Connect with us

Datenschutz & Sicherheit

HateAid nach US-Einreiseverbot: „Wir sollten nicht fürchten müssen, vor den Bus geschubst zu werden“


Josephine Ballon ist es gewohnt, in der Öffentlichkeit zu stehen. Als Geschäftsführerin von HateAid gibt sie viele Interviews. Ihre Organisation unterstützt Betroffene bei digitaler Gewalt, etwa ein Paar, das derzeit gegen Google klagt, weil der Konzern geklaute Nacktbilder nicht aus der Suche löscht.

Auf diese Art von Aufmerksamkeit hätten Ballon und ihre Co-Geschäftsführerin Anna-Lena von Hodenberg aber wohl gerne verzichtet: Am 23. Dezember verkündete das US-amerikanische State Department, die beiden dürften fortan nicht mehr in die USA einreisen. Es bezeichnete sie auf X als „radikale Aktivisten“, die Zensur gegen US-Unternehmen vorangetrieben hätten. Der US-Außenminister Marco Rubio nannte sie „führende Akteure des weltweiten Zensur-Industriekomplexes“.

Dabei erfüllen Ballon und von Hodenberg mit HateAid eine ganz offizielle Rolle, die im europäischen Gesetz für digitale Dienste (Digital Services Act, DSA) verankert ist: Als sogenannte Trusted Flagger betreiben sie eine Stelle, bei der illegale Inhalte auf Plattformen wie X oder TikTok gemeldet werden können. Dafür mussten sie sich offiziell bei der Bundesnetzagentur bewerben, die in Deutschland für die Aufsicht über das Gesetz zuständig ist. Es gelten strenge Auflagen, wie diese Arbeit abläuft.

Genutzt hat den beiden Geschäftsführerinnen das kaum. Sie bekamen nach der Meldung kurz vor Weihnachten zwar viel öffentliche Rückendeckung aus der Politik. Doch gegen die Einreiseverbote kann Deutschland diplomatisch derzeit wenig ausrichten. Und diese könnten auch nur der Anfang sein, berichtet Ballon im Videotelefonat vor der Digitalkonferenz re:publica.

netzpolitik.org: Die US-Regierung hat Ende 2025 Einreiseverbote gegen dich und deine Co-Geschäftsführerin verhängt und euch vorgeworfen, ihr würdet euch an „Zensur“ gegen US-Plattformen beteiligen. Wie hat das euer Leben verändert?

Josephine Ballon: Wir dürfen nicht mehr in die USA einreisen, mit hoher Wahrscheinlichkeit sind auch unsere Familienmitglieder betroffen. Genau wissen wir das aber nicht, denn wir wurden nicht direkt informiert. Ich habe keine E‑Mail bekommen, in der stand: Sie haben ein Einreiseverbot und das ist die Rechtsbehelfsbelehrung. Erfahren haben wir von den Sanktionen am Tag vor Heiligabend aus Nachrichten des State Departments auf der Plattform X.

„Das Einreiseverbot könnte erst der Anfang sein“

netzpolitik.org: Wie trifft euch diese Einreisesperre im Alltag?

Josephine Ballon: In die USA zu reisen, ist für uns weder persönlich noch beruflich zwingend notwendig. Was das angeht, haben sie sich die Falschen ausgesucht. Es schickt aber ein Signal an alle, die sich wie wir beruflich mit der Digital Services Act beschäftigen. Und das lautet: Anderen könnte das ebenso passieren. Zugleich könnte das Einreiseverbot auch erst der Anfang sein.

netzpolitik.org: Von den Richter*innen des Internationalen Strafgerichtshof ist bekannt, wie weit solche Sanktionen reichen können: Selbst europäische Banken haben ihnen die Konten gekündigt. Sie können keine Kreditkarten mehr nutzen, ihre E‑Mail-Konten wurden gesperrt, ihre Apple- und Google-Geräte unbrauchbar.

Josephine Ballon: Auch wir befürchten solche Finanzsanktionen, die sehr weitreichende Folgen für unseren Alltag hier in Deutschland hätten. Die könnten auch unsere Familien betreffen und alle weiteren Menschen, die mit uns oder HateAid als Organisation zu tun haben.

netzpolitik.org: Wie wahrscheinlich ist es, dass solche Sanktionen noch folgen könnten?

