Fast auf den Tag genau zwei Monate nach Bekanntwerden des Sicherheitsfehlers „Citrix Bleed 2“ droht erneut Ungemach für Verwender von Appliances des Typs NetScaler ADC und Gateway. Der Hersteller meldet gleich drei Probleme, eins davon kritisch. Admins sollten prüfen, ob ihre Geräte betroffen sind – Citrix hat dazu Handreichungen veröffentlicht.

Verwundbare Software

Die betroffenen Firmware-Versionen unterscheiden sich dabei nicht, es handelt sich nach Citrix-Angaben jeweils um:

• NetScaler ADC und NetScaler Gateway 14.1 vor Version 14.1-47.48,
• NetScaler ADC und NetScaler Gateway 13.1 vor Version 13.1-59.22,
• NDcPP- und FIPS-zertifizierte Versionen NetScaler ADC „13.1-FIPS and NDcPP“ vor Versionsnummer „13.1-37.241-FIPS and NDcPP“ sowie
• NDcPP- und FIPS-zertifizierte Versionen NetScaler ADC „12.1-FIPS and NDcPP“ vor „12.1-55.330-FIPS and NDcPP“

Alle drei Lücken sind jedoch nicht in den Standardeinstellungen ausnutzbar, sondern unter bestimmten Bedingungen. Beim schwersten der drei Sicherheitsfehler, einem Speicherüberlauf mit anschließender Möglichkeit, Code einzuschleusen (CVE-2025-7775, CVSS4 9.2/10, Schweregrad kritisch), muss eine von vier Vorbedingungen gegeben sein, wie Citrix im Advisory weiter ausführt:

• NetScaler muss als Gateway konfiguriert sein – das dürfte für eine große Mehrzahl der Geräte zutreffen,
• oder die NDcPP-/FIPS-zertifizierte Version muss Loadbalancing-Dienste für HTTP/QUIC in IPv6 anbieten,
• oder NetScaler ist als virtueller CR-Server (Cache Redirection) vom Typ HDX konfiguriert.

Doch auch die zwei weniger kritischen Lücken tragen hohes Schadenspotential in sich. CVE-2025-7776 (CVSS 8.8, Schweregrad hoch) kann das Gerät destabilisieren, setzt aber eine Konfiguration als Gateway mit einem PCoIP-Profil (PC over Internet Protocol) voraus. CVE-2025-8424 (CVSS4 8,7/10, Schweregrad „hoch„) hingegen verschafft Angreifern Zugriff auf geschützte Dateien. Dafür benötigen sie jedoch Zugriff auf das Management-Interface der Appliance, das Citrix-Angaben zufolge meist mit Zugriffslisten (ACLs) oder einer externen Authentisierungslösung geschützt sei.

Updates verfügbar

Admins sollten nun zügig prüfen, ob ihre Geräte betroffen sind. Das gelingt, indem sie die Konfigurationsdatei „ns.conf“ auf die notwendigen Vorbedingungen abklopfen – Citrix verrät in einem Support-Artikel, wie das geht.

Die folgenden Firmware-Versionen sind abgedichtet:

• NetScaler ADC / NetScaler Gateway 14.1-47.48 und später,
• NetScaler ADC / NetScaler Gateway 13.1-59.22 und neuere Versionen des Baums 13.1,
• NetScaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.241 und neuere Versionen von 13.1-FIPS und 13.1-NDcPP sowie
• NetScaler ADC 12.1-FIPS und 12.1-NDcPP 12.1-55.330 und neuere Ausgaben der Versionen 12.1-FIPS und 12.1-NDcPP.

Aktive Angriffe – droht Citrix Bleed 3?

Citrix gibt an, dass die kritische Lücke CVE-2025-7775 bereits aktiven Angriffen ausgesetzt sei. Die US-Cybersicherheitsbehörde CISA warnte auch am späten Abend des 26.08. in ihrer „Known Exploited Vulnerabilities“-Liste (KEV) vor Angriffsversuchen.

