92 ist die hälfte von 99

Neuigkeiten aus der KW49.2025

WERBUNG: „Hier könnte Ihre Einleitung stehen!“ 😉

Plex Pass | ePA Drama | Aisuru Rekord-DDOS | Schweizer NDB | React2Shell | UbuntuPro WSL | PDM 1.0 Release | Windows 11 25H2 | Grafana Lücke

Artikel 1

Plex beendet kostenlosen Remote-Zugriff: Was sich für Nutzer ändert

Plex setzt ab dieser Woche seine neuen Richtlinien durch, die den kostenlosen Remote-Zugriff auf persönliche Medienserver beenden.

Die Änderungen betreffen zunächst Roku-Nutzer, bevor sie 2026 auf alle anderen Plattformen ausgeweitet werden.

Was ändert sich konkret?

Bisher konnten Nutzer außerhalb des Netzwerks eines Serverbesitzers kostenlos auf dessen Medienbibliothek zugreifen. Mit den im März angekündigten neuen Regeln benötigt nun entweder der Serverbesitzer ein Plex Pass Abo (ab 7 US-Dollar monatlich), oder die externen Nutzer müssen sich einen eigenen Plex Pass oder den günstigeren Remote Watch Pass (ab 2 US-Dollar monatlich) zulegen.

Die neuen Bestimmungen traten offiziell am 29. April in Kraft. Laut einem aktuellen Forumsbeitrag eines Plex-Mitarbeiters beginnt die Umsetzung diese Woche mit der Roku OS App. Alle anderen Plex TV-Apps wie Fire TV, Apple TV und Android TV sowie Drittanbieter-Clients folgen im Jahr 2026.

Hintergründe der Änderung

Plex begründet die Maßnahmen mit steigenden Kosten für die Unterstützung zahlreicher Geräte und Codecs. Zudem will das Unternehmen neue Features finanzieren, darunter eine Integration mit Common Sense Media, eine verbesserte Server-Management-App und eine offene API für Server-Integrationen.

Das Unternehmen steht unter zunehmendem wirtschaftlichem Druck: Im Januar 2024 befand sich Plex nach Angaben von TechCrunch kurz vor der Profitabilität und sammelte 40 Millionen US-Dollar an Finanzierung ein (nach bereits 50 Millionen im Jahr 2021). Die neuen Abo-Pflichten sollen die Einnahmen steigern und den Investoren Renditen ermöglichen.

Reaktionen und Alternativen

Die Entwicklung könnte langjährige Nutzer verärgern, die Plex hauptsächlich als Medienserver nutzen und kein Interesse an Abonnements, Streaming-Kanälen oder Filmverleih haben. Interessanterweise gab Plex 2023 bekannt, dass seit 2022 mehr Menschen den Online-Streaming-Dienst als die Medienserver-Funktionen nutzen, ein Hinweis darauf, dass das Unternehmen seine Prioritäten verschoben hat.

Für Nutzer, die eine auf Media-Hosting fokussierte Lösung suchen, werden Alternativen wie Jellyfin zunehmend attraktiver. Diese bieten ähnliche Funktionen ohne die zunehmende Kommerzialisierung, die Plex in den letzten Jahren durchlaufen hat.

Fazit

Die Änderungen bei Plex markieren einen weiteren Schritt in der Transformation des Unternehmens vom reinen Media-Server-Anbieter zum umfassenden Streaming-Dienst. Ob diese Strategie langfristig aufgeht, wird davon abhängen, wie viele treue Nutzer dem Unternehmen erhalten bleiben, bzw. wieviele zu Open-Source-Alternativen wechseln.

Artikel 2

Die elektronische Patientenakte (ePA): Zwischen Datensicherheit und holpriger Einführung

Die elektronische Patientenakte (ePA) ist das Herzstück der Digitalisierung im deutschen Gesundheitswesen. Sie verspricht einen besseren Überblick über die eigene Krankengeschichte, effizientere Behandlungen und weniger Zettelwirtschaft.

Doch während der Nutzen klar auf der Hand liegt, werfen die Themen Sicherheit, Sicherheitslücken und die Einführung bei Versicherten und Leistungserbringern weiterhin Fragen auf.

Hohe Sicherheitsstandards: Der Grundpfeiler der ePA

Die Sicherheit sensibler Gesundheitsdaten hat bei der ePA höchste Priorität. Die gesetzlichen Vorgaben sind streng, und es wurden umfangreiche Maßnahmen getroffen, um die Daten zu schützen:

  • Verschlüsselung: Alle Daten in der ePA werden verschlüsselt gespeichert und die Kommunikation erfolgt Ende-zu-Ende verschlüsselt innerhalb der Telematikinfrastruktur (TI), einem sicheren, geschlossenen Netzwerk.
  • Dezentrale Speicherung: Die Daten lagern auf sicheren Servern in Rechenzentren in Deutschland, die im Auftrag der Krankenkassen betrieben werden.
  • Streng geregelter Zugriff: Nur die Versicherten selbst oder von ihnen autorisierte Personen (z. B. Ärzte, Apotheker) können die Inhalte einsehen. Die Krankenkassen haben keinen Zugriff auf die medizinischen Inhalte.
  • Protokollierung: Jeder Zugriff auf die ePA wird protokolliert und kann von den Versicherten nachvollzogen werden.
  • Opt-out-Verfahren: Seit dem bundesweiten Start erhalten gesetzlich Versicherte automatisch eine ePA, können dieser aber jederzeit widersprechen (Opt-out).

