Wer CrushFTP für den Datentransfer nutzt, sollte die verwendete Version auf Aktualität prüfen. Das Entwicklerteam hat am vergangenen Freitag Angriffe in freier Wildbahn auf ältere Ausgaben entdeckt, die schlimmstenfalls zu einer Übernahme des Admin-Accounts durch Angreifer führen könnten.

Verwundbar sind laut Advisory der CrushFTP-Entwickler vor Anfang Juli erschienene Versionen. Konkret: die Versionen 10 bis exklusive 10.8.5 sowie Versionen ab 11 bis exklusive 11.3.4_23. Abgesichert sind dementsprechend alle Versionen ab 10.8.5 beziehungsweise 11.3.4_23 aufwärts. Bei aktiviertem DMZ-Proxy-Feature sei die Software grundsätzlich nicht verwundbar.

Die angegriffene Schwachstelle mit der ID CVE-2025-54309 hat einen CVSS-v3-Basescore von 9.0 (kritisch). Sie fußt laut knapper Beschreibung auf einem Validierungsfehler und kann via HTTPS missbraucht werden, um Admin-Zugriff zu erlangen. Laut CVSS-Vektorstring ist für einen Angriff weder eine Nutzerinteraktion noch eine vorherige Authentifizierung seitens des Angreifers erforderlich; allerdings wird die Angriffskomplexität als hoch beschrieben.

Weitere Hinweise und frühere Angriffe

Wer die schützenden Updates versäumt hat und bereits kompromittiert wurde beziehungsweise dies annimmt, findet im CrushFTP-Advisory Kompromittierungsindikatoren, Handlungsempfehlungen sowie einige präventive Maßnahmen für die Zukunft.

Die sehr knappe Angriffsbeschreibung erinnert übrigens an frühere Angriffe auf CrushFTP Ende letzten sowie im Laufe des aktuellen Jahres. Zuletzt sorgten aktive Angriffe auf CrushFTP im April für Schlagzeilen bei heise Security: Auch damals konnten (bei ausgeschalteter DMZ-Funktion) Authentifizierungsmechanismen umgangen werden.

(ovw)

Eine simple Antwort schlägt hohe Wellen: Microsoft kann nicht unter Eid garantieren, dass Daten von EU-Kunden bei einer Anfrage nicht an US-Behörden übertragen werden. Obwohl sich die Anhörung auf die französische UGAP bezog, sind die potenziellen Auswirkungen weitaus größer – US-Cloud-Anbieter versuchen aktuell, mit Souveränitätsversprechen um Vertrauen in der EU zu werben. Eine solche Aussage konterkariert diese jedoch augenscheinlich. Um diese einzuordnen, haben wir zwei Meinungen von Experten eingeholt.

Dennis Kipker, Research Director, cyberintelligence.institute, sieht die Befürchtungen bestätigt:

Das Zugeständnis von Microsoft kommt nicht überraschend – aber ist gleichwohl erkenntnisreich, denn Microsoft hat in der Vergangenheit explizit mit Maßnahmen geworben, die angeblich eine höhere Datensicherheit im transatlantischen Datenaustausch gewährleisten beziehungsweise Zugriffe nach Möglichkeit ausschließen sollen.

Jetzt stellt sich heraus, dass diese blumigen Werbeversprechen, die Diskussionen um Datengrenzen und teilsouveräne Clouds keine effektiven Schutzmechanismen darstellen. Das ist umso fataler, als von den Werbeversprechen Entscheidungen von Unternehmen wie auch staatlichen Einrichtungen für die sichere und souveräne Datenhaltung abhängen und sich nun herausstellt, dass die Sicherheitsversprechen von Microsoft auf Sand gebaut sind.

Zwar räumt Microsoft ein, dass es bislang noch nicht zu einem Zugriff gekommen sei. Das war aber bislang nicht der Gegenstand der öffentlich geführten Argumentation – stets ging es nämlich nur darum, wie durch rechtliche, technische und organisatorische Maßnahmen das Zugriffsrisiko gemindert oder ausgeschlossen werden soll. Und damit sind wir wieder bei der ganz alten Erkenntnis angelangt: Als US-amerikanisches Unternehmen muss sich Microsoft der US-amerikanischen Jurisdiktion beugen – egal, was die Werbeversprechen sagen.

Und auch wenn argumentiert wird, dass auch in der EU entsprechende Zugriffsbefugnisse seitens der Behörden existieren, die dem US-amerikanischen Recht vergleichbar sind, geht dies fehl. Denn immerhin haben wir in Deutschland und in der gesamten Europäischen Union ein Datenschutzgrundrecht, das verfassungsrechtlich verankert ist. So etwas gibt es in den USA in dieser Form nicht.

Deshalb ist es eigentlich umso besser, dass diese Enthüllung jetzt offiziell bekannt wurde, damit sich Unternehmen und Behörden in ihrer Risikoabwägung im Rahmen von Cloud-Beschaffungsentscheidungen darauf einstellen können.