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Josephine Ballon: Eine Anwältin aus den USA, mit der ich gesprochen habe, formuliert es so: Meistens bleibt ein Einreiseverbot ein Einreiseverbot. Aber immer, wenn Sanktionen verhängt wurden, ging dem ein Einreiseverbot voraus. Wir müssen das also ernst nehmen.

netzpolitik.org: Wie bereitet ihr euch auf ein solches Szenario vor?

Josephine Ballon: Wir lassen uns beraten, aber es ist gar nicht so leicht, Menschen zu finden, die sich damit auskennen. Wir beobachten die Lage in den USA und achten darauf, ob sich die Lage dort für uns weiter zuspitzen könnte. Wir versuchen uns auch mit Personen zu vernetzen, die sich im Ernstfall für uns einsetzen könnten.

„Wir haben gleich unser Paypal-Konto leergeräumt“

netzpolitik.org: Auch die Bankkonten von HateAid oder die Software, mit der ihr arbeitet, könnten dann betroffen sein. Was tut ihr, um euch auf solche Szenarien vorzubereiten?

Josephine Ballon: Wir haben gleich in der Nacht zu Heiligabend unser Paypal-Konto leer geräumt. Das Problem war dann, dass die Leute um 2 Uhr nachts, als die Nachricht bekannt wurde, angefangen haben zu spenden. Wir mussten das in den Tagen darauf also noch zwei Mal wiederholen.

Wir stellen uns außerdem so auf, dass wir nicht von einer einzigen Bank abhängig sind, die uns das Konto abschalten könnte. Wir ergreifen Maßnahmen, um den Grundbetrieb weiter laufen zu lassen, etwa Gehälter zahlen zu können. Und wir schauen auf unsere IT-Systeme, weil wir fürchten, dass wir im Zweifel nicht nur vom Zahlungsverkehr ausgeschlossen werden, sondern auch Microsoft uns aussperrt.

netzpolitik.org: Der Internationale Strafgerichtshof hat seine gesamte IT-Infrastruktur vor kurzem aus genau diesem Grund auf eine Open-Source-Lösung umgezogen. Erwägt ihr das auch?

Josephine Ballon: Auch wir versuchen, uns digital unabhängig zu machen von US-Unternehmen und arbeiten am Umstieg auf Open-Source-Lösungen. Bisher bedeutet Sicherheit für uns: Schutz vor Phishing-Angriffen oder vor Datenklau. Jetzt geht es um die Sicherheit, dass wir morgen noch in unsere E‑Mail-Konten kommen. In einem ersten Schritt haben wir all unsere Daten gesichert und dafür gesorgt, dass wir im schlimmsten Fall weiter das Team erreichen können, um nächste Schritte mitzuteilen. Der nächste Schritt ist, dass wir uns komplett unabhängig machen. Dieser Schritt ist aber offensichtlich noch nicht vollzogen, denn wir reden ja miteinander über Microsoft Teams.

netzpolitik.org: Die Nachricht von den Einreiseverboten gegen euch hat vergangenes Jahr sehr viel Aufmerksamkeit bekommen. Haben Förderer oder Partner*innen sich danach zurückgezogen?

Josephine Ballon: Wir haben Förderpartner verloren. Menschen, mit denen wir teils schon lange zusammenarbeiten, haben die Kooperation mit uns eingestellt, weil sie befürchten, durch uns auch ins Visier der US-Regierung zu geraten.

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Eigentlich wird ein Einreiseverbot als vertraulich eingestuft – das haben wir später vom Auswärtigen Amt erfahren. Die US-Regierung hat sich in unserem Fall aber entschieden, es öffentlich auf X bekanntzugeben. Diese Prangerwirkung war also durchaus beabsichtigt. Leute überlegen sich jetzt, ob sie noch auf einem Foto mit uns sein wollen. Das verstehe ich einerseits persönlich. Auf der anderen Seite ist es traurig zu sehen, wie weit verbreitet so ein Gehorsam ist.

netzpolitik.org: Bundesjustizministerin Stefanie Hubig (SPD) sicherte euch nach der Ankündigung die Unterstützung der Bundesregierung zu. Auch der Außenminister stellte sich hinter euch. Wie hat sich diese Unterstützung gezeigt?

