Seit dreieinhalb Jahren streiten die EU-Institutionen über eine verpflichtende Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, auf Anordnung die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Die EU-Staaten können sich im Rat bisher nicht auf eine gemeinsame Position einigen. Letzte Woche hat die dänische Ratspräsidentschaft einen neuen Kompromiss vorgeschlagen. Euractiv hat den Vorschlag veröffentlicht. Wir veröffentlichen das Dokument ohne Wasserzeichen.

Anderer Ansatz erforderlich

Dänemark erklärt darin den bisherigen Verlauf des Gesetzgebungsverfahrens. Die EU-Staaten haben ganze 37 Mal in der Ratsarbeitsgruppe Strafverfolgung und mehrmals auf Ebene der Ständigen Vertreter verhandelt.

Einigen konnten sie sich nicht. Manche Staaten wollen eine weitreichende verpflichtende Chatkontrolle. Andere Staaten haben „Bedenken hinsichtlich des Schutzes der Grundrechte der Nutzer und der Cybersicherheit“ und „Zweifel hinsichtlich der Verfügbarkeit zuverlässiger und genauer Technologien zur Erkennung“ strafbarer Inhalte.

Deshalb ist Dänemark „der Ansicht, dass ein anderer Ansatz erforderlich ist“.

Verpflichtende Chatkontrolle streichen

Dänemark schlägt vor, im Gesetzentwurf den ganzen Abschnitt zu „Aufdeckungspflichten“ zu streichen, also Artikel 7 bis 11. Das sind die „Aufdeckungsanordnungen“, also die Verpflichtung zur Chatkontrolle.

Die „vorübergehende Ausnahme“ der Vertraulichkeit der Kommunikation will Dänemark hingegen „dauerhaft machen“. Laut Datenschutzrichtlinie für elektronische Kommunikation dürfen Internetdienste die Inhalte ihrer Nutzer:innen nicht „mithören, abhören, speichern oder auf andere Arten abfangen oder überwachen“.

Die freiwillige Chatkontrolle war seit 2002 verboten, ist seit 2021 vorübergehend erlaubt, mit dem Gesetz soll sie dauerhaft erlaubt werden.

Risiko für Straftaten mindern

Internet-Dienste sollen das Risiko mindern, dass ihre Dienste für Straftaten genutzt werden. Dazu zählt unter anderem eine Altersüberprüfung. Jetzt soll auch die freiwillige Chatkontrolle als mögliche Minderungsmaßnahme gelten.

Dienste, die ein „hohes Risiko“ haben, für Straftaten genutzt zu werden, sollten „weiterhin verpflichtet werden, Maßnahmen zur Entwicklung relevanter Technologien zu ergreifen, um das Risiko des sexuellen Missbrauchs von Kindern, das auf ihren Diensten festgestellt wurde, zu mindern“.

Sprungbrett für weitere Arbeiten

Dänemark will die verpflichtende Chatkontrolle aber nicht vollständig aufgeben. Die Ratspräsidentschaft will eine „Überprüfungsklausel“ einführen. Die fordert die EU-Kommission auf, „die Notwendigkeit und Durchführbarkeit der künftigen Aufnahme von Aufdeckungspflichten unter Berücksichtigung der technologischen Entwicklungen zu bewerten“. Das kann „zu einem neuen Legislativvorschlag der Kommission führen“.

Die EU-Kommission hat die verpflichtende Chatkontrolle überhaupt erst vorgeschlagen und treibt sie unermüdlich voran. Dänemark schlägt also vor, dass die Kommission die freiwillige Chatkontrolle bewerten soll. Wenn es ihr nicht reicht, soll sie nochmal ein EU-Gesetz mit verpflichtender Chatkontrolle vorschlagen.

Die Ratspräsidentschaft bezeichnet den Kompromissvorschlag „als Sprungbrett für weitere Arbeiten zum Schutz von Kindern im Internet“.

