Bundesjustizministerin Stefanie Hubig (SPD) hat am heutigen Freitag einen Gesetzentwurf vorgestellt, der Betroffene digitaler Gewalt besser schützen soll. Digitale Gewalt sei ein „Massenphänomen“, sagte Hubig bei der Vorstellung der Pläne. „Im Zeitalter von KI, hochauflösenden Smartphone-Kameras und sozialen Netzwerken ist es einfacher als je zuvor, Menschen in aller Öffentlichkeit zu demütigen, zum Sexualobjekt herabzuwürdigen und in ihrer Intimsphäre zu verletzen.“ Millionen von Menschen seien betroffen, „besonders häufig Frauen“.

Der Referentenentwurf ist zu einem der meist beachteten Projekte des Ministeriums geworden, nachdem der Spiegel vor zwei Wochen erstmals die Vorwürfe der Schauspielerin Collien Fernandes gegen ihren Ex-Mann Christian Ulmen öffentlich gemacht hatte. Über seinen Anwalt geht er gegen die Berichterstattung vor; es gilt die Unschuldsvermutung. Die Staatsanwaltschaft Potsdam ermittelt.

Hubig hatte den Fall zum Anlass genommen, auf den bereits im Koalitionsvertrag beschlossenen, fast fertigen Gesetzentwurf hinzuweisen und angekündigt, ihn bald vorzustellen. Nun ist es soweit.

Zu „digitaler Gewalt“ zählt das Ministerium laut Entwurf ein breites Spektrum an Taten, unter anderem „Hate Speech“, also Beiträge, die andere bedrohen, abwerten oder zu Straftaten aufrufen. Ebenso zählt dazu das unerlaubte Veröffentlichen von Daten wie Adresse oder Telefonnummer („Doxing“), das unerwünschte Versenden pornografischer Bilder („Dickpics“), der gezielte Kontakt zu Kindern mit sexueller Absicht („Cybergrooming“), außerdem bildbasierte Gewalt, Cybermobbing, Cyberstalking und Identitätsmissbrauch, etwa wenn Fake-Profile einer anderen Person erstellt werden.

Heimliches Filmen und sexualisierte Deepfakes

Der Entwurf basiert auf zwei Säulen. Die erste ist eine strafrechtliche Säule, die wir bereits Ende März veröffentlicht und analysiert haben. Darin vorgesehen sind drei neue Straftatbestände.

• Geplant ist demnach eine Überarbeitung des geltenden § 184k Strafgesetzbuch (StGB), der die Verletzung der Intimsphäre durch Bildaufnahmen regelt. Er soll künftig nicht nur das sogenannte Upskirting umfassen, sondern auch weitere Phänomene bildbasierter Gewalt, etwa das nicht-einvernehmliche Filmen in öffentlichen Saunen oder Umkleiden oder sexualisierte Deepfakes. Auch das Filmen bekleideter Körperteile wie Genitalien, Gesäß oder weiblicher Brust “in sexuell bestimmter Weise” soll verfolgt werden können. Strafmaß: bis zu zwei Jahre Haft.
• Mit einem neuen Paragrafen zur „Verletzung von Persönlichkeitsrechten durch täuschende Inhalte“ (§ 201b StGB) soll zudem das Erstellen und Verbreiten solcher Deepfakes unter Strafe gestellt werden, die “geeignet sind, dem Ansehen der dargestellten Person erheblich zu schaden”.
• Eine weitere neue Vorschrift soll außerdem das unbefugte digitale Tracken und Ausspionieren einer anderen Person unter Strafe stellen. Solches Verhalten war bislang schon im Rahmen von Nachstellung strafbar.

Auskunft zu anonymen Accounts

Neu und bislang unbekannt ist dagegen die zivilrechtliche Säule des Entwurfs. Die neuen Regeln sollen es für Betroffene von etwa beleidigenden und herabsetzenden Postings einfacher machen, selbst vor Gericht dagegen vorzugehen.

Betroffene sollen von Plattformen und Internetzugangsanbietern leichter als bisher Auskunft über die Identität einer Person hinter einem anonymen oder pseudonymen Account bekommen. Dazu sollen Anbieter künftig – sofern vorhanden – den Klarnamen und die Adresse herausgeben, wenn ein Gericht dies anordnet. Beides wird gebraucht, damit Betroffene etwa auf Unterlassung oder Schadensersatz klagen können.

Betroffene sollen eine solche Auskunft vor dem Landgericht beantragen können. Dazu müssen sie glaubhaft machen, dass eine unbekannte Person eine Rechtsverletzung begangen hat, und sie gegen diese Person zivilrechtliche Ansprüche geltend machen wollen. „Das Auskunftsverfahren ist insbesondere für Fälle gedacht, in denen die Rechtsverletzer ihre strafbaren Inhalte über einen anonymen Account in den sozialen Netzwerken verbreiten“, schreibt das Ministerium dazu.