Sicherheitslücken: Der Härtetest durch IT-Experten

Trotz der hohen Sicherheitsvorkehrungen gab es insbesondere im Vorfeld der flächendeckenden Einführung Meldungen über potenzielle Sicherheitslücken.

  • CCC-Kritik: IT-Sicherheitsexperten, wie der Chaos Computer Club (CCC), haben mehrfach auf Schwachstellen hingewiesen. Diese betrafen unter anderem die Ausgabeprozesse von Gesundheitskarten und die Möglichkeit, in bestimmten Szenarien unautorisierte Zugriffe zu generieren, beispielsweise über elektronische Ersatzbescheinigungen.
  • Konsequente Reaktion: Die zuständige gematik (nationale Agentur für digitale Medizin) hat auf diese Hinweise umgehend reagiert und entsprechende Schwachstellen nach eigenen Angaben geschlossen. Auch Gesundheitsminister räumten Lücken kurz nach dem Start ein, dankten aber gleichzeitig der gematik für die schnelle Reaktion.
  • Restrisiko: Wie bei jedem digitalen System kann keine 100-prozentige Sicherheit garantiert werden. Experten warnen, dass neben direkten Angriffen auf die ePA auch die IT-Systeme in Praxen und Krankenhäusern als potenzieller Angriffspunkt für den schnellsten Weg zu Patientendaten gesehen werden müssen.

Holprige Einführung: Technische und organisatorische Herausforderungen

Die bundesweite Einführung der ePA verlief nicht ohne Stolpersteine. Die Komplexität des Projekts und die Vielzahl der beteiligten Akteure führten zu technischen und organisatorischen Problemen:

  • Technische Verzögerungen: Der Start der Testphasen war mehrfach von technischen Problemen begleitet. So mussten etwa Praxen auf notwendige Updates ihrer Praxisverwaltungssysteme warten. Zudem verzögerte sich die Freigabe der Akten bei einigen Kassen durch notwendige BSI-Freigaben (Bundesamt für Sicherheit in der Informationstechnik).
  • Mangelnde Transparenz und Kommunikation: Ärzte, aber auch Verbraucherzentralen, kritisierten die mangelnde Transparenz und unzureichende Kommunikation der Krankenkassen und der gematik. Hierbei ging es vor allem um die Aufklärung über das Opt-out-Verfahren und die tatsächlich zu Beginn verfügbaren Anwendungen (z. B. Impfpass).
  • Usability-Hürden: Für Versicherte kann der Zugang zur ePA-App durch die komplexen Authentifizierungsanforderungen (eGK, PIN, Gesundheits-ID) als kompliziert empfunden werden. Zudem bleiben Menschen ohne geeignetes Endgerät oder mit unzureichenden technischen Kenntnissen von einer selbstständigen Nutzung ausgeschlossen.
  • Anfängliche Nutzung: Die Akzeptanz ist bisher gering: Berichten zufolge nutzte in der Vergangenheit nur ein kleiner Prozentsatz der Versicherten die ePA-App regelmäßig.

Trotz dieser Herausforderungen arbeitet die Digitalagentur intensiv daran, die aufgetretenen Probleme zu beheben und die technische Zuverlässigkeit der ePA stetig zu verbessern, um ihr volles Potenzial als digitales Herzstück der Gesundheitsversorgung auszuschöpfen.

Dieses Video zeigt, wie die Daten in der elektronischen Patientenakte geschützt werden:

Artikel 3

Neuer DDoS-Rekord: Aisuru-Botnetz greift mit 29,7 Terabit pro Sekunde an

Das Aisuru-Botnetz wächst rasant und stellt immer neue DDoS-Rekorde auf. Jetzt hat Cloudflare einen Angriff mit beispiellosen 29,7 Terabit pro Sekunde abgewehrt. Und das Botnetz wird vermietet, sprich für ein paar hundert Dollar könnt theoretisch jeden das Internet ganzer Regionen lahmlegen.

Der neue Rekord in Zahlen

Cloudflare hat in seinem Quartalsbericht für Q3 2025 einen neuen DDoS-Rekord dokumentiert, den das Unternehmen nach eigenen Angaben erfolgreich abgewehrt hat:

  • 29,7 Terabit pro Sekunde (Tbps) Datenrate
  • 14,1 Milliarden Pakete pro Sekunde (pps)

Die Quelle? Wieder einmal das Aisuru-Botnetz, das in diesem Jahr für zahlreiche hypervolumetrische Angriffe verantwortlich ist, was bedeutet dass Attacken mit Datenraten von mehr als einem Tbps und mehr als einer Milliarde pps möglich sind.

