Datenschutz & Sicherheit
Niedersachsen: Datenabfluss bei Wirtschaftsprüferverein im Gesundheitswesen
Bei einem Cyberangriff auf die Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen (Arwini e. V.) sind nach Angaben der Polizeidirektion Hannover Daten aus dem System der Prüfstelle abgeflossen. Arwini verarbeitet Gesundheits- und Abrechnungsdaten gesetzlich Versicherter in Niedersachsen und prüft im Auftrag der gesetzlichen Krankenkassen und der Kassenärztlichen Vereinigung Niedersachsen (KVN) die Wirtschaftlichkeit ärztlicher Verordnungen. Hinter der Attacke steckt die Ransomware-Gruppe „Kairos“, wie die Polizei heise online bestätigte.
Weiterlesen nach der Anzeige
Zuerst hatte die „Hannoversche Allgemeine Zeitung“ (HAZ) über den Vorfall berichtet.
Bis zu 75.000 Datensätze betroffen
Arwini hatte erklärt, dass im schlimmsten Fall bis zu 75.000 Datensätze betroffen sein könnten. Auf Anfrage von heise online antwortete der externe Datenschutzbeauftragte des Unternehmens, Jürgen Recha, dass noch unklar sei, ob und welche Daten überhaupt abgeflossen seien. Die Authentizität der Beispielposts auf der Leaksite der Ransomware-Gruppe „Kairos“ könne Recha nicht beurteilen. Zur konkreten Datenhaltung und technischen Verarbeitung machte Arwini ebenfalls keine Aussagen. Die AOK teilte der HAZ mit, dass ihre eigenen Systeme nicht betroffen seien.
Nach Angaben eines Sprechers der Kassenärztlichen Vereinigung Niedersachsen (KVN) übermittelt die KVN quartalsweise pseudonymisierte Datensätze an die zuständige Prüfstelle. Patientendaten seien dabei anonymisiert. Enthalten seien jedoch arztbezogene Daten wie Arztnummern und Betriebsstättennummern, damit die Prüfstelle wirtschaftliche Auffälligkeiten einzelnen Praxen zuordnen könne. Die Identität von Ärzten und Praxen sei daher nachvollziehbar. Aus einer Prüfvereinbarung von 2022 geht hervor, dass im Zweifel auch weitere Informationen, etwa die Versichertennummer, angefordert werden können.
Stand der Ermittlungen
„Kairos“ droht mit dem Verkauf eines 2,87 Terabyte großen Datensatzes, der seit dem 11. Mai auf der Leaksite der Gruppe gelistet ist. Die Größenordnung steht in auffälligem Kontrast zu den von Arwini genannten 75.000 möglicherweise betroffenen Datensätzen – ob die Angreifer tatsächlich Daten in diesem Umfang erbeutet haben, ist bislang nicht verifiziert. Auf der Leaksite sind auch Beispieldateien zu sehen, überwiegend Briefe zwischen Krankenkassen und Ärzten. Nach Angaben der Polizei stehen die Behörden wegen Kairos im internationalen Austausch – unter anderem mit spanischen Ermittlern.
Weiterlesen nach der Anzeige
Inzwischen ist auch eine Meldung über eine Datenschutzverletzung beim Landesbeauftragten für den Datenschutz in Niedersachsen eingegangen. Ob die Meldung fristgerecht erfolgt sei, werde derzeit geprüft. Die Behörde verweist auf Nachfrage zudem auf die Informationspflichten gegenüber Betroffenen. Menschen, deren Daten möglicherweise betroffen sind, müssten „unverzüglich“ informiert werden, wenn ein voraussichtlich hohes Risiko für ihre Rechte und Freiheiten bestehe – sofern keine Ausnahmen nach Artikel 34 der Datenschutz-Grundverordnung (DSGVO) greifen.
(mack)
Datenschutz & Sicherheit
Kommentar: CISA-Übereifer macht CVSS-Scores wertlos
Wer als Admin für das Beseitigen von Sicherheitslücken zuständig ist – oder als Journalist über ebensolche berichten will, um Verantwortlichen die Arbeit zu erleichtern –, ist auf zuverlässige Informationsquellen angewiesen. Die müssen im allerersten Schritt beim Priorisieren helfen: Welche Updates sollten möglichst zeitnah durchgeführt werden, um Gefahren abzuwenden, und welche können warten?
