Kriminelle haben bei mehreren italienischen Hotels nach eigenen Angaben 160.000 Ablichtungen von Ausweisdokumenten geklaut, die diese beim Check-in der Gäste angefertigt hatten. Bei mehreren Hotels kamen jeweils über 20.000 Datensätze abhanden, in zweien sogar über 30.000. Die kopierten Identitätsdokumente scheinen authentisch zu sein und stehen in einem Darknet-Forum zum Kauf. Kostenpunkt: Etwa 50 Cent pro Ausweiskopie.

Die Kriminellen brachen seit Juni in die Buchungssysteme der Hotels ein und stahlen die gespeicherten Ausweiskopien. In einem venezianischen Hotel fielen ihnen 38.000 gespeicherte Ausweise in die Hände, der höchste Wert im Angebot des Darknet-Hehlers „mydocs“. Das edle Hotel nahe dem Markusplatz verfügt über lediglich 50 Zimmer, die Gästedaten müssen also jahrelang zurückreichen.

Daten scheinen echt – auch Deutsche betroffen

In einem anderen Haus, dem Triester Hotel Continentale, erbeuteten die Kriminellen 17.000 Ausweisdokumente, unter anderem auch von deutschen Gästen. Wie bei Datenhändlern üblich, stellten die Diebe einige Demo-Datensätze in der Verkaufsanzeige zur Verfügung – heise security konnte einige davon verifizieren. Es handelt sich augenscheinlich um echte Daten, mit einem Betroffenen haben wir zudem telefoniert. Der ehemalige Hotelgast erinnerte sich an den Aufenthalt in Triest noch gut, war dieser doch erst zwei Monate her. Das Hotel habe ihn bisher nicht kontaktiert, um die Datenpanne zu beichten, so der Wahlbayer.

Insgesamt neun Hotels in Italien sowie eines auf der spanischen Ferieninsel Mallorca hatten ungebetenen Besuch. Neben den betroffenen Gästen könnten sich auch die zuständigen Datenschutzbehörden für die Lecks interessieren. Denn Gäste in italienischen Hotels müssen sich zwar mit einem Ausweisdokument gegenüber ihrem Gastgeber identifizieren, die personenbezogenen Daten sollen sie jedoch nach der Weitergabe an die zuständige Behörde sofort vernichten. Das geht zumindest aus einem Sachstandsbericht des Bundestags aus dem Jahr 2023 hervor.

Die Datensätze enthalten die Vorder- und Rückseiten von Personalausweisen und Führerscheinen, bisweilen auch von Reisepässen. Weitere Daten haben die Kriminellen nicht gestohlen, wie sie selbst angeben. Ihre möglichen Käufer könnten die gestohlenen Ausweisfotos verwenden, um mit falschem Namen Konten zu eröffnen oder etwa betrügerische Einkäufe zu tätigen. Betroffene sollten also wachsam sein.

Datenlecks in Hotels und auf Buchungsplattformen sind ein häufiges Phänomen. Vor nicht ganz zwei Jahren traf es die Hotelkette MotelOne: Die Ransomware-Gruppe AlphV verschaffte sich Zugang zu deren Netzwerk und veröffentlichte schließlich ihre Beute. Bei Booking.com hingegen gibt es immer wieder ungeklärte Phishing-Fälle.

(cku)

Die CDU-Familienministerin Karin Prien will es. Die SPD-Justizministerin Stefanie Hubig will es. Und CDU-Digitalminister Karsten Wildberger würde es persönlich unterstützen. Es geht um ein Social-Media-Verbot für Minderjährige, etwa bis sie 16 Jahre alt sind. Australien macht es gerade vor, und auch andere EU-Mitgliedstaaten liebäugeln damit, darunter Frankreich, Spanien und Griechenland.

Nun haben die Wissenschaftlichen Dienste des Bundestags eine Analyse zur Frage vorgelegt, inwiefern Deutschland ein gesetzliches Mindestalter für soziale Medien überhaupt einführen kann. Die Forscher*innen arbeiten laut Selbstbeschreibung parteipolitisch neutral und sachlich objektiv. Auf den elf Seiten ihres Berichts betrachten sie das Thema aus juristischer Perspektive. Es geht also nicht darum, was pädagogisch sinnvoll wäre oder nicht.

Für einen nationalen Alleingang von Deutschland oder auch anderen EU-Mitgliedstaaten sehen die Forscher*innen gleich mehrere Hürden. Sie verweisen in ihrem Fazit stattdessen auf alternative Maßnahmen zu einem Social-Media-Verbot. Das lässt sich als Wink mit dem Zaunpfahl an die zuständigen Minister*innen deuten, die Verbotsfantasien noch mal zu überdenken.