Es empfiehlt sich also, Updates baldmöglichst einzuspielen – die letzte Citrix-Lücke war unangenehm eskaliert und wird noch immer ausgenutzt. Sie trug den Spitznamen „Citrix Bleed 2“ und die CVE-ID CVE-2025-5777. Die neue kritische Sicherheitslücke dreht diesen Zahlencode nun um, aus 5777 wird 7775 – ein interessanter Zufall.

Wachsamkeit ist allemal geboten, denn derlei Fehler tragen stets das Potenzial der massenhaften Ausnutzung durch Cyberkriminelle wie etwa Ransomware-Banden. Ob ein „Citrix Bleed 3“ droht, bleibt dennoch abzuwarten.

(cku)

Der kriselnde US-Chiphersteller Intel bekommt einen neuen Großaktionär: Die US-Regierung erhält knapp zehn Prozent der Intel-Anteile. Diese direkte Beteiligung der US-Regierung an Intel dürfte bei Sicherheitsforschern außerhalb der USA starke Bedenken wecken. Denn in Prozessoren und Chipsätzen von Intel sind kryptografische Funktionen wie SGX und TDX verankert. Sie sind nur dann sinnvoll einzusetzen, wenn man dem Unternehmen Intel vertraut.

Doch wie vertrauenswürdig ist eine „Remote Attestation“, die ein Intel-Server aus den USA der Trump-Regierung liefert? Die Einschätzung war für Firmen außerhalb der USA schon bisher schwierig, weil US-Firmen durch Gesetze wie den CLOUD Act zu Kooperation mit US-Behörden verpflichtet sind. Die direkte Beteiligung der US-Regierung am Unternehmen Intel verschärft dieses Problem.

Vertrauensschwund

Aus Sicht vieler europäischer Firmen dürfte eine verschlüsselte RAM-Enklave, die auf einer Zertifikatskette eines US-Unternehmens mit direkter Beteiligung der US-Regierung aufbaut, gerade keine allgemein „vertrauenswürdige Ausführungsumgebung“ (Trusted Execution Environment/TEE) sein.

Genau das ist aber Daseinszweck der Trusted Domain Extensions (TDX) Intels, die beispielsweise dem „Confidential Computing“ in der Cloud dienen sollen.

Manche Cloud-Dienstleister nutzen Funktionen wie TDX auch für sogenannte souveräne Clouds (Sovereign Cloud). Seit dem Amtsantritt Donald Trumps werden solche Angebote in Europa stärker beworben – gerade von US-Konzernen wie Amazon AWS, Microsoft Azure, Google Cloud und Oracle Cloud Infrastructure (OCI). Je nach Angebot dienen dabei aber auch andere Hardware-Sicherheitsmodule (HSM) als Schlüsselspeicher.

Potenzielle Nutzer solcher Angebote müssen jedenfalls genau prüfen, in welchen Händen die Schlüsselgewalt über ihre Daten am Ende liegt. Intels x86-Konkurrent AMD baut Funktionen wie RAM-Verschlüsselung für Confidential Computing ebenfalls in seine (Epyc-)Prozessoren für Server ein.

Intel fürchtet Absatzschwund

In einer Mitteilung an die US-Börsenaufsicht SEC warnt Intel unter anderem vor dem Risiko, dass die Beteiligung der US-Regierung „die Geschäfte außerhalb der USA negativ beeinflussen könne“. Und im Ausland hat Intel mit 76 Prozent den größten Teil der Umsätze des Geschäftsjahres 2024 erzielt.

Abgesehen von diesem Risiko zählt die SEC-Mitteilung eine Reihe offener Fragen auf. Demnach ist unklar, wie sich der Einstieg der US-Regierung auf Steuern sowie Gewinn- und Verlustrechnung auswirken werde.

Intel betont allerdings, dass die US-Regierung keinen Repräsentanten im Verwaltungsrat (Board of Directors) stellen wird und keine Anweisungs- und Informationsbefugnisse erhält. Sie muss ihre Stimmrechte – von wenigen technischen Ausnahmen abgesehen – immer gemäß dem Vorschlag des Intel-Managements ausüben. Das stärkt das Management zulasten anderer Aktionäre.

