Connect with us

Datenschutz & Sicherheit

Wie geht es weiter mit der Chatkontrolle?


Nach mehr als drei Jahren haben sich die Vertreter:innen der EU-Länder im Rat auf eine gemeinsame Position zur „Chatkontrolle“ geeinigt. Nachdem das Parlament schon 2023 eine Position fand, geht die Verordnung nun in den Trilog, die Verhandlungen zwischen Kommission, Parlament und Rat.

Die Verordnung enthielt mit der verpflichtenden Chatkontrolle eines der gefährlichsten Überwachungsprojekte überhaupt, das vertrauliche, private und verschlüsselte Kommunikation aufs Spiel setzt. Bei derzeitigem Stand scheint zumindest diese Gefahr gebannt. Aber die Verordnung enthält weitere Probleme.

Wir erklären, wie es auf dem Weg zum fertigen Gesetz jetzt weiter geht.

Inhalt

Was hat die EU-Kommission vorgeschlagen?

Die EU-Kommission hat im Mai 2022 einen über 130-seitigen Gesetzentwurf vorgelegt. Erklärtes Ziel dessen ist es, Darstellungen sexualisierter Gewalt an Kindern und Jugendlichen zu bekämpfen. Dafür will die Kommission Folgendes:

  • Anbieter von Hosting- und Kommunikationsdiensten sollen nach einer sogenannten Aufdeckungsanordnung die Kommunikation und Inhalte ihrer Nutzenden nach Darstellungen sexualisierter Gewalt gegen Kinder und Anbahnungsversuchen („Grooming“) scannen müssen.
  • Wenn sie entsprechende Inhalte finden, müssen sie diese an ein EU-Zentrum melden. Das soll die Fälle prüfen und gegebenenfalls an Strafverfolgungsbehörden und Europol weiterleiten.
  • Anbieter sollen dabei nicht nur nach bereits bekannten Inhalten suchen, sondern auch nach bisher unbekanntem Missbrauchsmaterial.
  • Die Anordnungen beziehen sich auch auf verschlüsselte Kommunikation. Die müsste dafür umgangen werden – entweder indem bereits erfolgte Verschlüsselung gebrochen wird oder indem Inhalte auf den Geräten gescannt werden, bevor sie für den Versand verschlüsselt werden. Das nennt man Client-Side-Scanning.
  • Neben dem als Chatkontrolle bekannten Scannen von Inhalten sieht der Vorschlag auch verstärkte Alterskontrollen vor, mit denen Anbieter ihr „Risiko“ verringern können, dass ihr Dienst etwa für Grooming missbraucht wird. Auch App Stores sollen eine Altersüberprüfung vornehmen.
  • Wenn bei Hosting-Anbietern Missbrauchsdarstellungen gespeichert sind, soll es außerdem Netzsperren geben können, wenn diese trotz Anordnung nicht gelöscht werden.

Was ist die Position des EU-Parlaments?

Das EU-Parlament hat seine Position bereits im November 2023 festgelegt. Sie richtet sich in wichtigen Punkten gegen den Vorschlag der Kommission:

  • Das Parlament will keine anlasslosen Aufdeckungsanordnungen für eine Chatkontrolle. Das Scannen soll nur für einzelne Nutzer:innen oder spezifizierte Gruppen erlaubt sein. Vorher muss es einen begründeten Verdacht geben, dass eine Verbindung zu Darstellungen sexualisierter Gewalt besteht. Die Anordnungen sollen außerdem mit einem Richtervorbehalt versehen sein.
  • Verschlüsselte Kommunikation soll nicht gescannt werden dürfen. Damit lehnt das Parlament auch das sogenannte Client-Side-Scanning ab, bei dem Inhalte vor dem verschlüsselten Versand auf den Geräten der Nutzenden gescannt werden.
  • Das Parlament will auch die Arten des Materials einschränken, nach denen gesucht werden darf. Eine Grooming-Erkennung, bei der nach Anbahnungsversuchen von Erwachsenen an Kinder gesucht wird, nimmt die Parlamentsposition aus.
  • Bei der Altersüberprüfung setzt das Parlament auf Freiwilligkeit, außer bei Pornoseiten.
  • Über den Kommissionsvorschlag hinaus gehen die Abgeordneten bei Schutzmaßnahmen, die Diensteanbieter etwa durch Standardeinstellungen treffen müssen. Nutzende sollen nicht mehr direkt ungewollte Nachrichten von Unbekannten empfangen müssen. Das Teilen von persönlichen Kontaktdaten soll eingeschränkt werden. Dienste sollen ihren Nutzer:innen leicht zugängliche Mechanismen bereitstellen, um andere zu blockieren, stummzuschalten oder mögliches Missbrauchsmaterial zu melden.

