BrowserGate: Clientseitige Telemetrie trifft Compliance
Die Webseite BrowserGate der Organisation Fairlinked wirft LinkedIn vor, beim Aufruf der Website systematisch auf installierte Browser-Erweiterungen zu prüfen und dabei zusätzliche Browser- bzw. Geräteinformationen zu erfassen und daraus ein weitreichendes Nutzerprofil abzuleiten. BleepingComputer hat wesentliche Teile der technischen Praxis unabhängig nachvollzogen. Demnach wurde beim Seitenaufruf ein Script geladen, das in Tests 6.236 Extensions per Resource-Probing prüfte und weitere Merkmale wie CPU-Kerne, Speicher, Bildschirmauflösung, Zeitzone, Spracheinstellungen und Batteriestatus erfasste. Nicht unabhängig verifiziert wurden dagegen die von Fairlinked behauptete konkrete Weitergabe der Ergebnisse an Dritte oder deren spezifische Nutzung.
LinkedIn bestreitet die Missbrauchs- bzw. „Spionage“-Deutung und erklärt, die Erkennung bestimmter Extensions diene dem Schutz der Plattform, der Durchsetzung der Nutzungsbedingungen, der Abwehr von Scraping sowie der Stabilität des Dienstes. Das Unternehmen erklärte außerdem, die Daten nicht zur Ableitung sensibler Eigenschaften von Mitgliedern zu verwenden.
In Europa wird in diesem Zusammenhang vor allem die Frage aufgeworfen, ob LinkedIn nach dem Digital Markets Act als „Gatekeeper“, also als Technologiekonzern mit besonderer Marktmacht, einzustufen ist, für den besondere regulatorische Vorgaben gelten. Diese Einordnung stammt bislang insbesondere aus dem Fairlinked/BrowserGate-Umfeld. Ob und in welchem Umfang daraus formelle Verfahren oder weitergehende Klagen entstehen, geben die Quellen nicht her.
Aus Compliance- und Security-Sicht zeigt der Fall, dass Extension-Scanning und Browser-Fingerprinting auch dann erhebliche Privacy-, Transparenz- und Governance-Risiken erzeugen können, wenn sie technisch mit Anti-Abuse-Zielen begründet werden. Ähnliche Techniken können zur Profilbildung und zum Tracking beitragen.
https://www.linkedin.com/pulse/linkedin-accused-extensive-browser-surveillance-pdfze
https://pipelab.org/blog/linkedin-browsergate-agent-fingerprinting
Quanten-Computer: Der Wendepunkt für Public-Key-Kryptografie ist erreicht
Noch vor wenigen Jahren galt der „quantum break of ECC“ als theoretisches Langzeitrisiko. Diese Einschätzung hat sich im März und April 2026 grundlegend geändert.
Auslöser ist eine ungewöhnlich dichte Abfolge belastbarer Signale aus Forschung und Industrie, zusammengefasst und klar eingeordnet von Filippo Valsorda (Kryptografie-Pionier und Betreuer der Kryptografie-Standardbibliothek der Programmiersprache Go). Seine zentrale Botschaft ist unmissverständlich: Die Migration zu Post‑Quantum‑Kryptografie ist kein strategisches Planungsprojekt mehr, sondern ein akutes Shipping‑Problem.
Nach Einschätzung von Filippo Valsorda erleben wir einen Risikokipppunkt. Selbst wenn sich einzelne Prognosen im Rückblick als zu pessimistisch erweisen sollten, ist Untätigkeit inzwischen die riskantere Entscheidung. Post‑Quantum‑Kryptografie ist seit 2026 weder Forschungs‑ noch Vorbereitungsthema – sie ist operative Sicherheitsarbeit.
https://words.filippo.io/crqc-timeline
Aktive Ausnutzung der Langflow-Schwachstelle CVE-2026-33017
In der Open-Source-Plattform Langflow, einem weitverbreiteten Werkzeug zum visuellen Erstellen und Betreiben von KI-Agenten und KI-Workflows, wurde im März 2026 eine kritische Sicherheitslücke unter der Kennung CVE-2026-33017 öffentlich bekannt. Die Schwachstelle ermöglicht es Angreifenden, ohne jegliche Authentifizierung beliebigen Programmcode auf betroffenen Servern auszuführen – ein Szenario, das in der Informationssicherheit als unauthentifizierte Remote Code Execution (RCE) klassifiziert wird und die höchste Risikostufe darstellt. Die US-amerikanische Cybersicherheitsbehörde CISA hat die Schwachstelle in ihren Katalog der nachweislich aktiv ausgenutzten Sicherheitslücken (Known Exploited Vulnerabilities, KEV) aufgenommen, was bedeutet, dass reale Angriffe in freier Wildbahn beobachtet wurden, und nicht lediglich ein theoretisches Risiko besteht.
