Connect with us

Datenschutz & Sicherheit

Werden manche Produkte von den KI-Regeln ausgenommen?



Das EU-Parlament hat seine Position zum KI-Omnibus gefunden. Nachdem die beiden verantwortlichen Ausschüsse – für Justiz und Binnenmarkt – dem Positionsentwurf bereits am 18. März zustimmten, hat das gesamte Parlament die Entscheidung heute mit 569 Stimmen dafür, 45 dagegen und 23 Enthaltungen bestätigt. Damit konnte bereits heute der Trilog mit dem EU-Rat starten, um den finalen Kompromiss zu finden. Geplant ist, das Gesetz bis zum Sommer zu verabschieden.

Diese Änderungen sind zu erwarten

In manchen Punkten ist das Parlament mit der Kommission einverstanden, in vielen anderen nicht und will zum ursprünglichen Text der KI-Verordnung zurückgehen. Andere Dinge, wie das Verbot von sexualisierten Deepfakes, sind neu.

Das Parlament bestätigt etwa den Kommissionsvorschlag, die Anforderungen für Hochrisiko-Systeme zu verzögern: Anstatt ab dem 2. August 2026, sollen sie erst am 2. Dezember 2027 wirksam werden. Allerdings will das Parlament dafür feste Fristen. Die Kommission hatte die Fristen in ihrem Vorschlag flexibel gehalten und an die Fertigstellung der noch ausstehenden Standards geknüpft, die bei der Umsetzung der Anforderungen helfen sollen.

In der Praxis bedeutet das, dass über ein weiteres Jahr lang kein Schutz vor Hochrisiko-Systemen besteht. Das betrifft den KI-Einsatz in den Bereichen Biometrie, Bildung, Arbeit, Strafverfolgung und Grenzüberwachung.

Die Abgeordneten haben auch grünes Licht für die zusätzlichen Befugnisse für das KI-Amt („AI Office“) gegeben, das in der EU-Kommission angesiedelt ist. Dieses soll die Aufsicht über Allzweck-KI-Modelle (GPAI) übernehmen.

Gegen den Kommissionsvorschlag

Zurück zur ursprünglichen KI-Verordnung will das Parlament unter anderem bei der Registrierungspflicht (Artikel 6). Die Kommission wollte erlauben, dass Anbieter selbst einschätzen, ob ihr System risikoreich ist oder nicht. Das Parlament will hingegen, dass Hochrisiko-Systeme in einer Datenbank registriert werden müssen, unabhängig davon wie sie sich selbst einschätzen.

Der Rat sieht ebenfalls vor, zu der ursprünglichen Pflicht zurückzukehren. Die Mitgliedstaaten haben sich schon am 13. März auf ihre Position geeinigt. Verbraucherschützer, etwa die europäische Organisation BEUC, begrüßen diesen Schritt.

Das Parlament bestätigt auch: Wer KI mit sensiblen Daten trainieren will, etwa zu Religion oder sexueller Orientierung, um so Verzerrungen zu verhindern, soll das tun dürfen. Das hatte die Kommission in ihrem Vorschlag eingebracht. Allerdings will das Parlament Schutzmaßnahmen einführen, damit dies nur geschieht, wenn es „unbedingt erforderlich“ sei. Hier gibt es erneut eine Übereinstimmung mit der Ratsposition.

Der Dachverband von Organisationen für digitale Rechte EDRi ist trotzdem nicht überzeugt. Er merkt an, dass die Datenschutzgrundverordnung bereits die Verarbeitung sensibler personenbezogener Daten erlaube, wenn bestimmte Voraussetzungen erfüllt seien und eine klare Rechtsgrundlage vorliege. Eine neue Regelung würde das Missbrauchspotenzial solcher sensiblen Daten erhöhen und könnte dazu führen, dass betroffene Personen der Nutzung ihrer Daten zum KI-Training nicht widersprechen könnten.

