Die stabile Version WireGuard 1.0 für Windows ist am Wochenende erschienen. Entwickler Jason Donenfeld hat das Release am Samstagabend freigegeben. Er bezeichnet es selbst als Meilenstein.

In der Ankündigung von Donenfeld auf der WireGuard-Mailingliste führt er einige Details aus. Er habe endlich die letzten „1.0-Blocker“ ausgebessert und freue sich, diesen Meilenstein nun erreicht zu haben. Insbesondere der Treiber WireGuardNT enthalte einen Haufen an Fehlerkorrekturen. Die IOCTLs des Treibers haben auf dem NDIS-Device-Node aufgesetzt, wobei dort bestimmte benötigte Funktionen nicht dokumentiert waren. Dadurch war der Code eine tickende Zeitbombe, da bestimmte Pointer nicht auf einem stabilen Offset sitzen. Windows 10 hat dafür eine stabile Funktion integriert, die WireGuardNT nun nutzt.

Was Donenberg ebenfalls noch fehlte, war eine korrekte Benachrichtigung über MTU-Änderungen (Maximum Transmission Unit). WireGuard füllt Pakete stets zur nächsten 16-Byte-Grenze auf, bis zur maximalen MTU der Netzwerkschnittstelle; das soll vor Traffic-Analyse-Angriffen schützen. Unter Linux hat die Software vollen Zugriff auf diese Information, während unter Windows dafür eine Kombination aus unterschiedlichen Werten für Adapter, vom TCP/IP-Interface ausgewählten Werten, zudem noch eine Unterscheidung in IPv4 und IPv6 auf den Treiber zukommt. Windows kennt einen Callback, der über etwaige Änderungen informieren soll, der wird jedoch bei MTU-Änderungen nie aktiv. Microsoft wollte das Donenberg zufolge seit 2019 korrigieren, aber bislang ist davon nichts zu sehen. Als Behelf pollte WireGuardNT alle drei Sekunden alle WireGuard-Interfaces. Das hat der Programmierer jetzt ebenfalls schöner gelöst, nachdem er einige Nachrichten auf dem NSI-Gerät analysiert und reverse-engineert hat. Dadurch kann WireGuard sich umgehend an geänderte MTUs anpassen und nicht erst innerhalb von drei Sekunden.

Das sind die größten Änderungen, kleinere umfassen etwa, dass das Projekt im C23-Modus kompiliert, einem aktuelleren C-Standard. Neben dem Treiber hat er aber auch an WireGuard for Windows geschraubt und dabei 42 Fehler ausgebessert.

WireGuard: Aktualisierte Installationspakete

Die WireGuard-1.0-Pakete stehen auf der Download-Seite von WireGuard zum Herunterladen bereit. Der integrierte Update-Mechanismus zeigt in der Regel aber ebenfalls die verfügbare Aktualisierung an.

Erst in der vergangenen Woche hatte Donenberg nach vier Jahren das erste Update für WireGuard unter Windows veröffentlicht. Zuvor gab es öffentlichen Zwist, da Microsoft Entwicklerkonten mit unzureichender Inhaber-Validierung gesperrt hat. Diese sind zum Signieren der Treiber und der Binärdateien jedoch zwingend nötig. Es gibt zwar ein Berufungsverfahren, dafür gönnt sich Microsoft jedoch bis zu 60 Tage Zeit. Darüber hatte sich etwa der VeraCrypt-Entwickler Mounir Idrassi beschwert. Donenfeld sieht das jedoch entspannter und sortiert das als überbordende Bürokratie ein, was mal passieren könne.

(dmk)

Der Deutschland-Stack ist das Großprojekt des jungen Bundesministeriums für Digitales und Staatsmodernisierung schlechthin. Damit will Karsten Wildberger (CDU) ein „digitales Update“ (€) für Deutschland. Mit der „einheitlichen IT-Infrastruktur mit Basiskomponenten wie Cloud- und IT-Diensten und klar definierten Schnittstellen“ adressiert er die grundlegenden Versäumnisse der seit Jahren schleppenden Digitalisierung der öffentlichen Verwaltung.

Eigentlich könnte das Ministerium hier aus dem Vollen zivilgesellschaftlicher Expertise schöpfen. Viele zivilgesellschaftliche Akteure beobachten die scheiternde Verwaltungsdigitalisierung nicht nur seit Jahrzehnten, sondern bringen ihr Wissen und ihre Erfahrungen häufig ehrenamtlich in Digitalisierungsprojekte und nachhaltige Lösungswege ein.

Zum Start des Konsultationsprozesses im Herbst erhielt das Ministerium zunächst viel Lob. Öffentlich rief es Gruppen, Verbände, aber auch Einzelpersonen dazu auf, über die Plattform openCode ihr Feedback zum Stack einzubringen. Der Zugang dazu ist niedrigschwellig und die einzelnen Beiträge sind öffentlich einsehbar. Die volle Transparenz hebt hier die Konsultation stark von bisherigen Beteiligungsformaten ab.

