Connect with us

Datenschutz & Sicherheit

Wie die öffentliche Verwaltung mit KI noch abhängiger von Big Tech wird


Die Meldung sorgte jüngst für größeres Medienecho: Das deutsche Software-Unternehmen SAP will mit ChatGPT-Hersteller OpenAI kooperieren. Zusammen wollen sie sogenannte Künstliche Intelligenz für den öffentlichen Sektor anbieten. Zur Zielgruppe gehören neben Schulen und Universitäten auch die öffentliche Verwaltung.

Bundesdigitalminister Karsten Wildberger (CDU) bezeichnet die Kooperation als „gutes Signal für den Digitalstandort Deutschland“. Konkreter wird er nicht. Das könnte daran liegen, dass die Nachrichtenmeldung zahlreiche Fragen offenlässt: Um welche KI-Produkte wird es bei der Kooperation gehen? Wer kontrolliert das dahinterliegende KI-Modell am Ende? Und wer wird auf die Daten zugreifen, die aus der öffentlichen Verwaltung in die KI-Systeme fließen?

Bislang nur ein „Marktangebot“

Noch ist nichts in trockenen Tüchern. Denn die Übereinkunft zwischen SAP und OpenAI ist bislang nicht mehr als eben das: eine angekündigte Kooperation zwischen zwei großen IT-Herstellern. Und noch ist nicht entschieden, dass die öffentliche Verwaltung auch zu deren Kunden zählt. Das bestätigt das Bundesdigitalministerium (BMDS) auf Anfrage von netzpolitik.org.

Das Ministerium begrüßt zwar generell Kooperationen „führender deutscher Unternehmen“ und im Konkreten „die KI-Offensive von SAP“, so ein Sprecher gegenüber netzpolitik.org. Er stellt aber zugleich klar: „Bei dem von SAP und OpenAI angekündigten KI-Angebot handelt es sich um ein Marktangebot.“ Und bevor die öffentliche Verwaltung ein solches Angebot „für schutzwürdige Daten“ nutzt, müsse sie es prüfen und zertifizieren. Beides sei bislang nicht erfolgt.

Was bieten SAP und OpenAI?

SAP und OpenAI rühren derweil kräftig die Werbetrommel. Mit Unterstützung von KI sollen Behördenmitarbeiter*innen ihre Arbeit fortan schneller erledigen, so ihr Versprechen, um mehr Zeit „für wertschöpfende Aufgaben“ zu haben. Die KI-Systeme sollen etwa automatisch Akten verwalten und Daten analysieren. Die Verarbeitung erfolge „sicher und verantwortungsvoll“.

Zugleich werben die Unternehmen damit, so zur Umsetzung der KI-Strategie des Bundes und die High-Tech-Agenda der Bundesregierung beizutragen. Die High-Tech-Agenda verfolgt das Ziel, mit einer KI-Offensive bis zum Jahr 2030 „zehn Prozent unserer Wirtschaftsleistung KI-basiert [zu] erwirtschaften“. Außerdem sollen die KI-Produkte beider Unternehmen dabei helfen, dass die Bundesrepublik „digital souverän“ wird.

„Um das zu gewährleisten, wird OpenAI für Deutschland von der SAP-Tochter Delos Cloud angeboten“, argumentiert SAP. In der öffentlichen Verwaltung ist die Delos-Cloud bereits seit längerem bekannt. Vor gut einem Jahr warben der damalige Bundeskanzler Olaf Scholz (SPD) gemeinsam mit Markus Richter (CDU) – Richter war damals Bundes-CIO und ist inzwischen Staatssekretär im BMDS – dafür, dass die Delos-Cloud eine zentrale Rolle in der Verwaltungscloud-Strategie des Bundes einnimmt. In einer Sondersitzung des IT-Planungsrats im Juni 2024 lehnten die Länder dies allerdings unter anderem deshalb ab, weil SAP in den Rechenzentren von Delos die Cloud-Software Azure des US-Konzerns Microsoft einsetzt.

Zunehmende Abhängigkeit von Microsoft

Kritiker*innen wiesen bereits damals darauf hin, dass sich die Bundesregierung immer stärker in die Abhängigkeit von Microsoft begebe. Der Tech-Gigant mischt aber nicht nur bei der Delos-Cloud mit, sondern ist auch strategischer Partner und Großinvestor bei OpenAI. Sollte die öffentliche Verwaltung fortan zu den Kunden von SAP und OpenAI zählen, wird diese Abhängigkeit vermutlich noch stärker werden. Da beruhigt auch die Zusicherung von Philipp Herzig, Chief AI Officer von SAP, nur wenig, wonach das KI-Angebot des Konzerns den Vorgaben des europäischen Datenschutzes entspreche.

Wir sind ein spendenfinanziertes Medium

Unterstütze auch Du unsere Arbeit mit einer Spende.

