heise.de/security/news

  1. Angreifer können SolarWinds Web Help Desk lahmlegen

    Mehrere Sicherheitslücken gefährden SolarWinds Web Help Desk. Ein Sicherheitspatche ist verfügbar.

  2. Bundesbeauftragte: Informationsfreiheit soll ins Grundgesetz

    Neben einem Transparenzgesetz brauche es verfassungsrechtliche Absicherung des Anspruchs auf staatliche Informationen, fordert Louisa Specht-Riemenschneider.

  3. Palantir ohne Blackbox: Neo4j kündigt offene Alternative an

    Aus dem Zusammenschluss der Datenanalyseplattform Neo4j und der Polizeisoftware Hume von GraphAware soll eine offene Alternative zu Palantir entstehen.

  4. Burst Statistics: Angriffe auf kritische Lücke im populären WordPress-Plugin

    Angreifer missbrauchen eine kritische Lücke im WordPress-Plugin Burst Statistics. Sie ermöglicht die Übernahme von Instanzen.

  5. Sicherheitsmechanismen in IBM WebSphere Application Server umgehbar

    Es sind wichtige Sicherheitsupdates für IBM WebSphere Application Server und Business Automation Workflow erschienen.

Security-Insider | News | RSS-Feed

  • Kritische OFBiz-Lücken erlauben Codeausführung ohne Anmeldung
    Apache OFBiz 24.09.06 behebt 17 Schwachstellen im Open-Source-ERP-System, darunter zwei kritische Lücken mit CVSS-Score 9.1 und eine mit 9.8, die nicht authentifizierte Codeausführung ermöglichen. Betroffen sind alle Versionen vor 24.09.06. Betreiber sollten schnellstmöglich aktualisieren.
  • Bayern testet Alternativen zu Microsoft
    Bayerns Digitalministerium will die Verwaltung unabhängiger von einzelnen IT-Anbietern machen. In einer Testphase sollen Beschäftigte alternative Softwarelösungen im Arbeitsalltag erproben. Der Schritt folgt auf einen monatelangen Streit innerhalb der Staatsregierung über einen geplanten Rahmenvertrag mit Microsoft.
  • Gartner: Wie Behörden bis 2028 die Deepfake-Krise eindämmen wollen
    Staatliche Organisationen müssen von reaktiver Faktenprüfung zu proaktiver Vertrauensarchitektur übergehen, um Deepfake-Bedrohungen wirksam zu begegnen.
  • Unternehmen verhandeln zum ersten Mal, Angreifer zum hundertsten
    Nach einem Ransomware-Angriff beginnt für viele Unternehmen eine Phase, auf die sie kaum vorbereitet sind: die Kommunikation mit den Angreifern. Während Ransomware-Gruppen diese Verhandlungen routiniert führen, ist es für Unternehmen meist das erste Mal. Forderungen sind verhandelbar, aber selbst eine Zahlung garantiert keine vollständige Wiederherstellung.
  • Dreifache Hochverfügbarkeit für Veeam-Backup-Appliances
    Scality hat seine Unified Software Appliance, welche die Veeam Data Platform und Artesca-Objektspeicher auf einer einzigen Plattform vereint, weiterentwickelt: Artesca+ Veeam HA biete mittelständischen Unternehmen dreistufige Ausfallsicherheit ohne zusätzliche Server.
  • KI trifft falsche Entscheidungen und niemand merkt es rechtzeitig
    KI ist in vielen Unternehmen bereits in operative Prozesse integriert, bevor die Sicherheits- und Governance-Strukturen nachgezogen wurden. Fehl­ent­schei­dung­en automatisierter Systeme sind deshalb kein theoretisches Risiko mehr, sie unterbrechen Prozesse, isolieren Systeme und entstehen, bevor jemand eingreifen kann. Security-Verantwortliche brauchen Kontrolle über KI-Entscheidungen, nicht nur über KI-Systeme.
  • Megalodon kompromittiert 5.561 GitHub-Repositories in sechs Stunden
    In einem Zeitfenster von sechs Stunden versah die Malware Megalodon ins­ge­samt 5.561 GitHub-Repositories mit manipulierten Commits. Die Schad­soft­ware zielt auf CI/CD-Pipelines und greift Zugänge zu AWS, Google Cloud und Azure ab. Quelle sind wohl mit Infostealern infizierte Entwicklerrechner.
  • BfDI stellt 34. Tätigkeitsbericht vor
    Mit einem Plus von 36 Prozent gab es 2025 deutlich mehr eingehende Fälle bei der BfDI als 2024, darunter auch Beschwerden. Dennoch setzte Prof. Dr. Louisa Specht-Riemenschneider vor ihrem Rücktritt zahlreiche Projekte um, die sie im 34. Tätigkeitsbericht vorstellt.