Sign up to save your podcasts
Or
Share Alarmierendes Datenleck bei Glücksspielsystem- DS News KW 12/2025
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Alarmierendes Datenleck bei Glücksspielsystem- DS News KW 12/2025
Was ist in der KW 12 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Empfehlungen
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/alarmierendes-datenleck-bei-glucksspielsystem-ds-news-kw-12-2025/↗
Transkript zur Folge:
Herzlich Willkommen zum Datenschutz Talk, deinem wöchentlichen Update zum Datenschutz.
Heute am Mikro sind Lothar Szymanowski und mein lieber Kollege David Schmidt.
Grüßt sich Lothar.
Hi David. Wir haben Freitag, den 21. März 2025.
Unser Redaktionsschluss war wie immer um 10 Uhr. Und wie üblich haben wir auf
die Meldung in dieser Woche zurückgeblickt.
David, welche Themen hast du dabei?
Wir schauen nochmal auf die mit dem Bürokratieentlastungsgesetz geänderten Aufbewahrungsfristen
und dann habe ich noch eine Sicherheitslücke mitgebracht,
die sich bei einem großen Glücksspielanbieter offenbart hat.
Wie sieht es bei dir aus, Lothar?
Ich habe auch zwei Themen dabei und zwar zum einen eine Beschwerde der Neub
gegen OpenAI und ebenfalls eine
Sicherheitslücke in einer Fernwartungssoftware. Dann lass uns loslegen.
Seit dem 1. Januar ist das Bürokratieentlastungsgesetz 4 in Kraft getreten.
Mit dem Gesetz wurden die gesetzlichen Aufbewahrungsfristen für bestimmte Dokumente,
insbesondere für Belege nach
257 Handelsgesetzbuch und 147 Abgabenordnung von 10 auf 8 Jahre verkürzt.
Vor diesem Hintergrund hat der hamburgische Beauftragte für den Datenschutz
und die Informationsfreiheit daran erinnert, die Löschfristen im Rahmen der
Löschroutinen und Löschkonzepte entsprechend anzupassen.
Zur Orientierung verweist seine Behörde auf eine Seite der Handelskammer in
Hamburg und dem schließen wir uns an und packen den Link in die Shownotes.
Auf der Seite ist nicht nur erklärt, wie lange verschiedene Unterlagen aufgehoben
werden müssen, sondern auch wie, wo und in welcher Form.
Also ein guter erster Aufschlag, um sich mit dem Thema hoffentlich nicht erst
zum ersten Mal, sondern jetzt erneut zu befassen.
Das hört sich so an, als ob die Löschkonzepte überarbeitet werden müssen,
die Fristen für die Verarbeitung angepasst werden müssen.
Ja, das hört sich nach Arbeit an. Und das Ganze, wie ich dich richtig verstanden
habe, läuft unter dem Stichwort Bürokratie-Entlastungsgesetz.
Ich glaube in der vierten Version jetzt, ne?
In der vierten Version, ich weiß aber nicht, ob das jetzt die vierte Version
ist für dieses Gesetz oder ob es vorher andere Entlastungen gab und die werden
einfach durchnummeriert.
Vielleicht weiß das jemand von den Zuhörern und kann uns da aufklären.
Ja, auch vielleicht mal die Auflösung Teil 1 bis 3 würde uns auch interessieren an der Stelle.
Aber tatsächlich, also es geht letztendlich darum, die Fristen für das Löschen
von strukturierten, aber auch von unstrukturierten Daten zu löschen.
Ein Blick und eine Änderung des Löschkonzeptes würden wir empfehlen und ans Herz legen.
Kommen wir zur Beschwerde Neub. Der Titel ist schon sehr reißerisch,
aber trifft es eigentlich ganz gut.
JetGPT hat fälschlicherweise einen norwegischen Nutzer als Doppelmörder dargestellt.
Wie wir bei Heise und bei Neub selber lesen konnten, wurde ein norwegischer
Mann fälschlicherweise von JetGPT als Mörder dargestellt.
Das hat zu einer Datenschutzbeschwerde des österreichischen Vereins Neub bei
der norwegischen Datenschutzbehörde geführt.
Reub kritisiert, dass OpenAI sich auf einen Haftungsausschluss beruft,
der nicht ausreiche, um die gesetzlichen Verpflichtungen zur Datenrichtigkeit
gemäß der DSGVO-Vorgaben zu umgehen.
