Unbekannte Täter sind in die IT-Systeme des Spielestudios Cloud Imperium Games (CIG) eingedrungen und haben auf Kundendaten zugegriffen. Das hat das Unternehmen bestätigt, sieht aber keine Gefahr für Kunden. CIG stellt populäre Spiele wie „Star Citizen“ her.

Auf der Webseite der Spieleentwicklerfirma Roberts Space Industries hat das Unternehmen das Datenleck nun eingeräumt. Demnach wurde CIG am 21. Januar 2026 Ziel eines systematischen und raffinierten Angriffs. Der mündete in unbefugten Zugriff der Cyberkriminellen auf einige Backup-Systeme. Das umfasste auch begrenzten Zugriff auf persönliche Nutzerdaten. Betroffen seien lediglich einfache Kontoinformationen wie Metadaten, Kontaktdetails, Nutzernamen, Geburtsdaten und der Name von Usern.

Die Angreifer hätten jedoch keinen Zugriff auf Finanz- oder Bezahlinformationen oder Passwörter gehabt, diese seien nicht auf den betroffenen Systemen gespeichert gewesen. Da nur lesender Zugriff möglich war, konnten die Täter auch keine Daten einschleusen oder manipulieren.

Gegenmaßnahmen ergriffen

CIG hat dem eigenen Bekunden nach schnell reagiert und die Aktivitäten eingeschränkt sowie weiteren Zugriff auf diese Daten und CIG-Systeme blockiert. Die Sicherheitseinstellungen will das Unternehmen „aufgefrischt“ haben, um sicherzustellen, dass keine Bedrohung für die Spiele oder die Nutzer besteht.

Derzeit überwacht das Unternehmen die Situation und die Systeme, um sicherzustellen, dass keine weiteren Vorfälle auftreten. Außerdem will CIG überprüfen, ob möglicherweise entwendete Informationen veröffentlicht werden. Derzeit gebe es dafür keine Hinweise. „Wir teilen diese Information im Sinne der Transparenz mit. Wir gehen jedoch nicht davon aus, dass dieser Vorfall Auswirkungen auf unsere Nutzer haben wird“, erklärt CIG schließlich.

Im Nutzerforum auf Roberts Space Industries kritisieren potenziell betroffene Nutzer, die Erklärung sei nicht konkret genug und die Informationslage zu dünn. Es bleibe etwa unklar, wie lange die Angreifer auf die Informationen zugreifen konnten. Auch beklagen sie fehlende Informationen zu möglicherweise kopierten Metadaten oder Kontaktdetails.

Cyberangriffe sind inzwischen an der Tagesordnung. Etwa bei brillen.de kam es in der vergangenen Woche erneut zu einem Cyberangriff, bei dem Daten von 1,5 Millionen Kunden im Darknet gelandet sind.

(dmk)

Der Skandal um Elon Musks Chatbot Grok im Januar hat gezeigt, wie groß das Problem von sexualisierten Deepfakes ist. Mit nur einem Klick erstellten Nutzer:innen hunderttausendfach unfreiwillige Nacktbilder von Frauen und Minderjährigen, die oft täuschend echt wirken. Fachleute bezeichnen das als digitale Gewalt.

Jetzt nutzen Abgeordnete im Europäischen Parlament den Moment, um eine rechtliche Lösung zu finden. Denn sie verhandeln aktuell den KI-Omnibus, ein Gesetz, das die KI-Verordnung der EU verändert. Das Parlament und die Mitgliedstaaten diskutieren dabei den Vorschlag der Kommission, können aber auch eigene neue Punkte einbringen.

KI-Systeme zur Erstellung von Nacktbildern seien in der aktuellen Liste der verbotenen Praktiken der KI-Verordnung nicht ausdrücklich aufgeführt – das sollte sich ändern, findet der Berichterstatter für den KI-Omnibus, Michael McNamara (Renew). Der liberale Abgeordnete äußerte den Vorschlag schon im Januar gegenüber Politico.

