Dells NAS-Betriebssystem PowerScale OneFS ist über mehrere Sicherheitslücken angreifbar. Dagegen stehen abgesicherte Ausgaben zum Download bereit.

Mögliche Attacken

In einer Warnmeldung führen die Entwickler aus, dass Angreifer Systeme nach erfolgreichen Attacken kompromittieren können. Von den Lücken ist eine mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2026-22278). Verfügt ein Angreifer über Fernzugriff, kann er ohne Authentifizierung an der Schwachstelle ansetzen und sich so weiteren Zugang verschaffen. Wie ein solcher Angriff ablaufen könnte und was Angreifer danach konkret anstellen können, ist bislang unklar.

Die verbleibenden Lücken (etwa CVE-2026-22280) sind mit „mittel“ und „niedrig“ eingestuft. An diesen Stellen können Angreifer etwa für DoS-Attacken ansetzen und so Abstürze auslösen. Dell gibt derzeit keine Hinweise darauf, ob bereits Attacken laufen. Unklar bleibt auch, woran Admins bereits attackierte Instanzen erkennen können.

Systeme schützen

Um die geschilderten Angriffe zu verhindern, müssen Admins eine der reparierten PowerScale-OneFS-Versionen installieren:

• 9.5.1.6
• 9.7.1.11
• 9.10.1.4
• 9.13.0.0

(des)

Die EU-Kommission möchte Europas digitale Souveränität stärken und Abhängigkeiten reduzieren. Dafür setzt sie auf die Nutzung und Entwicklung von europäischer Open Source Software (OSS) als Alternative zu proprietären Angeboten, die oftmals aus den USA kommen.

Anfang Januar hat die Kommission eine Konsultation gestartet, um Input für eine neue Open-Source-Strategie zu erhalten. Bis zum 3. Februar können alle hier Ideen beitragen.

In einem Dokument zu der Konsultation beschreibt die Brüsseler Behörde ihr Vorhaben. Die Kommission teilt darin die Ansicht, dass es nicht ausreiche, nur die Forschung zu Open Source zu stärken. Vielmehr müsse auch das Open-Source-Ökosystem „strategisch gestärkt“ werden. Was bedeutet das konkret?

Einerseits sollen Open-Source-Projekte kommerzieller werden. Die Akteure sollen finanziell gesichert werden, damit sie ihre Angebote skalieren können. Andererseits soll die Organisation verbessert werden. Auch die Sicherheit der Lieferkette will die Kommission adressieren. Ebenfalls soll der öffentliche Sektor dazu animiert werden, Open Source zu nutzen. Das schließt die Kommission selbst ein.

Schlüsselrolle von Open Source anerkannt

„Die angekündigte Strategie zeigt, dass die Kommission auf höchster Ebene verstanden hat, dass nur Open Source digitale Souveränität und Handlungsfähigkeit garantiert“, sagt Sebastian Raible, Leiter für EU-Beziehungen beim europäischen Open-Source-Unternehmensverband APELL. Open Source bedeute ihm zufolge, „sich gar nicht erst in Abhängigkeiten zu begeben, weil Anwender:innen das Produkt nicht mieten, sondern vollständig mit Quellcode erwerben“.

Dafür würden Open-Source-Unternehmen bereits seit Jahrzehnten jährlich Millionenbeträge in die Entwicklung der Infrastruktur investieren. In Raibles Augen ist es sinnvoll – ökonomisch und für den Standort Europa –, dass öffentliche IT-Budgets dazu beitragen.

Raible ergänzt, dass die Kommission ein besonderes Augenmerk auf kritische Infrastruktur gerichtet habe. „Gerade hier brauchen wir konkrete Schritte, um Europas Unabhängigkeit auch vor dem Hintergrund von russischen Angriffen und US-amerikanischen Grönland-Drohungen abzusichern“, bekräftigt er.

Zu der Konsultation finden sich bereits mehrere Hundert Beiträge. Ein Großteil stammt dabei aus der Feder von EU-Bürger:innen, die in Kommentaren ihre eigenen Erfahrungen mit offenem Quellcode und ihre Gedanken zu dem Thema teilen. Daneben haben auch schon einige Unternehmen und NGOs ihre Position mitgeteilt.