Workshops ohne die Zivilgesellschaft

Doch um Feedback zu bekommen, fährt das Ministerium von Anfang an zweigleisig. Denn zeitgleich zur offenen Konsultation plante es Workshops mit Verbänden aus den Bereichen Start-ups, Wissenschaft, IT- und Digitalwirtschaft sowie weiteren. Mit von der Partie waren vor allem Wirtschaftsverbände. Dabei erhielt die Zivilgesellschaft bislang keinen Zugang.

Was bei den Workshops herauskam, ist nicht bekannt. Die hätten „generell im Haus intern und auf Arbeitsebene stattgefunden – zu diesen gibt es keine öffentliche Berichterstattung“, erklärt ein Sprecher des BMDS gegenüber netzpolitik.org.

Wie aus der Antwort (PDF) der Bundesregierung auf eine Kleine Anfrage von Sonja Lemke (Die Linke) hervorgeht, gab es im November fünf Workshops – zu den Themen Markt und Integrationsplattform, Startups und Agentic AI. Sie wurden unter anderem ausgerichtet von eco, dem KI-Verband, Bitkom und Databund. Die Bundesregierung betonte, sie habe Expertise zum Thema „technische Standards und Technologien des Deutschland-Stacks“ angefragt, aber an den Workshops lediglich als „Impulsgeber“ teilgenommen.

Digitalministerium lässt sich bitten

Bei der Terminvergabe ging die Zivilgesellschaft leer aus, sowohl in der ersten Konsultationsphase vom 1. Oktober bis zum 30. November als auch in der zweiten vom 16. Januar bis zum 15. Februar. Dabei hatte das Bündnis F5 bereits im Herbst beim Ministerium nach einem Termin gefragt, so Kai Dittmann. Er leitet die Advocacy- und Policyarbeit bei der Gesellschaft für Freiheitsrechte (GFF) und koordiniert das Bündnis.

Zu diesem Bündnis haben sich die Organisationen Reporter ohne Grenzen, AlgorithmWatch, Wikimedia Deutschland, Open Knowledge Foundation Deutschland und GFF zusammengeschlossen, sie setzen sich für eine gemeinwohlorientierte Digitalpolitik ein.

„Wir hatten gehofft, dass das BMDS von sich aus einen Konsultationsworkshop zum Deutschland-Stack anbietet“, sagt Dittmann, „um zunächst ein paar grundlegende Informationen zu vermitteln, etwa was zum Stack gehört und was nicht. Es wäre sinnvoll gewesen, zu Beginn darüber zu diskutieren, bei welchen Fragestellungen die Zivilgesellschaft aktiv eingebunden sein sollte“, etwa bei der Frage nach dem Einsatz digitaler Identitäten und danach, wie der sich auf Grundrechte auswirkt und wie er eingeschränkt werden müsste. Auch zur Frage einer sinnvollen Datenhaltung, um diesen Deutschland-Stack zu befüllen, hätte das BMDS von der Expertise von Wikimedia profitieren können, so Dittmann.

F5-Workshop zu KI in der Verwaltung

Schließlich fand Ende März ein Workshop mit F5 statt. Das Thema: „KI in der Verwaltung“. Doch wie das BMDS auf Anfrage erklärt, habe der Workshop „keinen speziellen Bezug zum Deutschland-Stack“. Das überrascht in doppelter Hinsicht. Denn laut Antwort der Bundesregierung vom Dezember sei ein Workshop mit der Zivilgesellschaft „in Klärung“ und als Organisation benannte sie das Bündnis F5. Das suggeriert, dass der F5-Workshop im Kontext des Deutschland-Stacks geplant war.

Zweitens waren bei diesem Workshop laut BMDS nicht nur Vertreter:innen aus der Zivilgesellschaft eingeladen, sondern auch aus der Wirtschaft. Überraschend ist die „Klarstellung“ des Ministeriums auch, weil KI im überarbeiteten „Gesamtbild“ ausdrücklich Teil des Deutschland-Stacks ist.

Agentische KI soll Verwaltungsaufgaben künftig erleichtern und teilweise übernehmen. Dazu hat das BMDS einen eigenen Hub gegründet und fördert eine Reihe an Pilotprojekten. Eines davon setzt agentische KI beim Antragsverfahren für Wohnberechtigungsscheine ein. Sie betrifft einen sensiblen Bereich, in dem es um die Existenz von Menschen geht. Fehler wären hier verheerend. Das veranschaulicht das Beispiel um die Kindergeldaffäre in den Niederlanden.

„Ins Machen kommen“ braucht klare Grenzen

„Im Workshop haben wir viele Fragen erst angerissen“, so Dittmann. Wie gehen Verwaltungen und Mitarbeiter:innen etwa damit um, wenn was schief geht? Wer trägt die Verantwortung für den Fall, dass Fehler passieren, die unter Umständen gravierende Konsequenzen haben? Der Sachbearbeiter, die Software-Hersteller, der IT-Dienstleister, die Behörde, die das KI-System eingekauft hat, oder der Minister, der das Ganze vorangetrieben hat? Wer ist zuständig, wenn entsprechende KI-Systeme nicht die gewünschten Ergebnisse liefern?

