Seit über zwei Jahren feilt das BSI nun schon an der neuen Version des IT-Grundschutzes. Bislang gab es aus der Praxis viel Kritik, dass entscheidende Fragen zur Umsetzung unbeantwortet blieben – etwa, ab wann nach dem neuen Standard zertifiziert werden kann und wie es mit den Personenzertifizierungen weitergeht.

Diese Unklarheiten hat das BSI nun auf seiner Webseite beseitigt: Am 1. November startet die Fortbildung für bereits zertifizierte Berater und Auditteamleiter auf den neuen Standard. Organisationen können sich den 1. Januar 2027 im Kalender anstreichen. Ab diesem Stichtag ist die Zertifizierbarkeit nach Grundschutz++, der auf ISO 27001 basiert, offiziell gegeben.

Die guten Nachrichten für die Praxis gehen weiter: Auch die von vielen sehr geschätzten Checklisten für den „WiBA – Weg in die Basis-Absicherung“ wird es wieder geben. Sie sind laut BSI fester Bestandteil des Grundschutz auch in der neuen Version. Damit bleibt vor allem kleineren Organisationen ein vergleichsweise unbürokratischer und einfacher Einstieg in die IT-Sicherheit erhalten.

Zudem hält die Behörde an den Mindeststandards für „ausgewählte Anwendungsbereiche“ fest. Diese richten sich weiterhin maßgeblich an die Einrichtungen des Bundes (gemäß BSIG), um dort ein einheitliches Sicherheitsniveau zu gewährleisten. Offen bleibt jedoch, ob und wie diese Mindeststandards künftig für Unternehmen greifen werden, die unter die NIS-2-Richtlinie fallen. Wie hier die genaue Prüfgrundlage in der Praxis aussehen wird, lässt das BSI bislang unbeantwortet.

Ein deutlicher Wermutstropfen für alle, die sich aktuell in die Materie einarbeiten wollen, bleibt der Leitfaden zur Methodik. Die verlinkte Version verharrt unverändert auf dem Stand vom März dieses Jahres und ist nach wie vor sehr lückenhaft.

(axk)

In der zentralen Verwaltungsplattform und dem Betriebssystem für UniFi-Geräte UniFi OS Server klaffen mehrere Sicherheitslücken – teils mit Höchstwertung beim Risiko. Es stehen Updates zur Verfügung, die die Lücken schließen. Wer betroffene UniFi-Geräte einsetzt, sollte mit dem Installieren der Aktualisierungen nicht lange warten.

UniFi warnt in einer Release-Ankündigung vor den Sicherheitslücken. Angreifer mit Zugriff auf das Netzwerk können etwa an einer unzureichenden Zugriffskontrolle von UniFi-OS-Geräten ansetzen und unbefugt Änderungen daran vornehmen (CVE-2026-34908, CVSS 10.0, Risiko „kritisch“). Eine Path-Traversal-Schwachstelle ermöglicht bösartigen Akteuren zudem, auf Dateien aus dem zugrundeliegenden Betriebssystem zuzugreifen und diese zu manipulieren, um so Zugriff auf das Konto im System zu erlangen (CVE-2026-34909, CVSS 10.0, Risiko „kritisch“). Angreifer können zudem eine unzureichende Eingabevalidierung ausnutzen, um Befehle einzuschleusen (CVE-2026-34910, CVSS 10.0, Risiko „kritisch“).

UniFi OS Server: Weitere Schwachstellen

Angreifer mit Zugriff auf das Netzwerk und erhöhten Rechten können zudem eine weitere unzureichende Eingabefilterung missbrauchen, um Befehle einzuschleusen (CVE-2026-33000, CVSS 9.1, Risiko „kritisch“). Bösartige Akteure mit niedrigen Rechten und Netzwerkzugang können an einer weiteren Path-Traversal-Lücke ansetzen, um Dateien des zugrundeliegenden Betriebssystems zu manipulieren und so an sensible Informationen zu gelangen (CVE-2026-34911, CVSS 7.7, Risiko „hoch“).

