Die Bundesregierung will Online-Radikalisierung und gewalttätigen Extremismus stärker bekämpfen. Deutschland hat zusammen mit Frankreich und den Niederlanden ein Diskussionspapier mit möglichen Maßnahmen erstellt.

Die Verordnung gegen terroristische Online-Inhalte und das Gesetz über digitale Dienste regeln viele Inhalte bereits. Den Staaten reichen diese Gesetze nicht, denn sie helfen nur gegen terroristische Inhalte, die immer illegal sind. „Gewalttätige extremistische Inhalte“ sind jedoch nicht illegal. Deshalb fordern die Staaten weitere Maßnahmen gegen „schädliche, aber legale“ Inhalte.

Ausweitung auf Terror und Extremismus

Deutschland, Frankreich und die Niederlande fordern einen Verhaltenskodex mit „strengeren Maßnahmen“ für Online-Plattformen. Die Staaten wollen die Unternehmen beispielsweise „ermutigen“, Warnsignale über extremistische Inhalte „an die zuständigen nationalen Behörden weiterzuleiten“.

Die Regierungen „empfehlen“, ein bestehendes Projekt zum Informations-Austausch auszuweiten, „von seinem Schwerpunkt auf Material über sexuellen Kindesmissbrauch auf terroristische und gewalttätige extremistische Inhalte“.

Projekt Laterne gegen Kindesmissbrauch

Vor 20 Jahren haben sich einige Tech-Unternehmen in einer Koalition zusammen geschlossen, um „sexuelle Ausbeutung von Kindern im Internet zu bekämpfen“. Das Bündnis war ursprünglich Teil der Organisation „Nationales Zentrum für vermisste und ausgebeutete Kinder“. Heute hat die „Tech-Koalition“ dutzende Mitglieder, darunter Google, Meta und Microsoft in „führender Rolle“.

Ende 2023 hat die Koalition das Projekt „Laterne“ verkündet. Die beteiligten Unternehmen teilen über das Programm Informationen über Kindesmissbrauch. Sie wollen insbesondere Plattform-übergreifende Versuche vom Missbrauch und Grooming aufdecken.

Die ausgetauschten Informationen können auf Inhalten basieren, wie URLs oder Hashwerte von Fotos und Videos. Sie können aber auch auf Ereignissen basieren. Wenn Accounts Kinderporngrafie konsumieren oder verbreiten, teilen die Unternehmen E-Mail-Adressen oder andere Account-Informationen von Tätern und Opfern.

Zweckbindung gegen übermäßige Eingriffe

Das Bündnis Tech-Koalition und das Produkt Laterne haben Sorgfaltspflichten für Menschenrechte entwickelt. Der erste Punkt ist eine Zweckbindung: „Der Anwendungsbereich von Lantern beschränkt sich ausschließlich auf die Bekämpfung sexueller Ausbeutung und Missbrauch von Kindern im Internet, um Datenschutz zu gewährleisten und übermäßige Eingriffe zu minimieren“.

Dieses Grundprinzip will die Bundesregierung gemeinsam mit Frankreich und den Niederlanden kippen. Die Unternehmen sollen mit Laterne nicht nur Missbrauch bekämpfen, sondern auch Extremismus und legale Inhalte.

Beschränkung als Schutzmaßnahme

Auf Anfrage von netzpolitik.org zeigt sich die Tech-Koalition verwundert über den Vorschlag. Eine Sprecherin bestätigt, dass Lantern nicht für andere Inhalte bestimmt ist. „Lantern ist bewusst auf sexuelle Ausbeutung und Missbrauch von Kindern im Internet beschränkt. Das geht aus unserer Mission hervor und dient als Maßnahme zum Schutz von Privatsphäre und Datenschutz.“

Wir haben die Tech-Koalition auch gefragt, ob die Staaten ihren Vorschlag mit dem Bündnis diskutiert haben. Die Antwort: Nein, haben sie nicht.

Wir haben dem Bundesinnenministerium eine Reihe an Fragen gestellt. Eine Sprecherin „bittet um Verständnis, dass wir uns dazu nicht äußern“. Die Vorschläge sind schließlich ein sogenanntes „Non-Paper“ – und damit nicht offiziell zitierfähig.