Das Botnetz wächst explosionsartig

Cloudflare schätzt die Anzahl der weltweit infiltrierten Geräte, die für Aisuru im Einsatz sind, auf etwa eine bis vier Millionen. Zum Vergleich:

  • Microsoft registrierte kürzlich einen Angriff mit 15,72 Tbps von etwa 500.000 Geräten
  • Ein paar Wochen zuvor hatten Forscher dem Botnetz noch eine Größe von etwa 300.000 Geräten zugeschrieben

Das Wachstum ist also massiv. Vom zweiten auf das dritte Quartal 2025 stieg die Menge der hypervolumetrischen DDoS-Angriffe von Aisuru um satte 54 Prozent. Allein im Q3 gab es 1.304 solcher Angriffe. Seit Anfang 2025 sind es insgesamt bereits 2.867.

Botnetz-as-a-Service: Die Demokratisierung des Chaos

Hier wird’s richtig beunruhigend: Aisuru wird offenbar zumindest teilweise vermietet. Cloudflare warnt eindringlich:

„Potenziell kann jeder ganze Nationen ins Chaos stürzen, indem er Backbone-Netzwerke lahmlegt und Internetverbindungen überlastet, wodurch Millionen von Nutzern gestört und der Zugang zu wichtigen Diensten beeinträchtigt werden all dass für nur wenige Hundert bis wenige Tausend US-Dollar.“

Mit anderen Worten: Für den Preis eines gebrauchten Notebooks kann man mittlerweile massive Infrastrukturangriffe kaufen. Das ist keine Science-Fiction mehr, sondern Realität.

DDoS-Angriffe explodieren generell

Das Aisuru-Botnetz ist nur die Spitze des Eisbergs. Die Gesamtzahlen sind alarmierend:

Jahresvergleich:

  • 2023: 14 Millionen DDoS-Angriffe
  • 2024: 21,3 Millionen DDoS-Angriffe
  • 2025 (nur Q1-Q3): 36,2 Millionen DDoS-Angriffe – bereits 70% mehr als im gesamten Jahr 2024!

Quartal Q3 2025:

  • 8,3 Millionen abgewehrte DDoS-Attacken
  • Das entspricht etwa 3.780 Überlastungsangriffen pro Stunde
  • 15% Wachstum gegenüber Q2

Der Trend zeigt klar nach oben, sowohl im Jahres- als auch im Quartalsvergleich.

Woher kommen die Angriffe?

Die Länder mit den meisten beobachteten DDoS-Attacken sind Indonesien, Thailand, Bangladesch, Ecuador, Russland und Vietnam

Wer wird am häufigsten attackiert?

Die Top-Ziele der Angreifer sind China, Türkei, Deutschland (auf Platz 3!), Brasilien, USA und Russland

Betroffene Branchen:

Hauptsächlich IT, Telekommunikation, Glücksspiel und Gaming

Was bedeutet das für euch?

Wenn ihr in einer der betroffenen Branchen arbeitet oder kritische Online-Infrastruktur betreibt, solltet ihr eure DDoS-Schutzmaßnahmen dringend überprüfen. Die Angriffe werden nicht nur häufiger, sondern auch massiver.

Cloudflare hat in einem separaten Blogbeitrag Details zu seiner Abwehrstrategie veröffentlicht definitiv lesenswert, wenn ihr euch mit dem Thema auseinandersetzen müsst.

Fazit

Das Aisuru-Botnetz zeigt eindrucksvoll, wohin die Reise geht: Immer größere Botnetze, immer massivere Angriffe, immer leichterer Zugang für Angreifer. Die Kombination aus rapidem Wachstum und Verfügbarkeit als Mietservice macht Aisuru zu einer ernsthaften Bedrohung für kritische Infrastrukturen weltweit.

Bei 3.780 Angriffen pro Stunde allein bei Cloudflare wird klar: DDoS-Attacken sind längst kein Randphänomen mehr, sondern ein massives und wachsendes Problem für das Internet.

Artikel 4

Schweizer Gericht stoppt Massenüberwachung des Geheimdienstes

Ein historisches Urteil aus der Schweiz: Das Bundesverwaltungsgericht hat die flächendeckende Überwachung durch den Nachrichtendienst des Bundes (NDB) für verfassungswidrig erklärt. Bürgerrechtler hatten geklagt und recht bekommen.

Was macht der Schweizer Geheimdienst?

Der NDB schnorchelt die gesamte grenzüberschreitende Telekommunikation ab; also alle Anrufe, E-Mails und Nachrichten, die über die Schweizer Grenze gehen. Das Ganze läuft automatisiert: Riesige Datenströme werden erfasst und nach Suchbegriffen durchforstet. Eine klassische Massenüberwachung, wie sie selbst das Schweizer Bundesgericht bereits genannt hat.

