Datenschutz & Sicherheit
Das soll die digitale Brieftasche in Deutschland können
Das Bundesdigitalministerium hat einen Entwurf für das Digitale-Identitätengesetz (DIdG) veröffentlicht. Es soll die EU-Vorgabe umsetzen, wonach jeder Mitgliedstaat bis Ende 2026 mindestens eine „Europäische Brieftasche für die Digitale Identität“ (EUDI‑Wallet) bereitstellen muss.
Die EUDI-Wallet ist eine App auf dem Smartphone, die Nutzer:innen künftig als digitale Brieftasche verwenden können. Statt Personalausweis oder Führerschein in Papierform mitzuführen, sollen sie Dokumente dann digital auf dem Smartphone speichern und so die eigene Identität gegenüber Behörden oder Unternehmen nachweisen können.
Konkret regelt der Entwurf, welche Behörden für welche Aufgaben zuständig sind, wie eine Wallet bereitgestellt werden kann und wie sie im laufenden Betrieb überwacht wird. Demnach soll das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) weitgehende Durchgriffsrechte bei der Wallet erhalten. Außerdem sieht der Entwurf vor, dass die Wallet perspektivisch auch für Alterskontrollen bei Kindern erprobt werden kann. Und sie soll künftig auch zum Bezahlen eingesetzt werden – und damit perspektivisch das physische Portemonnaie ersetzen.
Fünf wichtige Akteure
Im Zentrum des Entwurfs steht das neue „Gesetz zur Durchführung der unionsrechtlichen Vorschriften über die Europäische Brieftasche für die Digitale Identität“ (EBDIG). Daneben verändert der Entwurf verschiedene bestehende Gesetze, wie das Onlinezugangsgesetz (OZG), das Vertrauensdienstegesetz sowie verschiedene Telekommunikationsverordnungen.
Das EBDIG soll regeln, welche Ministerien und Behörden für die Wallet zuständig sind. Insgesamt fünf Akteure sind hier wichtig. Demnach entscheidet das BMDS darüber, wie eine Wallet in Deutschland bereitgestellt wird. Drei Möglichkeiten sind vorgesehen: Erstens kann der Staat die Wallet selbst entwickeln und betreiben. Oder er schreibt zweitens die Entwicklung aus und beauftragt ein privates Unternehmen damit. Drittens können private Unternehmen eigene Wallets anbieten, die der Staat dann prüft und offiziell anerkennt. Das BMDS kann dabei auch mehrere dieser Wege gleichzeitig gehen und die Entscheidung laut Entwurf jederzeit ändern.
Wer die Wallet nutzt, soll laut EU-Verordnung transparent darüber bestimmen können, welche Daten an sogenannte „relying parties“ weitergegeben werden. Diese „vertrauenden Beteiligten“ können eine Bank, ein Online-Shop oder eine Behörde sein. Der Gesetzentwurf sieht vor, dass sie sich in Deutschland zuvor beim Bundesverwaltungsamt (BVA) registrieren müssen.
Die Bundesnetzagentur (BNetzA) soll hingegen die nationale Marktaufsicht übernehmen und damit ebenfalls eine zentrale Funktion innehaben. Die Behörde prüft, ob staatliche und private Wallet-Anbieter die europäischen Sicherheits- und Datenschutzvorgaben einhalten. Außerdem ist sie die einheitliche Anlaufstelle gegenüber der EU. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert Wallet-Lösungen und überwacht Sicherheitsverletzungen.
Schließlich gibt es noch die sogenannte Akkreditierungsstelle. Sie agiert gewissermaßen als Prüfstelle der Prüfstellen und stellt so sicher, dass unabhängige Stellen, die Wallet-Lösungen technisch prüfen, dafür ausreichend kompetent und vertrauenswürdig sind.
Viele Durchgriffsrechte fürs Digitalministerium
Immer wieder betont Digitalminister Karsten Wildberger (CDU), dass man bei der Digitalisierung nun endlich anpacken und ins Machen kommen müsse. Dieser Anspruch schlägt sich auch im Gesetzentwurf nieder. Denn der sieht für das BMDS zahlreiche Durchgriffsrechte vor. Wichtige Weichenstellungen würden damit durch die Exekutive und nicht durch den Bundestag oder die Parlamente der Länder erfolgen.
Demnach darf das Ministerium ohne Zustimmung des Bundesrats etwa technische Details und weitere Funktionen festlegen. Das Ministerium soll dabei auch jene Verfahren festlegen dürfen, über die sich Nutzer:innen identifizieren, wenn sie ihre Wallet freischalten.
