Seit Ende Mai 2026 sind kritische Sicherheitslücken in Ubiquiti UniFi OS bekannt. Der Hersteller hat dort aktualisierte Software bereitgestellt, um die Lecks abzudichten. Das nehmen einige Admins offenbar nicht ernst, denn nun wurden Angriffe in freier Wildbahn auf die Schwachstellen beobachtet.

Davor warnt die US-amerikanische Cybersicherheitsbehörde CISA nun. Sie hat die drei kritischen Sicherheitslücken im Ubiquiti-Betriebssystem in den „Known Exploited Vulnerabilities“-Katalog aufgenommen, was heißt, dass die Behörde Kenntnis von darüber attackierten Installationen hat. Es handelt sich gleich um drei kritische Sicherheitslücken in Ubiquiti UniFi OS, die nun angegriffen werden.

Drei kritische Sicherheitslücken

Angreifer mit Zugriff auf das Netzwerk können etwa an einer unzureichenden Zugriffskontrolle von UniFi-OS-Geräten ansetzen und unbefugt Änderungen daran vornehmen (CVE-2026-34908, CVSS 10.0, Risiko „kritisch“). Eine Path-Traversal-Schwachstelle ermöglicht bösartigen Akteuren zudem, auf Dateien aus dem zugrundeliegenden Betriebssystem zuzugreifen und diese zu manipulieren, um so Zugriff auf das Konto im System zu erlangen (CVE-2026-34909, CVSS 10.0, Risiko „kritisch“). Angreifer können zudem eine unzureichende Eingabevalidierung ausnutzen, um Befehle einzuschleusen (CVE-2026-34910, CVSS 10.0, Risiko „kritisch“).

Die Sicherheitsmitteilung von Ubiquiti weist noch keine Informationen zu den beobachteten Angriffen aus. IT-Verantwortliche sollten prüfen, ob ihre Ubiquiti-UniFi-OS-Instanzen bereits auf Version 5.1.12 oder neuer respektive Version 5.0.8 für UniFi OS Server aktualisiert wurden oder ob das Update noch fällig ist – und dieses gegebenenfalls umgehend installieren. Die CISA nennt keine Details zu den Angriffen, sodass Art und Umfang unbekannt bleiben. Es gibt daher auch keine Hinweise für erfolgreiche Angriffe (Indicators of Compromise, IOC), mit denen Admins die Systeme auf Einbruchsspuren untersuchen könnten.

Die CISA warnt noch vor einer weiteren angegriffenen Schwachstelle in Lantronix EDS5000. Das HTTP-RPC-Modul protokolliert mittels Shell-Befehlen mit, wenn Login-Anfragen fehlschlagen. Durch den Nutzernamen-Parameter können Angreifer Befehle einschleusen, die mit root-Rechten ausgeführt werden (CVE-2025-67038, CVSS 9.8, Risiko „kritisch“). Betroffen ist die Version EDS5000 2.1.0.0R3, wer die Server einsetzt, sollte nach Aktualisierungen Ausschau halten und diese installieren.

(dmk)

Mehrere Produkte von Zoho Corp. ManageEngine sind anfällig für eine Schwachstelle, die die Single-Sign-on-Integration (SSO) mitbringt. Angreifer könnten dadurch Konten übernehmen.

Das schreibt Zoho Corp. ManageEngine in einer Sicherheitsmitteilung. Sofern User sich mittels SSO in ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus oder ADAudit Plus einloggen und diese Produkte als integrierte Komponenten innerhalb ManageEngine AD360 eingebunden sind, kann das Problem auftreten. Die erstellten SSO-Tickets, mit denen die Sitzungen authentifiziert werden, können von Angreifern vorhergesagt werden, wodurch diese Konten übernehmen können (CVE-2026-11374, CVSS 9.0, Risiko „kritisch“).

Betroffen sind den Angaben zufolge ADSelfService Plus bis einschließlich Build 6528, RecoveryManager Plus bis inklusive 6320, M365 Manager Plus bis einschließlich 4816 und ADAudit Plus bis inklusive 8702. Die Versionen ADSelfService Plus 6529, RecoveryManager Plus 6321, M365 Manager Plus 4817 und ADAudit Plus 8703 sowie neuere Pakete schließen diese Sicherheitslücke.

Servicepacks installieren

Zohocorp stellt die Updates als Servicepack zum Herunterladen bereit. Die sind jeweils für die einzelnen betroffenen Produkte verfügbar:

Die Sicherheitslücke scheint noch nicht in freier Wildbahn angegriffen zu werden, darüber schreiben die Autoren der Mitteilung nichts. Die Schwachstelle hat ein IT-Forscher mit dem Handle 0xmanhnv über das Zoho-Bug-Bounty-Programm an den Hersteller gemeldet.

