Connect with us

Datenschutz & Sicherheit

Wie die EU Freie Software ausblendet


Der dänischen Regierung reicht es. Sie will sich von Microsoft unabhängig machen. So titelte die dänische Zeitung Politiken. Hinter dem Entschluss steht die Politik des US-Präsidenten Donald Trump zu Grönland. Die Insel nördlich von Amerika, ist ein selbstverwalteter Teil des Königreichs Dänemark mit einem eigenen Regierungschef, Jens-Frederik Nielsen. Trump hat seit Anfang des Jahres immer wieder Besitzansprüche an Grönland angemeldet.

Dass Trump seine Macht über technologische Hebel ausspielen kann, zeigt sein Einfluss auf das Leben von Richtern am Internationalen Strafgerichtshof. Dazu gehört etwa der französische Richter Nicolas Guillou. Seit August sind die Dienste von US-amerikanischen Tech-Unternehmen wie Microsoft und Google für ihn gesperrt – als Folge der Sanktionierung durch Trump.

Gillou habe keinen Zugriff mehr auf seine Konten bei Amazon und Paypal, schreibt LeMonde; allen Dienstleistern sei untersagt, ihm Zugang zu Big-Tech-Diensten zu gewähren. Zusammen mit seinem Kollegen Karim Khan und anderen hatte er als Richter in Den Haag einen Haftbefehl gegen den israelischen Premierminister Benjamin Netanjahu und den ehemaligen israelischen Verteidigungsminister Joaw Galant ausgesprochen.

Gipfel zur europäischen digitalen Souveränität

Die autoritäre Politik Trumps hat das Thema digitale Souveränität aus seinem Nischendasein gehoben. Das zeigte der Gipfel zur europäischen digitalen Souveränität Mitte November in Berlin. Neben Unternehmen und Wirtschaftsverbänden fanden sich hier Politiker:innen aus mehreren europäischen Ländern zusammen. Eingeladen hatten Bundeskanzler Friedrich Merz und Frankreichs Präsident Emmanuel Macron.

Große Einigkeit bestand unter den Beteiligten vor allem darin: Man muss sich von US-amerikanischer wie auch chinesischer Technologie unabhängiger machen. Wie das geschehen soll? Darauf gab es zwei große Antworten. Einmal: „buy european“, also die Aufforderung, möglichst europäische Technologie einzukaufen.

Die zweite Antwort auf das Souveränitätsproblem lautete: Wettbewerbsfähigkeit fördern, um „Innovationsführerschaft“ zu erlangen. In den Worten Macrons: „Europa hat das Zeug dazu, im digitalen Zeitalter eine Führungsrolle zu übernehmen.“ Das soll durch eine umfassende Deregulierung erreicht werden. So wollen EU-Staaten und die Europäische Kommission EU-Digitalgesetze massiv schleifen, etwa beim Thema Datenschutz.

„Open Source ausgeblendet“

Eine naheliegende Antwort war auf dem Gipfel kein Thema: bei der Entwicklung, beim Einkauf und beim Betrieb öffentlicher IT auf Open-Source-Lösungen, also Freie Software setzen. Zwar sprach Merz in seiner Gipfel-Rede von der wichtigen Rolle des Zentrum für digitale Souveränität (ZenDiS) in Deutschland. Und er erwähnte openDesk, eine Open-Source-Lösung des ZenDiS für die öffentliche Verwaltung, mit der diese sich von Microsofts Bürosoftware unabhängig machen soll. Doch nach Vertreter:innen aus der Open-Source-Branche, geschweige denn nach Open-Source-Expert:innen aus der Zivilgesellschaft musste man beim Gipfel mit der Lupe suchen.

Dass der Gipfel Open Source weitgehend ausgeblendet habe, kritisierte etwa die Gesellschaft für Informatik e. V. (GI) als „das gravierendste Versäumnis“.

Dabei gäbe es inzwischen viele Positivbeispiele für einen erfolgreichen Wechsel zu Open-Source-Lösungen: Schleswig-Holstein stellt 30.000 Arbeitsplätze auf LibreOffice um und beendet Microsoft-Verträge. Die Thüringer Landesverwaltung pilotiert openDesk. Immer mehr Hochschulen nutzen für ihre Wissenschaftskommunikation Mastodon als soziales Medium. Und das österreichische Bundesheer stellt auf LibreOffice um.