Offiziell geht es um „strategische Fernmeldeaufklärung“ zur Informationsbeschaffung über sicherheitspolitisch bedeutsame Vorgänge im Ausland. In der Praxis bedeutet das: verdachtsunabhängige Rasterfahndung im großen Stil. Der NDB hat das sogar selbst eingeräumt.

Wer hat geklagt?

Der Verein Digitale Gesellschaft und mehrere Privatpersonen, darunter Journalisten und ein Rechtsanwalt. Ihr Argument: Durch die anlasslose Überwachung werden auch ihre Daten erfasst und möglicherweise ausgewertet,- und das verletzt ihre Grundrechte.

Was sagt das Gericht?

Das Bundesverwaltungsgericht hat sich am 19. November klar positioniert: Die aktuelle Praxis ist nicht mit der Schweizer Bundesverfassung und der Europäischen Menschenrechtskonvention vereinbar. Der Hauptgrund: Es gibt keinen ausreichenden Schutz vor Missbrauch.

Die konkreten Kritikpunkte:

Fehlende Kontrolle: Es ist nicht sichergestellt, dass der NDB nur erhebliche und richtige Daten verarbeitet.

Keine Sonderregeln für sensible Kommunikation: Das Gesetz schützt weder journalistische Quellen noch besonders schützenswerte Kommunikation wie zwischen Anwalt und Mandant.

Mangelnde Aufsicht: Es gibt keine ausreichend effektive Kontrolle der Informationsbeschaffung.

Keine wirksamen Rechtsmittel: Betroffene können sich nicht nachträglich effektiv wehren.

Das Gericht orientierte sich dabei an den strengen Anforderungen des Europäischen Gerichtshofs für Menschenrechte, der in seinem Urteil gegen Großbritannien (Big Brother Watch) durchgehende Garantien zum Schutz vor Missbrauch forderte.

Fünf Jahre Gnadenfrist

Eigentlich müsste die Funk- und Kabelaufklärung jetzt sofort eingestellt werden. Das Gericht gibt dem Gesetzgeber aber großzügig fünf Jahre Zeit, um die Mängel zu beheben. Begründung: Die Aufklärung sei wichtig für die Informationsbeschaffung des NDB, und es laufe bereits eine Gesetzesrevision.

Die klare Ansage: Sollte bis 2030 kein rechtskonformer Zustand hergestellt sein, muss die Überwachung zwingend eingestellt werden. Das Urteil kann noch beim Bundesgericht angefochten werden.

Bürgerrechtler jubeln

Die Digitale Gesellschaft feiert das Urteil als historischen Entscheid. Ihre Meinung: Die Massenüberwachung ist ein so schwerer Eingriff in die Freiheit, dass sie sofort gestoppt werden müsste. Die gesetzlichen Fehler seien zu gravierend, um die Praxis weiter aufrechtzuerhalten.

Und in Deutschland?

Die Situation kommt euch bekannt vor? Kein Wunder: Der Schweizer NDB ist am ehesten mit einer Kombi aus deutschem Bundesnachrichtendienst (BND) und Verfassungsschutz (BfV) vergleichbar.

In Deutschland erklärte das Bundesverfassungsgericht nach den Snowden-Enthüllungen den BND-Datenstaubsauger ebenfalls für verfassungswidrig. Der Bundestag hielt das Werkzeug aber für unverzichtbar und reformierte nur die Einsatzbedingungen. Business as usual also, mit ein paar neuen Regeln.

Artikel 5

Kritische Sicherheitslücke in React (CVSS 10/10) Jetzt sofort patchen!

Achtung, alle React-Entwickler: Eine kritische Sicherheitslücke bedroht die JavaScript-Bibliothek und bestimmte damit erstellte Apps. Angreifer können Schadcode ausführen und Systeme komplett übernehmen. Die gute Nachricht: Sicherheitsupdates stehen bereit. Die schlechte: Ihr solltet sie wirklich sofort installieren.

Wie kritisch ist die Lage?

Sehr kritisch. Die Schwachstelle (CVE-2025-55182) hat den CVSS-Score 10 von 10, somit also die Höchstwertung. Damit ist sie als „kritisch“ eingestuft. Ein Sicherheitsforscher hat die Lücke bereits in Anspielung auf die berüchtigte Log4j-Lücke auf den Namen „React2Shell“ getauft. Das allein zeigt schon, wie ernst die Sache ist. Nach Angaben der Sicherheitsforscher von Wiz und Aikido basiert die Lücke auf einer „unsicheren Deserialisierung“ im Flight-Protokoll des React-Frameworks. 

Was ist betroffen?

Die Lücke steckt in den React Server Components. Konkret sind folgende Komponenten der React-Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0 verwundbar:

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

Achtung: Auch Apps ohne Server-Funktionen sind gefährdet!

