Connect with us

Datenschutz & Sicherheit

Wie das Internet den Journalismus verändert hat


Derzeit häufen sich die 30. Geburtstage von Online-Auftritten überregionaler Traditionsmedien. Mit amüsierten Rückblicken auf steinzeitlich anmutende Technik, auf das kleine und eher kuriose Publikum oder die Frage, wer zuerst da war, feiern sie ihr Jubiläum in zahlreichen Texten. Was bei den Erzählungen außen vor bleibt: wie das Internet die Funktionsweise der Massenmedien selbst verändert hat.

Das Netz als Spielwiese und Geschäftsgelegenheit

Als sich das Internet mit Beginn der 1990er Jahre zunehmend kommerzialisiert, ist der Zeitgeist geprägt von Visionen der Entstaatlichung, die sich auch in die Konstruktion des digitalen Raumes einschreiben. Ohne Staat aber, das übersehen die Pionier*innen damals, kann niemand verhindern, dass Großunternehmen den Cyberspace kolonisieren. Das Internet ist schnell nicht mehr Versammlungsort einer Gegenkultur, sondern wird zur Geschäftsgelegenheit.

Die grenzenlose Kommodifizierung ist für viele Zeitgenossen kaum vorherzusehen – dafür bietet der neue Raum zu viele Möglichkeiten. Die deutschen Medien jedenfalls treten mit einem anderen Gefühl den Weg ins Netz an: Sie begeben sich auf eine Spielwiese. Die liegt in einer Gemeinde, der sogenannten Netzgemeinde. Dort ist es zwar nicht so beschaulich wie es heute klingt, in den frühen Foren geht es schon hoch her. Für die Journalist*innen ist sie aber vor allem ein Experimentierfeld, die Grenzen der eigenen Arbeit zu öffnen.

Anders als in der Rückschau oft behauptet, wird in dieser Frühphase des Online-Journalismus durchaus über dessen Finanzierung nachgedacht. Der erste „Spiegel Online“-Chef Uly Foerster etwa erzählt im Interview, dass er damals in der eigenen Anzeigenabteilung und bei Agenturen hausieren ging, um die Möglichkeiten von Internetwerbung auszuloten. Und Dirk Kuhlmann fragt in einer Studienarbeit für die TU Berlin 1995/96 die Zahlungsbereitschaft der ersten Online-Leser*innen der „taz“ ab – mit dem Ergebnis, dass jedenfalls ein Teil der Befragten bereit wäre, ein Abonnement zu beziehen und dafür zu bezahlen.

Der Zeitgeist ist aber ein anderer: Das kommerzielle Internet finanziert sich nicht über Abos, sondern über Werbung. Manch früher US-Onlinedienst wie etwa der Webhoster Tripod spielt sie schon damals passend zu Interessen und persönlichen Merkmalen aus. Weil aber selbst demografisch genaue Daten nur bedingt Rückschlüsse auf individuelle Konsuminteressen zulassen, funktioniert dieses Modell bereits in den 90ern vor allem mittels eines Faktors, die das Internet bis heute prägt: maximale Reichweite.

Wer den Dotcom-Boom überlebte, backte kleine Brötchen

Die Geschäftsgelegenheit Internet nimmt als Dotcom-Boom schnell Fahrt auf. In den späten 90ern provozierten bis dato oft unbekannte Unternehmen mit neuartigen Geschäftsideen immer höhere Gewinnerwartungen bei Anlegern und nährten teilweise mit kriminellen Konzepten eine Börsenblase. Ohne diese Phase lässt sich die Geschichte des Online-Journalismus nicht erzählen.

Zwar profitieren deutsche Medienunternehmen kaum von dem Hype – Werbekunden in Deutschland sind noch nicht auf das neue Anzeigenumfeld eingestellt, nur wenige Online-Medien verdienen wirklich Geld. Trotzdem zieht der Niedergang des Dotcom-Booms sie mit in den Abgrund. Nach dem Platzen der Blase im März 2000 geraten viele Medien unter Druck. Der Internet-Werbemarkt bricht vorübergehend ein und in den gerade erst aufgebauten Online-Redaktionen wird gekürzt. Der Online-Dienst Heise schreibt 2010 rückblickend: „Wer überlebte, backte fortan kleine Brötchen im Web 1.0.“

„Spiegel Online“ aber hat Glück: Kurz vor dem Crash habe er noch personell aufstocken können, erzählt Mathias Müller von Blumencron, der ab 2000 Chefredakteur des Nachrichtenportals ist. Die Zeit nach der geplatzten Blase sei der Redaktion aber „wie eine Ewigkeit vorgekommen“. Es habe nahezu keine Online-Werbung gegeben und große Skepsis in den Verlagen. Kurzum: Die Weiterentwicklung stockte.

