Datenschutz & Sicherheit
Oracle: 309 Sicherheitsupdates für alle möglichen Produkte
Oracle hat in der Nacht zum Mittwoch seinen quartalsweise stattfindenden „Critical Patch Update“ genannten Patchday begangen. Dabei hat das Unternehmen 309 Sicherheitspatches für Produkte quer durch sein Portfolio veröffentlicht.
In der Übersicht zum Oracle CPU im Juli listet das Unternehmen die einzelnen Schwachstellen in den Produkten auf. Von den 309 Schwachstellen stufen Oracles Entwickler neun als kritisches Risiko ein. Weitere 144 gelten als hochriskant und haben einen CVSS-Wert von 7.0 bis 8.9. Die meisten dieser Lücken lassen sich von Angreifern aus dem Netz missbrauchen, in weiten Teilen ohne Privilegien am System, also etwa ohne vorherige Authentifizierung.
Insgesamt 111 Produkte sind laut Oracles Auflistung von Sicherheitslücken betroffen. IT-Verantwortliche sollten prüfen, ob sie davon welche einsetzen, und die verfügbaren Updates zügig installieren. Oracle weist zudem darauf hin, dass ausschließlich für Produkte Updates bereitstehen, die noch „Premier Support“ erhalten oder in der erweiterten Support-Phase sind; wer ältere Softwarestände einsetzt, sollte zunächst auf noch unterstützte Fassungen aktualisieren.
Der vorherige Oracle CPU fand im April statt. Da musste der Hersteller sogar 378 Schwachstellen ausbessern. Der Großteil davon ließ sich da aus der Ferne ohne vorherige Anmeldung ausnutzen.
(dmk)
Datenschutz & Sicherheit
Microsoft: Angriffe auf neue Sharepoint-Lücke – bislang kein Patch verfügbar
Auf Social Media und anderen Kanälen warnt Microsofts Sicherheitsteam vor einer neuen Lücke in Sharepoint On-Prem. Man wisse bereits von Kunden-Servern, die darüber attackiert wurden. Patch gibt es noch keinen; dafür erklärt Microsoft, man könne und solle sich mit „Microsoft Defender Antivirus“ schützen.
Bei der aktuellen Sicherheitslücke mit dem Bezeichner CVE-2025-53770 handelt es sich offenbar um eine Variante des Problems CVE-2025-49706, das Microsoft erst am 8. Juli mit einem Security-Update adressierte. Es beruht auf einer fehlerhaften Deserialisierung von Daten. Ersten Gerüchten auf X zufolge können Angreifer darüber den sogenannten MachineKey des Servers stehlen und sich damit das Ausführen von Code auf dem Server ermöglichen. Damit wäre die Lücke in der obersten Kategorie anzusiedeln; die europäische ENISA bewertet den zugehörigen EUVD-2025-21981 mit dem CVSS-Rating 9,8 (kritisch).
Antivirus zur Rettung
Microsoft empfiehlt in Kundenhinweisen zur SharePoint-Schwachstelle CVE-2025-53770, zum Schutz das neue Antimalware Scan-Interface AMSI zu aktivieren und dann den hauseigenen Virenjäger Defender AV auf allen Servern zu installieren. Das ist eine überaus unbefriedigende Situation, da nicht einmal klar ist, ob und wie das bereits installierte Security-Software beeinflusst. Doch andere Schutzmaßnahmen nennt Microsoft nicht; uns sind bisher auch keine alternativen Mitigations bekannt. Wenn sich da etwas Neues ergibt, werden wir das hier nachtragen.
Betroffen sind offenbar ausschließlich On-Prem-Installationen von Microsoft Sharepoint; SharePoint Online in Microsoft 365 ist laut Microsoft nicht anfällig. Weitere Erklärungen, wie das kommt, gibt Microsoft nicht. Details zu den bisherigen Angriffen über diese Lücke nennt Microsoft ebenfalls nicht, gibt jedoch rudimentäre Tipps, wie man infizierte Server identifizieren kann. Offenbar kam bei den Angriffen eine Datei namens "spinstall0.aspx"
zum Einsatz.