„Buy european“

Auf den Gipfel-Panels stellten sich stattdessen mehrere europäische Technologiefirmen vor, so beispielsweise die Cloud-Hersteller OHVcloud oder Schwarz Digits. Auch der wirtschaftliche Zusammenschluss europäischer Unternehmen unter der Initiative EuroStack war vertreten.

Für viel Furore sorgte bereits im Vorfeld des Gipfels die geplante Kooperation des deutschen Unternehmens SAP und des französischen KI-Herstellers Mistral AI. Sie wollen eine souveräne KI-Lösung für die öffentliche Verwaltung entwickeln. Beide Unternehmen stellen proprietäre Software-Lösungen her. Für beide Unternehmen spielt zudem der Tech-Riese Microsoft eine wesentliche Rolle. Erst letztes Jahr investierte Microsoft in Mistral; der Tech-Gigant ist langjähriges Partnerunternehmen von SAP.

„Es ist gut, dass die Bundesregierung und andere europäische Länder endlich darüber nachdenken, wie sie die Abhängigkeit ihrer Verwaltung und ihrer digitalen Infrastrukturen lösen können“, so Johannes Näder von der Free Software Foundation Europe (FSFE). „Doch der Appell ‚buy european‘ allein reicht nicht aus.“ Wenn die öffentliche Hand wirklich digital souverän werden wolle, brauche es ein klares Bekenntnis zu Freier Software, die vier grundlegenden Prinzipien entspricht: Die Software muss für alle nutzbar sein, alle müssen den Code einsehen und weitergeben dürfen. Und alle müssen die Freiheit haben, den Code weiterzuentwickeln.

Für Freie Software

Dafür brauche es vor allem eine klare Entscheidung für Freie Software und eine nachhaltige Finanzierung, nicht nur für die Entwicklung, sondern auch für Wartung und Betrieb. „Wenn ab sofort ein steigender Anteil der öffentlichen Gelder, die jetzt noch für Softwarelizenzen ausgegeben werden, in Freie Software fließt, stärkt das nicht nur Europas Souveränität, sondern auch den europäischen Standort.“

In Europa gebe es viele kleine und mittlere Unternehmen, die hervorragende Freie Software anbieten. „Diese Lösungen sind auf dem Markt. Der Staat sollte seine Souveränität steigern, indem er sie beschafft, finanziert und nutzt. Das ist einfacher und aussichtsreicher, als europäische Einhörner aufzubauen.“

Umso erfreulicher ist eine Nachricht von der vierten Digitalministerkonferenz (DMK). Sie stimmte einem Antrag Schleswig-Holsteins zu, wonach beim Deutschland-Stack Open Source bevorzugt eingesetzt werden soll. Am Montag trafen sich die Digitalminister:innen der Länder mit Bundesdigitalminister Karsten Wildberger (CDU), Klaus Müller von der Bundesnetzagentur und Claudia Plattner vom Bundesamt für die Sicherheit in der Informationstechnik. Auf der Themenliste dominierte die Digitalisierung der öffentlichen Verwaltung. Kernprojekt der Bundesregierung ist hier der Deutschland-Stack (D-Stack).

Die Idee dazu hat sie in ihrer Modernisierungsagenda (PDF) als „eine sichere, interoperable, europäisch anschlussfähige und souveräne Technologie-Plattform zur Digitalisierung der gesamten Verwaltung“ umschrieben. Bereits im Sommer hatte Schleswig-Holstein ein Impulspapier zum Stack veröffentlicht. Eines der Anliegen: Die Politik soll die Digitalwirtschaft aktiv „in die Entwicklung von Open-Source-Lösungen“ einbinden.

„Bürger:innen in Stack-Überlegungen einbeziehen“

Auch die FSFE fordert für den Stack, dieser müsse vollständig als Freie Software veröffentlicht werden. Alle enthaltenen Komponenten sollten demnach unter einer Freie-Software-Lizenz stehen.

Zudem empfiehlt die FSFE, dass Deutschland hierzu mit anderen europäischen Partnerländern zusammen an Lösungen arbeitet. Nur so könnten diese europaweit anschlussfähig sein. Um zu gewährleisten, dass sie nachhaltig sind, müsse die Finanzierung für Entwicklung, Wartung und Betrieb langfristig abgesichert sein.

