Der Streit um den Datenatlas kocht weiter hoch. Über das Metadaten-Portal sollen Mitarbeiter*innen der Bundesverwaltung Datensätze und Dokumente aus der internen Verwaltung leichter auffinden. Vor gut zwei Wochen veröffentlichte David Zellhöfer ein wissenschaftliches Gutachten zu dem Portal. Sein Fazit: Der Datenatlas bleibt weit hinter dem zurück, was die zuständige Bundesdruckerei (BDR) auf ihrer Website verspricht.
Daraufhin teilte die BDR auf Anfrage mit, sie erwäge „rechtliche Schritte“ gegen Zellhöfer. Zellhöfer ist Professor an der Hochschule für Wirtschaft und Recht Berlin und lehrt zum Thema Digitale Innovation in der öffentlichen Verwaltung. Er ist promovierter Information-Retrieval-Spezialist – also ausgewiesener Fachexperte eben jenes Bereichs, dem sich sein Gutachten widmet.
Im Interview mit netzpolitik.org spricht Zellhöfer über seine Motive für das Gutachten und wie es ihm nach der Ankündigung der Bundesdruckerei ergangen ist. Außerdem nimmt er Stellung zu neuen inhaltlichen Angaben, die die BDR gegenüber netzpolitik.org in einem neuen Statement gemacht hat.
netzpolitik.org: Vor zwei Wochen hatte die Bundesdruckerei angekündigt, möglicherweise rechtliche Schritte gegen dich einzuleiten. Wie ist es dir seither ergangen?
David Zellhöfer: Die Reaktion war für mich nicht nur als Wissenschaftler, sondern auch als Privatperson harter Tobak. Sie hat mich ziemlich eingeschüchtert. Umso mehr freue ich mich über die Unterstützung, die ich von vielen Seiten erfahren habe. Rückendeckung bekam zum Beispiel vom Hochschullehrerbund. Er fand die Reaktion der Bundesdruckerei bezüglich der Wissenschaftsfreiheit sehr problematisch. Kolleg*innen haben mir Hilfe angeboten für den Fall, dass ich mich rechtlich zur Wehr setzen muss.
Auf LinkedIn sprangen mir Geschäftsführer von Unternehmen aus dem öffentlichen Sektor zur Seite. Ich glaube, auch ein Referent des Nationalen Normenkontrollrats kritisierte die Reaktion der Bundesdruckerei. Und aus der Bundesverwaltung kamen bestärkende Rückmeldungen, auch von Menschen, die ich nicht kannte und die anonym bleiben wollen. Außerdem haben mir Mitarbeiter*innen aus verschiedenen Datenlaboren im persönlichen Gespräch meine Ergebnisse bestätigt.
Ich wollte gar nicht, dass das Gutachten solch einen Wind macht, aber so ist es halt jetzt.
netzpolitik.org: Im Gutachten schreibst du, dass du dich bereits im Sommer an die Bundesdruckerei gewandt hast. Worum ging es dabei?
David Zellhöfer: Ich habe nach Informationen zum Datenatlas gefragt, die ich für meine Lehrveranstaltung nutzen wollte. Damals diskutierte ich mit Kolleg*innen bei der Bundesdruckerei über den Datenatlas. Meine Anfrage wurde dann aber plötzlich aus Sicherheitsgründen oder so ähnlich abgelehnt. Ich solle von weiteren Nachfragen absehen, hieß es, alle Informationen stünden ja in den Pressemitteilungen.
netzpolitik.org: Ist der Verweis auf Sicherheitsbedenken denn ungewöhnlich?
David Zellhöfer: Bei anderen Datenplattformen des Bundes kam ich immer direkt an Informationen, insofern ja. Außerdem stellte ich keine sicherheitskritischen Fragen. Ich wollte nur wissen, ob sie zum Beispiel Offene Software verwenden oder andere Komponenten. Das konnte ich selbst nicht ermitteln. Alle anderen Systeme der Verwaltung finde ich entweder auf GitHub oder auf openCode.de. Zum Datenatlas habe ich mit Ausnahme der Pressemitteilungen keine öffentlichen Informationen gefunden.
netzpolitik.org: Warum macht die Bundesdruckerei aus dem Datenatlas so ein Geheimnis?