Die sozialdemokratische EU-Abgeordnete Birgit Sippel erklärt, die Änderung stehe im Widerspruch zur DSGVO und warnt: „Wir dürfen keine implizite Bevorzugung datenintensiver Ansätze schaffen, indem wir den Einsatz sensibler Daten zur Voraussetzung für faire KI erklären.“

Ausnahmen für Medizintechnik und Spielzeug

Neu eingebracht haben die Abgeordneten und Mitgliedstaaten ein Verbot von KI-Systemen, die sexualisierte Deepfakes erstellen, wenn dafür das Einverständnis der betroffenen Person fehlt. Das Verbot soll allerdings nicht für KI-Systeme gelten, die mithilfe von „wirksamen Sicherheitsmaßnahmen“ verhindern, dass Nutzer solche Bilder erstellen.

Besonders kontrovers ist ein Punkt, für den sich Abgeordnete der EVP, Renew und EKR eingesetzt haben und der in der finalen Position zu finden ist: Bestimmte Sektoren sollen quasi von der KI-Verordnung ausgenommen werden, darunter Medizintechnik, Funkgeräte, Spielzeug und Maschinen. Die Abgeordneten argumentieren, dass diese Produkte schon unter eigene Sicherheitsvorschriften fallen würden und die Hersteller ansonsten einem doppelten Aufwand ausgesetzt seien. Auch der Verband DigitalEurope lobbyiert aktuell noch stark gemeinsam mit anderen Organisationen für diese Änderung.

Kritiker sind hingegen der Ansicht, dass die bestehenden Regulierungen nicht alle Ansprüche der KI-Verordnung abdecken würden. KI-spezifische Risiken würden nicht adressiert, merkt BEUC an. Die Grünen-Abgeordnete Kim van Sparrentak hat die Parlamentsposition für ihre Fraktion verhandelt. Sie sei „sehr besorgt“ über die Ausnahme von Medizinprodukten, Spielzeug, Smartwatches und Smartglasses von der KI-Verordnung, und führt diese auf einen Vorschlag der deutschen Christdemokraten zurück.

Wir sind communityfinanziert

Unterstütze auch Du unsere Arbeit mit einer Spende.

Die Politikerin kritisiert, dass die Änderung nicht zu einer Vereinfachung führen, sondern die Einhaltung von KI-Regeln komplizierter machen würde, da es statt einem Standard so mehrere unterschiedliche gebe. Das bemängelt auch Birgit Sippel (S&D): „Diese Änderung führt zu mehr Komplexität, Rechtsunsicherheit und uneinheitlichen Vorschriften. Zudem bieten die neuen Vorgaben weniger Sicherheit für Verbraucher:innen.“

Der TÜV-Verband warnte schon vor zwei Wochen zusammen mit neun weiteren Unterzeichnern eines offenen Briefes vor einer Fragmentierung und mehr Bürokratie durch diese Änderung.

Wie geht es weiter?

Gleich im Anschluss an die Abstimmung fand das erste Trilogtreffen statt. In den nächsten Wochen werden Rat und Parlament in zahlreichen technischen Meetings über den Inhalt des Gesetzes verhandeln. In einem Monat, am 28. April, sollen sie sich auf den finalen Kompromiss einigen. Der Rat wird dabei von der zypriotischen Ratspräsidentschaft vertreten, das Parlament von den beiden Berichterstatter:innen Arba Kokalari (EVP) und Michael McNamara (Renew).

In der vergangenen Woche trafen sich die Staats- und Regierungschefs in Brüssel und hielten ihre Ergebnisse in den sogenannten „Schlussfolgerungen“ fest. Bundeskanzler Friedrich Merz (CDU) drängte darauf, die Formulierung „ehrgeiziger“ KI-Omnibus einzubringen – mit Erfolg. Ob das tatsächlich einen Einfluss auf die Verhandlungen im Trilog haben wird, ist unklar.

