IT-Verantwortliche sollten Zugriffsmöglichkeiten auf ihre Instanzen des telnetd aus den GNU Inetutils unbedingt auf vertrauenswürdige Rechner beschränken oder sie durch verschlüsselte Methoden ersetzen. Eine neu entdeckte Schwachstelle ermöglicht Angreifern aus dem Netz ohne vorherige Authentifizierung, beliebigen Code einzuschleusen und auszuführen.

Die Sicherheitslücke hat einen Schwachstelleneintrag erhalten, der erklärt, dass ein Schreibzugriff außerhalb vorgesehener Speichergrenzen im Code zur Verarbeitung der „LINEMODE SLC“-Option (Set Local Characters) möglich ist. Die Funktion add_slc prüft schlicht nicht, ob der Puffer bereits voll ist (CVE-2026-32746, CVSS 9.8, Risiko „kritisch“). Betroffen sind die GNU Inetutils bis einschließlich Version 2.7 – es handelt sich um die derzeit aktuelle Fassung aus dem Dezember 2025, die auf den GNU-Servern zum Herunterladen bereitsteht. Laut dem Bericht der Schwachstellen-Entdecker ist zudem der aktuelle Entwicklercode im Branch HEAD mindestens bis zum Datum 11. März 2026 anfällig.

Ein Update zum Stopfen des Sicherheitslecks steht demnach bislang nicht zur Verfügung. Die Entwickler planen jedoch aktuell, zum 1. April 2026 eine fehlerkorrigierte Version herauszugeben.

Gegenmaßnahmen: Zumachen

Mindestens bis dahin sollten Zugriffe auf den Telnet-Daemon aus den GNU Inetutils etwa mittels Firewall – standardmäßig auf dem Port 23/TCP – auf absolut vertrauenswürdige Maschinen beschränkt werden. Idealerweise sollten jedoch Dienste zum Zugriff genutzt werden, die ihre Daten nicht im Klartext über das Netz schicken, sondern verschlüsselt wie Secure Shell (SSH).

Bereits im Januar wurde eine Sicherheitslücke im telnetd der GNU Inetutils bekannt. Auf triviale Art und Weise konnten sich Angreifer dadurch als root-User anmelden und ebenfalls wie mit der nun bekannt gewordenen Schwachstelle komplette Server kompromittieren.

(dmk)

Wir treffen Joan Kinyua im Büro des superrr Lab in Berlin-Kreuzberg. Draußen regnet es in Strömen, drinnen macht die junge Frau aus Kenia erstmal einen Corona-Test. Sie hat sich wohl erkältet, es ist ihr erster Besuch in Deutschland. Und doch, so Joan, kommen ihr die Straßen Berlins seltsam bekannt vor.

Es sind die auffälligen gelben Busse, die Trams, die gelegentlich am Straßenrand geparkten Camper-Vans. „Ich habe immer gedacht, ich arbeite mit Bildern aus den USA“, sagt Joan. In ihrem früheren Job hat sie Daten für KI-Unternehmen aufbereitet. Tagein, tagaus sichtete sie Aufnahmen von Straßenszenen und versah sie mit Labels, damit selbstfahrende Autos auseinanderhalten können, ob sie auf eine Katze, eine Plastiktüte oder eine Baustelle zusteuern.

Diese Tätigkeit wird Daten-Annotation genannt und ist ein zentraler Bestandteil der Herstellung von KI-Anwendungen. Für das Training von Machine-Learning-Systemen versehen die Arbeiter:innen hierbei beispielsweise Bilder mit Metadaten, also mit Labels, die den Inhalt beschreiben. Kolleg:innen von Joan spielten zum Beispiel eine entscheinde Rolle dabei, ChatGPT sicherer zu machen, indem sie für das hinter dem Chatbot stehende Sprachmodell gewalttätige Inhalte klassifizierten.