Hier wird’s richtig fies: Laut den Entwicklern sind wahrscheinlich auch Apps verwundbar, die React-Server-Funktionen gar nicht aktiv nutzen. Allein die Möglichkeit, sie nutzen zu können, reicht für einen potenziellen Angriff aus. Das bedeutet: Auch wenn ihr diese Features nicht verwendet, seid ihr möglicherweise trotzdem gefährdet.

Weitere betroffene Frameworks

Die folgenden React-Frameworks und Bundler sind ebenfalls verwundbar:

  • next
  • react-router
  • waku
  • @parcel/rsc
  • @vitejs/plugin-rsc
  • rwsdk

Für diese Fälle wollen die Entwickler Sicherheitsupdates nachliefern. Haltet also die Augen offen!

Die gepatchten Versionen

Die React-Entwickler haben das Sicherheitsproblem in folgenden Versionen behoben:

  • React 19.0.1
  • React 19.1.2
  • React 19.2.1

Wenn ihr eine der verwundbaren Versionen nutzt, updatet sofort auf die entsprechende gepatchte Version!

Wie läuft ein Angriff ab?

Angriffe sind aus der Ferne ohne Authentifizierung möglich. Das macht die Sache besonders gefährlich. Bei der App-Entwicklung können Angreifer HTTP-Anfragen im Kontext der Kommunikation zwischen Clients und Servern manipulieren und letztlich Schadcode ausführen.

Die vollständigen technischen Details zur Schwachstelle sollen die Entwickler zu einem späteren Zeitpunkt veröffentlichen. Vermutlich warten sie damit, bis die meisten Systeme gepatcht sind.

Steht ein Angriff kurz bevor?

Das ist die große Frage. Ein Sicherheitsforscher hat auf X/Twitter einen mysteriösen Hashwert gepostet. Der Zusammenhang zu einem Proof of Concept Exploit (PoC) liegt nahe, allerdings sagen Sicherheitsforscher von Tenable, dass es derzeit keine Hinweise auf einen funktionierenden PoC für Instanzen mit Standardkonfigurationen gibt.

Trotzdem: Verlasst euch nicht darauf. Sobald die technischen Details öffentlich sind, werden Angreifer nicht lange brauchen, um funktionierende Exploits zu entwickeln.

Was müsst ihr jetzt tun?

Prüft eure React-Version
Nutzt ihr 19.0, 19.1.0, 19.1.1 oder 19.2.0?

Updated sofort auf 19.0.1, 19.1.2 oder 19.2.1

Checkt eure Frameworks
Nutzt ihr next, react-router oder andere betroffene Tools?
Wartet auf die angekündigten Updates

Informiert euer Team
Stellt sicher, dass alle Entwickler Bescheid wissen

Überwacht die Warnmeldungen
Weitere Hinweise zum Update-Ablauf findet ihr in der offiziellen Warnmeldung

Fazit

Mit einem CVSS-Score von 10/10 ist das keine Lücke, die ihr auf die lange Bank schieben solltet. Die Kombination aus kritischer Schwere, fehlender Authentifizierung für Angriffe und der Tatsache, dass auch Apps ohne aktive Server-Funktionen betroffen sein können, macht die Sache brisant.

Also: Jetzt patchen, nicht morgen!

Artikel 6

Ubuntu Pro ist jetzt für Windows verfügbar! Enterprise-Linux trifft WSL

Canonical bringt Ubuntu Pro ins Windows Subsystem for Linux (WSL). Die Enterprise-Version verspricht 15 Jahre Updates und lässt sich zentral über Microsoft-Management-Tools verwalten. Ab sofort ist sie im Microsoft Store verfügbar.

Was ist Ubuntu Pro für WSL?

Ubuntu Pro ist die Enterprise-Variante von Ubuntu mit allem, was Unternehmens-IT-Abteilungen sich wünschen: längere Wartungszyklen, professionellen Support und erweiterte Sicherheitsfunktionen. Jetzt gibt es das Ganze auch fürs Windows Subsystem for Linux.

Ihr könnt Ubuntu Pro ab sofort über den Microsoft Store installieren. Wer experimentierfreudig ist, findet auch Beta-Versionen und den Quellcode auf GitHub.

15 Jahre Sicherheitsupdates: Das ist der Deal

Das Herzstück von Ubuntu Pro: Canonical verspricht bis zu 15 Jahre CVE-Sicherheitspatches für Pakete aus den Ubuntu-Repositories. Das bedeutet: Euer WSL wird nach Herstellerangaben zu einer vollständig unterstützten Enterprise-Software, die auch strenge Sicherheits- und Compliance-Anforderungen erfüllen soll.

Die sogenannte Expanded Security Maintenance (ESM) liefert kontinuierlich Patches für Sicherheitslücken. Und zwar nicht nur fürs Betriebssystem selbst, sondern auch für beliebte Entwickler-Toolchains wie Python, Go und Rust. Als Admin könnt ihr die Updates dabei nach euren eigenen Richtlinien steuern.

Warum ist das wichtig?