Sicher ist dagegen, dass die Bundesregierung die KI-Verordnung weiter verändern will. „Sie muss schlanker werden“, sagte Merz in einer Pressekonferenz nach dem Gipfel. Er habe die Kommission gebeten, die KI-Verordnung „noch einmal ganz umfassend zu überprüfen“. Das erklärte Ziel: „Wir wollen in Europa die gleichen Chancen haben, um mit Künstlicher Intelligenz voranzukommen wie in den USA oder China.“

Die EU-Kommission hat noch nicht mitgeteilt, ob die KI-Verordnung tatsächlich ein weiteres Mal für Veränderungen geöffnet werden soll. Das könnte im Rahmen des „Digital Fitness Checks“ passieren, mit welchem das digitale Regelwerk in den kommenden Jahren bewertet werden soll.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Trellix-Einbruch: Cybergang RansomHouse behauptet Datenklau


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Vergangene Woche hat Trellix, das IT-Sicherheitsunternehmen, das aus dem Zusammenschluss von FireEye und McAfee hervorging, einen IT-Vorfall gemeldet: Angreifer haben Zugriff auf Quellcode-Repositories erlangt. Da war noch unklar, wer dafür verantwortlich zeichnet. Nun hat sich die kriminelle Vereinigung RansomHouse auf ihrer Darknet-Webseite zu dem Datenklau bekannt.

Weiterlesen nach der Anzeige


Informationen über das Cybersicherheitsunternehmen Trellix mit Website, Umsatz und Mitarbeiterzahl.

Informationen über das Cybersicherheitsunternehmen Trellix mit Website, Umsatz und Mitarbeiterzahl.

Der Eintrag auf der Darknet-Seite von RansomHouse zur Trellix-Einbruch liefert keine Details zu den erbeuteten Daten.

(Bild: heise medien)

Der konkrete Darknet-Eintrag hält einen Download-Link auf ein Sample vor. Angeblich hat die Bande die Daten von McAfee am 17. April 2026 „encrypted“, also verschlüsselt. Davon schreibt Trellix jedoch nichts. Die fein geschliffenen Formulierungen von Trellix schließen konkret eine Verschlüsselung der Repositories jedoch nicht aus. Das Unternehmen schreibt lediglich, dass es keine Belege dafür gebe, dass Quellcode-Releases oder der Verteilungsprozess betroffen sind oder dass der Quellcode missbraucht wurde.

Immerhin kommt mit dem Bekenntnis von RansomHouse etwas Licht ins Dunkel, wer bei dem IT-Sicherheitsunternehmen eingebrochen ist und sich den Quellcode von Software beschafft hat. Der Umfang der kopierten Daten bleibt jedoch weiter unklar, ebenso, welche Repositories und damit Informationen nun genau offenliegen.

Zumindest Klarheit über Täter

In der vergangenen Woche schrieb Trellix, dass das Unternehmen unbefugte Zugriffe auf einen Teil der Quellcode-Repositories bemerkt hatte. Es zog daraufhin den eigenen Angaben nach führende Forensikexperten zur Klärung hinzu. Auch die Strafverfolgungsbehörden hat Trellix demnach informiert. Es blieb zu dem Zeitpunkt unklar, wer für den IT-Einbruch verantwortlich war.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Schadcode-Lücke bedroht IBM App Connect Enterprise und IBM Integration Bus


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die Integrationssoftware für unter anderem Geschäftsinformationen IBM App Connect Enterprise und IBM Integration Bus for z/OS sind über eine Softwareschwachstelle angreifbar. Schadcode kann Systeme kompromittieren.

Weiterlesen nach der Anzeige

Schadcode-Sicherheitslücke

Davor warnen die Entwickler in einem Beitrag. Im Zuge einer Directory-Traversal-Attacke (CVE-2026-67030 „hoch“) können Angreifer auf eigentlich abgeschottete Daten und Verzeichnisse zugreifen, um Schadcode abzuladen und auszuführen. Bislang gibt es keine Berichte, dass Angreifer die Sicherheitslücke schon ausnutzen.

