Angreifer können Systeme mit Adobe-Anwendungen attackieren und im schlimmsten Fall Schadcode ausführen. Sicherheitsupdates stehen im Rahmen des Adobe-Patchdays zum Download bereit.

Die Sicherheitslücken finden sich in Format Plugins, InCopy, InDesign, Illustrator, Illustrator on iPad, Photoshop, Pass und Substance 3D Stager. In den meisten Fällen können Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler auslösen und im Anschluss eigenen Code ausführen. Davon sind die Apps unter den Betriebssystemen Android, macOS und Windows betroffen. Bislang gibt es keine Berichte zu Attacken.

Adobes Entwickler versichern, die Schwachstellen in den folgenden Ausgaben geschlossen zu haben:

• Format Plugins 1.1.2
• InDesign ID 20.5.1, ID21.0
• Illustrator on iPad 3.0.10
• Illustrator 2025 29.8.3, 2026 30.0
• Photoshop 2025 26.9
• Substance 3D Stager 3.1.6
• InCopy 20.5.1, 21.0
• Pass Authentication Android SDK 3.8.0

Im Oktober hatte Adobe insgesamt zwölf Sicherheitsmitteilungen zu Schwachstellen in den Kreativ-Apps aus dem Hause veröffentlicht.

(des)

Die deutsche Bundesregierung erachtet die Sicherheit der IKT-Systeme des Kanzleramts als Staatsgeheimnis. Sie weigert sich daher, wesentliche Informationen zur IT-Sicherheit der Regierungszentrale preiszugeben. Die Regierung begründet diesen außergewöhnlichen Schritt in ihrer jetzt veröffentlichten Antwort auf eine Anfrage der AfD-Bundestagsfraktion so: Sämtliche Auskunft zu dem Thema berührten derart schutzbedürftige Geheimhaltungsinteressen, dass das Staatswohl dem parlamentarischen Auskunftsrecht überwiege.

Selbst die Einstufung der Information als Verschlusssache (VS) und deren Hinterlegung bei der Geheimschutzstelle des Bundestages wäre zu riskant, sagt das Kanzleramt. Denn auch ein geringfügiges Risiko des Bekanntwerdens könne unter keinen Umständen hingenommen werden.

Die IT-Sicherheitslage sei „angespannt bis kritisch“. Staatliche Akteure und andere Kriminelle professionalisierten ihre Arbeitsweise und agierten zunehmend aggressiv. Die Situation habe sich durch den russischen Angriffskrieg auf die Ukraine und die daraus resultierenden vermehrten Angriffe auf Verbündete wie Deutschland weiter verschärft. Die stetig wachsende Komplexität der IT-Landschaft und die zunehmende Vernetzung erweiterten ferner die Angriffsflächen.

Bundes-IT wäre enorm gefährdet

Die Veröffentlichung von Details über Resilienz und Schutzmaßnahmen der Bundes-IT würde diese erheblich gefährden, schreibt das Kanzleramt. Angaben etwa zur Anzahl, zum Ort und zur Ausstattung von Rechenzentren, den Ergebnissen technischer Sicherheitsüberprüfungen und der Entwicklung der IT-Sicherheitsstellen könnten potenziellen Übeltätern konkrete Hinweise auf die im Kanzleramt eingesetzten Schutzmaßnahmen liefern. Insbesondere in Zusammenschau mit anderen Regierungsantworten und unter Nutzung von Techniken KI wären Angreifer in der Lage, Schwachstellen gezielt auszumachen und daraus konkrete Angriffsvektoren abzuleiten.

Eine solche Preisgabe der Verteidigungsstrategie würde die Lage in den Dimensionen Bedrohung, Angriffsfläche, Gefährdung und Schadwirkung dramatisch verschlechtern, heißt es in der Nicht-Antwort. Dies könnte „unmittelbar die Gewährleistung der Handlungsfähigkeit der Bundesregierung gefährden“.

BSI ist gegen Security by Obscurity

Das Kanzleramt macht lediglich einzelne operationelle Angaben: Alle einschlägigen Rechenzentren verfügten über Notstromversorgung. Die Funktionsfähigkeit des Kanzleramtes werde durch redundante Systeme gesichert.

