Connect with us

Datenschutz & Sicherheit

USA: Regierung erlässt KI-Executive Order „Gold Eagle“


Die Trump-Regierung setzt ihren KI-Kurs in der Cybersicherheit fort: Wie das Weiße Haus mitteilte, ist mit „Gold Eagle“ das erste operative Programm aus dem Anfang Juni unterzeichneten KI-Erlass an den Start gegangen. Das Clearinghouse soll Regierungsbehörden und privaten Unternehmen wie „Open source Sortware-Partnern“ und Betreibern von kritischer Infrastruktur eine gemeinsame Plattform bieten, um Cyberschwachstellen gemeinsam zu bearbeiten.

Weiterlesen nach der Anzeige

Das Programm geht auf die Executive Order 14409 zurück, die Präsident Donald Trump am 2. Juni 2026 unter dem Titel „Promoting Advanced Artificial Intelligence Innovation and Security“ unterzeichnete. Gold Eagle soll hier als „Force Multiplier“ wirken – also die bestehenden Kapazitäten von Staat und Wirtschaft bündeln, statt sie nebeneinander arbeiten zu lassen. Laut dem Weißem Haus geht es darum, doppelte Scan-Bemühungen zu vermeiden und stattdessen validierte Schwachstellen gezielt an Teams aus der Industrie und der Regierung weiterzureichen.

Beteiligt sind neben dem Weißen Haus das US-Finanzministerium, das Heimatschutzministerium durch seine Cybersicherheitsbehörde CISA sowie das Pentagon. Finanzminister Scott Bessent erklärte laut der Mitteilung des Weißen Hauses, sein Haus arbeite „Hand in Hand mit dem Privatsektor, um Finanzinstitutionen zu schützen, Schwachstellen zu schließen und die Integrität des US-Finanzsystems zu wahren“.

Gold Eagle kommt nicht aus dem luftleeren Raum. Die US-Regierung versucht schon seit einiger Zeit, Kontrolle über die KI-Modelle von großen US-Anbietern zu bekommen – in der Regel mit der Begründung „aufgrund von Sorgen um die Cybersicherheit“. Erst Mitte Juni hatte die US-Regierung Anthropic angewiesen, den Zugang zu seinen Frontier-Modellen Mythos 5 und Fable 5 weltweit zu sperren – auch für Ausländer innerhalb der USA. Auslöser war ein entdeckter Jailbreak, der Schutzmechanismen aushebeln und die leistungsfähigen Cybersecurity-Funktionen von Mythos 5 ohne Restriktionen nutzbar machen konnte. Die US-Regierung befürchtete, das Verbraucherprodukt Fable 5 könnte so zu einer unkontrollierbaren Cyberwaffe werden. Ende Juni hob das Handelsministerium die Sperren nach mehr als zwei Wochen wieder auf.

Ähnlich verfuhr die Regierung bei OpenAI: Dessen neues KI-Modell GPT-5.6 mit der leistungsstärksten Variante „Sol“ wurde von vornherein nur einem kleinen Kreis vertrauenswürdiger Partner zugänglich gemacht – auf Forderung der US-Behörden. Anders als bei Anthropic, wo das Modell erst veröffentlicht und dann zurückgezogen werden musste, ging OpenAI den Weg der kontrollierten Freigabe von Anfang an.

Die zwischenzeitlichen Sperren lösten in Europa Besorgnis aus. Die EU-Kommission arbeitet seitdem an einem Aktionsplan, der bis Jahresende konkrete Notfallmaßnahmen entwickelt, für den Fall, dass ein Drittstaat den Zugang zu sicherheitsrelevanter KI einschränkt. EU-Digitalkommissarin Henna Virkkunen betonte, Europa könne sich „bei Fähigkeiten, die entscheidend für unsere Sicherheit sind, nicht allein auf außereuropäische Lösungen verlassen“. Die Kommission will den Leitfaden gemeinsam mit der EU-Cybersicherheitsagentur Enisa erarbeiten und eine Testplattform für KI-Modelle aufbauen.

Weiterlesen nach der Anzeige


(rie)



Source link

Datenschutz & Sicherheit

BSI seziert Windows Hello: Wo Microsofts Anmeldung an Grenzen stößt


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die erste technische Analyse aus seinem Projekt „Windows seziert“ veröffentlicht. Die 169 Seiten lange Untersuchung nimmt Windows Hello for Business (WHfB) auseinander – Microsofts Anmeldung per PIN oder Biometrie für Unternehmensumgebungen. Anders als die offizielle Dokumentation beschreibt die Analyse nicht nur die Architektur, sondern rekonstruiert zahlreiche interne Abläufe per Reverse Engineering und bewertet sie aus Sicht eines Angreifers mit lokalen Administratorrechten.

