Der Digital Services Act der EU (DSA) soll Nutzenden mehr Rechte gegenüber Online-Diensteanbietern geben und die Verbreitung illegaler Inhalte oder auch Dienstleistungen eindämmen. Besonders viele Pflichten gelten dabei seit zwei Jahren für sehr große Online-Plattformen und -Suchmaschinen. Dazu gehören Digitalriesen wie Google und Meta, aber auch Plattformen wie Booking.com und LinkedIn.

Eine Plattform sticht jedoch aus der Liste der benannten Dienste heraus: die Wikipedia. Die Wikimedia Foundation, die die bekannte Online-Enzyklopädie mit geschätzt 150 Millionen Nutzenden im Monat betreibt, ist im Gegensatz zu anderen Akteuren nicht-kommerziell. Nach über zwei Jahren der Umsetzung zieht die Organisation ein erstes Fazit.

Grundsätzlich sei Wikipedia schon vor der Regulierung durch die EU sehr transparent gewesen, sagt Phil Bradley-Schmieg, leitender Rechtsberater der Wikimedia-Stiftung, bei einer Veranstaltung in Brüssel. Daher hätten die Transparenzpflichten aus dem DSA keine allzu großen Veränderungen gebracht. Schon seit zehn Jahren veröffentlicht die Stiftung hinter der Online-Enzyklopädie beispielsweise halbjährlich Transparenzberichte. Neue DSA-Vorgaben betrafen jedoch Transparenz über Inhaltsmoderation. Die Stiftung hat zudem eine zusätzliche Kontaktmöglichkeit geschaffen und Forschende können neuerdings Zugang zu benötigten Daten beantragen – alles Anforderungen des DSA.

Die größte Neuerung ist jedoch die Bewertung von systemischen Risiken und die Bestimmung von Gegenmaßnahmen, die laut dem EU-Gesetz jährlich vorgenommen werden müssen. Die Stiftung ging dabei nach einem Trichter-System vor. „Wir haben mit den uns bekannten globalen Risiken angefangen“, erklärt Bradley-Schmieg. Grundlage waren unter anderem die etablierte Menschenrechtsfolgenabschätzung, Rückmeldungen von Ehrenamtlichen und der Digital Services Act selbst.

Im nächsten Schritt identifizierte die Stiftung, welche Risiken relevant für ihre Plattform und die EU sind – schließlich gilt der DSA nur hier. Mittlerweile bekommen sie auch Input aus der Forschung und der Zivilgesellschaft. In Gesprächsrunden mit anderen DSA-regulierten Plattformen hat sich die Wikimedia-Stiftung ebenfalls zu möglichen Risiken und ihrer Minderung ausgetauscht.

Desinformation als größtes Risiko

Anschließend beschrieb und analysierte Wikimedia die Risiken in einer Matrix. Besonders dringlich erschien der Stiftung, dass Desinformation zu Konflikten, zu Wahlen sowie zu geografischen und historischen Narrativen über die Wikipedia verbreitet werden könnte.

Solche Versuche kommen in der Wikipedia immer wieder vor. Alle können die Enzyklopädie editieren und so versuchten etwa in der Pandemie Corona-Leugner:innen, Einträge nach ihren Ansichten zu formen. Auch Artikel zur Zeit des Nationalsozialismus oder zu Politiker:innen sind regelmäßig Ziel von Rechtsextremen und anderen, die ihre Ideologie verbreiten wollen. Dagegen gibt es verschiedene Schutzmechanismen: von Tools, die verdächtige Bearbeitungen melden sollen, bis hin zu Beschränkungen, wer bestimmte Artikel editieren darf.

Auch die Belästigung von Wikipedia-Ehrenamtlichen wird als hohes Risiko eingestuft. Eine mittlere Dringlichkeit sieht Wikimedia bei den Risiken für gefährliche Inhalte, sogenannte Kinderpornografie, terroristische oder extremistische Inhalte. Die Verbreitung von Desinformation mittels generativer KI hatte zum Zeitpunkt der Einschätzung noch geringere Priorität. Jedoch scheint sich dies mit der zunehmenden Nutzung entsprechender Tools zu wandeln.

Gleichzeitig könne generative KI die Ehrenamtlichen dabei unterstützen, gegen gezielte Desinformation auf Wikipedia vorzugehen, meint Ricky Gaines, Leiter für Menschenrechtspolitik der Wikimedia-Stiftung. Er ergänzt, dass die Umsetzung von Änderungen bei Wikipedia etwas länger dauern kann als bei anderen Plattformen. Ihr Modell der gemeinsamen Verwaltung nehme mehr Zeit in Anspruch als klassische Top-Down-Strukturen. Nutzende diskutieren viele Regeln gemeinsam aus, Abstimmungen brauchen Zeit, damit sich alle beteiligen können. Auch sein Kollege Bradley-Schmieg merkt an, dass viele Gesetze nicht für Bottom-Up-Modelle gemacht seien.

Begrenzte Ressourcen

Ein besonders aufwendiger Teil der Regulierung ist der jährlich verpflichtende externe Audit zur Bewertung der Risiken und Gegenmaßnahmen. Bradley-Schmieg zufolge sei das sehr schwer und ressourcenintensiv gewesen. Das ist eins der zwei Probleme, die sich für die Stiftung mit dem DSA ergeben: Durch den neuen bürokratischen Aufwand fehlten die Ressourcen an anderer Stelle, etwa für die Verbesserung technischer Features oder die Unterstützung der Wikipedia-Communitys. Als gemeinnützige Organisation verfügten sie ohnehin nicht über große finanzielle Ressourcen.