Bei der Parlamentsposition ist es wichtig zu wissen, dass sie vor der letzten Europawahl entstand. Seitdem haben sich die Mehrheitsverhältnisse geändert, es gab schon Anzeichen, dass sich die Position des Parlaments ändern könnte.

Was ist die Position des Rats?

Die EU-Staaten haben sich im November 2025 nach jahrelangen Verhandlungen auf ihre Position geeinigt.

  • Die wichtigste Änderung: Internet-Dienste sollen nicht dazu verpflichtet werden, die Kommunikation ihrer Nutzer zu scannen. Der Rat streicht den ganzen Abschnitt zu „Aufdeckungspflichten“.
  • Internet-Dienste dürfen die Inhalte ihrer Nutzer jedoch freiwillig scannen, wenn es nach den Mitgliedstaaten geht. Die E-Privacy-Richtlinie von 2002 verbietet das eigentlich. Das neue Gesetz soll die freiwillige Chatkontrolle jedoch dauerhaft erlauben.
  • Das betrifft nicht nur Bilder und URLs, sondern auch Texte und Videos.
  • Andere Teile des ursprünglichen Gesetzentwurfs bleiben nur wenig verändert.
  • Wie im Kommissionsvorschlag sollen App Stores und Dienste für vertrauliche Kommunikation das Alter ihrer Nutzer prüfen und Kinder ausschließen.

Was ist der Trilog?

Bei informellen Trilog verhandeln Kommission, Rat und Parlament der EU. Ziel ist es, sich zwischen den drei EU-Organen auf eine gemeinsame Position zu einem Gesetzesvorhaben zu einigen. In der Regel haben sich Rat und Parlament vorher auf ihre jeweils eigenen Standpunkte zu einem Gesetzesvorschlag der Kommission geeinigt und gehen mit dem entsprechenden Verhandlungsmandat in die Gespräche.

Wichtiger Bestandteil des Trilogs sind die sogenannten Vier-Spalten-Dokumente. In den ersten drei Spalten sind die einzelnen Positionen der EU-Organe verzeichnet, die vierte Spalte enthält die aktuelle Einigung – sie wird beständig aktualisiert.

Bei den informellen Trilog-Verhandlungen gibt es erhebliche Transparenzprobleme, weil sie hinter verschlossenen Türen stattfinden. Die frühere EU-Bürgerbeauftragte Emily O’Reilly rügte etwa nach einer Beschwerde im Jahr 2023 das Parlament, weil es die wichtigen Vier-Spalten-Dokumente auf Anfrage von Nichtregierungsorganisationen viel zu spät herausgab. Sie forderte, dass diese proaktiv veröffentlicht werden müssen, damit Bürger:innen Entscheidungen nachvollziehen und sich beteiligen können.

Welche Knackpunkte gibt es bei den Trilog-Verhandlungen?