Die Situation um diese Sicherheitslücke dürfte sich in den nächsten Stunden und Tagen ständig weiterentwickeln. Wir werden diese Entwicklung beobachten und weiter berichten. Mitglieder von heise security PRO können ihre Erfahrungen mit Mitigations auch hier im PRO-Forum diskutieren.
(ju)
Datenschutz & Sicherheit
Wie Trumps Drohungen europäische Grundrechte gefährden
Der DSC-Beirat ist ein Gremium aus Zivilgesellschaft, Forschung und Wirtschaft. Er soll in Deutschland die Durchsetzung des Digital Services Act begleiten und den zuständigen Digital Services Coordinator unterstützen. Svea Windwehr ist Mitglied des Beirats und berichtet in dieser Kolumne regelmäßig aus den Sitzungen.
Mitte Juli fand die fünfte – und vorerst letzte – Sitzung des ersten Beirats des deutschen Digital Services Coordinators (DSC) statt. Da die Amtszeit der Beiratsmitglieder an die Legislaturperiode des Deutschen Bundestages geknüpft ist, steht nun die Neubesetzung des Gremiums durch den Ausschuss für Digitales und Staatsmodernisierung bevor.
Damit bietet sich die Gelegenheit, ein erstes Fazit zu ziehen. Was hat der Beirat in den zurückliegenden Monaten erreicht? Und wie steht es aktuell um die Durchsetzung des Digital Services Acts (DSA)?
Eine erste Bilanz
In knapp elf Monaten fanden fünf Beiratssitzungen statt. In dieser Zeit hat sich der Beirat eine Geschäftsordnung gegeben, die eine Grundlage für die Zusammenarbeit bietet. Außerdem haben sich die Mitglieder untereinander und den DSC etwas näher kennengelernt sowie erste inhaltliche Themen beackert.
Das war nicht immer einfach. Die verschiedenen im Beirat vertretenen Interessen führten – quasi entlang von Sollbruchstellen – wiederholt zu inhaltlichen Spannungen. Insbesondere bei der Frage nach dem Selbstverständnis des Beirats gingen die Vorstellungen regelmäßig auseinander.
Einige sehen die Rolle des Gremiums darin, den DSC in Fragen der Durchsetzung des DSA auch hinsichtlich europäischer Aspekte zu beraten. Andere präferieren hingegen den Fokus auf deutsche Kontexte. Auch der Grad der Transparenz des Beirats, also welche Teile der Sitzungen öffentlich und welche nur hinter geschlossenen Türen stattfinden, musste immer wieder ausgehandelt werden.
Bei vielen inhaltlichen Themen arbeitete der Beirat dafür umso konstruktiver zusammen. Von einer gemeinsamen Stellungnahme zur Frage, wie Kinder und Jugendliche online besser geschützt werden können, ohne dass sie ihre Privatsphäre opfern müssen, bis zu internationalen Themen – die diverse Besetzung des Beirats hat sich bewährt, um den DSC möglichst umfangreich zu beraten.
Im besten Fall ist es also eine Stärke des Beirats, dass er so unterschiedliche Perspektiven aus Wissenschaft, Zivilgesellschaft und Industrie zusammenbringt.
Dabei muss festgehalten werden, dass sich die Besetzung des Beirats anders gestaltet hat als vorgesehen. Die Beiratsmitglieder werden auf Vorschlag der Fraktionen vom Plenum des Bundestags gewählt. In der zurückliegenden Legislaturperiode gingen zwei der vorgesehenen 16 Sitze aufgrund ihrer Fraktionsstärke an die AfD. Die AfD nominierte jedoch nur eine Person: den Blogger Hadmut Danisch. Aus ihrer Sicht ist er ein Vertreter der Zivilgesellschaft. Allerdings fällt Danisch regelmäßig mit misogynen und verschwörungserzählerischen Aussagen auf. Er wurde letztlich vom Plenum abgelehnt.