Der 11. September und seine Folgen

Eine nachhaltige Depression bleibt dennoch aus. Zu schnell habe sich die Technologie weiterentwickelt, erinnert sich der Journalist Detlef Borchers im Gespräch. Aus den Nischeninteressen Computer und Internet wird ein Lifestyle-Thema, der digitale Raum entwickelt sich bald zum Massenphänomen. Der kollektive Schock, sofern er überhaupt so zu bezeichnen ist, weicht einer gemeinschaftlichen Euphorie über die neue Technik.

Als Durchbruch für den Online-Journalismus muss allerdings ein anderer Krisenmoment gelten: Die Terroranschläge auf das World Trade Center am 11. September. „Ab 2001 reichte es nicht mehr, nur die Tagesschau zu gucken“, so Borchers. In dieser Zeit stellt Google – gerade Marktführer geworden, bis dahin aber keineswegs die dominante Suchmaschine – manuelle Linklisten zu wichtigen Nachrichtenportalen auf seine Homepage. Auf der Startseite finden sich damals Verweise zu Medien aus aller Welt.

Zwar sind deren Web-Auftritte wie Radio und TV teilweise immer noch zu langsam, doch das Publikum ist jetzt da. In Kommentaren zum 30. Geburtstag von „Spiegel Online“ bezeichnen viele Leser*innen die Terroranschläge als Erweckungsmoment. In einem Rückblick von „welt.de“ heißt es: „Das Interesse der Nutzer an aktualisierten Nachrichten ließ in den folgenden Tagen und Monaten nicht nach.“

Bei vielen Medien gehen aber zeitweise die Server in die Knie, sie sind auf den Ansturm der Besucher*innen nicht vorbereitet. Möglicherweise ist dies mitentscheidend dafür, dass Suchmaschinen sich zur ersten Anlaufstelle für Informationen im Netz entwickeln können. Journalist Detlef Borchers jedenfalls macht die Anschläge auf das World Trade Center für den Aufstieg der heute größten Suchmaschine verantwortlich: Google habe damals besser reagiert als viele Zeitungen. Die Suchmaschine blieb in dieser entscheidenden Situation immer erreichbar und machte sich so zum gern genutzten Startfenster für das Web.

Google und Online-Journalismus wären beide als Erfolgsmodell ohne den jeweils anderen zwar vorstellbar, die Geschichte hat sie aber aneinander gebunden. Das erste Mal seit der Mondlandung entstand in der sogenannten westlichen Welt ein Informationsbedürfnis, das von einem Augenblick auf den anderen von einer bis dahin kaum verbreiteten Technologie erfüllt werden konnte: damals war es das Fernsehen, für 9/11 ist es das Internet.

Das Diktat der Suchmaschine

Trotz des wachsenden Publikums läuft das Online-Geschäft der Medien nach dem Dotcom-Crash noch einige Zeit schlecht. Ein wesentlicher Grund ist die Werbeflaute: Noch im Jahr 2000 sagt eine Studie des Prognos-Instituts Netto-Werbeeinnahmen von 944 Millionen Euro auf dem Online-Werbemarkt voraus, real sind es dann nur 246 Millionen – eine Fehlermarge von 380 Prozent.

2003 beginnt es aber zumindest bei „Spiegel Online“ aufwärts zu gehen. Ab da, so erinnert es der damalige Chef Blumencron, habe die Werbeindustrie das Netz entdeckt. Natürlich seien die Online-Geschichten nicht so tief recherchiert gewesen wie jene der Printausgabe. Für das auf Papier nur wöchentlich erscheinende Nachrichtenmagazin ist das tagesaktuelle Geschäft im Netz ohnehin Neuland. „Vieles waren aufgehübschte Agenturmeldungen mit einigen eigenen Gedanken und schnellen Rechercheergebnissen“, so Blumencron. Mit der Zeit habe sich aber eine Mischung aus Geschwindigkeit und zunehmender Hintergrundberichterstattung entwickelt.

Die Tageszeitungsverlage spiegeln da im Netz noch hauptsächlich ihr Programm aus dem Druckprodukt. Ein Glücksfall für „Spiegel Online“, meint Blumencron: „Wir dachten immer: Wie wird uns wohl geschehen, wenn die ihre Redaktionen auf die Digitalplattformen bringen? Dann würden wir untergehen, weil wir gar nicht so schnell analysieren und kommentieren können wie die. Das haben die aber glücklicherweise alle nicht gemacht, weil sie nicht an das Internet geglaubt haben, fünf, sechs, sieben Jahre lang.“ Das sei das große Geschenk der deutschen Zeitungsverleger an den Magazin-Gründer Rudolf Augstein gewesen.

