Die EU-Kommission hat heute ein neues Verfahren gegen Alphabet, den Mutterkonzern von Google, eröffnet. Grund dafür ist ein möglicher Verstoß gegen den Digital Markets Act (DMA). Demnach vermutet die Kommission, dass die weltgrößte Suchmaschine manche Nachrichten-Websites diskriminiert.

Das EU-Gesetz schreibt besonders großen Online-Diensten vor, dass sie ihre Marktmacht nicht missbrauchen dürfen, um dem Wettbewerb im digitalen Raum zu schaden. Doch in der Google Suche, die von der EU-Kommission als sogenannter Gatekeeper eingestuft wurde, würden möglicherweise keine fairen und diskriminierungsfreien Verhältnisse herrschen. Immer wieder würden Medienseiten in den Ergebnissen ausgeblendet oder heruntergestuft. Doch warum passiert das?

Google hat seit dem Vorjahr eine neue Spam-Richtlinie im Einsatz: die Richtlinie zum Missbrauch des Website-Rufs („Site Reputation Abuse Policy“). Damit soll erkannt werden, wenn bei der Suchmaschinenoptimierung (SEO) getrickst wird. Konkret geht es beispielsweise darum, dass Websites Inhalte von Drittanbietern hosten, die laut Google eigentlich nicht zu ihren Inhalten passen und Nutzende „verwirren“ würden. Drittanbieter würden dabei den Ruf und die Vertrauenswürdigkeit der Site nutzen, um in den Suchergebnissen weiter oben aufzutauchen. Als Beispiel gibt Google eine gekaperte medizinische Website an, die die Werbeseite eines Drittanbieters zu den „besten Casinos“ hostet.

Medien verlieren wichtige Einnahmen

Die EU-Kommission sieht darin ein Problem. In der Praxis könne die Richtlinie dazu führen, dass Inhalte wie Preisvergleiche oder Produktbewertungen auf einer Nachrichtenseite fälschlicherweise als Spam erkannt und die betreffenden Subdomains aus den Suchergebnissen ausgeblendet würden. Dadurch würden Nachrichtenseiten Besuche auf ihre Website („Traffic“) verlieren und dementsprechend auch Einnahmen, sagte ein Kommissionsbeamter am Donnerstag gegenüber der Presse. Außerdem hätten die Nachrichtenseiten kaum Möglichkeiten, sich gegen potenzielle Fehlentscheidungen von Google zu wehren.

Google argumentiert, dass es qualitativ hochwertige Suchergebnisse anzeigen will und deswegen so handelt. Das Problem ist durchaus real, die Frage ist nur, ob Google damit diskriminierungsfrei umgeht.

Konkrete Fälle, die geschätzte Anzahl betroffener Medien und die ungefähre Höhe der Einnahmeverluste will die Kommission aufgrund der laufenden Ermittlungen nicht preisgeben. Sie erklärt zudem, dass Google News nicht Teil der Untersuchung sei, weil der Dienst kein Gatekeeper sei und nicht vom DMA erfasst werde. Ebenso werde die KI-Zusammenfassung in der Google Suche, die auch zu einem Verlust von Klicks auf Webseiten führt, nicht konkret untersucht. Jedoch behalte man Marktentwicklungen im Auge, so ein Kommissionsbeamter.

Früheres Verfahren läuft noch

Das Verfahren soll in 12 Monaten zum Abschluss kommen. Wie in solchen Untersuchungen üblich, wird die Kommission vorläufige Ergebnisse mit Alphabet teilen, ebenso denkbare Vorschläge, was der Konzern ändern sollte. Zugleich will sich die EU-Kommission mit Herausgebern austauschen. Parallel dazu läuft noch ein anderes Verfahren gegen Alphabet. Dieses bezieht sich auf die Bevorzugung von Google-eigenen Angeboten in den Suchergebnissen.

Sollte die Kommission am Ende ihrer Ermittlungen einen Verstoß feststellen, kann sie eine Strafe von bis zu zehn Prozent des weltweiten Jahresumsatzes des Konzerns verhängen.

In Netscaler ADC und Gateway von Citrix wurde eine Sicherheitslücke entdeckt. Aktualisierte Software steht bereit, die die Cross-Site-Scripting-Lücke schließt. Admins sollten sie rasch installieren.

In einer Sicherheitsmitteilung informiert Citrix sehr sparsam über die Schwachstelle. In einer Tabelle gibt es nur stichwortartige Hinweise: Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS), mit der Common Weakness Enumeration Standard-Nummer 79 (CWE-79): „Unzureichende Neutralisierung von Eingaben während der Webseitengenerierung“. Klassisch erlaubt XSS das Unterjubeln von Javascript-Code mittels Links, auf die potenzielle Opfer klicken müssen, damit der Code ausgeführt wird. Der kann dann jedoch etwa das Kopieren von Session-Cookies ermöglichen, womit Angreifer den Zugang übernehmen könnten (CVE-2025-12101, CVSS4 5.9, Risiko „mittel„).