Hier will sich das Ministerium anscheinend den Weg zu alternativen Identifikationsmethoden offenhalten – und Szenarien wie bei der elektronischen Patientenakte vermeiden. Die Nutzungszahlen der ePA bleiben bislang weit hinter den Erwartungen zurück. Deshalb können Versicherte die ePA inzwischen auch per Video-Ident-Verfahren freischalten. Sicherheitsfachleute kritisieren das Verfahren allerdings als weniger sicher.
Die wichtigsten Fragen und Antworten zur digitalen Brieftasche
Wallet für 12-Jährige: Mögliche Grundlage für Alterskontrollen
Eine „Experimentierklausel“ im Gesetzentwurf wird hier konkreter. Sie erlaubt es dem BMDS, neue Verfahren zu erproben, mit denen Nutzer:innen nachweisen, wer sie sind – und zwar auch unter Einbeziehung „geeigneter, zuverlässiger Dritter“. Das können etwa Post- oder Bankdienstleister sein, gegenüber denen sich Bürger:innen vor Ort ausweisen können, um ihre persönliche Wallet freizuschalten. Tatsächlich verfügen etwa die Sparkassen bereits über Lösungen, die als Ersatz für den ePerso dienen könnten.
Die Experementierklausel sieht außerdem die Möglichkeit vor, dass Kinder ab 12 Jahren die Wallet nutzen können. Das deutet darauf hin, dass das Ministerium die digitale Brieftasche auch für Alterskontrollen auf Social-Media-Plattformen erproben möchte.
Solche Alterskontrollen im Netz fordern CDU und Teile der SPD, um ein Social-Media-Verbot für Minderjährige durchzusetzen. Allerdings besteht eine Ausweispflicht in Deutschland erst ab einem Alter von 16 Jahren. Anscheinend erwägt das BMDS, die Wallet hier als technische Lösung zu verwenden. Der Gesetzentwurf nennt dabei ein Mindestalter von 12 Jahren. Bei den derzeit diskutierten Alterskontrollen liegt die vorgeschlagene Schwelle oftmals bei 14 beziehungsweise 16 Jahren.
Wir sind communityfinanziert
Unterstütze auch Du unsere Arbeit mit einer Spende.
Kartenzahlung soll die Wallet auch noch können
Die Wallet soll perspektivisch nicht nur Ausweise und Führerschein bereithalten, sondern auch als Zahlungsmittel dienen. In der Begründung des Entwurfs verweist das BMDS darauf, dass die Integration von Zahlungsfunktionen ein Ziel des Koalitionsvertrages von CDU/CSU und SPD ist.
Der Entwurf sieht vor, dass bestehende Zahlungsmittel der Nutzer:innen „als zusätzliche Funktion“ in die Wallet eingebunden werden können. Als Beispiele nennt der Entwurf „Kreditkarten, virtuelle Debitkarten sowie Online-Bezahldienste“.
Gleichzeitig macht der Entwurf hier enge Vorgaben. So muss ein Zahlungsmittel den Nutzer:innen bereits gehören und außerhalb der Wallet existieren. Es darf also kein neues Zahlungsmittel aus der Wallet heraus erstellt werden. Auch ist die Zahlungsfunktion unzulässig, wenn sie die Kernfunktionen der Wallet beeinträchtigt, deren Sicherheit gefährdet oder „unangemessene Risiken“ für Nutzer:innen schafft.
Außerdem braucht das BMDS für alle Verordnungen, die Zahlungen betreffen, die Zustimmung des Finanzministeriums. Will ein Anbieter eine Zahlungsfunktion in seine Wallet einbinden, muss er dies zudem mindestens drei Monate vorher beim BSI anzeigen.
Ministerium drückt aufs Tempo
Das Digitalministerium hat bis zum Jahresende nicht mehr viel Zeit und drückt daher aufs Tempo.
Aktuell stimmen sich die verschiedenen Bundesministerien über den Entwurf ab. Parallel dazu findet eine Länder- und Verbändeanhörung statt, die trotz der Osterfeiertage bereits bis zum 15. April abgeschlossen sein soll. Eine weitere Stellungnahmenfrist ist laut Ministerium nicht geplant.
Die kurzen Fristen erklärt das Ministerium in einer E-Mail an die Verbände mit „der Dringlichkeit des Vorhabens und des Laufs der unionsrechtlichen Frist zur Bereitstellung einer EUDI-Wallet bis 24. Dezember 2026“. Voraussichtlich im Sommer wird sich dann das Bundeskabinett mit dem Gesetz befassen.