Aus einer Grundrechtsperspektive werden folgende Punkte bei den Verhandlungen besonders wichtig sein:

  • Wird es ein verpflichtendes, freiwilliges oder anlassbezogenes Scannen geben?
  • Wenn es eine freiwillige Chatkontrolle geben sollte – wie groß sind die Anreize, diese durchzuführen?
  • Wonach sollen die Anbieter suchen dürfen? Nach bereits bekanntem Material oder mit fehleranfälligen Erkennungsmethoden auch nach unbekannten Darstellungen oder Anbahnungsversuchen?
  • Bleibt verschlüsselte Kommunikation geschützt?
  • Soll es Netzsperren für Darstellungen sexualisierter Gewalt geben oder setzt man auf konsequentes Löschen?
  • Wird es Alterskontrollen geben – und für welche Anbieter oder App Stores?

 

Kann es sein, dass die verpflichtende Chatkontrolle doch noch kommt?

Es gilt der alte Grundsatz: „Nothing is agreed until everything is agreed“. Das heißt, bis alles geklärt ist, ist nichts in Stein gemeißelt. Im Trilog gibt es nun drei verschiedene Positionen: Die EU-Kommission will die verpflichtende Chatkontrolle nach Anordnung. Das EU-Parlament will verpflichtende Chatkontrolle nach richterlichem Beschluss und begrenzt auf verdächtige Nutzer:innen- und -gruppen, ausgenommen sollen verschlüsselte Kommunikationen sein. Der Rat will eine freiwillige Chatkontrolle, die Anbieter durchführen können, um „Risiken zu mindern“.

Was ist eine freiwillige Chatkontrolle?

Bei einer freiwilligen Chatkontrolle können Dienste-Anbieter Inhalte ohne rechtliche Verpflichtung scannen. Ob Dienste eine Chatkontrolle für alle oder nur manche Nutzer:innnen einführen, ist ihnen überlassen. Ob Dienste-Anbieter ihren Nutzer:innen erlauben, die Chatkontrolle an- oder auszuschalten, ist ihnen ebenfalls überlassen.

Bislang haben Anbieter wie Facebook unverschlüsselte Kommunikation gescannt. Sie überprüfen zum Beispiel, ob in einer Datenbank enthaltene Hashes verschickt werden. Die US-Organisation NCMEC etwa sammelt solche Hashes zu bekannten Darstellungen sexualisierter Gewalt. Viele Hinweise zu Besitz oder Verbreitung entsprechender Inhalte, welche die Polizei erhält, stammen aus der freiwilligen Chatkontrolle.

Was ist das Problem an der freiwilligen Chatkontrolle?

Egal ob ein Anbieter die Inhalte seiner Nutzer:innen freiwillig oder nach einer Anordnung scannt: Es verletzt das Recht auf vertrauliche Kommunikation. Das verstößt unter anderem gegen die Regeln aus der ePrivacy-Richtlinie.

Der EU-Datenschutzbeauftragte forderte bei Ausnahmen von diesem Grundsatz „klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme“ sowie Mindesterfordernisse.

Auch bei der freiwilligen Chatkontrolle kann es zu Fehlern kommen. Bekannt wurde der Fall eines Vaters, der eine Mail an den Arzt seines Sohnes schickte, die ein Foto des Genitalbereiches des erkrankten Kindes enthielt. Auf den Google-Servern schlug ein Erkennungsmechanismus an. Ein falscher Verdacht: Die Polizei ermittelte gegen den Vater, sein Google-Account samt aller Daten wurde gelöscht.

Menschen mit Protestschildern gegen Chatkontrolle
Protest kann viele Gesichter haben. CC-BY 4.0 cven

Ist der jetzt erreichte Stand ein Erfolg für die Grundrechte?

Das schlimmste Element des Kommissionsvorschlags, die verpflichtende Chatkontrolle für ganze Dienste, auch für verschlüsselte Kommunikation, wollen weder Parlament noch Rat. Dass diese Form der Chatkontrolle abgewehrt wurde, ist Menschen in Wissenschaft, Wirtschaft, Politik, Medien und Zivilgesellschaft zu verdanken. Sie haben zusammen an unterschiedlichen Stellen die Gefährlichkeit der Chatkontrolle sichtbar gemacht, dabei Bewusstsein geschaffen und einen öffentlichen Aufschrei ausgelöst.

