Bereits vor zwei Wochen hat Trend Micro eine Warnung vor einer in freier Wildbahn attackierten Sicherheitslücke in der On-Premises-Version der Apex One Management Console veröffentlicht. Jetzt reagiert auch die US-amerikanische Cybersicherheitsbehörde CISA und nimmt die als „kritisches Risiko“ eingestufte Schwachstelle in den „Known Exploited Vulnerabilitites“-Katalog (KEV) auf. Trend Micro hat zum Wochenende außerdem einen finalen Patch nachgelegt, der die zugrundeliegenden Fehler korrekt ausbessert und die „Remote-Install-Agent“-Funktion wiederherstellt.

In der Sicherheitsmitteilung von Trend Micro erörtern die Antivirenspezialisten, dass das vorläufige Fix-Tool bereits am 6. August eine erste Aktualisierung erhalten hatte, da die Installation der Ursprungsfassung in einigen Nicht-Standard-Konfigurationen fehlschlug. Seit dem Wochenende steht nun jedoch der finale Patch bereit, der bei Trend Micro auf der Apex-One-Downloadseite heruntergeladen werden kann.

Finaler Patch für Apex One SP1 verfügbar

Auf dem Reiter „Product Patch“ steht nun die Datei apexone-sp1-win-en-criticalpatch-b14081.exe bereit, die auf Apex One Service Pack 1 angewendet werden sollte. Die Build-Version steigt damit auf 14801.

Die Sicherheitslücke ermöglicht „pre-authenticated“ Angreifern aus dem Netz, bösartigen Code hochzuladen und Befehle auf verwundbaren Instanzen auszuführen; der Schwachstellentyp lautet „OS Command Injection“, also Einschleusen von Befehlen ans Betriebssystem. Die Lücke hat zwei CVE-Einträge erhalten, die jeweils für unterschiedliche Prozessorarchitekturen gelten. Ins Detail geht Trend Micro jedoch nicht, wie sich die Lücke etwa missbrauchen oder woran sich Angriffsversuche erkennen lassen (CVE-2025-54987/EUVD-2025-23620, CVE-2025-54988/EUVD-2025-23621, CVSS 9.4, Risiko „kritisch„).

Vor etwa zwei Wochen wurde die Sicherheitslücke in der Verwaltungsoberfläche bekannt. Den Entwicklern zufolge ist Trend Micro Apex One (On-Premise) 2019 bis einschließlich Management Server Version 14039 davon betroffen. Der zunächst veröffentlichte Patch „FixTool_Aug2025“ wurde jedoch als vorläufig eingestuft, da die Remote-Install-Funktion davon abgewürgt wurde.

(dmk)

Im Streit um eine von der britischen Regierung gesetzlich geforderte Hintertür für iCloud gibt es zumindest mit Washington nun eine Einigung. Das teilte Tulsi Gabbard, die in der Trump-Administration als Director of National Intelligence, also Geheimdienstkoordinatorin, dient, auf X mit. Seit einigen Monaten habe man „eng mit unseren Partnern in Großbritannien“ gearbeitet, „um sicherzustellen, dass die privaten Daten der Amerikaner privat bleiben und unsere verfassungsmäßigen Rechte und bürgerlichen Freiheiten geschützt bleiben“. Präsident Trump und Vizepräsident J.D. Vance seien eingebunden gewesen.

Großbritannien wollte verschlüsselte Daten

Das Ergebnis sei, dass das Vereinigte Königreich seine Anordnung an Apple fallen gelassen habe, eine „Back Door“ in seine Systeme (konkret: iCloud) zur Verfügung zu stellen. Laut Gabbard hätte diese dafür gesorgt, dass Großbritannien auf „geschützte verschlüsselte Daten amerikanischer Bürger“ hätte zugreifen können, ein Eingriff in deren „Civil Liberties“. Gabbard machte zunächst keine Angaben dazu, wie der Deal konkret aussieht und ob es eine Gegenleistung dafür gibt.

Zuvor hatte es massive diplomatische Verstimmung zwischen Washington und London um die mögliche iCloud-Hintertür gegeben. Sie sollte im Rahmen des britischen Schnüffelgesetzes UK Investigatory Powers Act umgesetzt werden, das auch die sozialdemokratische Regierung von Keir Starmer weiterverfolgt. Apple hatte zunächst nicht einmal öffentlich zugeben können, von dem Gesetz betroffen zu sein, da die Anordnung geheim ist, dann aber versucht, sich juristisch zu wehren. US-Präsident Trump hatte Großbritanniens Pläne mit denen von China verglichen. „Das geht nicht“, sagte er.