Weiterlesen nach der Anzeige
Das Common Vulnerability Scoring System (CVSS) soll als De-facto-Standard diese erste Einschätzung erleichtern: Scores von 1.0 („low“) über „medium“ bis hin zum Maximum von 10.0 („critical“) bewerten den Schweregrad. Das klingt wunderbar einfach – doch in der Praxis klaffen die Einschätzungen je nach Quelle oft weit auseinander.
„Jetzt patch…“ – Kommando zurück?
Ursprünglich sollte der Titel dieses Beitrags in etwa so lauten: „Jetzt aktualisieren: Wichtige Sicherheitsupdates für Tomcat und ActiveMQ verfügbar“.
Die Headline eines typischen heise-security-Alerts also, basierend auf einer Warnmeldung des CERT-Bund mit Verweis auf Einträge in der GitHub Advisory Database. Ein Alert deshalb, weil sich unter den gesammelten Sicherheitshinweisen auch zwei als kritisch gekennzeichnete Sicherheitslücken in Apache Tomcat befanden: CVE-2026-53434 und CVE-2026-55276.
Was auf den ersten Blick eindeutig meldenswert schien, verwirrte auf den zweiten. Denn in den Diskussionsbeiträgen auf der Apache-Mailingliste zu CVE-2026-53434 beziehungsweise CVE-2026-55276 schätzt ein Entwickler aus dem Apache-Team die Bedrohung in beiden Fällen als niedrig („low“) ein.
Die Beschreibungen sind jeweils eher knapp. Deutlich wird: CVE-2026-53434 ist nur unter sehr eng gesteckten Bedingungen ausnutzbar, nämlich wenn Admins den sogenannten FFM-Konnektor in Verbindung mit Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) konfiguriert haben. CVE-2026-55276 wiederum ist ein eher vage beschriebener Autorisierungsbug, zu dem ein separates Red-Hat-Advisory anmerkt: „This is a logging-only issue with no runtime security impact[…]“.
Weiterlesen nach der Anzeige
Im Score vergriffen
Wie kommen nun die in der National Vulnerability Database (NVD) hinterlegten Scores von 9.1 für CVE-2026-55276 beziehungsweise CVE-2026-53434 zustande?
Ein Blick in die NVD-Einträge mit dem Vermerk „CISA-ADP“ offenbart ein Eingreifen der US-Cybersicherheitsbehörde CISA in den Scoring-Prozess. Die hat seit 2024 die Erlaubnis, in ihrer Rolle als Authorized Data Publisher (ADP) Einträge in der CVE-Datenbank eigenmächtig zu vervollständigen. Zwar nur innerhalb eines vordefinierten Daten-Containers, dafür aber ohne Rücksprache mit den CNAs (CVE Numbering Authorities), die die Einträge angelegt haben. Haben diese keinen CVSS-Punktwert hinterlegt, kann die CISA im Rahmen ihres sogenannten Vulnrichment-Prozesses „nachbessern“.
Entwickler haben diese Praxis in der Vergangenheit immer wieder kritisiert. So äußerte etwa Daniel Stenberg, Erfinder und Hauptentwickler des Open Source-Kommandozeilentools cURL, dass der Prozess des CVSS-Scorings schon per se ein hohes Risiko für Fehleinschätzungen berge. Diese Gefahr werde durch eigene Punkteberechnungen autorisierter Instanzen wie der CISA noch verschärft.
Im Zweifel genauer hinschauen
Schon die Kritik am CVSS-System selbst reicht von der intransparenten Herleitung von Formeln über die Komplexität im Hinblick auf diverse Zusatzmetriken bis hin zu den Eigeninteressen der jeweils bewertenden Personen, die den Score in eine für sie günstige Richtung von Hype bis Verharmlosung verschieben können.
Wenn dann auch noch eine ADP mit fast zufällig wirkenden Scores dazwischenfunkt, wird aus einer grundsätzlich guten Idee eine reine Zeitverschwendung. Und schlimmstenfalls eine Gefahrenquelle für Admins, die Patches irrtümlich hinten anstellen, weil sie sich zu sehr auf einen Score verlassen haben, statt diesen kritisch zu hinterfragen.
