B3-IT

News und Projekte

News

Aktuelles

0

Open Source wird neuer Standard in der öffentlichen IT-Beschaffung

Von Annett, (Kommentare: 0)

Der IT-Planungsrat hat mehrere IT-Vertragsvorlagen überarbeitet, um den Behörden die rechtssichere Nutzung von Open-Source-Software zu ermöglichen. Künftig sollen bei neuen Softwareprojekten Open Source die erste Wahl sein und die Ergebnisse auf der Plattform OpenCoDE veröffentlicht werden. Anbieter sind verpflichtet, eine Übersicht über alle verwendeten Softwarebestandteile (SBOM) zu liefern, um mehr Transparenz und Sicherheit zu gewährleisten.
Die Änderungen beenden eine lange Phase der Unsicherheit, in der Open-Source-Anbieter oft benachteiligt waren. Behörden haben nun die Möglichkeit, gezielter zwischen Open-Source- und proprietärer Software zu wählen. Die neuen Regeln unterstützen die digitale Souveränität und fördern die gemeinsame Nutzung von Software zwischen Behörden. Zudem können durch Open Source langfristig Kosten gesenkt und Doppelentwicklungen vermieden werden.

Open Source in der Verwaltung wird zum Standard

Weiterlesen …

0

PolyShell: Kritische Zero-Day-Lücke in Magento – konkrete Schutzmaßnahmen für Shop-Betreiber

Von Frank Rochlitzer, (Kommentare: 0)

Mit „PolyShell“ ist eine schwerwiegende Zero-Day-Schwachstelle in Magento Open Source und Adobe Commerce öffentlich geworden. Die Sicherheitslücke ermöglicht es Angreifern, ohne gültige Authentifizierung schädliche Dateien auf den Server hochzuladen und auszuführen. Betroffene Shops riskieren dadurch Datenabfluss, Manipulation von Inhalten, Spam-Versand oder im schlimmsten Fall die vollständige Übernahme des Systems.

Da derzeit nicht für alle Installationen ein offizieller Patch verfügbar ist, sollten Betreiber kurzfristig technische Schutzmaßnahmen auf Infrastruktur-Ebene umsetzen.

Empfohlene Sofortmaßnahmen

  • Upload-Funktionen und nicht zwingend benötigte API-Endpunkte temporär einschränken
  • Schreibrechte im Webroot sowie in Media- und Var-Verzeichnissen prüfen und minimieren
  • Backend-Zugriffe zusätzlich absichern (IP-Whitelist, VPN, 2-Faktor-Authentifizierung)
  • Webserver-Logs und Magento-Logs verstärkt auf ungewöhnliche Requests überwachen
  • Aktuelle Backups erstellen und Wiederherstellbarkeit testen
  • Web Application Firewall (z. B. ModSecurity / Cloud-WAF) mit aktuellen Regeln einsetzen

Apache-Regeln anpassen

# Block upload to custom_options folder (CVE hardening) to avoid PolyShell exploit
RewriteCond %{REQUEST_URI} ^/media/custom_options(/|$) [NC]
RewriteRule .* - [F,L]

.htaccess in pub/media

<IfModule mod_php.c>
    php_flag engine 0
</IfModule>

<FilesMatch ".*\.(ph(p[34578]?|t|tml)|[aj]sp|p[ly]|sh|cgi|shtml?|html?)$">
    SetHandler default-handler
</FilesMatch>

Siehe auch:
https://www.ad-hoc-news.de/boerse/news/ueberblick/polyshell-kritische-luecke-in-magento-gefaehrdet-tausende-onlineshops/68965226
https://thehackernews.com/2026/03/magento-polyshell-flaw-enables.html

Weiterlesen …

0

Neue Gesetze zum Verbraucherschutz im Bundestag beschlossen

Von B3 IT, (Kommentare: 0)

Am 19. Dezember 2025 hat der Bundestag zwei Gesetze zur Stärkung des Verbraucherschutzes beschlossen, die bislang jedoch noch nicht in Kraft getreten sind.

Änderung des Gesetzes gegen den unlauteren Wettbewerb

Die Änderung des Gesetzes gegen den unlauteren Wettbewerb setzt EU-Richtlinien um und schützt Verbraucherinnen und Verbraucher besser vor irreführenden Umweltaussagen, manipulativen Online-Praktiken („Dark Patterns“) und nicht transparenten Nachhaltigkeitssiegeln. Umweltversprechen dürfen nur bei nachweislicher Leistung gemacht werden, Nachhaltigkeitssiegel müssen staatlich anerkannt sein.

Änderung des Verbraucher-, Versicherungs- und Behandlungsvertragsrechts

Die Änderungen im Verbraucher-, Versicherungs- und Behandlungsvertragsrecht führen einen elektronischen Widerrufsbutton für online abgeschlossene Verträge ein, begrenzen das bisherige „ewige Widerrufsrecht“ bei Finanz- und Versicherungsverträgen und erweitern die Informationspflichten – unter anderem zu Gewährleistung, Reparaturfähigkeit, Software‑Updates sowie zur kostenlosen Bereitstellung der ersten Kopie der Behandlungsakte.

Mehr Verbraucherschutz bei Online-Verträgen

Gesetzesänderungen zum Schutz von Verbrauchern beschlossen

Weiterlesen …

0

Gnadenfrist für Windows 10

Von B3 IT, (Kommentare: 0)

Microsoft beendet am 14. Oktober 2025 den Support für Windows 10, bietet über das Programm-ESU (Extended Security Updates) bis zum 13.10.2026 jedoch ein zusätzliches Jahr kostenloser Sicherheitsupdates an. Dieses Angebot ist ausschließlich Privatnutzern in Europa vorbehalten.
Einzige Voraussetzung ist ein Microsoft-Konto – frühere Hürden wie ein OneDrive-Backup oder das Einlösen von Rewards-Punkten entfallen. Teilnehmende Geräte müssen mit Windows 10 Version 22H2 laufen, alle aktuellen Updates installiert haben. Die Anmeldung zum ESU-Programm ist ab Anfang Oktober direkt über die Einstellungen unter „Update & Sicherheit“ möglich.

Microsoft Windows 10 Sicherheitsupdates in Europa kostenlos
Windows 10 weist auf Verlängerung für Sicherheitsupdates hin

Weiterlesen …

0

KI-Ransomware PromptLock erstmals entdeckt

Von B3 IT, (Kommentare: 0)

Mit PromptLock wurde eine neue Form von Ransomware entdeckt, die erstmals gezielt Künstliche Intelligenz einsetzt. Die Schadsoftware nutzt ein lokal installiertes Sprachmodell, um eigenständig Lua-Skripte zu erstellen und flexibel Dateien auf Windows-, Linux- und macOS-Systemen zu verschlüsseln. Die KI analysiert dabei selbstständig, welche Daten betroffen sein sollen.

Die Angriffe erfolgen vollständig lokal, ohne Cloud-Anbindung – selbst die Bitcoin-Adresse für die Erpressung ist im Prompt hinterlegt. Kurioserweise verweist sie auf eine Wallet, die dem Bitcoin-Erfinder Satoshi Nakamoto zugeordnet wird. Die Verschlüsselung erfolgt über den leichten Speck-Algorithmus mit 128 Bit.

Sicherheitsexperten warnen: PromptLock ist äußerst schwer zu erkennen und könnte den Beginn einer neuen, KI-gesteuerten Ransomware-Generation markieren.

https://www.chip.de/news/cyber-security

Weiterlesen …