Datenschutz & Sicherheit
Polymarket: Kriminelle sollen Kryptowerte in Millionenhöhe gestohlen haben
Polymarket bestätigte am Donnerstag, dass ein kompromittierter Drittanbieter für einige Nutzer Schadcode in die Website eingeschleust habe. Der Vorfall sei eingedämmt und die betroffene Komponente entfernt worden. Betroffene Nutzer würden kontaktiert und vollständig entschädigt, schreibt das Unternehmen auf X.
Weiterlesen nach der Anzeige
Weitere Details nannte Polymarket zunächst nicht. Unklar bleibt, welcher Dienstleister kompromittiert wurde, wie der Angriff im Einzelnen ablief, wie viele Nutzer betroffen waren und wie hoch der Schaden ist. Gegenüber TechCrunch bestätigte ein Polymarket-Sprecher lediglich, dass bei dem Vorfall Geld von Nutzern gestohlen wurde.
Die Blockchain-Sicherheitsfirma PeckShield meldete auf X, dass es sich offenbar um eine Phishing-Kampagne gegen Polymarket-Nutzer handelt. Dabei sollen Kryptowerte im Wert von rund 3 Millionen US-Dollar gestohlen worden sein, konkret PUSD. PUSD ist der an den US-Dollar gekoppelte interne Dollar-Token, mit dem Polymarket Wetten abrechnet. Der Angreifer habe die gestohlenen Werte über eine Bridge vom Polygon-Netzwerk ins Ethereum-Netzwerk verschoben und dort in Ether getauscht.
Prognosemärkte: Zwischen Boom und Kritik
Polymarket war erst wenige Tage zuvor wegen mutmaßlich manipulativer Influencer-Werbung in die Kritik geraten. Laut Wall Street Journal soll das Unternehmen Influencer für Videos bezahlt haben, in denen angebliche Wetten und Gewinne gezeigt wurden, die tatsächlich auf nachgebauten Seiten oder internen Testumgebungen entstanden.
Prognosemärkte wie Polymarket und Kalshi verzeichnen starkes Wachstum, sind rechtlich und politisch aber stark umstritten. In den USA laufen derzeit mehr als 30 Verfahren zur Zulässigkeit solcher Plattformen. Kritiker befürchten, dass Prognosemärkte Grenzen verschieben: Informationen aus erster Hand könnten zu Wettvorteilen werden, Krisen und Unglücke zu Anlageobjekten. Besonders problematisch wäre es, wenn finanzielle Interessen nicht nur auf den Ausgang eines Ereignisses setzen, sondern diesen selbst beeinflussen.
Trotzdem wächst der Markt inzwischen so stark, dass er neue Wettbewerber auf den Plan ruft: So soll Meta Berichten zufolge an einer Prognoseplattform namens „Arena“ arbeiten, bei der wohl aus rechtlichen Bedenken zunächst Spielgeld statt Echtgeld eingesetzt würde.
Weiterlesen nach der Anzeige
(tobe)
Datenschutz & Sicherheit
Netzwerkbetriebssystem Arista EOS: Angreifer können Systemdaten manipulieren
Wenn Admins in Cloud-Infrastrukturen oder Rechenzentren Router und Switches mit Arista EOS nutzen, können Angreifer an mehreren Schwachstellen ansetzen. Stimmen die Voraussetzungen, sind Systeme kompromittierbar. Bislang gibt es keine Hinweise auf bereits laufende Attacken.
Weiterlesen nach der Anzeige
Mehrere Gefahren
In einer Warnmeldung finden sich unter anderem Informationen zu einer „kritischen“ Lücke (CVE-2026-11705). Daran können Angreifer aber nur ansetzen, wenn im Kontext von Streaming Telemetry Agent die TerminAttrRW-Option aktiv ist. Den Entwicklern zufolge ist das aber keine Standardeinstellung, sodass Geräte nicht per se angreifbar sind.
Ist die Voraussetzung erfüllt, können Angreifer durch das Versenden von präparierten Paketen Fehler auslösen und danach Systemdaten modifizieren. Aufgrund der kritischen Einstufung ist davon auszugehen, dass Geräte danach als kompromittiert gelten.
Bislang ist dagegen nur die EOS-Version 4.36.1F erschienen. Für ältere Ausgaben sind bislang nur Fixes verfügbar, die Arista in der Warnmeldung auflistet. Weitere Sicherheitspatches sollen folgen. Um Netzwerke vor solchen Attacken zu schützen, können Admins den Streaming-Telemetry-Agenten (TerminAttr) deaktivieren.