Von Kinderschutz zu anderen Inhalten

Immer wieder werden staatliche Eingriffe zunächst mit Terrorismus oder Kindesmissbrauch begründet und nach der Einführung auf andere Inhalte ausgeweitet.

Das derzeit verhandelte EU-Gesetz zur Chatkontrolle begründet die Maßnahme mit sexuellem Missbrauch von Kindern. Europol und Abgeordnete fordern eine Ausweitung auf andere Inhalte wie Pornografie und Drogen.

Ein deutsches Gesetz begründete Netz-Sperren mit strafbarer Kinderpornografie. Bundeskriminalamt und Abgeordnete forderten eine Ausweitung auf Killerspiele und Glücksspiele. Heute sperren deutsche Provider Webseiten vor allem wegen Urheberrecht und Jugendschutz.

Die Bundesregierung begründet die Vorratsdatenspeicherung vor allem mit Kinderpornografie. Tatsächlich werden diese Daten schon heute vor allem wegen mutmaßlicher Urheberrechtsverletzungen abgefragt.

Die Tech-Unternehmen haben das Projekt Laterne explizit gegen Kindesmissbrauch gegründet und darauf beschränkt. Jetzt will die Bundesregierung dieses System auf Extremismus ausweiten – selbst wenn der legal ist.

Eine Sicherheitslücke in WinRAR ist seit August vergangenen Jahres bekannt, sie wurde dort auch rasch von Kriminellen attackiert. Obwohl ein Update zum Schließen der Schwachstelle bereitsteht, beobachtet Googles Threat Intelligence Group bis heute Angriffe darauf – von mehreren Tätergruppen.

„Von Regierungen unterstützte bösartige Akteure mit Verbindungen zu Russland und China sowie finanziell motivierte Gruppierungen nutzen diese n-Day-Sicherheitslücke weiterhin für unterschiedliche Operationen aus“, erklärt Google in einer aktuellen Analyse. „Die Missbrauchsmethode, eine Path-Traversal-Schwachstelle, die ermöglicht, Dateien in den Windows-Startordner abzulegen und dadurch Persistenz zu erreichen, unterstreicht eine Lücke in der grundlegenden Anwendungssicherheit und im Bewusstsein der Benutzer.“

Missbrauch von alter WinRAR-Lücke

Die in WinRAR 7.13 von Ende Juli 2025 geschlossene Sicherheitslücke (CVE-2025-8088, CVSS 8.4, Risiko „hoch“) nutzen die Angreifer oftmals mit manipulierten Archiven aus, die die schädliche Nutzlast in Alternative Data Streams (ADS) verstecken, wie Googles IT-Forscher erörtern. Opfer erhalten typischerweise eine PDF-Datei im Archiv angezeigt. Dabei sind bösartige ADS-Einträge enthalten, von denen einige Malware und andere einfach nur Dummy-Daten enthalten. Die Malware wird durch einen Path-Traversal in ein kritisches Verzeichnis geschrieben; oftmals zielen die Täter auf den Windows-Start-Ordner zum Einnisten ab. Die ADS-Funktion nutzen sie dabei zusammen mit der Path Traversal, als Beispiel nennt Google den zusammengestellten Namen aus „innocuous.pdf:malicious.lnk“ und dem Pfad „../../../../../Users//AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/malicious.lnk“. Beim Öffnen des Archivs extrahiert WinRAR den ADS-Inhalt in den angegebenen Pfad. Beim nächsten User-Log-in wird die Malware dann automatisch gestartet.

Gleich mehrere staatliche Akteure haben die Lücke für Spionagetätigkeiten missbraucht. Einige Gruppen ordnet Google dabei dem russischen Umfeld zu, die damit das ukrainische Militär und Regierungseinrichtungen angegriffen haben. Andere wie UNC4895, auch als RomCom bekannt, verfolgen demnach finanzielle und Spionage-Ziele, die ebenfalls auf ukrainische Militäreinheiten abzielten. APT44, Spitzname FrozenBarents, verortet Google in Russland; TEMP.Armageddon (Carpathian) hat es auf ukrainische Regierungseinrichtungen abgesehen. Turla (Summit) lockte die Opfer mit Themen rund um ukrainische Militäraktivitäten und Drohneneinsätze.