In diesem bemerkenswerten Fall in Norwegen enthielt der Betroffene die Antwort
von ChatGPT auf die Frage nach seinem Namen teilweise korrekte Informationen
wie Heimatort, Anzahl, Geschlechter und Alter seiner Kinder.
Allerdings stellte der Chatbot den Betroffenen fälschlicherweise als Mörder
dar, der zwei seiner drei Kinder getötet haben soll und deshalb zu 21 Jahren Haft verurteilt wurde.
Warum es zu dieser Falschaussage seitens ChatGPT, dem Sprachmodell,
gekommen ist, bleibt völlig unklar.
Es hat ja auch schon Fälle gegeben, in denen beispielsweise Journalisten auch
als Straftäter beschrieben wurden, nur weil sie diese Taten berichteten und
diese Ergebnisse vermischt wurden.
Aber wie gesagt, die Halluzinationen in diesem norwegischen Fall sind nicht,
zumindest auf den ersten Blick, nachvollziehbar.
Im Kern der Beschwerde von Neub geht es darum, dass die DSGVO den Grundsatz
zur Datenrichtigkeit enthält, der es ermöglicht, sich gegen Unwahrheiten zu
wehren und eine Richtigstellung zu verlangen.
OpenAI weist darauf hin, dass Chat-GPT Fehler machen könnte,
was durch einen Hinweis kenntlich gemacht wurde.
Aber Neub kritisiert jedoch, und das ist auch nachvollziehbar,
dass dieser winzige Hinweis nicht ausreiche, um den gesetzlichen Verpflichtungen
zur Richtigkeit nachzukommen.
Zitat von Neub, die gesetzlichen Verpflichtungen zur Datenrichtigkeit lassen
sich nicht mit einem Haftungsausschluss umgehen. Ja, grundsätzlich haben wir
hier eine Herausforderung mit, ja grundsätzlich KI-Sprachmodellen zu tun,
bei denen Fakten und Fiktionen vermischt werden.
Fazit, deshalb zeigt deutlich, dass wir zum jetzigen Zeitpunkt sehr,
sehr aufmerksam sein müssen und auch kritisch sein müssen,
da wo KI-Systeme Einzug in den privaten und geschäftlichen Bereich einhalten
und immer stärker und immer schneller zum Einzug kommen.
Klar auch, KI-Systeme werden zwar immer besser und sicherlich wird es auch zukünftig
technische Möglichkeiten geben, gegen diese Halluzinationen vorzugehen und diese einzudämmen.
Allerdings schützt das auch nicht vor Fehlern und entbindet uns auch nicht von
der Verpflichtung der Kontrolle, der kritischen Kontrolle.
Ja, alles in allem, ich glaube, diese Aspekte, die gehören auch in eine betriebliche
Richtlinie zum Umgang mit KI-Systemen. Um nicht so festzustellen,
ja, welche Systeme darf ich verwenden?
Sind die freigegeben? Wie trainiere ich die? Sondern wie gehe ich mit den Ergebnissen um?
Ich finde es vor allem auch ein super Beispiel für die Wichtigkeit des Grundsatzes
der Richtigkeit der Daten.
Auf der einen Seite erschütternd, aber eben auch ein super Beispiel,
was das für Auswirkungen haben kann, wenn Daten einmal unrichtig im Umlauf kommen.
Und gerade im Zusammenhang mit KI sollte man da immer vorsichtig sein und auch
überlegen, wie man eine Halluzination, die man nicht direkt nach der Generierung
der Daten bemerkt hat, noch zurückverfolgen kann.
Also Stichwort Verwässerung von aus KI generierten Daten mit anderswo erhobenen Daten.
Bei dem Glücksspielanbieter Merkur wurde durch eine IT-Sicherheitsforscherin
ein erhebliches Datenleck aufgedeckt.
Die Lücke betrifft die Online-Casinos der Merkur-Gruppe und aufgedeckt wurde
diese von der Sicherheitsforscherin Lilith Wittmann.
Für die Online-Casinos wurde eine Software namens The Mill Adventures eingesetzt,
die von einem maltesischen Dienstleister zur Verfügung gestellt wird.
Durch eine ungeschützte GraphQL-Schnittstelle war es möglich,
personenbezogene Daten von über einer Million Spielern einzusehen.
