Datenschutz & Sicherheit
USA: Regierung erlässt KI-Executive Order „Gold Eagle“
Die Trump-Regierung setzt ihren KI-Kurs in der Cybersicherheit fort: Wie das Weiße Haus mitteilte, ist mit „Gold Eagle“ das erste operative Programm aus dem Anfang Juni unterzeichneten KI-Erlass an den Start gegangen. Das Clearinghouse soll Regierungsbehörden und privaten Unternehmen wie „Open source Sortware-Partnern“ und Betreibern von kritischer Infrastruktur eine gemeinsame Plattform bieten, um Cyberschwachstellen gemeinsam zu bearbeiten.
Weiterlesen nach der Anzeige
Das Programm geht auf die Executive Order 14409 zurück, die Präsident Donald Trump am 2. Juni 2026 unter dem Titel „Promoting Advanced Artificial Intelligence Innovation and Security“ unterzeichnete. Gold Eagle soll hier als „Force Multiplier“ wirken – also die bestehenden Kapazitäten von Staat und Wirtschaft bündeln, statt sie nebeneinander arbeiten zu lassen. Laut dem Weißem Haus geht es darum, doppelte Scan-Bemühungen zu vermeiden und stattdessen validierte Schwachstellen gezielt an Teams aus der Industrie und der Regierung weiterzureichen.
Beteiligt sind neben dem Weißen Haus das US-Finanzministerium, das Heimatschutzministerium durch seine Cybersicherheitsbehörde CISA sowie das Pentagon. Finanzminister Scott Bessent erklärte laut der Mitteilung des Weißen Hauses, sein Haus arbeite „Hand in Hand mit dem Privatsektor, um Finanzinstitutionen zu schützen, Schwachstellen zu schließen und die Integrität des US-Finanzsystems zu wahren“.
Kontext: Exportkontrollen und europäische Gegenreaktion
Gold Eagle kommt nicht aus dem luftleeren Raum. Die US-Regierung versucht schon seit einiger Zeit, Kontrolle über die KI-Modelle von großen US-Anbietern zu bekommen – in der Regel mit der Begründung „aufgrund von Sorgen um die Cybersicherheit“. Erst Mitte Juni hatte die US-Regierung Anthropic angewiesen, den Zugang zu seinen Frontier-Modellen Mythos 5 und Fable 5 weltweit zu sperren – auch für Ausländer innerhalb der USA. Auslöser war ein entdeckter Jailbreak, der Schutzmechanismen aushebeln und die leistungsfähigen Cybersecurity-Funktionen von Mythos 5 ohne Restriktionen nutzbar machen konnte. Die US-Regierung befürchtete, das Verbraucherprodukt Fable 5 könnte so zu einer unkontrollierbaren Cyberwaffe werden. Ende Juni hob das Handelsministerium die Sperren nach mehr als zwei Wochen wieder auf.
Ähnlich verfuhr die Regierung bei OpenAI: Dessen neues KI-Modell GPT-5.6 mit der leistungsstärksten Variante „Sol“ wurde von vornherein nur einem kleinen Kreis vertrauenswürdiger Partner zugänglich gemacht – auf Forderung der US-Behörden. Anders als bei Anthropic, wo das Modell erst veröffentlicht und dann zurückgezogen werden musste, ging OpenAI den Weg der kontrollierten Freigabe von Anfang an.
Die zwischenzeitlichen Sperren lösten in Europa Besorgnis aus. Die EU-Kommission arbeitet seitdem an einem Aktionsplan, der bis Jahresende konkrete Notfallmaßnahmen entwickelt, für den Fall, dass ein Drittstaat den Zugang zu sicherheitsrelevanter KI einschränkt. EU-Digitalkommissarin Henna Virkkunen betonte, Europa könne sich „bei Fähigkeiten, die entscheidend für unsere Sicherheit sind, nicht allein auf außereuropäische Lösungen verlassen“. Die Kommission will den Leitfaden gemeinsam mit der EU-Cybersicherheitsagentur Enisa erarbeiten und eine Testplattform für KI-Modelle aufbauen.
