Im April will Microsoft die nächste Phase im Prozess zum Rauswurf der unsicheren RC4-Verschlüsselung aus Kerberos starten. Die Authentifizierung im Active Directory soll dadurch deutlich sicherer werden, gilt die RC4-Verschlüsselung doch bereits viele Jahre als geknackt.

Dazu hat Microsoft im Message-Center der Windows-Release-Health-Notizen eine 30-Tage-Erinnerung veröffentlicht. Die Windows-Updates zum April-Patchday und die darauf folgenden läuten die zweite Umsetzungsphase ein, um Schutzmaßnahmen gegen ein Kerberos-Informationsleck zu etablieren (CVE-2026-20833, CVSS 5.5, Risiko „mittel“). Die erste Phase, die Microsoft „Bereitstellungsphase“ nennt, begann mit den Windows-Updates zum Januar-Patchday. Damit hat Microsoft „neue Überwachungs- und optionale Konfigurationseinstellungen eingeführt, die dazu beitragen, die Abhängigkeit von älteren Verschlüsselungstypen wie RC4 zu reduzieren und Domänencontroller auf eine künftige Umstellung vorzubereiten, die mit dem Update im April 2026 beginnt und die standardmäßige Verwendung von AES-SHA1-verschlüsselten Tickets vorsieht.“

„Erzwingungsphase“ ab April 2026

Im zugehörigen Support-Beitrag erklärt Microsoft, dass im April die „Erzwingungsphase mit manuellem Rollback“ startet. Damit setzt Microsoft den Weg fort, der durch „stärkeres Standard-Ticket-Verhalten“ weg von veralteter Verschlüsselung wie RC4 führt. Domain-Controller setzen als neuen Standard auf AES-SHA1-verschlüsselte Tickets für Konten, die keine explizite Kerberos-Verschlüsselung konfiguriert haben. Microsoft nennt als konkreten Standardwert „0x18“ für „DefaultDomainSupportedEncTypes“ für KDC-Vorgänge von Konten, für die kein AD-Attribut „msds-SupportedEncryptionTypes“ gesetzt wurde. Admins können das Verhalten noch durch die manuelle Konfiguration des „RC4DefaultDisablementPhase“-REG_DWORD im Registry-Zweig „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters“ übersteuern. „0“ steht für keine Überwachung, „1“ erzeugt die Warnungen in den Protokollen der Phase 1, während „2“ die Erzwingungsphase aktiviert.

Microsoft weist eindringlich darauf hin, dass jetzt der Zeitpunkt gekommen ist, Abhängigkeiten von RC4-basierten Kerberos-Tickets für Dienstkonten oder Apps aufzulösen, bevor im Juli 2026 die „Durchsetzungsphase“ beginnt.

Das thematisierte auch das heise security Webinar zu Authentifizierung im Active Directory absichern: Mit Microsofts veralteten Konzepten (über)leben, das die praktischen Probleme von Kerberos und NTLM und Lösungen dafür aufzeigte.

(dmk)

Im Webmail-System Roundcube klafften mehrere, teils kritische Sicherheitslücken. Das Entwicklerteam hat sie behoben und nun den fünften und „hoffentlich letzten“ Kandidaten für die Version 1.7 veröffentlicht. Auch ältere Versionen erhalten Flicken für die Lücken.

Die vermutlich gefährlichste Sicherheitslücke klafft in der Sessionverwaltung mittels Redis/memcache – sie erlaubt Angreifern ohne vorherige Anmeldung, beliebige Dateien auf den Webserver zu schreiben. Ebenfalls unangenehm: Eine weitere Sicherheitslücke erlaubte in manchen Fällen, das Passwort eines Roundcube-Nutzers zu ändern, ohne dessen altes Passwort zu kennen. CVE-Kennungen gibt es bis jetzt für keine der Sicherheitslücken.

Des Weiteren behoben die Roundcube-Entwickler verschiedene Wege, die Inhaltsfilter, speziell die Blockierung von Bildern in der E-Mail-Anzeige, zu umgehen. Auch eine IMAP-Injection, Cross-Site Scripting und SSRF fanden und meldeten unabhängige Sicherheitsforscher.

Updates sind erschienen

Fehlerbereinigte Ausgaben für die drei aktuell gepflegten Roundcube-Versionen sind erschienen:

• Roundcube 1.7rc5,
• Roundcube 1.6.14 und
• Roundcube 1.5.14

Downloadlinks und einige knappe Informationen zu den einzelnen Sicherheitslücken finden sich auf der Versionsankündigung bei Github. Die Entwickler des Webmailers empfehlen dringend allen Admins, ihre Webmailer auf den neuesten Stand zu bringen. Exploits für Roundcube-Sicherheitslücken hatten erst Ende Februar für eine Warnung der US-Cybersicherheitsbehörde CISA gesorgt.

(cku)

Viele deutsche Bundesministerien und Behörden sind weiterhin auf dem umstrittenen Kurznachrichtendienst X aktiv. Meist begründen sie dies mit dem verfassungsrechtlichen Informationsauftrag, der sie angeblich dazu zwinge, auf der auf rechts gepolten Propagandaplattform des US-Unternehmers Elon Musk zu bleiben.

