Editorial: Patchen ist kein Nice-to-have

KW 2 fühlt sich an wie ein Déjà-vu in Dauerschleife. Kritische Sicherheitslücken, politische Abhängigkeiten, Cloud-Lock-ins – alles bekannt, alles dokumentiert, alles trotzdem weiter betrieben wie bisher. Während über digitale Souveränität konferenziert wird, liegen produktive Systeme ungepatcht im Netz. Während man sich auf „bewährte Plattformen" verlässt, steigen Preise und Abhängigkeiten. Und während Behörden gern auf Verantwortung verweisen, endet diese erstaunlich oft exakt an der eigenen Zuständigkeit.

Immerhin: Open Source stirbt nicht einfach leise. Und manchmal gewinnt sogar die Vernunft vor Gericht.

Tech-News:

MongoDB-Sicherheitslücke betrifft tausende Systeme in Deutschland

Mehr als 11.500 verwundbare MongoDB-Instanzen in Deutschland. Platz drei weltweit. Das ist keine Randnotiz aus der IT-Security, sondern ein strukturelles Versagen im Betrieb digitaler Infrastruktur.

Die Schwachstelle „MongoBleed" erinnert nicht zufällig an CitrixBleed. Wieder eine kritische Lücke, wieder öffentlich verfügbarer Exploit-Code, wieder zehntausende exponierte Systeme. Und wieder zeigt sich: Nicht die Existenz einer Schwachstelle ist das Problem, sondern ihre massenhafte, monatelange Nicht-Behebung.

Besonders brisant ist der Blick auf die Provider. Mit Hetzner steht ein deutscher Hoster weltweit an der Spitze der verwundbaren MongoDB-Instanzen. Das bedeutet nicht automatisch Fehlverhalten des Anbieters – aber es zeigt, wie leicht sich Verantwortung im Cloud-Zeitalter wegdelegieren lässt. „Der Kunde ist zuständig" wird zur Ausrede, wenn elementare Sicherheitsstandards nicht einmal sichtbar eingefordert werden.

MongoBleed ist kein exotischer Edge Case. Die betroffene Konfiguration – aktivierte zlib-Kompression – ist laut Sicherheitsforschern häufig Standard. Dass tausende produktive Datenbanken offen aus dem Internet erreichbar sind, ohne zeitnahes Patchen, ist kein Betriebsunfall. Es ist Alltag.

Und genau hier liegt das politische und wirtschaftliche Problem: Deutschland diskutiert über digitale Souveränität, während zentrale Datenbestände mit CVSS 8.7 ungepatcht im Netz stehen. Open-Source-Software ist dabei nicht das Risiko – sie liefert Patches schnell und transparent. Das Risiko entsteht dort, wo Betrieb, Wartung und Verantwortlichkeit billig ausgelagert werden.

Wer Cloud nutzt, übernimmt Verantwortung. Wer produktive Systeme betreibt, muss patchen. Und wer kritische Infrastruktur hostet, kann sich nicht hinter Vertragsklauseln verstecken. MongoBleed zeigt erneut: Sicherheit ist keine Funktion des Produkts, sondern der Organisation dahinter.

🔗https://www.heise.de/news/MongoBleed-Mehr-als-11-500-verwundbare-MongoDB-Instanzen-in-Deutschland-11126702.html?utm_term=Autofeed&utm_medium=Social&utm_source=LinkedIn#Echobox=1767185913

Urteil mit Signalwirkung

Das Verwaltungsgericht Köln stärkt die Rolle des Bundesamts für Sicherheit in der Informationstechnik. Ein Softwarehersteller wollte dem BSI per Eilantrag verbieten lassen, sein Sicherheitskonzept als „auffällig" zu bewerten. Das Gericht hat den Antrag abgewiesen. Die Botschaft ist klar: Staatliche Cybersicherheitsbehörden dürfen informieren, auch wenn das wirtschaftlich unangenehm ist.

Der Kern der Entscheidung ist weniger juristisch-technisch als ordnungspolitisch. Das Gericht macht deutlich, dass vorbeugender Rechtsschutz gegen behördliche Sicherheitsbewertungen die Ausnahme bleiben muss. Unternehmen können eine kritische Veröffentlichung nicht allein mit dem Hinweis auf mögliche Reputationsschäden verhindern. Negative Marktfolgen gehören zum Risiko, wenn Produkte sicherheitsrelevant sind und bewertet werden.