Unter den Daten befinden sich nicht nur Namen der Spieler, sondern auch sensible
Informationen wie Spielhistorien, interne Vermerke zu einzelnen Spielern,
Ausweiskopien und Zahlungsinformationen.
Ja, in Anbetracht der Quantität und Qualität dieser Lücke sind wir gespannt,
welche behördlichen Sanktionen und auch Schadenersatzforderungen durch Betroffene
auf die Merkur-Gruppe zukommen.
Wow, nicht trivial. Wir sind bei den technisch-organisatorischen Maßnahmen und
wie wichtig die sind, kann man sehr, sehr schön an diesem Beispiel sehen.
Ja, vor allem in so einem sensiblen Bereich.
Sowieso irgendwie so ein bisschen immer in der shady Ecke, wo sich vielleicht
auch Behörden und Personen, die nicht so viel damit zu tun haben,
gar nicht so für interessieren. Aber es ist hier natürlich ein Riesending.
Absolut. Also das Risikobetrachtung, die Auswirkungen für die betroffene Person,
nicht nur Identitätsdiebstahl, sondern auch Erpressungsrisiken, ist schon irre.
Wir bleiben tatsächlich bei Sicherheitslücken und zwar konnten wir ebenfalls
bei Heise lesen über eine kritische
Schwachstelle in einer Serverfernwartungssoftware, die Army Megarec.
Sicherheitsexperten von Eklipsium haben in der Fernwartungssoftware eine kritische
Sicherheitslücke entdeckt.
Diese Schwachstelle ist auch bekannt als Redfish Authentication Bypass.
Hat auch eine CWE-Nummer, also eine Common Vulnerability and Exposure-Nummer.
Ist die 224 54085, verlinken wir auch in den Shownotes, und wurde mit der höchsten
Risikostufe bewertet. Sie betrifft die
Firmware und ermöglicht potenziell autorisierten Zugriff auf die Server.
Diese schwerwiegende Sicherheitslücke in der Fernwartungssoftware könnte es
Angreifern ermöglichen, auf vertrauliche Daten zuzugreifen bzw.
Systeme zu manipulieren oder sogar Schadsoftware zu installieren.
Und natürlich sind Unternehmen als Verantwortliche verpflichtet,
personenbezogene Daten durch dem Risiko angemessene und geeignete technische
und organisatorische Maßnahmen zu schützen.
Und eine solche Schwachstelle stellt ein erhebliches Risiko für die Integrität
und Vertraulichkeit dieser Daten dar. Für die technisch interessierten Zuhörer
sind die betroffenen Systeme.
Die Firmware Army MegaRack wird auf den Baseboard-Management-Controllern von
Servern eingesetzt, unter anderem bei den Herstellern wie Asus, SROG Rack.
HPE, also im Enterprise-Segment und bei Lenovo.
Die Schwachstelle befindet sich in einem Codemodul für die Fernwartung API Redfish,
die sich als sicherer Ersatz für das ältere IPMM-Protokoll gilt.
Es wurden bereits vom Hersteller Patches bereitgestellt, die jedoch von den
jeweiligen Herstellern in ihre Firmware integrieren müssen.
Ja, also falls noch nicht passiert, sich mal diese Schwachstelle anschauen,
die CWE-Nummer mal nachschlagen und bitte ins Patchmanagement übernehmen.
Und ja, auch hinsichtlich der Fernwartung ist auch ein Riesenthema.
Auch nochmal ein Auge drauf werfen, stellt man sich zunächst die Frage,
welche Aspekte aus dem Datenschutz gelten bei der Fernwartung,
was ist dort zu beachten? Ja, das ist ein Datenschutzthema.
Es muss zum einen vertraglich geregelt sein, welche Instanzen,
welche Hersteller dürfen denn auf die Systeme zugreifen.
Habe ich da Protokolle darüber, wenn es unbeaufsichtigt ist oder ist es sogar
ein begleiteter oder beaufsichtigter Vorgang?
Also da auch nochmal bitte in die Richtlinien schauen zur Fernwartung von Systemen,
von Software und die Aufnahme in das Patchmanagement.
Zum Abschluss habe ich noch einen kleinen Schmunzler mitgebracht.
Der kommt von uns aus Nordrhein-Westfalen.
Die Landesbeauftragte für den Datenschutz hier, Bettina Geig,
hat eine Verwarnung gegen einen Kleingartenverein ausgesprochen.