Neu ist außerdem, dass sich Betroffene in einem Verfahren „durch zivilgesellschaftliche Organisationen als Bevollmächtigte vertreten lassen“ können, sofern das unentgeltlich – also kostenlos – geschieht. Auch das soll die Schwellen für Betroffene senken: Hilfsorganisationen könnten dann zumindest manchen Betroffenen die Kosten und Strapazen eines Gerichtsverfahrens abnehmen.

„Vorsorglich gespeicherte IP-Adressen“

Der Entwurf soll auch die Vorratsdatenspeicherung zurückbringen. Das ist ein umstrittenes Verfahren zur Massenüberwachung im Netz, das in Deutschland seit 2017 ausgesetzt ist. Im Zuge des Auskunftsanspruchs für Betroffene richtet das Gesetz den Blick zu Plattformen und Zugangsanbieter wie Vodafone oder die Telekom. Sie sollen künftig durch eine beweissichernde Anordnung dazu verpflichtet werden können, “bereits bei ihnen vorhandene Daten” über mutmaßliche Rechtsverletzer*innen zu sichern. Dazu sollen sie auch „vorsorglich gespeicherte IP-Adressen” verwenden. Der aktuell diskutierte Entwurf für die Vorratsspeicherung sieht vor, dass IP-Adressen für voraussichtlich drei Monate gespeichert werden sollen.

Die Vorratsdatenspeicherung wurde in Deutschland erstmals 2007 eingeführt, nach einem Urteil des Bundesverfassungsgerichts jedoch wieder aufgehoben, weil sie gegen Grundrechte verstieß. Eine neue Regelung von 2015 wurde später durch Urteile des Europäischen Gerichtshofs faktisch gestoppt, weil eine anlasslose, flächendeckende Speicherung von Kommunikationsdaten gegen EU-Recht verstößt.

Auf die Frage, wie sich das Vorhaben für eine erneute Speicherung von IP-Adressen mit dem EU-Recht vereinbaren lasse, sagte Hubig, es gehe bei dem Entwurf, der kommende Woche im Kabinett vorgelegt werden soll, nicht um eine Vorratsdatenspeicherung, sondern lediglich darum, IP-Adressen und Portnummern für einen Zeitraum von drei Monaten zu speichern. Das sei in dieser reduzierten Form rechtskonform. Große Netzbetreiber und Verbände kamen in ihren Stellungnahmen zu anderen Einschätzungen. 

In besonders schweren Fällen sollen Landgerichte darüber hinaus auch zeitweilige Account-Sperren verhängen können. So solle verhindert werden, das reichweitenstarke Accounts wiederholt schwere Persönlichkeitsrechtsverletzungen begehen können.

Kritik an hohen Kosten und massenhafter Datenspeicherung

Die Organisation HateAid, die Betroffene von digitaler Gewalt berät, begrüßt die geplanten Reformen im Zivilrecht und auch, dass Plattformen und Zugangsanbieter nun IP-Adressen herausgeben sollen. Zugleich weist die Organisation darauf hin, dass die Auskunftsverfahren für die Betroffenen mit hohen Kosten verbunden seien. Sie müssten nicht nur ihre eigenen Kosten, sondern auch die Gerichtskosten und die Rechtsvertretung der Plattformen selbst zahlen.

Der Entwurf sieht hierfür eine Ausnahmeregelung vor, von der Gerichte nach Erfahrung der Organisation jedoch in der Regel keinen Gebrauch machten. HateAid hatte gefordert, Gerichtskosten pauschal zu regeln.

Sieben Köpfe gegen digitale Gewalt

Benjamin Lück, Rechtsanwalt bei der Gesellschaft für Freiheitsrechte, kommt zu einem kritischeren Urteil. Gut sei, dass das Ministerium mit Account-Sperren einen wirkungsvollen Mechanismus für Betroffene vorsehe.

Die in der Begründung des Entwurfs versteckte Verknüpfung der Auskunftsansprüche mit der geplanten IP-Vorratsdatenspeicherung lehnen wir dagegen ab. Solche anlasslosen, massenhaften Datenspeicherungen halten wir grundsätzlich für das falsche Mittel.

Im Vorfeld hatten sich bereits mehrere Fachleute für digitale Gewalt gegen Überwachungsmaßnahmen zum Schutz vor digitaler Gewalt ausgesprochen, darunter auch die Vorratsdatenspeicherung.

Bereits unter der Ampel angekündigt

Mit der Vorstellung des Entwurfs liefert Hubig nun etwas, das bereits ihr Vorgänger Marco Buschmann (FDP) zur Zeit der Ampel-Regierung vor fünf Jahren angekündigt hatte. Seine Pläne zum Schutz vor digitaler Gewalt umfassten allerdings nur das Zivilrecht und versandeten zum Ende der letzten Legislaturperiode.

Hubig betont nun, sie habe ein “Gesamtkonzept” vorlegen wollen, das sowohl das Zivilrecht als auch die Verschärfungen im Strafrecht umfasst.