Der zweite Aspekt betrifft die von der EU vorgegebenen Fristen, die sich nicht immer mit der internen Zeitplanung der Stiftung vereinbaren ließen. Die Fristen sind jedoch unflexibel. Trotzdem zieht Rebecca MacKinnon, Sonderberaterin im Bereich der Globalen Interessenvertretung der Wikimedia-Stiftung, ein positives Fazit: „Der Digital Services Act besteht den Wikipedia-Test. Er hat sie nicht gebrochen.“

In der vergangenen Woche hatten erste Windows-10-Rechner bei der Update-Suche angezeigt, dass in Kürze eine Registrierung für erweiterte Sicherheitsupdates verfügbar werden soll. Nun ist es offenbar so weit. Uns liegt ein Leserhinweis vor, dass dort nun ein Link auf die Registrierung erschienen ist.

Es handelt sich um Windows 10 in der Home-Edition, die Anmeldung erfolgte mit einem Admin-Konto. Damit setzt Microsoft das Versprechen um, erstmals auch Privatkunden-PCs mit erweiterten Sicherheitsupdates zu versorgen. Die „Extended Security Updates“ (ESU) sind im Europäischen Wirtschaftsraum (EWU) entgegen erster Ankündigungen jetzt sogar kostenlos – wenn auch eine Registrierung mit einem Microsoft-Konto nötig ist, was einer Zahlung mit Daten entspricht. Der offizielle Support für Windows 10 endet mit dem Patchday am 14. Oktober.

Vorbedingungen für erweiterten Windows-10-Support

Microsoft nennt weitere Voraussetzungen, die für das Angebot des (kostenlosen) erweiterten Supports erfüllt sein müssen: Windows 10 muss auf Stand 22H2 sein und eine Lizenz für Privatnutzer nutzen. Microsoft nennt Home, Professional, Pro Education oder Workstations Edition. Die aktuellen Windows-Updates müssen installiert und eine Nutzerin oder ein Nutzer mit Administratorrechten angemeldet sein. „Um sich zu registrieren, werden Sie aufgefordert, sich mit einem Microsoft-Konto anzumelden, wenn Sie sich normalerweise mit einem lokalen Konto bei Windows anmelden“, ergänzt das Unternehmen.

Um zu prüfen, ob bereits eine Registrierung für den erweiterten Support möglich ist, sollen Interessierte auf die Windows-Update-Suche gehen. Die findet sich in den „Einstellungen“ unter „Update & Sicherheit“ und dort dann unter „Windows Update“. „Wenn Ihr Gerät die Voraussetzungen erfüllt, wird ein Link zur Registrierung für ESU angezeigt“, verspricht Microsoft. Die Registrierung ermöglicht die Freischaltung auf insgesamt zehn Rechnern. Auf den anderen PCs müssen Betroffene ebenfalls auf die Update-Suche gehen und bei der angebotenen Registrierung lediglich das verwendete Microsoft-Konto angeben. Dann können sie die Option „Gerät hinzufügen“ auswählen.

(dmk)

Die Sicherheitssoftware IBM Security Verify Access und IBM Verify Identity Access zur Identitäts- und Zugangsverwaltung (IAM) ist für Angriffe anfällig. Vor drei Sicherheitslücken darin warnt IBM aktuell, von denen eine sogar als kritisches Risiko gilt.

IBM erörtert in der Sicherheitsmitteilung, dass lokale angemeldete Nutzerinnen und Nutzer ihre Rechte zu „root“ ausweiten können, da die Software mit höheren Rechten als nötig ausgeführt wird (CVE-2025-36356 / EUVD-2025-32573, CVSS 9.3, Risiko „kritisch„). Außerdem können angemeldete Nutzer bösartige Skripte von außerhalb ihres Kontrollbereichs ausführen (CVE-2025-36355 / EUVD-2025-32575, CVSS 8.5, Risiko „hoch„). Die dritte Schwachstelle ermöglicht nicht angemeldeten Nutzern, beliebige Befehle mit niedrigeren Nutzerrechten auszuführen, da die Software benutzerübergebene Daten nicht hinreichend prüft (CVE-2025-36354 / EUVD-2025-32574, CVSS 7.3, Risiko „hoch„).

Updates schließen die Schwachstellen

Die Schwachstellen bessert IBM mit den Versionen IBM Security Verify Access 10.0.9.0-IF3 und IBM Verify Identity Access 11.0.1.0-IF1 aus. Betroffen sind die Appliances sowie die Docker-Container der Sicherheitslösung. IT-Verantwortliche sollten die Updates auf diese Fassungen zeitnah anwenden. IBM rät dazu, das so schnell wie möglich zu erledigen.

Der Aufruf des Befehls docker pull icr.io/isva/verify-access:[tag] bringt IBM Security Verify Access auf den aktuellen Stand, für IBM Verify Identity Access erledigt das der Aufruf von docker pull icr.io/ivia/verify-access:[tag]. Die korrekten Tags dafür listet IBM auf einer eigenen Webseite auf.

Ende vergangenen Jahres hatte IBM vier Sicherheitslücken in Security Verify Access schließen müssen. Drei davon galten als kritisches Risiko. Zwei Lücken hatten hartkodierte Zugangsdaten zum Gegenstand – die ließen sich quasi als Backdoor zur unbefugten Anmeldung missbrauchen.

(dmk)