Aber auch eine China zugeordnete Gruppe hat Google beobachtet, die durch die Schwachstelle die PoisonIvy-Malware mittels .bat-Dateien verteilt hat, die ihrerseits einen Trojan-Dropper nachgeladen hat. Dem gesellen sich rein finanziell ausgerichtete Cybergangs hinzu. Eine zielte auf Einrichtungen in Indonesien. Eine weitere nahm die Reise- und Tourismusbranche, insbesondere in Lateinamerika, ins Visier. Auf Brasilianer hat es eine weitere Gruppierung abgesehen und bösartige Chrome-Erweiterungen ausgeliefert, die von zwei Banken Zugangsdaten erbeutet haben.

Auf den Zug sind auch Gruppen aufgesprungen, die auf Anfrage Exploits erstellen und verkaufen (Malware as a Service), etwa eine Bande namens „zeroplayer“. Die haben jedoch in der Regel gleich mehrere Exploits im Gepäck. Durch solche Angebote verlängert sich laut Google die Zeit mit aktiven Angriffen auf Schwachstellen.

Wer WinRAR einsetzt, sollte die Software auf den jüngsten Stand bringen. Google führt in der Analyse eine längere Liste an Hinweisen auf eine Infektion (Indicators of Compromise, IOCs) auf, anhand welcher Interessierte prüfen können, ob sie möglicherweise Opfer eines Angriffs geworden sind.

(dmk)

Die Forscherfabrik Schorndorf hat einen IT-Vorfall zu verzeichnen. Daten von mehr als 19.000 Kundinnen und Kunden können betroffen sein. Beim Ticketkauf wurden Nutzerinnen und Nutzer demnach zu einer externen Telegram-Gruppe weitergeleitet.

Das teilt die Stadt Schorndorf auf ihrer Webseite mit. Dort informiert sie über einen IT-Sicherheitsvorfall, der in Zusammenhang mit dem Online-Ticketverkaufssystem der Forscherfabrik steht. Demnach habe man am 9. Januar 2026 festgestellt, dass Ticketkäufer zu Telegram weitergeleitet wurden. Die Untersuchung ergab bislang, dass es sich um einen gezielten Cyberangriff handele, „bei dem eine technische Schwachstelle ausgenutzt wurde“ – welche, nennt die Stadt jedoch nicht.

„Betroffen ist ein extern betriebenes und gehostetes Buchungssystem der Gantner Electronic GmbH Deutschland. Ein tatsächlicher Abfluss personenbezogener Daten konnte bislang nicht bestätigt, aber auch nicht ausgeschlossen werden“, schreibt die Stadt Schorndorf. Sie konkretisiert zudem: „Möglicherweise betroffen sind E-Mail-Adressen, Passwörter sowie Kontakt- und Adressdaten von bis zu 19.238 Personen.“ Die Kundinnen und Kunden, die ein Passwort im Buchungssystem angelegt haben, sollten dieses überall ändern, wo sie es ebenfalls einsetzen, rät die Stadtverwaltung. Viel besser ist jedoch, keinesfalls Passwörter wiederzuverwenden.

Aufräummaßnahmen und Untersuchungen

Nachdem die Stadt Kenntnis von dem Vorfall erlangt hat, habe sie den Datenschutzbeauftragten der Stadtverwaltung informiert, außerdem sei eine Meldung an die zuständige Datenschutzbehörde erfolgt. Die betroffenen IT-Systeme habe der Betreiber gesperrt und mit zusätzlichen Sicherheitsmaßnahmen neu aufgesetzt. „Für technische Detailfragen zum Buchungssystem ist der Betreiber zuständig“, erklärt die Stadtverwaltung und beteuert dabei, die Aufarbeitung des Vorfalls eng zu begleiten und „für allgemeine und datenschutzrechtliche Fragen weiterhin als Ansprechpartner zur Verfügung“ zu stehen.

Der Vorfall erinnert an einen IT-Angriff auf das Miniatur Wunderland in Hamburg, der im vergangenen November bekannt wurde. Auch dort hatten Kriminelle Schadcode in das Online-Ticketbuchungssystem eingeschleust.

(dmk)