Bemerkenswert ist dabei der Maßstab. „Auffällig" reichte aus. Keine Warnung vor akuter Ausnutzung, kein Totalverriss, keine plakative Platzierung. Und dennoch wollte der Hersteller das Einschreiten des Staates stoppen. Das Gericht stellt sich dagegen: Sicherheitsbewertungen sind dynamisch, korrigierbar und durch Gegendarstellungen einhegend. Wer bessere Argumente oder bessere Software liefert, kann verlorenes Vertrauen zurückgewinnen.

Damit verschiebt sich die Debatte. Nicht mehr die Frage, ob das BSI warnen darf, sondern wie professionell Unternehmen mit Kritik umgehen. In Zeiten von NIS2 ist das konsequent. Der Gesetzgeber hat die Informationsbefugnisse der Behörde ausdrücklich normiert. Wer digitale Produkte anbietet, muss damit rechnen, öffentlich gemessen zu werden – und zwar nicht nur an Marketingversprechen, sondern an realen Sicherheitsstandards.

Der Fall erinnert an die Kaspersky-Entscheidung, geht aber darüber hinaus. Es geht nicht um geopolitische Ausnahmelagen, sondern um alltägliche Software für Verbraucher. Gerade hier zeigt sich, wie wichtig unabhängige staatliche Einordnung ist. Der Markt allein regelt Sicherheit nicht. Transparenz entsteht nicht durch Whitepaper, sondern durch überprüfbare Bewertungen.

Das Urteil ist deshalb kein Angriff auf die Softwarebranche. Es ist eine Klarstellung: Sicherheitskritik ist kein Pranger, sondern Teil öffentlicher Daseinsvorsorge. Wer das als Bedrohung empfindet, hat ein Problem – nicht mit dem BSI, sondern mit dem eigenen Sicherheitsverständnis.

🔗https://www.heise.de/news/Schlappe-fuer-Softwarebauer-BSI-darf-Sicherheitskonzept-als-auffaellig-ruegen-11127661.html?utm_term=Autofeed&utm_medium=Social&utm_source=LinkedIn#Echobox=1767417532

Debanking per Sanktionsliste

Der Fall der Roten Hilfe ist mehr als ein Streit um ein gekündigtes Vereinskonto. Er zeigt, wie brüchig die finanzielle und politische Souveränität Europas geworden ist, wenn Entscheidungen aus Washington faktisch darüber bestimmen, wer in Deutschland Zugang zum Bankensystem hat.

Kurz vor Jahresende kündigten mit der Sparkasse Göttingen und der GLS Bank gleich zwei Institute die Konten eines nicht verbotenen, in Deutschland legal tätigen Vereins. Der zeitliche Zusammenhang mit der Einstufung einer nebulösen „Antifa Ost" als Terrororganisation durch die US-Regierung unter Donald Trump ist offensichtlich. Dass ein deutscher Verein dadurch auf einer OFAC-Sanktionsliste landet, reicht offenbar aus, um hierzulande existenzielle Infrastruktur zu entziehen.

Rechtsstaatlich ist das heikel. Politisch ist es ein Alarmzeichen. Die Rote Hilfe mag umstritten sein, sie wird vom Verfassungsschutz beobachtet, aber sie ist nicht verboten. Dennoch greifen Banken zu einem Mittel, das sonst mit Terrorfinanzierung oder organisierter Kriminalität begründet wird: Debanking. Ohne Urteil, ohne Verbot, ohne Transparenz.

Besonders problematisch ist die Rolle öffentlich-rechtlicher Institute. Sparkassen berufen sich bei rechten Organisationen regelmäßig darauf, Konten erst bei einem Verbot kündigen zu dürfen. Warum diese Linie bei einem linken Verein nicht gelten soll, ist bislang unbeantwortet. Das Vertrauen in politische Neutralität staatlich gebundener Finanzinstitute leidet erheblich.