Nextcloud will „Buy European“

Das deutsche Unternehmen Nextcloud GmbH zeichnet ein ähnliches Bild wie die Kommission: Vielen Projekten würden nachhaltige Geschäftsmodelle und die Professionalisierung fehlen. Daneben betont die GmbH die große Konkurrenz von Big-Tech-Angeboten, die oftmals Produkte bündeln und Kund:innen an sich fesseln könnten.

Als entscheidenden Hebel sieht das Unternehmen die bevorzugte Beschaffung von europäischen Open-Source-Lösungen durch europäische Regierungen. Dazu schlagen sie vor, den Ansatz „Buy European/Open Source“ zu realisieren, wo möglich. Nextcloud spricht sich dafür aus, dass Behörden vorbildhafte Open-Source-Nutzer sein sollen. Im zweiten Quartal dieses Jahres werden die EU-Vergaberegeln überarbeitet.

Dass so eine Bevorzugung in der Praxis möglich ist, zeigen aktuelle Entwicklungen: Im Ende Januar anstehenden „Industrial Accelerator Act“, der die Industrie in Europa stärken will, soll eine „Buy-European“-Klausel integriert werden. „Öffentliche Gelder sollten zur Stärkung der Resilienz und Wettbewerbsfähigkeit Europas eingesetzt werden“, sagte dazu am Montag bei einer Veranstaltung Madalina Ivanica, stellvertretende Referatsleiterin bei der Generaldirektion Binnenmarkt, Industrie, Unternehmertum und KMU (DG GROW) der Kommission.

Sicherheit durch Open Source

Der Rüstungsarm des französischen Thales-Konzerns und die französische Nationalgendarmerie hätten bewiesen, dass ein Wechsel zu Open Source möglich sei, heißt in einem Beitrag im Namen von Thales Defense. Der Konzern habe seine IT im Juni 2025 innerhalb von 48 Stunden vollständig auf Linux-Systeme migriert.

In seinem Beitrag zur Konsultation hebt das Unternehmen die Vorteile von OSS für die Sicherheit hervor: Wer freie Software einsetze, habe die Kontrolle über den Code und könne Sicherheitslücken schließen, ohne dabei von Dritten abzuhängen. Die Open-Source-Gemeinschaft reagiere außerdem schnell auf gemeldete Fehler.

Auch die Universität Oslo betont, dass Endnutzer:innen den Code selbst analysieren können, was die Sicherheit erhöhe. Darüber hinaus heißt es in ihrem Beitrag zur Konsultation: „Gute Open-Source-Lösungen sind nicht kostenlos. Daher braucht es Wege, um die Entwicklung und die Wartung der Lösungen zu unterstützen.“ Diese müssten über Geld- und Zeitspenden hinausgehen. Tatsächlich steckt hinter Open Source sehr viel freiwillige Arbeit von Ehrenamtlichen innerhalb der Community.

Ressourcen fehlen

Die tschechische NGO node9.org plädiert ebenfalls für mehr Unterstützung von Entwickler:innen durch die Kommission und verspricht: „Es wird sich sowohl finanziell als auch in Bezug auf die Souveränität auszahlen.“

Das kleine französische Unternehmen MiraLab beschreibt eine „Microsoft-Müdigkeit“ in verschiedenen IT-Abteilungen: „Sie suchen nach Alternativen, aber die EU muss die Führung übernehmen.“ Das einzige, was noch fehle, sei Handlung.

So geht es weiter

Die sogenannte „europäische Strategie für ein offenes digitales Ökosystem“ soll zusammen mit dem „Cloud and AI Development Act“, einer Verordnung zur Entwicklung von Cloud und KI, noch im ersten Quartal des Jahres als Paket veröffentlicht werden.

In dieser Woche wird europäische Souveränität außerdem in Straßburg im EU-Parlament debattiert. Auch Kommissionspräsidentin Ursula von der Leyen und Ratspräsident António Costa werden daran teilnehmen. Dabei geht es allerdings nicht spezifisch um den Digitalbereich.

