Vor einer weiteren Version der „Copy Fail“ genannten Rechteausweitungslücke im Linux-Kernel namens „Fragnesia“ warnt Microsoft aktuell. Auch damit erlangen Angreifer auf dem System root-Rechte.

Wie Microsoft auf Bluesky ausführt, handelt es sich um eine weitere Variante der „Dirty Frag“-Schwachstelle, die zum vergangenen Wochenende bekannt wurde. In IPsec ist abermals das XFRM-ESP-Subsystem betroffen. „Fragnesia“ missbraucht in XFRM ESP-in-TCP eine Schwachstelle, um Schreibzugriff auf den Kernelspeicher zu erlangen. Damit manipuliert der Angriff den Page-Cache-Eintrag der „/usr/bin/su“-Datei, mit der sich dann eine Shell mit root-Rechten starten lässt (CVE-2026-46300, CVSS laut Red Hat 7.8, Risiko „hoch“ – Einordnung von Ubuntu bestätigt).

Der eigentliche Entdecker der Schwachstelle heißt William Bowling, der von dem Unternehmen Zellic kommt, das mit dem KI-Tool „V12“ Schwachstellen sucht. Auf GitHub hat er ein Projekt erstellt, das auch einen Exploit für die Schwachstelle vorhält.

Gegenmaßnahmen und Quellcode-Fixes

Dort stellt Bowling eine detaillierte Erläuterung der Schwachstelle bereit. Am 13. Mai 2026 hat er einen Patch an die netdev-Kernel-Mailingliste geschickt, der zwei Zeilen ergänzt und das Problem beseitigen soll. Die (temporären) Gegenmaßnahmen gegen „Dirty Frag“ bis zur Verfügbarkeit eines aktualisierten Kernels helfen auch gegen „Fragnesia“: Das Entladen der verwundbaren Kernel-Module mittels rmmod esp4 esp6 rxrpc sowie das Blacklisten der Module mittels printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf. Wer jedoch auf IPsec angewiesen ist, benötigt einen Kernel mit den Patches.

Vermehrte Schwachstellenmeldungen gleicher Art

Aufgrund der immer weiter verbreiteten Schwachstellensuche mit KI-Unterstützung werden dieselben Sicherheitslücken inzwischen mehrfach gefunden und gemeldet, auch etwa durch die Analyse der jüngsten Kernel-Patches. Die mediale Aufmerksamkeit für die ersten Sicherheitslücken dieser Art mit jeweils eigenen Codenamen und teils auch eigenen Bildern und Logos führt zu einer Häufung derartiger Meldungen, was sich aktuell beobachten lässt. Um nur die wesentlichen Probleme zu melden, beschränken wir künftige Berichte auf solche Schwachstellen in Linux, die eine praktische Relevanz etwa durch Missbrauch in freier Wildbahn haben oder die anderweitig interessant hervorstechen.

(dmk)

Bürokratieabbau, Registermodernisierung, DeutschlandID: Auf diese Themen blickt Bundesdigitalminister Karsten Wildberger (CDU) schon seit längerem mit der KI-Brille. Spätestens seit Mittwoch weiß er die Länder dabei hinter sich. Auf der Pressekonferenz zur Digitalministerkonferenz (DMK) demonstrierten Wildberger, die hessische Digitalministerin Kristina Sinemus (CDU) und der Chef der Senatskanzlei Hamburg Jan Pörksen (SPD) Einigkeit bei diesem Thema. Alle drei betonten, dass man beim KI-Einsatz in der öffentlichen Verwaltung an einem Strang ziehe.

Seit 2024 treffen sich die Minister:innen, Senatoren und Staatssekretär:innen der Länder regelmäßig, um über digitalpolitische Entscheidungen zu diskutieren. Die fünfte DMK fand in Hamburg statt und knüpfte inhaltlich an die Föderale Modernisierungsagenda an. Die hatten Bundeskanzler Friedrich Merz (CDU) und die Regierungschef:innen der Länder im Dezember beschlossen. Die 200 Maßnahmen der Föderalen Modernisierungsagenda zielen vor allem darauf ab, Bürokratie abzubauen. Bund und Länder wollen etwa bis Ende 2026 Berichtspflichten für die öffentliche Verwaltung prüfen, um mindestens die Hälfte von ihnen zu streichen.