Mehr noch als Augsteins Medienhaus profitiert aber Google. Über die Suchmaschine lassen sich Reichweiten realisieren, die mit einem gedruckten Magazin kaum vorstellbar wären. Dies verspricht dem Verlag neue Erfolge, gibt dem US-Konzern aber zunehmend Macht darüber, wie publiziert wird: Bei „Spiegel Online“ beobachtet die Redaktion, dass 15 bis 20 Prozent der Leserschaft über Google kommt und will den Effekt verstärken. Das funktioniert damals schon mit einer gewissen Boulevardisierung, also etwa der Verwendung emotionalisierender Reizwörter, und mit Überschriften und Text-Snippets, die an die Erfordernisse der Suchmaschine angepasst sind. Zwischen verschiedenen Nachrichtenportalen entsteht ein Wettbewerb um die besten Plätze in den Suchergebnissen, der eine fortlaufende Verschärfung dieser Methoden verlangt.

Google war am geschicktesten

„Das war auch ein bisschen schizophren, aber so ist es nunmal gewesen“, sagt Blumencron. Was er meint: Mit dieser Denkweise bekommt Googles Geschäftsmodell Auftrieb, weil die Online-Redaktionen mehr oder weniger alle diesen Weg gehen und den Mechanismen der Suchmaschine weiter entgegenkommen. Letztlich geht das auf Kosten der Verlage, die sich online zunehmend vom Gutdünken des Konzerns abhängig machen und der Suchmaschine gleichzeitig mit ihren wertvollen Inhalten Nutzer*innen und Klicks auf eigene Werbeanzeigen bescheren. Blumencron sagt aber auch: „Google hat es einfach am geschicktesten gemacht. Ein Internet, in dem sich zunehmend Chaos ausbreitete, wäre ohne Findemechanismus Chaos geblieben.“

Im Jahr 2004 nutzen 74 Prozent der Deutschen Suchmaschinen als wichtigsten Zugang zu Informationen im Netz, Google hält bereits 70 Prozent Marktanteil – eine Monopolstellung, die im Printgeschäft undenkbar wäre. Noch 2005 sieht das Bundeskartellamt in Google aber keinen relevanten Werbemarktakteur und traut dem Internet keine bedeutende Rolle im Mediengeschäft zu, erinnert sich Springer-Chef Mathias Döpfner Jahre später in einem Artikel. Google kann seine Vormachtstellung in der Folge weiter ausbauen.

2009 sagt der damalige CEO Eric Schmidt in bemerkenswert selbstbewussten Worten: „Wir haben entschieden, dass Reichweite der Wert ist, den wir unseren Partnern zur Verfügung stellen.“ Eine folgenschwere Entscheidung für den Journalismus. Neben dem Werbemarkt funktioniert nun also auch die Distribution der Inhalte nach dem Muster „Hauptsache mehr!“. In dem von Blumencron als widersprüchlich beschriebenen Denkmuster, den Verlockungen einer messbar wachsenden Leser*innenschaft zu erliegen, verschiebt sich das Verständnis der Redaktionen darüber, was relevant ist. Lässt sich Erfolg in Zahlen ausdrücken, rücken qualitative Kriterien im hektischen Tagesgeschäft schnell in den Hintergrund – deren Analyse ist schließlich ungleich aufwendiger.

Man könnte wohl von einer metrischen Deformation des kritischen Geistes sprechen, die sich seither in der Arbeitsweise von Journalist*innen vollzieht. Denn diese Rationalität folgt keiner journalistischen Maxime, sondern dem Geschäftsmodell der Suchmaschine.

Reichweite als zentrale Maxime im Social Web

Diese Logik setzt sich auch im zweiten, dem sogenannten Social Web fort. Den Medien erscheint es aber erst einmal wieder als neuer Möglichkeitsraum. Im Interview formuliert der frühere „Bild“-Chefredakteur Kai Diekmann den damals geltenden Branchenkonsens, neue Technologien gelte es zu umarmen. Bei einem Expertengespräch zur „Zukunft des Qualitätsjournalismus“ im Kulturausschusses des Bundestags Anfang 2011 hält es Katharina Borchert, zu jener Zeit Geschäftsführerin von Spiegel Online, für „extrem wichtig“, nicht auf die großen Player wie Google und Facebook zu schimpfen, „sondern ganz im Gegenteil sich Gedanken zu machen, wie wir alle von ihnen profitieren können, denn die meisten von uns profitieren im großen Ausmaß bereits davon.“

Tatsächlich sorgen die Begegnungsmöglichkeiten mit dem Publikum im Web 2.0 anfangs auch für Lichtstreife. Der Ton aber, das berichten Pionier*innen des Social Media-Journalismus, ist vor allem auf Facebook rau. Schnell ist klar: Seriös moderieren lässt sich das nicht. Dazu kommen sich verändernde Voraussetzungen bei den Plattformen: Die Algorithmen werden komplexer und bewirtschaften zunehmend Affekte.

