„FROST“ haben IT-Forscher einen Angriff auf die Privatsphäre mittels Vermessen von SSD-Zugriffszeiten genannt. Webbrowser können etwa ausforschen, welche Webseiten Nutzer besucht haben.

Die Forscher nutzen dabei hochauflösende Timer, die im Webbrowser heutzutage verfügbar sind, schreiben sie in ihrem Paper. Bei ihrem Seitenkanalangriff schicken sie Dateien über die „Origin Private File System“-API (OPFS) in JavaScript auf eine SSD und lesen diese zurück. Durch die damit erzeugte Last auf dem Laufwerk entstehen Verzögerungen, wenn andere Anwendungen ebenfalls auf die SSD zugreifen. Diese messen die Angreifer und nutzen sie, um Muster zu erkennen. Dafür haben die Forscher eine Möglichkeit gefunden, den Page-Cache des Betriebssystems zu umgehen, was ihnen direkte Messungen der SSD-Zugriffszeiten ermöglicht.

Das passiert alles innerhalb der Browser-Sandbox – ohne Benutzerinteraktion und ohne, dass lokale Programme gestartet werden müssten, direkt aus dem Webbrowser heraus. Die Angriffe haben sie unter Linux und macOS ausgetestet. Ihr verdeckter Kanal leitete unter Linux etwa 660 Bit pro Sekunde und unter macOS 892 Bit pro Sekunde aus. Damit konnten sie unter macOS mit hohen Wahrscheinlichkeiten bestimmen, auf welche Webseiten die User zugegriffen haben (88,95 Prozent), die zugegriffenen Apps sogar mit 95,83 Prozent.

Verfeinerter Angriff

Derartige Angriffe wurden bereits vorher demonstriert, ebenfalls von Forschern der TU Graz wie Daniel Gruss, Fabian Rauscher und Jonas Juffinger, die auch am FROST-Paper mitgewirkt haben. Sie basieren offenbar darauf, dass mehrere Apps gleichzeitig auf SSDs zugreifen, was zu erhöhten Latenzen oder Blockaden bei den Anfragen anderer Prozesse führt. Die Forscher sprechen von auftretenden Konflikten (contention). Unterschiedliche Webseiten und Apps weisen recht spezifische Zugriffsmuster und damit Verzögerungen auf, was eine Art digitalen Fingerabdruck darstellt. Tiefergehende Details dazu finden sich in den Studien der Forscher.

Die IT-Forscher beschreiben als Angriffsszenario, dass Angreifer Opfer dazu bringen, eine bösartige Webseite zu besuchen, die den Angriffscode ausliefert. Der Webbrowser führt den Code ohne spezielle Rechte in der Sandbox aus. Die Angreifer können dadurch Informationen über das Verhalten des Opfers aus dem System auslesen. Das Team unterstellt zudem, dass angesurfte Webseiten einfach offen bleiben, während Opfer etwas anderes erledigen, was durchaus realistisch ist. Dann kann die bösartige Webseite das Timing der SSD bestimmen und somit feststellen, welche Webseiten und Apps geöffnet sind.

Im Rahmen des Responsible Disclosure informierten die Forscher die Browser-Hersteller: Google wertet Fingerprinting-Angriffe generell nicht als Sicherheitslücken, Apple stuft FROST derzeit als außerhalb des eigenen Scopes ein, und Mozilla hat die Befunde zwar anerkannt, aber noch keine Gegenmaßnahmen ergriffen.

(dmk)

Plattformen setzen ihre eigenen Regeln gegen Hassrede, Gewalt und Kriminalität im Netz nur lückenhaft durch. Das geht aus dem zweiten Transparenzbericht des Appeals Centre Europe hervor, der Dubliner Streitbeilegungsstelle, über die man in der EU Moderationsentscheidungen von Social-Media-Plattformen anfechten kann. In 70 Prozent der geprüften Streitfälle, in denen Plattformen gemeldete Hassrede online gelassen hatten, hätte der Inhalt nach Auffassung des Zentrums gelöscht werden müssen. Bei Gewalt und Kriminalität waren es 75 Prozent.

Bei mehr als 1.400 geprüften Hassrede-Entscheidungen widersprach das Appeals Centre Europe am häufigsten TikTok: In 83 Prozent der Fälle, in denen die Plattform gemeldete Hassrede online gelassen hatte, hielt das Zentrum dies für falsch. Es folgen Instagram mit 74 Prozent, Facebook mit 61 Prozent und YouTube mit 58 Prozent. Die strittigen Inhalte richteten sich unter anderem gegen Migrant:innen, religiöse Minderheiten, Rom:nja und queere Menschen.

