Aktuell läuft eine Phishing-Welle, die es auf Nutzerinnen und Nutzer des Passwort-Managers LastPass abgesehen hat. Dem Anbieter zufolge begann der Betrugsmailsversand etwa am Montag dieser Woche.

Davor warnt LastPass in einem aktuellen Blog-Beitrag. Die betrügerischen E-Mails stammen demnach von unterschiedlichen Absendern mit variierenden Betreffzeilen. Sie behaupten, dass LastPass eine Wartung vornehmen wolle, und drängen User, ein Backup ihrer Passwort-Vaults innerhalb der kommenden 24 Stunden vorzunehmen.

LastPass weist eindringlich darauf hin, dass das Unternehmen Kunden nicht darum bittet, Backups der Vaults in den nächsten 24 Stunden anzulegen. Es handele sich viel mehr um den Versuch bösartiger Akteure, eine Dringlichkeit beim Empfänger zu erzeugen, „eine übliche Vorgehensweise für Social Engineering und Phishing-E-Mails“, schreibt LastPass weiter. Der Zeitpunkt sei ebenfalls nach üblicher Taktik gewählt und falle auf ein Urlaubswochenende in den USA. Durch weniger arbeitende Menschen soll die Entdeckung der Phishing-Welle länger dauern.

Vermeintliche Backups der Passwort-Vaults

Der Call-to-Action-Button der Mail suggeriert, dass er Opfer auf eine Webseite bringt, auf der sie ein Backup ihres Passwort-Vaults anlegen können. Tatsächlich landen diejenigen, die ihn anklicken, jedoch auf der URL „group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf“, die ihrerseits eine Weiterleitung auf die URL „mail-lastpass[.]com“ vornimmt.

„Niemand bei LastPass wird jemals nach deinem Master-Kennwort fragen“, erklärt LastPass weiter. Das Unternehmen arbeitet mit Partnern daran, diese Domains so rasch wie möglich Hops zu nehmen. LastPass-Kunden sollten aufmerksam bleiben und im Zweifel der Echtheit einer LastPass-Mail dieser besser an die E-Mail-Adresse abuse@lastpass.com senden und dort verifizieren lassen.

Einige Hinweise für Phishing hat LastPass ebenfalls zusammengetragen. Darunter fallen folgende E-Mail-Adresse, URLs und IPs:

• „group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf“, IP-Adresse 52.95.155[.]90
• mail-lastpass[.]com,. IP-Adressen 104.21.86[.]78, 172.67.216[.]232 sowie 188.114.97[.]3
• support@sr22vegas[.]com, support@lastpass[.]server8, support@lastpass[.]server7, support@lastpass[.]server3
• IP-Adressen dazu 192.168.16[.]19 und 172.23.182.202

Die Mails tragen Betreffzeilen wie

• „LastPass Infrastructure Update: Secure Your Vault Now“
• „Your Data, Your Protection: Create a Backup Before Maintenance“
• „Don’t Miss Out: Backup Your Vault Before Maintenance“
• „Important: LastPass Maintenance & Your Vault Security“
• „Protect Your Passwords: Backup Your Vault (24-Hour Window)“

LastPass weckt des Öfteren Interesse von Cyberkriminellen. Etwa im September 2023 gab es Anzeichen dafür, dass Angreifer LastPass-Passworttresore kopiert und diese zu knacken versucht haben. Anfang 2024 hat LastPass dann an verbesserter Sicherheit gearbeitet, etwa mit einer Minimallänge von zwölf Zeichen für ein Masterkennwort und dessen Abgleich mit in Leaks bekanntgewordenen Passwörtern.

(dmk)

Eigentlich soll Dell IT-Sicherheitslösung Data Protection Advisor Computer schützen, doch mit bestimmten Versionen ist genau das Gegenteil der Fall und Angreifer können an zahllosen Sicherheitslücken ansetzen.