Wieder stellt sich die Frage, wie eigentlich Geld mit diesen neuen Kanälen verdient werden könnte. Die Redaktionen müssen teils selbst nach Argumenten suchen. Wesentlich ist dabei wieder der Traffic – also die Zahl der Rezipient*innen, die über einen Link auf der Plattform auf die Nachrichtenseite kommen. Die Reichweiten-Logik verstetigt sich: Viel hilft viel und ist sowieso fast die einzige Möglichkeit, im Internet Geld zu verdienen.

Journalistische Inhalte müssen dafür an eine zunehmend affektgetriebene Unterhaltungslogik angepasst werden, um in der Mechanik der Algorithmen bestehen zu können – zuerst in der Themenauswahl, dann ihrer Darstellung und schließlich rückwirkend im Denken der Redaktionen, deren Aufgabe es ist, erfolgreich im Sinne von weitreichend diese Kanäle zu bespielen.

„In den sozialen Medien kommt es zu mehr Wechselwirkungen, Journalist*innen lernen über das erhaltene Feedback zu ihren Postings auch, welche Inhalte sich auf der Plattform leichter popularisieren“, beschrieben es kürzlich die Kommunikationswissenschaftler Jonas Schützeneder und Christian Nuernbergk. Wenn der Erfolg in Reichweite gemessen wird, dann wird die dazu passende Auswahl der Inhalte zweckrational – wer will schon nicht erfolgreich sein?

Auch das Publikum wird quantifiziert

Während die Redaktionen sich den fortlaufend verändernden sozialen Netzwerken anzupassen versuchen, ficht Springer-CEO Döpfner, der damals auch Präsident des Zeitungsverlegerverbandes ist, im Frühjahr 2014 ein Distanzduell mit Google-Verwaltungsrat Eric Schmidt: „Wir haben Angst vor Google“, schreibt er damals. „Ich muss das einmal so klar sagen, denn es traut sich kaum einer meiner Kollegen, dies öffentlich zu tun.“




Freiwillige Selbstunterwerfung könne nicht das letzte Wort der Alten Welt gewesen sein, so Döpfner, immerhin selbst Milliardär und Lenker eines global operierenden Konzerns. Wie Blumencron für den Spiegel beschreibt auch er das Verhältnis zu dem Tech-Konzern als schizophren: Leser*innen hätten das jedenfalls so interpretiert, weil Springer Google für die eigene Vermarktung nutze und gleichzeitig verklage. Niemand in der Verlagsbranche könne ohne Google auskommen, so Döpfner.

Reichweite hat sich da längst plattformübergreifend als zentrale Erfolgsgröße durchgesetzt. Am Ende sei der Traffic für den Spiegel nicht über das journalistisch attraktive Twitter, sondern über das journalistisch unerquickliche Facebook gekommen, erinnert Maike Haselmann, die erste Social Media-Redakteurin des „Spiegel“.

In klassischen Printredaktionen stößt die Transformation mit ihren metrischen Analysemöglichkeiten auf Widerstände. Es liegt schließlich eine intellektuelle Abwertung darin: Der Erfolg von Beiträgen bemisst sich nicht mehr in Reaktionen aus der Politik oder in der inhaltlichen Auseinandersetzung in Leser*innenbriefen, sondern in Zahlen, die wenig Deutung zulassen. In einem Berufsbild, das sich über die Qualität der eigenen Deutungskraft definiert, muss das beinahe notwendig befremden.

Auch die Rückmeldung des Publikums wird quantifiziert: Statt den Leser*innen intensiver zu begegnen, wie es das Web 2.0 versprach, wird deren menschliche Regung (oder Erregung) als Reaktion auf einen Beitrag neutralisiert, weil ihre quantitative Messung nichts über den emotionalen Aggregatzustand der Rezeption aussagt. Ein Text könnte große Reichweite gerade deshalb erzielt haben, weil er besonders schlecht ist.

Die Angst der Medien, abgehängt zu werden

Als im Oktober 2022 mit ChatGPT das erste große Sprachmodell für die breite Öffentlichkeit an den Start geht und der Anbieter OpenAI die Konkurrenz überrumpelt, wird der Hype in Massenmedien genährt. Im „Spiegel“ heißt es: „Aber OpenAI ist schneller. Einige sagen: schneller und fahrlässiger, denn ChatGPT spuckt jede Menge Unsinn aus. Binnen weniger Monate nutzen hundert Millionen Menschen ChatGPT. Die Flasche ist geöffnet. Hype ist eine Untertreibung für das, was nun folgt.“

Wieder entsteht das Gefühl einer Spielwiese, in den Verlagen und Redaktionen wird überlegt, wie man sich die Technologie nützlich machen könnte. Das ist weniger naiv als in den 90ern und auch vom Web 2.0 will man gelernt haben. Aus der Erfahrung aber, das Internet schon mal verpasst zu haben, hat sich in vielen Medienhäusern die Angst festgesetzt, sie könnten den Anschluss verlieren. Die Tech-Konzerne wissen darum und spielen mit dieser Sorge. Sie bewerben ihre neuen Produkte gezielt und bauen mit ihren Erzählungen Druck auf, neue Entwicklungen nicht zu verpassen. Befragungen von Medienwissenschaftler*innen zeigen: Dieser Druck kommt in den Redaktionen an.