Zustimmung nicht absehbar

Ob die EU-Staaten diesen Kompromiss mitgehen, ist bisher nicht absehbar. Im ersten Halbjahr hat die polnische Ratspräsidentschaft einen sehr ähnlichen Vorschlag gemacht. Dieser Vorschlag fand nicht genug Zustimmung, die Mehrheit der EU-Staaten beharrte auf verpflichtender Chatkontrolle.

Morgen tagen die Ständigen Vertreter der EU-Staaten erneut und diskutieren den Vorschlag.

IBMs Datenintegrationsplattform InfoSphere Information Server ist verwundbar. Mit einem jüngst veröffentlichten Sicherheitsupdate haben die Entwickler eine Schwachstelle geschlossen.

DoS-Lücke

Den IBM-Entwicklern zufolge findet sich die Sicherheitslücke (CVE-2025-58754 „hoch„) im HTTP-Client Axios, den InfoSphere Information Server nutzt. Setzen Angreifer erfolgreich an der Lücke an, kommt es zu DoS-Zuständen, was in Abstürzen resultiert.

Bislang gibt es keine Berichte zu Attacken. Das kann sich aber schnell ändern. IBMs Entwickler geben an, das Sicherheitsproblem in den folgenden Ausgaben gelöst zu haben:

• IBM InfoSphere Information Server version 11.7.1.0
• IBM InfoSphere Information Server version 11.7.1.6
• IBM Information Server 11.7.1.6 Service pack 1
• IBM Information Server Microservices tier rollup patch 1 for 11.7.1.6 Service pack 1 installations

Kürzlich hat IBM im Monitoringtool Tivoli Monitoring zwei Sicherheitslücken geschlossen.

(des)

Die Entwickler der In-Memory-Datenbank Redis haben eine Sicherheitslücke darin geschlossen. Sie ermöglicht Angreifern, beliebigen Schadcode auszuführen.

Im Github-Repository von Redis findet sich ein Schwachstelleneintrag, der die Sicherheitslücke erörtert. Demnach können Nutzerinnen und Nutzer den Befehl XACKDEL mit mehreren IDs aufrufen und dadurch einen Stack-basierten Pufferüberlauf auslösen. Das wiederum kann zur Ausführung von zuvor eingeschleustem Code führen (CVE-2025-62507, CVSS zwischen 7.7 und 9.8, Risiko „hoch“ bis „kritisch„). Das Problem liegt darin, dass der Redis-Code den Fall nicht abfängt, wenn die Anzahl an IDs über die STREAMID_STATIC_VECTOR_LEN hinausgeht. Dadurch überspringt er eine Reallokation, die schließlich in den Stack-basierten Pufferüberlauf mündet.

Redis-Lücke: Unklare Risikoeinstufung

Die Redis-Entwickler rechnen einen CVSS4-Wert von 7.7 aus, was einem hohen Risiko entspricht. Die SUSE-Maintainer kommen hingegen auf CVSS4 9.3 respektive CVSS3.1 9.8, beides der Risikostufe „kritisch“ entsprechend.

Das Problem tritt ab Redis 8.2 auf. Die Version 8.2.3 und neuere enthalten den Fehler hingegen nicht mehr. Admins, die Redis einsetzen, sollten auf diese oder neuere Fassungen der Datenbank aktualisieren. Wer das Update noch nicht durchführen kann, sollte temporäre Gegenmaßnahmen einleiten. Die Redis-Programmierer erklären, dass Nutzerinnen und Nutzer von der Ausführung des anfälligen Befehls XACKDEL ausgeschlossen werden können. Dazu lässt sich der Zugriff auf den Befehl mittels ACL (Access Control List) beschränken.

Vor rund vier Wochen haben die Programmierer bereits eine als kritisches Risiko eingestufte Sicherheitslücke in Redis geschlossen. Mit sorgsam präparierten LUA-Skripten war es möglich, eine Use-after-free-Situation zu provozieren und dabei eingeschleusten Programmcode auszuführen. Das hat die Vorversion 8.2.2 von Redis korrigiert.

(dmk)