Besonders wichtig sei jedoch auch, dass die Politik die Bürger:innen in die Stack-Überlegungen einbezieht. Neben Staat und Verwaltung brauchen auch europäische Unternehmen, Zivilgesellschaft und „Organisationen von Schulen bis hin zu freiwilligen Feuerwehren“ digital souveräne Lösungen. Für sie sollte der Stack nachnutzbar sein, und dies könne nur gelingen, wenn die Zivilgesellschaft bei der Planung des Stacks einbezogen wird.

Wie genau der Beschluss umgesetzt wird, Open Source bevorzugt zu beschaffen und zu nutzen, muss sich noch zeigen. Der Konsultationsprozess zum D-Stack läuft noch bis Ende November.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Updaten! Angriffsversuche auf Sicherheitslücken in Cisco Unified Communications


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

In mehreren Unified-Communications-Produkten von Cisco klafft eine Sicherheitslücke, die Angreifern ohne Anmeldung das Einschleusen von Schadcode aus dem Netz und dessen Ausführung mit Root-Rechten ermöglicht. Admins sollten die bereitstehenden Aktualisierungen zügig anwenden, da Cisco bereits Angriffsversuche aus dem Netz auf die Schwachstelle beobachtet hat.

Weiterlesen nach der Anzeige

Das teilt Cisco in einer Sicherheitsmeldung mit. Die Schwachstelle resultiert aus einer unzureichenden Prüfung von Nutzer-übergebenen Daten in HTTP-Anfragen. Bösartige Akteure können die Lücke durch das Senden einer Sequenz von sorgsam präparierten HTTP-Anfragen an das webbasierte Management-Interface einer verwundbaren Appliance missbrauchen. „Eine erfolgreiche Attacke erlaubt den Angreifern, Zugriff auf Benutzerebene auf das Betriebssystem zu erlangen und dann die Berechtigungen auf ‚root‘ auszuweiten“, erklärt Cisco (CVE-2026-20045, CVSS 8.2, Risiko abweichend „kritisch“).

Cisco führt weiter aus, dass das Unternehmen das Risiko abweichend von der CVSS-Risikostufe „hoch“ als „kritisch“ einordnet. Als Grund nennt das Security Advisory, dass der Missbrauch der Lücke darin münden kann, dass Angreifer ihre Privilegien zu “root“ erweitern können.

Angriffsversuche: Updates für betroffene Produkte

Cisco hat bereits Angriffsversuche auf die Schwachstelle beobachtet. Betroffen sind Unified CM, Unified CM SME, Unified CM IM&P, Unity Connection sowie Webex Calling Dedicated Instance. Die Software-Versionen 15SU4 (für März 2026 angekündigt) sowie 14SU5 stopfen das Sicherheitsleck. Wer noch auf Stand 12.5 ist, muss auf die neueren Releases migrieren.

Cisco hat am Mittwoch noch drei weitere Sicherheitsmitteilungen veröffentlicht, um die sich Admins beizeiten kümmern sollten.

Weiterlesen nach der Anzeige

Zuletzt mussten IT-Verantwortliche mit Cisco-Produkten in der vergangenen Woche Sicherheitslücken mit Updates stopfen. In Ciscos Secure Email Gateway und Secure Email und Web Manager wurde bereits seit Dezember eine Sicherheitslücke angegriffen, die den Tätern Root-Rechte und damit die volle Kontrolle über Instanzen verschaffen konnte. Die Sicherheitsupdates hat Cisco am Freitag herausgegeben.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Bundesdruckerei: Datenatlas Bund ist durchgefallen


Für den Datenatlas Bund startet das Jahr aussichtslos. Das Metadaten-Portal sollte eigentlich die Arbeit der Bundesverwaltung vereinfachen: Behörden und Ministerien sollten damit interne Daten der Bundesverwaltung besser finden, verknüpfen und nutzen können. Doch nun hat die Bundesdruckerei den Datenatlas offline geschaltet. Das teilte eine Sprecherin des Bundesministeriums der Finanzen (BMF) auf Anfrage mit.

Das Ministerium hatte die Bundesdruckerei mit der Entwicklung des Datenatlas Bund beauftragt. Die setzte seit 2022 die Forderung aus der Datenstrategie des Bundes von 2021 um. In den einzelnen Ministerien waren die Datenlabore für den Datenatlas zuständig. Warum die Bundesdruckerei den Datenatlas vom Netz genommen hat, ist unklar.

