konfigurationseinstellungen eingeführt, die dazu beitragen, die Abhängigkeit von älteren Verschlüsselungstypen wie RC4 zu reduzieren und Domänencontroller auf eine künftige Umstellung vorzubereiten, die mit dem Update im April 2026 beginnt und die standardmäßige Verwendung von AES-SHA1-verschlüsselten Tickets vorsieht.“

„Erzwingungsphase“ ab April 2026

Im zugehörigen Support-Beitrag erklärt Microsoft, dass im April die „Erzwingungsphase mit manuellem Rollback“ startet. Damit setzt Microsoft den Weg fort, der durch „stärkeres Standard-Ticket-Verhalten“ weg von veralteter Verschlüsselung wie RC4 führt. Domain-Controller setzen als neuen Standard auf AES-SHA1-verschlüsselte Tickets für Konten, die keine explizite Kerberos-Verschlüsselung konfiguriert haben. Microsoft nennt als konkreten Standardwert „0x18“ für „DefaultDomainSupportedEncTypes“ für KDC-Vorgänge von Konten, für die kein AD-Attribut „msds-SupportedEncryptionTypes“ gesetzt wurde. Admins können das Verhalten noch durch die manuelle Konfiguration des „RC4DefaultDisablementPhase“-REG_DWORD im Registry-Zweig „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters“ übersteuern. „0“ steht für keine Überwachung, „1“ erzeugt die Warnungen in den Protokollen der Phase 1, während „2“ die Erzwingungsphase aktiviert.

Microsoft weist eindringlich darauf hin, dass jetzt der Zeitpunkt gekommen ist, Abhängigkeiten von RC4-basierten Kerberos-Tickets für Dienstkonten oder Apps aufzulösen, bevor im Juli 2026 die „Durchsetzungsphase“ beginnt.

Das thematisierte auch das heise security Webinar zu Authentifizierung im Active Directory absichern: Mit Microsofts veralteten Konzepten (über)leben, das die praktischen Probleme von Kerberos und NTLM und Lösungen dafür aufzeigte.

(dmk)

Im Webmail-System Roundcube klafften mehrere, teils kritische Sicherheitslücken. Das Entwicklerteam hat sie behoben und nun den fünften und „hoffentlich letzten“ Kandidaten für die Version 1.7 veröffentlicht. Auch ältere Versionen erhalten Flicken für die Lücken.

Die vermutlich gefährlichste Sicherheitslücke klafft in der Sessionverwaltung mittels Redis/memcache – sie erlaubt Angreifern ohne vorherige Anmeldung, beliebige Dateien auf den Webserver zu schreiben. Ebenfalls unangenehm: Eine weitere Sicherheitslücke erlaubte in manchen Fällen, das Passwort eines Roundcube-Nutzers zu ändern, ohne dessen altes Passwort zu kennen. CVE-Kennungen gibt es bis jetzt für keine der Sicherheitslücken.

Des Weiteren behoben die Roundcube-Entwickler verschiedene Wege, die Inhaltsfilter, speziell die Blockierung von Bildern in der E-Mail-Anzeige, zu umgehen. Auch eine IMAP-Injection, Cross-Site Scripting und SSRF fanden und meldeten unabhängige Sicherheitsforscher.

Updates sind erschienen

Fehlerbereinigte Ausgaben für die drei aktuell gepflegten Roundcube-Versionen sind erschienen:

• Roundcube 1.7rc5,
• Roundcube 1.6.14 und
• Roundcube 1.5.14

Downloadlinks und einige knappe Informationen zu den einzelnen Sicherheitslücken finden sich auf der Versionsankündigung bei Github. Die Entwickler des Webmailers empfehlen dringend allen Admins, ihre Webmailer auf den neuesten Stand zu bringen. Exploits für Roundcube-Sicherheitslücken hatten erst Ende Februar für eine Warnung der US-Cybersicherheitsbehörde CISA gesorgt.

(cku)

Das Recht auf Auskunft über die eigenen personenbezogenen Daten gehört zu den schärfsten Schwertern der Datenschutz-Grundverordnung (DSGVO). Doch wer dieses Instrument zweckentfremdet, um daraus ein Geschäftsmodell zu machen, stößt nun an juristische Grenzen. Der Europäische Gerichtshof (EuGH) hat am Donnerstag in einem wegweisenden Urteil klargestellt, dass Auskunftsanträge eindeutig als rechtsmissbräuchlich eingestuft werden können. Voraussetzung ist, dass sie allein mit der Absicht gestellt werden, später Schadenersatzansprüche zu provozieren.