Weiterlesen nach der Anzeige

Windows Hello for Business ersetzt klassische Passwörter durch schlüsselbasierte Anmeldungen. Nutzer authentifizieren sich lokal per PIN oder biometrischem Merkmal wie Gesicht oder Fingerabdruck. Das eigentliche Geheimnis – ein kryptografischer Schlüssel – bleibt auf dem Gerät, idealerweise geschützt durch das Trusted Platform Module (TPM). Gegenüber Active Directory oder Microsoft Entra ID weist sich anschließend nicht das Passwort, sondern das Gerät mit diesem Schlüssel aus.

Die Analyse des BSI bestätigt diesen grundsätzlichen Aufbau von Windows Hello for Business. Gleichzeitig beschreibt sie mehrere Einschränkungen und Angriffsmöglichkeiten, die Microsoft zwar teilweise erwähnt, aber deutlich weniger ausführlich bewertet.

Eine der wichtigsten Erkenntnisse betrifft die Rolle des TPM. In der offiziellen Dokumentation gilt es als zentrale Schutzkomponente von Windows Hello. Laut BSI trifft das jedoch nicht uneingeschränkt zu.

Ohne den Sicherheitsmodus Enhanced Sign-in Security (ESS) schützt das TPM die biometrischen Vorlagen für die Gesichtserkennung nicht direkt. Diese werden zwar verschlüsselt auf dem lokalen System gespeichert, der dafür benötigte Schlüssel bleibt jedoch ebenfalls lokal verfügbar. Nach Einschätzung des BSI können lokale Administratoren deshalb sowohl die Datenbank als auch die gespeicherten Templates entschlüsseln.

Erst mit aktiviertem ESS ändert sich dieses Sicherheitsmodell grundlegend. Dann werden sicherheitskritische Teile der biometrischen Verarbeitung in eine durch Virtualization-based Security (VBS) geschützte Umgebung verlagert. Zusätzlich kommt das TPM unter anderem für HMAC-basierte Autorisierungstickets und Replay-Schutz zum Einsatz.

Das BSI empfiehlt deshalb ausdrücklich, ESS zu aktivieren – sofern geeignete Hardware vorhanden ist. Gleichzeitig weist die Behörde darauf hin, dass bislang nur sehr wenige Sensoren diesen Modus vollständig unterstützen. Bereits 2023 hatten Sicherheitsforscher mehrere Fingerabdrucksensoren für Windows Hello angegriffen.

Weiterlesen nach der Anzeige

Besonders kritisch bewertet die Studie die Sicherheitsannahmen hinter biometrischer Anmeldung. Das BSI argumentiert, dass biometrische Merkmale im Gegensatz zu einer PIN keine zusätzliche Entropie in das System einbringen.

Der Unterschied liegt im Ablauf der Anmeldung. Eine PIN liefert bei jeder Anmeldung neues Wissen des Benutzers. Biometrische Merkmale dienen dagegen lediglich dazu, lokal den Zugriff auf bereits vorhandenes Schlüsselmaterial freizugeben. Für einen Angreifer mit administrativen Rechten befinden sich damit alle für die Authentifizierung benötigten Komponenten bereits auf dem Rechner.

Deshalb bewertet das BSI eine ausreichend lange PIN in Kombination mit TPM und dessen Brute-Force-Schutz teilweise günstiger als die biometrische Anmeldung ohne ESS. Diese Einschätzung gilt allerdings ausdrücklich für das Bedrohungsmodell eines Angreifers mit lokalen Administratorrechten. Vor typischen Angriffen wie Phishing oder Passwortdiebstahl schützt Windows Hello for Business wie gehabt, indem das eigentliche Authentifizierungsgeheimnis das Gerät nicht verlässt.

Aus der Analyse leitet das BSI außerdem eine ungewöhnlich konkrete Empfehlung für Unternehmen ab: Pro Gerät sollte möglichst nur ein Benutzer für Windows Hello registriert werden.

Grund ist die lokale Verwaltung der biometrischen Datenbank: Befindet sich auf einem Rechner bereits das biometrische Template eines anderen Domänenbenutzers, könnte ein lokaler Administrator dieses theoretisch manipulieren oder dessen Identität übernehmen. Voraussetzung dafür ist allerdings, dass der betreffende Benutzer zuvor bereits auf genau diesem Gerät registriert wurde.

Die Behörde ordnet dieses Risiko in den breiteren Security-Kontext ein. Ein lokaler Administrator verfüge ohnehin bereits über zahlreiche Möglichkeiten zur Rechteausweitung, etwa über Pass-the-Hash- oder Pass-the-Ticket-Angriffe. Windows Hello for Business eröffne hier keinen völlig neuen Angriffsweg, sondern erweitere das bestehende Bedrohungsmodell.