Kritik des Bundesrechnungshofes werde bei einem kontinuierlichen Verbesserungsprozess berücksichtigt. Derzeit seien keine Stellen im IT-Sicherheitsbereich unbesetzt. Generell sieht die Regierung die Notwendigkeit, die IT-Systeme des Kanzleramtes besonders zu schützen, was sich im Entwurf zur Umsetzung der NIS-2-Richtlinie niedergeschlagen habe.

Security by Obscurity (Sicherheit durch Verschleierung) funktioniert Experten zufolge nicht als primäre oder alleinige Sicherheitsstrategie, da sie Angreifer allenfalls kurzzeitig bremst. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, da Angreifer automatisierte Werkzeuge nutzten und damit regelmäßig Schwachstellen in verborgenen Systemen fänden.

(ds)

Fast ein Jahr hatte das Verfahren vor dem Landgericht München gedauert. Am Dienstag gab das Gericht dann der Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte (GEMA) recht. Die GEMA verwaltet die Lizenzrechte zu den Werken vieler tausend Musiker*innen und hatte gegen den ChatGPT-Entwickler OpenAI geklagt. Das Gericht urteilte, OpenAI dürfe urheberrechtlich geschützte Songtexte nicht ohne eine entsprechende Lizenz verwenden. Außerdem verurteilte es OpenAI zu Schadensersatz. Das Urteil ist noch nicht rechtskräftig.

Bereits im November 2024 hatte die GEMA eine Klage gegen den US-amerikanischen Technologiekonzern eingereicht. Der Vorwurf: OpenAI benutze gesichert GEMA-Werke, um seine KI zu trainieren, zum Beispiel „In der Weihnachtsbäckerei“ von Rolf Zuckowski. Streitgegenstand war die Frage, ob ChatGPT diese memorisiert und dann auf Anfrage reproduziert oder nur aus ihnen lernt und sehr ähnliche Texte neu produziert.

Das Gericht schloss sich der ersteren Position und damit der GEMA an. Prof. Silke von Lewinski, Wissenschaftliche Referentin am Max-Planck-Institut für Innovation und Wettbewerb, sieht darin ein Urteil von „grundlegender Bedeutung für alle Werke, sei es Literatur, journalistische Texte, Musik, bildende Kunst, Fotografie oder jegliche andere Werke, die für Generative KI benutzt werden“.

KI-Unternehmen sollen für geschützte Werke zahlen

Es ist allerdings zu erwarten, dass OpenAI das Urteil nicht auf sich beruhen lassen wird. Auch eine Weiterverweisung an den Europäischen Gerichtshof wäre wohl möglich. OpenAI beharrt darauf, dass ChatGPT die Songtexte durch eine „sequenziell-analytische, iterativ-probabilistische Synthese“ selbst neu erstellt hätte und diese keineswegs einfach kopiert seien.

Die Klage gegen OpenAI ist nicht die einzige der GEMA gegen einen KI-Anbieter. Im Januar 2025 reichte der Verein zusätzlich Klage gegen Suno AI ein, eine Plattform, die mithilfe von Künstlicher Intelligenz Musik generiert. Suno AI erstelle Lieder, die von der GEMA geschützten Werken wie „Cheri Cheri Lady“ oder „Daddy Cool“ zum verwechseln ähnlich seien, so der Vorwurf der GEMA. Eine Anhörung hat bis jetzt noch nicht stattgefunden.

Die GEMA verfolgt mit den Klagen das Ziel, ein Lizenzmodell durchzusetzen. Wer seine KI-Modelle mit einem bestehenden Lied trainieren will, soll dafür zahlen. Ein entsprechendes Lizenz-Modell für generative KI hatte die GEMA im vergangenen Jahr eingeführt. „Die Songs unserer Mitglieder sind nicht der kostenlose Rohstoff für die Geschäftsmodelle der Anbieter generativer KI-Systeme“ sagt GEMA-CEO Tobias Holzmüller in einem Statement auf der Website. „Wer diese Songs verwenden möchte, muss eine Lizenz erwerben und die Urheberinnen und Urheber fair vergüten.“