Viele Gefahren

Wie aus einer Warnmeldung hervorgeht, stuft der Computerhersteller die Auswirkungen von erfolgreichen Attacken insgesamt als „kritisch“ ein. Alle Schwachstellen betreffen Komponenten von Drittanbietern wie Apache Ant, libcurl und SQLite. Die Lücken sind zum Teil sechzehn Jahre alt. Warum die Entwickler die Schwachstellen erst jetzt schließen, ist bislang unklar. In der Warnmeldung sind 378 CVE-Einträge aufgelistet.

Darunter sind unter anderem Schadcodelücken in libcurl (CVE-2016-7167 „kritisch“) und Xstream (CVE-2021-39145 „hoch“). Aufgrund des Alters einiger Lücken liegt es nahe, dass einige der nun im Kontext von Data Protection Advisor geschlossenen Schwachstellen ausgenutzt werden. Dazu gibt es aber keinen Hinweis in Dells Warnmeldung.

Die Entwickler geben an, dass davon ausschließlich die Data-Protection-Advisor-Versionen 19.10 bis einschließlich 19.12 SP1 betroffen sind. Die Ausgabe 19.12 SP2 ist mit Sicherheitsupdates ausgerüstet.

Erst kürzlich hat Dell Sicherheitslücken in den Cloudspeicherlösungen ECS und ObjectScale geschlossen.

(des)

Für den Datenatlas Bund startet das Jahr aussichtslos. Das Metadaten-Portal sollte eigentlich die Arbeit der Bundesverwaltung vereinfachen: Behörden und Ministerien sollten damit interne Daten der Bundesverwaltung besser finden, verknüpfen und nutzen können. Doch nun hat die Bundesdruckerei den Datenatlas offline geschaltet. Das teilte eine Sprecherin des Bundesministeriums der Finanzen (BMF) auf Anfrage mit.

Das Ministerium hatte die Bundesdruckerei mit der Entwicklung des Datenatlas Bund beauftragt. Die setzte seit 2022 die Forderung aus der Datenstrategie des Bundes von 2021 um. In den einzelnen Ministerien waren die Datenlabore für den Datenatlas zuständig. Warum die Bundesdruckerei den Datenatlas vom Netz genommen hat, ist unklar.

Offiziell heißt es aus der Bundesdruckerei und dem BMF, das Vertragsverhältnis habe zum 31. Dezember 2025 geendet. „Damit endete auch der Betrieb durch uns als Dienstleister“, so die Bundesdruckerei. Auf ihrer Website bewirbt sie den Datenatlas noch immer damit, er sei modern, digital souverän und KI-fähig; über Social Media suggeriert ein Mitarbeiter, er bediene die Ansprüche einer datengetriebenen Verwaltung.

Datenatlas voller Mängel

Dass der Datenatlas weit weniger kann als beworben, zeigte ein unabhängiges wissenschaftliches Gutachten von David Zellhöfer. Der Professor von der Hochschule für Wirtschaft und Recht Berlin erstellte es eigeninitiativ und unentgeltlich und veröffentlichte es Anfang Dezember.

Zellhöfers Datengrundlage stammt aus dem Sommer 2025 und davor. Er wertete Aussagen von Mitarbeiter:innen der Datenlabore und einige Screenshots aus. Außerdem gewährten ihm einige Kolleg:innen aus der Bundesverwaltung Einblicke in das Metadaten-Portal über kurze Live-Demos. Seine direkte Anfrage nach Informationen für seine Forschung wies die Bundesdruckerei ab. Zellhöfers Fazit: In Teilen entspricht das Portal nicht einmal dem Stand der Technik von 1986.

Eigentlich sollte das Metadaten-Portal Datenbestände der öffentlichen Verwaltung für Behörden zugänglicher machen. Metadaten sind Daten über Daten, wie das Erstellungsdatum, der Dateityp oder der Speicherort. Doch habe es dem Datenatlas an grundlegenden Funktionalitäten gemangelt.

