< Zurück
News

HiSolutions Cybersecurity Digest Juli 2025

Security Consulting , Cybersecurity Newsletter

 

Liebe Leserinnen und Leser,

in dieser Ausgabe werfen wir einen kritischen Blick auf die aktuellen Entwicklungen rund um staatliche Eingriffe in verschlüsselte Kommunikation – ein Thema, das unter dem Schlagwort „Chatkontrolle“ zunehmend an Brisanz gewinnt. Auch eine aktuelle Entscheidung von Let‘s Encrypt könnte in diesem Zusammenhang weitreichende Folgen haben.
KI ist ebenfalls wieder ein Thema, mit einigen spannenden Widersprüchen.

  • Staatlicher Zugriff auf Verschlüsselung: Ein zweischneidiges Schwert
  • Wenn das Zertifikat schweigt: Warum die Entscheidung von Let‘s Encrypt weitreichender ist, als sie scheint
  • Zwischen Hype und Realität: Die widersprüchliche Entwicklung der Künstlichen Intelligenz 2025
  • Meta mietet ein Atomkraftwerk für 20 Jahre
  • Eine Lücke bei einem Bluetooth-Zulieferer ermöglicht Angriffe auf Mobilgeräte

Wir wünschen viel Spaß beim Lesen!

Mit besten Grüßen
Abraham Söyler & Holger von Rhein

 

HiSolutions IT-Sicherheit Digest Top-Thema

Staatlicher Zugriff auf Verschlüsselung: Ein zweischneidiges Schwert

Der britische Online Safety Act, der im Oktober 2023 in Kraft trat, verpflichtet Online-Plattformen und Suchdienste dazu, aktiv gegen illegale und schädliche Inhalte vorzugehen. Mit dem Gesetz will die britische Regierung Dienste wie WhatsApp und Apple iMessage verpflichten, verschlüsselte Kommunikation für Ermittlungsbehörden zugänglich zu machen. Die Regulierungsbehörde Ofcom überwacht die Einhaltung der Vorschriften und veröffentlicht schrittweise Leitlinien, die ab Sommer 2025 vollständig wirksam werden sollen. Dieser Umstand stößt weitläufig auf Widerstand, da er nicht nur im Widerspruch zu deutschen, sondern auch zu EU-weiten Datenschutzstandards steht. Eine Ende-zu-Ende-Verschlüsselung gilt dabei als zentrale Schutzmaßnahme, um personenbezogene Daten vor unbefugtem Zugriff zu sichern.

https://www.nortonrosefulbright.com/en-de/knowledge/publications/0b658a5a/online-safety-act

Kleiner Einschub: Ende-zu-Ende-Verschlüsselung bedeutet, dass eine Nachricht direkt in der Anwendung verschlüsselt wird, die der Absendende nutzt – und nur die Anwendung, mit der der Empfangende die Nachricht liest, kann sie wieder entschlüsseln. Die Verschlüsselung erfolgt also nicht nur auf dem Gerät, sondern durch die konkrete App, mit der kommuniziert wird. Dadurch bleibt die Nachricht auf dem gesamten Übertragungsweg geschützt – sie kann weder unterwegs entschlüsselt noch manipuliert werden.

Bei der Transportverschlüsselung hingegen übernimmt ein Kommunikationsprotokoll wie TLS während der Übertragung die Verschlüsselung. Die Nachricht kann dabei auf Sender- und Empfängerseite oder auf Zwischenstationen im Klartext vorliegen und somit eingesehen oder verändert werden. Das ist besonders relevant, da Sendender und Empfangender beim Nachrichtenaustausch meist nicht direkt miteinander kommunizieren, sondern über Server oder andere Vermittlungsstellen.

Sowohl Apple als auch WhatsApp wehren sich juristisch gegen die britischen Pläne. Wie Meta berechtigt einbringt, kann das Vorhaben zu einem „gefährlichen Präzedenzfall“ werden, der andere Staaten ebenfalls ermutigen könnte, Verschlüsselung zu untergraben.

https://heise.de/news/Grossbritanien-WhatsApp-springt-Apple-im-Kryptokrieg-zur-Seite-10443507.html

Da die Anordnungen des britischen Innenministeriums (UK Home Office) geheim erfolgen, muss Apple juristisch Druck ausüben, um überhaupt Teile der sogenannten „Schnüffelbefehle“ offenlegen zu können. Es ist unklar, wie viele Unternehmen bereits betroffen sind.

Ein Zwang zur Implementierung von Hintertüren in iOS würde nicht nur britische Nutzende betreffen. Da Apple weltweit einheitliche Software ausliefert, wären alle Nutzenden weltweit potenziell betroffen. Die britische Regierung könnte damit global die Sicherheit von Milliarden Geräten schwächen.