Weiterlesen nach der Anzeige
(rie)
Datenschutz & Sicherheit
SonicWall SMA1000: Angriffe auf teils kritische Zero-Day-Lücken
SonicWall warnt vor Angriffen auf zwei Sicherheitslücken in den SonicWall-SMA1000-Appliances. Ein Hotfix steht bereit, um die Zero-Day-Lücken zu schließen. IT-Verantwortliche sollten zügig handeln.
Weiterlesen nach der Anzeige
In einer Sicherheitsmitteilung schreibt SonicWall, dass eine Server-Side-Request-Forgery (SSRF) im Work-Place-Interface der SMA1000-Appliances dazu führen kann, Anfragen an eigentlich nicht zugängliche Bereiche zu senden (CVE-2026-15409, CVSS 10.0, Risiko „kritisch“). Eine zweite Sicherheitslücke ermöglicht das Einschleusen von Code in die Appliance-Management-Console (AMC) der SMA1000. Angemeldete Angreifer aus dem Netz können dadurch beliebige Befehle im Betriebssystem ausführen (CVE-2026-15410, CVSS 7.2, Risiko „hoch“).
Mehrere Angriffe beobachtet
Das PSIRT von SonicWall hat mehrere Fälle untersucht, die auf aktiven Missbrauch dieser Schwachstellen hindeuten, schreibt der Hersteller. Das Unternehmen empfiehlt Kunden daher dringend, so schnell wie möglich den bereitstehenden Hotfix zu installieren. Auch die US-amerikanische IT-Sicherheitsbehörde CISA hat beide Schwachstellen in den „Known Exploited Vulnerabilities“-Katalog aufgenommen und bestätigt die Angriffe in freier Wildbahn damit.
Laut SonicWall sind die SMA1000-Modelle 6210, 7210 und 8200v betroffen, sofern sie die Firmware-Versionen 12.4.3-03245, 12.4.3-03387 und 12.4.3-03434 oder 12.5.0-02283, 12.5.0-02624 und 12.5.0-02800 einsetzen. Temporäre Gegenmaßnahmen nennt SonicWall nicht, lediglich die Aktualisierung auf die Hotfix-Versionen 12.4.3-03453 respektive 12.5.0-02835 oder neuere Firmwares helfen, die Lücken zu schließen.
Administratoren können ihre SMA1000-Appliances zudem auf Angriffspuren untersuchen. SonicWall nennt in der Sicherheitsmitteilung einige Indicators of Compromise (IOC), die Angriffe etwa in den Log-Dateien hinterlassen. Sofern erfolgreiche Angriffe dabei entdeckt werden, sollen Admins die Hardware mit einem neuen, sauberen Image versorgen, Nutzer- und Administrator-Kennwörter ändern und die TOTP-Tokens zurücksetzen.
Ende April hatte SonicWall zuletzt relevante Sicherheitslücken in SonicOS gemeldet. Eine davon galt als hochriskant.
Weiterlesen nach der Anzeige
(dmk)
Datenschutz & Sicherheit
Daten-Skandal: Schufa speichert alte Datensätze über Millionen von Menschen
Die Schufa, die größte Wirtschaftsauskunftei des Landes, besitzt neben ihren aktuellen Daten eine Schattendatenbank mit historischen und veralteten Daten über Millionen von Menschen. Das hat eine gemeinsame Recherche von NDR und Süddeutscher Zeitung herausgefunden. Die Schufa bewertet die Kreditwürdigkeit von Menschen, zu ihren Kunden gehören unter anderem Banken, Energieversorger oder Telekommunikationsunternehmen.