Und vielleicht betrifft es ja den einen oder anderen jetzt, wo das Wetter wieder
besser wird, dass man wieder Zeit in seinem Schrebergarten verbringen möchte.
Diese Vereine halten selbstverständlich auch Jahresversammlungen ab und der
hier verwarnte Verein ist auf die Idee gekommen,
das Protokoll mit allen Mitgliedsnamen von dieser Versammlung in einem zugänglichen
Glasschau-Kasten zu veröffentlichen.
Da hatten sich Mitglieder gegen beschwert und die Behörde ist daraufhin dann tätig geworden.
Was es alles gibt. Ich bin heute Abend tatsächlich in meinem Angelferein unterwegs.
Ich werde mir auch mal die Schaukästen anschauen.
Mach das mal. Besser du sprichst die Verwarnung aus als die Behörde.
Ich bin auf die Gesichter gespannt. Gut, ich glaube wir sind soweit durch,
lieber David. Wir sind kurz vor dem Wochenende und blicken tatsächlich zurück
auf eine spannende Woche.
Ich freue mich auf das Wochenende. Das Wetter scheint ja auch uns in die Karten zu spielen.
Wie wirst du das bundesliga-freie Wochenende gestalten?
Nicht im Schrebergarten, so viel verrate ich.
Das hört sich nach einem Plan an. Ja, vielen Dank, falls ihr das heute am Freitag hört.
Wir wünschen euch ein schönes Wochenende, ein sonniges Wochenende. erholt euch gut.
Falls ihr es am Montag hört, wünschen wir euch, dass ihr euch am Wochenende
gut erholt habt, euch einen guten Wochenstart und würden sagen, bis nächste Woche.
Auf bald!
Der Beitrag Alarmierendes Datenleck bei Glücksspielsystem- DS News KW 12/2025 erschien zuerst auf migosens.
View all episodes
By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und KompetenzWas ist in der KW 12 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Empfehlungen
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/alarmierendes-datenleck-bei-glucksspielsystem-ds-news-kw-12-2025/↗
Transkript zur Folge:
Herzlich Willkommen zum Datenschutz Talk, deinem wöchentlichen Update zum Datenschutz.
Heute am Mikro sind Lothar Szymanowski und mein lieber Kollege David Schmidt.
Grüßt sich Lothar.
Hi David. Wir haben Freitag, den 21. März 2025.
Unser Redaktionsschluss war wie immer um 10 Uhr. Und wie üblich haben wir auf
die Meldung in dieser Woche zurückgeblickt.
David, welche Themen hast du dabei?
Wir schauen nochmal auf die mit dem Bürokratieentlastungsgesetz geänderten Aufbewahrungsfristen
und dann habe ich noch eine Sicherheitslücke mitgebracht,
die sich bei einem großen Glücksspielanbieter offenbart hat.
Wie sieht es bei dir aus, Lothar?
Ich habe auch zwei Themen dabei und zwar zum einen eine Beschwerde der Neub
gegen OpenAI und ebenfalls eine
Sicherheitslücke in einer Fernwartungssoftware. Dann lass uns loslegen.
Seit dem 1. Januar ist das Bürokratieentlastungsgesetz 4 in Kraft getreten.
Mit dem Gesetz wurden die gesetzlichen Aufbewahrungsfristen für bestimmte Dokumente,
insbesondere für Belege nach
257 Handelsgesetzbuch und 147 Abgabenordnung von 10 auf 8 Jahre verkürzt.
Vor diesem Hintergrund hat der hamburgische Beauftragte für den Datenschutz
und die Informationsfreiheit daran erinnert, die Löschfristen im Rahmen der
Löschroutinen und Löschkonzepte entsprechend anzupassen.
Zur Orientierung verweist seine Behörde auf eine Seite der Handelskammer in
Hamburg und dem schließen wir uns an und packen den Link in die Shownotes.
Auf der Seite ist nicht nur erklärt, wie lange verschiedene Unterlagen aufgehoben
werden müssen, sondern auch wie, wo und in welcher Form.
Also ein guter erster Aufschlag, um sich mit dem Thema hoffentlich nicht erst
zum ersten Mal, sondern jetzt erneut zu befassen.
Das hört sich so an, als ob die Löschkonzepte überarbeitet werden müssen,
die Fristen für die Verarbeitung angepasst werden müssen.