Zuletzt wurden im vergangenen November mehrere teils kritische Sicherheitslücken in unterschiedlichen Produkten von Zohocorp ManageEngine bekannt. Angreifer konnten etwa dadurch SQL-Befehle aufgrund einer SQL-Injection-Schwachstelle oder generell Befehle einschleusen.

(dmk)

Schutz, Befähigung und Teilhabe – auf diesen drei Säulen bauen die Empfehlungen auf, die die Expert*innen-Kommission „Kinder- und Jugendschutz in der digitalen Welt“ heute vorgestellt hat.

Seit Herbst 2025 haben die 18 Mitglieder der vom Familienministerium einberufenen Kommission, darunter Jurist*innen, Bildungsforscher*innen und Mediziner*innen, an den Empfehlungen gearbeitet. Die Leitfragen: Was brauchen Kinder in den verschiedenen Phasen ihres Aufwachsens – und wer trägt die Verantwortung dafür?

Die Empfehlungen reichen vom Babyalter bis zur Volljährigkeit und richten sich an verschiedene Menschen und Institutionen, die Kinder beim Aufwachsen im Digitalen begleiten – Eltern ebenso wie Schulen, Kitas, Ärzt*innen oder Jugendhilfe. Vor allem enthalten sie aber zahlreiche Handlungsempfehlungen für die Politik.

In der öffentlichen Debatte geht es allerdings vor allem um eine Frage: Sollten Kinder und Jugendliche aus Sozialen Medien ausgesperrt werden? Und falls ja: bis zu welchem Alter? Bereits vor der Vorstellung der Empfehlungen hatten sich Politiker*innen beider Regierungsparteien für ein solches Verbot ausgesprochen – bis hin zu Bundeskanzler Merz, der erst Sympathien bekundete und später zu einem „Nein“ umschwenkte.

Schutz, Befähigung und Teilhabe: „Die drei Dimensionen bedingen einander“, heißt es dazu in den Empfehlungen: „Schutz darf nicht in pauschalen Ausschluss münden, Befähigung darf nicht strukturelle Verantwortung auf Kinder abwälzen, Teilhabe darf nicht heißen, junge Menschen unbegleitet zu lassen.“ Verantwortung dürfe nicht allein auf Eltern oder die Kinder selbst geschoben werden. Vielmehr müssten auch Plattformen dafür geradestehen, wenn es um die Gestaltung ihrer Produkte geht.

Das klingt nach einem salomonischen Urteil, das die Interessen und Bedürfnisse aller Seiten abwägt und zu einem Mittelweg kommt. Aber was heißt das konkret?

Was sagt die Kommission zum Social-Media-Verbot?

Die Kommission empfiehlt, Social Media für Kinder unter einem Mindestalter von 13 Jahren zu verbieten – allerdings nur als eine von zwei Alternativen. Unter der Überschrift “Risiko- und designorientiert regulieren” empfiehlt sie, das bereits existierende Gesetz für digitale Dienste (DSA) weiter zu schärfen.

Der DSA sieht bereits vor, dass Plattformen in der EU Kinder und Jugendliche besonders vor Gefahren schützen müssen, allerdings kritisieren die Expert*innen die Vorschriften als zu allgemein. Auch bemängeln sie, dass der DSA Plattformen nicht zu strengen Alterskontrollen verpflichtet. Zugleich schreiben sie, dass pauschale Social-Media-Verbote ab 15 oder 16 Jahren nach australischem Vorbild zu kurz greifen, “weil sie sehr unterschiedliche Dienste gleich behandeln, Teilhabe behindern und Umgehung fördern”.

Sie schlagen daher für die Konkretisierung der EU-Regeln zwei Alternativen vor und verschieben damit die Entscheidung für oder gegen ein Verbot an die Politik:

Alternative 1: gesetzliche Mindestaltersgrenze von 13 Jahren für Social-Media-Accounts mit wirksamer Altersprüfung und abgestuften Schutzstandards für 13–16 und 16–18 Jahre.

Alternative 2: keine einheitliche Altersgrenze, sondern dienst- und funktionsspezifische Beschränkungen nach Risikobewertung des jeweiligen Angebots (z. B. algorithmische Feeds, offene Kontaktfunktionen, Livestreams).

In beiden Fällen gelte: „Nationale Alleingänge“ sollten vermieden werden und die Regeln EU-weit einheitlich sein.