Das Windows Subsystem for Linux ist super praktisch: Ihr könnt Linux-Tools nativ unter Windows nutzen, ohne virtuelle Maschinen oder Dual-Boot einrichten zu müssen. WSL 2 bietet dabei in Zusammenarbeit mit Nvidia sogar nahezu native GPU-Performance, heisst eure Anwendungen greifen direkt auf die GPU-Treiber des Windows-Hosts zu.

Aber: Laut Canonical war die fehlende Enterprise-Unterstützung bisher ein Hindernis für viele IT-Abteilungen. Mit Ubuntu Pro soll sich das ändern.

Zentrale Verwaltung mit Landscape

Für Unternehmenskunden besonders interessant: die Integration mit Landscape, Canonicals System-Management-Tool für Ubuntu. Die WSL-Verwaltungsfunktion läuft aktuell noch in der Beta-Phase.

Als Admin könnt ihr damit alle WSL-Instanzen überwachen, die nach der Konfiguration von Ubuntu Pro bereitgestellt werden. Landscape zeigt euch, welche Windows-Hosts euren Unternehmensrichtlinien für WSL-Bereitstellung und -Konfiguration entsprechen und welche nicht.

Nahtlose Microsoft-Integration

Ubuntu Pro für WSL fügt sich perfekt in bestehende Microsoft-Infrastrukturen ein:

  • MSIX-Paketformat: Passt nahtlos in eure Enterprise-Workflows
  • Microsoft Intune: Cloudbasierte Installation und Konfiguration
  • Active Directory: Verwaltung über Gruppenrichtlinien
  • Interne Hosting-Option: Für Unternehmen mit strengen Firewall-Regeln könnt ihr Ubuntu-Images intern hosten und zentral verwalten

Support und Kosten

Canonical bietet verschiedene Support-Modelle an. Die Variante „Ubuntu Pro + Support“ umfasst Telefon- und Ticket-Support falls ihr mal nicht weiterkommt.

Die gute Nachricht für Privatnutzer: Ubuntu Pro ist für euch kostenlos verfügbar. Unternehmen können kommerzielle Abonnements direkt bei Canonical erwerben.

Für wen lohnt sich das?

Ubuntu Pro für WSL richtet sich vor allem an:

  • Entwickler in Unternehmen, die Linux-Tools unter Windows nutzen möchten
  • IT-Administratoren, die WSL-Instanzen zentral verwalten und absichern müssen
  • Unternehmen mit strengen Compliance-Anforderungen, die lange Support-Zeiträume brauchen
  • Alle, die auf GPU-Performance angewiesen sind und gleichzeitig Enterprise-Support wollen

Kurz gesagt: Wenn ihr WSL im professionellen Umfeld einsetzt und Wert auf Sicherheit, Support und zentrale Verwaltung legt, könnte Ubuntu Pro genau das Richtige für euch sein.

Artikel 7

Proxmox Datacenter Manager v 1.0 Endlich zentrale Verwaltung für eure Proxmox-Infrastruktur

Gute Nachrichten für alle Proxmox-Admins: Die Wiener Proxmox Server Solutions GmbH hat den Datacenter Manager 1.0 veröffentlicht, die erste Release Version eines Tools, auf das viele von euch sicher schon gewartet haben. Damit könnt ihr endlich alle eure Proxmox Virtual Environment (VE) Instanzen, Backup Server, Cluster und Nodes zentral über eine einzige Web-Konsole verwalten. Kein nerviges Hin- und Herspringen zwischen verschiedenen Interfaces mehr!

Was bringt euch der Datacenter Manager?

Im Kern geht’s darum, dass ihr einen konsolidierten Überblick über eure komplette Proxmox-Infrastruktur bekommt. Das zentrale Dashboard zeigt euch auf einen Blick den Status und die Performance aller angebundenen Systeme, inklusive der wichtigen KPIs wie CPU-, RAM- und Storage-I/O-Nutzung. Praktisch: Dank lokalem Cache bleibt der letzte bekannte Zustand auch offline verfügbar, falls mal was nicht erreichbar ist.

Besonders cool sind die Custom Views mit RBAC: Ihr könnt rollenbasierte Dashboards erstellen, die nur bestimmte Systeme oder Ressourcen anzeigen. Perfekt für Multi-Tenant-Umgebungen, wo verschiedene Teams unterschiedliche Bereiche im Blick haben sollen, ohne direkten Zugriff auf die darunterliegenden Hosts zu bekommen.

Multicluster-Management und Live-Migration

Ein echtes Highlight ist das Cross-Cluster-Live-Migration-Feature. Damit könnt ihr VMs ohne Downtime zwischen verschiedenen Clustern verschieben; super praktisch für Lastverteilung oder wartungsarbeiten ohne Ausfallzeiten.

Die Plattform bringt auch zentralisierte SDN-Funktionen mit EVPN-Support mit. Ihr könnt EVPN-Zonen und VNets über mehrere Remotes hinweg in einer Oberfläche konfigurieren, was die Komplexität in größeren Umgebungen deutlich reduziert.