„Wir sind ein Testballon“

Josephine Ballon: Die öffentliche Positionierung war wichtig. Uns war schnell klar: Wie die Maßnahmen wahrgenommen werden, wird auch davon abhängen, wer sich mit uns solidarisiert. Es war auch wichtig, um zu zeigen: Wir als Politiker*innen stehen hinter dem Digital Services Act und Menschen, die Rollen innerhalb des Gesetzes einnehmen, werden geschützt.

Wir hätten uns allerdings mehr praktische Unterstützung erhofft. Das Auswärtige Amt hat sich nicht mit uns in Verbindung gesetzt, dabei hatten wir sehr viele Fragen. Wir mussten uns selbst um einen Termin kümmern und haben erst drei Wochen später dort erfahren, dass ein Einreiseverbot eigentlich gar kein offizielles Sanktionswerkzeug ist. Es war die Sprache des State Department, die uns hier wohl bewusst einschüchtern sollte. Wir wurden mit sogenannten Magnistky Sanctions bedroht, das sind Sanktionen, die für Menschenrechtsverbrechen eingeführt wurden. Wir wurden als radikale Aktivistinnen bezeichnet und als Agentinnen des industriellen Zensurkomplexes.

netzpolitik.org: Das klingt enttäuscht.

Josephine Ballon: Zum Teil war es sicher auch Überforderung. Wir waren ein Präzedenzfall und es wusste erst mal keiner so Recht, was man überhaupt tun kann.

Zugleich hätte es aus meiner Sicht auch genug Gründe für die Bundesregierung gegeben, diese Sanktionen persönlich zu nehmen. Denn wir wurden ja angegriffen für eine Funktion, die wir im Rahmen eines EU-Gesetzes erfüllen. Diese ist in einem Gesetz vorgeschrieben, wir mussten dafür einen Zulassungsprozess bei einer Behörde durchlaufen. Nach meinem Kenntnisstand wurde es gegenüber der US Regierung bisher nicht thematisiert.

Schon klar: Das Schicksal von Deutschland entscheidet sich nicht an uns. Aber wir sind ein Testballon. Die US-Regierung schaut, wie weit sie gehen kann und welche Folgen das hat. Und da gilt: Aus Sicht der USA hatte es gar keine Folgen.

netzpolitik.org: Die Sanktionen sind ein Angriff auf euch als Personen, der eigentliche Adressat ist aber die EU-Kommission, die mit einem neuen Regelwerk gegen US-Konzerne wie X, Google und Meta vorgeht. Wie sollte die EU auf diese Angriffe reagieren?

Josephine Ballon: Sie sollte den Digital Services Act entschieden durchsetzen. Es gibt viele Aufsichtsverfahren gegen US-Plattformen, die kurz vor dem Abschluss stehen müssten. Da muss man nicht erst wissenschaftliche Gutachten einholen, um zu verstehen, dass es sich dabei um Gesetzesverstöße handelt – etwa, wenn die Plattformen keine nutzerfreundlichen Meldewege anbieten. Trotzdem hat die Kommission bislang nur ein einziges Bußgeld verhängt. In ein paar weiteren Fällen mit TikTok hat man Verfahren mit einer Einigung beigelegt.

Eine entschiedene Durchsetzung wäre auch der beste Weg, um der Zivilgesellschaft und Forscher*innen zu zeigen, ihr steht auf der richtigen Seite. Wenn euch etwas passiert, könnt ihr euch dem Rückhalt der Institutionen sicher sein. Der DSA hat uns ja viel Transparenz versprochen und bisher nur wenig davon geliefert. Wir brauchen die unabhängige Forschung und die Berichte der Trusted Flagger, wenn wir uns nicht nur auf die Angaben der Plattformen verlassen wollen. Diese Menschen sollten wir versuchen zu beschützen, wenn wir wollen, dass dieses Gesetz funktioniert. Wir sollten nicht befürchten müssen, vor den Bus geschubst zu werden.



