Connect with us

Datenschutz & Sicherheit

EU-Staaten einigen sich auf freiwillige Chatkontrolle


Die EU-Staaten haben sich auf eine gemeinsame Position zur Chatkontrolle geeinigt. Wir veröffentlichen den Gesetzentwurf.

Letzte Woche hat die Rats-Arbeitsgruppe das Gesetz besprochen. Wir veröffentlichen ein weiteres Mal das eingestufte Protokoll der Sitzung.

Morgen wollen die Ständigen Vertreter die Position offiziell beschließen.

Drei Jahre Streit

Seit dreieinhalb Jahren streiten die EU-Institutionen über die Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, die Inhalte ihrer Nutzer anlasslos auf Hinweise zu Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken.

Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Eine Mehrheit der EU-Staaten will eine verpflichtende Chatkontrolle. Eine Sperrminorität lehnt das jedoch ab. Jetzt hat sich der Rat auf einen Kompromiss geeinigt. Internet-Dienste werden nicht zur Chatkontrolle verpflichtet, dürfen aber eine freiwillige Chatkontrolle durchführen.

Absolute rote Linien

Die dänische Ratspräsidentschaft will den Gesetzentwurf „schnellstmöglich“ durch den Rat bringen, „damit die Trilogverhandlungen zeitnah begonnen werden können“. Das Feedback der Staaten soll sich auf „absolute rote Linien“ beschränken.

Die Mehrheit der Staaten „unterstützten den Kompromissvorschlag“. Mindestens 15 sprachen sich dafür aus, darunter Deutschland und Frankreich.

Deutschland „begrüßte sowohl die Streichung der verpflichtenden Maßnahmen als auch die dauerhafte Verankerung freiwilliger Maßnahmen“.

Italien sieht auch die freiwillige Chatkontrolle skeptisch. „Man befürchte, das Instrument könne auch auf andere Delikte ausgeweitet werden, daher habe man Schwierigkeiten, den Vorschlag zu unterstützen.“ Politiker haben bereits gefordert, die Chatkontrolle auf andere Inhalte auszuweiten.

Absoluter Minimalkonsens

Andere Staaten bezeichneten den Kompromiss „als absoluten Minimalkonsens“. Sie haben sich „eigentlich mehr gewünscht – insbesondere im Sinne von Verpflichtungen“. Einige Staaten „zeigten sich deutlich enttäuscht über die vorgenommenen Streichungen“.

Vor allem Spanien „sah verpflichtende Maßnahmen weiterhin als erforderlich an, leider sei eine umfassende Einigung dazu nicht möglich gewesen“. Auch Ungarn „sah Freiwilligkeit als alleiniges Konzept als zu wenig an“.

Spanien, Ungarn und Bulgarien schlugen „eine Verpflichtung für die Anbieter vor, zumindest in offenen Bereichen aufdecken zu müssen“. Die dänische Ratspräsidentschaft „bezeichnete den Vorschlag als ehrgeizig, griff ihn aber nicht auf, um weitere Diskussionen zu vermeiden“.

Dänemark wies explizit auf die Überprüfungsklausel hin. Damit „halte man sich die Möglichkeit von Aufdeckungsanordnungen zu einem späteren Zeitpunkt offen“. Ungarn betonte, „dass diese Möglichkeit auch genutzt werden müsse“.

Keine Verpflichtung

Die dänische Ratspräsidentschaft hatte öffentlich verkündet, dass die Chatkontrolle nicht verpflichtend sein soll, sondern freiwillig.

Der ausformulierte Kompromissvorschlag war jedoch widersprüchlich. Den Artikel zur verpflichtenden Chatkontrolle hatte sie gestrichen. Ein anderer Artikel sagte jedoch, dass Dienste auch freiwillige Maßnahmen durchführen sollen.

Mehrere Staaten haben gefragt, ob diese Formulierungen „zu einer faktischen Verpflichtung führen könnten“. Die Juristischen Dienste stimmten zu: „Die Formulierung sei in beide Richtungen auslegbar“. Die Ratspräsidentschaft „stellte klar, dass es im Text lediglich eine Verpflichtung zur Risikominderung gäbe, nicht aber eine Verpflichtung zur Aufdeckung“.

Am Tag nach der Sitzung verschickte die Ratspräsidentschaft den wahrscheinlich endgültigen Gesetzentwurf des Rats. Darin steht explizit: „Keine Bestimmung dieser Verordnung ist so auszulegen, dass sie den Anbietern Aufdeckungspflichten auferlegt.“

Schaden und Missbrauch

Die verpflichtende Chatkontrolle ist nicht das einzige Problem im geplanten Gesetz. Auch die freiwillige Chatkontrolle ist eigentlich verboten. Die EU-Kommission kann ihre Verhältnismäßigkeit nicht belegen. Viele lehnen die freiwillige Chatkontrolle ab, darunter die EU-Kommission, der Europäische Datenschutzbeauftragte und die deutsche Datenschutzbeauftragte.

Eine Reihe an Wissenschaftlern kritisiert den Kompromissvorschlag. Die freiwillige Chatkontrolle bezeichnen sie als nicht angemessen. „Ihr Nutzen ist nicht nachgewiesen, während das Potenzial für Schaden und Missbrauch enorm ist.“

Das Gesetz fordert auch verpflichtende Altersprüfungen. Die Wissenschaftler kritisieren, dass Altersprüfungen „ein inhärentes und unverhältnismäßiges Risiko schwerwiegender Datenschutzverletzungen und Diskriminierung mit sich bringen, ohne dass ihre Wirksamkeit garantiert ist“. Auch die Bundesdatenschutzbeauftragte befürchtet eine „weitgehende Abschaffung der Anonymität im Netz“.

Jetzt folgt Trilog

Die EU-Staaten werden diese Punkte nicht weiter diskutieren. Die dänische Ratspräsidentschaft „bekräftigte, am Kompromissvorschlag ohne die spanischen Vorschläge festzuhalten“.

Morgen tagen die Ständigen Vertreter der EU-Staaten. Im Dezember tagen die Justiz- und Innenminister. Diese beiden Gremien sollen den Gesetzentwurf als offizielle Position des Rats beschließen.

Danach folgt der Trilog. Dort verhandeln Kommission, Parlament und Rat, um aus ihren drei eigenen Gesetzentwürfen einen Kompromiss zu erzielen.

Hier ist das Dokument in Volltext:

  • Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
  • Datum: 13. November 2025
  • An: Auswärtiges Amt
  • Kopie: BKAmt, BMI, BMJV, BMF, BMWE, BMBFSFJ
  • Betreff: Sitzung der RAG Strafverfolgung am 12. November 2025
  • Zweck: Zur Unterrichtung
  • Geschäftszeichen: 350.80

Sitzung der RAG Strafverfolgung am 12. November 2025

I. Zusammenfassung und Wertung

Schwerpunkt der Sitzung bildete TOP 3 – Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse (11596/25). Grundlage der Aussprache bildete der mit Dok. 14092/25 am 6. November von der DNK Präsidentschaft übermittelte Kompromisstext.

Die Mehrzahl der wortnehmenden MS brachten ihre Unterstützung für den jüngsten Kompromissvorschlag zum Ausdruck.

Nachdem Vorsitz eine ausreichende Mehrheit für den Kompromisstext festgestellt hatte, kündigt er Vorlage im AStV am 19. November (I-Punkt) sowie im JI-Rat im Dezember an.

II. Im Einzelnen

TOP 1: Adoption of the agenda

Annahme ohne Änderungen.

TOP 2: Information by the Presidency

Präs. verwies auf die nächsten Sitzungen der Temporary Core Group zu den Polizei-Netzwerken (als VSK) am 25.11. und der RAGS-P am 03.12.2025. Schriftliche Bemerkungen zu dem Papier der Präs. zu den Polizei-Netzwerken vom 06.11. würden bis 13.11.2025 erbeten.

TOP 3: Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse (14092/25)

Vorsitz eröffnete die Sitzung zunächst mit einer Zusammenfassung der am Text vorgenommenen inhaltlichen Änderungen, verwies auf den äußerst knappen Zeitplan aufgrund des Auslaufens der Interims-VO und kündigte eine schnellstmögliche Behandlung im AStV und Dezember-JI-Rat an, damit die Trilogverhandlungen zeitnah begonnen werden können. MS seien ausdrücklich gebeten, sich auf eine kurze Bewertung des Kompromisstextes und absolute rote Linien zu beschränken.

Zahlreiche wortnehmende MS (DEU, FRA, AUT, LUX, SVN, LVA, LTU, SVK, MLT, ROU, IRL, CYP, wohl auch POL, FIN, EST) unterstützten den Kompromissvorschlag, wenngleich der Regelungsumfang teilweise als absoluter Minimalkonsens betrachtet wurde (ESP, LTU, BGR) und man sich eigentlich mehr – insbesondere im Sinne von Verpflichtungen – gewünscht habe.

DEU trug weisungsgemäß vor und begrüßte sowohl die Streichung der verpflichtenden Maßnahmen als auch die dauerhafte Verankerung freiwilliger Maßnahmen sowie die Beibehaltung des EU-Zentrums und bekräftigte dessen Bedeutung.

ESP sah verpflichtende Maßnahmen weiterhin als erforderlich an, leider sei eine umfassende Einigung dazu nicht möglich gewesen. Daher schlage man – unterstützt von BGR und HUN – eine Verpflichtung für die Anbieter vor, zumindest in offenen Bereichen aufdecken zu müssen. Es sei zahlreiches CSAM offen abrufbar. Um zumindest dessen Verbreitung zu verhindern, müsse eine Verpflichtung der Anbieter möglich. Zudem solle in Artikel 43 eine Funktion des EU-Zentrums verankert werden, die es dem EU-Zentrum ermögliche, die Anbieter zur Ordnung zu rufen, wenn diese ihren Verpflichtungen nicht nachkommen.

Vorsitz bezeichnete den Vorschlag ESPs als ehrgeizig, griff ihn aber nicht auf, um weitere Diskussionen zu vermeiden. Mittels Überprüfungsklausel halte man sich die Möglichkeit von Aufdeckungsanordnungen zu einem späteren Zeitpunkt offen.

POL unterstützte grundsätzlich die Richtung des Textes, legte aber weiterhin einen Prüfvorbehalt ein und kündigte an, die endgültige Positionierung nachzuliefern.

Auch HUN sah Freiwilligkeit als alleiniges Konzept als zu wenig an und legte PV ein. Zudem bitte man den JD-Rat um Einschätzung, ob nach dem jüngsten Textvorschlag innerhalb E2EE Kommunikation aufgedeckt werden könne (ähnlich HRV). Ein Ausschluss freiwilliger Maßnahmen in E2EE sei eine rote Linie. Generell dürfe es keinen Rückschritt hinter den status quo geben.

Vorsitz entgegnete daraufhin, Rechtsgrundlage sei weiterhin die DSGVO. Der aktuelle Textvorschlag sei keine Verschlechterung, sondern eine Verbesserung, da er gewährleiste, dass die Anbieter das, was sie bisher erfolgreich täten, auch weiterhin tun könnten und zudem die Zusammenarbeit auf EU-Ebene gefördert werde.

FIN verwies auf die Notwendigkeit der Befassung des eigenen Parlaments (auch SWE), sah den Vorschlag aber grundsätzlich positiv. CZE legte ebenfalls PV mit Hinweis auf die laufende Regierungsbildung ein.

ITA legte Prüfvorbehalt ein und verwies auf seine Ausführungen im AStV am 05.11.. Zu überlegen sei, ob im Rahmen ausschließlich freiwilliger Aufdeckungen das Recht auf Privatsphäre der Nutzer ausreichend gewahrt werden könne. Man befürchte, das Instrument könne auch auf andere Delikte ausgeweitet werden, daher habe man Schwierigkeiten, den Vorschlag zu unterstützen.

Vorsitz verwies diesbezüglich auf die soliden Rechtssysteme mit entsprechenden Garantien in den MS, die die Basis des Vorschlages bilden.

FRA erinnerte eindringlich, dass man schnell vorankommen und eine Lösung finden müsse.

SVN, LTU, SVK, NLD und LVA sahen die Verhinderung einer Regelungslücke als oberste Priorität und begrüßten die Streichung der verpflichtenden Aufdeckungsanordnungen. Das EU-Zentrum werde unterstützt.

NLD bat zudem JD-Rat um Einschätzung, ob die Formulierungen in Artikel 4 und 5 ggf. zu einer faktischen Verpflichtung führen könnten.

Vorsitz stellte klar, dass es im Text lediglich eine Verpflichtung zur Risikominderung gäbe, nicht aber eine Verpflichtung zur Aufdeckung.

ROU, SWE und HRV zeigten sich deutlich enttäuscht über die vorgenommenen Streichungen, erklärten sich aber aufgrund der eingefügten Überprüfungsklausel dennoch mit dem Vorschlag einverstanden. HRV ergänzte, dass diese Möglichkeit auch genutzt werden müsse. SWE sah die Überprüfungsklausel jedoch als zu komplex an.

IRL unterstrich, der Ergänzung in Art. 14a und 18aa betreffend die Notwendigkeit einer richterlichen Bestätigung innerhalb 72 Stunden nicht zustimmen zu können, da dies im common law System nicht möglich sei (ebenso MLT).

HUN bemängelte, die Frage nach E2EE sei nicht angemessen beantwortet worden. Probleme diesbezüglich habe es bislang nur im Rahmen privater Kommunikation gegeben, der ESP Vorschlag beziehe sich aber ausschließlich auf open spaces.

Vorsitz stellte klar, dass man nicht vorhabe, diese Punkte erneut zu diskutieren. Es solle weiterhin möglich bleiben, was auch jetzt möglich sei und bat JD-Rat um Beantwortung zu Art. 1 Abs 5.

JD-Rat führte zu Art. 1 Abs. 5 aus, dass er keine Änderung der Interims-VO sähe. Die Ausnahmen dürften angewendet werden, wenn eine Rechtsgrundlage dafür gegeben ist. Den Providern werde nicht verboten, Maßnahmen innerhalb E2EE Inhalten zu ergreifen. Art. 1 Abs 5 ändere nichts an der jetzigen Rechtslage. Die Frage von NLD zu einer faktischen Verpflichtung sei schwierig zu beantworten. Es sei zwar nicht verpflichtend, eine bestimmte Maßnahme zu ergreifen, aber die Formulierung sei in beide Richtungen auslegbar.

KOM betonte den Mehrwert und die Relevanz des EU-Zentrums und stimmte ESP zu, in Bezug auf Aufdeckungsanordnungen in öffentlich zugänglichen Bereichen. Auch öffentlich sei viel CSAM verfügbar, daher sei der Vorschlag gut und wichtig und es sei nur schwer vorstellbar, dass eine aktive Suche nach CSAM durch das EU-Zentrum auf Widerstand stoßen könnte.

Vorsitz bedankte sich für die breite Unterstützung und bekräftigte, am Kompromissvorschlag ohne die ESP Vorschläge festzuhalten. Man werde jedoch versuchen, vor Übersendung an den AStV eine textliche Lösung – z.B. einen Verweis auf nationales Recht – zu den von MLT und IRL vorgetragenen Bedenken zu finden.

[…]



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Cyberangriff auf „Fänshop“ von Baden-Württemberg, viele weitere Shops gefährdet


Der Online-Shop des baden-württembergischen Staatsministeriums hat mit einem Cyberangriff zu kämpfen. Nach Angaben des Landes nutzten Angreifer im Zeitraum vom 27. bis 29. Dezember 2025 eine bislang unbekannte Sicherheitslücke im Shop-System von „THE LÄND“ aus. Der „Fänshop“ der Seite ist inzwischen offline. Das Staatsministerium hat nach eigenen Angaben unmittelbar reagiert, den Online-Shop abgeschaltet und Strafanzeige gestellt.

Weiterlesen nach der Anzeige

Wie ein Sprecher des Staatsministeriums auf Anfrage mitteilt, könnten die Angreifer „Zugriff auf Kundendaten wie Namen und E-Mail-Adressen erlangt haben“. Der Shop sei nicht nur kompromittiert, sondern aktiv manipuliert worden: „Zudem wurde eine manipulierte Bezahlseite eingerichtet, über die versucht wurde, Kreditkartendaten von Kundinnen und Kunden abzugreifen und Zahlungen einzuziehen.“

Nach bisherigem Kenntnisstand geht das Land von „einer niedrigen zweistelligen Zahl von geschädigten Personen“ aus. Eine abschließende Analyse laufe noch. Zwar seien im regulären Betrieb „grundsätzlich die Zahlungsmethoden Vorkasse (Überweisung) und PayPal“ vorgesehen, doch hätten die Angreifer auch bei eigentlich kostenlosen Artikeln wie den bekannten „Nett hier“-Aufklebern versucht, Kreditkartenzahlungen auszulösen. „Die tatsächlich abgebuchten Beträge lagen dabei deutlich über den im Bestellprozess ausgewiesenen Summen“, heißt es weiter.

Sicherheitslücke ermöglichte Zugang

Bei dem Shopsystem handelt es sich aller Wahrscheinlichkeit nach um eines von Gambio. Der Anbieter hatte am 30.12.2025 in einem Foreneintrag ein „neues Security Update Paket veröffentlicht, dessen Installation wir allen Shopbetreibern dringend empfehlen“. Die Lücke, die 25.000 Shops betreffen dürfte, wird als „kritisch“ eingestuft.

Kundinnen und Kunden wurden informiert, wie auch einem Beitrag auf Reddit zu entnehmen ist. Betroffene sollen ihre Konto- und Kreditkartenabrechnungen sorgfältig prüfen und bei Auffälligkeiten umgehend reagieren. Hinweise zum Vorfall nimmt das Land per Mail an shop@thelaend.de entgegen. Die Ermittlungen und die forensische Aufarbeitung des Vorfalls dauern an.

Weiterlesen nach der Anzeige


(mack)



Source link

Weiterlesen

Datenschutz & Sicherheit

200 Gigabyte an Daten zum Verkauf angeboten: Cybersicherheitsvorfall bei der ESA


Die Europäische Weltraumagentur ESA hat einen „Cybersicherheitsvorfall“ eingestanden, aber versichert, dass er lediglich Server „außerhalb des hauseigenen Netzwerks“ betroffen habe. So steht es in einem Beitrag auf dem Kurznachrichtendienst X, der noch vor dem Jahreswechsel veröffentlicht wurde. Das erfolgte als Reaktion auf die Behauptung eines Unbekannten, für eine Woche Zugriff auf Systeme der ESA gehabt zu haben, wie Bleeping Computer berichtet hatte. Demnach hat die Person schon vorige Woche erklärt, mehr als 200 Gigabyte an Daten abgegriffen zu haben und diese zum Verkauf angeboten. Dazu hat sich die ESA nicht geäußert.

Weiterlesen nach der Anzeige

Nicht geheime Dokumente, aber auch Zugangsdaten

Laut der Stellungnahme der ESA hat die inzwischen durchgeführte Analyse ergeben, dass „nur eine sehr kleine Zahl von Servern“ betroffen war. Darauf hätten „nicht geheime“ Dokumente für die Zusammenarbeit mit der Wissenschaft gelegen. Alle relevanten Organisationen seien informiert worden, weitere Informationen würden folgen, „sobald diese verfügbar sind“. Laut Bleeping Computer behauptet der angeblich Verantwortliche, unter anderem Quellcode, API- sowie Zugangstoken, Konfigurations- und SQL-Dateien sowie weitere Zugangsdaten erbeutet zu haben. Abgegriffen wurden diese demnach auf Jira- und Bitbucket-Servern.

Auch wenn die ESA nahelegt, dass die Cyberattacke nicht besonders schwerwiegend war, so ist der Vorfall doch mindestens unangenehm. Erst im Frühjahr hat die Weltraumagentur ein IT-Sicherheitszentrum eröffnet, das von zwei Standorten aus die „digitalen Vermögenswerte“ der ESA überwachen und schützen soll. Dabei geht es um „Satelliten im Weltraum bis hin zum weltweiten Netz Bodenstationen und Missionskontrollsystemen auf der Erde“, wie es damals hieß. Das Cyber Security Operations Centre (C-SOC) sollte auch als Antwort auf die stetig steigende Bedrohungslage verstanden werden.


(mho)



Source link

Weiterlesen

Datenschutz & Sicherheit

39C3: Rollstuhl-Security – Wenn ein QR-Code alle Schutzmechanismen aushebelt


Die IT-Sicherheitsforscherin und Rollstuhlnutzerin Elfy beschäftigte sich aus persönlicher Betroffenheit intensiv mit dem e-motion M25 von Alber. Was sie dabei antrieb, war nicht zuletzt die Preispolitik des Herstellers: Für Funktionen wie das Umschalten des Fahrmodus (99 Euro), ein höheres Geschwindigkeitslimit (99 Euro) oder die Fernbedienung per App (99 Euro) werden saftige Aufpreise fällig; eine spezielle Bluetooth-Fernbedienung kostet sogar bis zu 595 Euro. Elfy wollte wissen, ob diese Komfortfunktionen technisch wirklich abgesichert sind – oder ob der Zugang in Wahrheit viel einfacher ist.

Weiterlesen nach der Anzeige

Komfortfunktionen hinter Bezahlschranken

In ihrem Vortrag auf dem 39. Chaos Communication Congress (39C3) erklärte Elfy, dass sämtliche Komfort- und Premiumfunktionen des M25 – wie etwa höhere Geschwindigkeit, der Wechsel zwischen Fahrmodi oder die App-basierte Fernsteuerung – ausschließlich per Software und kostenpflichtige Freischaltungen aktiviert werden. Elfy betonte, dass die Hardware ihrer Ansicht nach durchweg identisch sei und sich die Unterschiede nur durch die Software-Freischaltung ergäben. Zur Hardware sagte sie wörtlich: „Die Hardware ist eigentlich wirklich gut, sie tut, was sie soll, und funktioniert wirklich bequem und praktisch.“

Der Hersteller betone in offiziellen Dokumenten und gegenüber Behörden wie der der Food and Drug Administration (FDA) in den USA, dass sämtliche Bluetooth-Kommunikation „verschlüsselt“ und damit sicher sei. In einem Schreiben an die FDA heißt es: „All wireless communications is encrypted.“ (Alle kabellosen Kommunikationen sind verschlüsselt.) Für Nutzer bedeute dies jedoch in erster Linie eine Preisschranke, keine tatsächliche Sicherheit, so Elfy.

QR-Code als Generalschlüssel

Kern der Sicherheitsarchitektur beim e-motion M25 ist ein 22-stelliger QR-Code („Cyber Security Key“), der gut sichtbar auf jeder Radnabe angebracht ist. Die offizielle App scannt diesen Code bei der Ersteinrichtung und leitet daraus deterministisch den AES-128-Schlüssel für die Bluetooth-Kommunikation ab. Elfy erklärte dazu: „Der AES-Key für jedes Rad ist ein QR-Code, der auf der Radnabe aufgeklebt ist.“ Und weiter: „Mit diesem Key kann man komplett den Rollstuhl übernehmen.“

Es gebe keine zusätzliche Absicherung, etwa durch Salt, Hardwarebindung oder ein weiteres Geheimnis im Gerät. Jeder mit einer Kamera könne theoretisch den QR-Code abfotografieren und das Rad steuern. Elfy ergänzte: „Und das nennen die dann Cyber Security Key.“ Die genaue Methode der Schlüsselableitung und die technischen Details sind im zugehörigen GitHub-Repository dokumentiert.

Verschlüsselung: AES als Feigenblatt

Weiterlesen nach der Anzeige

Technisch kommt laut Hersteller und Analyse von Elfy eine standardisierte AES-128-Verschlüsselung im CBC-Modus zum Einsatz. Elfy sagte dazu: „Das Schöne daran ist, dass die Kryptografie eigentlich in Ordnung ist. Es ist AES-128-CBC.“ Doch entscheidend sei: Es gibt keine Integritäts- oder Authentizitätsprüfung der Nachrichten. „Sie benutzen einfach den Standardkram, PKCS7-Padding, und das war’s“, so Elfy. Weder ein Message Authentication Code (MAC) noch ein Authenticated Encryption-Modus (AEAD) werde verwendet.

Das mache das System nicht nur anfällig für Replay- und Manipulationsangriffe, sondern ermögliche auch das gezielte Bit-Flipping in verschlüsselten Nachrichten. Auch Initialisierungsvektoren würden nicht für jede Nachricht neu generiert. Elfy sagte: „An mehreren Stellen hatte ich das Gefühl, sie kennen die Grundlagen, aber haben dann aufgehört, über Probleme nachzudenken.“ Die Implementierung der Verschlüsselung ist offen einsehbar.

Protokoll und Reverse Engineering

Das proprietäre Protokoll zwischen App, Fernbedienung und Antrieb sei laut Elfy überraschend einfach aufgebaut. Im Vortrag sagte sie: „In der Theorie ist das wirklich keine komplizierte Sache. Es gab ein paar lustige Designentscheidungen, aber es ist grundlegendes Zeug. Es ist nicht kompliziert.“ Nachrichten enthalten Service-IDs, Parameter und Nutzdaten. Die gesamte Struktur hat Elfy auf GitHub dokumentiert.

Für die Analyse habe Elfy die Android-App dekompiliert, Firmware und Traffic mitgeschnitten und daraus ein Python-Toolkit erstellt. Elfy berichtete: „Ich habe die Fernbedienung ersetzt, das sind mehrere hundert Zeilen Python-Code, die mit meinem Rollstuhlantrieb sprechen. Ich konnte die Parkfunktion ersetzen. Ich konnte einige Wartungsfunktionen ersetzen. Ich habe den Dealer Mode ersetzt, und dieser Selbstfahr-Modus kann auch komplett gemacht werden.“

Elfy wies darauf hin, dass sich die teuren Fernbedienungen in der Hardware kaum von günstigeren Varianten unterscheiden: „Die Hardware dieser Fernbedienung ist nahezu identisch. Die teurere Variante ist ein Boolean-Flag in der Konfigurations-Software des Herstellers. Und sie vermarkten das als zwei verschiedene Produkte.“

Lesen Sie auch

Software-Paywalls und Händlerfunktionen

Die Premiumfeatures würden rein softwareseitig durch die App freigeschaltet. Elfy sagte dazu: „Die Bezahlung schaltet nur die grafischen Benutzeroberflächen in der App frei. Am Antrieb selbst ändert sich nichts. Es werden nur bestimmte Teile der Anwendung sichtbar, die ohne Bezahlung nicht sichtbar sind.“

Auch Händler- und Wartungsfunktionen seien nicht durch Hardware geschützt. Elfy erklärte: „Man muss das Passwort kennen. Es war nicht besonders gut versteckt. Das Passwort war in einigen PDFs im Internet. Aber ich habe das Passwort im Klartext aus der Android-App bekommen.“

Universelle Schwachstelle mit weitreichenden Folgen

Elfy wies darauf hin, dass diese Schwachstelle alle M25-Systeme betreffe: „Ich habe auf diesem Kongress schon zwei oder drei andere außer meinem gesehen. Also scannt bitte nicht die QR-Codes anderer Leute. Denn ihr könntet Schaden anrichten.“

Die Verschlüsselung werde so zur reinen Formsache, während die Zugangskontrolle auf einem offen einsehbaren Sticker beruht. Elfy betonte, dass AES-128 nur so lange sicher sei, wie der Schlüssel geheim bleibe – im Falle des M25 sei der Schlüssel aber ganz offen als QR-Code auf dem Rad sichtbar.

Kritischer Blick auf Medizintechnik

Elfys Vortrag machte deutlich, dass starke Algorithmen allein keine Sicherheit garantieren. Ohne durchdachtes Schlüsselmanagement und robuste Protokolle bleibe die Kontrolle über das eigene Gerät letztlich beim Hersteller – es sei denn, Nutzer greifen selbst zu Werkzeugen wie Elfys offenen Python-Toolkit. Die vollständige Analyse, Skripte und Dokumentation finden sich ebenfalls im GitHub-Repository.


(vza)



Source link

Weiterlesen

Beliebt