Bundesfamilienministerin Karin Prien (CDU) bevorzugt offenbar den ersten Vorschlag: „Für die eigenständige Nutzung sozialer Medien sehe ich grundsätzlich in dem Vorschlag einer gesetzlichen Altersgrenze von 13 Jahren den richtigen Weg – in Verbindung mit einer wirksamen Altersüberprüfung und abgestuften Schutzvorkehrungen für Jugendliche bis 18 Jahre.“ Für Kinder jünger als 13 solle ein „gesetzlicher Erlaubnisvorbehalt“ gelten, der nur nachweislich kindgerechte und risikoarme Angebote zulässt.

Prien will sich für eine europäische Lösung einsetzen.

Was sagt die Kommission zu Alterskontrollen?

Als Teil der ersten Alternative – Social-Media-Verbot – geben die Expert*innen auch eine Empfehlung für strenge Alterskontrollen ab – denn ohne diese lässt sich ein Mindestalter von 13 Jahren nicht durchsetzen.

Zugleich kritisieren sie, dass Plattformen derzeit weitgehend selbst entscheiden können, wie sie das Alter von Nutzer*innen prüfen. „Biometrische oder verhaltensdatenbasierte Verfahren gefährden Privatsphäre und Selbstbestimmung.“ EU und Bund sollten daher klare Vorgaben dafür machen, mit welchen Methoden Alterskontrollen stattfinden dürfen und dabei bestimmte Mindeststandards festlegen. So solle etwa nur das Erreichen eines Mindestalters an die Plattform kommuniziert oder das biometrische Daten nur auf dem Endgerät verarbeitet werden.

Nimmt die Kommission auch Plattformen in die Pflicht?

Ja, ergänzend zu den genannten Alternativen für die Schärfung der europäischen Regeln im DSA. Weil die Gefahren für Minderjährige nicht nur in einzelnen Inhalten, sondern in der Gestaltung der Dienste selbst liegen, müssten auch diese für einen „Jugendschutz by Design and Default“ sorgen, schreiben die Expert*innen.

Konkret empfehlen sie, für die Accounts von Minderjährigen einen verbindlichen Katalog von sicheren Voreinstellungen einzuführen. Er soll beispielsweise algorithmisch gesteuerte Feeds, personalisierte Werbung, suchtverstärkenden Funktionen oder manipulative Designs wie Endlos-Scrolling verbieten.

Dadurch verlagere sich der Schutz auf die Gestaltung der Plattform und sei nicht mehr davon abhängig, wie medienkompetent einzelne Kinder oder Eltern sind.

Was sagt die Kommission zu einem Handyverbot an Schulen?

Politiker*innen hatten in der Vergangenheit immer wieder ein bundesweites Handyverbot an Schulen gefordert. „Die private Gerätenutzung im Unterricht lenkt erheblich ab, erschwert eine konzentrierte Lernatmosphäre und schränkt in den Pausen das soziale Miteinander ein“ schreibt die Expert*innenkommission dazu. „In Mobbingsituationen kann sie verstärkend wirken.“

Die Fachleute kritisieren, dass die Regeln je nach Bundesland oder Schulform derzeit unterschiedlich ausfallen und empfehlen eine „weitgehende Einschränkung“ von privaten Handys an Schulen, die auch in den Schulgesetzen verankert wird.

An Grundschulen und bis einschließlich der siebten Klasse sollen private Geräte im Unterricht wie in den Pausen bundesweit verboten werden, so die Empfehlung. Ab der achten Klasse sollen Schulen gemeinsam mit ihren Schüler*innen Nutzungskonzepte erarbeiten.

Welche Empfehlungen spricht die Kommission für Eltern aus?

Um die Bildschirmzeit in den ersten Lebensjahren zu reduzieren, sollen Eltern nach der Geburt bessere Beratungsangebote erhalten, die generell ausgebaut und besser unterstützt werden sollen. Es außerdem sinnvoll, Eltern im Umgang mit den Bildern ihrer Kinder zu sensibilisieren.

Zugleich empfehlen die Expert*innen, ähnlich wie bei der Einführung der gewaltfreien Erziehung, auch eine gesetzliche Regelung, die die Rechte von Kindern um einen „Schutz vor digitaler Vernachlässigung“ erweitert. Eltern sollen also im Zweifel auch dafür verantwortlich gemacht werden können, wenn sie ihre Erziehungspflichten im Digitalen vernachlässigen.

Auch für diese Empfehlung äußerst Familienministerin Prien „große Sympathie“.