Mit der Entscheidung in der Rechtssache C-526/24 stärkt das höchste europäische Gericht die Verteidigungsmöglichkeiten von Unternehmen gegen sogenannte Datenschutz-Trolle. Der Fall nahm seinen Ausgang vor dem Amtsgericht Arnsberg. Dort entwickelte sich eine Art Lehrstück über eine moderne juristische Grauzone.

Eine in Österreich wohnhafte Person hatte sich für den Newsletter des Optikerunternehmens Brillen Rottler angemeldet und dabei freiwillig ihre Daten in die Maske eingegeben. Nur 13 Tage später forderte sie das Unternehmen nach Artikel 15 DSGVO auf, umfassend Auskunft über die verarbeiteten Daten zu erteilen. Als das Unternehmen den Antrag mit Verweis auf einen mutmaßlichen Missbrauch ablehnte, klagte die Person auf eine Entschädigung von mindestens 1000 Euro für den angeblich entstandenen immateriellen Schaden.

Kläger war kein Unbekannter

Das Optikerunternehmen konnte vor Gericht darauf verweisen, dass der Antragsteller kein Unbekannter war. Medienberichte und Informationen von Rechtsanwälten legten nahe, dass die Person systematisch Newsletter abonniert, unmittelbar danach Auskunft verlangt und bei der kleinsten Verzögerung oder Ablehnung Klagewellen wegen Datenschutzverstößen initiiert. Das Amtsgericht Arnsberg rief daraufhin den EuGH an. Es wollte klären lassen, ob bereits ein erster Auskunftsantrag als „exzessiv“ im Sinne der DSGVO gelten kann und unter welchen Bedingungen ein Schadenersatzanspruch in solchen Konstellationen besteht.

Die Luxemburger Richter stellten nun fest, dass der einschlägige Schutz der DSGVO nicht schrankenlos gilt. Zwar dient das Auskunftsrecht dazu, dass sich Bürger der Datenverarbeitung bewusst werden und deren Rechtmäßigkeit überprüfen können. Ziel ist es, gegebenenfalls Rechte auf Berichtigung oder Löschung wahrzunehmen. Wenn aber nachgewiesen werden kann, dass ein Antrag trotz formaler Korrektheit nur gestellt wurde, um künstlich die Voraussetzungen für eine Schadenersatzklage zu schaffen, liegt ein Rechtsmissbrauch vor.

Ein solcher Nachweis kann laut EuGH etwa durch das bisherige Verhalten der Person und öffentlich zugängliche Informationen über ähnliche Forderungen gegenüber anderen Unternehmen geführt werden.

Wann wird Schadenersatz fällig?

Relevant für die Praxis ist die Klarstellung des EuGH zu den Voraussetzungen für Schadenersatz. Ein bloßer Verstoß gegen die DSGVO reicht demnach nicht automatisch für eine Geldentschädigung aus. Der Kläger muss vielmehr nachweisen, dass ihm tatsächlich ein konkreter materieller oder immaterieller Schaden entstanden ist.

Zwar umfasst ein immaterieller Schaden grundsätzlich auch den Kontrollverlust über die eigenen Daten. Doch setzt der EuGH hier jetzt eine entscheidende Hürde: Wer durch sein eigenes Verhalten die entscheidende Ursache für den Schaden gesetzt hat – etwa indem er die Datenverarbeitung nur provoziert, um sie später zu „verklagen“ – kann keinen Ersatz verlangen.

Firmen verspricht dieses Urteil eine Erleichterung. Sie können bei exzessiven Anträgen unter Berufung auf Artikel 12 Absatz 5 DSGVO entweder die Auskunft verweigern oder ein angemessenes Entgelt für den Verwaltungsaufwand verlangen. Trotzdem bleibt die Beweislast beim Verantwortlichen.

Das Amtsgericht Arnsberg muss nun im konkreten Einzelfall prüfen, ob das Verhalten des Klägers die Schwelle zum Missbrauch überschritten hat, wobei Faktoren wie die kurze Zeitspanne zwischen Anmeldung und Antrag sowie die Freiwilligkeit der Datenpreisgabe eine zentrale Rolle spielen.

()