Das politische Tauziehen in Brüssel über die freiwillige Chatkontrolle hat ein vorläufiges Ende mit weitreichenden Konsequenzen gefunden: Seit diesem Wochenende fehlt für das anlasslose Scannen privater Kommunikation in der EU die rechtliche Grundlage. Eine entsprechende Übergangsregelung, die es Anbietern wie Meta, Google oder Microsoft erlaubte, Messenger-Dienste und E-Mails proaktiv nach Darstellungen sexualisierter Gewalt gegen Kinder (CSAM) zu durchsuchen, ist ausgelaufen. Die EU-Kommission und Sicherheitsbehörden beklagen nun eine Schutzlücke. Bürgerrechtler wittern dagegen die Chance, den Kinderschutz auf ein rechtsstaatlich solides Fundament zu stellen.

Die Reaktionen auf das Auslaufen der Verordnung fallen heftig aus. EU-Innenkommissar Magnus Brunner nannte die im Parlament gescheiterte Verlängerung „schwer nachvollziehbar“. Kinderschutzorganisationen wie die Internet Watch Foundation sprachen von einem „eklatanten politischen Versagen“. Ohne die Ausnahmeverordnung verstoßen automatisierte Scans privater Nachrichten nach Ansicht von Experten gegen die geltende E-Privacy-Richtlinie. Ein Kommissionssprecher konstatierte: „Ohne Rechtsgrundlage ist es Unternehmen nicht mehr gestattet, sexuellen Kindesmissbrauch in der privaten Kommunikation proaktiv aufzuspüren.“

Doch die großen Tech-Konzerne denken nicht an einen sofortigen Stopp ihrer Überwachungsmaßnahmen. Google, Meta, Microsoft und die Snapchat-Mutter Snap kündigten am Samstag in einer gemeinsamen Erklärung an, dass sie „weiterhin freiwillige Maßnahmen ergreifen werden“, um entsprechendes Material auf ihren Plattformen zu identifizieren. Sie warnen: Generell bestehe mit der Gesetzesänderung „die Gefahr, dass Kinder weltweit weniger vor den abscheulichsten Schäden geschützt sind“.

Das Quartett fordert die EU-Institutionen zugleich auf, „dringend Verhandlungen über einen Regulierungsrahmen abzuschließen“. Ein Brancheninsider verwies gegenüber Politico darauf, dass die Rechtslage zwar „trüb“ geworden sei. Das mache das Scannen aber nicht zwingend ungesetzlich. Diese Einschätzung steht im direkten Widerspruch zur Ansicht nicht nur der Kommission. Vor dem Greifen der Ausnahmebestimmung hatte die Meta-Tochter Facebook das Rastern der Kommunikation Ende 2020 ausgesetzt.

„Scheinsicherheit statt echter Hilfe“

Widerstand gegen die Fortführung der seit Jahren umkämpften Praxis kommt etwa von der Piratenpartei und deren Ex-EU-Abgeordneten Patrick Breyer. Sie argumentieren, dass das bisherige System vor allem „Scheinsicherheit“ produziert habe. Laut Zahlen des Bundeskriminalamts (BKA) seien fast die Hälfte der durch US-Konzerne ausgelösten Verdachtsmeldungen strafrechtlich irrelevant. Zudem handele es sich bei 99 Prozent der Meldungen von Meta um bereits bekanntes Material, dessen Detektion keinen laufenden Missbrauch stoppe. So würden die Behörden nur mit Dubletten überlastet.

„Das Aus der anlasslosen Chatkontrolle ist kein Rückschlag, sondern eine Chance für echten Kinderschutz“, unterstrich Breyer. Er vergleicht die Massenüberwachung mit dem Versuch, den Boden aufzuwischen, während der Wasserhahn weiterläuft. Stattdessen müsse das Augenmerk auf die Quelle des Übels gerichtet werden.

5-Punkte-Plan für digitalen Kinderschutz

Zusammen mit der Piraten-Vorsitzenden Lilia Kayra Kuyumcu hat Breyer einen Aktionsplan vorgelegt, der den Fokus hin zu einem gezielten Vorgehen verschieben soll. Ein Punkt ist das Prinzip „Löschen statt Wegsehen“. Frei werdende Kapazitäten beim BKA, die bisher durch die Flut irrelevanter Meldungen gebunden waren, sollen genutzt werden, um Missbrauchsdarstellungen in Darknet-Foren aktiv aufzuspüren und entfernen zu lassen. Bislang lassen Strafverfolger solche Funde oft im Netz stehen.