Beschäftigt sind Datenarbeiter:innen in der Regel unter ausbeuterischen Bedingungen bei Outsourcing-Firmen oder digitalen Oursourcing-Plattformen. „Geisterarbeit“ nennen die Anthropoligin Mary L. Gray und der Informatiker Siddarth Suri diese und ähnliche Tätigkeiten hinter den Kulissen der digitalen Welt. Die Weltbank schätzt, dass es insgesamt zwischen 154 und 435 Millionen solcher sogenannter „Gig Workers“ geben könnte.

Heute ist Joan die Präsidentin der 2025 gegründeten Data Labelers Association. Die kenianische Organisation setzt für die Rechte von Datenarbeiter:innen ein. Für einen Workshop der Gesellschaft für Internationale Zusammenarbeit war Joan in Frankfurt am Main. Das „Solutions Lab“ soll Lösungen erarbeiten, wie die Arbeitsbedingungen in der Branche verbessert werden können.

„Lagern auch deutsche Autokonzerne Arbeit an uns aus?“

netzpolitik.org: Hi Joan, wie lief es in Frankfurt? Konntet ihr Lösungen finden, wie die Situation für ausgebeutete Arbeiter:innen hinter KI verbessert werden kann?

Joan Kinyua: Das leider noch nicht, aber es ist zumindest der Beginn einer Konversation. Es ging vor allem darum, wie Plattform-Arbeiter:innen durch Sozialversicherungssysteme geschützt werden können. Es ist gut, wenn politische Entscheidungsträger:innen uns zuhören. Bei dem Workshop war unter anderem die Weltbank dabei. Auf meiner Reise treffe ich auch Abgeordnete, zum Beispiel von den Grünen und Sonja Lemke von der Linkspartei.

netzpolitik.org: Was erzählst du ihnen?

Joan Kinyua: Dass sie Big Tech zur Verantwortung ziehen müssen. Sie wissen, welche Schäden Künstliche Intelligenz verursacht, aber es gibt keine Konsequenzen. Die großen Tech-Konzerne könnten für bessere Arbeitsbedingungen sorgen.

Wobei: Vielleicht zeigen wir mit dem Finger auch in die falsche Richtung. KI im medizinischen Bereich ist ebenfalls ein Treiber für Datenarbeit. In Deutschland gibt es zudem große Autohersteller, die an selbstfahrenden Autos arbeiten. Lagern sie auch Arbeit an uns aus? Wir brauchen hier mehr Transparenz.

netzpolitik.org: Für Verbraucher:innen ist es derzeit sehr schwer, überhaupt herauszufinden, unter welchen Bedingungen KI-Anwendungen produziert werden. Natürlich ist Transparenz allein nicht die Lösung, aber für andere Konsumgüter gibt es Labels, die zum Beispiel über Produktionsbedingungen aufklären. Kann das auch bei KI funktionieren?

Joan Kinyua: Das ist der wichtigste Schritt: anzuerkennen, dass KI keine Magie ist, dass Künstliche Intelligenz immer einen menschlichen Anteil hat. Lasst uns mit der Anerkennung für die Arbeiter:innen anfangen, die dafür sorgen, dass die Maschinen funktionieren. Auf dieser Grundlage können wir über Gesetze und Regulierung sprechen.

netzpolitik.org: Outsourcing-Firmen, bei denen viele Datenarbeiter:innen beschäftigt sind, erschweren Transparenz unter anderem durch Schweigeklauseln in Arbeitsverträgen, sogenannte Non-Disclosure-Agreements, kurz NDAs. Muss sich das ändern?

Joan Kinyua: Ich verstehe schon, dass Unternehmen sicherstellen müssen, dass vertrauliche Informationen nicht publik werden, zum Beispiel wenn mit Finanzdaten gearbeitet wird. Aber sie nutzen das aus. Sie verbieten ihren Arbeiter:innen, überhaupt über ihre Tätigkeit zu sprechen oder sich gewerkschaftlich zu organisieren und anderweitig für ihre Rechte einzutreten. NDAs sollten das Produkt schützen, an dem du arbeitest, nicht deine Rechte beschneiden.