Zehn Jahre nach seinem Brief an Eric Schmidt schreibt Mathias Döpfner, weshalb er Google nicht mehr fürchte: Bis auf Weiteres habe der Konzern auf ganzer Linie gewonnen. Weil der Springer-Chef – dem es natürlich immer und gerade auch um das eigene Geschäft geht – in seinem Text von 2014 über die Abhängigkeit journalistischer Medien von der Suchmaschine schreibt, bedeutet diese Niederlage auch: Selbstbestimmung ist verloren gegangen. Andere sprechen von einem Zwang zur Unterwerfung.

Google verändert derweil die Erzählung der Reichweite als Wert für die Partner in etwas Feindseligeres. Vor dem Hintergrund des Urheberrechtsstreits mit den Medien veröffentlicht der Konzern im März 2025 einen Report über ein Experiment in Europa. Einem Teil der Nutzer*innen sind in der Suche keine Inhalte von Qualitätsmedien mehr ausgespielt wurden, um so deren Wert für das eigene Geschäft zu taxieren. Wenig überraschend kommt Google zu dem vorteilhaften Ergebnis, dass sich für die Suchmaschine wenig bis nichts ändere, wenn man keine Nachrichteninhalte mehr findet.

Die Botschaft ist klar: Es gibt nichts zu verteilen, wenn Google selbst nichts mit journalistischen Inhalten verdient. Was im Bericht zur Randnotiz verkommt: Die Anfragen bei Google News – also nach hochwertigen journalistischen Informationen – sind im untersuchten Zeitraum deutlich angestiegen.

KI-Zusammenfassungen ersetzen Suchergebnisse

Währenddessen vollzieht sich gerade ein Paradigmenwechsel, der das Ende vom Wert der Reichweite einläutet: KI-Zusammenfassungen ersetzen Suchergebnisse. Damit schwindet der Anlass, die Suchmaschine überhaupt noch zu verlassen. Viele Verlage berichten von einbrechendem Traffic bricht. Nachrichtensuchen nimmt Google bislang zwar der neuen Funktion aus; was eine Nachrichtensuche ist, entscheidet der Konzern aber selbst.

Diese Entwicklung ist seit etwa zwei Jahren abzusehen gewesen. Neue Ideen für die künftige Finanzierung des Online-Journalismus gibt es aber noch nicht. Das zentrale Muster wiederholt sich: Vor allem Google hat viel Geld damit verdient, in der Nachrichtensuche journalistische Inhalte zu verteilen. Die KI-Anbieter versuchen das nun, indem sie ihre Modelle damit trainieren. In der analogen Welt würde man wohl von Hehlerei sprechen.

Zwar haben die Verlage mit Bezahlschranken ein weiteres Standbein entwickelt, das sie ein wenig vor diesen Entwicklungen schützt. Es reicht aber nicht, um auf die Plattformen verzichten zu können. Das gilt insbesondere für Regional- und Lokaltitel. Selbst große Traditionshäuser wie die Rheinische Post oder die Stuttgarter Zeitung verharren mit etwa 25.000 respektive 10.000 Online-Abos seit längerem bei einer Zahl, die ihr Überleben nicht sichern kann.

Schon 1982 schrieb Medienwissenschaftler Siegfried Weischenberg: „Für den Journalismus ist die Technik konstituierend. Der Beruf entstand auf der Grundlage von technisch-ökonomischen Umwälzungen.“ Solche Umwälzungen bringen schließlich herausragende Informationsbedürfnisse hervor, die Gesellschaften als ganze betreffen. Daraus ergibt sich aber ein Spannungsfeld für den Journalismus. Weil er selbst betroffen ist, fehlt ihm bisweilen die kritische Distanz in der Bewertung neuer Technologien. Und während er sie mit Hypes groß macht, fällt er ihnen zum Opfer.


Jann-Luca Künßberg ist Journalist und Autor. Er hat für Medien wie die taz, T-Online und den Südkurier geschrieben und für verschiedene Anstalten des öffentlich-rechtlichen Rundfunks gearbeitet.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

DEF CON 33: Pwnie-Awards verliehen


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Bei der 33. Hackerkonferenz Def Con wurden mit den Pwnie-Awards die „Oscars“ der IT-Security verliehen. Matteo Rizzo, Kristoffer Janke, Josh Eads, Tavis Ormandy und Eduardo Vela Nava gewannen gleich zweimal: in den Kategorien „Bester Krypto-Bug“ und „Bester Desktop-Bug“. Sie fanden heraus, dass AMD seit sieben Jahren den Schlüssel aus der NIST-Dokumentation, der dort als Beispiel angegeben ist, in der Produktion benutzt hat.