Zurück zu Tomcat und ActiveMQ: Die Updates sollten Sie natürlich trotzdem einspielen. Aber in Ruhe und vielleicht sogar beim Hören des Passwort-Podcasts von heise security, dessen aktuelle Folge sich um Sinn und Unsinn von CVSS und anderen Klassifikationssystemen dreht.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
(ovw)
Datenschutz & Sicherheit
Vereinte Nationen: „Wir können nicht mehr sagen, wir hätten von nichts gewusst“

Das wissenschaftliche KI-Gremium der Vereinten Nationen hat am Mittwoch einen ersten vorläufigen Bericht zu den Chancen, Risiken und Einsatzmöglichkeiten Künstlicher Intelligenz veröffentlicht. KI könne massive Fortschritte in der Medizin, der Landwirtschaft und vielen weiteren Feldern bringen. Doch die Kluft zwischen ihrer rapiden Entwicklung und der aktuellen KI-Regulierung kann dem Bericht zufolge katastrophale Folgen haben, etwa in der Biotechnologie oder Cybersicherheit.
Das Gremium sieht ein großes Dilemma. Auf der einen Seite sollen Regierungen möglichst evidenzbasiert handeln. Auf der anderen Seite entwickeln sich KI-Technologien so schnell, dass Regulierung zu spät komme, wenn wissenschaftliche Befunde feststehen. „Die Fähigkeiten Künstlicher Intelligenz entwickeln sich schneller weiter, als es möglich ist, sie zu messen oder regulieren“, heißt es im Bericht. Zudem könne KI aktiv über ihre Fähigkeiten hinwegtäuschen. Selbst unter den Industrieländern mangele es an technischer Expertise, um Gefahren fortschrittlicher KI-Modelle einzuschätzen.
KI verstärkt globale Ungleichheiten
Ein weiterer Schwerpunkt des Berichts liegt auf dem Digital Divide, der Spaltung im Zugang zu Technologien zwischen reichen und armen Ländern. Folgen der Technologie für die Umwelt würden den Globalen Süden stärker treffen als den Norden, verzerrte KI-Modelle und Deepfakes vor allem marginalisierten Gruppen schaden. Darüber hinaus geht es den Fachleuten um Mitbestimmung: Länder, die KI zwar einsetzen, aber keinen Einfluss auf ihre Entwicklung haben, würden Anschluss und Kontrolle verlieren. Zu investieren sei deshalb lokal: nicht nur in eigene Infrastrukturen, sondern auch in KI-Kompetenz und Regulierungsmaßnahmen.
Das Gremium aus 40 internationalen Forschenden verschiedener Disziplinen soll unabhängig von den Vereinten Nationen arbeiten. Seine Aufgabe ist nicht, direkte politische Maßnahmen vorzuschlagen. Vielmehr sollen die Fachleute den aktuellen Wissensstand aufzeigen, damit daraus entsprechende Schritte abgeleitet werden können. Unter Künstlicher Intelligenz fasst das Gremium alle Maschinensysteme, die „wahrnehmen, lernen und handeln“.
Vom 6. bis 7. Juli findet in Genf der erste Global Dialogue on AI Governance statt: Hier dient der Bericht als Grundlage für die Gespräche der UN-Mitgliedsstaaten. Die Arbeit des Gremius geht unterdessen weiter. Der Bericht soll kontinuierlich erweitert werden, außerdem plant das Gremium Berichte zu inhaltlichen Schwerpunkten wie KI und Umwelt oder KI und Kinderschutz.
„Wir können nicht mehr sagen, wir hätten von nichts gewusst“, sagte UN-Generalsekretär António Guterres auf der Pressekonferenz zum Bericht. „Was wir damit tun, hängt jetzt von uns allen ab.“
Datenschutz & Sicherheit
Staatliche Transparenz: Angriff auf Informationsfreiheit sorgt weiter für heftige Kritik
Am gestrigen Donnerstag hatte die schwarz-rote Koalition ihre Pläne aus dem Koalitionsausschuss vorgestellt. Mit dabei: Ein Frontalangriff auf die Informationsfreiheit, den zahlreiche Medien- und Journalistenverbände scharf verurteilen. Vom „schwersten Angriff auf staatliche Transparenz in der Geschichte der Bundesrepublik“ ist da die Rede und davon, dass die Bundesregierung die Informationsfreiheit in die Tonne trete.
