Datenschutz & Sicherheit
Google stellt Zusammenarbeit mit Sparkassen vor
Google und die Sparkassen kündigten am Dienstag eine Zusammenarbeit für eine Altersverifikation im Internet an. In dem Modell sollen die Sparkassen einen Altersnachweis für ihre Kund*innen ausstellen, den Google dann über eine Schnittstelle an Webseiten und Apps weiterreicht, die einen solchen Nachweis der Volljährigkeit erfordern. Die Schnittstelle soll „in den kommenden Monaten“ zur Verfügung stehen und sowohl im Chrome-Browser als auch auf Android-Smartphones funktionieren.
Die Sparkassen haben bereits in einem kleineren Rahmen Erfahrung mit den Altersnachweisen. Sie hatten solche Nachweise für das Projekt „Kulturpass“ angeboten, ein Angebot, mit dem Jugendliche nach ihrem 18. Geburtstag ein Guthaben für Kulturangebote bekamen. Dieses Projekt hatte der Verband Ende 2024 auch auf einem Workshop zu Altersverifikation im Bundesfamilienministerium (BMFSFJ) vorgestellt.
Kein Rückschluss auf Identität soll möglich sein
Google hat jetzt eine Programmierschnittstelle entwickelt, über die als einziger Datenpunkt die Information weitergereicht wird, dass jemand über 18 Jahre alt ist. Weitere Daten wie der Name oder das genaue Geburtsdatum sollen dabei nicht offengelegt werden, so dass keine Rückschlüsse auf die Identität der Person möglich sein sollen, die eine Seite oder App benutzt.
Damit geht Google auf eines der größten Bedenken gegen die Alterskontrollen ein. Fachleute für Privatsphäre wie die Electronic Frontier Foundation (EFF) hatten in der Vergangenheit davor gewarnt, dass Personen ihre Identität offenlegen müssten, um etwa Pornoseiten oder andere Angebote für Erwachsene zu besuchen. Auch bestehe die Gefahr, dass Nutzer*innen über mehrere Seiten hinweg verfolgt werden könnten. Beides soll Googles neue Schnittstelle nach eigenen Angaben verhindern.
EU-Kommission drängt auf Alterskontrollen
Tech-Konzerne und Plattformen stehen in der EU zunehmend unter Druck, Alterskontrollen einzuführen, wo Inhalte nicht für Kinder und Jugendliche bestimmt sind. Noch sieht man im Netz häufig schlichte Altersabfragen, die man mit einem Klick überwinden kann, etwa: „Bist du schon 18?“ Künftig sollen aber strengere Schranken den Zutritt zu Online-Angeboten begrenzen – etwa, um nicht jugendfreies Videos zu schauen oder im Netz eine Flasche Wein zu kaufen.
Parallel zu Googles Lösung hat auch die EU-Kommission eine eigene App in Auftrag gegeben. Sie wird derzeit von der deutschen T-Systems und der schwedischen Scytáles entwickelt. Ihre Funktion: bestätigen, dass man über 18 ist. Mitgliedstaaten sollen die App als Vorlage verwenden, um ihre eigenen nationalen Versionen zur Verfügung zu stellen, etwa in der Marktplätzen von Apple und Google.
Gesetzlich vorgeschrieben sind Alterskontrollen in der EU bislang nicht. Laut dem Gesetz über Digitale Dienste (Digital Services Act, DSA) sind Online-Plattformen allerdings dazu verpflichtet, für „ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen“ zu sorgen. Anbieter können selbst abwägen, wie sie den Verpflichtungen nachkommen. Die Kommission hat jedoch in neuen Richtlinien klar gemacht, dass sie für Pornoseiten oder Online-Glücksspiel harte Alterskontrollen bevorzugt.
Datenschutz & Sicherheit
Taiwan: Ehemaliger Rettungssanitäter verkauft Daten aus Leitstelle an Bestatter
In Taiwan wurde ein ehemaliger Rettungssanitäter festgenommen, der das Notrufsystem der Feuerwehr von Kaohsiung infiltriert und sensible Einsatzdaten in Echtzeit an Bestattungsunternehmen verkauft haben soll. Der 30-jährige Mann mit dem Nachnamen Pan hatte laut Anklage Zugriff auf Einsatzzeiten, Standorte und GPS-Daten, um vier Bestattungsfirmen einen strategischen Vorteil zu verschaffen. Das berichtete Golem zuerst.
„Pan richtete eine eigene cloudbasierte Plattform ein und nutzte sein Mobiltelefon, um einen Datenserver zu betreiben, der Bestattungsunternehmen Echtzeitinformationen bereitstellte“, heißt es von der Taipei Times. Die Bestatter konnten so schneller als die Konkurrenz am Einsatzort erscheinen – teilweise noch vor den Rettungskräften. Im Gegenzug kassierte Pan monatlich mehrere tausend bis zehntausend Taiwan-Dollar, umgerechnet etwa 100 bis über 1000 Euro.
Der Vorfall kam erst im August 2023 nach Hinweisen auf auffällige Zugriffe auf das Einsatzleitsystem ans Licht, wie die Taipei Times berichtet. Die Datenanalyse ergab, dass Pan seit 2022 ein eigenes Cloud-System aufgebaut hatte, das Informationen in Echtzeit aus 21 Städten und Landkreisen sammelte – dazu gehörten etwa Informationen zum Vorfall und GPS-Koordinaten. Daraufhin versuchten das Innenministerium und die Feuerwehr von Kaohsiung, die Menge der öffentlich verfügbaren Daten zu minimieren und strenge Kontrollen durchzuführen, was jedoch nicht reichte.
