Microsoft legt einen aktualisierten Zeitplan für eine geplante Jailbreak- und Root-Erkennung der Microsoft-Authenticator-App vor. Der Authenticator soll insbesondere Entra-ID-Zugänge schützen und von erkannten gerooteten Geräten löschen.

Im Microsoft 365 Message Center haben die Entwickler den Beitrag MC1179154 (Kopie bei mc.merill.net) aktualisiert. Jetzt, Ende Februar, soll die Microsoft Authenticator-App unter Android und iOS erkennen, ob die Geräte mit Jailbreak geöffnet wurden oder gerootet sind. Auf solchen Geräten will Microsoft die Nutzung von Entra-Zugängen blockieren. Dies geschieht in Phasen: Erst warnt der Authenticator (Warning Mode), dann blockiert er die Nutzung (Blocking Mode), und am Ende löscht er die Zugangsdaten (Wipe Mode).

„Diese Sicherheitsfunktion ist automatisch, ohne Möglichkeit des Opt-out“, erklärt Microsoft. Nutzer und Nutzerinnen, die weder gejailbreakte noch gerootete Geräte nutzen, sind davon nicht betroffen. Admins müssen keine Konfiguration aktivieren. Microsoft rät IT-Verantwortlichen, User und Helpdesk über diese anstehende Änderung zu informieren.

Jailbreak- und Root-Erkennung: Zeitplan

Unter Android soll der weltweite Startschuss Ende Februar 2026 fallen, also jetzt. Mitte des Jahres will Microsoft die Aktion beendet haben – ursprüngliche Pläne sahen den April 2026 vor. Für iOS fängt die Verteilung im April 2026 an, was zuvor für den März angedacht war. Auch hier will Microsoft in der Jahresmitte den Abschluss schaffen, ebenfalls verschoben vom anfangs geplanten April. Die einzelnen Phasen Warnung, Blockade und Löschung sollen mit etwa einem Monat Abstand starten.

Mitte vergangenen Jahres hat Microsoft die Authenticator-App zurechtgestutzt. Sie diente bisweilen auch als Passwort-Manager. Die Funktion ist nun in den Edge-Webbrowser gewandert und heißt dort weiterhin „Autofill“.

(dmk)

Google hat angekündigt, dass sich alle Entwickler:innen von Android-Apps zentral bei Google registrieren müssen, damit ihre Anwendungen auf Android-Geräten installiert werden können. Dass soll auch für solche Apps gelten, die über alternative App-Stores oder als direkte Downloads verfügbar sind. Die Registrierungspflicht soll laut Google böswillige Akteure abschrecken und die Verbreitung schädlicher Apps erschweren. Im September 2026 soll sie in den ersten Ländern wirksam und 2027 weltweit ausgerollt werden.

Nach ersten Protesten schien Google einzulenken, die Änderungen sind jedoch eher kosmetisch und das weitere Vorgehen laut Kritikern intransparent.

Eine breite Allianz von Organisationen aus der Zivilgesellschaft sowie gemeinnützigen Einrichtungen und Technologieunternehmen wehrt sich jetzt mit einer Protestnote und einer Kampagne gegen diese Pläne. Unterzeichnet haben nicht nur namhafte Organisationen wie die Free Software Foundation, der Chaos Computer Club und die EFF, sondern auch der alternative App-Store F-Droid sowie die Unternehmen Proton oder Tuta. Im Brief heißt es:

Die zwangsweise Einführung eines fremden Sicherheitsmodells, das der historischen Offenheit von Android zuwiderläuft, gefährdet Innovation, Wettbewerb, Datenschutz und die Freiheit der Nutzer. Wir fordern Google dringend auf, diese Richtlinie zurückzuziehen und gemeinsam mit der Open-Source- und Sicherheits-Community an weniger restriktiven Alternativen zu arbeiten.

Nutzung von Handys ohne Google in Gefahr

Das Betriebssystem Android erlaubt bislang, im Gegensatz zu Apples iOS, dass die Nutzer:innen Apps abseits von Googles App-Store in alternativen Stores oder einfach als Software von Webseiten herunterladen und installieren können. So war es möglich, dass die Nutzer:innen das System auch unabhängig von Google-Diensten nutzen konnten. Dieses Prinzip sehen die Kritiker nun in Gefahr:

Die vorgeschlagene Entwicklerregistrierungsrichtlinie verändert diese Beziehung grundlegend, indem sie Entwickler, die Apps über alternative Kanäle […] vertreiben möchten, dazu verpflichtet, zunächst die Genehmigung von Google durch einen obligatorischen Verifizierungsprozess einzuholen, der die Zustimmung zu den Nutzungsbedingungen von Google, die Zahlung einer Gebühr und das Hochladen eines amtlichen Ausweises umfasst.