Durch das erfolgreiche Ausnutzen weiterer Lücken werden etwa manipulierte Zertifikate akzeptiert (CVE-2026-52896 „hoch“) oder Angreifer können Zugangsdaten einsehen (CVE-202652895 „mittel“).
In einer weiteren Warnmeldung führen die Entwickler noch eine Lücke (CVE-2026-12546 „mittel“) auf. Darüber ist die Authentifizierung umgehbar. In den verlinkten Warnmeldungen finden Admins weiterführende Hinweise zu den Schwachstellen und konkret bedrohten EOS-Versionen.
Weiterlesen nach der Anzeige
(des)
Datenschutz & Sicherheit
Chrome: Zwei Updates in einer Woche
Google hat den Webbrowser Chrome zum Freitag ein zweites Mal in dieser Woche aktualisiert. Damit stopft der Hersteller insgesamt 21 Sicherheitslücken. Der Grund für das zweite ungeplante Update ist jedoch unklar. Aber der Reihe nach.
Weiterlesen nach der Anzeige
In der Nacht zum Mittwoch hat Google das übliche wöchentliche Browser-Update für Chrome herausgegeben. Das behandelt 18 Sicherheitslücken, von denen vier sogar die Risikobewertung als „kritisch“ erhalten haben. Dazu gehören zwei Use-after-free-Schwachstellen in WebGL (CVE-2026-13028, CVE-2026-13032), eine weitere in Autofill (CVE-2026-13038) sowie potenzielle Lesezugriffe außerhalb vorgesehener Speichergrenzen in der Komponente „Blink>InterestGroups“ (CVE-2026-13033). Bei Use-after-free-Sicherheitslücken greift der Programmcode auf bereits freigegebene Ressourcen zu, deren Inhalte daher nicht definiert sind. Angreifer können das oftmals sogar zum Ausführen von Schadcode missbrauchen, etwa bei der Anzeige sorgsam präparierter Webseiten.
Zum Freitag haben Googles Entwickler nun eine Aktualisierung nachgelegt, die außerhalb des üblichen Zeitplans erfolgt. Das passiert normalerweise etwa, wenn Schwachstellen bereits attackiert werden. Davon schreibt Google jedoch nichts. Lediglich drei Schwachstellen bessert das Update demnach aus, und die schätzen die Programmierer auch „nur“ als ein hohes Risiko ein. Darunter sind erneut zwei Use-after-free-Schwachstellen, einmal in Payments (CVE-2026-13282) und einmal in AdFilter (CVE-2026-13283). Außerdem korrigiert das Update einen Integer-Überlauf in der Mojo-Komponente (CVE-2026-13281).
Update außer der Reihe, aber kein Exploit
Üblicherweise schreibt Google in den Versionsankündigungen, wenn das Unternehmen davon weiß, dass Sicherheitslücken bereits im Internet angegriffen werden. In beiden Versionsankündigungen finden sich jedoch keine derartigen Hinweise. Dennoch sollten Nutzer von Chromium-basierten Webbrowsern etwaige verfügbare Aktualisierungen zügig anwenden. Das reduziert die potenzielle Angriffsfläche auf jeden Fall.
Aktuell sind ab Freitag nun die Versionen Chrome 149.0.7827.200 für Android und Linux sowie 149.0.7827.200/201 für Mac und Windows. Die lassen sich über den Versionsdialog direkt im Browser installieren (Einstellungsmenü, dort „Hilfe“ – „Über
Vor zweieinhalb Wochen musste Google mit einem Update außer der Reihe eine bereits angegriffene Schwachstelle im Webbrowser Chrome schließen.
Weiterlesen nach der Anzeige
(dmk)
Schöne neue Suchwelt: Warum Google und Co. bald für KI-Fehler haften sollen
Far Cry-Serie: Lizzy Caplan stößt zur Serien-Adaption
Großkonzern trotz Mega-Exit: Gero Decker verrät den Grund
Empfehlungsalgorithmen bei TikTok erklärt: Die Maschine hinter dem Endlos‑Feed
iX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenEmpfehlungsalgorithmen bei TikTok erklärt: Die Maschine hinter dem Endlos‑Feed
-
Künstliche Intelligenzvor 3 MonateniX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 2 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Künstliche Intelligenzvor 2 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Apps & Mobile Entwicklungvor 2 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