Außerdem gibt’s ein zentralisiertes Update-Management: Seht auf einen Blick, wo Updates verfügbar sind, und verteilt Patches für Proxmox VE und Backup Server direkt aus der zentralen Konsole. Plus: Einheitlicher Shell-Zugriff auf alle Remote-Systeme über eine einzige Konsole.

Technische Basis: Debian 13.2 „Trixie“

Wie gewohnt setzt Proxmox auch beim Datacenter Manager 1.0 (und dem parallel erschienenen Backup Server 4.1) auf Debian GNU/Linux „Trixie“ 13.2 als Fundament. Mit an Bord: Linux-Kernel 6.17.2 und OpenZFS 2.3.4. Updates laufen bequem über das WebGUI oder per apt im Terminal.

Sicherheit nicht vergessen!

Ein wichtiger Hinweis: Der Datacenter Manager ist als zentraler Einstiegspunkt natürlich ein attraktives Angriffsziel. Wenn der kompromittiert wird, sind nicht nur eure Nodes und Cluster betroffen, sondern im worst case auch gleich die Backups. Proxmox empfiehlt daher dringend:

  • Blockiert unnötigen eingehenden Traffic zum Datacenter Manager
  • Verschlüsselt Backups auch clientseitig
  • Nutzt ein sicheres VPN für Zugriffe über unsichere Netzwerke

Die gute Nachricht: Der Datacenter Manager kontaktiert die VE- und Backup-Server-Instanzen (nicht umgekehrt). Das macht die Absicherung einfacher. Proxmox arbeitet zudem an weiteren Sicherheitsmaßnahmen für zukünftige Versionen.

In other news: Proxmox Backup Server 4.1 ebenfalls erschienen

Parallel gibt’s auch ein Update für den Proxmox Backup Server auf Version 4.1. Die wichtigsten Neuerungen:

  • Benutzerbasierte Bandbreitenlimits: Ihr könnt jetzt feiner priorisieren, welche User oder Dienste mehr Bandbreite für Backups und Restores bekommen
  • Konfigurierbare Threads für Verifizierung: Passt die Anzahl der Threads für Lesevorgänge und Prüfsummenberechnung an eure Hardware an, denn das beschleunigt die Verifizierungen deutlich
  • S3-Bandbreitenlimits: Die in Version 4.0 eingeführte S3-Unterstützung wurde um Bandbreitenbegrenzung erweitert, perfekt für gemeinsam genutzte Umgebungen

Preise und Verfügbarkeit

Wie ihr es von Proxmox kennt, steht alles unter der GNU AGPLv3 und ist kostenlos nutzbar. Downloads gibt’s frei verfügbar. Wer das Enterprise-Repository und Support will, zahlt für den Backup Server 540 Euro netto pro Jahr für den Repo-Zugang, Support kostet je nach Level zwischen 1080 und 4320 Euro jährlich.

Wichtig beim Datacenter Manager: Ihr bekommt nur dann Zugriff auf das Enterprise-Repository und Support, wenn mindestens 80 Prozent eurer konfigurierten Remote-Systeme ein gültiges Basic-Abo oder höher haben.

Fazit: Mit dem Datacenter Manager 1.0 macht Proxmox einen großen Schritt in Richtung Enterprise-taugliche Verwaltung größerer Infrastrukturen. Wer mehrere Proxmox-Cluster betreibt, sollte sich das Tool definitiv ansehen!

Artikel 8

Windows 11 25H2: Microsoft startet automatisches Update für 24H2-Nutzer

Microsoft dreht weiter am Rollout-Rad: Seit letzter Nacht verteilt das Unternehmen das Windows 11 25H2 Update (auch „2025 Update“ genannt) nun automatisch an Rechner mit Windows 11 24H2. Falls ihr also zu den Betroffenen gehört, könnte euer PC demnächst von selbst auf die neue Version upgraden wollen.

Wer bekommt das automatische Update?

Betroffen sind erstmal nur die Home- und Pro-Editionen von Windows 11 24H2, die nicht von einer IT-Abteilung verwaltet werden, also typischerweise private Rechner und kleinere Firmen ohne zentrales Management. Microsoft nutzt für die Verteilung einen auf maschinellem Lernen basierenden Rollout-Prozess, der prüft, ob euer Gerät „bereit“ für das Update ist.

Die gute Nachricht: Ihr müsst nichts aktiv tun. Microsoft schreibt in den Windows-Release-Health-Notizen, dass das Update automatisch kommt, wenn euer System dafür infrage kommt. Ihr könnt aber den Neustart-Zeitpunkt selbst bestimmen oder das Update auch komplett verschieben, wenn’s gerade nicht passt.

So steuert ihr das Update

Falls ihr den automatischen Rollout kontrollieren wollt, habt ihr mehrere Optionen:

Neustart-Zeitpunkt beeinflussen: Richtet eure „Nutzungszeiten“ in den Windows-Einstellungen ein. Dann vermeidet Windows Neustarts während dieser Zeiten.

