Connect with us

Datenschutz & Sicherheit

Schwachstellen in Synology MailPlus Server lassen Angreifer passieren


Setzen Angreifer erfolgreich an Sicherheitslücken in Synology MailPlus Server an, können sie unter anderem auf Dateien zugreifen oder über DoS-Attacken Abstürze auslösen. Seitens des Herstellers gibt es derzeit keine Warnungen zu laufenden Attacken.

Weiterlesen nach der Anzeige

In einer Warnmeldung listen die Entwickler insgesamt drei Schwachstellen auf. Zwei davon sind als „kritisch“ eingestuft (CVE-2025-15660), eine (CVE-2026-13136) weist den maximalen CVSS Score 10 von 10 auf. In beiden Fällen sind unbefugte Dateizugriffe und DoS-Angriffe möglich.

Die dritte Lücke (CVE-2026-13135) ist mit „mittel“ eingestuft. Hier können Angreifer auf interne, nicht näher beschriebene Services zugreifen.

Die Entwickler versichern, die Sicherheitsprobleme in MailPlus Server 4.0.1-21663 für DSM 7.2.1, 7.2.2 und 7.3 gelöst zu haben.


(des)



Source link

Datenschutz & Sicherheit

Fehler in „E-Mail-Adresse verbergen“ von Apple weiter ohne Fix


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Ein Dienst, der E-Mails verbirgt, sollte E-Mails verbergen – das sollte klar sein. Offenbar gelingt dies Apples „Hide My E-Mail“-Dienst alias „E-Mail-Adresse verbergen“ innerhalb von iCloud+ aber nicht. Es soll eine Sicherheitslücke geben, die ermöglicht, aus der versteckten E-Mail-Adresse wieder die echte zu machen. Das berichtet das investigative IT-Blog 404 Media, das sich auf einen detaillierten Bericht von EasyOptOuts stützt. Schlimmer noch: Apple soll seit mindestens einem Jahr über den Fehler informiert sein, hat ihn bislang aber noch nicht behoben. Genauere Details wurden bislang noch nicht veröffentlicht.

Weiterlesen nach der Anzeige

Der Angriff konnte auch in dieser Woche noch durchgeführt werden, berichtet 404 Media, das die Möglichkeit mit einer eigenen versteckten E-Mail-Adresse durchexerziert hat. Entdeckt und an Apple gemeldet wurde das Sicherheitsloch vom Privacy-Dienst EasyOptOuts. Dessen Mitgründer Tyler Murphy sagte, er wisse nicht, warum Apple noch nicht tätig geworden ist. Das habe sich komisch angefühlt, weshalb das Unternehmen nach der langen Zeit nicht länger warten wollte und an die Öffentlichkeit ging.

Weder EasyOptOuts noch 404 Media veröffentlichten konkrete Details, wie der Angriff zu replizieren ist. EasyOptOuts hat dies gegenüber Apple aber genau beschrieben. „Hide My Email leakt E-Mail-Adressen, die versteckt sein sollten“, so Murphy. Ist die Originaladresse einmal vorhanden, könnten Angreifer über frei zugängliche Personendatenbanken weitere Informationen ermitteln – davor soll „E-Mail-Adresse verbergen“ eigentlich schützen.

Es ist unklar, ob alle versteckten Adressen angreifbar sind, Murphy zufolge gelang es aber mit 100 Prozent aller getesteten. Apple wurde das Problem im Juni 2025 mitgeteilt. Im März teilte Apple den Entdeckern dann mit, es habe bei einer Systemumstellung einen Fix gegeben. Dem war aber nicht so. Nach einem weiteren Hin und Her hieß es von Apple, man werde sich das Problem ansehen. Bis mindestens Mai lief die Untersuchung weiter. Damals bat Apple EasyOptOuts auch, Stillschweigen zu bewahren. Ende Mai hieß es dann, der Fix komme „in den kommenden Wochen“. Getan habe sich bislang nichts, so Murphy gegenüber 404 Media. Am 30. Juni 2026 behauptete Apple erneut, das Problem sei behoben – EasyOptOuts verifizierte jedoch, dass die Lücke weiterhin offen ist. Apple kommentierte den Bericht nicht.

Zuletzt hatte es Kritik an einer von Apple angepeilten Änderung bei „Meine E-Mail verbergen“ gegeben: Das Unternehmen plant eine einheitliche, leicht zu identifizierende Domain für diese Accounts. Damit ließen sie sich von Diensten und Websites wesentlich leichter wegfiltern beziehungsweise sperren, was unschön wäre. Weiterhin wurde bekannt, dass Apple Namen von Besitzern von solchen Accounts auch an Polizeibehörden weitergibt. „E-Mail-Adresse verbergen“ ist Teil des Abodienstes iCloud+, der mit mehr Speicherplatz mindestens 99 Cent im Monat kostet.

Weiterlesen nach der Anzeige

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.