Die Sache ist aber noch lange nicht ausgestanden: Es gibt weiterhin zahlreiche problematische Teile der Verordnung wie Netzsperren, freiwillige Chatkontrolle und Alterskontrollen, welche die Anonymität im Netz gefährden. Und es gibt neue Anläufe, um an verschlüsselte Kommunikation heranzukommen wie „Protect EU“.

Was kann ich als Einzelperson tun, um gegen problematische Vorhaben wie die Chatkontrolle aktiv zu werden?

Ein Schlüssel sind Information und Aufklärung: Erkläre in Deinem Umfeld in möglichst einfachen Worten und Bildern, was genau an diesen komplexen technischen Verfahren und Überwachungsprojekten gefährlich ist. Bei der Chatkontrolle war die Stärke, dass sachlicher Widerspruch in ungeahnter Breite von den unterschiedlichsten Akteur:innen und Allianzen vorgetragen wurde. Das macht Eindruck, wenn nicht nur die üblichen Verdächtigen „Alarm“ rufen. Eine solche gesellschaftliche Breite aufzubauen, liegt an jedem von uns und unseren Netzwerken.

Darüber hinaus kann man sich in Organisationen und Initiativen engagieren oder diesen Geld spenden, Petitionen unterschreiben, offene Briefe initiieren, Infoveranstaltungen machen, Abgeordnete anrufen, Aufkleber drucken oder auf der Straße protestieren gehen. Es gibt unzählige Möglichkeiten.

Sieben Werkzeuge für den Online-Rabatz

Wie lassen sich Kinder und Jugendliche vor sexualisierter Gewalt schützen?

Es ist wichtig, Kinder und Jugendliche vor sexualisierter Gewalt zu schützen. So sind Anlaufstellen für Kinder etwa im Netz möglich, damit sie einfach melden können, wenn sie sich beispielsweise in einem Spiele-Chat unwohl fühlen, weil ein Erwachsener sie bedrängt.

Viele Präventionsmöglichkeiten setzen jedoch in der analogen Welt an, damit es gar nicht erst zu den Taten kommt. Denn ein Großteil sexualisierter Gewalt findet im sozialen Nahfeld statt, also etwa in Familien, Schulen, Sportvereinen und an anderen Orten, wo sich Kinder aufhalten. Hier braucht es Schutzkonzepte, damit Erwachsene ihre Vertrauensverhältnisse zu Kindern nicht so leicht ausnutzen können und diese Ansprechpersonen haben.

Ein wichtiger Pfeiler der Präventionsarbeit sind auch Sozialarbeiter:innen und Jugendämter, damit jemand hinschauen und handeln kann, wenn ein Kind in Not gerät. Die sind jedoch unterbesetzt und nicht ausreichend finanziert.

Falls es zu sexualisierter Gewalt gekommen ist und Darstellungen davon im Netz verbreitet werden, gilt seit Jahren neben der konsequenten Strafverfolgung das Löschen der Inhalte als Erfolgsrezept. Fast alle Hosting-Anbieter sind dabei schnell und kooperativ. Es braucht eine Verpflichtung für Behörden, bei einem Fund von Gewaltdarstellungen immer auf deren Entfernung hinzuwirken, damit sich die Inhalte nicht weiter verbreiten.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Updaten! Angriffsversuche auf Sicherheitslücken in Cisco Unified Communications


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

In mehreren Unified-Communications-Produkten von Cisco klafft eine Sicherheitslücke, die Angreifern ohne Anmeldung das Einschleusen von Schadcode aus dem Netz und dessen Ausführung mit Root-Rechten ermöglicht. Admins sollten die bereitstehenden Aktualisierungen zügig anwenden, da Cisco bereits Angriffsversuche aus dem Netz auf die Schwachstelle beobachtet hat.