Keine Angaben von der britischen Regierung

Der britische Ministerpräsident Starmer war am Montag in Washington, um zusammen mit weiteren europäischen Staatsspitzen sowie dem ukrainischen Präsidenten Selensky über einen Frieden im Ukraine-Krieg zu verhandeln. Einen Kommentar der britischen Regierung zu Gabbards X-Statement gab es nicht. Eine Sprecherin teilte gegenüber der Nachrichtenagentur Reuters nur mit, die Regierung werde „stets alle notwendigen Maßnahmen im Inland“ ergreifen, damit britische Bürger sicher blieben. Auch Apple reagierte auf Nachfrage zunächst nicht.

Der Konzern hatte zuletzt seine Verschlüsselungsfunktion Advanced Data Protection (ADP) für iCloud für britische Kunden abgeschaltet. Damit hat der Konzern selbst Zugriff auf die notwendigen Schlüssel und könnte Daten britischer Bürger an Behörden herausgeben, sofern entsprechende Anordnungen vorliegen. Apple hatte sich stets gewehrt und mitgeteilt, man werde keine Hintertür in Geräte und Verschlüsselungssysteme einbauen. Apple strengte auch juristische Maßnahmen beim zuständigen Spezialgericht, dem geheimen Investigatory Powers Tribunal (IPT), an. Ob diese weiterlaufen, ist unklar – ebenso wenig, ob Großbritannien eventuell versucht, Daten von Bürgern außerhalb Amerikas zu erlangen. Über einen Deal mit der EU zu dem Thema ist nichts bekannt.

(bsc)

Das Königreich Marokko zieht vor den deutschen Bundesgerichtshof (BGH). Praktisch zu Faschingsbeginn, am 11. November 2025 um 11:30 Uhr, wird in Karlsruhe darüber verhandelt, ob ausländische Staaten inländische Medien auf Unterlassung von Verdachtsäußerungen klagen können. Den Termin hat die BGH-Pressestelle am Montag verlautbart. Spaßig ist der Anlass nicht: Es geht um Medienberichte über die Spyware Pegasus, deren Kunden und deren Opfer.

Marokko hat im Jahr 2021 sowohl das Nachrichtenportal Zeit Online als auch die Süddeutsche Zeitung verklagt. Die Klagen sollen erreichen, dass deutsche Medien nicht mehr über den Verdacht berichten, eine Behörde des Königreichs Marokko habe die Spyware gegen Menschenrechtler, Journalisten und führende europäische Politiker eingesetzt, darunter Emmanuel Macron, Präsident Frankreichs und Co-Regent Andorras, sowie Charles Michel, damals Präsident des Europarates. Die Monarchie bestreitet, überhaupt eine Pegasus-Lizenz erworben zu haben.

Die Pegasus-Spyware nutzt geheim gehaltene Sicherheitslücken aus, um aus der Ferne in fremde Smartphones einzudringen, dann Daten auszuwerten und die Handybesitzer samt Aufenthaltsort und Kommunikation zu überwachen. Finanziert wird das aus Steuergeld jener Länder, deren Dienste Pegasus-Lizenzen kaufen, darunter auch deutsche Behörden. Hersteller Pegasus‘ ist die israelische Firma NSO Group. Sie hält Kundenlisten wie Opferlisten geheim, stellt aber in Abrede, Macron ausspioniert zu haben. Inzwischen soll Israel die Liste jener Länder, in welche die Spyware verkauft werden darf, deutlich zusammengestutzt haben.

Infizierte Handys in 2 Labors untersucht

Bei einem Datenleak ist vor einigen Jahren eine Liste mit mehr als 10.000 Telefonnummern durchgesickert, die von NSO-Kunden für potenzielle Überwachung mittels Pegasus eingegeben worden sein dürften. Ein Recherchekollektiv mit NDR, Süddeutscher, WDR, Zeit und Journalisten aus anderen Ländern, koordiniert vom Verein Forbidden Stories und technisch unterstützt vom Security Lab amnesty internationals (ai), machte sich an die Arbeit. Einige der Telefonnummern hat das Recherchekollektiv Anwälten, Journalisten, Menschenrechtlern und eben Politikern, darunter Macron und Michel, zugeordnet. Macrons Telefonnummer sei „mit hoher Wahrscheinlichkeit“ von „jemandem im Sicherheitsapparat Marokkos“ eingeben worden, berichtete Zeit Online im Juli 2021.