Ein „Generalschlüssel“ oder eine technische Hintertür ist ein Single Point of Failure. Selbst wenn dieser Schlüssel nur für legitime Ermittlungen gedacht ist, könnte er durch folgende Szenarien kompromittiert werden:

  • Hackerangriffe auf staatliche IT-Infrastrukturen (z. B. SolarWinds, Microsoft Exchange)
  • Insider-Leaks (vgl. Edward Snowden, Reality Winner)
  • Fehlkonfigurationen oder unzureichende Schlüsselverwaltung (z. B. unverschlüsselte Key-Stores, schwache HSM-Policies)

https://www.derstandard.at/story/2000138860690/steirische-bezirkshauptstadt-feldbach-von-hackerangriff-betroffen

https://thehackernews.com/2021/11/fbis-email-system-hacked-to-send-out.html

Ein kompromittierter Generalschlüssel würde den flächendeckenden Zugriff auf private Kommunikation ermöglichen – durch jeden, der ihn besitzt.

Einmal implementierte Hintertüren lassen sich nicht selektiv nutzen. Sie können von autoritären Regimen, kriminellen Gruppen, fremden Nachrichtendiensten genauso ausgenutzt werden wie von demokratischen Behörden. Kryptografie kennt keine politischen Intentionen – nur mathematische Schwächen.

Fazit: Sicherheit durch Verschlüsselung – nicht trotz.

Die Forderung nach dem Zugriff auf verschlüsselte Kommunikation ist verständlich, aber technisch gefährlich. Staatliche Systeme sind nicht immun gegen Angriffe. Wer ihnen Generalschlüssel anvertraut, riskiert, dass diese Schlüssel früher oder später kompromittiert werden.

Starke Verschlüsselung schützt nicht nur die Privatsphäre – sie ist ein Grundpfeiler der digitalen Sicherheit und letztendlich der Demokratie.

 

HiSolutions IT-Sicherheit Digest Neuigkeiten

Wenn das Zertifikat schweigt: Warum die Entscheidung von Let's Encrypt weitreichender ist, als sie scheint

Am 4. Juni 2025 hat Let's Encrypt, eine Nonprofit-Organisation zur Verteilung kostenloser Zertifikate für die Verschlüsselung von Internet-Verkehr, eine scheinbar kleine, aber folgenreiche Änderung eingeführt: Die gemeinnützige Zertifizierungsstelle verschickt keine E-Mail-Benachrichtigungen mehr, wenn ein TLS-Zertifikat kurz vor dem Ablauf steht. Was auf den ersten Blick wie ein technisches Detail wirkt, könnte sich als Stolperstein für viele Betreibende von Webseiten, APIs und IoT-Geräten erweisen.

https://letsencrypt.org/2025/06/26/expiration-notification-service-has-ended/

Die Gültigkeitsdauer von TLS-Zertifikaten hat sich in den letzten Jahren deutlich verkürzt:

  • Früher waren Laufzeiten von 1 bis 3 Jahren üblich.
  • Heute liegt die maximale Laufzeit für öffentlich vertrauenswürdige Zertifikate bei 398 Tagen.
  • Let's-Encrypt-Zertifikate sind sogar nur 90 Tage gültig.
  • Eine weitere Verkürzung wurde vor kurzem erst im CA/Browser-Forum beschlossen.

https://cabforum.org/2025/04/11/ballot-sc081v3-introduce-schedule-of-reducing-validity-and-data-reuse-periods/

Diese kurze Laufzeit hat Vorteile:

  • Sie minimiert das Risiko bei kompromittierten Schlüsseln.
  • Sie erzwingt eine regelmäßige Erneuerung und dadurch eine häufigere Überprüfung.
  • Sie fördert die Automatisierung, da eine manuelle Verlängerung für kurze Zeiträume aufwändig ist.

Aber: Wer keine automatische Erneuerung eingerichtet hat, muss sich regelmäßig selbst kümmern oder sich auf Erinnerungen verlassen. Und genau diese Erinnerungen entfallen jetzt.

Als mögliche Konsequenzen drohen:

  • Plötzliche Ausfälle von Webseiten
    Viele kleinere Webseitenbetreibende oder Hobbyprojekte verlassen sich auf die Erinnerungsmails. Ohne diese Warnung könnten Zertifikate unbemerkt ablaufen, mit der Folge, dass Browser Sicherheitswarnungen anzeigen oder den Zugriff ganz blockieren.
  • Vertrauensverlust bei Nutzenden
    Ein abgelaufenes Zertifikat wirkt auf Besuchende wie ein „digitales Warnschild“. Selbst wenn die Seite harmlos ist, schreckt die Browsermeldung viele ab – besonders bei Onlineshops oder Gesundheitsportalen.
  • Probleme in der Lieferkette
    APIs, Microservices oder IoT-Geräte, die auf verschlüsselte Kommunikation angewiesen sind, könnten durch ein abgelaufenes Zertifikat ausfallen – mit Dominoeffekten in größeren Systemen.