Erste Hürde: Wir haben das alles doch schon besprochen

Die erste Hürde für ein deutsches Social-Media-Verbot ist der Umstand, dass sich die Europäische Union längst auf andere Vorschriften zum Jugendmedienschutz geeinigt hat. Dabei hat Deutschland natürlich mitverhandelt. Eines der wichtigsten EU-Gesetze in diesem Kontext ist das noch recht frische Gesetz über digitale Dienste (DSA).

Das besondere am DSA ist seine sogenannte „vollharmonisierende“ Wirkung. Einfach ausgedrückt heißt das: Die Mitgliedstaaten dürfen nicht mehr ihr eigenes Süppchen kochen. Stattdessen tun sie das, worauf sie sich auf EU-Ebene gemeinsam geeinigt haben. Das nennt man auch Anwendungsvorrang. Hierzu schreiben die Forschenden:

Der sogenannte Anwendungsvorrang von europäischem Recht kann zur Folge haben, dass nationales Recht nicht mehr anzuwenden ist, sofern es eine vollharmonisierende unionsrechtliche Regelung der entsprechenden Materie gibt.

Einen solchen Anwendungsvorrang sehen die Wissenschaftlichen Dienste auch bei potenziellen Social-Media-Verboten. Denn das Thema ist im DSA eigentlich geregelt. Dieses Gesetz nennt Werkzeuge zur Altersüberprüfung als eine von mehreren möglichen Maßnahme zum Schutz von Minderjährigen – je nach konkretem Risiko einer Plattform.

Eine generelle Pflicht zu Alterskontrollen nach australischem Vorbild ist im DSA aber nicht vorgesehen. Entsprechend sehen die Forscher*innen „gewichtige Hürden“, wenn eine nationale Altersgrenze für soziale Medien eingeführt werden soll.

Zweite Hürde: Bitte nicht alle auf einmal

Auch die zweite Hürde für ein deutsches Social-Media-Verbot ist ein EU-Gesetz, und zwar die E-Commerce-Richtlinie. Unter anderem dort ist das sogenannte Herkunftslandprinzip verankert. Einfach ausgedrückt geht es darum, dass Unternehmen in der EU nicht verschiedene Vorschriften aus 27 Mitgliedstaaten jonglieren sollen, sondern stattdessen eine klare Anlaufstelle bekommen: Die zuständigen Behörden aus dem Land, in dem sie ihren Hauptsitz haben.

Die Forscher*innen drücken das so aus: „Demnach gelten für einen Anbieter, der in einem EU-Mitgliedsstaat niedergelassen ist, nur die jeweiligen nationalen Rechtsvorgaben.“

Deshalb hat Irland ein so großes netzpolitisches Gewicht in der EU – dort sitzen die großen Plattformen wie TikTok-Mutter Bytedance oder Meta. Es kann also sein, dass ein deutsches Social-Media-Verbot für so wichtige Plattformen wie TikTok keine Wirkung hätte, weil TikTok seinen EU-Hauptsitz nicht in Deutschland hat. Die Forscher*innen schreiben, es dürfte „fraglich sein“, ob ein deutsches Social-Media-Verbot Auswirkungen „entfalten“ kann.

Ja, aber…

Klar zum Scheitern verurteilt sind Bestrebungen für ein deutsches Social-Media-Verbot trotzdem nicht, wie aus dem Bericht der Wissenschaftlichen Dienste hervorgeht. Es gibt nämlich durchaus Spielräume für einzelne Mitgliedstaaten wie Deutschland.

Hier kommt ein anderes EU-Gesetz ins Spiel, und zwar die Richtlinie über audiovisuelle Mediendienste (AVMD-RL). Diese Richtlinie ist älter als der DSA und sieht durchaus vor, dass Mitgliedstaaten auch eigene Vorschriften entwickeln. Der Haken: Die AVMD-RL bezieht sich gezielt auf Video-Sharing-Plattformen – darunter fallen etwa YouTube oder Pornoseiten. Alle Social-Media-Plattformen lassen sich aber nicht per AVMD-RL regulieren, wie die Forscher*innen erklären. „Fotografien und Bilder zählen hingegen nicht zu diesen audiovisuellen Darstellungen“, heißt es beispielsweise im Bericht.

Kurzum: Da sind zwei EU-Gesetze, AVMD-RL und DSA, die nicht optimal zusammenpassen. Aber sie gelten beide.

