NASA: Drei Jahre versteckte Sicherheitslücke gefährdet Raumfahrtmissionen

Während Millionen von Menschen das Black-Friday-Wochenende zum Shoppen nutzten, erschütterten zwei Meldungen die Cybersecurity-Welt: Eine kritische Schwachstelle in NASAs Missionskontroll-Software – drei Jahre lang geheim gehalten – und Microsofts radikaler Kurswechsel bei der Anmeldesicherheit. Was auf den ersten Blick nach separaten Vorfällen aussieht, offenbart einen fundamentalen Wandel: Die Ära vertrauensbasierter Authentifizierung geht zu Ende.

Die Entwicklungen zeigen drastisch, wie verwundbar selbst hochsichere Systeme sind. Denn wenn NASA-Software zum Einfallstor werden kann, was bedeutet das für normale Unternehmensnetzwerke?

Der Schock aus dem All: Wenn Satelliten-Kommandos manipulierbar werden

Am Freitag wurde bekannt, was Sicherheitsexperten seit drei Jahren unter Verschluss hielten: CVE-2025-59534, eine gravierende Schwachstelle in NASAs CryptoLib. Diese Bibliothek sichert die Kommunikation zwischen Bodenstationen und Raumfahrzeugen – das digitale Nervensystem jeder Mission.

Entdeckt hatte die Lücke Stanislav Fort, Chefwissenschaftler der Security-Firma AISLE. Das Problem steckte im Space Data Link Security Protokoll (SDLS), genauer: in einer Funktion zur Verarbeitung von Konfigurationsdateien. Das System vertraute diesen Dateien blind – ein fataler Fehler.

Angreifer hätten über präparierte Benutzernamen oder Dateipfade Schadcode einschleusen können. „Shell-Metazeichen” in der Konfiguration verwandelten harmlos scheinende Daten in ausführbare Befehle. Die Folge: potenzielle Manipulation von Satellitendaten, Telemetrie oder sogar Steuerungsbefehlen.

„Wenn diese Schutzschicht versagt, stehen Raumfahrzeug-Kommandos, Telemetrie und wissenschaftliche Daten auf dem Spiel”, warnte Fort in der Veröffentlichung.

Zwar gibt es keine Hinweise auf tatsächliche Angriffe. Doch die dreijährige Geheimhaltung wirft Fragen auf: Wie viele ähnliche Schwachstellen schlummern noch in kritischer Infrastruktur?

Microsoft zieht die Notbremse: Ende der Login-Anpassungen

Während die NASA ihre Hausaufgaben nachträglich erledigt, greift Microsoft präventiv durch. Am 26. November kündigte der Konzern drastische Änderungen für Entra ID (ehemals Azure AD) an – die zentrale Anmeldeplattform für Millionen Unternehmensnutzer von Microsoft 365 und Azure.

Ab Oktober 2026 gilt auf login.microsoftonline.com eine strikte Content Security Policy (CSP): Kein externes Skript läuft mehr während der Anmeldung. Was technisch klingt, hat weitreichende Folgen.

Bisher konnten Unternehmen oder Browser-Erweiterungen JavaScript in den Login-Prozess einspeisen – für Analytics, Anpassungen oder Hilfsfunktionen. Doch genau diese Möglichkeit nutzen Cyberkriminelle für „Digital Skimming”: Malware stiehlt Zugangsdaten direkt beim Eintippen oder kapert die Session.

„Diese Aktualisierung fügt eine zusätzliche Schutzebene hinzu, indem nur noch Skripte von vertrauenswürdigen Microsoft-Domains während der Authentifizierung ausgeführt werden dürfen”, heißt es in der technischen Mitteilung.

IT-Administratoren haben elf Monate Vorbereitungszeit. Alle Tools, die auf Skript-Injection basieren, werden ab Herbst 2026 funktionsunfähig sein. Die Botschaft ist eindeutig: Die Login-Seite wird zur Zero-Trust-Zone.

NTLM: Der untote Angriffspunkt

Dass Microsofts Härte notwendig ist, belegt eine Studie von Kaspersky vom 26. November. Der Titel spricht Bände: „Alte Technik, neue Verwundbarkeiten: NTLM-Missbrauch 2025″.

Das New Technology LAN Manager Protokoll (NTLM) stammt aus den 1990ern – und wird noch immer massenhaft eingesetzt. Aktuell nutzen Angreifer CVE-2025-33073 aus, eine Schwachstelle im Windows SMB-Client. Sie ermöglicht es, Systeme zur Selbstauthentifizierung zu zwingen und dadurch höchste Systemrechte zu erlangen.