„Fahrlässig“ es nicht zu versuchen

Von Seiten des Parlaments als Gesetzgeber wäre es nach Ansicht von McNamara „fahrlässig“, nicht wenigstens die Möglichkeit zu prüfen, diese Deepfakes zu verbieten.

Gemeinsam mit anderen Abgeordneten seiner Fraktion setzt er sich für ein Verbot der erstellenden KI-Systeme ein, wie in den öffentlich einsehbaren Änderungsanträgen zum KI-Omnibus deutlich wird. Dort heißt es: Der wirksame Schutz von Frauen und Minderjährigen, die unverhältnismäßig stark betroffen seien, erfordere ein ausdrückliches Verbot solcher KI-Systeme.

„Der Grok-Skandal zeigt, wie leicht generative KI dazu missbraucht werden kann, um nicht einvernehmliche intime Bilder und sogar kindesmissbräuchliche Darstellungen zu erstellen“, sagt auch Brando Benifei (S&D), der als Schattenberichterstatter den KI-Omnibus verhandelt.

Die KI-Verordnung enthält zwar eine Pflicht zur Kennzeichnung von Deepfakes, die eigentlich ab August dieses Jahres gelten sollte, die Kommission will sie um sechs Monate verschieben. „Aber Transparenz verhindert nicht den Schaden“, meint Benifei.

Zwei mögliche Wege

Gemeinsam mit seinen Fraktionskolleg:innen schlägt er in den Änderungsanträgen zwei Optionen vor: Entweder könnten die Deepfakes im Artikel 5 der KI-Verordnung zu verbotenen KI-Anwendungen aufgenommen werden oder im Artikel 50, welcher die Transparenzpflichten für Anbieter beschreibt.

Bei der zweiten Option müssten Anbieter generativer KI-Systeme Schutzmaßnahmen implementieren, um die Erstellung sexualisierter Deepfakes („nicht einvernehmliche Nacktheit oder sexuell eindeutiges Verhalten“) ohne Zustimmung der Betroffenen zu verhindern.

Wichtig ist dem Italiener dabei, die erneute Öffnung des Gesetzes „so begrenzt wie möglich“ zu halten. Benifei war bei den Verhandlungen zur KI-Verordnung 2023 federführend gewesen.

Abgeordnete von Renew, der Linken und den Grünen befürworten ebenfalls, die Deepfakes in die Liste verbotener Praktiken aufzunehmen. Die Formulierungen variieren leicht je nach Fraktion. Der größte Unterschied ist der Aspekt der Zustimmung: Renew, S&D und die Linken wollen die Erstellung von Deepfakes ohne Zustimmung der Betroffenen verbieten.

Grüne wollen grundsätzliches Verbot

Die Grünen, die schon seit Januar ein Verbot von KI-gestützten „Entkleidungs-Apps“ fordern, wollen hingegen einen Schritt weiter gehen und die Erstellung von sexualisierten Deepfakes grundsätzlich verbieten. Damit wollen sie rechtliche Klarheit schaffen. Denn wie sollte ein Tool wissen, ob die Zustimmung einer betroffenen Person vorliegt?

Alle Vorschläge haben gemeinsam, dass sie die Unternehmen statt die Nutzer:innen in die Pflicht nehmen wollen.

In der konservativen EVP ist man noch etwas zurückhaltend. Axel Voss ist ebenfalls Schattenberichterstatter für den KI-Omnibus. Er erklärt gegenüber netzpolitik.org: „Für uns ist klar: moralisch und ethisch sind solche Anwendungen höchst problematisch, insbesondere wenn Persönlichkeitsrechte verletzt werden.“

Ein Verbot könne richtig sein, entscheidend sei jedoch, ob es rechtlich wirksam, klar abgrenzbar und in allen Ländern der Europäischen Union einheitlich durchsetzbar ist. „Wenn ein Verbot ein effektives und rechtssicheres Mittel zur Unterbindung solcher Praktiken darstellt, unterstützen wir das“, meint Voss.