Mit ihrem Urteil sind die zivilgesellschaftlichen Organisationen nicht allein. Auch Louisa Specht-Riemenschneider, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) teilt die Kritik. „Einige der vom Koalitionsausschuss genannten Anpassungen hätten eine erhebliche Tragweite, die im Ergebnis einer Abschaffung der seit zwanzig Jahren bestehenden Informationsfreiheit nahekämen“, sagte Specht-Riemenschneider gegenüber dem RedaktionsNetzwerk Deutschland (RND).
Aus ihrer Sicht werde der Grundgedanke eines grundsätzlich voraussetzungslosen Zugangs zu amtlichen Informationen in sein Gegenteil verkehrt. Denn in Zukunft sollen Anfragende ein „berechtigtes Interesse“ an den abgefragten Dokumenten darlegen. Bislang muss der Staat begründen, wenn er Informationen nicht herausgeben will. „Hier sollte daran festgehalten werden, dass der Staat im Einzelfall darlegen muss, dass das öffentliche Interesse der Transparenz entgegensteht“, so Specht-Riemenschneider gegenüber dem RND.
„Undemokratisch“
Specht-Riemenschneider kritisiert zudem, dass die Pläne in Zukunft eine große Anzahl von Menschen in Deutschland ausschließen würde. Die Koalition plant das Auskunftsrecht auf Deutsche und EU-Bürger:innen zu beschränken. Die Bundesdatenschutzbeauftragte sagt, dies führe zu einer undemokratischen Zwei-Klassen-Informationsfreiheit.
Kritik an den Plänen kommt auch von der Linkspartei. Die Digitalpolitikerin Sonja Lemke kritisiert, dass die Koalition die Informationsfreiheit de facto abschaffen will. „Mit den Angriffen auf das Informationsfreiheitsgesetz will die Bundesregierung ihre Hinterzimmerpolitik durchsetzen. Dabei ist Transparenz gegenüber den Bürger*innen in einer Demokratie Pflicht! Denn nur so können Interessenkonflikte und geheime Machenschaften aufgedeckt werden“, so Lemke gegenüber netzpolitik.org.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Sie verweist darauf, dass durch IFG-Anfragen „rechtswidrige Machenschaften“ von Regierungspolitikern aufgedeckt worden seien. „Sei es bei Spahn und seinen Maskendeals oder seiner Villa, Katharina Reiche mit ihrer Wirtschaftskumpanei oder bei Phillip Amthors Werbung für Augustus Intelligence: Diese Personen machen deutlich, warum es eine staatliche Transparenz mit einer klaren Benennung der Verantwortlichen braucht.“
Auf einen solchen Zusammenhang verweist auch der investigative Journalist Markus Grill auf Bluesky: „Die von der CDU/SPD-Regierung geplante massive Einschränkung des Informationsfreiheitsgesetzes (IFG) wird die Arbeit investigativer Journalisten, und damit die Aufklärung über Missstände bzw. die Kontrolle der Regierung, sehr behindern. Viele Spahn-Enthüllungen z.B. wären ohne IFG unmöglich gewesen.“
Bundesregierung will zentrale demokratische Rechte beschneiden
Yannick Müller von D64 verweist gegenüber netzpolitik.org darauf, dass unter der Ampel-Regierung sogar ein bundesdeutsches Transparenzgesetz geplant war, das die Informationsfreiheit ausbauen sollte. „Die Einschränkung des IFG ergibt sich also nicht aus der Verwaltungspraxis heraus, sondern aus dem politischen Willen gegen mehr Transparenz“, sagt Müller.
Manfred Redelfs aus dem Investigativteam bei Greenpeace spricht von einem „massiven Schlag gegen Transparenz und Beteiligungsrechte“. Er schreibt: „Ausgerechnet in Zeiten, in denen viele Menschen mit den demokratischen Institutionen hadern, versucht die Bundesregierung, zentrale demokratische Rechte zu beschneiden. Vertrauen schafft man aber nicht durch Abschottung und Geheimhaltung, sondern nur durch Transparenz.“
Auf das Vertrauensproblem weist auch Lilli Iliev von Wikimedia Deutschland hin: „Das Vertrauen in Politik und Demokratie ist auf einem Rekordtief. Mit dem Rückbau in Sachen Transparenz wird das Misstrauen weiter zunehmen.“ Sie fordert deswegen: „Wir brauchen mehr Transparenz, nicht weniger – für alle.“
-
Künstliche Intelligenzvor 3 MonateniX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 2 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Apps & Mobile Entwicklungvor 2 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Künstliche Intelligenzvor 2 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