Der Fall macht zudem sichtbar, wie extraterritoriale US-Sanktionspolitik wirkt. OFAC-Listen sind kein europäisches Recht, entfalten aber faktisch Wirkung, weil Banken globale Risiken scheuen. Das Ergebnis ist eine schleichende Privatisierung politischer Entscheidungen: Banken setzen um, was Regierungen androhen – ohne demokratische Kontrolle.

Dass selbst alternative Banken wie die GLS Bank sich hinter dem Bankgeheimnis verschanzen, obwohl sie sich öffentlich als politisch engagiert und protestfreundlich inszenieren, verstärkt den Eindruck von Opportunismus. Haltung endet dort, wo es regulatorisch unbequem wird.

Die Klage der Roten Hilfe gegen die Sparkasse ist deshalb mehr als Selbstverteidigung. Sie ist ein Testfall. Es geht um die Frage, ob gemeinwohlorientierte Infrastruktur politisch missliebigen Akteuren entzogen werden darf, ohne dass ein Rechtsbruch vorliegt. Und es geht um die europäische Fähigkeit, sich gegen politische Druckmittel aus Drittstaaten zu behaupten.

Debanking ist kein Randphänomen mehr. Es wird zum Instrument. Wer das hinnimmt, akzeptiert, dass politische Macht nicht mehr über Gesetze wirkt, sondern über Kontosperren.

🔗https://www.fr.de/wirtschaft/rote-hilfe-klagt-gegen-debanking-nach-us-sanktionsliste-94104327.html

Dänemark nennt die USA ein Sicherheitsrisiko – und Washington liefert in Caracas den Beleg

Dänemark hat einen Satz ausgesprochen, den viele europäische Regierungen seit Jahren vermeiden: Die USA gelten unter Präsident Donald Trump erstmals als potenzielle Bedrohung für die nationale Sicherheit. Nicht rhetorisch, nicht diplomatisch verklausuliert, sondern schwarz auf weiß im Bedrohungsbericht des Militärgeheimdienstes. Das ist kein Affront, sondern eine Lageeinschätzung.

Der Kontext ist klar. Washington setzt offen wirtschaftlichen Druck ein, droht mit Zöllen, stellt militärische Mittel auch gegenüber Partnern nicht mehr grundsätzlich infrage und behandelt Grönland wie eine strategische Verhandlungsmasse. Für ein Land wie Dänemark ist das keine theoretische Debatte, sondern eine Frage staatlicher Souveränität.

Nur Tage später folgt der nächste Realitätscheck – diesmal in Venezuela. Die USA führen eine monatelang geplante Militäraktion durch, dringen mit Spezialkräften in Caracas ein, schalten Infrastruktur aus, nehmen den amtierenden Präsidenten Nicolás Maduro fest und fliegen ihn außer Landes. Live verfolgt vom Präsidenten aus Mar-a-Lago. Ohne Mandat der Vereinten Nationen. Ohne rechtsstaatliches Verfahren. Mit dem erklärten Anspruch, das Land „vorerst selbst zu führen".

Maduro ist kein Opfer. Seine autoritäre Herrschaft, massive Korruption, Wahlmanipulationen und die systematische Zerstörung demokratischer Institutionen sind gut dokumentiert. Seine Verfehlungen sind real und schwerwiegend. Sie rechtfertigen Anklage, Sanktionen und internationalen Druck. Sie rechtfertigen aber keine militärische Entführung durch einen anderen Staat.

Genau hier liegt der Punkt, den Dänemark adressiert – und den Europa nicht länger ignorieren kann. Wenn die USA definieren, wann Völkerrecht gilt und wann nicht. Wenn Regimewechsel per Spezialkommando zum legitimen außenpolitischen Instrument erklärt werden. Wenn militärische Macht offen gegen Staaten eingesetzt wird, die nicht ins strategische Raster passen, dann ist das kein Ausrutscher, sondern ein Muster.

Für Europa ist das eine unbequeme, aber notwendige Erkenntnis. Sicherheit basiert nicht auf Gewohnheit, sondern auf Verlässlichkeit. Und Verlässlichkeit endet dort, wo Recht zur Option wird. Dänemark zieht daraus Konsequenzen. Andere europäische Staaten werden folgen müssen – nicht aus Anti-Amerikanismus, sondern aus nüchterner Selbstachtung.

