Das Sicherheits- und Computer-Notfallteam des Elektrotechnik- und IT-Verbands VDE spielt international seit wenigen Tagen eine wichtigere Rolle. Die Branchenvereinigung teilte am Freitag mit, dass das eigene Computer Emergency Response Team CERT@VDE zur zentralen Stelle im Kampf gegen IT-Sicherheitslücken im Bereich der Industrieautomation mit Fokus auf kleine und mittlere Unternehmen aufgestiegen sei. Dessen Arbeit zur Koordination von Security-Problemen in diesem Sektor erhält damit eine weltweite Bedeutung.

Sicherheitslücken in Industrieprodukten haben bereits etwa in der Strom- und Wasserversorgung, in Krankenhäusern oder in großen Fertigungsstätten für teils existenzielle Bedrohungen gesorgt. Wenn Angreifer solche Schwachstellen ausnutzen, kann das weitreichende und schwerwiegende Folgen für Mensch, Umwelt und Gesellschaft haben. Um das zu verhindern, müssen diese Lücken weltweit bekannt gemacht und behoben werden.

Schwachstellen-Datenbank

Dafür gibt es das CVE-System (Common Vulnerabilities and Exposures), das vor über 25 Jahren in den USA eingeführt wurde. Es fungiert wie eine große Datenbank, in der jede bekannte Sicherheitslücke eine eigene, eindeutige Nummer hat. Das soll dabei helfen, Missverständnisse bei der Behebung von Problemen zu vermeiden, da jeder genau weiß, welche Schwachstelle gemeint ist. Seit 1999 gilt das CVE-System als wichtiger globaler Standard, der IT-Sicherheitsexperten und Unternehmen hilft.

Doch nicht jeder soll einfach CVE-IDs vergeben können, um Chaos zu vermeiden. Dazu berechtigt sind nur bestimmte Organisationen und Firmen. Sie sind als „CVE Numbering Authorities (CNAs)“ bekannt. Diese teilen sich die Zuständigkeiten für verschiedene Produkte und Bereiche auf. CERT@VDE ist bereits seit 2020 eine solche CNA für seine Partner. Das Zentrum hat sich dafür im Rahmen von Prüfungen durch die US-Normungsbehörde NIST einen hohen Qualitätsstandard für seine CVEs erarbeitet. Die NIST betreibt auch die NVD (National Vulnerability Database), eine staatliche Datenbank, die das CVE-System um technische Details und Bewertungen ergänzt.

CERT@VDE übernimmt Spitzenposition

Über den normalen CNAs gibt es noch sogenannte Root-CNAs. Das sind die Schaltzentralen, die die Arbeit der untergeordneten Zulieferer koordinieren und überwachen. Zu diesen Root-CNAs gehören bereits große Namen wie MITRE, die US-Cybersicherheitsbehörde CISA, Google und Red Hat aus den USA, das japanische JPCERT/CC, das spanische INCIBE Cert sowie der französische Konzern Thales. Seit Mitte Juli dient nun CERT@VDE als die erste deutsche Root-CNA.

In dieser neuen Funktion wird das Notfallzentrum laut dem VDE das CVE-System für seine Partner in Deutschland strukturieren, beaufsichtigen und koordinieren. Das bedeutet konkret: Das CERT-Team sucht, selektiert und betreut neue CNAs aus dem Kreis ihrer Partner. Die Mitarbeiter schulen diese Instanzen und helfen ihnen beim Start. Sie sollen ferner sicherstellen, dass alle sich an die CVE-Regeln und -Prozesse halten. Weitere Aufgabe ist die Fortentwicklung von Abläufen und Standards für die Vergabe und Verwaltung von CVE-IDs. Bei Unklarheiten oder Streitigkeiten zwischen CNAs über Zuständigkeiten wird CERT@VDE vermitteln und die Qualität der CVE-Einträge prüfen.

Vorteile für deutsche Unternehmen und Kritik

Laut dem Abteilungsleiter von CERT@VDE, Andreas Harner, hat die Beförderung Vorteile für deutsche Firmen: Das Zentrum sei damit nicht nur die direkte Kontaktstelle in derselben Zeitzone für Mitstreiter in Mitteleuropa, sondern auch Teil des internationalen CVE-Systems. Angeschlossene könnten ihren Kunden so noch besser zeigen, dass sie ein ausgereiftes Sicherheitsmanagement haben. Zugleich behielten sie die Kontrolle darüber, wann und wie CVEs für Schwachstellen in ihren Produkten veröffentlicht werden.