Die Zukunft des Beirats
Somit war der Beirat um zwei Personen kleiner als geplant, und die Zivilgesellschaft verfügte nur über acht Vertreter*innen – deutlich weniger als gesetzlich vorgesehen.
Dies wird wohl im nächsten Beirat ebenfalls so sein. Denn aufgrund des Rechtsrucks bei der vergangenen Bundestagswahl hat die AfD nun das Vorschlagsrecht für vier statt nur zwei Sitze. Nur die CDU/CSU darf mit sechs Sitzen mehr Beiratsmitglieder vorschlagen.
Und auch wenn die zivilgesellschaftliche Vertretung darunter leidet, ist zu hoffen, dass der nächste Beirat ebenfalls ohne die AfD auskommt. Denn seit Jahren verunglimpft die Partei den DSA als Zensurwerkzeug. Erst im vergangenen Juni hat sie dem DSC vorgeworfen, durch die Ernennung von sogenannten “trusted Flagger” die Meinungsfreiheit im Netz zu gefährden.
Damit unterminiert die AfD nicht nur gezielt ein Gesetz, dass ihren eigenen Online-Aktivitäten einen Riegel vorschieben könnte. Sondern sie setzt auch zivilgesellschaftliche Organisationen, die zum Beispiel als trusted Flagger an der Durchsetzung des DSA beteiligt sind, Repression und Schmierkampagnen aus. Sehr wahrscheinlich würden die von der AfD vorgeschlagenen Beiratsmitglieder diese Politik auch aus dem Beirat heraus betreiben.
Die wichtige Rolle der Zivilgesellschaft
Tatsächlich gibt es ein durchschlagkräftiges zivilgesellschaftliches Ökosystem, das die Umsetzung des DSA auf deutscher und europäischer Ebene maßgeblich mitgestaltet. Viele der von der Europäischen Kommission eingeleiteten Verfahren gegen Big Tech basieren auf Belegen, die zivilgesellschaftliche Organisationen zusammengetragen haben.
Diese Organisationen verfügen über viel Expertise, mit der sie die Risikoberichte der größten Plattformen kritisch hinterfragen. Sie pochen auf die Rechte der Nutzer*innen. Und sie geben immer wieder Feedback, um Verbesserungen zu erzielen. Auch viele der wegweisenden gerichtlichen Verfahren gegen Plattformen unter dem DSA wurden und werden von NGOs ausgefochten.
Dass die Zivilgesellschaft stark im Beirat vertreten ist, erkennt somit ihre besondere Expertise an, die zu einer konsequenten Durchsetzung des DSA und dem Schutz von Grundrechten im Netz beiträgt.
Liegt die DSA-Durchsetzung auf Eis?
Wie es um die weitere Durchsetzung des DSA bestellt ist, steht derweil auf einem ganz anderen Blatt. Denn obwohl höchste Vertreter*innen der Europäischen Kommission über Monate immer wieder versicherten, dass der Druck der Trump-Regierung auf den DSA nichts an dessen Durchsetzung ändern wird, hat sich der Wind inzwischen gedreht.
So berichtet die Financial Times, dass die Europäische Union die Ermittlung gegen X wegen Verstößen gegen des DSA hinauszögert. Grund dafür seien die laufenden Zollverhandlungen mit der US-Regierung, die die Kommission angeblich nicht gefährden wolle.
Diese Entscheidung ist aus gleich mehreren Gründen kein gutes Signal. Einerseits ist die Ermittlung gegen X die am weitesten gediehene Durchsetzungsmaßnahme der Kommission, der Abschluss der Untersuchung wurde noch vor der Sommerpause erwartet. Und nur allzu deutlich zeigt Elon Musk, der Eigentümer von X, seine Verachtung gegenüber europäischen Regelwerken. Das ist, knapp drei Jahre nach Inkrafttreten des DSA, eine besorgniserregende Entwicklung – gerade auch weil die Kommission stets betont, dass eine starke Durchsetzung des DSA essenziell sei, um die europäischen Grundrechte im Netz zu schützen.
Andererseits erweckt Brüssel so öffentlich den Eindruck, den Argumenten Trumps und der Tech-CEOs zu folgen, wonach europäische Bußgelder US-amerikanische Firmen unfair bestrafen und nichttarifäre Handelshemmnisse darstellen würden. Tatsächlich aber gilt der DSA für alle Plattformen gleichermaßen, die ihre Dienste oder Produkte europäischen Nutzer*innen anbieten. Mit Handelspolitik hat das Regelwerk eigentlich nichts zu tun.
Umso fataler ist es, wenn die Kommission den DSA als Faustpfand im Handelsstreit mit den USA betrachtet. Das zeichnet ein falsches Bild von der Absicht, die das Regelwerk verfolgt. Vor allem aber sollte die Durchsetzung europäischen Rechts niemals als Verhandlungsmasse eingesetzt werden, insbesondere wenn Grundrechte auf dem Spiel stehen. Andernfalls ist es die Europäische Union selbst, die rechtsstaatliche Prinzipien aushöhlt, statt sie zu verteidigen.
Datenschutz & Sicherheit
Missing Link: Überfordert Cybercrime den Föderalismus?
Ganz schlecht, wenn der Computer plötzlich nicht mehr funktioniert wie gewohnt und der CEO anstelle von Katzenvideos eine Lösegeldforderung sieht: Cybercrime nimmt zu. Die Szene differenziert sich aus. Die Behörden reagieren: Manche Landeskriminalämter werden zu Anlaufstellen, fast wie Verbraucherzentralen. Dabei sind die Rahmenbedingungen bei Polizeibehörden oft vor-digital, also ist Hilfe zur Selbsthilfe auch im eigenen Interesse der Polizeien.
Aber wie sieht es aus mit politisch motivierten Angriffen? Immer mehr Cyberkriminelle agieren vom Ausland aus und vielen geht es nicht mehr nur um Geld, sondern auch um Politik – vor allem pro-Russland, pro-China und anti-Israel. Und nun hätte das BKA gern mehr Kompetenzen gegen Wirtschafts- und Polit-Cyberkriminelle.
BKA: Milliarden-Schaden
Laut BKA ist der wirtschaftliche Schaden durch Cyberdelikte von 148,2 Milliarden Euro im Jahr 2023 auf 178,6 Milliarden Euro gestiegen. Dazu komme ein Dunkelfeld von rund 90 Prozent – diese Zahl basiert auf einer Befragung des Kriminologischen Forschungsinstituts Niedersachsen von 2020. Groß geändert hat sich seitdem wahrscheinlich nichts, aber die „Sensibilität der Firmen, diese Angriffe auch polizeilich zu melden, ist in den letzten Jahren bewusster geworden“, so etwa das LKA Sachsen-Anhalt.
Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen.
Schon vor mehreren Jahren wurden bei den Polizeien des Bundes und der Länder „Zentrale Ansprechstellen Cybercrime“ (ZAC) eingerichtet, die miteinander vernetzt sind. Unternehmen und Institutionen bekommen dort Informationen zum Selbstschutz und können sich natürlich auch bei entsprechenden Straftaten melden. Auf polizei.de findet man eine Tabelle mit den ZAC-Stellen samt Telefonnummern und E-Mail-Adressen bzw. dem Link zu einer eigenen Website. Das ist – vorausgesetzt, dass es funktioniert – sehr „kunden“freundlich.
Die Polizeien bauen dies Angebot unterschiedlich aus. Mitarbeiter der ZAC Baden-Württemberg etwa „haben hierzu auch die Möglichkeit, unsere Task Force Digitale Spuren aufzurufen. In dieser sind Experten aus allen Spezialisierungsbereichen der Abteilung Cybercrime und Digitale Spuren vertreten“, erklärt das LKA.
In NRW kam im Juni als neue Kooperation die „Cyberallianz.Wirtschaft.NRW“ hinzu. Bayern bietet Vorträge „zur Steigerung der Awareness bei Mitarbeitern und Führungsorganen – oft auch in Kooperation mit weiteren Behörden aus der Cyberabwehr Bayern – ebenso wie Beratungsgespräche für verschiedene Fragestellungen“ an.