Sonderlich erfolgreich sind die Behörden damit jedoch nicht, wie nun eine Reichweitenanalyse des Zentrums für Digitalrechte und Demokratie zeigt. Ihre Beiträge werden in Summe kaum angesehen, kommentiert oder weiterverbreitet. Wenn es Interaktionen gibt, dann fallen diese selten konstruktiv aus. Stattdessen hetzen etwa unter Posts des Innenministeriums mal mutmaßliche, mal offen rechtsradikale Accounts gegen Geflüchtete oder verbreiten rassistische Kriminalitätserzählungen.

Es handle sich um eine kleine Stichprobe, die keine repräsentativen Aussagen erlaube, betont das Zentrum. Aber dabei enthüllte „deutliche Muster“, Tendenzen und beispielhafte Kommunikationsdynamiken deckten sich mit Forschungsergebnissen über Polarisierung, Plattformlogik und Benachteiligung sachlicher Kommunikation.

Zu einem ähnlichen Ergebnis ist im Februar netzpolitik.org gelangt, das die X-Accounts ausgewählter großer deutscher Medienhäuser analysiert hatte. Obwohl auch sie nur verhältnismäßig wenige Nutzer:innen erreichen, berufen sie sich unter anderem auf die Reichweite, die das vormals als Twitter bekannte soziale Netzwerk biete. Zudem sei der Online-Dienst genau der richtige Ort, um der auf X grassierenden Desinformation mit Fakten und Qualitätsjournalismus zu begegnen, so die befragten Medien.

Interaktionen im einstelligen Prozentbereich

Wie die Untersuchung des Zentrums nun offenlegt, ergeht es Behörden auf X kaum anders als journalistischen Inhalten. Die meisten untersuchten Accounts der Bundesministerien haben unter 200.000 Follower:innen und erzeugen kaum Resonanz. Selbst das Gesundheitsministerium (BMG), das immerhin knapp 330.000 folgende Accounts aufweist, geht auf der Spielwiese für Reaktionäre unter: Im Schnitt erreichte das BMG im Untersuchungszeitraum nicht einmal 1,3 Prozent seiner Follower:innen, wie das Zentrum vorrechnet. Gelingt es Behörden zuweilen, reichweitenstarke Posts abzusetzen, dann besetzen oft rechtsradikale Nutzer:innen den Debattenraum darunter.

Diesen Schnappschuss untermauern zahlreiche wissenschaftliche Studien, die das Zentrum heranzieht. So ist etwa belegbar, dass der Empfehlungsalgorithmus von X dafür anfällige Menschen nach rechts zieht. Faktenbasierte Kommunikation reicht in stark polarisierten Umfeldern nicht aus, um Desinformation wirksam zurückzudrängen, zeigt eine andere Studie – erst recht nicht in stark ideologisch aufgeladenen Kontexten. Und konstruktiver Dialog ist nur dann möglich, wenn Menschen wirklich miteinander reden und auf Argumente eingehen, was sich auf X nur selten beobachten lässt.

Damit verschiebe sich auch die Bedeutung des Informationsauftrags, schreibt das Zentrum: „Behörden sind auf X nicht einfach nur präsent. Sie kommunizieren in einer Umgebung, die aktiv gegen sie arbeitet – und der Algorithmus auf X ist ein mächtiger Gegner.“ Das zeige sich etwa daran, dass algorithmisch sortierte Kommentare immer wieder rechtsextremistische Accounts nach oben spülen, unter anderem die Identitäre Bewegung. Dass sich staatliche Behörden in einem derartigen Umfeld, selbst losgelöst von etwaigen Reichweitenargumenten, nicht mehr auf ihren verfassungsrechtlichen Informationsauftrag berufen können, hatte bereits im Vorjahr der Verfassungsblog ausgeführt.

Ein Abschied von X ist möglich

Indes sprechen deutsche Behörden nicht mit einer Stimme. Einige haben X dauerhaft verlassen, etwa die Berliner Staatsanwaltschaft oder die Antidiskriminierungsstelle des Bundes. X sei „für eine öffentliche Stelle kein tragbares Umfeld mehr“, erklärte Behörden-Chefin Ferda Ataman damals. Andere lassen ihren X-Account ruhen oder bespielen ihn nur mehr unregelmäßig, darunter das Verteidigungsministerium oder das Landwirtschaftsministerium. Ein sachlicher Austausch werde auf X „zunehmend erschwert“, begründete das Verteidigungsministerium den Schritt.

Auf die Kommunikation mit der Außenwelt verzichten sie deshalb jedoch nicht, schließlich existieren neben X zahlreiche weitere Online-Dienste mit grob vergleichbaren Funktionen. Dabei sei die „Förderung einer respektvollen und sachorientierten Diskussion“ maßgeblich, teilte ein Sprecher des Landwirtschaftsministeriums dem Zentrum mit. „Vor diesem Hintergrund setzen wir in unserer digitalen Kommunikation den Fokus auf Plattformen wie LinkedIn oder Instagram, auf denen erfahrungsgemäß häufiger ein fachlicher und konstruktiver Austausch stattfindet.“