Nutzen Angreifer Sicherheitslücken in Dell Repository Manager oder Wyse Management Suite (WMS) erfolgreich aus, können sie sich höhere Nutzerrechte verschaffen oder sogar eigenen Code ausführen. Letzteres führt in der Regel zur vollständigen Kompromittierung von Systemen. Bislang gibt es noch keine Berichte, dass Angreifer in diesen Fällen bereits Systeme attackieren.

Mit Repository Manager versorgen Admins PowerEdge-Server des Computerherstellers mit unter anderem Systemupdates. Über Wyse Management Suite verwalten Admins Thin-Client-PCs.

Die Gefahren

In Repository Manager haben die Entwickler den Angaben aus einer Warnmeldung zufolge eine Sicherheitslücke (CVE-2026-21420 „hoch“) geschlossen. Voraussetzungen für eine Attacke sind, dass Angreifer lokalen Zugriff haben und über niedrige Nutzerrechte verfügen. Ist das gegeben, können sie auf einem nicht näher beschriebenen Weg Schadcode ausführen und ihre Rechte erhöhen. Die Version 3.4.8 soll gegen solche Angriffe gerüstet sein. Alle vorigen Ausgaben sind den Entwicklern zufolge verwundbar.

Wyse Management Suite ist insgesamt über vier Schwachstellen angreifbar. Zwei Lücken (CVE-2026-22765, CVE-2026-22766) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Im ersten Fall können sich Angreifer mit niedrigen Rechten aufgrund von Fehlern bei der Authentifizierung hochstufen. Im zweiten Fall können Angreifer mit hohen Nutzerrechten eigenen Code ausführen, indem sie mit Schadcode verseuchte Dateien hochladen. Schuld ist eine nicht eingeschränkte Uploadfunktion, erläutern die Entwickler in einer Warnmeldung. Hier schafft die Version 5.5 Abhilfe.

Zuletzt sorgten Dells Speicherarray-Software für die EMC-Serie Unity, UnityVSA und Unity XT mit Root-Sicherheitslücken für Schlagzeilen.

(des)

Drei Jahre lang herrschte Stillstand. Nun geht ein Gerichtsverfahren weiter, das sich gegen die zentrale Speicherung von Gesundheitsdaten aller gesetzlich Versicherten im Forschungsdatenzentrum Gesundheit (FDZ) richtet.

Die Klage hatte die Gesellschaft für Freiheitsrechte (GFF) gemeinsam mit Constanze Kurz, netzpolitik.org-Redakteurin und Sprecherin des Chaos Computer Club (CCC), sowie einem weiteren anonymen Kläger im Mai 2022 eingereicht. Weil das FDZ aber jahrelang nicht arbeitsfähig war und kein IT-Sicherheitskonzept vorlegen konnte, ruhte das Verfahren seit Februar 2023. Im vergangenem Herbst wurde das FDZ offiziell eröffnet, weshalb die GFF das Verfahren nun nach eigenen Angaben fortsetzt und weitere Schriftsätze eingereicht hat.

Der Ausgang der Klage könnte weitreichende Folgen haben. Denn es geht um die Forschung mit Gesundheitsdaten, eine zentrale Säule der erst vor wenigen Wochen vorgestellten Digitalisierungsstrategie von Bundesgesundheitsministerin Nina Warken (CDU). Sollte das Gericht zugunsten der Klagenden entscheiden, könnten wichtige Vorhaben ihres Ministeriums ins Wanken geraten.

Kläger:innen fordern effektiven Widerspruch und besseren Schutz

Die Klagenden werden von dem Rechtswissenschaftler Matthias Bäcker vor dem Sozialgericht Berlin und dem Sozialgericht Frankfurt vertreten. Aus ihrer Sicht verstößt die zentrale Sammlung hochsensibler Gesundheitsinformationen beim FDZ zum einen gegen das Grundrecht der Versicherten, selbst über die eigenen Daten zu bestimmen, sowie gegen das Datenschutzrecht der Europäischen Union.

Zum anderen seien die gespeicherten Daten nicht ausreichend geschützt. Für deren Übermittlung werden nur Namen, Geburtstag und -monat der Versicherten entfernt. Ein von der GFF in Auftrag gegebenes Gutachten des Kryptographie-Professors Dominique Schröder kommt zu dem Schluss, dass eine solche Pseudonymisierung die Versicherten nicht ausreichend schützt. Durch den Abgleich mit anderen Datensätzen ließen sich Betroffene ohne großen Aufwand re-identifizieren.

