Um aktuell laufende Angriffe auf Adobe Acrobat Reader zu verhindern, müssen Nutzer der PDF-Anwendung die jüngst veröffentlichten reparierten Versionen installieren. Das alleinige Öffnen von manipulierten PDF-Dokumenten reicht aus, damit Attacken erfolgreich sind und Schadcode auf Computer gelangt.

Jetzt patchen!

Die Sicherheitslücke ist erst seit Kurzem bekannt, dem Entdecker der Schwachstelle nutzen Angreifer die Sicherheitslücke aber bereits seit vergangenem Dezember aus. In welchem Umfang die Angriffe ablaufen und gegen wen sie sich richten, ist bislang unklar. Nun hat Adobe Sicherheitsupdates veröffentlicht. Aus einer Warnmeldung geht hervor, dass die Lücke (CVE-2026-34621) mit dem Bedrohungsgrad „kritisch“ eingestuft ist.

Der Softwareentwickler versichert, die macOS- und Windows-Ausgaben Acrobat DC Continuous 26.001.21411, Acrobat Reader DC Continuous 26.001.21411 und Acrobat 2024 Classic 2024 Windows: 24.001.30362 | Mac: 24.001.30360 gegen die Angriffe gerüstet zu haben. In den Standardeinstellungen installieren sich die Updates Adobe zufolge automatisch.

(des)

US-Vizepräsident JD Vance und US-Finanzminister Scott Bessent haben sich mit den Köpfen führender Big-Tech-Unternehmen besprochen, um über KI-Sicherheit zu reden. Ein entsprechendes Telefonat soll vergangene Woche stattgefunden haben, etwa eine Woche, bevor Anthropics neues KI-Modell Mythos Preview ausgewählten Unternehmen zur Verfügung gestellt wurde. Mythos soll in jeder wichtigen Software Sicherheitslücken finden und auch gleich passende Angriffe entwickeln können.

Dem US-Nachrichtensender CNBC zufolge sollen dem Anruf Anthropic-CEO Dario Amodei, xAI-Chef Elon Musk, Google-Chef Sundar Pichai, OpenAI-Chef Sam Altman, Microsoft-Chef Satya Nadella, CrowdStrike-Chef George Kurtz und Palo-Alto-Networks-Chef Nikesh Arora zugeschaltet gewesen sein. Als Quellen beruft sich CNBC auf zwei Personen, deren Namen aufgrund der Vertraulichkeit der Angelegenheit nicht bekannt werden sollen. Ein Anthropic-Sprecher wollte zu dem Thema keinen Kommentar abgeben, bestätigte aber, dass es am Freitag voriger Woche ein Treffen mit Spitzenvertretern der Regierung gegeben habe.

Noch vor jeglicher externer Veröffentlichung habe Anthropic hochrangige Vertreter der US-Regierung über den vollen Funktionsumfang von Mythos Preview informiert, einschließlich seiner offensiven und defensiven Cyber-Anwendungen, erklärte er. „Die Regierung frühzeitig einzubeziehen – darüber, was das Modell leisten kann, wo die Risiken liegen und wie wir damit umgehen – hatte von Anfang an Priorität“, so der Sprecher.

Den beiden anonymen Quellen zufolge sollen die Teilnehmer des Anrufs über die Sicherheitslage bei LLMs und ihren sicheren Einsatz gesprochen haben und auch darauf eingegangen sein, wie eine mögliche Reaktion aussehen könnte, falls sich die Modelle zugunsten der Angreifer entwickeln.

Weitere Banken testen Mythos

Im Zuge der jetzt vorgestellten Initiative „Project Glasswing“ hatte Anthropic nach eigenen Angaben seine neue KI einer Reihe ausgewählter Unternehmen zur Verfügung gestellt. Dazu gehören demnach unter anderem Amazon Web Services (AWS), Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, die Linux Foundation, Microsoft, NVIDIA und Palo Alto Networks. 40 weitere Organisationen, die Software für kritische Infrastruktur verantworten, seien ebenfalls beteiligt.

Bessent und der US-Notenbankchef Jerome Powell riefen die Chefs der wichtigsten US-Banken am selben Tag zu einem dringenden Treffen zusammen, um vor den Gefahren von Anthropics neuem KI-Modell Claude Mythos Preview zu warnen. Sie appellierten an die Finanzhäuser, die KI ernstzunehmen. Zu den Unternehmen mit Mythos-Zugang sollen dem Nachrichtensender Bloomberg zufolge auch die Banken Goldman Sachs, Citigroup, Bank of America und Morgan Stanley zählen. Sie sind von der US-Regierung aufgefordert, mit Mythos nach Schwachstellen zu suchen. Bloomberg erfuhr das von eingeweihten Personen.