Offiziell heißt es aus der Bundesdruckerei und dem BMF, das Vertragsverhältnis habe zum 31. Dezember 2025 geendet. „Damit endete auch der Betrieb durch uns als Dienstleister“, so die Bundesdruckerei. Auf ihrer Website bewirbt sie den Datenatlas noch immer damit, er sei modern, digital souverän und KI-fähig; über Social Media suggeriert ein Mitarbeiter, er bediene die Ansprüche einer datengetriebenen Verwaltung.

Datenatlas voller Mängel

Dass der Datenatlas weit weniger kann als beworben, zeigte ein unabhängiges wissenschaftliches Gutachten von David Zellhöfer. Der Professor von der Hochschule für Wirtschaft und Recht Berlin erstellte es eigeninitiativ und unentgeltlich und veröffentlichte es Anfang Dezember.

Zellhöfers Datengrundlage stammt aus dem Sommer 2025 und davor. Er wertete Aussagen von Mitarbeiter:innen der Datenlabore und einige Screenshots aus. Außerdem gewährten ihm einige Kolleg:innen aus der Bundesverwaltung Einblicke in das Metadaten-Portal über kurze Live-Demos. Seine direkte Anfrage nach Informationen für seine Forschung wies die Bundesdruckerei ab. Zellhöfers Fazit: In Teilen entspricht das Portal nicht einmal dem Stand der Technik von 1986.

Eigentlich sollte das Metadaten-Portal Datenbestände der öffentlichen Verwaltung für Behörden zugänglicher machen. Metadaten sind Daten über Daten, wie das Erstellungsdatum, der Dateityp oder der Speicherort. Doch habe es dem Datenatlas an grundlegenden Funktionalitäten gemangelt.

Beispielsweise habe es im Datenatlas keine explorative Suche gegeben, wie man das etwa von Suchmaschinen kennt, sondern nur eine gerichtete Suche. Dementsprechend hätten Suchende immer genau wissen müssen, welches Dokument oder welchen Datensatz sie suchen. Auch kontrollierte Vokabulare hätten gefehlt: Damit Verwaltungsmitarbeiter:innen Dokumente finden können, sollten die mit denselben Schlagwörtern belegt werden. Das sei im Datenatlas nicht umgesetzt worden. Problematisch sei das etwa bei Tippfehlern. Darunter leide nicht nur die Datenqualität. Auch die Trefferlisten seien aufgrund der gerichteten Suche unvollständig gewesen.

Auch grundlegende Suchfunktionen wie den Einsatz von Suchoperatoren seien im Datenatlas nur sehr eingeschränkt möglich gewesen, zum Beispiel hätten Mitarbeiter:innen die Operatoren „UND“, „ODER“ oder „NICHT“ nicht anwenden können.

Nicht mehr zuständig

Im Dezember hüteten die Bundesdruckerei und das BMF den Datenatlas noch wie ein Staatsgeheimnis. Gegenüber netzpolitik.org betonten beide: Der Datenatlas sei nicht „für die Nutzung durch die Öffentlichkeit“ bestimmt. Zellhöfer hielten sie vor, das Gutachten sei nicht beauftragt worden. Die Bundesdruckerei erwog sogar „rechtliche Schritte“ gegen den Gutachter.

Erst als das Gutachten Aufmerksamkeit bekam, lenkte die Bundesdruckerei ein und versicherte gegenüber netzpolitik.org, die von Zellhöfer angeführten Mängel bestünden nicht. Seine Datengrundlage hätte den Stand des Datenatlas im Sommer 2025 abgebildet, die Mängel scheinen also in der zweiten Jahreshälfte behoben worden zu sein. Offiziell habe die Bundesdruckerei die Entwicklung des Datenatlas bereits im ersten Quartal 2025 abgeschlossen, sagt das BMF heute.

Wir sind ein spendenfinanziertes Medium

Unterstütze auch Du unsere Arbeit mit einer Spende.

Nun ist der Datenatlas offline. Sie seien für das Projekt nicht mehr zuständig, heißt es sowohl von der Bundesdruckerei als auch vom BMF. Letzteres erklärte gegenüber netzpolitik.org, man könne keine weitergehenden Fragen zur Umsetzung der Datenstrategie beantworten; bis Ende 2025 habe man „alle Maßnahmen zu einer Übergabe des Datenatlas Bund durchgeführt“.