Ken Gannon erhielt einen Award für das Enthüllen der komplizierten Exploitkette, mit der man ein Samsung Galaxy S24 mit sieben Bugs zum Installieren eigener APKs bringt. Den Pwnie für die beste Privilegien-Eskalation gewannen die Hacker v4bel und qwerty_po für die Linux Kernel VSOCK Quadruple Race Condition. Die Sicherheitsforscher von Qualys haben ebenfalls zwei Pwnies gewonnen: in den Kategorien „Best RCE“ (Remote Code Execution) und „Epic Achievement“ für das Enthüllen von OpenSSH-Schwachstellen.

Inwhan Chun, Isabella Siu und Riccardo Paccagnella bekamen den Pwnie für „Most Underhyped Research“ (etwa: am meisten unterbewertete Forschung). Der von ihnen entdeckte Bug „Scheduled Disclosure“ in den Energieverwaltungsalgorithmen moderner Intel-Prozessoren ermöglicht es, Power-Side-Channel-Angriffe in Remote-Timing-Angriffe umzuwandeln – und zwar effektiver als bisher und ohne Frequenz-Side-Channel-Leckage.

Der Preis für den „Most Innovative“-Beitrag ging an Angelos Beitis. Er fand im Internet mehr als vier Millionen Server, die alten, nicht authentifizierten Tunnelverkehr wie IPIP, GRE, 6in4 oder 4in6 akzeptieren. Dadurch lassen sich Quell-IP-Adressen trivial fälschen, Denial-of-Service-Angriffe durchführen und sogar Zugriffe auf interne Unternehmensnetze erlangen.



Das Pwnie-Team

(Bild: Lukas Grunwald / heise online)

„Signal-Gruppen töten Truppen“

Außer den Awards für Sicherheitsforscher gibt es auch ironisch gemeinte „Auszeichnungen“ für Firmen und Einzelpersonen. Den Negativ-Pwnie „Lamest Vendor Response“ (etwa: schwächste Herstellerantwort) ging an die Linux-Kernelentwickler wegen der Sicherheitslücke “Linux kernel slab OOB write in hfsplus” (CVE-2025-0927). Und der Pwnie „EPIC Fail“ ging an Mike Waltz für SignalGate genannte Signal-Gruppenchat-Affäre der US-Regierung. Das Pwnie-Team überreichte ihm auch ein T-Shirt, das das Motiv eines Sicherheits-Awareness-Plakates aufgreift: „Signal Groups kill troops.“



Anspielung auf die SignalGate-Affäre der US-Regierung, die in einer Signal-Gruppe Militärgeheimnisse vor Fremden besprach.


(tiw)



Source link

Weiterlesen

Datenschutz & Sicherheit

Für die elektronische Patientenakte kann man sich jetzt doch per Video identifizieren


Wer die eigene elektronische Patientenakte (ePA) in einer Krankenkassen-App aktivieren wollte, musste sich bislang digital ausweisen. Dafür kam entweder die elektronischen Gesundheitskarte (eGK) oder die Online-Ausweisfunktion des Personalausweises zum Einsatz – inklusive PIN-Abfrage. Das Bundesgesundheitsministerium hatte sich bewusst für diese hohen Sicherheitshürden entschieden, da in der ePA sensible Gesundheitsdaten verwaltet werden.

Nun ist eine Möglichkeit hinzugekommen, mit der sich Versicherte identifizieren können, ohne dass sie dafür eine PIN benötigen. Die Gematik hat das Verfahren „Nect Ident mit ePass“ des Hamburger Unternehmens Nect rückwirkend zum 1. August zugelassen. Das Verfahren darf demnach für die Freigabe einer Gesundheitskarte oder für die Ausgabe einer PIN für die eGK genutzt werden. Mit der Karte lassen sich eine GesundheitsID und der Login in die elektronische Patientenakte erstellen.

Die Entscheidung der Gematik überrascht. Denn vor ziemlich genau drei Jahren hatte sie Video-Ident-Verfahren für unzulässig erklärt. Das Verbot war aufgrund einer „sicherheitstechnischen Schwachstelle in diesem Verfahren … unumgänglich“ gewesen, wie die Gematik damals schrieb. Eine Wiederzulassung könne erst dann entschieden werden, „wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind“.