Trotz jahrelanger Warnungen hält sich NTLM hartnäckig in Unternehmensnetzwerken. Vergleichbar wäre das, als würde die Deutsche Bahn noch Dampflokomotiven im Hochgeschwindigkeitsnetz einsetzen – technisch machbar, aber hochriskant.

Microsofts Secure Future Initiative (SFI) zielt darauf ab, solche Legacy-Protokolle durch Kerberos und moderne OAuth/OIDC-Standards zu ersetzen. Die Entra-ID-Änderungen sind Teil dieser Strategie.

Der perfekte Sturm: 6 Millionen Phishing-Versuche

Die Brisanz der Entwicklungen zeigt sich im Timing: Ausgerechnet zum Black Friday veröffentlichte Kaspersky eine weitere Zahl – über 6 Millionen blockierte Phishing-Angriffe auf E-Commerce- und Zahlungssysteme allein 2025.

6 Millionen geblockte Phishing-Angriffe allein 2025 sind kein Zufall – sie zeigen, wie schnell Angreifer an sensible Logins und Zahlungsdaten kommen. Das kostenlose Anti-Phishing-Paket erklärt in vier konkreten Schritten, wie Sie CEO-Fraud erkennen, Social-Engineering-Angriffe abwehren und technische Gegenmaßnahmen wie sichere Login-Policies einführen. Mit Checklisten für E‑Commerce, Zahlungsanbieter und Unternehmensnetzwerke – ideal für CISOs, IT-Security-Teams und Shop-Betreiber. In 4 Schritten zur Hacker-Abwehr: Anti-Phishing-Paket herunterladen

„Angreifer operieren zunehmend über das gesamte digitale Ökosystem hinweg”, erklärt Olga Altukhova, Senior Web Content Analystin bei Kaspersky.

Die Parallelen sind offensichtlich: Ob NASA-Satellit oder Online-Banking – Authentifizierung ist überall die Achillesferse. Was folgt daraus für Unternehmen?

Was CISOs jetzt tun müssen

Drei klare Handlungsfelder kristallisieren sich heraus:

Code-Integrität überprüfen: Die NASA-Schwachstelle beweist, dass selbst spezialisierte Kryptobibliotheken adversarial getestet werden müssen – nicht nur auf Funktionalität.

Login-Oberflächen härten: Microsofts Schritt zeigt, dass die Anmeldeseite selbst zum Angriffsziel geworden ist. Drittanbieter-JavaScript hat dort nichts mehr zu suchen.

Legacy ausmustern: Die anhaltende NTLM-Ausnutzung demonstriert brutal, dass Abwärtskompatibilität ein Sicherheitsrisiko darstellt. Was bei SAP, Telekom oder DAX-Konzernen in veralteten Systemen schlummert, sollte dringend auf den Prüfstand.

Ausblick: 2026 wird restriktiv

Bis Oktober 2026 müssen Organisationen mit Microsoft Entra ID ihre Systeme anpassen. Security-Anbieter, die auf Browser-seitige Skript-Injection setzen, stehen vor einem Redesign. Gleichzeitig dürfte die NASA-Enthüllung eine Überprüfungswelle bei Raumfahrt- und Industriesoftware auslösen.

Der Trend ist unumkehrbar: Weg von proprietären, obskuren Sicherheitslösungen hin zu offenen, geprüften Standards wie FIDO2 und WebAuthn. Die Grundannahme lautet künftig nicht mehr „Vertraue, aber prüfe”, sondern „Misstraue allem – per Design”.

Ob beim Steuern eines Satelliten oder beim E-Mail-Login: Die Mechanismen des digitalen Vertrauens werden neu geschrieben. Die Standardeinstellung lautet ab sofort: feindliche Umgebung.

PS: Microsofts CSP-Änderung und die NASA-Enthüllung machen eines klar: Präventive Maßnahmen retten Unternehmen vor großen Schäden. Das Anti-Phishing-Paket liefert praxisnahe Rollout-Vorlagen, Trainingspläne und technische Hardening-Checks, mit denen Sie Digital Skimming und gezielte Phishing-Kampagnen wirkungsvoll stoppen können. Für IT-Teams, die sofort handeln wollen. Jetzt Anti-Phishing-Paket gratis anfordern