Digitalministerium lehnt ab

Übernehmen sollte den Datenatlas das Bundesministerium für Digitales und Staatsmodernisierung (BMDS). Doch das lehnt eine „Übernahme des BMF-Projekts im aktuellen Projekt-Stadium“ als „nicht wirtschaftlich“ ab, so ein Sprecher des Ministeriums gegenüber netzpolitik.org.

Nach „intensiver Prüfung“ habe sich gezeigt, dass der Datenatlas Bund „trotz intensiver Bemühungen“ kaum genutzt werde. Um daraus ein „wirksames Tool“ zu machen, müsse außerdem noch viel Entwicklungsarbeit hineinfließen.

Ob das Ministerium die Entwicklung eines neuen Metadaten-Portals anstoßen wird, bleibt offen. Grundsätzlich liefere ein solches Portal „eine wichtige Grundlage für eine effiziente Datennutzung in der Bundesverwaltung“. Bei einer neuen Version wolle man „die im Projekt Datenatlas Bund gewonnenen Erkenntnisse“ berücksichtigen, um sicherzugehen, dass bereits getätigte Investitionen weitergenutzt werden können.

Zellhöfers grobe Wirtschaftlichkeitsbetrachtung veranschlagt als Gesamtkosten des Datenatlas gut 2,3 Millionen Euro. Die Gesamtausgaben für den Datenatlas Bund hätten seit Beginn etwa 24,6 Millionen Euro betragen, so die Sprecherin des BMF auf Anfrage. Mutmaßlich liegen die Kosten deutlich darüber, so äußerten sich zumindest anonyme Quellen gegenüber Zellhöfer.



Source link

Weiterlesen

Datenschutz & Sicherheit

Jetzt handeln! Angreifer umgehen offenbar Fortinet-Sicherheitspatch


Derzeit gibt es Hinweise darauf, dass Angreifer ein jüngst veröffentlichtes Sicherheitsupdate umgehen und FortiOS, FortiProxy, FortiSwitchManager und FortiWeb attackieren. Die Lücke gilt als „kritisch“.

Weiterlesen nach der Anzeige

Laufende Attacken

Die IT-Nachrichtenwebsite Bleepingcomputer berichtet von Fortinet-Kunden bei denen Angreifer Fortinet-Produkte trotz installiertem Sicherheitspatch erfolgreich attackieren. Die Schwachstelle (CVE-2025-59718) ist seit Dezember vergangenen Jahres bekannt. Zu diesem Zeitpunkt erschienen auch Sicherheitsupdates.

Seitdem laufen auch Attacken und Angreifer nutzen die Lücke aktiv aus. Im Anschluss haben sie Zugriff auf Geräte. In welchem Umfang die Angriffe ablaufen, ist derzeit unklar. In einem Beitrag führen Sicherheitsforscher von Artic Wolf unter anderem Parameter auf, an denen Admins bereits attackierte Geräte erkennen können.

Instanzen sind aber nur angreifbar, wenn die Authentifizierung über SSO aktiv ist. Das ist standardmäßig nicht der Fall. Weil Fortinet zum jetzigen Zeitpunkt noch kein repariertes Sicherheitsupdate veröffentlicht hat, müssen Admins jetzt handeln und die Anmeldung via SSO deaktivieren. Das gelingt über das Command-Line-Interface mit folgenden Befehlen:

config system global

set admin-forticloud-sso-login disable

Weiterlesen nach der Anzeige

end

Verwundbare Instanzen in Deutschland

In einer Warnmeldung listet Fortinet weiterführende Informationen zu den bedrohten Produkten auf. FortiWeb 7.0 und 7.2 sollen von der Lücke nicht betroffen sein. Sicherheitsforscher von Shadowserver haben das Internet auf SSO-Instanzen gescannt. Sie kommen derzeit weltweit auf mehr als 11.000 Stück. Hierzulande sind es noch knapp mehr als 120 Instanzen.

Zusätzlich haben es Angreifer zurzeit auf FortiSIEM abgesehen und nutzen eine „kritische“ Sicherheitslücke (CVE-2025-64155) aus.


(des)



Source link

Weiterlesen

Beliebt