Die Windows-Sicherheitsupdates, die Microsoft am Januar-Patchday verteilt hat, schließen eine Sicherheitslücke in der Kerberos-Authentifizierung. Der Patch läutet zudem die erste Phase zum endgültigen Rauswurf von unsicherer Verschlüsselung mit dem Rivest Cipher 4 (RC4) ein.

Im Windows-Release-Health Message Center erklärt Microsoft, dass der Softwareflicken für eine Sicherheitslücke in Kerberos die Härtung von Kerberos mit RC4 einleitet. Bei der Schwachstelle selbst handelt es sich um ein nicht im Detail erläutertes potenzielles Informationsleck aufgrund der RC4-Nutzung (CVE-2026-20833, CVSS 5.5, Risiko „mittel“). „In dieser Phase werden neue Überwachungs- und optionale Konfigurationseinstellungen eingeführt, die dazu beitragen, die Abhängigkeit von älteren Verschlüsselungstypen wie RC4 zu reduzieren und Domänencontroller auf eine künftige Umstellung vorzubereiten, die mit dem Update im April 2026 beginnt und die standardmäßige Verwendung von AES-SHA1-verschlüsselten Tickets vorsieht.“

Das Update allein schließt die Schwachstelle nicht. Dazu müssen Admins den „Erzwingungsmodus“ in ihrer Umgebung aktivieren, erklärt Microsoft. Besonderes Augenmerk sollten offenbar Dienstkonten und Anwendungen erhalten, die derzeit noch auf RC4-basiertes Kerberos setzen.

In einem eigenen Support-Artikel erörtert Microsoft nun den Zeitplan und die Phasen für das RC4-in-Kerberos-Aus. Die erste Phase startet mit den Januar-Updates, und Microsoft empfiehlt, dass Organisationen alle Active Directory Domain-Controller (AD-DCs) damit ausstatten. Damit will Microsoft die Sichtbarkeit und frühzeitige Entdeckung mittels Kerberos-Audit-Ereignissen und einer temporären Kontrolle davon mittels Registry-Einträgen Vorschub leisten. Admins sollen so Fehlkonfigurationen und verbliebene Abhängigkeiten aufspüren, bevor die zweite Phase im April 2026 anfängt.

Erzwungener Modus beginnt im April

Dort will Microsoft standardmäßig den „erzwungenen Modus“ auf allen Windows-Domain-Controllern aktivieren. „Dieses Update ändert den Standardwert „DefaultDomainSupportedEncTypes“ für KDC-Vorgänge, um AES-SHA1 für Konten zu nutzen, für die kein explizites Active Directory-Attribut „msds-SupportedEncryptionTypes“ definiert ist“, erklärt Microsoft im detaillierten Support-Artikel. „In dieser Phase wird der Standardwert für „DefaultDomainSupportedEncTypes“ auf ‚nur noch AES-SHA1‘ mit dem Wert 0x18 geändert.“

Die dritte Phase folgt mit den Sicherheitsupdates im Juli. Dann entfernt Microsoft das DWORD „RC4DefaultDisablementPhase“ aus dem Registry-Zweig „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters“. Den können Admins seit dem Januar-Update nutzen. Der Wert „0“ bedeutet keine Änderung, kein Audit findet statt. „1“ hingegen protokolliert Warnungsereignisse bei standardmäßiger RC4-Nutzung, was Microsoft in der ersten Phase nun dafür einträgt. Der Wert „2“ schließlich ist für Phase 2 gedacht, in der Kerberos annimmt, dass RC4 nicht standardmäßig aktiv ist, was für Phase 2 der Vorgabewert ist. Der Support-Beitrag listet neun mögliche Ereignis-IDs auf, die Admins bei der Domänenanalyse helfen. Sie sind ab Windows Server 2012 als Domain-Controller verfügbar.

Mitte Dezember hatte Microsoft angekündigt, RC4 auch in Kerberos loswerden zu wollen. Angreifer nutzen die schwache Verschlüsselung, um sich erweiterten Zugang zu Active Directories zu verschaffen, etwa mittels „Kerberoasting“-Attacken. Die IETF hat im Jahr 2015 RC4 in TLS quasi verboten. Microsoft empfiehlt auch schon seit 2013, RC4 nicht mehr einzusetzen.

(dmk)