Laut der Recherche handelt es sich bei den Daten um „alte Kredite und Kreditkarten, Pfändungen und Privatinsolvenzen, Schulden, die die Betroffenen oft schon vor Jahren beglichen haben“. Es seien Daten, die die Schufa schon längst gelöscht haben müsste, so der Bericht weiter. Die sensiblen Daten könnten großen Schaden anrichten.
Wenn Menschen bei der Schufa anfragen, welche Daten diese über sie gespeichert hat, gibt die Auskunftei diese historischen Informationen nicht an. In der Süddeutschen heißt es: „Auf der offiziellen Datenkopie, die Verbraucher bei der Schufa anfordern können, tauchen diese Informationen nicht auf.“ Laut der Datenschutzgrundverordnung müssen in der Regel alle, die Daten über Menschen bereithalten, diese bei Auskunftsersuchen auch offenlegen.
Die Schufa schreibt mittlerweile auf ihrer Website selbst: „Wir weisen historische Daten auf der Datenkopie nach Art. 15 DSGVO nicht gesondert aus.“ Das erfülle nach Rechtsauffassung der Schufa den Auskunftsanspruch. „Verbraucherinnen und Verbraucher wollen vor allem wissen, wie es aktuell um ihre Bonität steht und welche Daten Einfluss auf Ihren Score haben“, so die Auskunftei.
„Keine Rechtsgrundlage“
Laut der Süddeutschen Zeitung nutzt die Schufa die alten Daten, um ihren Kunden zu zeigen, wie gut der neue Schufa-Score funktioniert. Die Daten werden also zu Werbe- und Demonstrationszwecken genutzt. Dies widerspricht nach gängiger Ansicht von Datenschützer:innen dem Grundsatz der Datensparsamkeit, der in der DSGVO festgelegt ist. Mehrere Daten- und Verbraucherschützer:innen, mit denen NDR und Süddeutsche gesprochen haben, wie Ruth Janal, Expertin für Datenschutz und Professorin an der Universität in Bayreuth, sehen für die Praxis „keine Rechtsgrundlage“. Janal verweist in diesem Zusammenhang auch auf die Zweckbindung von Datenspeicherungen, die gesetzlich vorgeschrieben ist.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Gegenüber dem NDR sagt Janal: „Eine dauerhafte Speicherung solcher historischen Daten auf Vorrat für unbestimmte zukünftige Zwecke ist nach der Rechtsprechung des Europäischen Gerichtshofes nicht zulässig“. Zwar könne es zulässig sein, dass alte Daten gespeichert werden, um die Zuverlässigkeit des Scores zu prüfen. „Aber das ließe sich auch mit einem deutlich kleineren Datensatz ermöglichen“, so Janal auf tagesschau.de.
Datenschutzbeauftragter eingeschaltet
Die Schufa hingegen sieht sich im Recht. Gegenüber SZ und NDR sagt sie, dass sie nicht mit einer „historischen Datenbank“ arbeite, sondern „historische Daten zu Datenschutzkontroll‑, Test‑, Entwicklungs- und Rechtsverteidigungszwecken“ speichere. Die Daten seien „archivierte Datensätze“ und die Schufa sei dazu verpflichtet, diese aufzubewahren.
Der Skandal geht noch über die Schattendatenbank hinaus. Laut der Recherche können Kunden der Schufa auch historische Schufa-Scores, also die Kreditwürdigkeit von Menschen zu einem Zeitpunkt in der Vergangenheit, abrufen. Laut der Recherche tun einige Kunden dies auch. Die Bayreuther Professorin Ruth Janal sagt zu dieser Praxis gegenüber der SZ, dass diese Daten „die Vertragspartnerinnen der Schufa schlicht überhaupt nichts angehen“. Die Schufa hingegen hält auch diese Praxis für legal.
Laut der Recherche ist der Hessische Datenschutzbeauftragte seit mehr als einem Jahr mit der Prüfung der Datentests und der Frage nach Auskunft über die alten Daten befasst. Die Prüfung dauert an.