Außerdem sollen die Produkte für die Verwaltung „aus Deutschland heraus betrieben“ werden, so Herzig. Die Daten öffentlicher Einrichtungen würden demnach auf Rechenzentren in Deutschland gespeichert. Das verhindere, dass Unberechtigte außerhalb der Bundesrepublik darauf zugreifen könnten.

Doch dieses Versprechen wird Herzig vermutlich nicht einhalten können. Grund ist der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, aus dem Jahr 2018. Das Gesetz bestimmt, dass US-Tech-Anbieter unter bestimmten Voraussetzungen zur Offenlegung von Daten gegenüber US-Behörden verpflichtet (PDF) werden können – auch wenn sich diese Daten außerhalb der Vereinigten Staaten befinden.

Dieses Risiko ist zuständigen Politiker*innen offenbar bewusst. Erst im Juli stellte das baden-württembergische Innenministerium (PDF) fest, dass Microsofts Software den Vorgaben des CLOUD Acts unterliege. Daher könne hier „nicht in vollem Umfang von vollständiger Souveränität gesprochen werden, da theoretisch Zugriffe auf Anwendungsdaten durch Drittstaaten nicht ausgeschlossen werden können“. Das Ministerium warnt sogar explizit davor, dass Microsoft auf Geheiß der US-Regierung einen Datenabfluss in seine Software einbauen könnte, ohne dass Software-Nutzer*innen davon wüssten.

Heute berät der Landtag von Baden-Württemberg (PDF) unter Ausschluss der Öffentlichkeit, ob er die Delos-Cloud in der Landesverwaltung einführen will.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

LastPass warnt vor Phishing-Kampagne | heise online


Aktuell läuft eine Phishing-Welle, die es auf Nutzerinnen und Nutzer des Passwort-Managers LastPass abgesehen hat. Dem Anbieter zufolge begann der Betrugsmailsversand etwa am Montag dieser Woche.

Weiterlesen nach der Anzeige

Davor warnt LastPass in einem aktuellen Blog-Beitrag. Die betrügerischen E-Mails stammen demnach von unterschiedlichen Absendern mit variierenden Betreffzeilen. Sie behaupten, dass LastPass eine Wartung vornehmen wolle, und drängen User, ein Backup ihrer Passwort-Vaults innerhalb der kommenden 24 Stunden vorzunehmen.

LastPass weist eindringlich darauf hin, dass das Unternehmen Kunden nicht darum bittet, Backups der Vaults in den nächsten 24 Stunden anzulegen. Es handele sich viel mehr um den Versuch bösartiger Akteure, eine Dringlichkeit beim Empfänger zu erzeugen, „eine übliche Vorgehensweise für Social Engineering und Phishing-E-Mails“, schreibt LastPass weiter. Der Zeitpunkt sei ebenfalls nach üblicher Taktik gewählt und falle auf ein Urlaubswochenende in den USA. Durch weniger arbeitende Menschen soll die Entdeckung der Phishing-Welle länger dauern.

Vermeintliche Backups der Passwort-Vaults

Der Call-to-Action-Button der Mail suggeriert, dass er Opfer auf eine Webseite bringt, auf der sie ein Backup ihres Passwort-Vaults anlegen können. Tatsächlich landen diejenigen, die ihn anklicken, jedoch auf der URL „group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf“, die ihrerseits eine Weiterleitung auf die URL „mail-lastpass[.]com“ vornimmt.

„Niemand bei LastPass wird jemals nach deinem Master-Kennwort fragen“, erklärt LastPass weiter. Das Unternehmen arbeitet mit Partnern daran, diese Domains so rasch wie möglich Hops zu nehmen. LastPass-Kunden sollten aufmerksam bleiben und im Zweifel der Echtheit einer LastPass-Mail dieser besser an die E-Mail-Adresse abuse@lastpass.com senden und dort verifizieren lassen.

Einige Hinweise für Phishing hat LastPass ebenfalls zusammengetragen. Darunter fallen folgende E-Mail-Adresse, URLs und IPs:

  • „group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf“, IP-Adresse 52.95.155[.]90
  • mail-lastpass[.]com,. IP-Adressen 104.21.86[.]78, 172.67.216[.]232 sowie 188.114.97[.]3
  • support@sr22vegas[.]com, support@lastpass[.]server8, support@lastpass[.]server7, support@lastpass[.]server3
  • IP-Adressen dazu 192.168.16[.]19 und 172.23.182.202

Weiterlesen nach der Anzeige

Die Mails tragen Betreffzeilen wie

  • „LastPass Infrastructure Update: Secure Your Vault Now“
  • „Your Data, Your Protection: Create a Backup Before Maintenance“
  • „Don’t Miss Out: Backup Your Vault Before Maintenance“
  • „Important: LastPass Maintenance & Your Vault Security“
  • „Protect Your Passwords: Backup Your Vault (24-Hour Window)“

LastPass weckt des Öfteren Interesse von Cyberkriminellen. Etwa im September 2023 gab es Anzeichen dafür, dass Angreifer LastPass-Passworttresore kopiert und diese zu knacken versucht haben. Anfang 2024 hat LastPass dann an verbesserter Sicherheit gearbeitet, etwa mit einer Minimallänge von zwölf Zeichen für ein Masterkennwort und dessen Abgleich mit in Leaks bekanntgewordenen Passwörtern.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Dell Data Protection Advisor über unzählige Sicherheitslücken angreifbar


Eigentlich soll Dell IT-Sicherheitslösung Data Protection Advisor Computer schützen, doch mit bestimmten Versionen ist genau das Gegenteil der Fall und Angreifer können an zahllosen Sicherheitslücken ansetzen.