Die CVE-Datenbank stand im Frühjahr wegen Unstimmigkeiten zwischen CISA und MITRE aufgrund Sparvorgaben aus dem Umfeld der Trump-Regierung kurzzeitig vor dem Aus. Die EU beteiligte sich an der Suche nach Alternativen. Das mit CVE eng verknüpfte Schwachstellenbewertungssystem CVSS (Common Vulnerability Scoring System) steht generell in der Kritik wegen seiner Anfälligkeit für Fehleinschätzungen. Die CISA gelobte voriges Jahr, den Informationsrückstau bei der von der NIST geführten Mutter aller Schwachstellendatenbanken mit einem flexibleren Ansatz anzugehen.

(vbr)

Anna* hat schlechte Laune. „Ich bin traurig und wütend, aber vor allem enttäuscht“, sagt sie. Anna soll gekündigt werden. Seit drei Jahren arbeitet die 34-Jährige für TikTok. Sie moderiert vom Standort Berlin aus Beiträge, die als anstößig markiert werden. Heute aber ist sie im Streik. Es ist bereits der zweite Warnstreiktag der Berliner TikTok-Beschäftigten, nach der Erstauflage am 23. Juli.

Etwa 50 Mitarbeitende haben sich zum Streik eingefunden. Sie tragen Warnwesten, Basecaps und Fahnen der Gewerkschaft ver.di. Auf ihren Bannern steht etwa: „TikTok, was ist dir Sicherheit wert?“ Die Mitarbeitenden rufen Slogans wie „We trained your machines. Pay us what we deserve.“ Übersetzt heißt das: „Wir haben eure Maschinen trainiert. Zahlt uns, was wir verdienen.“ Trillerpfeifen ertönen. Die Demonstrierenden wirken kämpferisch – und zornig.

TikTok will die Moderation von Beiträgen an Subunternehmen und eine KI auslagern. Diese KI wurde mithilfe von Entscheidungen trainiert, die die Mitarbeitenden trafen, die nun entlassen werden sollen.

TikTok geht gerichtlich gegen den Betriebsrat vor

Die geplanten Kündigungen betreffen laut ver.di rund 150 Beschäftigte der Abteilung „Trust and Safety“ (Vertrauen und Sicherheit), die bislang Inhalte in dem Netzwerk überprüfen, sowie 15 Beschäftigte aus dem Bereich TikTok-Live, die für den Kontakt mit Content-Produzent*innen zuständig sind. Derzeit arbeiten in Berlin etwa 400 Menschen für TikTok, das vom chinesischen Unternehmen ByteDance betrieben wird. Der Konzern hat auf eine netzpolitik.org-Anfrage nicht reagiert.

Für die Angestellten, die TikTok entlassen will, verlangt ver.di eine Abfindung von drei Jahresgehältern und eine Verlängerung der Kündigungsfrist um zwölf Monate. TikTok geht derweil gegen den Betriebsrat vor. Der Prozess beginnt heute vor dem Arbeitsgericht Berlin, dort findet auch der Protest statt. ver.di vermutet, dass das Verfahren dazu dient, die Kündigungen möglichst schnell vollziehen zu können. Verhandlungen mit dem Betriebsrat habe TikTok bislang verweigert, so ver.di.

Zudem habe die TikTok-Geschäftsführung angekündigt, die Teilnehmer*innen des ersten Warnstreiktages einzeln zu Gesprächen vorzuladen. Sie hätten gegen rechtliche Pflichten verstoßen, weil sie den Arbeitgeber nicht über ihre geplante Streikteilnahme informiert hätten. ver.di sieht darin einen Einschüchterungsversuch gegen die Streikenden.

Sexuelle Inhalte, Fake News, Blut und Gewalt

Anna sagt, sie sei stolz, dass sie mit ihrer Arbeit Menschen schütze. Dazu schaut und bewertet sie pro Schicht rund 700 Videos. Sie sieht sexuelle Inhalte, Fake-News, Blut und Gewalt. Potenziell traumatisierendes Material. „Es gibt Clips, die ich nicht vergessen kann“, sagt Anna. Sie sei abgestumpft, könne sich zudem kaum mehr länger als 30 Sekunden konzentrieren, weil sich ihr Gehirn an die kurzen Videos gewöhnt habe. Content-Moderation ist ein Job, der tiefe Spuren hinterlässt.

Anna moderiert Videos, die polnische User*innen erstellt haben. Neben dem polnischen betreut das Berliner Team auch den deutschen und den niederländischen Markt.