Das Zentrum erkennt inzwischen wiederkehrende Muster, die auf eine fehlerhafte Umsetzung der Plattformrichtlinien hindeuten – in beide Richtungen. Einerseits bleibt gemeldete Hassrede zu oft online: Ging es um Inhalte, die eine Plattform stehen gelassen hatte, kam das Zentrum in 63 Prozent der geprüften Fälle zu dem Schluss, dass sie hätten entfernt werden müssen. Andererseits löschen die Plattformen Inhalte, die gegen keine Regel verstoßen: Ging es um entfernte Inhalte, entschied das Zentrum in 52 Prozent der Fälle, dass die Löschung nicht hätte erfolgen dürfen. Bezog sich das Entfernen von Inhalten auf eingeschränkte Waren und Dienstleistungen, hielt das Zentrum die Löschung in 65 Prozent der Fälle für unberechtigt.

Der Transparenzbericht nennt auch die Zahl der gemeldeten Fälle. Zwischen April 2025 und März 2026 gingen demnach mehr als 24.000 Beschwerden ein – rechnerisch alle 22 Minuten eine. Nur etwa die Hälfte davon fiel in den Zuständigkeitsbereich der Stelle. Im März 2026 erhielt das Zentrum neunmal so viele zulässige Fälle wie ein Jahr zuvor.

Das Appeals Centre Europe ist eine unabhängige außergerichtliche Streitbeilegungsstelle, die nach Artikel 21 des EU-Gesetzes über digitale Dienste (Digital Services Act, DSA) zertifiziert ist. Über sie können Personen und Organisationen in der EU Entscheidungen von Social-Media-Plattformen anfechten, ohne vor Gericht zu ziehen. Aktuell bearbeitet die Stelle Streitfälle zu Facebook, Instagram, Pinterest, Threads, TikTok und YouTube.

Plattformen rücken strittige Inhalte nicht raus

Inhaltlich prüfen kann das Zentrum eine Beschwerde jedoch nur, wenn die Plattform den strittigen Inhalt auch herausgibt, was meistens nicht geschieht. Von mehr als 10.000 Entscheidungen konnte das Zentrum nur in knapp 3.000 Fällen die Inhalte tatsächlich überprüfen – dort widersprach es der Plattform in 59 Prozent der Fälle. In den übrigen mehr als 7.000 Fällen lieferte die Plattform die Inhalte nicht. In solchen Fällen bekommen Nutzer:innen automatisch recht.

Besonders ausgeprägt ist zudem das Problem mit gesperrten Konten, dem mit Abstand häufigsten Beschwerdetyp. Bis März 2026 gingen dazu mehr als 14.000 Meldungen ein. Auch hier liefern die Plattformen oft gar nicht erst die Inhalte, die eine Überprüfung möglich machen würden. Bei mehr als 4.600 zulässigen Beschwerden über gesperrte Facebook- und Instagram-Konten legte Meta laut Bericht nur in weniger als 100 Fällen die nötigen Inhalte vor. In den wenigen Fällen, die das Zentrum tatsächlich prüfen konnte, gab es den Nutzer:innen jedoch nur in etwa einem Drittel der Fälle recht.

Durchsetzen lassen sich die Entscheidungen des Appeals Centre Europe allerdings nicht. Die Plattformen müssen sich zwar mit ihnen befassen, ihnen aber nicht folgen. Allein bei den mehr als 1.000 Hassrede-Entscheidungen, die zivilgesellschaftliche Organisationen angestoßen hatten, kenne das Zentrum nur eine Handvoll Fälle, in denen eine Plattform die Entscheidung tatsächlich umsetzte. In den übrigen sei sie abgelehnt oder ignoriert worden. Die beanstandeten Inhalte blieben demnach online.

Die europäische Cybersicherheitsbehörde Enisa zeichnet in ihrem am Donnerstag veröffentlichten NIS360-Bericht ein optimistisches, aber differenziertes Bild der digitalen Widerstandsfähigkeit Europas. Die flächendeckende Umsetzung der NIS2 getauften EU-Richtlinie zur Netzwerk- und Informationssicherheit zeigt demnach Wirkung und sorgt branchenübergreifend für Investitionen in kritische Infrastrukturen (Kritis). Dennoch klafft nach wie vor weit eine gefährliche Lücke zwischen der realen Bedrohungslage und der tatsächlichen Krisenfestigkeit in vielen systemrelevanten Bereichen.

