Die Entwickler der Groupware Zimbra haben aktualisierte Softwarepakete veröffentlicht. Sie schließen gleich mehrere Sicherheitslücken. IT-Verantwortliche sollten die Updates zügig anwenden.

Die Changelogs zu den nun verfügbaren Versionen 10.0.18 und 10.1.13 weisen eine größere Zahl an Sicherheitslücken aus, die darin geschlossen wurden. Für Version 10.0.18 sind das:

• AntiSamy auf Version 1.7.8 aktualisiert und Stored-Cross-Site-Scripting-Lücke entfernt
• Pfadprüfung in die ExportAndDeleteItemsRequest API eingeführt, um unsichere Dateiexporte zu verhindern
• Ein CSRF-Enforcement-Problem in bestimmten Authentifizierungs-Flüssen angegangen
• Lokale File-Inclusion-Schwachstelle ohne vorherige Authentifizierung in RestFilter gelöst
• Nginx-Modul aktualsiiert, um Sicherheitsstandards und Compliance zu folgen

Version 10.1.13 stopft noch mehr Sicherheitslücken, zusätzlich zu den vorgenannten:

• Hartkodierte Flickr-API-Zugangsdaten vom Flickr-Zimlet entfernt und diese zurückgezogen
• Stored Cross-Site-Scripting-Lücke im Zimbra Mail-Client für E-MAils mit PDF-Anhängen korrigiert
• Eingabe- und „null“-Prüfungen im PreAuthServlet ergänzt, um Preisgabe interner Fehler durch fehlformatierte Anfragen zu verhindern
• Ein Admin-Konto-Auflistungsproblem gelöst
• Apache HttpClient-Bibliothek auf Version 4.5.14 aktualisiert

Detailinformationen nicht vorhanden

Genaue Details zu den geschlossenen Sicherheitslücken und die Schwachstelleneinträge (CVE) nennen die Entwickler bislang nicht. Allerdings sind Schwachstellen in Zimbra oftmals Ziel von Angriffen Cyberkrimineller – auch, weil einige Regierungseinrichtungen etwa in der EU mit der Groupware Zimbra arbeiten.

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) schätzt den Schweregrad der Schwachstellen jedoch bis hinauf zum CVSS-Wert 9.8, also Risiko „kritisch“ ein. Die Analysten gehen davon aus, dass Angreifer durch die Sicherheitslücken unter anderem auch beliebigen Schadcode ausführen und Sicherheitsmaßnahmen umgehen können.

(dmk)

In einer an Datenschutznachrichten nicht gerade armen Woche wäre die Meldung fast untergegangen: Deutschland hat seinen ersten offiziellen Einwilligungs-Manager! Das teilte die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider am Dienstag mit. Ihre Behörde hat den Dienst zertifiziert.

Mit Consenter sollen Menschen einfach und übersichtlich darüber entscheiden können, wem sie im Internet eine Erlaubnis zur Nutzung ihrer Daten erteilen und wem nicht. Das gilt insbesondere für Cookies, die auf Computern und Telefonen gespeichert werden und dafür verwendet werden können, das Online-Verhalten von Menschen zu verfolgen.

Menschen wollen selber bestimmen

Cookies bleiben ein leidiges, aber wichtiges Thema. Eine repräsentative Umfrage im Auftrag der Bundesdatenschutzbeauftragten zeigt: 83 Prozent der Menschen in Deutschland wollen selbst festlegen können, ob und wofür ihre Daten im Internet verwendet werden. Doch nur 43 Prozent der Internetnutzer:innen wissen überhaupt, was genau Cookies sind und wofür sie eingesetzt werden.