Ein weiteres Ziel ist ein durchgehend digitalisierter Staat. Zwar lehnte die DMK einen Antrag Schleswig-Holsteins zu „digital only“ ab. Demnach sollen Verwaltungsbehörden nur noch rein digitale Prozesse anbieten und auf papiergebundene Arbeit verzichten. Doch die Uneinigkeit sei nicht inhaltlich begründet, so Sinemus und Wildberger, sondern darin, bis wann dieses Ziel erreicht sein soll. Das Ziel digital only sehen der Koalitionsvertrag und die Föderale Modernisierungsagenda vor. „Der Weg führt klar in diese Richtung“, sagt Wildberger.

Mit KI zurück an die Spitze

Und dieser Weg ist gepflastert mit KI-Projekten. Nur so ließen sich laut Digitalminister ein durchgehend digitaler Staat erreichen und die Wettbewerbsfähigkeit Deutschlands stärken. Daher freut sich Wildberger nach eigenen Angaben auch über Deutschlands Wirkmacht beim KI-Omnibus auf EU-Ebene. Mit der jüngst erzielten Einigung erhalte die Industrie nun „mehr Freiraum“, so der Minister. Die Industrie solle auch bei der Umsetzung des Deutschland-Stacks eine wichtigere Rolle einnehmen.

Seinen Fokus auf generative KI hat Wildberger bereits zu seinem Amtsantritt eingenommen. Besonders deutlich wurde das etwa auf dem Gipfel zur Europäischen Digitalen Souveränität im November vergangenen Jahres und auf der Münchener Sicherheitskonferenz im vergangenen Februar. Im November begrüßte der Minister ausdrücklich die Kooperation des französischen KI-Start-ups Mistral und des deutschen Softwareunternehmens SAP, die nun gemeinsam eine KI-Lösung für die öffentliche Verwaltung bereitstellen wollen. Und er unterzeichnete die deutsch-kanadische Absichtserklärung für nachhaltige Rechenzentren und „wertebasierte KI-Politik“.

Diese wertebasierte Politik sieht der Minister etwa in der bundeseigenen KI-Plattform KIPITZ vom ITZBund und im „preisgekrönten Projekt SPARK“ umgesetzt. Damit sei Deutschland bei KI-basierten Verwaltungsanwendungen sogar „weltweit führend“, lässt sich der Minister auf der Projektwebsite zitieren. Unter dem Projekt SPARK seien demnach mehrere KI-gestützte Genehmigungsverfahren entwickelt worden, die Beschäftigte wirksam entlasten sollen. Neben der Bundesverwaltung würden sie bereits im Stadtstaat Hamburg und im Land Mecklenburg-Vorpommern zum Einsatz kommen, so Wildberger.

Generative KI versus Datenschutz

Mit SPARK will Wildberger auch die schleppende Verwaltungsdigitalisierung adressieren. Fachleute sehen den Ansatz des Ministers kritisch, weil er KI einsetzt, statt Informationen in maschinenlesbare Formate zu übertragen, was die Automatisierung der Verwaltung deutlich beschleunigen und effizienter machen würde. Der Minister füge dem Problemberg nur noch weitere Schichten hinzu, so die Kritik.

Gleichzeitig will Wildberger Hindernisse aus dem Weg räumen, die aus seiner Sicht einer Nutzung von KI-Sprachmodellen im Wege stünden. Ganz oben auf der Liste: der Datenschutz. Laut Föderaler Modernisierungsagenda will der Bund spätestens Ende 2027 eine neue Regelung im Bundesdatenschutzgesetz vorschlagen, „die es öffentlichen Stellen zum Zwecke des Trainings und Einsatzes von KI erlaubt, personenbezogene Daten zu anonymisieren oder zu pseudonymisieren“.

Auch brauche es „eine stärker risikobasierte Ausrichtung der Datenschutz-Grundverordnung“, heißt es in der Modernisierungsagenda weiter, um etwa die Arbeit von KI-Reallaboren zu erleichtern. Das betreffe unter anderem die Einwilligung von Betroffenen und die Zweckbindung der verwendeten Daten.