Was passiert, wenn ein einzelner Sachbearbeiter mithilfe von KI-Agenten immer mehr Anträge bearbeitet und etwas übersieht? „Müssen wir mit einer Verantwortungsdiffusion in diesem System rechnen?“, fragt Dittmann. Denn klar sei, die Maschine kann keine Verantwortung tragen.

Das alles seien gesellschaftliche Fragen, über die wir sprechen und die wir klären müssten. Angesichts des Mottos „ins Machen kommen“ seien sie bislang untergegangen. Ins Machen zu kommen, heiße aber auch zu entscheiden, „was wir alles nicht machen“ und Grenzen abzustecken, so Dittmann.

Aufsuchende Beteiligung

Dass das BMDS im Rahmen des D-Stacks die Zivilgesellschaft auf Abstand hält, ist umso unverständlicher, als es laut Sprecher beim KI-Transformationsprozess ausdrücklich darum gehe, deren Perspektiven einzubeziehen.

Auch wenn die Kommunikation des Ministeriums bislang unstet war, den Workshop Ende März sieht Dittmann als Startschuss dafür, zivilgesellschaftliche Expertise nicht nur einzubeziehen, sondern auch als Ressource zu begreifen. Die könne das Ministerium noch mehr nutzen, wenn es sich um eine aufsuchende Beteiligung bemüht.

Das kann bedeuten, die Expertise engagierter Menschen über andere Wege einzuholen. Denn die arbeiten häufig ehrenamtlich und können Workshops nicht wahrnehmen, wenn die an einem Werktag zu normalen Geschäftszeiten stattfinden. Das betrifft zum Beispiel Ehrenamtliche von D64, dem Zentrum für digitalen Fortschritt, vom Chaos Computer Club oder InÖG, dem Innovationsverbund öffentliche Gesundheit.

Das Ministerium könnte Forschungsmittel bereitstellen oder bei Forschenden anfragen, welche Personen oder ehrenamtlichen Organisationen sich bei bestimmten Fragen besonders gut auskennen. Beispielsweise könne das BMDS auch nach Erfahrungen fragen, die ehrenamtliche Digitalisierungsprojekte in Berlin, auf Bundesebene, aber auch in Städten und kleineren Gemeinden eingeholt haben.

Das Softwareunternehmen Vercel hat bekannt gegeben, dass es derzeit einen Sicherheitsangriff untersucht. Ein Angreifer erhielt unbefugten Zugriff auf interne Systeme und Vercel-Kundendaten. Nach Angaben des Unternehmens hat der Vorfall seinen Ursprung bei einem Vercel-Mitarbeitenden, der das KI-Tool Context.ai verwendete. Durch dessen Vercel-Google-Workspace-Account erhielt der Angreifer Zugriff auf Vercel-Umgebungen.

Guillermo Rauch, CEO und Gründer von Vercel, hat auf X Neuigkeiten zu dem Angriff gepostet. Demnach handelt es sich anscheinend um eine „sehr raffinierte Angreifergruppe“, die seiner Vermutung nach künstliche Intelligenz einsetzt und „mit überraschender Geschwindigkeit und tiefgehendem Verständnis von Vercel“ vorging.

React-Framework Next.js offenbar nicht betroffen

Next.js, Turbopack und weitere Open-Source-Projekte des Unternehmens sind nach Angaben von Rauch nicht betroffen: „Wir haben unsere Supply Chain analysiert und sichergestellt, dass Next.js, Turbopack und unsere vielen Open-Source-Projekte für die Community sicher bleiben.“

Sicherheitsprüfung: Vercel veröffentlicht IOC

Laut dem entsprechenden Vercel-Security-Bulletin-Eintrag ist eine begrenzte Zahl an Vercel-Kundinnen und -Kunden von dem Angriff betroffen. Diese seien bereits informiert und zu einer unverzüglichen Rotation ihrer Credentials aufgefordert worden.

Vercel hat zudem einen Indicator of Compromise (IOC) veröffentlicht. Ausgangspunkt des Angriffs war eine Google-Workspace-OAuth-App. Google-Workspace-Admins und Google-Account-Besitzer sollen daher unverzüglich prüfen, ob diese App verwendet wird:

• 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

Vercel-Daten angeblich zum Verkauf angeboten

Wie The Hacker News berichtet, übernehmen Angreifer unter dem Namen ShinyHunters die Verantwortung für diesen Vorfall – und bieten laut Screenshots auf X offenbar gestohlene Daten für zwei Millionen US-Dollar an. Die Gruppe ShinyHunters hat bereits kürzlich Daten aus einem Cyberangriff auf Rockstar Games veröffentlicht. Ob diese für den Angriff auf Vercel tatsächlich verantwortlich ist, hat das Unternehmen bisher nicht bestätigt.

Vercel untersucht den Angriff derzeit noch aktiv und hat Incident-Response-Experten – darunter Googles Cybersicherheitstochter Mandiant – sowie die Behörden eingeschaltet. Über weitere Neuigkeiten wird das Unternehmen auf seinem Security Bulletin informieren.

(mai)