Über die Sicherheitsbewertung hinaus liefert die Analyse zahlreiche bislang nicht dokumentierte technische Details. Das BSI rekonstruiert unter anderem den vollständigen Authentifizierungsablauf zwischen FaceCredentialProvider, Windows Biometric Service, Microsoft Passport, LSASS und Kerberos. Außerdem beschreibt die Analyse interne RPC-Schnittstellen, die Struktur der biometrischen Datenbank sowie den Aufbau der Schlüsselhierarchie.

Die Autoren weisen zudem auf Lücken in Microsofts Entwicklerdokumentation hin. Während die Fingerabdruckerkennung vergleichsweise gut beschrieben sei, fehle für die Gesichtserkennung an mehreren Stellen weiterführende Dokumentation, etwa zu asynchronen API-Aufrufen oder internen Schnittstellen des Windows Biometric Frameworks.

Auch praktische Tests enthält die Untersuchung. So beobachteten die Autoren, dass schlecht durchgeführte Registrierungen – etwa mit Schal, Kapuze und Brille – die Wahrscheinlichkeit von Fehlidentifikationen erhöhen können. Außerdem gelang es ihnen, Gesichtsmasken erfolgreich zu registrieren und später mit derselben Maske in anderer Farbgebung erneut erkannt zu werden. Solche Ergebnisse betreffen nach Darstellung des BSI jedoch die konkrete Umsetzung der Gesichtserkennung und nicht die kryptografische Architektur von Windows Hello for Business.

Mit der Veröffentlichung beginnt das BSI seine angekündigte Reihe „Windows seziert“. In den kommenden Monaten sollen weitere Analysen, unter anderem zu Protected Process Light (PPL) und Control Flow Guard (CFG), folgen.


(fo)



Source link

Weiterlesen

Datenschutz & Sicherheit

SonicWall SMA1000: Angriffe auf teils kritische Zero-Day-Lücken


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

SonicWall warnt vor Angriffen auf zwei Sicherheitslücken in den SonicWall-SMA1000-Appliances. Ein Hotfix steht bereit, um die Zero-Day-Lücken zu schließen. IT-Verantwortliche sollten zügig handeln.

Weiterlesen nach der Anzeige

In einer Sicherheitsmitteilung schreibt SonicWall, dass eine Server-Side-Request-Forgery (SSRF) im Work-Place-Interface der SMA1000-Appliances dazu führen kann, Anfragen an eigentlich nicht zugängliche Bereiche zu senden (CVE-2026-15409, CVSS 10.0, Risiko „kritisch“). Eine zweite Sicherheitslücke ermöglicht das Einschleusen von Code in die Appliance-Management-Console (AMC) der SMA1000. Angemeldete Angreifer aus dem Netz können dadurch beliebige Befehle im Betriebssystem ausführen (CVE-2026-15410, CVSS 7.2, Risiko „hoch“).

Das PSIRT von SonicWall hat mehrere Fälle untersucht, die auf aktiven Missbrauch dieser Schwachstellen hindeuten, schreibt der Hersteller. Das Unternehmen empfiehlt Kunden daher dringend, so schnell wie möglich den bereitstehenden Hotfix zu installieren. Auch die US-amerikanische IT-Sicherheitsbehörde CISA hat beide Schwachstellen in den „Known Exploited Vulnerabilities“-Katalog aufgenommen und bestätigt die Angriffe in freier Wildbahn damit.

Laut SonicWall sind die SMA1000-Modelle 6210, 7210 und 8200v betroffen, sofern sie die Firmware-Versionen 12.4.3-03245, 12.4.3-03387 und 12.4.3-03434 oder 12.5.0-02283, 12.5.0-02624 und 12.5.0-02800 einsetzen. Temporäre Gegenmaßnahmen nennt SonicWall nicht, lediglich die Aktualisierung auf die Hotfix-Versionen 12.4.3-03453 respektive 12.5.0-02835 oder neuere Firmwares helfen, die Lücken zu schließen.

Administratoren können ihre SMA1000-Appliances zudem auf Angriffspuren untersuchen. SonicWall nennt in der Sicherheitsmitteilung einige Indicators of Compromise (IOC), die Angriffe etwa in den Log-Dateien hinterlassen. Sofern erfolgreiche Angriffe dabei entdeckt werden, sollen Admins die Hardware mit einem neuen, sauberen Image versorgen, Nutzer- und Administrator-Kennwörter ändern und die TOTP-Tokens zurücksetzen.

Ende April hatte SonicWall zuletzt relevante Sicherheitslücken in SonicOS gemeldet. Eine davon galt als hochriskant.