David Zellhöfer: Das kann ich mir nicht erklären. Von verschiedenen Kolleg*innen aus der Bundesverwaltung, die viel mit Datenprozessierung zu tun haben, erfuhr ich, dass sich der Datenatlas nicht gut bedienen lässt. Sie fragten mich nach meiner Einschätzung und gewährten mir Einblick über Live-Demos. Außerdem habe ich Screenshots von der Nutzeroberfläche erhalten und ausgewertet.
Ich habe mich erkundigt, ob der Datenatlas einer Geheimhaltungsstufe unterliegt. Das ist nicht der Fall. Daher steht es prinzipiell jede*r Person in der Bundesverwaltung frei, mich in das System schauen zu lassen. Auch habe ich keinerlei Belehrungen erhalten, dass ich nichts darüber sagen darf.
netzpolitik.org: Was ist deine Hauptkritik am Datenatlas?
David Zellhöfer: Meine Bewertung bezieht sich auf den Stand vom Juli dieses Jahres, als ich mir das Portal zuletzt anschauen konnte. Damals gab es nur die Möglichkeit einer gerichteten Suche, auch bekannt als „Known Item Search“. Damit kann ich nur Dokumente finden, von denen ich weiß, dass sie existieren. Für Expert*nnen kann diese Suchart sinnvoll sein, für Laien ist sie es eher nicht. Laut Pressemitteilungen will die Bundesdruckerei im Datenatlas künftig eine explorative Suche anbieten, die eine breitere Suche ermöglicht. Das entspräche dann auch dem aktuellen Stand der Technik.
Mich hat außerdem überrascht, dass die BDR etwas komplett Neues entwickeln wollte, statt zu schauen, was am Markt bereits verfügbar ist und gut funktioniert. Im Gutachten habe ich ausgeführt, dass es seit den frühen 1990er-Jahren Repository-Systeme gibt, die für den Datenatlas geeignet wären. Bei der Software-Entwicklung hätte sich die Bundesdruckerei einfach an GovData orientieren können, die bieten alle Features an.
Schließlich haben mich verschiedene Personen aus der Bundesverwaltung auf die Freitext-Problematik hingewiesen. Wenn Nutzer*innen einen Eintrag in die Datenbank vornehmen wollen, können sie in die entsprechenden Datenfelder beliebige Texte einfügen. Das versucht man üblicherweise zu verhindern.
netzpolitik.org: Was ist das Problem mit Freitext-Feldern?
David Zellhöfer: Um eine Auffindbarkeit von Dokumenten sicherzustellen, sollten sie, vereinfacht gesprochen, immer mit denselben Schlagwörtern belegt werden. Dementsprechend nutzt man hier kontrollierte Vokabulare, wie es sie im Bibliotheks- und Archivwesen seit mehr als 500 Jahren gibt.
Im Datenatlas hat man sich aber anscheinend dagegen entschieden. Das bringt Probleme mit sich, etwa bei Tippfehlern. Zum einen schränkt das die Datenqualität ein. Zum anderen erhalten Nutzende, wenn es nur eine gerichtete Suche gibt, unvollständige Trefferlisten. Sie können sich so gar nicht im Datenraum bewegen.
Darüber hinaus sind Suchanfragen im Datenatlas nur sehr eingeschränkt möglich, weil bestimmte Suchoperatoren wie zum Beispiel „UND“, „ODER“ oder „NICHT“ nicht anwendbar sind. Ich weiß aus verschiedenen Stellen der Bundesverwaltung, dass so etwas eigentlich gefordert war.
netzpolitik.org: Uns liegt inzwischen eine weitere Stellungnahme der Bundesdruckerei vor. Demnach hast du nur das Frontend des Datenatlas begutachtet und kannst keine Aussagen zum gesamten System machen. Im Frontend liege eine „limitierte Suchfunktion“ vor, die außerdem „in Abstimmung mit dem Auftraggeber für eine Nutzergruppe ohne spezielle IT-Kenntnisse entwickelt“ und seit Juli „noch weiterentwickelt“ wurde. Wie bewertest du diese Behauptung?