Dabei kann es weitreichende Folgen haben, ob wir zustimmen oder nicht. Firmen sehen die Einwilligung oft als Freifahrtschein für sie und ihre 845 Partner, die behaupten, den Datenschutz sehr ernst zu nehmen, aber uns komplett durchleuchten wollen. Wir können aufgrund unseres Online-Verhaltens in eine von hunderttausenden Kategorien gesteckt werden, zum Beispiel in „Moms who shop like crazy“, „Spielsüchtig“ oder „LGBTQ“. Unsere Standortdaten können bei Datenhändlern landen und Fremden unsere Bewegungsmuster offenbaren. Der Umgang mit unseren Daten ist vollkommen außer Kontrolle geraten.

Gegen Kontrollverlust und Einwilligungsmüdigkeit

Einwilligungsmanager sollen nicht nur diesem Kontrollverlust ein Ende bereiten, sondern auch der sogenannten Einwilligungsmüdigkeit. Die hat sich im Laufe all der Jahre bei vielen einstellt, die tagein tagaus scheinbar sinnlose Cookie-Banner wegklicken mussten, die einerseits das Wegklicken mit manipulativen Design erschweren und andererseits nicht gut informieren, was mit den Daten passiert. Es nervt einfach: Ich möchte nicht jeden Tag auf jeder Webseite immer wieder aufs Neue klicken müssen, wenn doch klar ist, dass ich immer die für mich datenschutzfreundlichste Variante haben will. Wieviele Stunden meines Lebens habe ich mit sinnlosem Klicken verbracht?

Hier könnten Einwilligungsmanager eigentlich helfen. Deutschland ist auf dem Feld Pionier, denn es ist das erste Land in der EU, das dem schon lange bestehenden Konzept einen rechtlichen Rahmen gegeben hat. Es gibt gesetzliche Anforderungen an die Consent-Manager und eine Prüfung durch die BfDI, an deren Ende eine offizielle Zertifizierung stehen kann. Geregelt wird das vom Telekommunikation-Telemedien-Datenschutz-Gesetz (TDDDG) und von der Einwilligungsverwaltungsverordnung. Innovation made in Germany halt.

Spaß beiseite: Es ist natürlich richtig, dass die Dienste klaren Regeln folgen, schließlich sollen die Menschen ihnen vertrauen. So schreibt das TDDDG zum Beispiel vor, dass Einwilligungsmanager „kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können“.

Ausgerechnet vom guten Willen der Tracking-Industrie abhängig

Die Sache hat nur einen Haken, und zwar einen ziemlich großen, der das ganze Konzept zum Scheitern verurteilt: Die Einwilligungsverwaltungsverordnung regelt auch, dass die „Einbindung von anerkannten Diensten zur Einwilligungsverwaltung durch Anbieter von digitalen Diensten“ freiwillig erfolgen soll.

Mit anderen Worten: Nutzer:innen können so viel managen wie sie wollen – keine Website und keine Tracking-Firma muss die Einwilligungsdienste anerkennen.

Webseiten und Medien leben aber vom Cookie-Werbezirkus, sie setzen auf dieses invasive Erlösmodell auf Kosten unserer Privatsphäre. Hunderte Datenunternehmen profitieren von der Ausleuchtung der Internetnutzer:innen per Cookie und Tracking, sie existieren nur, weil es dieses Modell gibt. Und sie handeln völlig schamlos mit den Daten, wie unsere Recherchen immer wieder zeigen.

Ausgerechnet diesen Firmen wollen wir mit Freiwilligkeit beikommen? Das ist lächerlich: Es gibt keinen Grund dafür, warum sie sich freiwillig dem Regime eines Einwilligungsmanagers unterwerfen sollten, der letztlich ihr Geschäftsmodell angreifen würde. Ohne Verpflichtung bleibt das Modell ein Papiertiger.

Bundesregierung könnte es einfach ändern

Man kann darüber streiten, ob Einwilligungsmanager wirklich ein gutes Werkzeug sind. Ich habe das mit einem der Köpfe hinter Consenter, Maximilian von Grafenstein, neulich in unserem Podcast Off/On getan. Was man nicht tun kann: Einwilligungsmanager als Lösung für ein Problem darstellen und dann darauf hoffen, dass die Tracking-Industrie schon freiwillig den Willen der Nutzer:innen akzeptieren wird.