Ja, das hört sich nach Arbeit an. Und das Ganze, wie ich dich richtig verstanden
habe, läuft unter dem Stichwort Bürokratie-Entlastungsgesetz.
Ich glaube in der vierten Version jetzt, ne?
In der vierten Version, ich weiß aber nicht, ob das jetzt die vierte Version
ist für dieses Gesetz oder ob es vorher andere Entlastungen gab und die werden
einfach durchnummeriert.
Vielleicht weiß das jemand von den Zuhörern und kann uns da aufklären.
Ja, auch vielleicht mal die Auflösung Teil 1 bis 3 würde uns auch interessieren an der Stelle.
Aber tatsächlich, also es geht letztendlich darum, die Fristen für das Löschen
von strukturierten, aber auch von unstrukturierten Daten zu löschen.
Ein Blick und eine Änderung des Löschkonzeptes würden wir empfehlen und ans Herz legen.
Kommen wir zur Beschwerde Neub. Der Titel ist schon sehr reißerisch,
aber trifft es eigentlich ganz gut.
JetGPT hat fälschlicherweise einen norwegischen Nutzer als Doppelmörder dargestellt.
Wie wir bei Heise und bei Neub selber lesen konnten, wurde ein norwegischer
Mann fälschlicherweise von JetGPT als Mörder dargestellt.
Das hat zu einer Datenschutzbeschwerde des österreichischen Vereins Neub bei
der norwegischen Datenschutzbehörde geführt.
Reub kritisiert, dass OpenAI sich auf einen Haftungsausschluss beruft,
der nicht ausreiche, um die gesetzlichen Verpflichtungen zur Datenrichtigkeit
gemäß der DSGVO-Vorgaben zu umgehen.
In diesem bemerkenswerten Fall in Norwegen enthielt der Betroffene die Antwort
von ChatGPT auf die Frage nach seinem Namen teilweise korrekte Informationen
wie Heimatort, Anzahl, Geschlechter und Alter seiner Kinder.
Allerdings stellte der Chatbot den Betroffenen fälschlicherweise als Mörder
dar, der zwei seiner drei Kinder getötet haben soll und deshalb zu 21 Jahren Haft verurteilt wurde.
Warum es zu dieser Falschaussage seitens ChatGPT, dem Sprachmodell,
gekommen ist, bleibt völlig unklar.
Es hat ja auch schon Fälle gegeben, in denen beispielsweise Journalisten auch
als Straftäter beschrieben wurden, nur weil sie diese Taten berichteten und
diese Ergebnisse vermischt wurden.
Aber wie gesagt, die Halluzinationen in diesem norwegischen Fall sind nicht,
zumindest auf den ersten Blick, nachvollziehbar.
Im Kern der Beschwerde von Neub geht es darum, dass die DSGVO den Grundsatz
zur Datenrichtigkeit enthält, der es ermöglicht, sich gegen Unwahrheiten zu
wehren und eine Richtigstellung zu verlangen.
OpenAI weist darauf hin, dass Chat-GPT Fehler machen könnte,
was durch einen Hinweis kenntlich gemacht wurde.
Aber Neub kritisiert jedoch, und das ist auch nachvollziehbar,
dass dieser winzige Hinweis nicht ausreiche, um den gesetzlichen Verpflichtungen
zur Richtigkeit nachzukommen.
Zitat von Neub, die gesetzlichen Verpflichtungen zur Datenrichtigkeit lassen
sich nicht mit einem Haftungsausschluss umgehen. Ja, grundsätzlich haben wir
hier eine Herausforderung mit, ja grundsätzlich KI-Sprachmodellen zu tun,
bei denen Fakten und Fiktionen vermischt werden.
Fazit, deshalb zeigt deutlich, dass wir zum jetzigen Zeitpunkt sehr,
sehr aufmerksam sein müssen und auch kritisch sein müssen,
da wo KI-Systeme Einzug in den privaten und geschäftlichen Bereich einhalten
und immer stärker und immer schneller zum Einzug kommen.
Klar auch, KI-Systeme werden zwar immer besser und sicherlich wird es auch zukünftig
technische Möglichkeiten geben, gegen diese Halluzinationen vorzugehen und diese einzudämmen.
Allerdings schützt das auch nicht vor Fehlern und entbindet uns auch nicht von
der Verpflichtung der Kontrolle, der kritischen Kontrolle.