Stefan Hessel, Rechtsanwalt bei reuschlaw, schätzt die Situation jedoch anders ein:

In der Aussage eines Microsoft-Managers, er könne nicht garantieren, dass die Daten vor einer Übermittlung in diese USA sicher seien, wird vielfach als Beleg für einen Kontrollverlust beim Einsatz von US-Cloudanbietern gesehen. Doch dieser Schluss greift zu kurz und lässt zentrale rechtliche Rahmenbedingungen außer Acht.

Zunächst liegt keine Drittlandsübermittlung vor, wenn im Cloudvertrag mit der EU-Tochtergesellschaft klar geregelt ist, dass die Daten ausschließlich im Europäischen Wirtschaftsraum verarbeitet werden. Der Fall ist also grundlegend anders als bei einer direkten Datenübermittlung in die USA oder an die US-Muttergesellschaft, wo ein direkter Zugriff durch die US-Behörden möglich ist. Im Kern geht es stattdessen um den CLOUD Act. Dieser verpflichtet US-Cloudanbieter, auf Anordnung einen Zugriff auf Daten einzuräumen, auch wenn diese nicht in den USA verarbeitet werden. Oft wird daraus geschlossen, dass US-Cloudanbieter ihre europäischen Tochtergesellschaften zur Herausgabe von Daten zwingen könnten.

Juristisch ist das jedoch nicht haltbar. EU-Tochtergesellschaften von US-Unternehmen unterliegen wie jedes andere EU-Unternehmen dem europäischen Recht und sind bei der Verarbeitung personenbezogener Daten an die DSGVO gebunden. Gemäß Art. 28 Abs. 3 DSGVO dürfen Cloud-Anbieter als Auftragsverarbeiter Daten ausschließlich auf Weisung des Kunden verarbeiten. Eine Ausnahme von diesem Grundsatz gilt nur, wenn sie durch das EU-Recht oder das Recht eines EU-Mitgliedstaats zu einer Verarbeitung verpflichtet sind.

Außereuropäische Gesetze wie der CLOUD Act dürfen dabei nicht berücksichtigt werden. Eine Offenlegung personenbezogener Daten gegenüber Behörden in Drittländern wie den USA darf gemäß Art. 48 DSGVO nur im Wege der Rechtshilfe erfolgen. Wenn dieses Verfahren eingehalten wird, ist es jedoch auch möglich, dass der Kunde keine Mitteilung über die Datenweitergabe erhält. Denn in Art. 28 Abs. 3 DSGVO ist auch geregelt, dass eine Benachrichtigung unterbleiben muss, wenn ein entgegenstehendes wichtiges öffentliches Interesse besteht.

EU-Töchter von US-Cloudanbietern dürfen Herausgabeaufforderungen ihrer Muttergesellschaft deshalb im Ergebnis nur nachkommen, wenn die Voraussetzungen der DSGVO erfüllt sind. Ob dies der Fall ist, können die europäischen Datenschutzaufsichtsbehörden und Gerichte voll überprüfen und etwaige Verstöße wirksam ahnden. Es besteht also kein Anlass zur Panik.

(fo)

Damit der Windstrom von der Küste bis in die Industrieregionen im Westen und Süden Deutschlands und bundesweit bis zu den Verbrauchern kommt, sind starke Netze nötig. Das ist eine teure Sache.

33 Milliarden Euro

Die Kosten für Deutschlands Stromnetze haben sich binnen zehn Jahren mehr als verdoppelt. Wie aus Zahlen der Bundesnetzagentur hervorgeht, betragen die von den Verbrauchern und Unternehmen zu zahlenden Netzentgelte in diesem Jahr 33 Milliarden Euro. 2015 waren es nur 15,9 Milliarden Euro.

Die Zahlen der Bundesnetzagentur spiegeln den größten Teil der deutschen Stromnetzbetreiber wider. Kleinere Betreiber, für die die Netzagentur nicht zuständig ist und die nur eine Nebenrolle spielen, sind bei den Zahlen nicht inbegriffen.

Grund für den Anstieg ist die Energiewende – der Anteil erneuerbaren Energien bei der Stromerzeugung steigt, weswegen das Stromnetz und dessen Steuerung aufwendig umgebaut werden muss. Diese Kosten tragen die Stromkunden, also die Verbraucher und Firmen.

11,6 Cent pro Kilowattstunde

Ein durchschnittlicher Haushaltskunde zahlte im Jahr 2015 noch ein Netzentgelt von 6,59 Cent pro Kilowattstunde Strom, im vergangenen Jahr waren es 11,62 Cent.

Das BSW hatte die Zahlen bei der Bundesnetzagentur angefragt. Die Parteivorsitzende Sahra Wagenknecht nannte den starken Anstieg der Netzkosten „inakzeptabel“, sie wertete dies als „Versagen der Energiepolitik“. Es sei hausgemacht, dass Deutschland weltweit mit die höchsten Strompreise habe.

Die Bundesregierung müsse nicht nur die versprochene Entlastung bei der Stromsteuer liefern, sondern auch die Abzocke bei den Netzentgelten beenden, andernfalls werden die Strompreise nicht signifikant sinken, so Wagenknecht. „Die Netzentgelte sollten für die Verbraucher weitestgehend abgeschafft werden, die öffentliche Hand sollte die Netze übernehmen.“

(vbr)