AWS-LC: Kritische Lücken in Amazons Krypto-Bibliothek entdeckt

Sicherheitsforscher haben schwere Schwachstellen in Amazons Krypto-Bibliothek AWS-LC aufgedeckt. Die Lücken gefährden die Integrität digitaler Signaturen und Verschlüsselung in zahlreichen Anwendungen.

Die Sicherheitslücken wurden Anfang März 2026 bekannt und betreffen die quelloffene Kryptografie-Bibliothek AWS-LC von Amazon. Besonders brisant: Entdeckt wurden sie von einem autonomen KI-System des Forschungsteams AISLE. Dies unterstreicht einen wachsenden Trend – künstliche Intelligenz wird zunehmend zur Suche nach versteckten Softwarefehlern eingesetzt.

Der Einsatz von KI in der Sicherheitsforschung zeigt, wie rasant sich die technologischen Anforderungen und die damit verbundene Regulierung verändern. Dieser kostenlose Leitfaden hilft Ihnen, die komplexen Anforderungen der neuen EU-KI-Verordnung zu verstehen und rechtssicher umzusetzen. Gratis E-Book zur KI-Verordnung herunterladen

Drei gefährliche Schwachstellen im Detail

Im Zentrum stehen drei spezifische Sicherheitslücken (CVEs). Die gravierendste davon ist CVE-2026-3336. Diese Lücke mit hohem Gefährdungsgrad ermöglicht es Angreifern, die Zertifikatsprüfung bei digitalen Signaturen zu umgehen. Konkret betrifft dies die Funktion PKCS7_verify(). Verarbeitet sie signierte Daten mit mehreren Unterzeichnern, validiert sie nicht alle Zertifikatsketten korrekt. Das Ergebnis: Manipulierte Dokumente oder Software-Updates könnten als vertrauenswürdig durchgehen.

Die zweite Lücke, CVE-2026-3337, ist ein sogenannter Timing-Seitenkanalangriff auf die AES-CCM-Verschlüsselung. Durch präzise Zeitmessungen könnte ein Angreifer herausfinden, ob ein Entschlüsselungsvorgang erfolgreich war, und so die kryptografischen Garantien aushebeln.

Eine dritte Schwachstelle (CVE-2026-3338) betrifft ebenfalls die PKCS7-Verifikation und erlaubt das Umgehen von Signaturen. Zusammen stellen diese Lücken ein erhebliches Risiko für Systeme dar, die auf PKCS7 für Dokumentensignaturen oder sichere Kommunikation setzen.

Breite Betroffenheit in der Software-Lieferkette

Amazon betont, dass seine eigenen AWS-Cloud-Dienste nicht direkt betroffen sind. Das Risiko liegt woanders: in der weiten Verbreitung der Bibliothek bei Drittanbietern. AWS-LC ist eine Grundlagenkomponente für viele quelloffene Projekte und wird unter anderem in populären Softwareumgebungen wie HAProxy, NGINX und verschiedenen Python-Distributionen genutzt.

Für Unternehmen, die diese Anwendungen einsetzen, ist die Lage ernst. Die Umgehung der Zertifikatsprüfung untergräbt das grundlegende Vertrauen in digitale Signaturen. Angreifer könnten dies nutzen, um bösartigen Code oder gefälschte Dokumente als legitim erscheinen zu lassen. Bislang sind keine aktiven Angriffe bekannt – doch die einfache Ausnutzbarkeit aus der Ferne macht die Lücken zu einem erheblichen Risiko für die Software-Lieferkette.

So reagieren Unternehmen richtig

Amazon hat mit Version 1.69.0 ein umfassendes Update bereitgestellt. Alle Organisationen müssen diese gepatchte Version umgehend einspielen. Für die PKCS7-Lücken gibt es keine Workarounds. Lediglich für den Timing-Angriff existieren technische Umgehungen für bestimmte Konfigurationen – diese ersetzen aber keinesfalls das Update.

Sicherheitsexperten raten dringend zu einer sofortigen Überprüfung der eigenen Software-Landschaft. Kryptografie-Bibliotheken wie AWS-LC stecken oft tief in Abhängigkeiten verborgen. Automatisierte Scans der Software-Bill-of-Materials (SBOM) sind daher essenziell, um alle betroffenen Komponenten zu finden.

Schwachstellen in zentralen Infrastrukturen wie AWS-LC machen deutlich, warum 73% der deutschen Unternehmen nicht ausreichend auf Cyberangriffe vorbereitet sind. Erfahren Sie in diesem Experten-Report, mit welchen Strategien Sie Ihr Unternehmen auch ohne Budget-Explosion effektiv schützen können. Kostenlosen Cyber-Security-Leitfaden sichern

KI als Game-Changer in der Sicherheitsforschung

Die Entdeckung markiert einen Wendepunkt. Ein autonomes KI-System fand insgesamt 13 Sicherheitsprobleme in Amazons Krypto-Stack – acht in AWS-LC und fünf in der TLS-Implementierung s2n-tls. Bereits im Januar 2026 hatte dieselbe Technologie dutzende Lücken in der weit verbreiteten OpenSSL-Bibliothek aufgespürt.

Die KI zeigt ihre Stärke besonders bei komplexen logischen Fehlern, die menschliche Prüfer leicht übersehen: falsche Behandlung von Zwischenzertifikaten oder mikrosekundengenaue Timing-Unterschiede. Die Branche steht vor einem Paradigmenwechsel. Angesichts immer komplexerer Codebasen wird KI-gestützte Sicherheitsanalyse zum neuen Standard – sowohl für Angreifer als auch für Verteidiger.

Fragile Grundlagen und Blick in die Zukunft

Der Vorfall offenbart die Zerbrechlichkeit moderner Software-Lieferketten. AWS-LC ist eine FIPS-zertifizierte Bibliothek, die täglich Milliarden kryptografischer Operationen abwickelt. Jeder Fehler hat hier enorme Hebelwirkung. Positiv bewerten Experten jedoch die schnelle, verantwortungsvolle Offenlegung durch die Forscher – bevor Kriminelle die Lücken ausnutzen konnten.

Die Ereignisse kommen zu einer heiklen Zeit. Die Branche bereitet den Übergang zur Post-Quanten-Kryptografie (PQC) vor. Bibliotheken wie AWS-LC werden massiv erweitert und umgebaut. Diese Übergangsphase birgt neue Angriffsflächen und macht rigorose, automatisierte Sicherheitsaudits wichtiger denn je.

Die Priorität für März 2026 ist klar: die weltweite Verteilung des Patches. Langfristig wird der KI-Erfolg umfassende Überprüfungen weiterer Grundlagenbibliotheken auslösen. Das Wechselspiel zwischen automatisierter Schwachstellensuche und schneller Patch-Bereitstellung wird zum bestimmenden Merkmal moderner Infrastruktursicherheit.