Es ist nicht der einzige Fall, in dem sich Gesetze zum Jugendmedienschutz beißen oder schlecht ineinandergreifen. Ein weiteres Beispiel ist Deutschlands föderale Medienaufsicht, aufgefächert in mehrere Landesmedienanstalten. Dort versuchen Medienwächter*innen auf Basis des Jugendmedienschutz-Staatsvertrags (JMStV) den Jugendschutz im Netz durchzusetzen. Das Problem: Die EU-Kommission sieht in der jüngsten Novelle des JMStV einen Konflikt mit der „Vollharmoniserung“ des DSA und dem Herkunftslandprinzip.

Zwist statt Harmonie

Der wohlige Klang des Begriffs Vollharmonisierung führt also in die Irre. Vielmehr besteht ein Nebeneinander von mehreren Vorschriften zum Jugendschutz, die Behörden auf mehreren Ebenen durchsetzen wollen. Dabei gibt es Konflikte – nicht nur mit Unternehmen, die sich ungern regulieren lassen wollen, sondern auch unter den Regulierungsbehörden selbst, die um Einfluss ringen und ungern Kompetenzen abtreten.

Die trügerische Sicherheit von Alterskontrollen im Netz

Konflikte klären und verbindliche Entscheidungen herbeiführen, das müssen im Zweifel Gerichte tun. Konkretes Beispiel: Seit Jahren prozessiert Pornhub gegen Alterskontrollen durch die deutsche Medienaufsicht. Dabei geht es auch um die Frage, ob Pornhub aus Düsseldorf (Landesmedienanstalt Nordrhein-Westfalen) oder aus Brüssel (EU-Kommission) reguliert werden soll. Der Ausgang ist ungewiss.

Entsprechend düster sind die Aussichten für ein wirksames deutsches Social-Media-Verbot für Minderjährige, das nicht an einer der vielen Hürden zerschellen würde. Nüchtern schlussfolgern die Forscher*innen:

Der beschriebene Anwendungsvorrang europäischer Normen sowie das Herkunftslandprinzip können sich als Hürde bei der Einführung eines gesetzlichen Mindestalters für die Nutzung sozialer Netzwerke herausstellen.

Ein möglicher Ausweg wäre eine Lösung direkt auf EU-Ebene. Dort wird auch gerade kontrovers diskutiert, in welchem Umfang Alterskontrollen das Internet dominieren sollen. Grundlage ist allerdings der DSA, der sich eben nicht nur auf soziale Medien fokussiert, sondern sich in der Breite mit digitalen Diensten befasst. Neben der Option zu Altersschranken sieht das Gesetz viele weitere Maßnahmen vor, die sich an den spezifischen Risiken eines Diensts orientieren.

Es gibt also noch mehr Werkzeuge als Altersschranken, um Minderjährige im Netz zu schützen – und diese Werkzeuge liegen mit dem DSA teilweise schon bereit. Mit einem Hinweis auf Alternativen beenden auch die Wissenschaftlichen Dienste ihren Bericht. Konkret nennen sie „strukturelle Vorsorgemaßnahmen, Medienkompetenzförderung und altersgerechte Gestaltung der Plattformen“.

Diverse Sicherheitslücken betreffen Hard- und Software von AMD und Intel. Im August stellen beide Hersteller Updates und teils lediglich Informationen dazu bereit. Einige können und sollten Nutzerinnen und Nutzer installieren, für andere sind die Hardwarehersteller in der Pflicht.

Lückenhafte AMD-Hard- und -Software

Mehrere Sicherheitslücken in den GPUs und in den Prozessoren integrierten Pendants von AMD erreichen teils hochriskanten Status. In der Tabelle der Sicherheitsmeldung listet AMD die einzelnen Schwachstellen auf – die bisweilen bis ins Jahr 2021 zurückreichen. Für Data-Center-Graphics-Produkte verteilt AMD teilweise seit September 2024 aktualisierte Treiber, die die Probleme lösen. Für die Endanwender-GPUs stehen für Teile der Lücken bereits seit 2023 Treiber-Updates bereit, die aktuelleren Lücken scheinen jedoch erst jene Treiber zu schließen, die seit Ende Mai dieses Jahres bereitstehen.

Die AMD-Client-Prozessoren weisen ebenfalls diverse Schwachstellen auf, die etwa den System Management Mode (SMM), AMD Security Processor (ASP) und weitere Komponenten betreffen. Hier reichen die Sicherheitsmeldungen aus dem August 2025 ebenfalls teils bis 2021 zurück. Sie betreffen unter anderem Prozessoren der Ryzen-2000-Reihe, jüngere zudem auch die neueren Prozessoren bis hin zur Ryzen AI 300-Baureihe. Diverse Firmware-Microcode-Versionen stehen dafür bereit, die etwa Mainboard-Hersteller in ein BIOS-Update verpflanzen müssen.