Ferner wurden Fachdienststellen geschaffen und die Ausbildung sogenannter TKD-Beamter (Technischer Computer- und Internetkriminaldienst) initiiert. Schon vor vier Jahren wurden Quick-Reaction-Teams (QRT) aus einem strategischen Berater, einem Ermittler und einem Forensiker eingeführt, „mit einer telefonischer 24/7 Erreichbarkeit für die bayerische Wirtschaft“.
Mitarbeiter des LKA Schleswig-Holstein halten Vorträge und pflegen Sicherheitspartnerschaften mit Verbänden wie der IHK. Die ZAC des LKA Niedersachsen betreut Wirtschaftsunternehmen vor, während und nach Cybersicherheitsvorfällen, vor allem KMU sowie KRITIS, etwa Cyber-Planspiele in Zusammenarbeit mit den Industrie- und Handelskammern (IHK); außerdem gibt es auch in Niedersachen eine Quick-Reaction-Force.
Hilfe, Polizei!
Für Privatpersonen ist es nicht ganz so einfach, Hilfe zu bekommen – es gibt sie aber. Zunächst natürlich online, eventuell ein Hindernis für nicht so Internet-affine Menschen, dabei stellen die ja eigentlich die Risikogruppe dar: Bund und Länder pflegen das Programm „Polizeiliche Kriminalprävention“, das über Risiken informiert und Tipps zum Schutz gibt. Außerdem bieten die Landeskriminalämter weitere Hilfe für Bürger an.
Das LKA Mecklenburg-Vorpommern will die Medienkompetenz von Kindern, Jugendlichen und jungen Erwachsenen stärken, damit sie Straftaten weder erleiden noch begehen: Das seien „gesamtgesellschaftliche Aufgaben, die von der Polizei lediglich unterstützt werden können.“ Dabei arbeite man mit Schulen, sonstigen Bildungseinrichtungen und weiteren Präventionsträgern zusammen und beteilige sich an regionalen und landesweiten Netzwerken.
Die Polizeien arbeiten präventiv, aber nicht nur. Der Begriff „proaktiv“ taucht häufiger auf und wird offensichtlich unterschiedlich definiert. „Neben reaktivem Tätigwerden etwa in Form einer Anzeigenaufnahme und der polizeilichen Sachbearbeitung von Straftaten ist die Polizei Baden-Württemberg im Bereich der Cybercrime-Bekämpfung auch proaktiv unterwegs“, erklärt das LKA Baden-Württemberg.
In Abstimmung mit Bund und anderen Bundesländern führe das LKA zentrale Ermittlungen gegen Cybercrime-Gruppierungen und Strukturen etwa im Bereich Ransomware. Und bei „eigener Kenntnisnahme von Straftaten“ oder durch Medienberichte „werden wir ebenfalls proaktiv tätig und nehmen dann mit dem betroffenen Unternehmen Kontakt auf.“
-
Datenschutz & Sicherheitvor 1 Monat
Geschichten aus dem DSC-Beirat: Einreisebeschränkungen und Zugriffsschranken
-
Online Marketing & SEOvor 1 Monat
TikTok trackt CO₂ von Ads – und Mitarbeitende intern mit Ratings
-
Apps & Mobile Entwicklungvor 1 Monat
Metal Gear Solid Δ: Snake Eater: Ein Multiplayer-Modus für Fans von Versteckenspielen
-
Digital Business & Startupsvor 3 Wochen
80 % günstiger dank KI – Startup vereinfacht Klinikstudien: Pitchdeck hier
-
UX/UI & Webdesignvor 1 Monat
Philip Bürli › PAGE online
-
Apps & Mobile Entwicklungvor 4 Wochen
Patentstreit: Western Digital muss 1 US-Dollar Schadenersatz zahlen
-
Social Mediavor 1 Monat
LinkedIn Feature-Update 2025: Aktuelle Neuigkeiten
-
Social Mediavor 1 Monat
Aktuelle Trends, Studien und Statistiken