Am Ende bleibt eine zentrale Frage: Welches Bild sendet die völkerrechtswidrige Entführung von Nicolás Maduro an die Welt – und an all jene Staaten, die künftig selbst entscheiden müssen, ob sie auf internationales Recht oder auf militärische Stärke setzen?

🔗https://www.tagesschau.de/ausland/venezuela-us-angriff-ablauf-100.html & https://www.nordisch.info/daenemark/stuft-usa-erstmals-als-nationales-sicherheitsrisiko-ein/

Europa liefert seine Verwaltung an Microsoft aus – freiwillig

Die Warnungen liegen auf dem Tisch. In der Schweiz schlagen dreissig Datenschutzbeauftragte Alarm, in Deutschland diskutiert Bayern unter Markus Söder über eine langfristige Bindung an Microsoft 365. Die Argumente sind überall gleich, die Entscheidungen erstaunlich ähnlich. Und genau darin liegt das Problem.

Digitale Souveränität wird in Europa gern beschworen. In der Praxis wird sie systematisch untergraben – durch Beschaffungsentscheidungen, die kurzfristige Bequemlichkeit über langfristige Kontrolle stellen. Microsoft ist dabei nicht irgendein Anbieter, sondern der infrastrukturelle Standard, an den sich Verwaltungen über Jahre, oft über Jahrzehnte ketten.

Der Kern ist kein technischer Detailstreit, sondern eine Machtfrage. US-Recht gilt für US-Konzerne global. Der Cloud Act erlaubt den Zugriff amerikanischer Behörden auf Daten von Microsoft, unabhängig vom Speicherort. Schweizer Server, deutsche Rechenzentren, europäische Zertifikate ändern daran nichts. Selbst Microsoft räumt ein, dass ein Ausschluss dieses Zugriffs nicht garantiert werden kann.

Trotzdem setzen europäische Regierungen weiter auf genau diese Infrastruktur. In der Schweiz explodieren die Kosten für Microsoft-Lizenzen, während Datenschutzbehörden erklären, dass der Einsatz mit sensiblen Bürgerdaten oft unzulässig ist. In Bayern erwägt die Staatsregierung einen milliardenschweren Vertrag mit Microsoft – und spricht gleichzeitig von offener Willensbildung. Faktisch wäre es eine Festlegung auf Jahre.

Das Muster ist überall gleich: bekannte Software, schnelle Einführung, eingespielte Prozesse. Kurzfristig funktioniert das. Langfristig entstehen Lock-in-Effekte, steigende Lizenzkosten und politische Abhängigkeiten. Wer tief im Microsoft-Ökosystem steckt, kann nicht mehr wechseln, ohne hohe Kosten, organisatorische Reibung und Kontrollverlust in Kauf zu nehmen.

Es gibt Gegenbeispiele. Schleswig-Holstein setzt konsequent auf Open Source, Deutschland entwickelt mit OpenDesk eine offene Büroplattform, in der Schweiz existieren Anbieter wie Switch, Abraxas, Infomaniak oder Proton. Diese Lösungen sind nicht trivial, sie erfordern Umstellung, Kompetenzaufbau und politische Standhaftigkeit. Aber sie haben einen entscheidenden Vorteil: Sie unterliegen europäischem Recht und europäischer Kontrolle.

Das eigentliche Versagen liegt nicht darin, dass Microsoft leistungsfähige Produkte anbietet. Es liegt darin, dass europäische Staaten ihre digitale Infrastruktur wie eine Einkaufsliste behandeln – statt wie kritische öffentliche Daseinsvorsorge. Energieabhängigkeit wurde schmerzhaft gelernt. Digitale Abhängigkeit wird sehenden Auges wiederholt.

Solange Ministerpräsidenten, Bundesräte und Verwaltungen Bequemlichkeit mit Modernisierung verwechseln, bleibt digitale Souveränität ein Schlagwort. Sie entsteht nicht durch Cloud-Standorte oder Absichtserklärungen, sondern durch konsequente Entscheidungen für offene, kontrollierbare und europäische Technologien.