„Von Natur aus anfällig für Angriffe“

Zu dem Verbot war es gekommen, nachdem der IT-Sicherheitsforscher Martin Tschirsich vom Chaos Computer Club mehrere gängige Video-Ident-Verfahren überlisten konnte – „mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe“.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) kam damals zu einem klaren Urteil: „Bei videobasierten Fernidentifikationslösungen ist grundsätzlich eine Manipulation des Videostreams möglich, sodass videobasierte Lösungen nicht dasselbe Sicherheitsniveau erreichen können wie beispielsweise die Online-Ausweisfunktion des Personalausweises.“

Und erst kürzlich bekräftigte das BSI, dass die videobasierte Identitätsprüfung zwar benutzerfreundlich, „von Natur aus aber anfällig für wiederholbare, skalierbare und unsichtbare Angriffe wie Präsentations- und Injektionsbedrohungen“ sei. Das Video-Ident-Verfahren, das das Bundesinnenministerium ohnehin nur als Brückentechnologie betrachtete, schien damit endgültig am Ende.

Die Rückkehr der Brückentechnologie

Nun aber bringt die Gematik die visuelle Personenidentifikation zurück. Das Verfahren sollen all jene Versicherten nutzen können, die keine PIN für ihre elektronische Gesundheitskarte oder ihren Personalausweis haben. „Wie üblich bei sicherheitsrelevanten Themen rund um die Telematikinfrastruktur wurde das BSI im Vorfeld über den Sachverhalt informiert“, schreibt die Gematik auf Anfrage von netzpolitik.org.

Ihre Entscheidung begründet die Gematik damit, dass „bei dem ‚Nect ePass‘-Verfahren zusätzlich zur Personenidentifikation Ausweisdokumente (z. B. Personalausweis oder Reisepass) elektronisch ausgelesen“ werden. Es verfüge damit über „die sicherheitstechnische Eignung für den Einsatz in der Telematikinfrastruktur“.

Das „ePass“-Verfahren der Nect GmbH erfolgt „vollautomatisiert“ mit Hilfe einer „KI-gestützten Dokumentenprüfung“. Außerdem müssen Nutzer:innen den NFC-Chip ihres Ausweisdokuments mit dem Smartphone auslesen und bei einem Video-Selfie zwei zufällig ausgewählte Worte sagen („Liveness Detection“).

Letztlich verändert die Gematik die Sicherheitsvorgaben: Bislang brauchten Versicherte notwendigerweise eine PIN, um ihre Identität zu bestätigen. Nun können sie sich auch ohne PIN mit ihrem Personalausweis im Video-Ident-Verfahren identifizieren. Damit erhalten sie eine PIN für ihre Gesundheitskarte, um dann ihre ePA zu aktivieren.

„Eine Art 1,5-Faktor-Authentifizierung“

Die Sicherheitsforscherin Bianca Kastl, die eine Kolumne für netzpolitik.org verfasst, sieht die Rückkehr zum Video-Ident-Verfahren kritisch. „Im Prinzip handelt es sich bei dem Verfahren um eine Art 1,5-Faktor-Authentifizierung“, sagt sie gegenüber netzpolitik.org. „Es wird zumindest das Vorhandensein eines plausiblen Ausweises geprüft, der zweite Faktor ist aber eine Videoanalyse, die heute als nur halb sicher gelten muss.“ Kastl bezieht sich hier auf die Zwei-Faktor-Authentifizierung, ein Verfahren, bei dem zwei unterschiedliche und voneinander unabhängige Komponenten zur Prüfung eingesetzt werden.


2025-07-14
1648.12
136


– für digitale Freiheitsrechte!



Euro für digitale Freiheitsrechte!

 

Damit sind für Kastl weiterhin Angriffsszenarien denkbar. „Der physikalische Zugriff zu Identifikationsmitteln wie dem Personalausweis stellt hier keine allzu große Hürde dar“, sagt sie. „Und die Haltbarkeit von KI-Identifikationsverfahren gegenüber KI-Bildsynthese dürfte perspektivisch eher begrenzt sein.“

Warnung vor Bauchlandung

Die Entscheidung der Gematik hat offenkundig auch mit der geringen Zahl an Versicherten zu tun, die die elektronische Patientenakte aktiv nutzen. „Der elektronischen Patientenakte für alle droht eine Bruchlandung“, mahnte Ende Juli der Bundesvorsitzende des Hausärzteverbandes, Markus Beier. Er rief die Krankenkassen dazu auf, Patienten besser aufzuklären, statt die „Hände in den Schoß“ zu legen.

Angaben der Krankenkassen untermauern den Befund. Techniker Krankenkasse, AOK und Barmer haben zusammen mehr als 44 Millionen elektronische Patientenakten eingerichtet. Doch nur 1,2 Millionen Versicherte nutzen die ePA aktiv.

