Wissen

Kritische SicherheitslĂĽcke in GitHub: CodeausfĂĽhrung per git push (CVE-2026-3854)

Wiz Research hat Ende März eine schwerwiegende Schwachstelle in der internen Git-Infrastruktur von GitHub entdeckt und verantwortungsvoll gemeldet. Die Lücke erlaubte es jedem angemeldeten Nutzer, mit einem einzigen git push-Befehl beliebigen Code auf GitHubs Backend-Servern auszuführen – ohne spezielle Werkzeuge, nur mit einem normalen Git-Client.

Read More

BGH: Privatadresse und Unterschrift dürfen aus dem Handelsregister gelöscht werden

Der Bundesgerichtshof hat am 18. Februar 2026 ein datenschutzrechtlich bedeutsames Urteil gesprochen (Az. II ZB 2/25): Wer als Geschäftsführer Dokumente beim Handelsregister eingereicht hat, die mehr personenbezogene Daten enthalten als gesetzlich vorgeschrieben – etwa die private Wohnanschrift oder eine handschriftliche Unterschrift –, kann deren Austausch gegen bereinigte Fassungen verlangen. Der BGH stützt sich dabei auf das Recht auf Löschung nach Art. 17 DSGVO.

Read More

Chatkontrolle: Rechtslage unklar, Tech-Konzerne scannen weiter

Seit dem Wochenende ist die EU-Übergangsregelung ausgelaufen, die Unternehmen wie Google, Meta und Microsoft erlaubte, private Nachrichten anlasslos nach Darstellungen sexualisierter Gewalt gegen Kinder (CSAM) zu durchsuchen. Eine Verlängerung scheiterte im Europaparlament. Ohne diese Ausnahmeregelung verstoßen automatisierte Massenscans nach Einschätzung von Experten und der EU-Kommission selbst gegen die geltende E-Privacy-Richtlinie.

Read More

Google warnt: KI macht Cyberangriffe schneller, gezielter und schwerer erkennbar

Google Cloud hat seinen Cybersecurity Forecast 2026 veröffentlicht – eine nüchterne Bestandsaufnahme der Bedrohungslage, die auf echten Vorfallsdaten und Geheimdiensterkenntnissen basiert. Die Kernaussage: KI ist längst kein Zukunftsthema mehr, sondern wird von Angreifern heute aktiv eingesetzt – für überzeugendere Phishing-Mails, täuschend echte Telefonanrufe (Vishing) mit geklonten Stimmen und automatisierte Angriffskampagnen im grossen Massstab.

Read More

Kritische Schwachstellen in NetScaler ADC und Gateway – sofortiges Update erforderlich

Citrix hat am 23. März 2026 ein Sicherheitsbulletin zu zwei Schwachstellen in NetScaler ADC und NetScaler Gateway veröffentlicht. Beide betreffen ausschliesslich selbst betriebene Installationen – wer die Cloud-verwalteten Dienste von Citrix nutzt, ist nicht betroffen.

Read More

Cyberangriff auf Europa.eu – Kommission bestätigt Datendiebstahl

Am 24. März 2026 entdeckte die Europäische Kommission einen Angriff auf die Cloud-Infrastruktur, auf der die öffentlichen Websites unter europa.eu betrieben werden. Drei Tage später, am 27. März, informierte sie die Öffentlichkeit. Erste Untersuchungsergebnisse bestätigen, dass Daten von diesen Webseiten gestohlen wurden. Die internen Systeme der Kommission seien laut eigenen Angaben nicht betroffen gewesen, und die Verfügbarkeit der Websites wurde nicht unterbrochen. Betroffene EU-Einrichtungen werden derzeit direkt benachrichtigt.

Read More

Bundesrat zur KI-Verordnung: Vereinfachung ja, aber nicht auf Kosten des Schutzes

Der Bundesrat hat am 27. März 2026 Stellung zur geplanten EU-Digital-Omnibus-Verordnung genommen, die die bestehende KI-Verordnung vereinfachen soll. Die Kernbotschaft: Bürokratieabbau ist richtig und wichtig, darf aber nicht den Grundrechtsschutz aushöhlen.

Read More

LinkedIn-Verifizierung: Was du wirklich preisgibst

Wer auf LinkedIn den blauen Haken für verifizierte Identität will, landet unweigerlich bei einem Unternehmen namens Persona Identities, Inc. – einem US-amerikanischen Dienstleister aus San Francisco, den die meisten Nutzer noch nie gehört haben. Ein Blogger hat sich die Mühe gemacht, die 34 Seiten Datenschutzrichtlinien und Nutzungsbedingungen tatsächlich zu lesen – und was er herausfand, ist ernüchternd.

Read More

Axios npm-Paket kompromittiert – Angreifer schleusen Trojaner ein

Am 31. März 2026 wurden zwei Versionen des weit verbreiteten JavaScript-HTTP-Clients Axios (1.14.1 und 0.30.4) mit Schadsoftware verseucht. Ein Angreifer hatte sich Zugang zum npm-Konto des Hauptentwicklers verschafft und darüber gefälschte Paketversionen veröffentlicht, die eine bösartige Abhängigkeit namens „plain-crypto-js" einschleussen. Dieses Paket lädt beim Installieren automatisch einen Fernzugriffs-Trojaner (RAT) auf macOS, Windows und Linux herunter – ohne dass eine einzige Zeile im eigentlichen Axios-Code verändert wurde. Die Spuren wurden anschliessend gezielt verwischt. Mit über 83 Millionen wöchentlichen Downloads ist Axios eines der meistgenutzten Pakete im JavaScript-Ökosystem.

Read More

Buffer-Overflow in Ruby-Gem Zlib – Update erforderlich

In der Ruby-Standardbibliothek wurde eine Sicherheitslücke (CVE-2026-27820) im Zlib-Gem entdeckt, konkret in der Klasse Zlib::GzipReader. Ein Buffer Overflow in der internen Funktion zstream_buffer_ungets kann zu Speicherkorruption führen: Die Funktion verschiebt vorhandene Ausgabedaten im Speicher, ohne vorher sicherzustellen, dass der zugrundeliegende Ruby-String ausreichend Kapazität hat. Das Ergebnis ist ein klassischer Heap-basierter Pufferüberlauf – ein Fehlertyp, der in der Vergangenheit häufig zur Codeausführung missbraucht wurde, auch wenn ein konkreter Exploit bisher nicht öffentlich bekannt ist.

Read More