Source link

Datenschutz & Sicherheit

Sicherheitsalbtraum Wechselrichter: Hoymiles lässt Nachbarschaften verstummen


Der Ausbau der dezentralen Energieerzeugung offenbart immer wieder Defizite bei der IT-Sicherheit marktführender Hardware. Im Fokus steht erneut die chinesische Firma Hoymiles, die nach eigenen Angaben rund 20 Prozent des europäischen Marktes für Mikrowechselrichter bedient. Diese sind in Balkonkraftwerken und kleineren Dachsolaranlagen verbaut. Der Sicherheitsforscher Benedikt Heinz alias Hunz hat zusammen mit dem Chaos Computer Club (CCC) weitreichende Sicherheitslücken aufgedeckt: Mit einfachen Mitteln aus der elektronischen Grabbelkiste und wenig Know-how ist es demnach möglich, Solaranlagen in der Nachbarschaft im Vorbeifahren zu manipulieren, abzuschalten oder dauerhaft unbrauchbar zu machen.

Weiterlesen nach der Anzeige

Das Problem liegt laut den Schwachstellenbeschreibungen in den Funkprotokollen, über die die Wechselrichter der HM- sowie der HMS- und HMT-Serien mit den zugehörigen Steuereinheiten kommunizieren. Der Austausch erfolgt unverschlüsselt über die Frequenzbänder 868 MHz und 2,4 GHz. Hobby-Bastler und Open-Source-Projekte wie OpenDTU oder AhoyDTU gingen bisher davon aus, dass Angriffe zumindest die Kenntnis der individuellen Seriennummer des Geräts voraussetzen. Doch Hunz entdeckte eine undokumentierte Funktion in der Firmware. Wird dieser Rundrufbefehl ausgesendet, antworten alle erreichbaren Hoymiles-Wechselrichter in der Umgebung und übermitteln ihre Seriennummer im Klartext per Funk.

Bei experimentellen Tests reichte ein modifizierter, handlicher Scanner aus, um innerhalb von 20 Minuten zwei Dutzend fremde Wechselrichter samt ihrer eindeutigen Identifikationsnummern und Modell-IDs zu lokalisieren. Da die Reichweite der Funksignale mehrere hundert Meter betragen kann, ließe sich eine solche Angriffshardware sogar problemlos auf eine Drohne montieren, um ganze Wohngebiete systematisch zu erfassen.

Sobald ein Angreifer im Besitz der Seriennummern ist, steht ihm das ganze Spektrum der Gerätefernsteuerung offen. Da die Integrität der Datenpakete nur durch simple Prüfsummen geschützt wird, die sich bei Modifikationen mathematisch leicht neu berechnen lassen, existiert keine echte Authentifizierung.

Ein Angreifer kann die Wechselrichter nach Belieben ein- oder ausschalten und Leistungslimits manipulieren. Über den ungeschützten Funkbefehl zur Aktualisierung der Firmware lässt sich sogar Schadsoftware einschleusen. Der Forscher demonstrierte das anhand eines eigenen Test-Programms, das die Relais und LEDs des Wechselrichters in Dauerschleife schaltete. Werden gezielt sensible Netzparameter verändert oder die internen Speicherbereiche des Bootloaders gelöscht, drohen Brände, elektrische Unfälle oder die Zerstörung des Geräts. Das lässt sich danach nur noch durch Öffnen des Gehäuses reparieren.

Weiterlesen nach der Anzeige

Hersteller Hoymiles reagierte im Rahmen des Disclosure-Prozesses irritiert bis gar nicht und stellte bisher keinen Patch zur Verfügung. Auch staatliche Aufsichtsbehörden winkten ab: Mögliche plötzliche Leistungseinbrüche im Gigawatt-Bereich durch ein koordiniertes Abschalten von Solaranlagen könnten von den Netzbetreibern abgefangen werden. Der CCC warnt indes vor einem systemischen Risiko und einer Wild-West-Manier beim Ausbau des Internet of Things (IoT). IT-Sicherheit im Energiesektor dürfe nicht erst bei Großkraftwerken anfangen, sondern müsse auch im Vorgarten und auf dem Balkon gelten.