David Zellhöfer: Dass ich nur das Frontend begutachten konnte, stimmt nicht ganz. Ein Kapitel im Gutachten stützt sich zwar auf die Screenshots. Abgesehen davon gehören zu meinen Datenquellen aber auch die Berichte von Mitarbeitenden der Datenlabore sowie anderen Personen, die während des Projektverlaufs mit der Softwarelösung zu tun hatten.
Dass die Bundesdruckerei die limitierte Suchfunktion für Laien eingerichtet hat, ist aus informationswissenschaftlicher Sicht nicht plausibel. Eine gerichtete Suche mit Schlagworten hilft Nutzenden nicht, wenn sie nicht auch den gesamten Dokumentkorpus kennen. Das belegen Studien seit den 1980er-Jahren. Für das Gros der Bevölkerung, zu dem auch die meisten Nutzenden der Bundesverwaltung zählen werden, ist eine solche Suche nicht machbar.
Wenn es stimmt, dass sie die Suchfunktion weiterentwickelt haben, freut mich das natürlich. Aber das kann ich derzeit nicht überprüfen.
netzpolitik.org: Die Bundesdruckerei schreibt weiter, dass du das Backend des Datenatlas „sowie die umfangreichen Programmierschnittstellen“ nicht auswerten konntest. Gerade die Schnittstellen seien „jedoch für versierte Nutzende und Data Scientists gedacht“.
David Zellhöfer: Die Programmierschnittstellen als Teil des Backends konnte ich mir bislang tatsächlich nicht anschauen. Das wurde mir verwehrt. Für das Gutachten ist das allerdings kaum ausschlaggebend. Denn ich konzentriere mich auf das Thema der Informationssuche. Dafür muss ich mir in erster Linie die Nutzeroberfläche anschauen. Ich gehe auch nicht davon aus, dass selbst „versierte Nutzende und Data Scientists“ auf Programmierungsebene mit dem System arbeiten werden.
Die Bundesdruckerei verwendet das Wort „Backend“ aber zudem nicht trennscharf. Denn offenbar meint sie damit auch jene Funktionalitäten, die Datenforschende nutzen können. Und hierzu kann ich in meinem Gutachten Aussagen treffen: konkret darüber, wie Nutzende Datensätze anlegen und wie sie Metadaten importieren.
netzpolitik.org: Auch in ihrer neuen Stellungnahme stellt die BDR die wissenschaftliche Expertise deines Gutachten infrage. Demnach beruhe der Inhalt unseres Artikels „auf einem Papier, das sowohl fachlich, inhaltlich als auch von der Herangehensweise mehr als fragwürdig ist.“
David Zellhöfer: Immerhin setzen sie das Wort „Gutachten“ nicht mehr in Anführungsstriche. Das hatten sie in ihrer ersten Stellungnahme ja noch getan. Ich habe inzwischen ausführlich auf die Stellungnahme reagiert.
Die Aussage der BDR wirkt wie eine Diffamierung meiner Arbeit. Dieser Eindruck verstärkt sich, wenn sie an anderer Stelle schreibt, im Gutachten hätte ich „Vorwürfe und Meinungen“ geäußert. Eben das habe ich aber an keiner Stelle des Gutachtens getan. Sondern ich habe wissenschaftliche Methoden angewandt, die in jedem Einführungsband zum Thema Informationssuche zu finden sind.
Außerdem enthält das Gutachten mehrere Vorschläge, wie man den Datenatlas verbessern könnte. Alle im Gutachten getätigten Aussagen sind fachlich eingeordnet und anhand von Forschungsliteratur belegt. Und spätestens jetzt sollte die Bundesdruckerei den Datenatlas öffentlich zugänglich machen, damit er verbessert werden kann – bekannt ist er ja nun.
Dells Speicherarray-Software für die EMC-Serie Unity, UnityVSA und Unity XT sind verwundbar. Angreifer können an vier Sicherheitslücken ansetzen. Eine dagegen gerüstete Version steht zum Download bereit.