Europa hat Alternativen. Was fehlt, ist der politische Wille, sie systematisch zu nutzen.

🔗https://www.tagesanzeiger.ch/datenschutz-schweizer-behoerden-bei-microsoft-365-gewarnt-616508053394 & https://www.br.de/nachrichten/bayern/bayerns-digitale-verwaltung-zu-viel-macht-fuer-microsoft,V79IY0k

Good-News:

Ingress-NGINX lebt weiter – und das ist eine richtig gute Nachricht

Ingress-NGINX wird nicht einfach abgeschaltet. Chainguard übernimmt die Pflege und hält das Projekt am Leben. Für alle, die Kubernetes produktiv betreiben, ist das eine klare Entwarnung – zumindest operativ und sicherheitstechnisch.

Der Hintergrund ist bekannt: fehlende Maintainer, zu viel unbezahlte Verantwortung, ein geordneter Rückzug des Upstreams. Dass ein so zentraler Baustein wie ingress-nginx davon betroffen ist, war beunruhigend. Umso wichtiger ist die Entscheidung von Chainguard, genau hier einzugreifen. Mit dem EmeritOSS-Programm wird ein gepflegter Fork bereitgestellt, inklusive Security-Fixes und aktualisierter Abhängigkeiten. Das reduziert Risiken dort, wo sie besonders kritisch wären: an der Außengrenze des Clusters.

Das ist keine kosmetische Maßnahme. Ingress-Controller sind exponierte Infrastruktur. Sie ungepflegt weiterzubetreiben wäre fahrlässig. Chainguard sorgt dafür, dass genau das nicht passiert. Für Betreiber bedeutet das Planungssicherheit statt hektischer Migrationen unter Zeitdruck.

Gleichzeitig ist die Botschaft ehrlich: ingress-nginx wird nicht weiterentwickelt, sondern stabil gehalten. Und das ist vollkommen in Ordnung. Nicht jedes bewährte Werkzeug muss permanent neue Features bekommen. Manchmal ist Verlässlichkeit der eigentliche Mehrwert. Wer migrieren will, kann das nun strukturiert tun – etwa in Richtung Gateway API – statt aus Angst vor ungepatchten CVEs.

Positiv ist auch das Signal an die Open-Source-Community: Projekte müssen nicht abrupt sterben, nur weil Maintainer fehlen. Es gibt Modelle zwischen „volles Tempo voraus" und „Archiv und Ende". EmeritOSS ist genau dafür gedacht – und funktioniert offensichtlich.

Ingress-NGINX bleibt nutzbar, sicher und stabil. Das ist keine kleine Nachricht, sondern eine sehr gute für alle, die Kubernetes nicht als Experiment, sondern als Produktionsplattform betreiben.

🔗https://www.chainguard.dev/unchained/keeping-ingress-nginx-alive

Podcast-Empfehlung:

39C3: Die Krux mit der digitalen Souveränität

Aufgenommen beim 39C3 in Hamburg, einem der weltweit wichtigsten Treffpunkte für IT-Sicherheit, Technikpolitik und digitale Zivilgesellschaft, diskutiert eine Sonderfolge von c’t uplink genau das, was derzeit in Berlin, Brüssel und den Behördenfluren rauf und runter zitiert wird: Digitale Souveränität.

Seit Donald Trump wieder im Weißen Haus sitzt, hat der Begriff politisch Konjunktur. Deutschland hat mit dem ZenDiSein eigenes Zentrum geschaffen, der Sovereign Tech Fund wurde zur Agentur ausgebaut. Die Rhetorik ist ambitioniert. Die Realität bleibt zäh.

Die Podcastfolge zerlegt den Begriff nüchtern und ohne PR-Filter: Ist „digitale Souveränität" tatsächlich ein Hebel für mehr Open Source in Staat, Verwaltung und Bildung – oder dient das Schlagwort am Ende nur dazu, bestehende Abhängigkeiten neu zu verpacken? Und: Sind Big-Tech-Konzerne, die massiv in Open Source investieren, wirklich der Kern des Problems – oder eher Teil eines strukturell falsch gesetzten Rahmens?