Wenn die Bundesregierung wollen würde, dass Einwilligungsmanager überhaupt eine Chance haben und nicht zu noch mehr Pseudo-Selbstbestimmung führen, dann müsste sie ihre Anerkennung schnellstmöglich verpflichtend machen. Sie kann das jederzeit und einfach zu tun, wenn sie wollte – denn die Verordnung muss nicht einmal vom Bundestag beschlossen werden.

Tut sie es nicht, verurteilt sie die Dienste zum Scheitern, bevor diese überhaupt ihre Arbeit aufnehmen können.

Seit Ende September sind Angriffe auf drei Sicherheitslücken in Ciscos ASA- und FTD-Firewalls bekannt. Updates zum Schließen der Lücken stehen seitdem zur Verfügung. Anfang November sind jedoch noch immer mehr als Tausend Cisco-Geräte in Deutschland im Netz erreichbar und verwundbar. Nun meldet Cisco auch noch, dass Angreifer neue Wege zum Missbrauch von zwei der drei Schwachstellen nutzen.

Im Laufe des Mittwochs hat Cisco seine Warnung vor laufenden Angriffen auf die Sicherheitslücken auf die VPN-Komponente der Firewalls aktualisiert. Der Hersteller schreibt, dass er am Mittwoch eine neue Angriffsvariante auf beide Schwachstellen bemerkt hat. Die Cyberattacken können auf nicht gepatchten Geräten dazu führen, dass diese unerwartet neu starten, was in Denial-of-Service-Situationen mündet. Cisco empfiehlt nachdrücklich, auf die korrigierten Softwareversionen zu aktualisieren.

Aktuelle Zahlen der Shadowserver Foundation zu den für die Schwachstellen anfälligen Geräte zeigen viele Tausende weltweit. Ganz vorne stehen die USA mit derzeit mehr als 13.500 anfälligen Cisco-Firewalls. Aber auch Deutschland fällt negativ auf, mit aktuell noch 1160 verwundbaren Cisco-ASA- und FTD-Firewalls. Seit Anfang Oktober haben Admins also nicht einmal die Hälfte der damals lückenhaften Cisco-Geräte mit den Sicherheitsupdates versorgt.

Drei Sicherheitslücken im Visier der Angreifer

Insgesamt geht es laut Cisco um drei Sicherheitslücken: Bei der ersten können authentifizierte Angreifer aus dem Netz beliebigen Code auf Ciscos ASA- und FTD-Firewalls schieben und ausführen (CVE-2025-20333, CVSS 9.9, Risiko „kritisch„). Als Ursache nennt Cisco die unzureichende Prüfung von HTTP(S)-Anfragen, die Nutzern mit gültigen VPN-Zugangsdaten solche Attacken ermöglicht. Die zweite Lücke erlaubt es nicht angemeldeten Nutzern (bei Ciscos ASA und FTD) sowie angemeldeten Angreifern mit niedrigen Rechten (in Ciscos IOS, IOS XE und IOS XR), beliebigen Code auf betroffenen Geräten auszuführen. Auch das geht auf unzureichende Validierung von HTTP-Anfragen zurück (CVE-2025-20363, CVSS 9.0, Risiko „kritisch„). Die letzte Schwachstelle ermöglicht nicht authentifizierten Angreifern aus dem Netz den Zugriff auf zugriffsbeschränkte URL-Endpunkte, die zum VPN-Fernzugriff gehören (CVE-2025-20362, CVSS 6.5, Risiko „mittel„).

Die neu beobachteten Angriffsvarianten betreffen die Schwachstellen CVE-2025-20333 und CVE-2025-20362. IT-Verantwortliche sollten Ciscos Warnungen ernst nehmen und die bereitstehenden Aktualisierungen zeitnah anwenden.

(dmk)