Ja, alles in allem, ich glaube, diese Aspekte, die gehören auch in eine betriebliche
Richtlinie zum Umgang mit KI-Systemen. Um nicht so festzustellen,
ja, welche Systeme darf ich verwenden?
Sind die freigegeben? Wie trainiere ich die? Sondern wie gehe ich mit den Ergebnissen um?
Ich finde es vor allem auch ein super Beispiel für die Wichtigkeit des Grundsatzes
der Richtigkeit der Daten.
Auf der einen Seite erschütternd, aber eben auch ein super Beispiel,
was das für Auswirkungen haben kann, wenn Daten einmal unrichtig im Umlauf kommen.
Und gerade im Zusammenhang mit KI sollte man da immer vorsichtig sein und auch
überlegen, wie man eine Halluzination, die man nicht direkt nach der Generierung
der Daten bemerkt hat, noch zurückverfolgen kann.
Also Stichwort Verwässerung von aus KI generierten Daten mit anderswo erhobenen Daten.
Bei dem Glücksspielanbieter Merkur wurde durch eine IT-Sicherheitsforscherin
ein erhebliches Datenleck aufgedeckt.
Die Lücke betrifft die Online-Casinos der Merkur-Gruppe und aufgedeckt wurde
diese von der Sicherheitsforscherin Lilith Wittmann.
Für die Online-Casinos wurde eine Software namens The Mill Adventures eingesetzt,
die von einem maltesischen Dienstleister zur Verfügung gestellt wird.
Durch eine ungeschützte GraphQL-Schnittstelle war es möglich,
personenbezogene Daten von über einer Million Spielern einzusehen.
Unter den Daten befinden sich nicht nur Namen der Spieler, sondern auch sensible
Informationen wie Spielhistorien, interne Vermerke zu einzelnen Spielern,
Ausweiskopien und Zahlungsinformationen.
Ja, in Anbetracht der Quantität und Qualität dieser Lücke sind wir gespannt,
welche behördlichen Sanktionen und auch Schadenersatzforderungen durch Betroffene
auf die Merkur-Gruppe zukommen.
Wow, nicht trivial. Wir sind bei den technisch-organisatorischen Maßnahmen und
wie wichtig die sind, kann man sehr, sehr schön an diesem Beispiel sehen.
Ja, vor allem in so einem sensiblen Bereich.
Sowieso irgendwie so ein bisschen immer in der shady Ecke, wo sich vielleicht
auch Behörden und Personen, die nicht so viel damit zu tun haben,
gar nicht so für interessieren. Aber es ist hier natürlich ein Riesending.
Absolut. Also das Risikobetrachtung, die Auswirkungen für die betroffene Person,
nicht nur Identitätsdiebstahl, sondern auch Erpressungsrisiken, ist schon irre.
Wir bleiben tatsächlich bei Sicherheitslücken und zwar konnten wir ebenfalls
bei Heise lesen über eine kritische
Schwachstelle in einer Serverfernwartungssoftware, die Army Megarec.
Sicherheitsexperten von Eklipsium haben in der Fernwartungssoftware eine kritische
Sicherheitslücke entdeckt.
Diese Schwachstelle ist auch bekannt als Redfish Authentication Bypass.
Hat auch eine CWE-Nummer, also eine Common Vulnerability and Exposure-Nummer.
Ist die 224 54085, verlinken wir auch in den Shownotes, und wurde mit der höchsten
Risikostufe bewertet. Sie betrifft die
Firmware und ermöglicht potenziell autorisierten Zugriff auf die Server.
Diese schwerwiegende Sicherheitslücke in der Fernwartungssoftware könnte es
Angreifern ermöglichen, auf vertrauliche Daten zuzugreifen bzw.
Systeme zu manipulieren oder sogar Schadsoftware zu installieren.
Und natürlich sind Unternehmen als Verantwortliche verpflichtet,
personenbezogene Daten durch dem Risiko angemessene und geeignete technische
und organisatorische Maßnahmen zu schützen.
Und eine solche Schwachstelle stellt ein erhebliches Risiko für die Integrität
und Vertraulichkeit dieser Daten dar. Für die technisch interessierten Zuhörer
sind die betroffenen Systeme.
Die Firmware Army MegaRack wird auf den Baseboard-Management-Controllern von
Servern eingesetzt, unter anderem bei den Herstellern wie Asus, SROG Rack.
HPE, also im Enterprise-Segment und bei Lenovo.