30 Millionen Zugriffe pro Jahr
Die Behörden schätzen, dass pro Jahr bis zu 30 Millionen unautorisierte Zugriffe auf das System registriert wurden, was erhebliche Risiken für die Datensicherheit und das öffentliche Interesse bedeutete. Nach monatelangen Analysen durch das Justizministerium wurden Pan und weitere Verdächtige, darunter IT-Fachkräfte der Bestattungsunternehmen, verhaftet. Pan gestand die Tat, mehrere Mitarbeiter der betroffenen Firmen wurden ebenfalls angeklagt. Die Ermittlungen dauern an.
(mack)
Datenschutz & Sicherheit
Sicherheitslücken Tenable Nessus: Angreifer können Systemdaten überschreiben
Angreifer können an drei Sicherheitslücken in Tenable Nessus ansetzen und Systeme attackieren. Unter Windows können Angreifer im schlimmsten Fall Systemdateien überschreiben. Bislang gibt es keine Berichte zu laufenden Attacken. Admins sollten die abgesicherte Ausgabe zeitnah installieren.
Mehrere Gefahren
In einer Warnmeldung erläutern die Entwickler, dass zwei Schwachstellen (CVE-2025-6021 „hoch„, CVE-2025-24855 „hoch„) die Komponenten libxml2 und libxslt betreffen. In beiden Fällen können Angreifer Speicherfehler auslösen, was zu einem DoS-Zustand führt. In so einem Fall kommt es zu Abstürzen. Oft kann im Kontext von Speicherfehlern aber auch Schadcode auf Systeme gelangen. Wie so eine Attacke ablaufen könnte, ist zurzeit unklar.
Die dritte Sicherheitslücke (CVE-2025-36630 „hoch„) betrifft den Codes des Schwachstellen- und Netzwerkscanners direkt. An dieser Stelle können Angreifer als Non-Administrative-Nutzer Systemdateien mit Systemrechten überschreiben. Unklar bleibt, an welchen Parametern Admins bereits erfolgte Attacken erkennen können.
Sicherheitspatch ist da
Die Entwickler versichern, die Probleme in Nessus 10.8.5 und Nessus 10.9.0 gelöst zu haben. Alle vorigen Ausgaben sind angreifbar. Zur Absicherung haben sie die gepatchten Versionen libxml2 2.13.8 und liubxslt 11.1.43 implementiert. Alle Lücken sind Tenable zufolge seit Mai dieses Jahres bekannt. Das Sicherheitsupdate und die Warnmeldung wurden erst jetzt veröffentlicht.
Erst kürzlich haben die Entwickler mehrere Sicherheitslücken in Tenable Agent geschlossen. In diesem Kontext kann Schadcode auf PCs gelangen und Systeme so vollständig kompromittieren.
Siehe auch:
(des)
Datenschutz & Sicherheit
Dell Secure Connect Gateway: Sicherheitslücken gefährden Remote-IT-Support
Dells Verbindungsgateway Secure Connect Gateway für unter anderem IT-Support über das Internet ist verwundbar. Die Schwachstellen gefährden Unternehmensnetzwerke. Admins sollten die gepatchte Ausgabe zügig installieren.
Diverse Sicherheitsprobleme
In einer Warnmeldung listen die Entwickler die löchrigen Komponenten auf. So kommt es etwa bei Spring Security im Kontext von BCrypt zu Fehlern bei Passwörtern und eigentlich falsche Kennwörter werden unter bestimmten Bedingungen fälschlicherweise als gültig durchgewunken (CVE-2025-22228 „hoch„). Eine Tomcat-Lücke (CVE-2025-24813) gilt als „kritisch„. Hier kann es zur Ausführung von Schadcode kommen.
Eine Schwachstelle (CVE-2025-26465) in OpenSSH ist mit dem Bedrohungsgrad „mittel“ eingestuft. An dieser Stelle können sich Angreifer in Verbindungen einklinken. Die Entwickler versichern, die Sicherheitslücken in Secure Connect Gateway 5.30.0.14 geschlossen zu haben. Alle vorigen Ausgaben sind attackierbar. Zurzeit gibt es noch keine Meldungen zu laufenden Angriffen. Das kann sich aber schnell ändern und deswegen sollten Admins mit dem Patchen nicht zu lange zögern.
(des)
-
Online Marketing & SEOvor 3 WochenTikTok trackt CO₂ von Ads – und Mitarbeitende intern mit Ratings
-
Apps & Mobile Entwicklungvor 3 WochenMetal Gear Solid Δ: Snake Eater: Ein Multiplayer-Modus für Fans von Versteckenspielen
-
UX/UI & Webdesignvor 3 WochenPhilip Bürli › PAGE online
-
Social Mediavor 3 WochenAktuelle Trends, Studien und Statistiken
-
Social Mediavor 3 WochenLinkedIn Feature-Update 2025: Aktuelle Neuigkeiten
-
Online Marketing & SEOvor 3 Wochen#WantaFanta: Warum Fanta und Nico Santos der Gen Z Wünsche erfüllen
-
Social Mediavor 3 Wochen“Wir haben doch nichts zu erzählen…” – 3 Tricks für neue Social Media Content Ideen
-
Online Marketing & SEOvor 3 WochenInfluencer Marketing: Warum Influencer Vertrauen verlieren und klassische Medien gewinnen