Damit erweitere Google seinen großen Einfluss über den eigenen Marktplatz hinaus auf Vertriebskanäle, in denen der Konzern keine legitime operative Rolle spiele, so die Kritik. Weiter heißt es: „Die Zentralisierung der Registrierung aller Anwendungen weltweit gibt Google außerdem neue Befugnisse, jede beliebige App aus beliebigen Gründen für das gesamte Android-Ökosystem vollständig zu deaktivieren.“

Das Bündnis fürchtet zudem Barrieren für den Marktzugang, zum Beispiel von kleinen Teams mit begrenzten Ressourcen oder von Aktivist:innen, die in ihren Ländern verfolgt und kriminalisiert werden. Vor dem Hintergrund, dass Google auf Druck der US-Regierung in jüngster Vergangenheit zum Beispiel Apps gegen die Migrationstruppe ICE aus dem Store nahm, sind solche Bedenken nachvollziehbar. Die Registrierungspflicht könnte solche Maßnahmen über den App-Store hinaus ermöglichen.

Pläne stärken Googles Macht und Wettbewerbsposition

Weitere Bedenken beziehen sich auf Datenschutz und Überwachung: Durch die Registrierungspflicht entstehe bei Google eine umfassende Datenbank aller Android-Entwickler:innen, unabhängig davon, ob sie die Dienste von Google nutzen oder nicht. Zudem ergäben sich durch das Verfahren Risiken wie eine Kontoschließung, so die Kritiker:innen.

Bestehende App-Prüfungsverfahren von Google seien schon heute wegen undurchsichtiger Entscheidungsfindung, inkonsistenter Durchsetzung und begrenzter Beschwerdemechanismen in der Kritik. Die Ausweitung dieses Systems auf Apps für alle Android-zertifizierten Geräte berge deswegen Risiken, unter anderem willkürliche Ablehnungen von Apps oder den Einfluss von politischen oder wettbewerbsbezogenen Erwägungen, welche die Registrierungsgenehmigungen beeinflussen könnten.

Die neue Richtlinie ermögliche Google zudem Einblicke in den Wettbewerb. Diese Informationsasymmetrie verschaffe Google erhebliche Wettbewerbsvorteile, ermögliche es dem Unternehmen, konkurrierende Produkte und Dienste zu vereinnahmen, zu kopieren und zu untergraben, und kann viele Fragen zum Kartellrecht aufwerfen, so der Protestbrief.

Die Unterzeichnenden fordern deswegen Google auf, die obligatorische Registrierung für den Vertrieb durch Dritte unverzüglich aufzuheben. Das Unternehmen solle einen transparenten Dialog mit der Zivilgesellschaft, Entwickler:innen und Regulierungsbehörden über Verbesserungen der Android-Sicherheit zu führen sowie Offenheit und Wettbewerb respektieren. Die Initiative hat zudem eine Petition gestartet, um die Forderungen zu untermauern.

Niedersachsen will der Polizei Datenanalyse nach Palantir-Art erlauben. Sie soll künftig Informationen zu verschiedenen Fällen verknüpfen und mit sogenannter KI aufbereiten können. In die Analyse dürfte auch einfließen, wer mit wem wann von wo aus kommuniziert. Außerdem der Inhalt von beschlagnahmten oder mit Staatstrojanern infizierten Telefonen sowie Audio- und Video-Material, das heimlich in Wohnungen aufgenommen wurde.

Die entsprechende Novelle des niedersächsischen Polizeigesetzes beinhaltet noch weitere tief invasive Überwachungsbefugnisse. Sie würde die polizeiliche Kontrolle in dem Bundesland drastisch verschärfen. Heute findet dazu eine Anhörung im Innenausschuss des Landtages statt.

Die Regierungskoalition aus SPD und Grünen hat dabei so ziemlich alles auf dem Wunschzettel, was nach futuristischer Polizeiarbeit klingt. Neben den Datenanalysen beispielsweise auch Live-Gesichtserkennung wie sie derzeit in Frankfurt am Main erprobt wird, oder den Verhaltensscanner, den Mannheim und Hamburg gerade trainieren. Zudem im Gesetz enthalten: Der Abgleich biometrischer Daten wie Gesichtsbilder oder Stimmproben mit öffentlich zugänglichen Informationen aus dem Internet.

Unausgereifte Überwachungsmaßnahmen

Bislang wird eine derartige Gesichtersuchmaschine noch von keiner deutschen Behörde eingesetzt, wohl auch, weil der EU-AI-Act die dafür nötige Datenbank eigentlich verbietet. Auch der Verhaltensscanner ist noch nicht ausgereift. Die Mannheimer Polizei kann keinen einzigen Fall nennen, in dem er zu einem Ermittlungserfolg führte. Und die Frankfurter Gesichtserkennung hat bislang scheinbar nur einen anekdotischen Erfolg abgeworfen.

Niedersachsen will die Tools dennoch erlauben. Die Stadt Delmenhorst hat bereits angekündigt, KI-gestützte Videoüberwachung einführen zu wollen.