Auch Angriffe auf das Handy der damaligen Journalistin Dominique Simmonot und des Pariser Menschenrechtsanwalts Joseph Breham wurden dokumentiert. 37 betroffene Smartphones konnte das ai-Labor physisch untersuchen. 23 waren erfolgreich mit der Schadsoftware infiziert, die anderen 14 zeigten Spuren eines versuchten Angriffs. Die Ergebnisse wurden in einer unabhängigen Untersuchung durch das kanadische IT-Sicherheitslabor Citizen Lab der Universität Toronto bestätigt.

Zeit und Süddeutsche Zeitung berichteten über den Verdacht, dass jemand in staatlichen Diensten Marokkos hinter diesen Attacken stecke. Das Königreich erachtet sich als zu unrecht verdächtigt und hat den Verlag der Süddeutschen sowie den Betreiber von Zeit Online auf Unterlassung geklagt.

Marokkos Klagen

Bislang ohne Erfolg. Sowohl vor dem Landgericht Hamburg (LG) als auch dem Hanseatischen Oberlandesgericht (OLG) hat Marokko beide Prozesse verloren. Dabei mussten die Medienunternehmen den Wahrheitsbeweis gar nicht antreten. Denn ausländische Staaten könnten äußerungsrechtliche Ansprüche gar nicht geltend machen. Aus dem Leitsatz des Hamburger OLG: „Ausländische Staaten gehören nicht zu dem Kreis von Rechtssubjekten, die von dem Tatbestand der üblen Nachrede geschützt werden. Sie verfügen als solche auch nicht über ein allgemeines Persönlichkeitsrecht.“

Höchstgerichtliche zu dieser Fragestellung im Medienrecht gibt es bislang nicht. In einem strafrechtlichen Fall wegen Verunglimpfung der Bundesrepublik hat das Bundesverfassungsgericht entschieden, dass „dem (deutschen) Staat kein grundrechtlich geschützter Ehrenschutz“ zukomme. Einzelperson und unterstaatliche Organisation sind unstrittig geschützt, egal ob Inländer oder Ausländer; für Staaten als solche soll das aber nicht gelten, sofern es im deutschen Recht keine speziellen Bestimmungen dafür gibt. Das LG hat die marokkanische Klage abgewiesen, die dagegen gerichtete Berufung hat das OLG als unbegründet zurückgewiesen.

Medienfreiheit

Dabei brach das OLG eine Lanze für die Pressefreiheit: „Auch praktische Gesichtspunkte sprechen dafür, ausländische Staaten nicht in den Schutzbereich der Beleidigungsdelikte einzubeziehen, weil dies zu einer übermäßigen Einschränkung der Meinungs- und Pressefreiheit führen würde. Gerade dann, wenn ausländische Staaten sich in Krisen oder in einem Konflikt mit anderen Staaten befinden, besteht einerseits ein hohes öffentliches Interesse daran, über das Geschehen informiert zu werden; andererseits aber sind die Recherchemöglichkeiten deutscher Journalisten, deren Tätigkeit außerhalb des Geltungsbereichs des Grundgesetzes und der Charta der Grundrechte der Europäischen Union ohnehin rechtlich weniger gesichert ist als im Inland, dort mitunter besonders beschränkt. Das hat zur Folge, dass die Anwendung derjenigen Schutznormen, bei denen die Presse sich gegen den Vorwurf ihrer Verletzung nur durch einen Wahrheitsbeweis (§ 186 StGB) oder den Nachweis der Einhaltung der meist ungeschriebenen Regeln über die Wahrnehmung berechtigter Interessen (§ 193 StGB) erfolgreich verteidigen könnte, zu einer Schieflage führen würde, die eine Ausübung der Pressefreiheit erheblich zu beschränken drohte.“

Doch Marokko gibt nicht auf und zieht vor den Bundesgerichtshof. Dessen unter anderem für das allgemeine Persönlichkeitsrecht zuständige VI. Zivilsenat hat nun über die Frage zu entscheiden, ob einem ausländischen Staat äußerungsrechtliche Abwehransprüche gegen inländische Medien zustehen können.

Vorinstanzen:

(ds)