Datenschutz & Sicherheit
Microsoft-Patchday: Neuer Rekord mit 622 gefixten Schwachstellen
Die Schwemme an Schwachstellenmeldungen macht auch vor Microsoft nicht halt. Die „Vulnocalypse“ nötigt das Unternehmen, am Juli-Patchday gleich 622 Schwachstellen in diversen Produkten aus dem Portfolio zu behandeln. Einige Schwachstellen waren bereits bekannt, andere werden schon im Netz aktiv angegriffen.
Weiterlesen nach der Anzeige
Microsoft liefert einen Überblick über die geschlossenen Schwachstellen am Patchday. Rund 60 der Sicherheitslücken stuft Microsoft als „kritisches“ Sicherheitsrisiko ein. Alleine in Windows haben die Entwickler sich demnach um 416 Schwachstellen gekümmert, darauf folgen Office und Office 2016 mit jeweils geschlossenen 82 Sicherheitslücken. Der Chromium-basierte Webbrowser Edge steuerte weitere 46 Sicherheitslecks zur Statistik bei. An fünfter Stelle findet sich bereits der SharePoint-Server mit 17 neuen CVE-Schwachstelleneinträgen, den es nun härter erwischt hat.
Bereits angegriffene Sicherheitslücken
Angreifer missbrauchen bereits eine fehlende Authentifizierung zur Ausweitung ihrer Rechte in SharePoint – dazu müssen sie zuvor nicht einmal angemeldet sein (CVE-2026-56164, CVSS 5.3, Risiko „mittel“). Davor warnt auch die US-amerikanische IT-Sicherheitsbehörde CISA. Die Behörde hat zudem eine dringende Anleitung veröffentlicht, nach der Admins ihre On-Premises-SharePoint-Server härten und gegen Angriffe schützen sollen. Auch in den Active Directory Federation Services (AD FS) machen sich Angreifer eine unzureichende Zugriffsrechte-Abstufung zunutze, um ihre Rechte in AD-Infrastrukturen auszuweiten (CVE-2026-56155, CVSS 7.8, Risiko „hoch“). Trend Micros Zero Day Initiative (ZDI) empfiehlt die zügige Prüfung und Installation des Patches, da die Lücke mit weiteren Codeschmuggel-Lücken zusammen etwa für Ransomware-Angriffe missbraucht werden kann.
Eine Sicherheitslücke ermöglicht die Umgehung der BitLocker-Verschlüsselung und ist bereits öffentlich bekannt, merkt Microsoft weiter an (CVE-2026-50661). Bereits am Juni-Patchday hatte Microsoft mehrere Defender- und BitLocker-Probleme gelöst, die der IT-Sicherheitsforscher mit dem Handle „Nightmare Eclipse“ zuvor publik gemacht hat. Ohne konkrete Auflistung haben die Microsoft-Entwickler zudem 428 CVE-Einträge für die Chromium-Basis des Edge-Webbrowsers veröffentlicht, die nicht von Microsoft selbst stammen.
IT-Verantwortliche sowie Nutzerinnen und Nutzer von Microsoft-Software sollten die Patches gegebenenfalls in ihren Umgebungen testen und zügig anwenden, um die Angriffsfläche für Cyberkriminelle zu minimieren.
(dmk)
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
UX/UI & Webdesignvor 1 WocheRegional & mit Gefühl: Identity für Klimafonds Baden-Württemberg › PAGE online
-
Künstliche Intelligenzvor 3 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Apps & Mobile Entwicklungvor 3 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Künstliche Intelligenzvor 3 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
-
UX/UI & Webdesignvor 2 MonatenHornbach – und die anderen Gewinner der ADC Annual Awards New York! › PAGE online
-
Apps & Mobile Entwicklungvor 3 MonatenMutter Palit dementiert: Gerüchteküche beerdigt fälschlicherweise Galax/KFA²