Die Hacker fordern verbindliche Mindeststandards und ein Verbot von Einspeisegeräten in der EU, die Firmware-Updates ohne kryptografische Authentifizierung via Funk akzeptieren. Bis echte Patches vorliegen, bleibt Betreibern als Notlösung nur, über die Original-Software ein Diebstahlschutzpasswort zu vergeben, die Abfrageintervalle in Open-Source-Tools drastisch zu erhöhen oder die Solarmodule physisch vom Wechselrichter zu trennen.


(cku)



Source link

Weiterlesen

Datenschutz & Sicherheit

Zimbra Collaboration Suite: Kritische Lücke macht Classic Web Client angreifbar


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Die Zimbra-Entwickler haben im Zuge eines Patch Release Updates auf Version 10.1.19 der Zimbra Collaboration Suite (ZCS) auf ein mögliches Sicherheitsrisiko aufmerksam gemacht. Laut Patch Release Notes kann die zugrundeliegende Schwachstelle ausschließlich über die Komponente Classic Web Client missbraucht werden, wird in diesem Kontext allerdings als „kritisch“ bezeichnet.

Weiterlesen nach der Anzeige

Die betreffende, bislang nicht mit einer CVE-ID bezeichnete Lücke könnte demnach von Angreifern missbraucht werden, um speziell präparierte E-Mails zu verschicken. In ZCS-Versionen vor 10.1.19 könnte darin enthaltener, schädlicher Programmcode möglicherweise bereits beim Öffnen der betreffenden Mail zur Ausführung kommen.

Wie das Zimbra-Team etwas vage ausführt, könnten sich Angreifer auf diesem Wege unbefugten Zugriff auf Mailbox-, Session- oder Account-Informationen verschaffen. Wie aus den separat veröffentlichten Release-Notes zu 10.1.19 hervorgeht, handelt es sich technisch wohl um einen Stored-Cross-Site-Scripting-Angriff.

Admins tun auch dann gut daran, die ZCS auf den neuesten Stand zu bringen, wenn der Classic Web Client im Unternehmen nicht zum Einsatz kommt. Erst vor wenigen Monaten hat die US-Sicherheitsbehörde vor aktiven Angriffen auf die Collaboration Suite gewarnt. Auch damals hatten die Übeltäter eine Cross-Site-Scripting-Lücke im Visier. Im Hinblick auf den aktuellen Lückenfund bislang zwar keine Exploitversuche bekannt; dennoch ist es ratsam, zeitnah zu handeln.

Endanwender verwundbarer ZCS-Versionen sollten derweil auf die Nutzung des Classic Client verzichten und alternativ etwa auf den Modern Client umschwenken, bis das Update eingespielt wurde.

Upgrade-Anleitungen, je nach Ausgangsversion, sind den Release Notes zu entnehmen.

//Update 07.07.26, 14:52: Anriss und Text nach Leserfeedback angepasst (Update-Verantwortung liegt bei den Admins).

Weiterlesen nach der Anzeige


(ovw)



Source link

Weiterlesen

Datenschutz & Sicherheit

Widerstand gegen Beseitigung der Informationsfreiheit: „Keine lästige Pflicht, sondern historische Errungenschaft“


Die Idee der Koalition aus CDU, CSU und SPD, den gesetzlichen Anspruch auf Informationsfreiheit in großem Maße zurückzufahren, stößt weiter auf starken Widerstand: Heute taten sich mehr als hundert Organisationen zusammen, um in einem offenen Brief dagegen zu protestieren. Die Informationsfreiheit dürfe nicht in so drastischem Maße beschränkt werden. Sie weisen auf den Umstand hin, dass gerade auch Skandale von Koalitionspolitikern mit Hilfe des Informationsfreiheitsgesetzes (IFG) rausgekommen seien.

Eine Petition mit derzeit 370.000 Unterzeichnern, die sich explizit an die Sozialdemokraten richtet, fordert von der SPD-Fraktion im Bundestag: SPD, stoppt den Frontalangriff auf die Informationsfreiheit! Die Informationsfreiheit müsse bewahrt werden.

Lars Klingbeil, SPD-Chef und Vizekanzler, erklärte auf Nachfrage gestern in der Bundespressekonferenz nur, es gäbe „Schwachpunkte“ beim IFG. Das hätte die Regierung festgestellt. Er halte das Vorhaben aber für „vertretbar“, man wolle das IFG „reformieren und weiterentwickeln“.