Die Schwachstelle befindet sich in einem Codemodul für die Fernwartung API Redfish,
die sich als sicherer Ersatz für das ältere IPMM-Protokoll gilt.
Es wurden bereits vom Hersteller Patches bereitgestellt, die jedoch von den
jeweiligen Herstellern in ihre Firmware integrieren müssen.
Ja, also falls noch nicht passiert, sich mal diese Schwachstelle anschauen,
die CWE-Nummer mal nachschlagen und bitte ins Patchmanagement übernehmen.
Und ja, auch hinsichtlich der Fernwartung ist auch ein Riesenthema.
Auch nochmal ein Auge drauf werfen, stellt man sich zunächst die Frage,
welche Aspekte aus dem Datenschutz gelten bei der Fernwartung,
was ist dort zu beachten? Ja, das ist ein Datenschutzthema.
Es muss zum einen vertraglich geregelt sein, welche Instanzen,
welche Hersteller dürfen denn auf die Systeme zugreifen.
Habe ich da Protokolle darüber, wenn es unbeaufsichtigt ist oder ist es sogar
ein begleiteter oder beaufsichtigter Vorgang?
Also da auch nochmal bitte in die Richtlinien schauen zur Fernwartung von Systemen,
von Software und die Aufnahme in das Patchmanagement.
Zum Abschluss habe ich noch einen kleinen Schmunzler mitgebracht.
Der kommt von uns aus Nordrhein-Westfalen.
Die Landesbeauftragte für den Datenschutz hier, Bettina Geig,
hat eine Verwarnung gegen einen Kleingartenverein ausgesprochen.
Und vielleicht betrifft es ja den einen oder anderen jetzt, wo das Wetter wieder
besser wird, dass man wieder Zeit in seinem Schrebergarten verbringen möchte.
Diese Vereine halten selbstverständlich auch Jahresversammlungen ab und der
hier verwarnte Verein ist auf die Idee gekommen,
das Protokoll mit allen Mitgliedsnamen von dieser Versammlung in einem zugänglichen
Glasschau-Kasten zu veröffentlichen.
Da hatten sich Mitglieder gegen beschwert und die Behörde ist daraufhin dann tätig geworden.
Was es alles gibt. Ich bin heute Abend tatsächlich in meinem Angelferein unterwegs.
Ich werde mir auch mal die Schaukästen anschauen.
Mach das mal. Besser du sprichst die Verwarnung aus als die Behörde.
Ich bin auf die Gesichter gespannt. Gut, ich glaube wir sind soweit durch,
lieber David. Wir sind kurz vor dem Wochenende und blicken tatsächlich zurück
auf eine spannende Woche.
Ich freue mich auf das Wochenende. Das Wetter scheint ja auch uns in die Karten zu spielen.
Wie wirst du das bundesliga-freie Wochenende gestalten?
Nicht im Schrebergarten, so viel verrate ich.
Das hört sich nach einem Plan an. Ja, vielen Dank, falls ihr das heute am Freitag hört.
Wir wünschen euch ein schönes Wochenende, ein sonniges Wochenende. erholt euch gut.
Falls ihr es am Montag hört, wünschen wir euch, dass ihr euch am Wochenende
gut erholt habt, euch einen guten Wochenstart und würden sagen, bis nächste Woche.
Auf bald!
Der Beitrag Alarmierendes Datenleck bei Glücksspielsystem- DS News KW 12/2025 erschien zuerst auf migosens.
More shows like Der Datenschutz Talk
View all
Computer und Kommunikation
10 Listeners
IQ - Wissenschaft und Forschung
51 Listeners
c’t uplink - der IT-Podcast aus Nerdistan
8 Listeners
Dr. Datenschutz Podcast
0 Listeners
Datenschutz PRAXIS - Der Podcast
0 Listeners
Auslegungssache – der c't-Datenschutz-Podcast
1 Listeners
kurz informiert by heise online
1 Listeners
Datenfreiheit!
0 Listeners
F.A.Z. Künstliche Intelligenz
0 Listeners
11KM: der tagesschau-Podcast
26 Listeners
Dark Matters – Geheimnisse der Geheimdienste
19 Listeners
KI-Update – ein heise-Podcast
4 Listeners
Der KI-Podcast
6 Listeners
15 Minuten. Der tagesschau-Podcast am Morgen
9 Listeners
Passwort - der Podcast von heise security
3 Listeners