Wenn Unternehmen mit Behörden kommunizieren, wird es oft kompliziert. Dann braucht es Unterschriften per Hand, Firmenstempel oder Vollmachten. Die EU-Kommission will das nun ändern.

Sie hat am Mittwoch ihre Pläne für die „European Business Wallet“ vorgestellt. Mit der digitalen Brieftasche sollen sich Unternehmen innerhalb der EU grenzüberschreitend etwa gegenüber Behörden authentifizieren, mit diesen kommunizieren und Dokumente austauschen können.

Das Vorhaben ist Teil des „Digital Omnibus“-Gesetzespakets und soll Verwaltungsprozesse vereinfachen. Den Unternehmen verspricht die Kommission Einsparungen in Höhe von insgesamt mehr als 160 Milliarden Euro pro Jahr.

Nutzung ist freiwillig, soll aber Standard werden

Dem vorgelegten Gesetzentwurf ging im Sommer eine vierwöchige, öffentliche Konsultation voraus, die Mitte Juni endete.

Dem Entwurf zufolge soll nur die Verwaltung dazu verpflichtet sein, die Wallet einzusetzen; für Unternehmen besteht diese Pflicht nicht. Zugleich betont die EU-Kommission, dass die Wallet „zum Standardinstrument für einen sicheren und effizienten Austausch“ zwischen Unternehmen und öffentlichen Stellen in der gesamten EU werden soll.

Sowohl private Unternehmen als auch öffentliche Einrichtungen können eine Wallet anbieten. Sie müssen sich vorab bei der Aufsichtsbehörde ihres EU-Landes notifizieren lassen. In Deutschland sind dafür das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur (BNetzA) zuständig. Wollen EU-Institutionen eine Wallet anbieten, übernimmt die Kommission die Aufsichtsfunktion.

eIDAS-Verordnung als Grundlage

Der Vorschlag für die Business-Wallet baut auf den Plänen zur elektronischen Bürger-ID auf, wie sie in der eIDAS-Verordnung (eIDAS 2.0) geregelt ist. Das EU-Gesetz, das im Mai 2024 in Kraft trat, ist auch die rechtliche Grundlage für die EUDI-Wallet, mit der sich ab Ende 2026 alle EU-Bürger:innen digital ausweisen können. Derzeit werden dafür in Brüssel die technischen Anforderungen verhandelt.

Ursprünglich sollte die EUDI-Wallet selbst auch für Organisationen und Unternehmen nutzbar sein. Die Pläne hatten sich allerdings als zu komplex herausgestellt. Bereits zu Jahresbeginn hatte die Kommission daher eine eigene digitale Brieftasche für Unternehmen angekündigt.

Die Business-Wallet soll der EUDI-Wallet ähneln, zugleich aber über besondere Funktionen für Unternehmen verfügen. Die technischen Standards und Anforderungen dafür will die EU-Kommission gemeinsam mit den Mitgliedstaaten und dem privaten Sektor ausarbeiten. Außerdem sind „großangelegte Pilotprojekte“ geplant. In einem Anhang zum Gesetzentwurf definiert die Kommission bereits ein umfassendes Berechtigungs- und Zugriffsmodell.

Bevor es aber ins Detail gehen kann, müssen noch das EU-Parlament und der Rat über den Vorstoß der Kommission verhandeln. Danach haben die öffentlichen Verwaltungen in der gesamten EU voraussichtlich zwei Jahre Zeit, die europäische Business-Wallet einzuführen.

Sind Attacken auf IBM AIX/VIOS erfolgreich, kann es unter anderem zu Fehlern im Betrieb kommen. Nun sind Sicherheitsupdates erschienen.

Wie aus einer Warnmeldung hervorgeht, sind mehrere Module der Python-Komponente wie Expat und SQLite betroffen. Eine Lücke (CVE-2025-6965) gilt als „kritisch„. Nach erfolgreichen Attacken kommt es zu Speicherproblemen (Memory corruption).

Sicherheitspatches installieren.

Setzen Angreifer an einer weiteren Schwachstelle (CVE-2025-59375 „hoch„) an, können sie Speicherressourcen blockieren. Davon sind den Entwicklern zufolge AIX 7.3 und VIOS 4.1 betroffen. Gegen die geschilderten Attacken sollen python3.9.base 3.9.23.0 und python3.11.base 3.11.13.0 gerüstet sein. Bislang gibt es keine Berichte über laufende Attacken.

Erst kürzlich haben IBMs Entwickler Sicherheitsprobleme in AIX und QRadar SIEM gelöst.

(des)

Die IT-Sicherheitslösung Email Security und die Fernzugriffssoftware SonicOS SSLVPN von SonicWall sind verwundbar. Nutzen Angreifer die mittlerweile geschlossenen Sicherheitslücken aus, können Sie Systeme im schlimmsten Fall vollständig kompromittieren. Auch wenn es bislang keine Berichte zu laufenden Attacken gibt, sollten Admins ihre Instanzen zeitnah durch die Installation von Sicherheitsupdates schützen.

Diverse Angriffe möglich

Email Security ist einer Warnmeldung zufolge über zwei Softwareschwachstellen attackierbar. Weil beim Download von Code die Dateiintegrität nicht geprüft wird, können Angreifer Systemdateien modifizieren. Auf diesem Weg können sie sich etwa über ein mit Schadcode präpariertes Root-Dateisystem-Image dauerhaft im System verankern. Die Lücke (CVE-2025-40604) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Damit eine solche Attacke klappt, müssen Angreifer aber Zugriff auf den Datenspeicher oder VMDK haben.

Auch über die zweite Lücke (CVE-2025-40605 „mittel„) können sie Daten manipulieren. Konkret bedroht sind Email Security Appliance 5000, 5050, 7000, 7050, 9000, VMware und Hyper-V. Die Entwickler versichern, die Schwachstellen in den Versionen 10.0.34.8215 und 10.0.34.8223 geschlossen zu haben. Alle vorigen Ausgaben sollen verwundbar sein.

SSLVPN ebenfalls anfällig

SonicOS SSLVPN ist laut den Informationen in einer Warnmeldung über eine Lücke (CVE-2025-40601 „hoch„) angreifbar. An dieser Stelle können Angreifer Speicherfehler auslösen, was zu Abstürzen führt. Wie solche DoS-Attacken im Detail ablaufen könnten, ist bislang nicht bekannt.

Davon sind verschiedene Gen7- und Gen8-Firewalls betroffen, die die Entwickler in der Warnmeldung auflisten. Um Systeme zu schützen, müssen Admins mindestens die Version 7.3.1-7013 oder 8.0.3-8011 installieren.

Im Oktober sorgte SonicWall für Schlagzeilen, weil Angreifer Cloud-Backups von Firewalls kopiert haben.

(des)