Weiterlesen nach der Anzeige

Das teilt Cisco in einer Sicherheitsmeldung mit. Die Schwachstelle resultiert aus einer unzureichenden Prüfung von Nutzer-übergebenen Daten in HTTP-Anfragen. Bösartige Akteure können die Lücke durch das Senden einer Sequenz von sorgsam präparierten HTTP-Anfragen an das webbasierte Management-Interface einer verwundbaren Appliance missbrauchen. „Eine erfolgreiche Attacke erlaubt den Angreifern, Zugriff auf Benutzerebene auf das Betriebssystem zu erlangen und dann die Berechtigungen auf ‚root‘ auszuweiten“, erklärt Cisco (CVE-2026-20045, CVSS 8.2, Risiko abweichend „kritisch“).

Cisco führt weiter aus, dass das Unternehmen das Risiko abweichend von der CVSS-Risikostufe „hoch“ als „kritisch“ einordnet. Als Grund nennt das Security Advisory, dass der Missbrauch der Lücke darin münden kann, dass Angreifer ihre Privilegien zu “root“ erweitern können.

Angriffsversuche: Updates für betroffene Produkte

Cisco hat bereits Angriffsversuche auf die Schwachstelle beobachtet. Betroffen sind Unified CM, Unified CM SME, Unified CM IM&P, Unity Connection sowie Webex Calling Dedicated Instance. Die Software-Versionen 15SU4 (für März 2026 angekündigt) sowie 14SU5 stopfen das Sicherheitsleck. Wer noch auf Stand 12.5 ist, muss auf die neueren Releases migrieren.

Cisco hat am Mittwoch noch drei weitere Sicherheitsmitteilungen veröffentlicht, um die sich Admins beizeiten kümmern sollten.

Weiterlesen nach der Anzeige

Zuletzt mussten IT-Verantwortliche mit Cisco-Produkten in der vergangenen Woche Sicherheitslücken mit Updates stopfen. In Ciscos Secure Email Gateway und Secure Email und Web Manager wurde bereits seit Dezember eine Sicherheitslücke angegriffen, die den Tätern Root-Rechte und damit die volle Kontrolle über Instanzen verschaffen konnte. Die Sicherheitsupdates hat Cisco am Freitag herausgegeben.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Bundesdruckerei: Datenatlas Bund ist durchgefallen


Für den Datenatlas Bund startet das Jahr aussichtslos. Das Metadaten-Portal sollte eigentlich die Arbeit der Bundesverwaltung vereinfachen: Behörden und Ministerien sollten damit interne Daten der Bundesverwaltung besser finden, verknüpfen und nutzen können. Doch nun hat die Bundesdruckerei den Datenatlas offline geschaltet. Das teilte eine Sprecherin des Bundesministeriums der Finanzen (BMF) auf Anfrage mit.

Das Ministerium hatte die Bundesdruckerei mit der Entwicklung des Datenatlas Bund beauftragt. Die setzte seit 2022 die Forderung aus der Datenstrategie des Bundes von 2021 um. In den einzelnen Ministerien waren die Datenlabore für den Datenatlas zuständig. Warum die Bundesdruckerei den Datenatlas vom Netz genommen hat, ist unklar.

Offiziell heißt es aus der Bundesdruckerei und dem BMF, das Vertragsverhältnis habe zum 31. Dezember 2025 geendet. „Damit endete auch der Betrieb durch uns als Dienstleister“, so die Bundesdruckerei. Auf ihrer Website bewirbt sie den Datenatlas noch immer damit, er sei modern, digital souverän und KI-fähig; über Social Media suggeriert ein Mitarbeiter, er bediene die Ansprüche einer datengetriebenen Verwaltung.

Datenatlas voller Mängel

Dass der Datenatlas weit weniger kann als beworben, zeigte ein unabhängiges wissenschaftliches Gutachten von David Zellhöfer. Der Professor von der Hochschule für Wirtschaft und Recht Berlin erstellte es eigeninitiativ und unentgeltlich und veröffentlichte es Anfang Dezember.