Update verschieben: Geht zu „Start“ → „Einstellungen“ → „Windows Update“ und nutzt dort die Option „Updates aussetzen“. Damit könnt ihr die Installation hinauszögern.

Frühe Vögel können sofort upgraden

Wer in den Windows-Update-Einstellungen die Option „Erhalten Sie die neuesten Updates, sobald sie verfügbar sind“ aktiviert hat, kommt noch schneller dran. Für diese Nutzer startet die Verteilung ebenfalls auf allen geeigneten Geräten.

Ihr wollt selbst checken, ob’s bei euch schon soweit ist? Einfach zu „Einstellungen“ → „Windows Update“ gehen und auf „Nach Updates suchen“ klicken. Wenn euer Rechner bereit ist, seht ihr die Option, Windows 11 25H2 herunterzuladen und zu installieren.

Kontext: 23H2-Nutzer sind schon dran

Zur Einordnung: Vor etwa drei Wochen hatte Microsoft bereits mit dem automatischen Update von Windows 11 23H2 auf 25H2 begonnen. Das hatte allerdings einen anderen Hintergrund, denn die 23H2-Version hat ihr Service-Ende erreicht und muss daher zwingend aktualisiert werden.

Bei den 24H2-Nutzern geht’s jetzt also um den „normalen“ Rollout der neuen Version, nicht um ein erzwungenes Update wegen Support-Ende.

Artikel 9

Kritische Grafana-Lücke mit CVSS 10.0: Identitätsdiebstahl und Admin-Rechte möglich

Achtung, alle Grafana Enterprise-Nutzer: Es gibt eine extrem kritische Sicherheitslücke mit dem maximal möglichen CVSS-Score von 10.0!

Über die Schwachstelle CVE-2025-41115 können Angreifer unter bestimmten Bedingungen Nutzer-Identitäten kapern und sich sogar Admin-Rechte verschaffen. Grafana hat bereits Updates bereitgestellt, dies solltet Ihr schnellstmöglich installieren.

Hintergrund: Was ist Grafana?

Für alle, die Grafana nicht kennen: Es handelt sich um ein beliebtes Tool zur Visualisierung und Analyse von Daten. Damit könnt ihr interaktive Dashboards erstellen, Alarme definieren und eure komplette Infrastruktur und Anwendungen überwachen. Grafana gibt’s sowohl als Open-Source-Version als auch als Enterprise-Variante mit erweiterten Features.

Was ist das Problem?

Die Lücke steckt in Grafana Enterprise in den Versionen 12.0.0 bis 12.2.1. Falls ihr SCIM (System for Cross-domain Identity Management) aktiviert habt, können Angreifer einen Nutzer mit einer numerischen externen ID anlegen. Grafana ordnet dann fälschlicherweise diese externe SCIM-ID einer internen Benutzer-ID zu und interpretiert die numerischen Werte als interne User-IDs.

Im worst case bedeutet das: Ein Angreifer könnte einen neuen User anlegen, der dann wie ein bestehendes internes Konto behandelt wird -> inklusive Admin-Konto. Das Resultat: Identitätsdiebstahl, Rechteausweitung und voller Zugriff auf eure Grafana-Instanz.

Wer ist betroffen?

Die Schwachstelle betrifft euch nur, wenn beide dieser Bedingungen erfüllt sind:

  1. Das Feature-Flag „enableSCIM“ ist auf „true“ gesetzt
  2. Die Konfigurationsoption „user_sync_enabled“ im Block „[auth.scim]“ ist ebenfalls auf „true“ gesetzt

Die gute Nachricht: Falls ihr SCIM nicht nutzt, seid ihr nicht angreifbar. Und noch besser: Die Open-Source-Edition Grafana OSS ist nicht betroffen. Auch die Managed-Angebote Amazon Managed Grafana und Azure Managed Grafana sind bereits abgesichert. Grafana hat sich hier direkt mit AWS und Microsoft koordiniert.

Was müsst ihr tun?

Grafana hat mit der Ankündigung von Enterprise Version 12.3 gleichzeitig drei gepatchte Versionen veröffentlicht:

  • Grafana Enterprise 12.2.1
  • Grafana Enterprise 12.1.3
  • Grafana Enterprise 12.0.6

Alle drei Versionen beheben die kritische Schwachstelle CVE-2025-41115. Falls ihr eine betroffene Version einsetzt und SCIM aktiviert habt, solltet ihr sofort auf eine der gepatchten Versionen updaten.

Sun-Tsu Ausleitung diese Woche beschäftigt sich mit Schwachstellen.
„Der Ort der geringsten Vorbereitung ist das Einfallstor des Feindes. Schütze deine Schwächsten, denn sie bestimmen die Stärke deiner Mauern.“

Bedeutung: Schwachstellen in der Lieferkette (Third-Party Risk) und bei Endnutzern (Social Engineering, Phishing) sind die primären Angriffsvektoren und erfordern die höchste Aufmerksamkeit.

Stephan
|
| | | | | | |
nach oben | Startseite | zur Suche