Hierzulande beschäftigt Mythos das Bundesamt für Sicherheit und Informationstechnik. Man erwarte „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt“, sagte BSI-Präsidentin Claudia Plattner der dpa. Konsequent zu Ende gedacht, könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben, meint sie. „Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben.“

(nen)

Liebe Leser:innen,

es war mal wieder eine „Databroker-Woche“ bei netzpolitik.org – und so langsam nervt mich dieser Satz, der regelmäßig in unserer Redaktion zu hören ist. Und das, obwohl ich selbst ständig über das Thema schreibe. Die ausufernde Tracking-Industrie, der unkontrollierte Handel mit unseren Daten, sie beschäftigen uns seit Jahren. Wir treiben die Debatte dazu voran wie wohl kein anderes deutschsprachiges Medium. Nur langsam frage ich mich: Soll das ewig so weitergehen?

Aber der Reihe nach. Eigentlich waren es ja drei begrüßenswerte Anlässe, aus denen wir diese Woche über das Thema berichtet haben.

Erstens haben unsere Kolleg:innen vom Bayerischen Rundfunk die sehr sehenswerte ARD- und Arte-Doku „Gefährliche Apps: Im Netz der Datenhändler“ veröffentlicht. Mein Kollege Sebastian und ich arbeiten seit mehr als zwei Jahren mit ihnen an den „Databroker Files“. Der Film erzählt von unseren Recherchen und den sehr konkreten Gefahren, die etwa von vermeintlich harmlosen Tracking-Daten ausgehen und unterschiedliche Menschen wie zum Beispiel eine Journalistin oder ukrainische Soldaten betreffen.

Zweitens schreiten Ermittlungen von Datenschutzbehörden gegen zwei deutsche Apps voran, die unsere Databroker-Files-Recherchen ausgelöst haben. Die Behörden sind sich inzwischen sicher, dass eine Wetter-App und eine Dating-App, beide mit Millionen Nutzer:innen, datenschutzwidrig genaue Standortdaten verarbeitet und an Dritte weitergegeben haben. Konsequenzen hat das bislang aber noch nicht, die Verfahren laufen noch.

Drittens haben das Citizen Lab, der Wiener Tracking-Forscher Wolfie Christl und der ungarische Journalist Szabols Panyi eine bemerkenswerte Recherche veröffentlicht. Sie können am Beispiel einer US-Überwachungsfirma detailliert aufzeigen, wie Daten aus dem Ökosystem der Online-Werbung für Geheimdienste und andere Behörden nutzbar gemacht werden. Und sie berichten, dass die Produkte dieser Firma nicht nur von Trumps paramilitärischer Abschiebetruppe ICE genutzt werden, sondern auch von der ungarischen Regierung angeschafft wurden. Dort finden am Sonntag Wahlen statt und Viktor Orbán kämpft mit allen Mitteln um den Machterhalt.

Ein komplettes Versagen von Datenschutz, Politik und Medien

Ich bin angesichts dieser Ereignisse diese Woche hin- und hergerissen. Einerseits freue ich mich über aufklärende Recherchen, Public-Value-Journalismus und konkrete Konsequenzen. Andererseits bin ich frustriert, dass es all das noch immer braucht. Wir haben doch eigentlich bei diesem Thema längst kein Erkenntnis-, sondern ein Umsetzungsdefizit.

Juristisch gibt es – soweit ich weiß – wenig Zweifel daran, dass das umfassende Tracking durch ein riesiges, undurchsichtiges Firmennetzwerk ebenso illegal ist wie der Handel mit den dabei erfassten Daten. Doch die Datenschutzbehörden kommen nicht hinterher.

Die Wissenschaftlichen Dienste des Bundestages haben zudem klargestellt, dass eine Nutzung solcher Daten durch staatliche Stellen im besten Fall auf wackeligen Füßen stünde, wahrscheinlich aber doch eher überwiegend ebenfalls illegal wäre. Doch die Bundesregierung schweigt einfach dazu, ob auch deutsche Sicherheitsbehörden kommerzielle Daten nutzen.

Wir erleben bei diesem Thema ein komplettes Versagen von Datenschutz, Politik und leider auch von vielen Medien.

Also was tun? Digitale Selbstverteidigung geht immer. Aber eigentlich müsste man das Problem ja politisch angehen. Doch Regulierung, womöglich sogar Verbote bestimmter Geschäftspraktiken, das ist momentan einfach nicht angesagt. Als wir im Sommer 2024 die ersten Storys der Databroker Files veröffentlichten, gab es große Bestürzung in allen demokratischen Parteien. Heute haben wir eine Bundesregierung, die sich in Brüssel dafür einsetzt, dass der Datenschutz möglichst mit dem Vorschlaghammer reformiert – also abgebaut – wird. Die Datenindustrie macht derweil munter weiter.

Deshalb machen auch wir weiter, decken auf und erzeugen Druck. Wir lesen uns also sicher bald wieder, wenn es mal erneut heißt: Databroker-Woche bei netzpolitik.org.

Danke für eure Unterstützung bei der journalistischen Sisyphusarbeit!
Euer Ingo