(bsc)



Source link

Weiterlesen

Datenschutz & Sicherheit

Gefahren von Alterskontrollen: Die Expert*innen verheddern sich


Kein Aspekt der aktuellen Jugendschutz-Debatte ist brisanter als Alterskontrollen für alle. Es droht ein Kontroll-Apparat, dem sich Menschen im Netz flächendeckend fügen sollen. Einmal eingerichtet ließe er sich mühelos in einen Apparat zur Massenüberwachung ausbauen: Tracking statt Datenschutz, Klarnamen statt Anonymität.

Der Deutsche Ethikrat hat die Probleme erkannt, als er Mitte Juni ausführlich vor den Gefahren von Alterskontrollen gewarnt hat. Dennoch hat der Ethikrat einen Spielraum für „verpflichtende“ Alterskontrollen gesehen. Bekräftigt hat das inzwischen eine weitere Gruppe aus Fachleuten: die vom Familienministerium einberufene Expert*innen-Kommission.

Sie hat am am 24. Juni ihre 56 Empfehlungen für Kinder- und Jugendschutz im Netz vorgelegt. Ähnlich wie der Ethikrat erkennen die Expert*innen zumindest einige Gefahren von Alterskontrollen an, raten von manchen Methoden ab. Andererseits sind Alterskontrollen eine zentrale Säule ihrer Empfehlungen. Wie geht das zusammen?

Zwar konnten sich die Expert*innen nicht darauf einigen, ob es wie in Australien ein einheitliches Mindestalter für soziale Medien geben soll – oder eher flexible Altersgrenzen je nach Dienst und Risiko. In beiden Fällen jedoch müssten Menschen im Netz nach Altersgruppen sortiert werden. Ohne Alterskontrollen scheint es den Expert*innen zufolge also nicht zu gehen. Aber mit ihnen geht es auch nicht, wie die Analyse zeigt.

Das sind die Lücken in der Argumentation

Aus den Warnungen und Empfehlungen der Expert*innen rund um Alterskontrollen entsteht kein schlüssiges Bild. Zentral ist folgende Passage:

Besonders problematisch sind Verfahren, die biometrische Merkmale auswerten oder anhand umfangreicher Verhaltens- und Nutzungsdaten auf das Alter schließen. Sie bergen Risiken für die Privatsphäre, die informationelle Selbstbestimmung und den Schutz vor Diskriminierung. Gleichzeitig droht eine weitere Machtkonzentration bei großen Plattform- und Betriebssystemanbietern, wenn diese zu zentralen Vermittlern digitaler Altersnachweise werden.

Damit fassen die Expert*innen mehrere Gefahren von Alterskontrollen treffend zusammen. Der Clou: Kurz darauf empfehlen die Expert*innen Methoden der Alterskontrolle, die zumindest manche dieser Gefahren ebenso mit sich bringen.

Zwar sollten primär Eltern prüfen, worauf ihre Kinder zugreifen; zwar sollten Daten zum Schutz der Privatsphäre auf dem Endgerät bleiben. Trotzdem könne es den Expert*innen zufolge als Ergänzung eine „verpflichtende“ Alterskontrolle geben, und zwar „durch Altersschätzung per Kamera oder Verifikation mit offiziellen Dokumenten“. Das wirft mindestens zwei Probleme auf.

Erstens: Diskriminierung. Altersschätzung per Kamera benachteiligt strukturell Menschen, deren Gesicht eine Software nicht korrekt einschätzen kann. Denkbare Gründe sind etwa sichtbare Verletzungen oder Behinderungen. Auch offizielle Dokumente sind eine Hürde, die vulnerable gesellschaftliche Gruppen weiter benachteiligen kann. Allein in Deutschland gibt es Schätzungen zufolge Hunderttausende Menschen ohne Aufenthaltstitel. Viele von ihnen dürften keine Papiere haben, die mit einer Alterskontroll-App kompatibel wären. Wie ist das mit dem Anspruch auf „Schutz vor Diskriminierung“ vereinbar?

Deine Daten landen bei der Polizei.

Wir decken es auf. Mit deiner Unterstützung.

Insbesondere für junge Menschen ist Altersschätzung schlecht geeignet. Wenn ein Mensch nicht sicher sagen kann, ob ein Teenager wie 16 oder wie 17 Jahre aussieht, dann kann das auch keine Software. In Deutschland hat die Kommission für Jugendmedienschutz deshalb mal einen Puffer festgelegt: „Personen müssen von dem System als mindestens 23 erkannt werden, um Zugang zu den ab 18 Jahren bewerteten Inhalten zu bekommen.“ Die Expert*innen-Kommission empfiehlt jedoch abgestufte Jugendschutz-Funktionen, je nachdem, ob jemand etwa 13, 16 oder 18 Jahre alt ist. Für diese feinen Altersstufen ist Software zur Alterseinschätzung zu grob.