Deutlich abweichender Schweregrad je nach CVSS-Version

Da die Netscaler als Gateway wie VPN Virtual Server, ICA Proxy, CVPN oder RDP-Proxy oder als AAA Virtual Server konfiguriert sein müssen, nimmt Citrix für die Einordnung an, dass Vorbedingungen erfüllt sein müssen, damit Angreifer sie ausnutzen können. Das trägt jedoch dem Umstand nicht Rechnung, dass dies eine eher übliche Konfiguration ist, um damit Apps über das Internet bereitzustellen. Zudem rechnet Citrix mit ein, dass eine Benutzerinteraktion nötig ist, in diesem Fall das Klicken auf einen Link.

CVSS 4.0 kennt dafür die Schwachstellenvektoren-Bestandteile „AT:P“, ausgeschrieben als „Attack Requirements: Present“ (Attacken-Vorbedingungen: Vorhanden) sowie „UI:A“, „User Interaction: Active“ (Benutzerinteraktion: Aktiv). Die reduzieren das in CVSS 4.0 das rechnerische Risiko deutlich, in diesem Fall lässt sich jedoch insbesondere bei „AT:P“ darüber streiten, ob das in der Praxis zutrifft.

Das CERT-Bund nimmt seine Schweregrad-Einstufungen anhand von CVSS 3.1 vor. Darin gibt es diese Vektor-Bestandteile nicht. Damit kommt die BSI-Abteilung auf den Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:L/E:U/RL:O/RC:X – was in einem CVSS-Wert von 8.8 mündet, Risiko „hoch“, und nur knapp an der Einstufung als kritische Sicherheitslücke vorbeischrammt. Das bestätigte das CERT-Bund heise online auf Nachfrage.

Die praktische Einstufung dürfte irgendwo zwischen den CVSS-Werten liegen, Admins sollten daher auf jeden Fall zeitnah aktiv werden und die Updates installieren. Die Versionen Netscaler ADC und Gateway 14.1-56.73, 13.1-60.32, Netscaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.250 sowie Netscaler ADC 12.1-FIPS und 12.1-NDcPP 12.1-55.333 sowie jeweils neuere Fassungen stopfen das Sicherheitsleck. Netscaler ADC und Gateway 13.0 und 12.1 sind am Ende des Lebenszyklus angelangt und erhalten keine Updates mehr.

Ende August waren noch zahlreiche Netscaler-Instanzen anfällig für die Citrix Bleed 3 genannte Sicherheitslücke. Global waren dort 28.000 Server verwundbar.

(dmk)

Es ist eine beeindruckende Zahl. 130 „Datenträger“ hat das Ausländeramt der Stadt Köln seit Anfang des Jahres eingezogen, teilt ein Sprecher der Stadt mit. In der Regel handelt es sich um Mobiltelefone von ausreisepflichtigen Menschen. Das Amt darf sie durchsuchen, um nach Hinweisen auf die Identität zu suchen, wenn Menschen sich nicht anderweitig ausweisen können.

Die Besonderheit in Köln: Die Behörde nimmt den Menschen ihre Datenträger nicht nur ab. Sie behält sie auch ein – „bis zur Ausreise“. Die Rechtsgrundlage dafür hatte die Ampelregierung im vergangenen Jahr geschaffen, als sie das Aufenthaltsgesetz verschärfte.

Kölner Amt auf ambitioniertem Alleingang

Eine Anfrage von netzpolitik.org bei anderen Städten und dem zuständigen Fluchtministerium in Nordrhein-Westfalen zeigt: Das Ausländeramt befindet sich mit seiner Praxis auf einem zwar rechtlich gedeckten, aber auffälligen Alleingang. Die Ausländerbehörde in Düsseldorf etwa zieht gar keine Datenträger ein, schreibt eine Sprecherin.

In Dortmund durchsuche die Behörde zwar Datenträger, gebe sie aber unmittelbar nach dem Auslesen der Daten wieder zurück. Die jährlichen Zahlen lägen hier „im höheren einstelligen Bereich“.

In Essen hat die Ausländerbehörde im laufenden Jahr bislang nur einen Datenträger eingezogen. Auch hier teilt die Behörde mit: „Nach der Auswertung des Datenträgers erhalten die betroffenen Personen ihre Datenträger wieder zurück.“

Ohne Handy geht heute fast nichts mehr

Warum nimmt ausgerechnet das Ausländeramt in Köln so vielen Menschen ihre Handys ab? Zum Vergleich: In ganz Nordrhein-Westfalen hatten Ausländerbehörden von Jahresbeginn bis Ende Juni nur 344 Datenträger eingezogen.

Und warum behält das Amt in Köln die Datenträger laut der Einzugsbescheinigung „bis zur Ausreise“? Auch im bundesweiten Vergleich ist Köln mit dieser Praxis offenbar alleine. Das Aufenthaltsgesetz erlaubt diese Durchsuchungen bereits seit 2015, sie sind in fast allen Bundesländern inzwischen Standard. Anfragen von netzpolitik.org zeigen jedoch: Weder in München noch in Berlin, Bremen oder Stuttgart behalten die Behörden eingezogene Geräte nach der Auswertung weiter ein.