Um den Reifegrad messbar zu machen, hat die Enisa für die Studie das gesamte Ökosystem der Branchen bewertet. Dieses reicht von der Qualität der Gesetze über die Vorbereitung der Firmen bis zur Schlagkraft der Aufsichtsbehörden. Demgegenüber setzt sie die gesellschaftliche Kritikalität an, die sich nach dem Digitalisierungsgrad und den fatalen Kaskadeneffekten eines Ausfalls für die Bürger bemisst.

Dynamik der Risiko-Zone und Sorgenkind Raumfahrt

Aus dem Verhältnis von Abhängigkeit und Sicherheitsniveau leitet die Enisa eine „Risiko-Zone“ für Sektoren ab, deren Reife unter dem EU-Schnitt liegt. Da das allgemeine Niveau gestiegen ist, haben die amtlichen Experten den Schienenverkehr sowie die Trinkwasserversorgung und Abwasserentsorgung vollends in diesen Gefahrenbereich gerückt. Die Kritik läuft darauf hinaus, dass beide Bereiche mit dem Markttempo nicht Schritt halten. Ein Lichtblick ist die Gasversorgung, die dank eines intensiveren Informationsaustauschs den Sprung aus der Risiko-Zone geschafft hat.

Besorgniserregend bleibt die Lage laut der Analyse im Raumfahrtsektor, der durch enorme Qualitätsunterschiede geprägt ist. Die digitale Gesellschaft steuere zunehmend in eine Abhängigkeit von Satellitendaten für Navigation, Finanzhandel und Klimatologie, heißt es dazu. Diese Schlüsselrolle mache den Bereich zum Ziel geopolitischer Cyberangriffe etwa über GPS-Jamming, das seit einigen Jahren in der Ostsee für Probleme sorgt. Da die NIS2 bisher nur Teile der Lieferkette erfasst, herrsche ein Ungleichgewicht: Luftfahrtriesen seien exzellent geschützt. Kleinere Zulieferer schleppten dagegen erhebliche Sicherheitsmängel mit sich herum.

Ungleiche Abwehrkräfte

Ähnlich unterschiedlich verläuft die Entwicklung im Transportwesen. Die Luftfahrt glänzt hier insgesamt als Musterschüler. Der Schienenverkehr gerät wegen seiner Bedeutung für die militärische Logistik aber zunehmend ins Kreuzfeuer. Angreifer fokussieren sich auf veraltete Betriebstechnologien und Stellwerkstechniken. Das ist ein gravierendes Problem, da etwa in die Jahre gekommene Funksysteme und die Leitstellenbasis extrem schwer zu patchen sind. Sie bieten Angreifern etwa die Möglichkeit, Züge aus der Ferne zu stoppen.

In der maritimen Wirtschaft drohen Cyberattacken auf vernetzte Hafensektoren sogar globale Lieferketten ins Wanken zu bringen. Die zunehmende Vernetzung von Hafenkränen und Schiffssystemen mit der Cloud öffnet Einfallstore. Nationalen Hafenbehörden mangelt oft akut an IT-Expertise.

Im Mittelfeld kämpfen das Gesundheitswesen und IT-Dienstleister gegen strukturelle Barrieren. Krankenhäuser leiden unter Budget- und Fachkräftemangel, was sie unter dem Zeitdruck der Patientenversorgung zum idealen Ziel für Ransomware-Erpresser macht. IT-Serviceanbieter dienen Cyberangreifern wiederum als strategisches Sprungbrett, um über Wartungszugänge hunderte Kundennetzwerke gleichzeitig zu kapern.

Auch staatliche Verwaltungen hinken hinterher. Dem öffentlichen Sektor fehlt es vor allem an Cybersicherheits-Expertise auf der Führungsebene, weshalb Sicherheitsupdates oft Monate dauern und Behördenportale regelmäßig erfolgreichen Phishing- und Überlastungsangriffen zum Opfer fallen.

Bedrohungen von morgen

Als Fels in der Brandung erweisen sich der Analyse zufolge traditionell stark regulierte Sektoren wie das Bankenwesen, die Telekommunikation und die Stromversorgung. Neu in dieser Spitzengruppe der hohen Cybersicherheitsreife sind Finanzmarktinfrastrukturen und Vertrauensdienste. Angetrieben durch das Finanzmarktregelwerk Dora wurde Security dort erfolgreich als Geschäftsrisiko im Top-Management verankert.

Für die Zukunft sieht die Enisa drei Megatrends, die das Sicherheitsgefüge erschüttern: die rasante Weiterentwicklung der KI, die Angreifern neue Werkzeuge wie Deepfakes liefert, hochkomplexe Software-Lieferketten sowie geopolitische Verwerfungen. Kritische Sektoren müssten daher zwingend von einer rein bürokratischen Compliance-Kultur zu einer gelebten, resilienten Praxis übergehen.

(mki)