Laut Gesetzentwurf ist es auch nicht ausgeschlossen, die drei unterschiedlichen Systeme zusammenzuführen: Demnach ist es möglich, dass in Niedersachsen bald eine sogenannte KI die Bilder von Überwachungskameras in Echtzeit daraufhin untersucht, ob gerade eine mutmaßliche Straftat zu sehen ist, beispielsweise Körperverletzung oder ein Drogendeal. Wird eine vermutete Straftat gesichtet, könnte eine Software daraufhin die tatverdächtige Person identifizieren. Und zwar nicht nur mit Hilfe von Polizeidatenbanken, sondern auch anhand von Bildern oder Videos, die Menschen ins Netz gestellt haben, beispielsweise auf eine Social-Media-Plattform oder eine Nachrichtenseite.

Das in der Polizeigesetznovelle beschriebene multiple KI-System ermöglicht eine Strafverfolgung, die Polizeibeamt*innen eigentlich nur noch für die Festnahme braucht. Es gewährt der Technologie extremen Einfluss auf die Schicksale von Menschen. Betroffen von dem massiven Grundrechtseingriff, der damit einhergeht, sind nicht nur mutmaßliche Täter*innen, sondern alle Passant*innen, weil die KI alle Bewegungen und alle Gesichter analysiert, um die von der Polizei gesuchten herauszufiltern.

Die Hürden sind niedrig

Die Hürden für eine Videoüberwachung und darauf aufbauende KI-Systeme sind in Niedersachsen bereits heute relativ niedrig. Dass Kameras dauerhaft öffentlich zugängliche Straßen und Plätze filmen, ist dann erlaubt, wenn in einem Areal wiederholt Straftaten oder „nicht geringfügige Ordnungswidrigkeiten“ begangen werden. Das heißt, es braucht nicht wie in anderen Bundesländern eine hohe Kriminalitätsbelastung, sondern es reicht theoretisch, wenn dort wenige Fälle erfasst werden, damit ein Areal dauerhaft videoüberwacht werden kann. Bei der Videoüberwachung von Veranstaltungen reicht schon die Prognose möglicher Straftaten zur Legitimation.

Mit der Live-Gesichtserkennung dürfte die Polizei dem Gesetzentwurf zufolge nicht nur nach Straftätern fahnden, sondern auch nach Menschen, bei denen die Polizei annimmt, dass sie die körperliche Unversehrtheit anderer gefährden könnten. Zudem darf das System auch auf vermisste Personen, sowie Opfer von sexueller Ausbeutung, Entführung oder Menschenhandel angesetzt werden. Normalerweise muss die Polizei jedes Mal einen Richter fragen, ob sie eine bestimmte Person zur automatisierten Fahndung ausschreiben darf, bei „Gefahr im Verzug“ allerdings nicht.

Der Verhaltensscanner dürfte derweil nicht nur Straftaten erkennen, sondern auch Muster, die auf Unglücksfälle hindeuten. Der Gesetzentwurf erlaubt also automatisierte Warnhinweise, wenn im Bild jemand liegt. Damit werden obdachlose Menschen einem erhöhten, diskriminierenden Überwachungsdruck ausgesetzt.

Verhaltens-Erkennung von der Drohne aus

Die Drastik des Polizeigesetz-Entwurfs wird noch dadurch erhöht, dass die Polizei demnach nicht nur stationäre Überwachungskameras, sondern auch Drohnen zur Videoüberwachung einsetzen darf. Diese Drohnen könnten dann auch Bilder für den Verhaltensscanner und die Live-Gesichtserkennung liefern. So könnten bei Großveranstaltungen auch Überblicksaufnahmen nach verdächtigen Bewegungsabläufen und den Gesichtern von Gesuchten durchforstet werden.

Eigentlich muss auf die Überwachung – beispielsweise mit Schildern – hingewiesen werden. Bei Drohneneinsätzen dürfte das schwierig sein, wodurch wohl viele Menschen ohne ihr Wissen zu Betroffenen derartiger Überwachungsmaßnahmen würden. Drohnen soll die niedersächsische Polizei künftig auch zum Luftkampf gegen andere, „feindliche“ Drohnen einsetzen dürfen, zur Telekommunikationsüberwachung und Standortermittlung und auch, um heimlich in Wohnungen zu filmen oder diese abzuhören.

Außerdem will die Landesregierung mit dem Gesetzentwurf Systeme erlauben, die in Videobildern nach bestimmten Gegenständen wie zum Beispiel Waffen suchen. Dabei ist das Land bislang mit der Erlaubnis von Staatstrojanern, Kennzeichenscannern, IMSI-Catchern zur Lokalisierung und Zuordnung von Telefonen, Bodycams für Polizist*innen und elektronischen Fußfesseln für potentielle Terrorist*innen alles andere als schwach aufgestellt, was digitale Maßnahmen zur Einschränkung von Grund- und Freiheitsrechten angeht.