In der Praxis bedeutet „bis zur Ausreise“: auf unbestimmte Zeit. Denn wie lange ein Abschiebeverfahren dauert, kann sich stark unterscheiden, sagt etwa der Jurist Davy Wang von der Gesellschaft für Freiheitsrechte. „In bestimmten Fällen ist eine Abschiebung faktisch gar nicht möglich, etwa weil Herkunftsstaaten eine Rücknahme verweigern oder gesundheitliche Gründe eine Abschiebung verhindern.“ Die Wirkung des Paragrafen komme damit faktisch einer Enteignung gleich.

Die Betroffenen müssen unterdessen ohne ihr wichtigstes Kommunikationsmittel auskommen und verlieren die wichtigste Verbindung zu ihren Familien. Hinzu kommt: Ohne Handy geht heutzutage auch darüber hinaus fast nichts mehr – vom Online-Banking bis zum Fahrkartenkauf.

Aus technischer Sicht ist die Verschärfung im Aufenthaltsrecht zudem unnötig. Die Behörden fertigen beim Auslesen ohnehin eine digitale Kopie der Daten auf den Geräten an, selbst Daten aus der Cloud dürfen sie dabei mitspeichern. Danach ist es nicht mehr notwendig, das Gerät selbst weiter einzubehalten. „In dieser Reichweite wäre die Norm eine reine Repressionsmaßnahme“, sagt auch der auf Migrationsrecht spezialisierte Rechtsanwalt Matthias Lehnert.

Bis zur Ausreise verwahrt

„Ausländerbehörden entscheiden in eigener Zuständigkeit“

Im zuständigen Ministerium für Familie, Flucht und Integration in NRW, geführt von der Grünen Josefine Paul, will man von einer Weisung, die Datenträger einzubehalten, nichts wissen. „Die Ausländerbehörden entscheiden in eigener Zuständigkeit, ob sie von dieser Möglichkeit Gebrauch machen“, schreibt eine Sprecherin. Es sei also nicht so, dass Datenträger im Land grundsätzlich bis zur Ausreise einbehalten würden.

Dass Mobiltelefone durchsucht und ausgewertet werden, stehe zudem erst als „Ultima Ratio“ am Ende einer Reihe von anderen Maßnahmen, betont die Sprecherin. Es gelte der Grundsatz der Verhältnismäßigkeit. Das Aufenthaltsgesetz erlaubt die Durchsuchung nur, wenn andere „mildere Mittel“ ausgeschöpft sind.

Erst durch einen Hinweis aufgefallen

Das Ausländeramt Köln kümmert sich als zentrale Anlaufstelle um die Belange von Ausländer*innen in der Stadt. Seit 2022 leitet die Juristin Christina Boeck die Behörde.

Dass das Amt die Datenträger nicht nur einzieht, sondern auch einbehält, ist erst durch den Hinweis einer betroffenen Geflüchteten an die Linken-Abgeordnete Clara Bünger aufgefallen. Bünger, die auch im Innenausschuss des Bundestags sitzt, hat daraufhin die Bundesregierung gefragt, wie das Einziehen der Handys mit dem Recht auf Privatsphäre vereinbar sei. Die Antwort war knapp: Der Vollzug des Aufenthaltsrechts sei Ländersache.

Doch zumindest lenkte sie die Aufmerksamkeit auf die neue Gesetzeslage. Auf Nachfrage von netzpolitik.org bestätigte ein Sprecher der Stadt Köln Anfang September, dass das Ausländeramt seit Jahresbeginn 130 Datenträger auf Grundlage der neuen Regelung eingezogen habe. Das Gesetz ist schon seit Februar 2024 in Kraft, aus dem Jahr davor gebe es jedoch keine Zahlen.

„Sobald andere Maßnahmen zur Identitätsfeststellung ausgeschöpft oder nicht erfolgversprechend sind, wird der Person bei ihrer Vorsprache angeboten, den Datenträger freiwillig zur Durchsicht vorzulegen“, schreibt der Sprecher. „Ist die freiwillige Mitwirkung nicht zielführend oder wird sie abgelehnt, wird die Person zur Herausgabe des Datenträgers aufgefordert. Wenn sie dieser Verpflichtung nicht nachkommt und tatsächliche Anhaltspunkte für den Besitz vorliegen, können die Person, die von ihr mitgeführten Sachen und die Wohnung durchsucht werden.“

Die betroffene Frau aus Köln hat ihr Smartphone nach unserer Berichterstattung über den Fall doch noch zurück bekommen – entgegen dem, was auf der Einzugsbescheinigung stand. Sie lebt derzeit mit einer monatlichen Duldung in Köln. An der Gesetzeslage ändert das allerdings nichts. Laut Aufenthaltsgesetz können Ausländerbehörden weiterhin selbst entscheiden, ob sie die eingezogenen Geräte wieder aushändigen oder „bis zur Ausreise“ verwahren.