Andererseits arbeitet Intel im Auftrag des US-Verteidigungsministeriums (Department of Defense, DoD) an einer öffentlich nicht näher beschriebenen „Secure Enclave“. Die Technik soll unter anderem die Verfügbarkeit moderner Chips für die Nationale Sicherheit der USA sichern.

(ciw)

Die Chefin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, hatte sich kürzlich in die laufende Debatte um die „digitale Souveränität“ eingemischt. Ihrer Meinung nach könne die technologische Abhängigkeit Deutschlands von Soft- und Hardware aus dem Ausland in absehbarer Zeit nicht überwunden werden, sagte sie der dpa am 12. August. Das beträfe etwa Cloud-Lösungen, Satelliten-Technik oder generative Sprachmodelle.

Es wäre unrealistisch zu glauben, „dass wir das kurzfristig alles selbst können werden“, sagte Plattner. Sie verteidigte auch die enge Kooperation des BSI mit Google.

Dafür bekommt die BSI-Präsidentin nun Kritik in Form eines offenen Briefes, den die Open Source Business Alliance (OSBA) und 60 Mitzeichner heute an sie adressiert haben. Plattner müsse eigentlich qua Amt „eine der stärksten Befürworterinnen von Open-Source-Software sein und sich für den Ausbau von digital souveränen Alternativen aussprechen“, so der OSBA-Vorstandsvorsitzende Peter Ganten. Stattdessen aber säe sie „mit ihren pauschalen Aussagen Verunsicherung in Politik und Wirtschaft“.

Plattner hatte in Bezug auf Investitionen gesagt, „dass manche der großen Firmen, vor allem aus den USA, jetzt schon zehn Jahre Vorsprung“ hätten. Dem halten die Unterzeichner des Briefes entgegen, dass diese Aussage „in dieser Pauschalität ein Marketing-Narrativ“ wiederhole. Es diene häufig nur dazu, „Wirtschaft und Verwaltung vom Einkauf europäischer Lösungen abzuhalten“. Außerdem würde die Aussage „politisch häufig als Begründung herangezogen, um dringend notwendige Beschaffungs- und Investitionsentscheidungen zu vertagen“.

Plattners „Doppelstrategie“

Tatsächlich aber könnten „viele Abhängigkeiten kurzfristig abgebaut werden, wenn die Politik vorhandene Lösungen auch aus Europa gezielt in Ausschreibungen berücksichtigen und fördern würde“. Ganten verweist auf die Angebote der 240 Mitgliedsunternehmen der OSBA: „In zentralen Bereichen existieren bereits heute leistungsfähige und erprobte Open-Source-Lösungen.“ Der Verband ist auch mit dem Zweck geschaffen worden, eine Plattform zu bilden, um „dem gemeinsamen Ziel der digitalen Souveränität mehr Gewicht“ zu verleihen.

Zwischenzeitlich ist Plattner etwas zurückgerudert. Gestern sagte die BSI-Chefin gegenüber der dpa, dass es nicht stimme, dass „wir als BSI die digitale Souveränität Europas für unerreichbar halten. Entsprechende Berichte weise ich entschieden zurück, das habe ich nie gesagt.“

Man verfolge eine „Doppelstrategie“, auf die das BSI schon bei der ursprünglichen dpa-Meldung via Social Media hingewiesen hatte. Sie besteht darin, zum einen die eigene „Digitalindustrie“ zu stärken und zum anderen Software und Dienstleistungen Dritter technisch so abzusichern, „dass ein souveräner Einsatz möglich ist“.

Heute schrieb Plattner auf Linkedin, dass Digitale Souveränität für das BSI vor allem bedeute, „Optionen zu haben“. Wenn mehr vertrauenswürdige Produkte verfügbar seien, könne man souveräner entscheiden. „In diesem Zusammenhang auch Open-Source-Software zu stärken und strategisch weiterzuentwickeln, ist uns genauso ein Anliegen wie der OSBA“, so Plattner.