Weitere Kernpunkte: Apps sollen so vorkonfiguriert sein, dass Fremdkontakte und die Freigabe persönlicher Daten standardmäßig erschwert werden (Safety by Design). Für Ermittler seien gezielte, richterlich angeordnete Überwachungsmaßnahmen gegen konkrete Verdächtige das beste Instrument. Ein „Klassensatz zur digitalen Selbstverteidigung“ soll Schülern zudem helfen, Versuche des Heranpirschens potenzieller Täter übers Netz (Grooming) frühzeitig zu erkennen.

Betroffene verlangen Privatsphäre

Auch selbst sexualisierter Gewalt Ausgesetzte begrüßen das Ende der anlasslosen Scans. Der IT-Experte Alexander Hanff hebt hervor, wie wichtig verschlüsselte und private Kommunikation für Opfer sei: „Wir Überlebende brauchen Privatsphäre, denn ohne sie verlieren wir unsere Stimme.“ Er wirft der Kommission vor, Millionen in Algorithmen investiert zu haben, die Kinder nicht wirksam schützen. Direkte Hilfe für Betroffene fehle dagegen.

Parallel laufen die Gespräche über eine dauerhafte „Chatkontrolle 2.0“ in Brüssel, die noch Monate andauern könnten. Bis dahin bleibt die rechtliche Situation für die Tech-Riesen heikel. Sollten sie ihre Scans ohne explizite Erlaubnis fortsetzen, drohen neben Bußgeldern wegen Datenschutzverstößen auch neue Grundsatzurteile. Bereits 2021 legte die ehemalige EuGH-Richterin Ninon Colneric in einem Gutachten dar, dass solche Eingriffe die Grundrechte auf Privatsphäre und freie Meinungsäußerung unverhältnismäßig verletzten. Die Debatte zeigt: Der Kampf gegen Kindesmissbrauch ist unbestritten. Über den Weg dorthin bleibt Europa aber gespalten.

(nen)

In FortiClient EMS klafft eine Zero-Day-Lücke, die Angreifer bereits in freier Wildbahn angreifen. Sie können dadurch ohne vorherige Authentifizierung Schadcode einschleusen und ausführen.

Davor warnt der Hersteller Fortinet nun in einer Sicherheitsmitteilung. Demnach hat FortiClient EMS eine Schwachstelle in den Zugriffskontrollen, was Angreifern ohne vorherige Anmeldung ermöglicht, unberechtigt Code oder Befehle mittels manipulierter Anfragen einzuschleusen und auszuführen (CVE-2026-35616, CVSS 9.8, Risiko „kritisch“). Und genau das machen bösartige Akteure bereits im Internet, wie Fortinet den Angaben nach beobachtet hat. Details zu den Angriffen, etwa zu Art und Umfang, nennt Fortinet nicht. Ebenso fehlen Hinweise auf Indizien für erfolgreiche Angriffe (Indicators of Compromise, IOC).

Vorerst Hotfix, reguläres Update in Arbeit

Fortinet rät IT-Verantwortlichen mit verwundbarer FortiClient-EMS-Software dringend, die Hotfixes für FortiClient EMS 7.4.5 und 7.4.6 rasch zu installieren. Dafür stellt der Hersteller zwei Anleitungen bereit: einmal für den Hotfix für FortiClient EMS 7.4.5 und dann für FortiClient EMS 7.4.6.

Fortinet kündigt zudem die Version FortiClient EMS 7.4.7 an, die den Hotfix ebenfalls enthalten soll. Bis dahin genügen Fortinet zufolge die vorgenannten Hotfixes vollkommen, um den Missbrauch der Schwachstelle zu verhindern, wie das Unternehmen versichert. Betroffen ist FortiClient EMS nur in den 7.4er-Versionen, der 7.2er-Entwicklungszweig ist demnach nicht anfällig für die Schwachstelle.

Fortinet hat die Sicherheitsmitteilung offenbar in größter Eile zusammengeschustert. Die Zusammenfassung nennt anders als der CVE-Schwachstelleneintrag lediglich einen CVSS-Wert von 9.1, was jedoch immer noch auf eine kritische Sicherheitslücke verweist. Außerdem steht dort, dass es keinen Exploit für die Lücke gebe – obwohl Fortinet im Fließtext ausdrücklich darauf hinweist.

IT-Verantwortliche müssen daher nun am Osterwochenende trotzdem ran und die Aktualisierungen einspielen. Bei der Gelegenheit sollten sie zudem prüfen, ob ihre Zertifikate von D-Trust zurückgezogen wurden und ebenfalls bis Ostermontag um 17 Uhr ersetzt werden müssen.

(dmk)