Diese Haltung verwundert, denn in der vergangenen Legislaturperiode wollte die SPD in der Ampel-Koalition noch ein Bundestransparenzgesetz einführen. Es sollte die Informationsfreiheit erheblich ausbauen und Behörden dazu verpflichten, von sich aus Informationen freizugeben anstatt bei IFG-Anfragen nur zu reagieren.

„Keine lästige Pflicht der Verwaltung“

Der Begriff Informationsfreiheit beschreibt das Recht auf Zugang zu amtlichen Informationen. Schwarz-Schwarz-Rot preist diese staatliche Transparenz nicht mal mehr in Sonntagsreden, sondern plant unter dem Motto des „Bürokratierückbaus“ die faktische Abschaffung des Informationsfreiheitsgesetzes. An staatliche Informationen zu gelangen, würde dann erheblich erschwert oder gar nicht mehr möglich sein. Auch die Gebühren für die wenigen Anfragen, die noch zugelassen wären, sollen explodieren.

Schwarz-Rot plant Frontalangriff auf Journalismus und Transparenz

Gestern kritisierten auch die Informationsfreiheitsbeauftragten von Bund und Ländern die Pläne: Informationsfreiheit sei „keine lästige Pflicht der Verwaltung, sondern eine historische Errungenschaft in Europa für mehr Transparenz staatlichen Handelns“.

Sie wehrten sich auch gegen die Begründung des Vorhabens: Neben dem „Bürokratierückbau“ war für die Unterminierung der Informationsfreiheitsrechte auch mit der staatlichen Resilienz argumentiert worden. Dem besonderen Schutzbedarf bestimmter Bereiche wie kritischer Infrastrukturen, aber auch „der Spionageabwehr, der Terrorismusbekämpfung oder auch der wissenschaftlichen Forschung“ wolle man stärker Rechnung tragen, schrieben die Koalitionäre.

Dieses Argument sei jedoch nur vorgeschoben, erklärten die Informationsfreiheitsbeauftragten. Das Auskunftsrecht biete nämlich bereits einen umfassenden Schutz für Sicherheitsinteressen.

Pressefreiheit bedroht

Der heute veröffentlichte offene Protestbrief richtet sich an die Bundesregierung, das Bundesinnenministerium und die Bundestagsabgeordneten im Innenausschuss. Die Unterzeichner, darunter Amnesty International, Greenpeace, LobbyControl, Wikimedia Deutschland, der Chaos Computer Club, der Naturschutzbund Deutschland (NABU), abgeordnetenwatch, FragDenStaat, die Deutsche Journalistinnen- und Journalisten-Union (dju), Reporter ohne Grenzen, der Deutsche Journalisten-Verband und Zeitungen wie der Freitag und die taz, kritisieren das rückwärtsgewandte Staatsverständnis der Koalition. Sie bezeichnen die geplanten Änderungen am Informationsfreiheitsgesetz als einen „massiven Rückschritt für die gesellschaftlichen Freiheitsrechte“. Das Vorhaben sei alarmierend.

Besonders hart käme es für Journalisten und die Pressefreiheit, so die Unterzeichner:

Das IFG ermöglicht seit 20 Jahren, dass Korruption und Machtmissbrauch konsequent aufgedeckt werden. Sollten die geplanten Anpassungen von Ihnen umgesetzt werden, so wäre das nicht nur das Aus für einen Großteil der IFG-Anträge, sondern auch ein fataler Einschnitt in die Pressefreiheit in Deutschland.

Die Ideen entsprächen auch nicht dem Willen der Mehrheit der Menschen: „Ein Großteil der Bevölkerung (83 %) wünscht sich […] mehr proaktive Transparenz und Informationsfreiheit der Behörden.“


Offenlegung: Die Autorin ist ehrenamtlich Sprecherin des Chaos Computer Clubs, der zu den Unterzeichnern des offenen Briefes gehört. Als solche, aber auch als langjährige IFG-Nutzerin, als Autorin und Publizistin stehe ich vollumfänglich hinter dem Anliegen des Briefes.



Source link

Weiterlesen

Beliebt