Weiterlesen nach der Anzeige
In einer Warnmeldung führen die Entwickler aus, dass zwei Schwachstellen (CVE-2026-21418 „hoch“, CVE-2026-22277 „hoch“) die Software direkt betreffen. An beiden Lücken kann ein lokaler Angreifer mit niedrigen Nutzerrechten ansetzen. Weil Eingaben nicht ausreichend geprüft werden, können präparierte OS-Befehle Angreifer zum Root machen. In dieser Position kann er dann Schadcode ausführen und Systeme so kompromittieren.
Zwei weitere Schwachstellen betreffen die Drittanbieter-Komponenten DOMPurify (CVE-2024-47875 „mittel“) und Urlparse, urllib.parse.urlsplit (CVE-2025-0938 „mittel“). Hier kann es unter anderem zu XSS-Attacken kommen.
Dells Entwickler versichern, die Schwachstellen in Dell Unity Operating Environment (OE) 5.5.3 geschlossen zu haben. Alle vorigen Ausgaben sollen angreifbar sein. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.
Zuletzt hat Dell Data Protection Advisor repariert.
(des)
Nachdem im Dezember ein Update für Notepad++ eine bereits zuvor attackierte Sicherheitslücke im Updatemechanismus geschlossen hat, liegen nun Untersuchungsergebnisse zu den Vorfällen vor. Demnach stecken wohl staatliche Akteure hinter den Angriffen.
Weiterlesen nach der Anzeige
In einem Blog-Beitrag berichtet der Notepad++-Entwickler Don Ho über die Untersuchungsergebnisse. Demnach hat Ho gemeinsam mit externen IT-Experten und dem jetzt ehemaligen Hosting-Provider den Vorfall untersucht. „Der Analyse der Sicherheitsexperten zufolge umfasste die Attacke eine Kompromittierung auf Infrastruktur-Ebene, die den bösartigen Akteuren das Abfangen und Umleiten von Update-Traffic für Notepad++ ermöglichte“, erklärt Ho. „Der genaue technische Mechanismus ist Gegenstand weiterer Untersuchungen, wobei klar ist, dass die Kompromittierung auf Ebene des Hosting-Providers auftrat anstatt durch Schwachstellen im Notepad++-Code selbst“, erörtert er weiter. Dadurch wurde Traffic bestimmter und gezielt ausgewählter Nutzer selektiv auf von den Angreifern kontrollierten Servern umgeleitet, die bösartige Update-Manifeste ausgeliefert haben.
Der Vorfall nahm seinen Anfang im Juno 2025. „Mehrere unabhängige IT-Sicherheitsforscher kommen zu dem Schluss, dass die bösartigen Akteure einer von China kontrollierten Gruppierung angehören. Das würde höchst selektive Auswahl der Ziele erklären, die bei der Kampagne zu beobachten war“, schreibt Ho weiter. Der IT-Sicherheitsexperte hat einen Notfallplan vorgeschlagen, den er zusammen mit dem Hosting-Provider verfolgt hat. Dieser hat dann eine eigene Stellungnahme zu dem Vorfall abgegeben.
Dem Provider zufolge war der Shared-Hosting-Server bis zum 2. September 2025 kompromittiert. An dem Tag hat der Provider die Maschine gewartet und in diesem Zuge Firmware und Kernel aktualisiert, im Anschluss daran konnten keine weiteren Angriffsmuster mehr festgestellt werden. „Obwohl die bösartigen Akteure den Zugriff auf den Server am 2. September 2025 verloren haben, hatten sie Zugangsdaten der internen Dienste auf dem Server, bis zum 2. Dezember 2025. Die hätten ihnen die Umleitung von Traffic zu ‚ auf ihre eigenen Server ermöglichen und die Auslieferung einer Update-Download-URL mit kompromittierten Updates ermöglichen können“, führt der Hosting-Provider aus. Die Angreifer haben den Logs zufolge gezielt nach Notepad++ gesucht und nach keinen anderen Projekten. Am 2. Dezember konnten die Systeme etwa durch Schließen von Schwachstellen und Passwortwechsel gesichert werden.