Weiterlesen nach der Anzeige


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Daten-Skandal: Schufa speichert alte Datensätze über Millionen von Menschen


Die Schufa, die größte Wirtschaftsauskunftei des Landes, besitzt neben ihren aktuellen Daten eine Schattendatenbank mit historischen und veralteten Daten über Millionen von Menschen. Das hat eine gemeinsame Recherche von NDR und Süddeutscher Zeitung herausgefunden. Die Schufa bewertet die Kreditwürdigkeit von Menschen, zu ihren Kunden gehören unter anderem Banken, Energieversorger oder Telekommunikationsunternehmen.

Laut der Recherche handelt es sich bei den Daten um „alte Kredite und Kreditkarten, Pfändungen und Privatinsolvenzen, Schulden, die die Betroffenen oft schon vor Jahren beglichen haben“. Es seien Daten, die die Schufa schon längst gelöscht haben müsste, so der Bericht weiter. Die sensiblen Daten könnten großen Schaden anrichten.

Wenn Menschen bei der Schufa anfragen, welche Daten diese über sie gespeichert hat, gibt die Auskunftei diese historischen Informationen nicht an. In der Süddeutschen heißt es: „Auf der offiziellen Datenkopie, die Verbraucher bei der Schufa anfordern können, tauchen diese Informationen nicht auf.“ Laut der Datenschutzgrundverordnung müssen in der Regel alle, die Daten über Menschen bereithalten, diese bei Auskunftsersuchen auch offenlegen.

Die Schufa schreibt mittlerweile auf ihrer Website selbst: „Wir weisen historische Daten auf der Datenkopie nach Art. 15 DSGVO nicht gesondert aus.“ Das erfülle nach Rechtsauffassung der Schufa den Auskunftsanspruch. „Verbraucherinnen und Verbraucher wollen vor allem wissen, wie es aktuell um ihre Bonität steht und welche Daten Einfluss auf Ihren Score haben“, so die Auskunftei.

„Keine Rechtsgrundlage“

Laut der Süddeutschen Zeitung nutzt die Schufa die alten Daten, um ihren Kunden zu zeigen, wie gut der neue Schufa-Score funktioniert. Die Daten werden also zu Werbe- und Demonstrationszwecken genutzt. Dies widerspricht nach gängiger Ansicht von Datenschützer:innen dem Grundsatz der Datensparsamkeit, der in der DSGVO festgelegt ist. Mehrere Daten- und Verbraucherschützer:innen, mit denen NDR und Süddeutsche gesprochen haben, wie Ruth Janal, Expertin für Datenschutz und Professorin an der Universität in Bayreuth, sehen für die Praxis „keine Rechtsgrundlage“. Janal verweist in diesem Zusammenhang auch auf die Zweckbindung von Datenspeicherungen, die gesetzlich vorgeschrieben ist.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Gegenüber dem NDR sagt Janal: „Eine dauerhafte Speicherung solcher historischen Daten auf Vorrat für unbestimmte zukünftige Zwecke ist nach der Rechtsprechung des Europäischen Gerichtshofes nicht zulässig“. Zwar könne es zulässig sein, dass alte Daten gespeichert werden, um die Zuverlässigkeit des Scores zu prüfen. „Aber das ließe sich auch mit einem deutlich kleineren Datensatz ermöglichen“, so Janal auf tagesschau.de.

Datenschutzbeauftragter eingeschaltet

Die Schufa hingegen sieht sich im Recht. Gegenüber SZ und NDR sagt sie, dass sie nicht mit einer „historischen Datenbank“ arbeite, sondern „historische Daten zu Datenschutzkontroll‑, Test‑, Entwicklungs- und Rechtsverteidigungszwecken“ speichere. Die Daten seien „archivierte Datensätze“ und die Schufa sei dazu verpflichtet, diese aufzubewahren.

Der Skandal geht noch über die Schattendatenbank hinaus. Laut der Recherche können Kunden der Schufa auch historische Schufa-Scores, also die Kreditwürdigkeit von Menschen zu einem Zeitpunkt in der Vergangenheit, abrufen. Laut der Recherche tun einige Kunden dies auch. Die Bayreuther Professorin Ruth Janal sagt zu dieser Praxis gegenüber der SZ, dass diese Daten „die Vertragspartnerinnen der Schufa schlicht überhaupt nichts angehen“. Die Schufa hingegen hält auch diese Praxis für legal.

Laut der Recherche ist der Hessische Datenschutzbeauftragte seit mehr als einem Jahr mit der Prüfung der Datentests und der Frage nach Auskunft über die alten Daten befasst. Die Prüfung dauert an.



Source link

Weiterlesen

Beliebt