Der Entwurf wird nun an Verbände und Bundesländer geschickt, die Gelegenheit zur Stellungnahme bekommen. Er muss noch im Kabinett abgestimmt werden und erreicht danach erst den Bundestag und Bundesrat.

Seit Anfang März 2026 und damit etwa dreieinhalb Jahre nach Einführung der Android-Version im August 2022 – zunächst für Pixel-Geräte –, hat Google die Entwicklung und Verteilung von Sicherheitspatches eingestellt. Das Betriebssystem ist aber immer noch weit verbreitet – Nutzerinnen und Nutzer eines Geräts mit dem betagten OS sollten sich tendenziell nach einem neuen Gerät umsehen.

Keine Sicherheitspatches mehr

Knapp ein Jahr nachdem Google die Verteilung von Sicherheitspatches für Android 12 und 12L beendet hat, steht nun die nächste Android-Version vor dem Aus. Das bedeutet, dass Smartphones und Tablets, für die Android 13 das letzte Update war, keine Sicherheitsupdates für das Kernbetriebssystem mehr erhalten. Schon im Sicherheitsbulletin vom März 2026 fehlte ein Hinweis auf Android 13. Und da Google seit Juli 2025 nur noch quartalsweise Sicherheitspatches ausliefert, könnte der Patch vom Dezember 2025 gar schon der allerletzte für die OS-Version gewesen sein. Eventuelle kritische Sicherheitslücken im Kern des Betriebssystems bleiben damit bestehen. Immerhin werden sowohl Google-Apps und -Dienste als auch bestimmte OS-Komponenten, die Teil von Project Mainline sind, über die Play-Dienste aktualisiert.

Die Verantwortung hinsichtlich der Sicherheit hat Google weitgehend auf die Gerätehersteller übertragen. Nutzer können optional auch auf alternative Android-Versionen wie LineageOS oder /e/OS umsteigen, die aber wiederum auf Sicherheitspatches von Google aus dem AOSP zurückgreifen.

Über 400 Millionen Geräte

Glaubt man den Zahlen zur Android-Versionsverteilung von Google vom Dezember 2025, liegt der Marktanteil von Android 13 noch bei 13,9 Prozent. Das klingt zwar nicht nach viel, behält man jedoch im Blick, dass über drei Milliarden Android-Geräte im Umlauf sind, laufen noch mehr als 417 Millionen auf der betagten OS-Version. Auf Deutschland bezogen, können wir nur die Annäherungswerte von Statcounter heranziehen, denen zufolge hierzulande noch 11,5 Prozent der Geräte auf Android 13 basieren.

Für Besitzer eines Smartphones oder Tablets, das noch mit Android 13 läuft, wäre es nun angesichts des Supportendes des Betriebssystems an der Zeit, sich nach einem Gerät umzusehen, das regelmäßig mit systemrelevanten Sicherheitspatches versehen wird. Derzeit befindet sich das Update auf Android 17 in der Fertigstellung und wird im Juni 2026 erwartet.

(afl)

Derzeit attackieren unbekannte Angreifer die quelloffenen Message Broker Apache ActiveMQ Broker und Apache ActiveMQ und führen Schadcode aus. Dagegen gerüstete Ausgaben stehen zum Download bereit.

Attacken mit und ohne Anmeldung

Auf die Sicherheitslücke (CVE-2026-34197 „hoch“) sind Sicherheitsforscher von Horizon3 gestoßen. In einem Beitrag führen sie aus, dass die Schwachstelle seit 13 Jahren in Apache ActiveMQ Classic schlummert. Die Lücke haben sie eigenen Angaben zufolge unter anderem mit der Hilfe des Claude-LLMs entdeckt.

Der Beschreibung der Lücke zufolge setzen Angreifer an der Jolokia API an, um Konfigurationsdateien abzufangen und Schadcode auszuführen. Dafür muss ein Angreifer aber bereits an Systemen angemeldet sein. Kombiniert ein Angreifer den Forschern zufolge die aktuelle Lücke mit einer älteren Schwachstelle (CVE-2024-32114 „hoch“), sind Attacken ohne Authentifizierung möglich. Demzufolge sollten Admins schnell reagieren.

Systeme vor Attacken schützen

Nun warnt die US-Sicherheitsbehörde Cybersecurtiy & Infrastructure Security Agency (CISA) vor laufenden Attacken. In welchem Umfang die Angriffe ablaufen und wer konkret attackiert wird, ist derzeit nicht bekannt. Die technischen Details zur Lücke erläutern die Sicherheitsforscher in ihrem Beitrag. Dort gibt es weiterführende Informationen zur älteren und aktuellen Sicherheitslücke. Zusätzlich zeigen sie Parameter auf, an denen Admins bereits erfolgreich attackierte Instanzen erkennen können.

In einer Warnmeldung geben die Entwickler an, dass die Ausgaben 5.19.4 und 6.2.3 von Apache ActiveMQ Broker und Apache ActiveMQ gegen die laufenden Angriffe gerüstet sind. Alle vorigen Versionen seien verwundbar.

(des)