Zwar scheinen die Angriffe laut den Untersuchungsergebnissen des IT-Sicherheitsexperten am 10. November 2025 aufgehört zu haben, jedoch schätzt Dan Ho, dass bis zum 2. Dezember weitere Attacken zumindest möglich waren. Er entschuldigt bei allen Betroffenen. Um dieses gewichtige Sicherheitsproblem anzugehen, hat Ho die Notepad++-Webseite zu einem neuen Hosting-Provider umgezogen, der signifikant stärkere Sicherheitspraxis umsetzt. Innerhalb von Notepad++ hat er den WinGup-Updater in Version 8.8.9 erweitert, sodass er Zertifikate und Signaturen des heruntergeladenen Installers prüft. Auch das von der Update-URL zurückgelieferte XML ist nun signiert. Deren Prüfung forciert Notepad++ ab der kommenden Version 8.9.2, die im kommenden Monat erwartet wird. „Mit diesen Änderungen und Verstärkungen glaube ich, dass die Situation vollständig gelöst ist. Ich kreuze die Finger“, schließt Ho die Analyse.
Im vergangenen Dezember wurde bekannt, dass der Notepad++-Updater Malware auf einigen PCs installiert hatte. Die Aufräumarbeiten dauerten etwas an. Ende Dezember hat Dan Ho dann etwa Reste der zuvor genutzten Self-Signed-Zertifikate entrümpelt.
Weiterlesen nach der Anzeige
(dmk)
Angreifer können Computer mit IBM Db2 attackieren, sich im schlimmsten Fall Root-Rechte verschaffen und Systeme im Anschluss kompromittieren. Sicherheitspatches lösen dieses Sicherheitsproblem und einige weitere. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.
Weiterlesen nach der Anzeige
Das Datenbankmanagementsystem ist insgesamt über 17 Softwareschwachstellen angreifbar. Zwei Lücken (CVE-2025-36384, CVE-2025-36184) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Im ersten Fall können sich Angreifer mit Dateisystemzugriff höhere Rechte verschaffen. Im zweiten Fall ist das sogar bis zum Root-Nutzer möglich. In so einer Position ist davon auszugehen, dass Angreifer die volle Kontrolle über Systeme erlangen.
In diesen Fällen schaffen die Sicherheitsupdates Special Build #66394 für IBM Db2 11.5.9, Special Build #71609 für 12.1.3 und Special Build für 12.1.2 Abhilfe. IBMs Entwickler weisen darauf hin, dass davon wahrscheinlich auch Versionen bedroht sind, die sich nicht mehr im Support befinden. Diese Ausgaben bekommen keine Sicherheitsupdates mehr, sie bleiben deshalb verwundbar. Hier müssen Admins auf eine noch unterstützte Version upgraden.
Die verbleibenden Lücken sind mit „mittel“ eingestuft. An diesen Stellen können Angreifer etwa mit manipulierten Anfragen ansetzen, um DoS-Zustände auszulösen. Weitere Informationen zu den Lücken und Sicherheitsupdates finden sich unterhalb dieser Meldung in den verlinkten Warnmeldungen.
Erst kürzlich haben die Entwickler eine kritische Lücke in IBM Db2 Big SQL geschlossen.
Liste nach Bedrohungsgrad absteigend sortiert:
Weiterlesen nach der Anzeige
(des)
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Schnelles Boot statt Bus und Bahn: Was sich von London und New York lernen lässt
Huawei Mate 80 Pro Max: Tandem-OLED mit 8.000 cd/m² für das Flaggschiff-Smartphone
Fast 5 GB pro mm²: Sandisk und Kioxia kommen mit höchster Bitdichte zum ISSCC
Kommentar: Anthropic verschenkt MCP – mit fragwürdigen Hintertüren
Die meistgehörten Gastfolgen 2025 im Feed & Fudder Podcast – Social Media, Recruiting und Karriere-Insights
Syncthing‑Fork unter fremder Kontrolle? Community schluckt das nicht
Weiter billig Tanken und Heizen: Koalition will CO₂-Preis für 2027 nicht erhöhen