Die Entwickler geben an, dass davon die folgenden Versionen bedroht sind: IBM App Connect Enterprise 12.0.1.0 bis 12.0.12.24 und 13.0.1.0 bis 13.0.7.0 und IBM Integration Bus for z/OS 0.1.0.0 bis 10.1.0.6. Die Lücken seien in den folgenden Ausgaben geschlossen:

  • IBM App Connect Enterprise v12- Fix Pack Release 12.0.12.25
  • IBM App Connect Enterprise v13- Fix Pack Release 13.0.7.1
  • IBM Integration Bus for z/OS v10.1 – Fix Pack Release 10.1.0.7


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Debian macht ernst: Nur noch reproduzierbare Pakete in „testing“


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Debian verschärft für die kommende Version 14 („Forky“) seine Qualitätsanforderungen deutlich: Pakete dürfen nur noch dann nach „testing“ wandern, wenn sie sich reproduzierbar bauen lassen. Das hat das Debian-Release-Team angekündigt. Die entsprechende Migrationslogik ist bereits aktiv. Sie betrifft sowohl neue Pakete, die sich nicht reproduzieren lassen, als auch bestehende Pakete, deren Reproduzierbarkeit sich verschlechtert hat.

Weiterlesen nach der Anzeige

Was reproduzierbare Builds leisten

Reproduzierbare Pakete („reproducible builds“) erzeugen aus identischem Quellcode und in gleicher Build-Umgebung bit-identische Binärpakete. Damit werden Build-Prozesse nachvollziehbar und manipulationssicher. Unterschiede zwischen zwei Builds lassen sich so eindeutig auf echte Änderungen oder mögliche Manipulationen zurückführen.

Nicht reproduzierbare Builds entstehen oft durch banale Faktoren: Zeitstempel, zufällige Build-IDs oder eine nichtdeterministische Reihenfolge von Dateien. Zwei Builds desselben Quellcodes können dadurch unterschiedliche Binärdateien erzeugen, obwohl sich funktional nichts geändert hat. Reproducible Builds eliminieren solche Unterschiede systematisch, etwa durch normierte Zeitstempel oder ein deterministisches Packaging.

Vom Qualitätsziel zur Release-Voraussetzung

Debian arbeitet bereits seit Jahren mit dem Reproducible-Builds-Projekt an entsprechenden Mechanismen. Neu ist, dass Reproduzierbarkeit nicht mehr nur als Qualitätsziel gilt, sondern direkt über die Paketmigration nach „testing“ entscheidet. Damit macht die Distribution reproduzierbare Builds faktisch zur Voraussetzung für den regulären Release-Prozess. Den aktuellen Reproduzierbarkeitsstatus aller Pakete listet reproduce.debian.net auf.

Parallel baut Debian seine automatisierten Tests aus. Laut Release Team prüft die CI-Infrastruktur inzwischen auch sogenannte binNMUs automatisch mit autopkgtests. Dabei handelt es sich um reine Neuübersetzungen von Binärpaketen ohne Änderungen am Quellcode, etwa nach ABI-Übergängen oder neuen Bibliotheksversionen. Bislang lag der Fokus der Tests vor allem auf klassischen Source-Uploads.

Weiterlesen nach der Anzeige

Längere Warteschlangen durch loong64

Die neue Architektur loong64 sorgt derzeit vor allem für längere Warteschlangen in Debians Build- und Testinfrastruktur. Weil viele Pakete auf allen Architekturen neu gebaut werden mussten und Debian nun auch binNMUs per autopkgtest prüft, dauert die Migration nach „testing“ derzeit länger.

Zugleich erinnert Debian die Maintainer daran, dass sie selbst für die erfolgreiche Migration ihrer Pakete nach „testing“ verantwortlich bleiben. Blockieren fehlgeschlagene autopkgtests in Reverse-Dependencies die Migration, sollen die Maintainer entsprechende Release-Critical-Bugs melden.

Lesen Sie auch


(fo)



Source link

Weiterlesen

Beliebt