„Das System arbeitet gegen uns“

netzpolitik.org: Bei der Data Labelers Association in Kenia habt ihr euch kürzlich mit ehemaligen und aktiven Datenarbeiter:innen zusammengeschlossen. Wofür streitet ihr?

Joan Kinyua: Wir wollen die Stimmen der Arbeiter:innen verstärken, Öffentlichkeit für unsere Anliegen schaffen und das Narrativ mitbestimmen. Das Wichtigste ist, dass wir wie wirkliche Arbeiter:innen mit spezifischen Fähigkeiten behandelt werden und soziale Absicherung schaffen. Gerade auch Migrant:innen, deren Aufenthaltstatus an dem Job hängt, brauchen Schutz. Es geht uns um faire Löhne, akzeptable Arbeitsstunden und Anerkennung. Es gibt eine große Wissenslücke, die wir schließen müssen.

netzpolitik.org: Die ausbeuterischen Arbeitsbedingungen von Datenarbeiter:innen hinter KI haben in den vergangenen Jahren in internationalen Medien einige Aufmerksamkeit erfahren. Merkt ihr Fortschritte?

Joan Kinyua: Ich kann das nur für Kenia beantworten: Als wir vor einigen Jahren mit unserem Engagement begonnen haben, waren wir sehr hoffnungsvoll. Damals wusste einfach kaum jemand, was Daten-Annotation überhaupt ist. Unsere Mission war es, für Aufmerksamkeit zu sorgen.

Doch vor einiger Zeit hielt der kenianische Präsident eine Rede, in der er Outsourcing-Firmen praktisch Immunität versprochen hat. Er hat ein Gesetz auf den Weg gebracht, das Klagen gegen sie praktisch unmöglich macht. Es wurde ohne große Debatte verabschiedet, unser Widerspruch wurde nicht gehört. Deshalb bin ich heute leider ziemlich hoffnungslos.

netzpolitik.org: Präsident William Ruto hat angekündigt, dass er eine Million Jobs im Outsourcing-Sektor schaffen will.

Joan Kinyua: Wir sind nicht gegen Arbeitsplätze, sondern gegen die Natur dieser Arbeit. Was haben wir von Jobs, wenn die diese irreparable Schäden bei uns anrichten? Das System, das uns schützen sollte, arbeitet gegen uns.

netzpolitik.org: Haben die Outsourcing-Firmen ihr Verhalten geändert?

Joan Kinyua: Es gibt kleine Erfolge. Ein Anbieter, Cloud-Factory, hat beispielsweise die Dauer seiner Arbeitsverträge von einem auf drei Monate erhöht. Außerdem zahlen sie jetzt 1,80 US-Dollar pro Stunde statt 1,50 US-Dollar. Ein anderer Anbieter jedoch hat Kenia sehr plötzlich verlassen. Auch mein Account auf der Plattform ScaleAI wurde einfach gelöscht. Das ist natürlich ein Problem: Die Firmen können einfach in ein anderes Land weiterziehen.

netzpolitik.org: Welche Rolle spielen Gewerkschaften bei eurem Kampf?

Joan Kinyua: In Kenia sind die Gewerkschaften ein Haufen alter Leute, die nicht mal eine E-Mail schreiben können. Wie sollen die uns bei KI helfen? Gar nicht. Wir haben da wirklich sehr schlechte Erfahrungen gemacht. Wir glauben auch, dass die Gewerkschaften teilweise mit Big Tech unter eine Decke stecken. Auch deshalb organisieren wir uns jetzt anders.

„Humor unter Datenarbeiter:innen hilft“

netzpolitik.org: Woher nimmst du die Energie für deine Arbeit?

Joan Kinyua: Ich war schon immer eine Person, die lautstark ist und sich für Gerechtigkeit einsetzt. Jedes Mal, wenn mir jemand zuhört und meine Geschichte ernst nimmt, gibt mir das Kraft. Auch der schwarze Humor unter uns Datenarbeiter:innen hilft mir, die Dinge zu verarbeiten.

netzpolitik.org: Was wünscht du dir für die Zukunft?