Weiterlesen nach der Anzeige

Wie aus einer Warnmeldung hervorgeht, stuft der Computerhersteller die Auswirkungen von erfolgreichen Attacken insgesamt als „kritisch“ ein. Alle Schwachstellen betreffen Komponenten von Drittanbietern wie Apache Ant, libcurl und SQLite. Die Lücken sind zum Teil sechzehn Jahre alt. Warum die Entwickler die Schwachstellen erst jetzt schließen, ist bislang unklar. In der Warnmeldung sind 378 CVE-Einträge aufgelistet.

Darunter sind unter anderem Schadcodelücken in libcurl (CVE-2016-7167 „kritisch“) und Xstream (CVE-2021-39145 „hoch“). Aufgrund des Alters einiger Lücken liegt es nahe, dass einige der nun im Kontext von Data Protection Advisor geschlossenen Schwachstellen ausgenutzt werden. Dazu gibt es aber keinen Hinweis in Dells Warnmeldung.

Die Entwickler geben an, dass davon ausschließlich die Data-Protection-Advisor-Versionen 19.10 bis einschließlich 19.12 SP1 betroffen sind. Die Ausgabe 19.12 SP2 ist mit Sicherheitsupdates ausgerüstet.

Erst kürzlich hat Dell Sicherheitslücken in den Cloudspeicherlösungen ECS und ObjectScale geschlossen.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Updaten! Angriffsversuche auf Sicherheitslücken in Cisco Unified Communications


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

In mehreren Unified-Communications-Produkten von Cisco klafft eine Sicherheitslücke, die Angreifern ohne Anmeldung das Einschleusen von Schadcode aus dem Netz und dessen Ausführung mit Root-Rechten ermöglicht. Admins sollten die bereitstehenden Aktualisierungen zügig anwenden, da Cisco bereits Angriffsversuche aus dem Netz auf die Schwachstelle beobachtet hat.

Weiterlesen nach der Anzeige

Das teilt Cisco in einer Sicherheitsmeldung mit. Die Schwachstelle resultiert aus einer unzureichenden Prüfung von Nutzer-übergebenen Daten in HTTP-Anfragen. Bösartige Akteure können die Lücke durch das Senden einer Sequenz von sorgsam präparierten HTTP-Anfragen an das webbasierte Management-Interface einer verwundbaren Appliance missbrauchen. „Eine erfolgreiche Attacke erlaubt den Angreifern, Zugriff auf Benutzerebene auf das Betriebssystem zu erlangen und dann die Berechtigungen auf ‚root‘ auszuweiten“, erklärt Cisco (CVE-2026-20045, CVSS 8.2, Risiko abweichend „kritisch“).

Cisco führt weiter aus, dass das Unternehmen das Risiko abweichend von der CVSS-Risikostufe „hoch“ als „kritisch“ einordnet. Als Grund nennt das Security Advisory, dass der Missbrauch der Lücke darin münden kann, dass Angreifer ihre Privilegien zu “root“ erweitern können.

Angriffsversuche: Updates für betroffene Produkte

Cisco hat bereits Angriffsversuche auf die Schwachstelle beobachtet. Betroffen sind Unified CM, Unified CM SME, Unified CM IM&P, Unity Connection sowie Webex Calling Dedicated Instance. Die Software-Versionen 15SU4 (für März 2026 angekündigt) sowie 14SU5 stopfen das Sicherheitsleck. Wer noch auf Stand 12.5 ist, muss auf die neueren Releases migrieren.

Cisco hat am Mittwoch noch drei weitere Sicherheitsmitteilungen veröffentlicht, um die sich Admins beizeiten kümmern sollten.

Weiterlesen nach der Anzeige

Zuletzt mussten IT-Verantwortliche mit Cisco-Produkten in der vergangenen Woche Sicherheitslücken mit Updates stopfen. In Ciscos Secure Email Gateway und Secure Email und Web Manager wurde bereits seit Dezember eine Sicherheitslücke angegriffen, die den Tätern Root-Rechte und damit die volle Kontrolle über Instanzen verschaffen konnte. Die Sicherheitsupdates hat Cisco am Freitag herausgegeben.


(dmk)



Source link

Weiterlesen

Beliebt