Was können Betreibende tun?

  • Automatisierung prüfen: Tools wie Certbot, acme.sh oder integrierte Lösungen in Webservern (z. B. Caddy, Traefik) ermöglichen eine automatische Erneuerung von Zertifikaten.
  • Monitoring-Dienste nutzen: Externe Tools wie Uptime Robot, SSLMate, Red Sift Certificates oder Checkly überwachen Zertifikate und senden eigene Warnungen.
  • Eigene Skripte einsetzen: Mit einfachen Shell- oder Python-Skripten lässt sich die Gültigkeit von Zertifikaten regelmäßig prüfen und bei Bedarf benachrichtigen.

Fazit: Die Entscheidung von Let's Encrypt ist ein Weckruf zur Eigenverantwortung.

Let's Encrypt hat das Web sicherer gemacht – kostenlos und automatisiert. Doch mit der Abkehr von Erinnerungsmails wird klar: Die Verantwortung für die Sicherheit liegt bei den Betreibenden selbst. Wer sich nicht kümmert, riskiert Ausfälle, Vertrauensverlust und im schlimmsten Fall wirtschaftliche Schäden.

 

Zwischen Hype und Realität: Die widersprüchliche Entwicklung der Künstlichen Intelligenz 2025

Die Künstliche Intelligenz (KI) ist zweifellos das technologische Leitmotiv unserer Zeit. Doch während Milliarden in KI-Modelle, Agenten und Infrastruktur fließen, mehren sich zugleich kritische Stimmen, Rückschläge und überraschende Wendungen. Ein Blick auf die Entwicklungen der letzten Wochen zeigt: Die KI-Welt ist voller Widersprüche.

Rückbau statt Revolution: 40 % der KI-Agenten werden wieder abgeschafft

Laut einer aktuellen Prognose von Analyseunternehmen Gartner werden bis 2027 rund 40 % der heute entwickelten KI-Agenten wieder eingestellt, weil sie sich als ineffizient, unpraktisch oder schlicht überflüssig erweisen. Der anfängliche Enthusiasmus für autonome Agenten, die Aufgaben selbstständig erledigen, weicht zunehmend der Erkenntnis, dass viele dieser Systeme in der Praxis scheitern – sei es an mangelnder Integration, fehlender Nutzendenakzeptanz oder schlicht an zu hohen Betriebskosten.

https://www.golem.de/news/kuenstliche-intelligenz-40-prozent-aller-ki-agenten-bis-2027-wieder-abgeschafft-2507-197621.html

Apple-Studie: KI denkt nicht – sie simuliert nur

Eine brisante Studie von Apple-Forschenden zeigt, dass selbst fortgeschrittene Sprachmodelle bei komplexem logischen Denken versagen. In kontrollierten Puzzle-Umgebungen brachen die Modelle bei steigender Komplexität vollständig ein.

https://www.golem.de/news/da-wird-nicht-gedacht-apple-studie-deckt-schwachstellen-bei-ki-reasoning-auf-2506-196972.html

Milliarden für KI – aber wohin?

Gleichzeitig boomt der Markt: 76 Unternehmen wollen KI-Gigafabriken in der EU bauen, um den steigenden Bedarf an Rechenleistung zu decken. Meta, Amazon, Microsoft und andere Tech-Giganten liefern sich ein Wettrennen um Talente, Chips und Marktanteile. Doch IBM-Chef Arvind Krishna warnt: „Wir befinden uns in einer KI-Blase“ – viele Investitionen seien spekulativ und nicht nachhaltig.

https://www.golem.de/news/ex-scale-ceo-zuckerberg-startet-ki-offensive-2507-197619.html

https://www.golem.de/news/arvind-krishna-ibm-chef-warnt-vor-ki-blase-2506-197617.html

https://heise.de/news/Milliardeninvestitionen-76-Interessenten-wollen-KI-Gigafabriken-in-der-EU-bauen-10465243.html

KI im Alltag: Zwischen Nutzen und Frust

Ein besonders anschauliches Beispiel liefert der Autovermietender Hertz: Dort sorgt eine KI-gestützte Schadenserkennung für Ärger, weil die Kundschaft hohe Gebühren für kaum sichtbare Kratzer zahlen muss. Auch im Marketing zeigt sich: Texte mit sichtbarem KI-Ursprung schrecken die Interessenten eher ab.