Zellhöfers Datengrundlage stammt aus dem Sommer 2025 und davor. Er wertete Aussagen von Mitarbeiter:innen der Datenlabore und einige Screenshots aus. Außerdem gewährten ihm einige Kolleg:innen aus der Bundesverwaltung Einblicke in das Metadaten-Portal über kurze Live-Demos. Seine direkte Anfrage nach Informationen für seine Forschung wies die Bundesdruckerei ab. Zellhöfers Fazit: In Teilen entspricht das Portal nicht einmal dem Stand der Technik von 1986.

Eigentlich sollte das Metadaten-Portal Datenbestände der öffentlichen Verwaltung für Behörden zugänglicher machen. Metadaten sind Daten über Daten, wie das Erstellungsdatum, der Dateityp oder der Speicherort. Doch habe es dem Datenatlas an grundlegenden Funktionalitäten gemangelt.

Beispielsweise habe es im Datenatlas keine explorative Suche gegeben, wie man das etwa von Suchmaschinen kennt, sondern nur eine gerichtete Suche. Dementsprechend hätten Suchende immer genau wissen müssen, welches Dokument oder welchen Datensatz sie suchen. Auch kontrollierte Vokabulare hätten gefehlt: Damit Verwaltungsmitarbeiter:innen Dokumente finden können, sollten die mit denselben Schlagwörtern belegt werden. Das sei im Datenatlas nicht umgesetzt worden. Problematisch sei das etwa bei Tippfehlern. Darunter leide nicht nur die Datenqualität. Auch die Trefferlisten seien aufgrund der gerichteten Suche unvollständig gewesen.

Auch grundlegende Suchfunktionen wie den Einsatz von Suchoperatoren seien im Datenatlas nur sehr eingeschränkt möglich gewesen, zum Beispiel hätten Mitarbeiter:innen die Operatoren „UND“, „ODER“ oder „NICHT“ nicht anwenden können.

Nicht mehr zuständig

Im Dezember hüteten die Bundesdruckerei und das BMF den Datenatlas noch wie ein Staatsgeheimnis. Gegenüber netzpolitik.org betonten beide: Der Datenatlas sei nicht „für die Nutzung durch die Öffentlichkeit“ bestimmt. Zellhöfer hielten sie vor, das Gutachten sei nicht beauftragt worden. Die Bundesdruckerei erwog sogar „rechtliche Schritte“ gegen den Gutachter.

Erst als das Gutachten Aufmerksamkeit bekam, lenkte die Bundesdruckerei ein und versicherte gegenüber netzpolitik.org, die von Zellhöfer angeführten Mängel bestünden nicht. Seine Datengrundlage hätte den Stand des Datenatlas im Sommer 2025 abgebildet, die Mängel scheinen also in der zweiten Jahreshälfte behoben worden zu sein. Offiziell habe die Bundesdruckerei die Entwicklung des Datenatlas bereits im ersten Quartal 2025 abgeschlossen, sagt das BMF heute.

Wir sind ein spendenfinanziertes Medium

Unterstütze auch Du unsere Arbeit mit einer Spende.

Nun ist der Datenatlas offline. Sie seien für das Projekt nicht mehr zuständig, heißt es sowohl von der Bundesdruckerei als auch vom BMF. Letzteres erklärte gegenüber netzpolitik.org, man könne keine weitergehenden Fragen zur Umsetzung der Datenstrategie beantworten; bis Ende 2025 habe man „alle Maßnahmen zu einer Übergabe des Datenatlas Bund durchgeführt“.

Digitalministerium lehnt ab

Übernehmen sollte den Datenatlas das Bundesministerium für Digitales und Staatsmodernisierung (BMDS). Doch das lehnt eine „Übernahme des BMF-Projekts im aktuellen Projekt-Stadium“ als „nicht wirtschaftlich“ ab, so ein Sprecher des Ministeriums gegenüber netzpolitik.org.

Nach „intensiver Prüfung“ habe sich gezeigt, dass der Datenatlas Bund „trotz intensiver Bemühungen“ kaum genutzt werde. Um daraus ein „wirksames Tool“ zu machen, müsse außerdem noch viel Entwicklungsarbeit hineinfließen.

Ob das Ministerium die Entwicklung eines neuen Metadaten-Portals anstoßen wird, bleibt offen. Grundsätzlich liefere ein solches Portal „eine wichtige Grundlage für eine effiziente Datennutzung in der Bundesverwaltung“. Bei einer neuen Version wolle man „die im Projekt Datenatlas Bund gewonnenen Erkenntnisse“ berücksichtigen, um sicherzugehen, dass bereits getätigte Investitionen weitergenutzt werden können.

Zellhöfers grobe Wirtschaftlichkeitsbetrachtung veranschlagt als Gesamtkosten des Datenatlas gut 2,3 Millionen Euro. Die Gesamtausgaben für den Datenatlas Bund hätten seit Beginn etwa 24,6 Millionen Euro betragen, so die Sprecherin des BMF auf Anfrage. Mutmaßlich liegen die Kosten deutlich darüber, so äußerten sich zumindest anonyme Quellen gegenüber Zellhöfer.



Source link

Weiterlesen

Datenschutz & Sicherheit

Jetzt handeln! Angreifer umgehen offenbar Fortinet-Sicherheitspatch


Derzeit gibt es Hinweise darauf, dass Angreifer ein jüngst veröffentlichtes Sicherheitsupdate umgehen und FortiOS, FortiProxy, FortiSwitchManager und FortiWeb attackieren. Die Lücke gilt als „kritisch“.

Weiterlesen nach der Anzeige

Laufende Attacken

Die IT-Nachrichtenwebsite Bleepingcomputer berichtet von Fortinet-Kunden bei denen Angreifer Fortinet-Produkte trotz installiertem Sicherheitspatch erfolgreich attackieren. Die Schwachstelle (CVE-2025-59718) ist seit Dezember vergangenen Jahres bekannt. Zu diesem Zeitpunkt erschienen auch Sicherheitsupdates.

Seitdem laufen auch Attacken und Angreifer nutzen die Lücke aktiv aus. Im Anschluss haben sie Zugriff auf Geräte. In welchem Umfang die Angriffe ablaufen, ist derzeit unklar. In einem Beitrag führen Sicherheitsforscher von Artic Wolf unter anderem Parameter auf, an denen Admins bereits attackierte Geräte erkennen können.

Instanzen sind aber nur angreifbar, wenn die Authentifizierung über SSO aktiv ist. Das ist standardmäßig nicht der Fall. Weil Fortinet zum jetzigen Zeitpunkt noch kein repariertes Sicherheitsupdate veröffentlicht hat, müssen Admins jetzt handeln und die Anmeldung via SSO deaktivieren. Das gelingt über das Command-Line-Interface mit folgenden Befehlen:

config system global

set admin-forticloud-sso-login disable

Weiterlesen nach der Anzeige

end

Verwundbare Instanzen in Deutschland

In einer Warnmeldung listet Fortinet weiterführende Informationen zu den bedrohten Produkten auf. FortiWeb 7.0 und 7.2 sollen von der Lücke nicht betroffen sein. Sicherheitsforscher von Shadowserver haben das Internet auf SSO-Instanzen gescannt. Sie kommen derzeit weltweit auf mehr als 11.000 Stück. Hierzulande sind es noch knapp mehr als 120 Instanzen.

Zusätzlich haben es Angreifer zurzeit auf FortiSIEM abgesehen und nutzen eine „kritische“ Sicherheitslücke (CVE-2025-64155) aus.


(des)



Source link

Weiterlesen

Beliebt