Die GFF fordert daher für alle Versicherten ein „voraussetzungsloses Widerspruchsrecht“, dass ihre eigenen Gesundheitsdaten für Forschung und andere Zwecke weitergenutzt werden. „Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt und sind ein lukratives Ziel für Kriminelle“, sagt Jürgen Bering, Jurist bei der GFF. „Forschung darf daher nur unter ausreichenden Schutzmaßnahmen stattfinden.“

Auf dem Weg zu „einem der größten Daten-Hubs“

Gesundheitsministerin Warken sieht das Forschungsdatenzentrum als „Innovationsmotor“ der Gesundheitsforschung. Die Einrichtung ist beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) in Bonn angesiedelt. Seit 2022 werden dort Gesundheitsdaten zu allen gesetzlich Versicherten in einer zentralen Datenbank zusammengeführt und für die Dauer von bis zu 100 Jahren gespeichert. Forschende müssen sich bei diesem Zentrum registrieren, um mit den Daten arbeiten zu können.

Bislang übermitteln die gesetzlichen Krankenkassen nur die Abrechnungsdaten all ihrer Versicherten an das FDZ. Diese Daten geben Auskunft darüber, welche Leistungen die Versicherungen in Rechnung gestellt bekommen haben und mit welchen Diagnosen diese versehen sind.

Ab dem vierten Quartal dieses Jahres sollen dann nach und nach die Behandlungsdaten aus der elektronischen Patientenakte hinzukommen. BfArM-Chef Karl Broich geht davon aus, dass seine Behörde in zehn Jahren bundesweit „einer der großen Daten-Hubs“ ist.

„Gesundheitsdaten brauchen zwingend angemessene Sicherheitsmaßnahmen“

Sollte die GFF mit ihrer Klage Erfolg haben, könnte dieses Ziel verfehlt werden. Denn bislang ist vorgesehen, dass die ePA-Daten automatisch an das FDZ gehen – sofern Versicherte dem nicht aktiv widersprechen. Dieser Automatismus müsste dann möglicherweise einer aktiven Einwilligung der Versicherten weichen.

Aus Sicht der Klagenden wäre dies zu begrüßen. „Es wird höchste Zeit, dass das Verfahren fortgeführt wird“, sagt Constanze Kurz. „Denn es braucht Klarheit zur Sicherheit und zum Widerspruchsrecht, schon weil inzwischen der Kreis der nutzungsberechtigten Stellen ganz erheblich erweitert wurde.“

Solarwinds hat eine aktualisierte Version der Dateitransfer-Software Serv-U veröffentlicht. Darin schließen die Entwickler vier als kritisches Risiko eingestufte Sicherheitslücken. IT-Verantwortliche sollten ihre Instanzen umgehend aktualisieren.

In den Release-Notes zu Serv-U 15.5.4 beschreiben Programmierer die ausgebesserten Schwachstellen. Aufgrund „kaputter Zugriffskontrollen“ können Angreifer einen System-Admin-User anlegen und beliebigen Code als „root“ über Domain-Admin- oder Gruppen-Admin-Rechte ausführen (CVE-2025-40538, CVSS 9.1, Risiko „kritisch“). Eine Schwachstelle aufgrund einer sogenannten Type-Confusion können Angreifer ebenfalls missbrauchen, um nativen Code aus dem Netz als „root“ auszuführen (CVE-2025-40539, CVE-2025-40540, beide CVSS 9.1, Risiko „kritisch“). Bei diesem Schwachstellentyp passen tatsächlich übergebene Datentypen nicht mit den erwarteten überein, wodurch der Inhalt etwa Speicherbereiche überschreiben kann.

Vier kritische Lücken in Serv-U

Die vierte Schwachstelle ist vom Typ „unsichere direkte Objektreferenz“ (Insecure Direct Object Reference IDOR). Auch sie erlaubt bösartigen Akteuren die Möglichkeit, bei erfolgreichem Missbrauch Schadcode aus dem Netz auszuführen, mit „root“-Rechten (CVE-2025-40541, CVSS 9.1, Risiko „kritisch“).

Wie Angreifer die Schwachstellen konkret missbrauchen und wie Admins derartige Versuche erkennen können, schreibt Solarwinds jedoch nicht. Die Sicherheitslücken wurden offenbar im Responsible Disclosure offengelegt und bislang noch nicht im Netz attackiert.

Dennoch sollten Admins aufgrund des Schweregrads der Lücken die Aktualisierung zeitnah vornehmen. Cyberbanden nutzen Schwachstellen in Datentransfer-Software oftmals zum unbefugten Zugriff und Kopieren von Daten, um damit Unternehmen zu erpressen.

Zuletzt hatte Solarwinds Mitte November Sicherheitslücken in Serv-U geschlossen.

(dmk)