„TikTok geht es ums Geld“, sagt Oliver Marsh von AlgorithmWatch. „Aber es kann auch ein Experiment sein. Im Fall des Erfolgs könnte auch in anderen Ländern und Bereichen Jobs an Software übergeben werden.“

“KI macht Fehler“

Es ist ein weltweiter Trend: Unter anderem weil menschliche Arbeitskräfte teuer sind, krank werden – und sogar streiken können –, wird für immer mehr Aufgaben KI eingesetzt. So würden sich Unternehmen als „modern“ gerieren, sagt Oliver Marsh. Doch das bringt Probleme mit sich. „KI macht Fehler“, sagt Marsh. Mal könne zu viel Content entsorgt werden – ein anderes Mal nicht genug. „KI kann Graubereiche und schwierige Problemfälle nicht lösen. Da braucht es Menschen, um den Kontext einzuordnen“, sagt er.

Marsh nennt eine Reihe von Feldern, auf denen KI immer wieder Fehlentscheidungen trifft. LGBTQIA*-Inhalte beispielsweise würde oft als „Hassrede“ fehlgedeutet, Nackheit im künstlerischen Kontext schnell als sexueller Content abgestempelt. Zudem würden Beiträge mit dem arabischen Wort Shaheed regelmäßig als terrorismusverherrlichender Content entfernt. Shaheed bedeutet Märtyrer, das Wort wird auch in harmlosen Zusammenhängen verwendet.

Die Berliner TikTok-Beschäftigten kämpfen schon länger gegen ihre miesen Arbeitsbedingungen. 2022 haben sie einen Betriebsrat gegründet. Inzwischen sind etwa 70 Prozent der Mitarbeitenden gewerkschaftlich organisiert. „Wir haben ihnen gezeigt, dass sie Rechte haben und die auch in Anspruch nehmen können“, sagt ein Mitglied des Betriebsrats, das anonym bleiben will. So habe man beispielsweise verhindert, dass der Konzern trackt, wer wann wie lange an seinem Arbeitsplatz sitzt.

Eine weltweite Bewegung

Die Berliner TikTok-Angestellten sind Teil einer weltweiten Bewegung. In Nairobi wurde 2023 eine eigene Gewerkschaft für Content-Moderator*innen gegründet, die African Content Moderators Union. Viele Moderationsjobs wurden auf den Kontinent ausgelagert und werden dort von Subunternehmern vergeben. Die Arbeitnehmer*innen möchten mit der Gewerkschaft die brutalen Arbeitsbedingungen etwas entschärfen.

Doch obwohl sich auch andernorts Mitarbeitende von Social-Media-Plattformen organisieren, ist der Berliner Streik wohl der erste seiner Art. Weder Oliver Marsh noch Kathlen Eggerling, die für die Gewerkschaft ver.di die TikTok-Mitarbeiter*innen betreut, wissen von ähnlichen Arbeitsniederlegungen von Social-Media-Mitarbeiter*innen anderswo in der Welt. „Die TikToker trauen sich ihre Rechte wahrzunehmen, das ist etwas Großes“, sagt Eggerling. „Sie haben keine Vorkämpfer in ihrer Branche. Sie sind selber welche.“

Für Social-Media-Plattformen steht bislang der Gewinn über den Interessen der Mitarbeitenden, sagt Eggerling. Betriebsratsgründungen würden, wenn sie mal angestrebt würden, häufig auf großen Widerstand stoßen. Auch bei der Gründung des Berliner TikTok-Betriebsrates gab es starken Gegenwind aus der Chefetage.

Doch inzwischen haben sich die TikTok-Mitarbeiter*innen an ihre Rechte gewöhnt. Mit ihrem Warnstreik treten sie selbstbewusst auf. „Die TikToker sind richtige Gewerkschafter geworden“, sagt Eggerling. „Sie haben ein gutes Gespür für Gerechtigkeit.“

*Name auf Wunsch der Betroffenen geändert.

Die MyASUS-App kann zum Einfallstor für Angreifer werden. Schuld sind zwei Sicherheitslücken, die aber mittlerweile geschlossen sind. Wer das Tool nicht aktualisiert, riskiert unbefugte Zugriffe auf bestimmte Services.

Systeme vor möglichen Attacken schützen

Das geht aus einer Warnmeldung des Computerherstellers hervor. Von den beiden Schwachstellen (CVE-2025-4569 „hoch„, CVE-2025-4579 „mittel„) sind Computer des Herstellers aus den Bereichen All-in-One-PCs, Desktop, NUCs und Laptops betroffen.

Aufgrund von hartkodierten Zugangsdaten in Form eines Tokens können Attacken stattfinden. Damit ausgestattet können Angreifer auf bestimmte, nicht näher spezifizierte Dienste zugreifen. Die Entwickler geben an, die Sicherheitsprobleme in den Ausgaben 4.0.36.0 (x64) und 4.2.35.0 (ARM) gelöst zu haben. Ob es bereits Attacken gibt, ist zurzeit nicht bekannt.

(des)