Der Vorstandschef der Techniker Krankenkasse, Jens Baas, kritisiert derweil den aus seiner Sicht komplizierten Registrierungsprozess für die ePA. „Wir bekommen viele Rückmeldungen von Versicherten, dass sie den Registrierungsprozess für die ePA zu kompliziert finden“, sagte der TK-Vorstandschef nur wenige Tage vor der Gematik-Entscheidung. Er forderte, die rechtlichen Rahmenbedingungen so anzupassen, dass Video-Ident-Verfahren dafür wieder möglich sind.

Kritik an fehlender Transparenz

Dem Wunsch nach einem einfacheren Registrierprozess will die Gematik nun offenbar nachkommen, allerdings ohne rechtliche Anpassungen. „Unserer Kenntnis nach bewegt sich die Anzahl an Versicherten bzw. Bürger:innen, die ihre PIN zur eGK bzw. PIN zum Personalausweis aktiv nutzen, auf einem niedrigen Niveau“, schreibt die Gematik an netzpolitik.org. „Daher sind sichere VideoIdent-Verfahren aus Sicht der Gematik ein wichtiger Schritt, um einen einfacheren Zugang zu digitalen Anwendungen wie der elektronischen Patientenakte oder dem E-Rezept zu ermöglichen.“

Das Vorgehen der Gematik überrascht Kastl nicht. „Vom Prozess her ist das wieder klassisch: Irgendwo im Hintergrund wird an einem Verfahren gewerkelt, das dann auf einmal auf die Bevölkerung losgelassen wird“, so die Sicherheitsforscherin. „Transparente Risikoaufklärung und unabhängige Risikobewertung? Mal wieder Fehlanzeige.“



Source link

Weiterlesen

Datenschutz & Sicherheit

libarchive: Sicherheitslücke entpuppt sich als kritisch


In der Open-Source-Kompressionsbibliothek libarchive klafft eine Sicherheitslücke, die zunächst als lediglich niedriges Risiko eingestuft wurde. Einige Zeit nach der Veröffentlichung aktualisierter Quellen kam das US-amerikanische NIST jedoch zu der Einschätzung, dass das Leck sogar eine kritische Bedrohung darstellt. Darauf wurde nun das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) aufmerksam.

Bei der Verarbeitung von .rar-Archiven kann ein Ganzzahlüberlauf in der Funktion archive_read_format_rar_seek_data() auftreten. In dessen Folge kann es zu einem „Double Free“ kommen, bei dem bereits freigegebene Ressourcen nochmals freigegeben werden. Dabei kommt es potenziell zu Störungen des Speichers, wodurch Angreifer etwa Schadcode einschleusen und ausführen oder einen Denial-of-Service-Zustand hervorrufen können (CVE-2025-5914 / EUVD-2025-17572, CVSS 9.8, Risiko „kritisch„).

Nachträglich höheres Risiko erkannt

Die ursprüngliche Meldung der Lücke an das libarchive-Projekt durch Tobias Stöckmann mitsamt eines Proof-of-Concept-Exploits fand bereits am 10. Mai dieses Jahres statt. Am 20. Mai haben die Entwickler die Version 3.8.0 von libarchive herausgegeben. Die öffentliche Schwachstellenmeldung erfolgte am 9. Juni ebenfalls auf Github. Dort wurde auch die CVE-Nummer CVE-2025-5914 zugewiesen, jedoch zunächst mit dem Schweregrad CVSS 3.9, Risiko „niedrig„, wie Red Hat die Lücke einordnete.

Mit einem aktualisierten Angriffsvektor kam das NIST am 20. Juni jedoch zur Einschätzung, dass das Risiko auf einen CVSS-Wert von 9.8 kommt und mithin „kritisch“ einzustufen ist. Die Änderung blieb weitgehend unbemerkt, bis FreeBSD zum Wochenende eine eigene Sicherheitsmitteilung veröffentlicht hat.

Nicht nur Linux- und Unix-Distributionen setzen auf libarchive – wo Admins die Softwareverwaltung anwerfen und nach bereitstehenden Aktualisierungen suchen lassen sollten –, sondern auch in Windows ist inzwischen libarchive am Werk. Zur Ankündigung des aufgebohrten Windows-ZIP-Tools, das inzwischen mehrere Archivformate beherrscht, gab der Leiter damalige Panos Panay der Produktabteilung Windows und Geräte zur Microsoft Build 2023 bekannt, dass die native Unterstützung für .tar, 7-zip, .rar, .gz und viele andere durch die Nutzung des Open-Source-Projekts libarchive hergestellt wird. Es ist derzeit unklar, ob Microsoft etwa zum kommenden Patchday die eingesetzte Bibliothek auf einen fehlerkorrigierten Stand bringt oder es bereits in den vergangenen zwei Monaten getan hat.


(dmk)



Source link

Weiterlesen

Beliebt