Die Serverprozessoren von AMD kommen glimpflicher davon, hier meldet das Unternehmen deutlich weniger Sicherheitslücken, von denen lediglich zwei ein hohes Risiko darstellen. Eine jüngere Lücke aus diesem Jahr ermöglicht lokalen Admins, bösartigen CPU-Microcode zu laden (CVE-2025-0032, CVSS 7.2, Risiko „hoch„). Außerdem können Angreifer mit physischem Zugriff und Ring0-Zugriffsrechten eine unzureichende Prüfung von Daten aus dem Speicherriegel-DIMM-SPD missbrauchen, um dem System Management Mode Code unterzujubeln (CVE-2024-36354, CVSS 7.5, Risiko „hoch„) – was jedoch nicht unbedingt trivial auszuführen klingt. Für diverse Epyc-Prozessoren von 4004 bis 9005 lösen Firmwareupdates das Problem.

AMD berichtet außerdem von einem Forschungspapier, in dem die Analysten dem Zen-4-PSP (Platform Security Processor) durch Aussetzen von Spannungsfehlern (Voltage Fault Injection, VFI) eigenen Code unterjubeln können. Dafür ist lokaler, physischer Zugriff nötig. „Physische Angriffe wie VFI liegen außerhalb des Bedrohungsmodells betroffener AMD-Produkte“, merkt der Hersteller dazu an, weshalb es dafür keine Lösung in Form von Updates gibt. Betroffen sind Epyc Zen 4 und deren Embedded-Geschwister sowie vorhergehende, die AMD Instinct MI-200-, MI-300- und MI-350-Reihe, Ryzen Zen 4 und vorherige, die Ryzen 9000HX- sowie 9000-er und die Embedded-Varianten mit Zen 4 und ältere Fassungen. Zudem Radeon RX 7000/6000/5000/VII/Vega, Radeon Pro W7000/6000/5000/VII/Vega und Radeon Pro V-Baureihen.

Zahlreiche Sicherheitsprobleme bei Intel-Produkten

In der Nacht zum Mittwoch hat auch Intel zahlreiche Sicherheitsmitteilungen veröffentlicht, mehr als 30 Stück insgesamt. Davon stechen lediglich einige mit ihrem Schweregrad „hohes Risiko“ heraus. Einige Intel-Ethernet-Treiber für Linux ermöglichen demnach das Ausweiten der Rechte am System, Informationsabfluss oder einen Denial-of-Service. Insbesondere im Kernel-Mode-Treiber für Ethernet-Karten der Intel-700-Series können angemeldete Angreifer Versionen vor der aktuellen 2.28.5 ihre Rechte ausweiten (CVE-2025-24486, CVE-2025-25273, CVSS 7.8, Risiko „hoch„; CVE-2025-21086, CVSS 7.5, Risiko „hoch„). Es handelt sich um Bestandteile der Xeon-D-2100-Prozessoren sowie C620-Chipsätze. Eine der Lücken mit niedrigerer Risikoeinstufung betrifft zudem die Versionen des Ethernet-Treibers für die I350-Baureihe und wird mit Version 5.19.2 oder neuer geschlossen.

Für die Intel-WLAN-Treiber für Wi-Fi 6E AX211, Wi-Fi 7 BE200, BE201 und BE202 stellt das Unternehmen zudem die aktualisierte Version 23.110.0.5 bereit. Angreifer können aufgrund unzureichender Zustandsprüfungen einen Denial-of-Service in den Vorgängerversionen provozieren (CVE-2025-20625, CVSS 7.4, Risiko „hoch„). In einigen IPUs und Chipsätzen können Angreifer ihre Rechte ausweiten, da eine Race-Condition zwischen einer Prüfung und der Nutzung einer nicht näher genannten Information in der Converged Security and Management Engine (CSME) besteht. Dadurch können angemeldete Nutzer ihre Rechte ausweiten (CVE-2025-20037, CVSS 7.2, Risiko „hoch„). Zwei etwas weniger gravierende Lücken betreffen zudem die Server Platform Services (SPS) und Active Management Technology (AMT) sowie Intel Standard Manageability. Die hochriskante Lücke betrifft die Intel Core Ultra-Prozessoren der Baureihen 1 und 2. Die Firmware-Updates auf Version 18.1.18, 19.0.5 sowie 20.0.5 bessern die Fehler aus.

Für die Probleme, die mit Treiberupdates lösbar sind, sollten Betroffene die aktualisierten Treiber herunterladen und installieren. Wo Firmwareupdates nötig sind, sollten sie hingegen die Hersteller-Webseiten ihrer Systeme konsultieren, ob dort etwa BIOS-Updates für ihre Systeme verfügbar sind.

(dmk)