Die Teilnehmenden:

• Anne Roth – Netzpolitische Expertin, ehemalige Leiterin des Referats Digitale Grundrechte im BMJ. Analysiert Machtstrukturen, Staatlichkeit und digitale Abhängigkeiten mit klarem Blick auf Grundrechte.
• Bonnie Mehring – Aktivistin und Strategin für digitale Selbstbestimmung und Open-Source-Ökosysteme. Bringt die Perspektive der Zivilgesellschaft und praktischer Community-Arbeit ein.
• Sven Neuhaus – Open-Source- und Verwaltungsexperte mit Fokus auf öffentliche IT-Infrastrukturen. Kennt die strukturellen Blockaden der öffentlichen Hand aus der Praxis.
• Keywan Tonekaboni – c’t-Redakteur und Moderator der Runde. Ordnet die Debatte journalistisch ein und führt präzise durch Begriffe, Widersprüche und politische Narrative.

Die Diskussion macht deutlich: Solange „digitale Souveränität" nicht mit verbindlichen Beschaffungsregeln, echter Priorisierung von Open Source und dem Mut zur Abkehr von proprietären Lock-ins verbunden wird, bleibt sie ein politisches Wohlfühlwort. Das Problem ist nicht fehlendes Geld oder fehlende Technologien. Es ist fehlender politischer Wille zur Konsequenz.

🔗https://open.spotify.com/episode/1inSHQ1sR3vbbnQBkE9zOK

Blogpost-Empfehlung:

Hyperscaler oder Hylascaler

Microsoft erhöht die Preise für Microsoft 365 – je nach Paket um bis zu 25 Prozent. Begründung: neue KI-Features, mehr Security, mehr Management. Alles automatisch dabei. Ob man sie braucht oder nicht.

Genau so funktioniert Plattformbindung.

Was als Office-Abo begann, ist längst ein Bündel aus Diensten, APIs, Zusatzfunktionen und Abhängigkeiten geworden. Der Einstieg war günstig. Der Betrieb bequem. Der Exit teuer. Und jetzt wird nachkassiert.

Das ist kein Ausrutscher, sondern das Geschäftsmodell. Hyperscaler verkaufen keine einzelnen Produkte. Sie verkaufen vollständige Ökosysteme – und erhöhen den Preis, sobald genug Nutzer feststecken.

In meinem älteren Blogpost habe ich das mit einem Hyla-Staubsauger verglichen: Man wollte saugen, bekommt aber gleich Wasserfilter, Servicevertrag, Schulung und lebenslange Bindung dazu. Heute lässt sich diese Metapher problemlos politisch zuspitzen.

Markus Söder spielt dabei den perfekten Vertreter: geschniegelt, überzeugt, mit Hochglanzargumenten. Bayern geht in die Microsoft-Cloud, trotz bekannter Lock-in-Risiken, trotz Milliardenpotenzial bei den Lizenzkosten, trotz europäischer Alternativen. Der Staubsauger wird nicht nur gekauft – er wird landesweit ausgerollt.

Die aktuellen Preiserhöhungen zeigen, wohin diese Reise führt. Wer Plattformen statt kontrollierbarer Infrastruktur einkauft, gibt Preisgestaltung, Migrationsfähigkeit und strategische Handlungsfreiheit aus der Hand. Erst in der IT. Dann im Haushalt. Und schließlich in der Verwaltung.

Cloud ist kein Infrastrukturthema. Cloud ist Machtökonomie.

Warum genau das kein Zufall ist und wie aus simplen Services teure Abhängigkeiten werden, habe ich hier ausführlich aufgeschrieben:

🔗https://ayedo.de/posts/hyperscaler-oder-hylascaler-wie-aus-simplen-services-teure-plattform-abhangigkeiten-werden/

Meme der Woche:

Zum Schluss bleibt nur eins: Frohes neues Jahr 2026 an alle Leserinnen, Leser und Abonnenten. Danke fürs Mitlesen, Diskutieren, Weiterleiten und Widersprechen. Wenn euch der Weekly Backlog auch dieses Jahr begleiten soll, teilt ihn gern, empfehlt ihn weiter – und bleibt an Bord.

Ich mache weiter. Auch 2026.

Katrin Peter