Der technische Kern der Schwachstelle liegt in einem fundamentalen Design- und Implementierungsfehler im Zusammenspiel zwischen öffentlich zugänglichen Funktionen und der internen Code-Ausführung. Langflow bietet einen sogenannten „Public Flow Build“-Endpunkt an, der bewusst ohne Anmeldung erreichbar ist, damit öffentliche Flows – also vorgefertigte KI-Workflows – von externen Nutzern angestoßen werden können. Der Endpunkt ist absichtlich öffentlich gestaltet, weil er eine legitime Geschäftsfunktion – das Teilen und Ausführen öffentlicher Flows – bedient. Das eigentliche Versäumnis liegt darin, dass eine öffentlich zugängliche Funktion ausführbare, von außen kontrollierbare Definitionen annimmt und diese ohne ausreichende Validierung oder Isolation zur Ausführung bringt. Es handelt sich also um ein architektonisches Problem an der Schnittstelle zwischen Offenheit und Sicherheit.
Öffentlich zugängliche Funktionen, die „Code als Daten“ entgegennehmen und verarbeiten, stellen ein inhärent hohes Risiko dar. Die Kombination aus einem unauthentifizierten Endpunkt, der Annahme ausführbarer Definitionen von außen und einer fehlenden Sandbox bei der Code-Ausführung bildet genau jenes toxische Muster, das CVE-2026-33017 so gefährlich und so einfach ausnutzbar macht.
https://www.cve.org/CVERecord?id=CVE-2026-33017
https://github.com/langflow-ai/langflow/security/advisories/GHSA-vwmf-pq79-vjvx
https://github.com/advisories/GHSA-rvqx-wpfh-mfx7
Iranische Hacker veröffentlichen private E-Mails von FBI-Direktor Kash Patel
Eine dem iranischen Staat zugerechnete Hackergruppe hat private E-Mail-Konten von FBI-Direktor Kash Patel kompromittiert und Teile der erbeuteten Korrespondenz öffentlich ins Netz gestellt. Das FBI hält technische Details zum konkreten Vorfall bislang zurück. Das US-Außenministerium reagierte mit einer öffentlichen Auslobung einer Belohnung von bis zu zehn Millionen US-Dollar für Hinweise, die zur Identifizierung oder Lokalisierung der verantwortlichen iranischen Cyber-Akteure führen.
Der Vorfall unterstreicht, wie staatlich gesteuerte Hackergruppen zunehmend persönliche Kommunikationskanäle hochrangiger Beamter ins Visier nehmen, um politischen Druck auszuüben. Selbst private Accounts von Entscheidungsträgern sind inzwischen ein erstrangiges Ziel geopolitisch motivierter Cyberoperationen.
https://therecord.media/fbi-confirms-theft-of-directors-personal-emails-iran-group
https://therecord.media/iran-hackers-state-department-reward
EU Top Officials & Signal
Politico berichtet, dass die Kommission eine Signal‑Gruppe hochrangiger Beamter auflösen ließ – präventiv, ohne bestätigte Kompromittierung.
Doch warum ist ausgerechnet Signal ein Problem – ein Messenger, der für seine starke Verschlüsselung bekannt ist? Die Antwort gilt nicht nur für Signal, sondern für nahezu alle privaten Messenger-Apps: Sie wurden für den persönlichen Gebrauch entwickelt und optimiert. Für den Einsatz in institutionellen Umgebungen – insbesondere in Regierungen und Behörden – fehlen ihnen entscheidende Funktionen:
- zentrales User Management – Es gibt kein Onboarding/Offboarding durch IT-Administratoren.
- Audit Trail – Es besteht keine nachvollziehbare Protokollierung von Aktivitäten.
- Compliance-Archivierung – Es existiert keine rechtskonforme Aufbewahrung dienstlicher Kommunikation.
- MDM-Integration – Private Messenger-Apps lassen sich als App per MDM verteilen, bieten aber keine nativen Enterprise‑Admin‑Funktionen wie zentrales User‑Management, Audit/Archive oder eDiscovery.
- Geräte-Policy-Enforcement – Private Messenger-Apps selbst erzwingen keine institutionellen Richtlinien. Diese lassen sich nur über Geräte‑ und App‑Policies der MDM/EMM‑Plattform abbilden.
- Sicherheitsfreigabe-Verknüpfung – Es erfolgt keine Kopplung an Freigabestufen oder Berechtigungskonzepte.
- Kontrollierte Gruppenverwaltung – Es liegt keine abgesicherte Steuerung von Gruppenmitgliedschaften vor.
- Forensische Auditierbarkeit – Es fehlt eine zentrale Auditierbarkeit/Archivierung. Forensik ist auf Endpoint‑Ebene möglich, aber stark vom Gerät und den Governance‑Rahmenbedingungen abhängig.
Kurz gesagt: Das Signal-Protokoll ist nicht das Problem. Das Problem ist, dass ein Werkzeug, das Einzelpersonen vor Überwachung schützen soll, für die gesteuerte und rechenschaftspflichtige Kommunikation einer Institution schlicht nicht vorgesehen ist.
https://www.politico.eu/article/top-eu-officials-signal-group-chat-hacking-fears