Beispielsweise habe es im Datenatlas keine explorative Suche gegeben, wie man das etwa von Suchmaschinen kennt, sondern nur eine gerichtete Suche. Dementsprechend hätten Suchende immer genau wissen müssen, welches Dokument oder welchen Datensatz sie suchen. Auch kontrollierte Vokabulare hätten gefehlt: Damit Verwaltungsmitarbeiter:innen Dokumente finden können, sollten die mit denselben Schlagwörtern belegt werden. Das sei im Datenatlas nicht umgesetzt worden. Problematisch sei das etwa bei Tippfehlern. Darunter leide nicht nur die Datenqualität. Auch die Trefferlisten seien aufgrund der gerichteten Suche unvollständig gewesen.

Auch grundlegende Suchfunktionen wie den Einsatz von Suchoperatoren seien im Datenatlas nur sehr eingeschränkt möglich gewesen, zum Beispiel hätten Mitarbeiter:innen die Operatoren „UND“, „ODER“ oder „NICHT“ nicht anwenden können.

Nicht mehr zuständig

Im Dezember hüteten die Bundesdruckerei und das BMF den Datenatlas noch wie ein Staatsgeheimnis. Gegenüber netzpolitik.org betonten beide: Der Datenatlas sei nicht „für die Nutzung durch die Öffentlichkeit“ bestimmt. Zellhöfer hielten sie vor, das Gutachten sei nicht beauftragt worden. Die Bundesdruckerei erwog sogar „rechtliche Schritte“ gegen den Gutachter.

Erst als das Gutachten Aufmerksamkeit bekam, lenkte die Bundesdruckerei ein und versicherte gegenüber netzpolitik.org, die von Zellhöfer angeführten Mängel bestünden nicht. Seine Datengrundlage hätte den Stand des Datenatlas im Sommer 2025 abgebildet, die Mängel scheinen also in der zweiten Jahreshälfte behoben worden zu sein. Offiziell habe die Bundesdruckerei die Entwicklung des Datenatlas bereits im ersten Quartal 2025 abgeschlossen, sagt das BMF heute.

Nun ist der Datenatlas offline. Sie seien für das Projekt nicht mehr zuständig, heißt es sowohl von der Bundesdruckerei als auch vom BMF. Letzteres erklärte gegenüber netzpolitik.org, man könne keine weitergehenden Fragen zur Umsetzung der Datenstrategie beantworten; bis Ende 2025 habe man „alle Maßnahmen zu einer Übergabe des Datenatlas Bund durchgeführt“.

Digitalministerium lehnt ab

Übernehmen sollte den Datenatlas das Bundesministerium für Digitales und Staatsmodernisierung (BMDS). Doch das lehnt eine „Übernahme des BMF-Projekts im aktuellen Projekt-Stadium“ als „nicht wirtschaftlich“ ab, so ein Sprecher des Ministeriums gegenüber netzpolitik.org.

Nach „intensiver Prüfung“ habe sich gezeigt, dass der Datenatlas Bund „trotz intensiver Bemühungen“ kaum genutzt werde. Um daraus ein „wirksames Tool“ zu machen, müsse außerdem noch viel Entwicklungsarbeit hineinfließen.

Ob das Ministerium die Entwicklung eines neuen Metadaten-Portals anstoßen wird, bleibt offen. Grundsätzlich liefere ein solches Portal „eine wichtige Grundlage für eine effiziente Datennutzung in der Bundesverwaltung“. Bei einer neuen Version wolle man „die im Projekt Datenatlas Bund gewonnenen Erkenntnisse“ berücksichtigen, um sicherzugehen, dass bereits getätigte Investitionen weitergenutzt werden können.

Zellhöfers grobe Wirtschaftlichkeitsbetrachtung veranschlagt als Gesamtkosten des Datenatlas gut 2,3 Millionen Euro. Die Gesamtausgaben für den Datenatlas Bund hätten seit Beginn etwa 24,6 Millionen Euro betragen, so die Sprecherin des BMF auf Anfrage. Mutmaßlich liegen die Kosten deutlich darüber, so äußerten sich zumindest anonyme Quellen gegenüber Zellhöfer.