Die betroffenen Geräte- und Softwarestände listet Ubiquiti in der Release-Ankündigung auf. Wer Geräte des Herstellers einsetzt, sollte prüfen, ob die eigenen Geräte betroffen sind und die Aktualisierung auf UniFi OS Server 5.0.8 sowie speziellere Geräte-Updates aus der Auflistung dort zügig anwenden.

Mitte März mussten Admins eine kritische Sicherheitslücke in der Ubiquiti UniFi Network Application durch ein Update schließen. Dadurch konnten Angreifer etwa unbefugten Zugang erlangen.

(dmk)

Mit IPFire 2.29 – Core Update 202 schließt das Team der freien Firewall-Distribution mehrere Sicherheitslücken im Linux-Kernel, aktualisiert OpenVPN auf Version 2.7 und liefert zahlreiche weitere Sicherheits- und Paketupdates.

Kernel-Lücken Dirty Frag und Copy Fail

Im Zentrum steht ein Rebase auf Linux 6.18.32. Damit behebt IPFire unter anderem die kürzlich bekannt gewordenen Lücken Dirty Frag (CVE-2026-43284) und Copy Fail (CVE-2026-31431). Beide erlauben lokalen Nutzern eine Rechteausweitung bis hin zu root. Dirty Frag steckt im ESP/IPsec-Code des Kernels. Encapsulating Security Payload (ESP) ist ein zentraler Baustein vieler IPsec-VPNs. Über die Lücke können sich unprivilegierte lokale Nutzer unter bestimmten Bedingungen höhere Rechte verschaffen.

Copy Fail betrifft das Krypto-Subsystem rund um AF_ALG und das Modul algif_aead. AF_ALG bietet Anwendungen direkten Zugriff auf kryptografische Funktionen des Kernels. Verwundbar sind potenziell alle Linux-Distributionen mit Kerneln seit 2017.

Das Projekt ordnet die praktische Angriffsfläche auf typischen IPFire-Systemen allerdings als gering ein: Beide Lücken setzen lokalen Zugriff mit einem unprivilegierten Konto voraus, und IPFire richtet standardmäßig keine regulären Shell-Zugänge für normale Nutzer ein. Dennoch verweisen die Entwickler auf das Prinzip „Defence in Depth“ und raten unabhängig von der konkreten Ausnutzbarkeit zum Update.

OpenVPN 2.7 beschleunigt VPN-Tunnel

Die wichtigste funktionale Neuerung ist OpenVPN 2.7 mit Unterstützung für Data Channel Offloading (DCO) – dank besserer Nutzung der Hardware-Kryptobeschleunigung sinkt dabei auch die CPU-Last. Dabei wandert die Ver- und Entschlüsselung des Nutzdatenverkehrs vom Userspace in den Kernel. Bisher musste der OpenVPN-Daemon jedes Paket selbst verarbeiten. Durch die Kernel-Integration soll DCO den VPN-Durchsatz deutlich erhöhen und gleichzeitig CPU-Last und Jitter senken. In eigenen Tests stieg der Durchsatz pro Tunnel laut IPFire von rund 1 GBit/s auf bis zu 10 GBit/s.

Außerdem behebt das Update eine Schwachstelle in glibc bei der Verarbeitung manipulierter DNS-Antworten. Betroffen sind die Funktionen gethostbyaddr und gethostbyaddr_r für Reverse-DNS-Abfragen. Angreifer könnten darüber gefälschte Hostnamen einschleusen (GLIBC-SA-2026-0005). Aktualisiert haben die Entwickler darüber hinaus zentrale Komponenten wie OpenSSL 3.6.2, OpenSSH 10.3p1, Suricata 8.0.5, strongSwan 6.0.6, BIND 9.20.22 und Unbound 1.25.1. Alle Details zum Core Update 202 stehen in den Release Notes auf der Projektwebseite.

(fo)