Nach der Datenschutzgrundverordnung (DSGVO) wie auch nach dem Bundesdatenschutzgesetz dürfen personenbezogene Daten grundsätzlich nicht verarbeitet werden, es sei denn die betroffene Person willigt ausdrücklich ein oder es gibt für den entsprechenden Fall eine gesetzliche Grundlage.

Offene Fragen spielen keine Rolle auf der Digitalministerkonferenz

Die bestehenden datenschutzrechtlichen Bestimmungen würden zu streng ausgelegt und übererfüllt, aus Angst, etwas falsch zu machen, sagte Wildberger am Mittwoch. Außerdem brauche es nicht 17 unterschiedliche Datenschutzgesetze und auch keine Pflicht für die Länder, eigene Datenschutzbeauftragte zu bestellen. Das alles bremse die Digitalisierung staatlicher Verwaltungsprozesse aus, etwa mit Blick auf den Datenaustausch zwischen Behörden.

Auch die Datennutzung, die für das Training von KI-Sprachmodellen eine wesentliche Voraussetzung ist, will der Minister erleichtern. Dazu müssten Bund und Länder an den geltenden Datenschutz-Rechtsrahmen ran, der sich mit dem Einsatz von KI nur schwer vereinbaren ließe, wie auch die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider im Dezember gegenüber netzpolitik.org sagte. So sei etwa unklar, wie man Betroffenenrechte und Löschansprüche bei KI-Systemen nach dem Training geltend macht, sagt Specht-Riemenschneider.

Derartige Fragen, die eigentlich einer größeren gesellschaftlichen Debatte bedürfen, tauchen im Beschluss zum „Paradigmenwechsel im Datenschutz“ der DMK allerdings nicht auf. Auch hier sind sich alle Beteiligten offenbar einig.

Ivanti warnt vor Sicherheitslücken im Endpoint Manager, einer Verwaltungssoftware für Benutzer und Geräte im Netzwerk. Insgesamt geht es um drei Sicherheitslecks – eines verpasst die Einstufung als „kritisch“ nur haarscharf.

In einer Sicherheitsmitteilung erörtert Ivanti die Sicherheitslecks. Eine SQL-Injection-Schwachstelle betrifft die Web-Konsole des Ivanti Endpoint Managers. Authentifizierte Angreifer können dadurch aus dem Netz Schadcode einschleusen und ausführen (CVE-2026-8111, CVSS 8.8, Risiko „hoch“). Falsche Rechtezuweisung im Agenten des Endpoint Managers ermöglicht zudem das Ausweiten der Rechte im System von lokal angemeldeten bösartigen Akteuren (CVE-2026-8110, CVSS 7.8, Risiko „hoch“).

Im Core-Server des Endpoint Managers können angemeldete Angreifer aus dem Netz Zugangsdaten abgreifen, da er eine „exponierte gefährliche Methode“ (exposed dangerous method, CWE-749) aufweist – Zugriffe darauf sind laut Definition nicht zureichend beschränkt (CVE-2026-8109, CVSS 6.5, Risiko „mittel“). Die zugehörige ZDI-Mitteilung weist einen niedrigeren CVSS-Wert aus und zugleich darauf hin, dass der bestehende Authentifizierungsmechanismus umgehbar ist.

Korrigierte Softwareversion

Ivanti gibt an, dass die Software-Version Ivanti EPM 2024 SU6 die Probleme beseitigt. Das Unternehmen erklärt außerdem, dass es keine Kenntnis davon hat, dass die Sicherheitslecks bereits attackiert würden. Daher könne es auch keine Hinweise auf (erfolgreiche) Angriffe (Indicators of Compromise, IOC) liefern. Die Schwachstellen hat demnach die Zero Day Initiative (ZDI) von Trend Micro (inzwischen unter der Marke TrendAI unterwegs) gemeldet. Trotz der Namensähnlichkeit seien die Lücken nicht im Endpoint Manager Mobile (EPMM) zu finden, führt Ivanti weiter aus.

IT-Verantwortliche sollten die Aktualisierung zügig installieren. Schwachstellen in Ivanti-Netzwerk-Verwaltungssoftware sind ein gefundenes Fressen für Cyberkriminelle. Vergangene Woche wurde etwa bekannt, dass Ivanti mit einem Update für EPMM Sicherheitslücken geschlossen hat, die bereits im Internet angegriffen wurden.

(dmk)