https://heise.de/news/Automatische-Schadensermittlung-per-KI-Hertz-erhebt-hohe-Gebuehren-fuer-Schramme-10464534.html

https://www.golem.de/news/marketing-werbung-mit-ki-im-text-schreckt-kunden-ab-2506-197590.html

Talente wandern ab – OpenAI verliert Forschende an Meta

Während OpenAI mit Sicherheitsbedenken kämpft, wechseln führende Forschende zu Meta – ein Zeichen für interne Spannungen und strategische Differenzen in der KI-Elite. Der Wettlauf um die besten Köpfe wird härter und zunehmend politisch.

https://www.golem.de/news/forschungsleiter-schlaegt-alarm-openai-forscher-wechseln-zu-meta-2506-197587.html

Fazit: KI zwischen Vision und Realität

Die KI-Entwicklung 2025 ist geprägt von einem Spannungsfeld aus Fortschritt, Überforderung und Rückbesinnung. Während Unternehmen Milliarden investieren und neue Anwendungen testen, zeigen sich zugleich die Grenzen der Technologie, die Skepsis der Nutzenden und die Unklarheit über den gesellschaftlichen Nutzen.

Die Frage ist nicht mehr, ob KI unsere Welt verändert, sondern wie nachhaltig, sinnvoll und verantwortungsvoll diese Veränderung gestaltet wird.

 

Meta mietet ein Atomkraftwerk für 20 Jahre

Dass die großen KI-Modelle viel Strom ziehen, ist allgemein bekannt. Nun hat Meta eine Vereinbarung mit dem Kernkraftwerk Clinton in Illinois unterzeichnet, dessen Anlage voraussichtlich eine Leistung von 1,12 Gigawatt zur Verfügung stellt, um seinen Bedarf in den kommenden 20 Jahren decken zu können. Zum Vergleich: das Bitcoin-Netzwerk hatte im Februar 2022 rund 23,2 Gigawatt an Leistung. Die fälschliche Bezeichnung als „sauberer Strom“ ist eine der soziotechnischen Auswirkungen des energieintensiven Betreibens von KI-Systemen.

https://www.golem.de/news/ki-rechenzentren-meta-kauft-20-jahre-lang-sauberen-atomstrom-2506-196825.html

 

Eine Lücke bei einem Bluetooth-Zulieferer ermöglicht Angriffe auf Mobilgeräte

Sicherheitsforschende von ERNW haben einen Weg gefunden, eine Vielzahl an Bluetooth-Kopfhörern anzugreifen. Sie haben im Protokoll des vielfach eingesetzten Airoha SoC (Socket-on-Chip) Lücken gefunden, durch die sowohl der RAM als auch Flash-Speicher des Chips durch einen nicht gekoppelten Angreifenden ausgelesen und manipuliert werden kann, wodurch auch die verbundenen Geräte und dort gespeicherten Daten gefährdet sind.

Auch wenn die Auswirkungen vermutlich nur für gefährdete Personen (Journalisten, Politiker etc.) praxisrelevant sind, zeigt sich hierbei die besondere Gefahr bei Supply-Chain-Angriffen in Hardware-Komponenten: Ein Update des SDK (Software Development Kits) ist zwar bereits vorhanden, eine Umsetzung in den entsprechenden Geräten aber teilweise noch ausstehend. Auch ist ein Updaten der Geräte oft nur mit den Hersteller-Apps möglich, die kaum genutzt werden.

https://insinuator.net/2025/06/airoha-bluetooth-security-vulnerabilities/

 

HiSolutions IT-Sicherheit Digest Veranstaltungen

HackHERthon vom 08.-10.09. in Berlin

Wir möchten talentierten und interessierten Frauen einen Raum frei von Erwartungshaltung und Leistungsdruck bieten und sie anhand von technischen Herausforderungen zusammenbringen. Zu diesem Anlass veranstaltet HiSolutions zum zweiten Mal in ihren Berliner Räumlichkeiten ein dreitägiges Event, bestehend aus einem CTF-Wettbewerb und kreativer Problemlösung bei einer klassischen Hackathon-Herausforderung. 

Die Teilnahme ist kostenfrei. 

Zur Anmeldung: https://www.hisolutions.com/hackherthon

Eindrücke aus dem vergangenen Jahr: https://youtu.be/jee2Y8n8KOc?si=gOB3qxuPizuPeBxZ

 

Der nächste HiSolutions Cybersecurity Digest erscheint Mitte August 2025.

Jetzt abonnieren!

Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: