Um Diagnosen, Laborberichte oder Therapiepläne untereinander auszutauschen, nutzen Arztpraxen und Krankenhäuser standardmäßig ein spezielles Mail-System namens „Kommunikation im Medizinwesen“, kurz: KIM.
KIM verspricht, sensible Daten verschlüsselt zu übermitteln, damit Unbefugte sie nicht abfangen und einsehen können. Doch bei der Sicherheit hapert es gewaltig, wie der IT-Sicherheitsforscher Christoph Saatjohann heute auf dem 39. Chaos Communication Congress in Hamburg zeigte. Der NDR und die Süddeutsche Zeitung hatten zuvor über die Recherchen zum Thema berichtet.
Demnach weist das KIM-System seit Jahren gravierende Sicherheitslücken auf. Mit geringem Aufwand können Angreifer unter anderem gefälschte Mail-Adressen anlegen und damit vermeintlich seriös wirkende Nachrichten versenden. Auf diese Weise lassen sich Praxissysteme infiltrieren, um beispielsweise Patient:innendaten zu stehlen.
KIM wurde 2021 bundesweit eingeführt, etwa 100 Millionen Nachrichten werden jedes Jahr über das System verschickt. Neben der elektronischen Patientenakte (ePA) und dem E-Rezept gilt der Dienst als weitere wichtige Säule des digitalen Gesundheitswesens.
Um einen sicheren Nachrichtenversand zu gewährleisten, versieht KIM Nachrichten mit einer digitalen Signatur. Diese bestätigt dem Empfänger, dass die Nachricht tatsächlich über das System verschickt wurde. Allerdings besteht laut Saatjohann keine Sicherheit darüber, ob der Absender der ist, der er vorgibt zu sein.
Um eine KIM-Mail-Adresse bei einem KIM-Fachdienst wie T-Systems registrieren zu lassen, braucht es aktuell nur einen Ausweis für eine medizinische Einrichtung, eine sogenannte SMB-C-Karte. Auf eine solche Karte haben mehrere hunderttausend Menschen im Gesundheitswesen Zugriff. Und auch auf eBay würden diese Ausweise hin und wieder verkauft, sagt Saatjohann.
Liegt eine solche Karte vor, können Angreifer eine beliebige Mail-Adresse nach einem bestimmten Muster erstellen: namederpraxis.ort@anbieter.kim.telematik. Die gewünschten Adressen werden nicht auf Plausibilität geprüft. Das Ergebnis ist Saatjohann zufolge vergleichbar mit einem versiegelten Brief, bei dem der Absendername aber falsch sein kann. Angreifer könnten die gefälschte Absender-Adresse dazu nutzen, echt erscheinende Mails zu versenden, die Schadsoftware oder Phishing-Links enthalten.
Saatjohann sieht die Verantwortung für die Lücken vorrangig bei der Gematik. Die staatseigene GmbH ist für die Spezifikation und Prüfung des KIM-Systems verantwortlich. Und die hier vorgegebenen Sicherheitsstandards habe die Agentur offenkundig nicht ausreichend überprüft, so Saatjohann.
Am 15. September übermittelte der IT-Forscher der Agentur seine Funde. Knapp zwei Monate später veröffentlichte die Gematik einen sogenannten Hotfix, der viele der aufgezeigten Sicherheitslücken schließt. Nach eigenen Angaben arbeitet die Gematik daran, die weiteren Lücken ebenfalls zu schließen. Auch T-Systems habe Saatjohann über die Lücken informiert, das Unternehmen habe bis zum heutigen Tag aber nicht reagiert.
Es werde noch dauern, bis alle Praxen die Sicherheitsupdates eingespielt haben. Vor allem aber sei es weiterhin mit geringem Aufwand möglich, eine eigene Mail-Adresse für das KIM-System zu erhalten, ohne dass diese auf Plausibilität geprüft wird. Ein Angreifer kann sich also auch weiterhin als eine behandelnde Person seiner Wahl ausgeben. „Ich sehe keine Möglichkeit, das schnell zu verbessern“, sagt Saatjohann. „In der aktuellen Architektur ist das kaum lösbar und deshalb bleibt eine Restunsicherheit.“ Um diese zu beseitigen, müsse wohl das gesamte KIM-System überholt werden.
Auf dem diesjährigen 39C3 stellt sich damit einmal mehr die Frage, wie sicher unsere Patient:innendaten sind.
Schon im vergangenen Jahr stand die Gematik massiv in der Kritik. Im Dezember 2024 hatten die Sicherheitsexpert:innen Bianca Kastl und Martin Tschirsich Schwachstellen bei der elektronischen Patientenakte (ePA) vorgestellt.
Die Agentur versprach daraufhin, die Lücken zu schließen. Doch im Mai dieses Jahres konnten die beiden Fachleute in Zusammenarbeit mit Saatjohann erneut Zugriff auf die digitalen Patientenakten erlangen. Und bis heute sind nicht alle der damals aufgezeigten Sicherheitslücken bei der ePA geschlossen.
Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, sich in Zukunft nicht mehr allein auf klassische asymmetrische Verschlüsselung zu verlassen und quantensichere Verfahren zu nutzen. Entsprechende Handlungsempfehlungen enthält die jährliche Aktualisierung der technischen Richtlinie TR-02102. Entwickler und Anwender von Kryptosystemen müssen allerdings nicht alles stehen- und liegenlassen: Das BSI setzt einen Zeitrahmen bis 2031.
Weiterlesen nach der Anzeige
Nicht ob und wann Quantencomputer traditionelle Verschlüsselungsverfahren bedrohten, stehe zur Sicherheitsbetrachtung im Vordergrund, schreibt das BSI. Es gebe Standardverfahren, deshalb solle die Migration zu Post-Quanten-Kryptografie vorangetrieben werden. In seiner 2026er-Ausgabe der Technischen Richtlinie 02102-1, „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“, spiegelt sich diese Einschätzung nun erstmals wider. In TR02102-1 heißt es nun:
Der alleinige Einsatz von klassischen Schlüsseleinigungsverfahren wird nur noch bis Ende 2031 empfohlen, siehe auch Abschnitt 2.3. Für Anwendungen mit sehr hohem Schutzbedarf sollte die Umstellung bereits bis Ende 2030 erfolgen. Dies geht aus einer gemeinsamen Empfehlung des BSI und europäischen (sic) Partnerbehörden hervor.
Wohlgemerkt: Zunächst geht es um die Schlüsseleinigung, also die Aushandlung einer sicheren Verbindung. Die Zeitpläne für andere Verschlüsselungsfunktionen sehen anders aus – digitale Signaturen etwa sollten erst ab 2036 auf hybride Verfahren umgestellt sein. Die Empfehlung bezieht sich nur auf die Kombination von PQC- mit einem klassischen Verfahren. Der alleinige Einsatz von PQC anstelle von RSA & Co wird nicht erwähnt.
Die Technische Richtlinie 02102 hat zunächst lediglich Empfehlungscharakter, wird jedoch häufig von anderen Richtlinien herangezogen und entfaltet in deren Geltungsbereich auch quasi-normativen Charakter. Das BSI nennt hier die Verarbeitung von Verschlusssachen, aber auch die TR-03161 verpflichtet Anwendungen im Gesundheitswesen zur Beachtung von TR-02102.
BSI-Präsidentin Plattner sieht den Schritt als großen Wurf: „Mit der Abkündigung der klassischen Verschlüsselungsverfahren setzen wir neue Maßstäbe“. Die Migration auf PQC sei „alternativlos“, sagt die Amtsleiterin weiter. Doch prescht das Bundesamt nicht im Alleingang vor – die EU-Kommission hat einen unionsweiten Zeitplan für die Umstellung auf quantensichere Verschlüsselung.
Die TR-02102 besteht aus vier Teilen, die von grundlegenden Empfehlungen über Transport Layer Security (TLS), den Protokollen IPsec und IKEv2 bis hin zu einer Handreichung zum Einsatz von SSH reichen. Die Aktualisierung erstreckt sich auf alle Teilbereiche – so ergibt sich aus der Empfehlung hybrider Verfahren auch eine Abkündigung von TLS 1.2, das derlei nicht unterstützt.
Weiterlesen nach der Anzeige
Beim Übergang zu quantensicherer Verschlüsselung unterstützt das Unternehmen mit weiteren Leitfäden und Handlungsempfehlungen, die es auf einer Themenseite gesammelt bereitstellt.
(cku)
Microsoft hat zwei neue Sicherheitsinitiativen für Windows angekündigt. Konkret sollen „Windows Baseline Security Mode“ und „User Transparency and Consent“ das Betriebssystem künftig besser vor unerwünschten Änderungen durch Anwendungen – also Schadsoftware – schützen.
Weiterlesen nach der Anzeige
Die Neuerungen sind Teil der unternehmensweiten Secure Future Initiative (SFI) und der Windows Resiliency Initiative. Laut Microsoft sollen Anwendungen nicht mehr ohne Wissen der Nutzer deren Einstellungen überschreiben, zusätzliche Software installieren oder Kernfunktionen des Betriebssystems ändern.
Der Windows Baseline Security Mode aktiviert Runtime-Integritäts-Safeguards standardmäßig. Das System lässt dann nur noch signierte Anwendungen, Dienste und Treiber zu. Das soll vor Manipulationen oder unbefugten Änderungen schützen. Nutzer und IT-Administratoren können bei Bedarf Ausnahmen definieren. Entwickler sollen APIs erhalten, um den Status der Schutzfunktionen abzufragen und auf Exceptions zu prüfen.
Die zweite Initiative, User Transparency and Consent, führt Zustimmungsabfragen ein – ähnlich wie man sie von Smartphones kennt. Windows fragt künftig also nach, wenn Apps auf sensible Ressourcen wie das Dateisystem, die Kamera oder das Mikrofon zugreifen wollen. Auch die Installation unerwünschter Software soll nicht mehr ohne explizite Zustimmung möglich sein. Nutzer können ihre Entscheidungen jederzeit überprüfen und ändern.
Microsoft plant eine schrittweise Einführung der neuen Security-Maßnahmen – laut Ankündigung in Partnerschaft mit Entwicklern, Unternehmen und Partnern. Zunächst sollen Nutzer und IT-Abteilungen bessere Einblicke in App-Zugriffe erhalten. Parallel werden Tools und APIs für Entwickler bereitgestellt. Wie genau der Zeitplan aussieht, ist aktuell noch nicht bekannt.
Weiterlesen nach der Anzeige
(fo)
Bis zu ihrem 16. Geburtstag dürfen Kinder und Jugendliche in Australien keine Accounts auf Instagram, TikTok, YouTube oder Reddit haben. Seit dem 10. Dezember 2025 dürfen sie dort nichts liken, kommentieren oder gar selbst hochladen. Inhalte hinter einer Log-in-Schranke können sie sich nicht anschauen. Außer natürlich sie umgehen das Verbot mit simplen Werkzeugen wie VPN-Diensten.
Dieses australische Modell fordern inzwischen auch führende Politiker*innen in Deutschland und Europa. Zu den prominenteren Befürwortern gehört der französische Präsident Emmanuel Macron. Ende Januar hat ein französisches Gesetz die erste Hürde in der Nationalversammlung genommen, dem Unterhaus des Parlaments. Ähnliche Vorstöße gibt es auch in Spanien, Griechenland und Österreich.
In Deutschland hat die Bundesregierung zunächst eine Expert*innen-Kommission eingerichtet. Sie soll „Schritte für einen effektiven Kinder- und Jugendmedienschutz prüfen“. Dennoch ist die Debatte um ein Verbot bereits heißgelaufen. Sobald einzelne deutsche Politiker*innen das Social-Media-Verbot befürworten, machen Nachrichtenmedien daraus eine Schlagzeile.
Währenddessen setzt die EU-Kommission bereits bestehende Jugendschutz-Regeln weiter um. Jüngst hat sie deshalb ein Verfahren gegen TikTok gestartet. Im Visier: Das süchtig machende Design der Plattform, deren algorithmisch sortierte Feeds für ihre Sogwirkung bekannt sind. Grundlage ist das Gesetz über digitale Dienste (DSA), das darauf abzielt, Plattformen so zu gestalten, dass Kinder und Jugendliche dort sicherer unterwegs sind.
Ein aufmerksamer Beobachter der Politik rund um Jugendschutz im Netz ist der Medienrechtler Stephan Dreyer. Am Leibniz-Institut für Medienforschung beschäftigt er sich damit, was es heißt, mit digitalen Medien aufzuwachsen. Im Interview erklärt er, warum nationale Social-Media-Verbote in der EU auf tönernen Füßen stehen – und warum er ein Verbot für Minderjährige trotzdem kommen sieht.
netzpolitik.org: Stephan Dreyer, warum wollen alle Social Media für Minderjährige verbieten?
Stephan Dreyer: Das Thema kocht gerade global hoch. Zumindest medial wird kolportiert, dass wir eine mentale Krise der Jugend hätten. Demnach sind soziale Medien im schlimmsten Fall an dieser Krise schuld, im besten Fall sollen sie eine Mitschuld tragen. Als erstes ist Australien vorgeprescht. Seit dem 10. Dezember gibt es dort ein Social-Media-Verbot für unter 16-Jährige. Seitdem gibt es viele ähnliche Vorstöße, auch in Europa. Was mich daran überrascht, ist, wie entkoppelt der politische Diskurs von Rechtslage und Forschungslage stattfindet.
netzpolitik.org: Wie ist denn die Forschungslage?
Stephan Dreyer: Komplex. Es ist unglaublich schwer, Mediennutzung als kausale Ursache psychischer Erkrankungen nachzuweisen. Es verdichten sich allerdings Hinweise, dass bestimmte Nutzungsformen mit bestimmten Erkrankungen zusammenhängen. Zum Beispiel hängt negatives Körperbefinden stark zusammen mit dem sozialen Vergleich auf Social Media. Ein anderes Beispiel sind körperliche Beeinträchtigungen durch Schlafmangel, wenn Kinder und Jugendliche spät abends soziale Medien nutzen. Studien zeigen zwar die Zusammenhänge, aber wir wissen nicht, ob sie kausal sind. Andererseits hat der Staat auch eine Vorsorgeaufgabe, was das gute Aufwachsen von Kindern angeht.
netzpolitik.org: Ist das australische Modell eine gute Vorsorge?
Stephan Dreyer: Das wissen wir nicht. Es ist bisher nichts weiter passiert, als dass sich Plattform-Anbieter an das neue Gesetz gehalten und mehrere Millionen Accounts gelöscht und deaktiviert haben. Von einem Erfolg des Gesetzes lässt sich deshalb nicht sprechen. Denn es geht ja um die mentale Krise der Jugend. Bis wir hierzu Ergebnisse sehen, brauchen wir jede Menge gute Forschung und auch ein bisschen Zeit.
netzpolitik.org: EU-Staaten wie Frankreich, Österreich, Spanien und Griechenland wollen nicht warten. Sie wollen das australische Modell. Und zwar sofort. Geht das?
Stephan Dreyer: Es gibt drei Hürden. Die erste ist die Frage, ob Mitgliedstaaten überhaupt ein tatsächlich anwendbares Social-Media-Verbot für Minderjährige einführen können. Das hängt mit dem bestehenden Europarecht zusammen. Dafür muss man in den Digital Services Act (DSA) schauen, der als Verordnung unmittelbar in allen Mitgliedstaaten gilt. Er ist vollharmonisierend, das heißt, er soll den unmittelbaren und abschließenden Rechtsrahmen für Plattform-Governance in der ganzen EU darstellen. Mitgliedstaaten haben also keine Spielräume, nationale Vorschriften für Online-Plattformen zu erlassen, die die gleichen Ziele wie der DSA verfolgen.
netzpolitik.org: Bevor wir über die anderen beiden Hürden sprechen – habe ich das richtig verstanden, ein einzelner EU-Staat darf gar kein nationales Social-Media-Verbot einführen?
Stephan Dreyer: Doch. Das Gesetz darf beschlossen werden. Aber es ist nicht anwendbar.
netzpolitik.org: Man darf das Gesetz haben, aber nichts damit machen?!
Stephan Dreyer: Genau. Der DSA hat als vollharmonisierendes EU-Recht sogenannten Anwendungsvorrang. Die Frage ist aber, was geschieht, wenn ein nationaler Gesetzgeber dennoch behauptet, das eigene Gesetz sei anwendbar. Und wenn Behörden dennoch anfangen, das Gesetz zu vollziehen. Dann müssten sich die Betroffenen – zum Beispiel Online-Plattformen – erst einmal wehren, und sagen: Das Gesetz ist doch nicht anwendbar. Oder aber sie fügen sich.
Es wäre nicht das erste Mal, dass so etwas passiert. Auch das NetzDG in Deutschland war eklatant europarechtswidrig. Es wurde dennoch beschlossen, in Teilen umgesetzt und später durch einen neuen Gesetzsakt abgeschafft. Es hat den ganzen Lebenszyklus eines Gesetzes durchlaufen.
netzpolitik.org: Als Nicht-Jurist kann ich sagen, das ist verwirrend.
Stephan Dreyer: Es kann noch verwirrender werden. Denkbar sind Regulierungen, die Plattformen nicht direkt adressieren, aber dennoch praktisch dazu führen, dass Minderjährige bis zu einer Altersgrenze keine Social-Media-Accounts haben dürfen. Das schafft noch mehr Unklarheit, ob der Anwendungsvorrang des DSA eigentlich umgangen wird oder nicht. Ich weiß aber nicht, ob wir in diese Verästelungen hineingehen wollen.
netzpolitik.org: Lieber nicht. Ich bin noch am verarbeiten, dass sich Mitgliedstaaten sehenden Auges über EU-Recht hinwegsetzen könnten. Was ist das EU-Recht wert, wenn Staaten am Ende tun und lassen, was sie wollen?
Stephan Dreyer: Das ist, was mir Sorgen macht. Wenn Mitgliedstaaten sagen: Es gibt einen Rechtsrahmen, aber der ist uns egal, dann wirft das die Frage auf, ob man sich überhaupt noch an das Recht halten muss. Ich frage mich, welches Signal das senden soll.
netzpolitik.org: Wie lautet denn die zweite Hürde für nationale Social-Media-Verbote in der EU?
Stephan Dreyer: Die zweite große Hürde ist das Herkunftslandsprinzip. Selbst, wenn man um den Anwendungsvorrang herumkommt oder ihn ignoriert, muss sich ein Anbieter nur an die nationalen Vorgaben des EU-Landes halten, in dem er seine Niederlassung hat. Bei den meisten Social-Media-Anbietern ist das Irland. Das heißt, sie müssen sich an irisches Recht halten.
netzpolitik.org: Also solange Irland kein Social-Media-Verbot einführt, könnten Plattformen die Aufsichtsbehörden anderer Länder einfach abblitzen lassen. Verstanden. Und die dritte Hürde?
Stephan Dreyer: Das ist das Verhältnismäßigkeitsprinzip, dem jedes Gesetz genügen muss. Hier sind mehrere Fragen zu klären. Erfüllt das Gesetz einen legitimen Zweck? Klar ist Jugendschutz ein legitimer Zweck. Aber ist ein Social-Media-Verbot bis zu einer bestimmten Altersgrenze wirklich erforderlich, um diesen Zweck zu erreichen?
netzpolitik.org: … ist es das?
Stephan Dreyer: Hier ist die empirische Evidenz widersprüchlich. Einerseits gibt es die beschriebenen Zusammenhänge zwischen Social-Media-Nutzung und Beeinträchigungen der psychischen Gesundheit. Andererseits bringen soziale Medien für Minderjährige gewichtige Vorteile mit sich: Kommunikation, Information, Austausch mit Peer Groups.
Das wirft auch die Frage nach der Zumutbarkeit eines Social-Media-Verbot auf. Wir sprechen von schweren Eingriffen in die Teilhabe- und Kommunikationsrechte von Minderjährigen. Wenn es ein für den Zweck ebenso effizientes, milderes Mittel gibt, dann muss man das mildere Mittel wählen.
netzpolitik.org: Mildere Mittel hat die EU mit dem DSA geschaffen. Betroffene Anbieter müssen demnach prüfen, welche Risiken ihre Dienste für Minderjährige haben und diese Risiken mindern. Aber das scheint die Fürsprecher*innen des Social-Media-Verbots überhaupt nicht zu interessieren. Ist mit dem DSA etwas nicht in Ordnung?
Stephan Dreyer: Aus Governance-Sicht bietet der DSA einen schönen Rechtsrahmen. Minderjährige werden nicht ausgeschlossen, aber Plattformanbieter sind laut Artikel 28 DSA dazu verpflichtet, altersangemessene Angebote zu gestalten. Sie müssen Funktionen und Inhalte altersgerecht anbieten. Mit Blick auf die Grundrechte von Kindern und Jugendliche ist das genau, was wir wollen.
netzpolitik.org: Also kann der DSA alle Sorgen lösen?
Stephan Dreyer: Das wissen wir noch nicht. Der DSA greift erst seit Feburar 2024. Es hat nochmal ein halbes Jahr gedauert, bis die EU-Kommission handlungsfähig geworden ist. Erst seit September 2024 gibt es Verfahren gegen Plattformen. Aber was dabei genau passiert, wissen wir nicht. Die EU-Kommission liefert hier leider kaum Transparenz. Ich kann verstehen, wenn Menschen sagen: Sie sehen nicht, dass etwas passiert. Es ist noch viel Luft nach Oben bei der Umsetzung von Artikel 28.
Das heißt, man steht vor einer Weggabelung. Entweder man sagt, wir müssen den Vollzug des geltenden Rechts stärker machen. Hier gab es nun gerade letzten Freitag die Mitteilung der EU-Kommission, dass sie in Bezug auf TikTok Verstöße gegen den DSA festgestellt hat. Oder man sagt: Wir müssen jetzt verbieten.
netzpolitik.org: Wer den Weg des Social-Media-Verbots wählt, hat diese großen Hürden vor sich. Warum tun Verbots-Befürworter wie Emmanual Macron oder Spaniens Ministerpräsident Pedro Sánchez so, als würden diese Hürden nicht existieren?
Stephan Dreyer: Ich kenne die Beweggründe im Einzelnen nicht. Es kann sein, dass Regierungen mit ihren Forderungen Handlungsfähigkeit und Handlungswillen beweisen wollen. Sie könnten den Eindruck erwecken wollen, Probleme anzupacken. Die Vorstöße könnten auch Probebohrungen sein, um zu prüfen, wie die Außenwelt reagiert. Es ist aber auch möglich, dass die Mitgliedsaaten vorpreschen, um die EU-Kommission und den EU-Gesetzgeber unter Zugzwang zu setzen.
netzpolitik.org: Könnte denn die EU selbst ein Social-Media-Verbot für Minderjährige einführen?
Stephan Dreyer: Ja. Sie könnte mit einer neuen Verordnung ältere Vorgaben überschreiben. Das hätte auch Folgen für den DSA. Anbieter könnten ihre bisherigen Vorsorgemaßnahmen für unter 16-Jährige einstellen. Sie müssten sich um die Jüngeren keine Gedanken mehr machen – denn die dürften laut neuem Gesetz nicht mehr auf ihren Plattformen sein. Ein Social-Media-Verbot macht den Jugendschutz auf Plattformen schlechter.
netzpolitik.org: Will die EU das?
Stephan Dreyer: Spätestens seit November 2025 zeichnet sich ab, dass alle drei Akteure der EU zu einem Social-Media-Verobt für Minderjährige bereit wären. Wir sehen, dass es im Rat und im EU-Parlament mögliche Mehrheiten dafür gibt. Kommissionspräsidentin Ursula von der Leyen hat im Herbst gesagt, dass sie Alterskontrollen zumindest prüfen will .
netzpolitik.org: Wie wahrscheinlich ist ein Social-Media-Verbot für Minderjährige in der EU?
Stephan Dreyer: Ich bin der Meinung, dass wir nicht mehr über das Ob sprechen, sondern nur noch über das Wie.
netzpolitik.org: Gerade sind Kommission, Parlament und Rat in den finalen Verhandlungen zur CSA-VO, der „Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“, bekannt als Chatkontrolle. Darin vorgesehen sind – je nach Ausgestaltung – auch strenge und verpflichtende Alterskontrollen für App-Stores und „interpersonelle Kommunikationsdienste“. Also Plattformen mit Chatfunktion. Kurzum, es kann auf Alterskontrollen für die meisten sozialen Medien hinauslaufen. Wo rutschen wir da gerade hinein?
Stephan Dreyer: Die Alterskontrollen stehen seit 2022 im Entwurf der EU-Kommission, doch die politische Diskussion hat sich allein an der Chatkontrolle entzündet. Jetzt ist die Zeit knapp, um noch viel dagegen zu tun. Es ist möglich, dass die Verhandlungen schon im Herbst abgeschlossen sind. Es kann also gut sein, dass wir schon sehr bald ein Gesetz haben, das strenge Alterskontrollen für viele Anbieter in der EU vorschreibt.
netzpolitik.org: Dann würde nur noch eine feste Altersgrenze für soziale Medien fehlen, und das australische Modell wäre komplett. Welche Folgen hätten solche Alterskontrollen für Europa?
Stephan Dreyer: Ein Gesetz für umfassende Altersüberprüfungen wäre erst der Anfang der Probleme. So eine Vorschrift ist vergleichsweise schnell geschrieben. Dann kommt die Umsetzung. Australien hat einen mehr als 1.000-seitigen Bericht darüber vorgelegt, wie unterschiedlich intrusiv verschiedene Technologien zur Altersüberprüfung sind, welche auch negativen Effekte sie haben können, welche Akzeptanzprobleme in der Bevölkerung sie mit sich bringen.
netzpolitik.org: Was bedeutet das für uns?
Stephan Dreyer: Wenn die Altersüberprüfungen kommen, werden wir uns noch umschauen. Und das meine ich nicht als Drohung. Wir reden von einer Diskriminierungs-Technologie, denn sie soll Menschen nach ihrem Alter diskriminieren. Und immer, wenn man so etwas tut, gibt es einen Fallout, also Fehler in beide Richtungen.
Es wird Menschen geben, die zu jung sind, aber die Altersprüfungen umgehen, und Menschen, die alt genug sind, aber keine Möglichkeit haben, das dem System zu beweisen. Das ist eine Standardsituation der Technikfolgenabschätzung. Je flächendeckener eine Technologie eingeführt wird, desto größer der Fallout.
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Schnelles Boot statt Bus und Bahn: Was sich von London und New York lernen lässt
Huawei Mate 80 Pro Max: Tandem-OLED mit 8.000 cd/m² für das Flaggschiff-Smartphone
Fast 5 GB pro mm²: Sandisk und Kioxia kommen mit höchster Bitdichte zum ISSCC
Kommentar: Anthropic verschenkt MCP – mit fragwürdigen Hintertüren
Syncthing‑Fork unter fremder Kontrolle? Community schluckt das nicht
Die meistgehörten Gastfolgen 2025 im Feed & Fudder Podcast – Social Media, Recruiting und Karriere-Insights
Weiter billig Tanken und Heizen: Koalition will CO₂-Preis für 2027 nicht erhöhen