Abhängig von US-Tech-Konzernen

In Deutschland köchelt die Debatte um „digitale Souveränität“ verstärkt seit dem Amtsantritt von US-Präsident Donald Trump. Denn seine offen zur Schau gestellte Allianz mit den Konzernen des Silicon Valley und seine strikte „America First“-Politik wird diesseits des Atlantiks zunehmend politisch hinterfragt. Die Diskussionen, ob die Vereinigten Staaten noch ein vertrauenswürdiger Partner sein können, nahmen noch zu, als klar wurde, mit welcher Wucht und Rücksichtslosigkeit Trump das Land in seiner zweiten Amtszeit umbaut.

Der Europäischen Union drohen durch den US-Präsidenten weiterhin massive Strafzölle in Milliardenhöhe. Gerade Deutschland kann das nur als wirtschaftspolitischen Angriff interpretieren. Zudem verärgern Trump zwei EU-Gesetze, da sie die Geschäftsmodelle der US-Tech-Konzerne in Europa regulieren: Digital Markets Act (DMA) und Digital Services Act (DSA).

Europa und Deutschland versuchen seit dem offen gärenden Streit um die Zölle, ihre Abhängigkeiten zu reduzieren. Ideen dafür sind keine Mangelware: Die Regierungskoalition könnte in den weiteren Ausbau von Open-Source-Infrastrukturen investieren, die EU-Gesetze DMA und DSA konsequenter durchsetzen und mehr unabhängige nicht-kommerzielle Dienstleistungen und offene Protokolle unterstützen.

In diese Richtung gehen auch die Forderungen der OSBA und ihrer Unterstützer im offenen Brief: Nötig seien „gezielte Investitionen in Open-Source-Software und eine Ausgabenpolitik der öffentlichen Hand, die Nachfrage nach offenen, europäischen Lösungen schafft“. Nur so könne man Abhängigkeiten tatsächlich reduzieren, „statt sie nur zu verwalten“. Digitalwirtschaft und Zivilgesellschaft brächten „dazu seit Jahren konkrete Vorschläge ein“.

Was „digitale Souveränität“ für die öffentliche Verwaltung bedeutet

Auch CDU-Minister unterzeichnet

Plattner hatte schon in einem im März veröffentlichten Artikel ihre Haltung zu „digitaler Souveränität“ dargelegt. Demnach sei sie „in vielen Fällen schlichtweg nicht möglich“. Grund sei, dass „viele der notwendigen technischen Services und Innovationen bisher außerhalb der EU entstehen“.

Sie erklärte im März, es sei „nicht leistbar, kurzfristig alle relevanten digitalen Lösungen lokal zu entwickeln und bereitzustellen“. Dafür müsste man auch „mehrstellige Milliardeninvestitionen“ nachholen. Für Wirtschaft und Verwaltung in Deutschland sei dies folgenschwer, denn sie würden sich „von globaler Innovation abrupt und unvorbereitet“ abwenden.

Der offene Brief hingegen betont: „Digitale Souveränität für Deutschland ist möglich. Wir müssen sie nur wollen und beherzt vorantreiben“. Unterzeichnet wurde das Schreiben beispielsweise vom Digitalminister Schleswig-Holsteins, Dirk Schrödter (CDU), von gleich drei Arbeitskreis-Sprechern der Gesellschaft für Informatik (GI), von Vereinen der Zivilgesellschaft sowie von Nextcloud-Chef Frank Karlitschek und vielen weiteren CEOs von Digitalunternehmen.

Der OSBA-Vorstandsvorsitzende Ganten stellt heraus, dass die heutigen strategischen Entscheidungen bestimmen würden, „ob wir in fünf Jahren weiter hinter amerikanischen oder chinesischen Tech-Giganten zurückliegen oder ob wir aufgeholt und signifikante Teile unserer digitalen Infrastruktur unabhängiger und resilienter gemacht haben“.

Das BSI hat der OSBA nun eine Einladung zum Gespräch zukommen lassen, die der Verband gern angenommen hat. Welche Vertreter der zahlreichen unterzeichnenden Verbände, Vereine und Unternehmen dabeisein werden, ist noch nicht überliefert.