Darüber hinaus spricht sich die EVP-Abgeordnete Regina Doherty in den Änderungsanträgen dafür aus, die Nutzung von KI-Systemen zur Erstellung von kindesmissbräuchlichem Material zu verbieten.

Auch EU-Länder diskutieren Deepfakes

Im Parlament starten nun die Verhandlungen zwischen den verantwortlichen Abgeordneten. Wenn alles gut läuft, sollen die beiden verantwortlichen Ausschüsse für Verbraucher und für Justiz voraussichtlich am 18. März über einen Kompromisstext abstimmen. Parallel dazu arbeiten die Mitgliedstaaten an ihrer Position.

Wie Mlex berichtet, kommt das Thema in den bisherigen zwei Kompromisstexten der Ratspräsidentschaft zum KI-Omnibus nicht vor. Bei den Treffen der Arbeitsgruppe der Mitgliedstaaten sei es aber schon diskutiert worden. Spanien will ein Verbot erreichen, wie auch schon national, und wird laut Mlex von mehreren Mitgliedstaaten unterstützt, darunter Frankreich, Irland und Slowenien.

Bislang ist es in der EU strafbar, nicht-einvernehmliche, sexuelle Deepfakes zu verbreiten, nicht aber, sie zu erstellen. So sieht es die neue Richtlinie zur Bekämpfung von Gewalt gegen Frauen vor. Die Mitgliedstaaten haben noch bis Juni 2027 Zeit, sie national umzusetzen.

Die Digitalkommissarin Henna Virkkunen wies auf Nachfrage eines Journalisten vor einem Monat ebenfalls auf diese Richtlinie und die derzeitigen Diskussionen in den anderen EU-Institutionen hin. Außerdem sagte sie: „Wir prüfen derzeit, ob unsere Gesetzgebung klar genug ist oder wir etwas hinzufügen müssen.“

Aufgrund von laufenden Attacken sollten Besitzer von Android-Smartphones die verfügbaren Sicherheitsupdates installieren. Diese Patches gibt es aber nur für Geräte, die sich noch im Support befinden.

Jetzt patchen!

Wie aus einer Warnmeldung hervorgeht, haben Googles Androidentwickler insgesamt knapp 140 Schwachstellen geschlossen. In dem Beitrag warnen die Entwickler auch vor laufenden Attacken auf eine Schwachstelle in einer Grafik-/Display-Komponente von Qualcomm. Die Lücke (CVE-2026-21385) ist mit dem Bedrohungsgrad „hoch“ eingestuft.

Was Angreifer nach einer erfolgreichen Attacke konkret anstellen können, ist bislang unklar. Unbekannt ist derzeit auch, in welchem Ausmaß die Angriffe ablaufen. Google schreibt von Attacken in „begrenztem Umfang“.

Weitere Gefahren

Die verbleibenden Sicherheitslücken betreffen das Framework, Kernel-Komponenten, das System und verschiedene Komponenten von Arm, Imagination, Qualcomm, MediaTek und Unisoc. Über „kritische“ Schwachstellen im Framework (Android 16-qpr2: CVE-2026-0047) und im System (Android 16: CVE-2026-0006, Android 14, 15, 16, 16-qpr2 CVE-2025-48631) können sich Angreifer höhere Rechte verschaffen oder Schadcode ausführen. Auch DoS-Attacken sind möglich.

Durch das erfolgreiche Ausnutzen der verbleibenden Lücken, die mit dem Bedrohungsgrad „hoch“ eingestuft sind, können sich Angreifer primär höhere Nutzerrechte aneignen. Es können aber auch Informationen geleakt werden.

Google versichert, die Schwachstellen mit den Patch Levels 2026-03-01 und 2026-03-05 geschlossen zu haben. In diesem Monat gibt es so viele Sicherheitsupdates, weil Google seit Juli 2025 monatlich nur noch nach ihrer Einschätzung nach besonders gefährliche Lücken schließt. Verbleibende Updates werden seitdem quartalsweise veröffentlicht.

(des)