Joan Kinyua: Ich wünsche mir, dass Outsourcing-Firmen und -Plattformen für menschenwürdige Arbeitsbedingungen sorgen, damit Arbeiter:innen ganz normale Achtstundentage haben und ihre Mieten zahlen können. Ich wünsche mir, dass wir nicht länger in der aktuellen Situation festhängen, sondern Dinge verändern können. Und ich wünsche mir, dass meine Kinder gute Schulen besuchen können, sozial abgesichert sind und gute medizinische Behandlung haben, wenn sie sie brauchen.

netzpolitik.org: Was können unsere Leser:innen tun, um eure Arbeit zu unterstützen?

Joan Kinyua: Wir haben eine neue Website und freuen uns, wenn Menschen unsere Arbeit teilen. Man kann uns auch mit Spenden unterstützen. Wir suchen zudem immer nach Partnern, mit denen wir zusammenarbeiten können.

netzpolitik.org: Vielen Dank für das Gespräch und weiter viel Erfolg!

Für Smartphones gibt es zwei große Betriebssysteme: Googles Android und Apples iOS. Beiden sind ein mehr oder weniger geschlossenes Ökosystem und Datenschutzbedenken gemein – und ihre Herkunft aus den USA. Wer sich aus der Umklammerung der Tech-Konzerne lösen will, kann Android-Telefone mit verschiedenen „Custom-ROMs“ bestücken. Eines davon, GrapheneOS, stellt die Sicherheit über alles andere. Grund genug für die Hosts, dem wiederholten Wunsch der Hörer und Hörerinnen zu folgen und sich das System genauer anzuschauen.

Sylvester und Christopher haben sich dieses Mal wieder Verstärkung ins virtuelle Studio geholt: c’t-Redakteur Stefan Porteck ist ein langjähriger Kenner und Nutzer von Custom-ROMs für Android. Er hat für die c’t verschiedene Betriebssystem-Alternativen getestet (und im c’t-Podcast „Uplink“ diskutiert). GrapheneOS lässt sich auf Pixel-Geräten installieren und kommt neben den Grundfunktionen auch mit eigenem App-Store. Doch auch Apps aus Quellen wie F-Droid und sogar dem Play Store lassen sich nutzen – sie landen in gehärteten, digitalen Sandkisten, aus denen sie nicht ausbrechen können.

Neben zahlreichen Sicherheits-Features, kleinen und auch großen Verbesserungen am Unterbau des Systems macht dieses umfangreiche Sandboxing GrapheneOS zu einer sicheren und datenschutzfreundlichen Alternative zum Standard-Android – und Nutzer müssen auf wenig Liebgewonnenes verzichten. Das freut auch Sylvester, der GrapheneOS selbst im Einsatz hat, und Christopher, der als „iPhone-Nutzer der zweiten Stunde“ im Podcast seine ersten Gehversuche mit GrapheneOS schildert. Er findet unter anderem die „Duress PIN“ prima, die das Gerät etwa bei einem Raubüberfall löscht. Sylvester hingegen erwärmt sich eher für kleine Besonderheiten wie das zufällig angeordnete Keypad, das bei unerwünschten Blicken über die Schulter helfen kann. Im Podcast diskutieren die Hosts mit ihrem Gast diese und viele andere (Schutz-)Funktionen, die GrapheneOS mitbringt.

Datenschutz- und sicherheitsfreundlich ist GrapheneOS also, doch das Online-Gebahren des heimlichtuerischen Projektteams gewinnt keine Höflichkeitspreise. Dass GrapheneOS zwar oft sachlich richtig, aber im Ton sehr zweifelhaft, gegen andere Projekte und Initiativen keilt, stört die „Passwort“-Macher zwar, aber sie ziehen dennoch ein sehr positives Fazit: GrapheneOS ist gut benutzbar und deutlich sicherer als andere Android-Varianten.

(imp)