Zweitens: Machtkonzentration. Ohne die mächtigen US-Konzerne Apple und Google scheint es derzeit nicht zu laufen. In der EU entstehen gerade zwei Lösungen, die das Alter datensparsam anhand offizieller Dokumente prüfen sollen, und beide sind von deren mobilen Betriebssystemen abhängig.

Zum einen ist da der im April vorgelegte Prototyp einer „Mini-Wallet“ für iOS und Google-basiertes Android. Der ist bei Fachleuten bereits durchgefallen. Unter anderem der Ethikrat und die Expert*innen des Familienministeriums lehnen die Mini-Wallet ab. Zum anderen ist da die geplante digitale Brieftasche, „EUDI-Wallet“. Die deutsche Version dieser Wallet wird zunächst auch nur für iOS und Google-basiertes Android entwickelt. Wie ist das mit dem Anspruch vereinbar, keine Macht bei großen Plattform- und Betriebssystemanbietern zu konzentrieren?

EUDI-Wallet: Alles auf eine Karte

Ausdrücklich empfehlen die Expert*innen die EUDI-Wallet als Methode der Alterskontrolle für „erhöhte rechtliche Anforderungen“ sowie für eine feste Altersgrenze nach australischem Vorbild. Hier zeigen sich zwei weitere Probleme.

Erstens: Ein empfindlicher Vorbehalt. Die Expert*innen knüpfen ihre Empfehlung der EUDI-Wallet an bestimmte Anforderungen. Das ihr zugrunde liegende Gesetz, die eIDAS‑2.0‑Verordnung, soll demnach „vollständig erfüllt“ sein. Genau das droht gerade zu scheitern. In der Umsetzung höhlt die EU-Kommission die Schutzrechte der digitalen Brieftasche aus. Einbußen in Datenschutz und Privatsphäre zeichnen sich ab. Wenn die EUDI-Wallet ihre eigenen Ansprüche nicht erfüllt, womit sollen Menschen dann ihr Alter nachweisen?

Zweitens: Keine Alternative. Selbst wenn doch alles klappt mit der EUDI-Wallet, ihre Nutzung muss „freiwillig“ sein. Wer sie nicht haben will, darf nicht eingeschränkt oder benachteiligt werden. Auch das steht in der eIDAS-Verordnung. Bloß, welche Methode der Alterskontrolle käme anstelle der EUDI-Wallet in Frage? Die Expert*innen nennen keine konkrete Lösung. Stattdessen betonen sie, was sie nicht wollen: keine Mini-Wallet, kein Vorzeigen von Pass und Gesicht vor der Kamera.

Was bei den Ausführungen der Expert*innen völlig unter den Tisch fällt: Alterskontrollen lassen sich mühelos umgehen, etwa mit VPN-Diensten. Genau das passiert gerade in Australien. An dieser Stelle kippt das Vorhaben ins Absurde. Wovor sollen die Kontrollen schützen, wenn junge Menschen auf der Suche nach Verbotenem einfach einen kleinen Umweg machen?

Wann sollen Alterskontrollen Grundrechte einschränken?

Das Ergebnis ist ernüchternd. Keine Methode der Alterskontrolle kann den von den Expert*innen selbst ins Feld geführten Ansprüchen voll gerecht werden. Es fehlt eine fundierte Abwägung: Unter welchen Umständen sollen Alterskontrollen Grundrechte einschränken? Sollte die Gesellschaft ein Stück weit Diskriminerung und Machtkonzentration in Kauf nehmen – und warum?

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Diese undankbare Diskussion vermeiden die Fachleute. Stattdessen servieren sie ein unschlüssiges Nebeneinander von Empfehlungen und Warnungen.

Für die internationale Debatte um Alterskontrollen im Netz ist das leider symptomatisch. Ähnlich argumentieren auch die EU-Kommission und die G7-Staaten, CDU, SPD und Grüne: Wieder und wieder empfehlen Befürworter*innen von Alterskontrollen Methoden, die den selbst gesteckten Ansprüchen nicht genügen. Das Ergebnis kann nur enttäuschen.

Internationale Warnungen verhallen

Alterskontrollen sind nur eine von insgesamt 56 Empfehlungen der deutschen Expert*innen-Kommission. Es geht unter anderem auch um Aufklärung, Prävention und Bildung, um die Rolle von Eltern, Schulen und Jugendhilfe. Keine dieser Empfehlungen birgt allerdings so weitreichende Gefahren wie Alterskontrollen. Der deutsche Ethikrat schreibt:

Die Technologien sind Instrumente zur Unterscheidung und unterschiedlichen Behandlung von Nutzergruppen. Als solche können sie auch zweckentfremdet werden, und zwar sowohl zur Beschränkung des Zugangs für weitere Gruppen als auch des Zugangs zu anderen Inhalten, zum Beispiel zu Materialien zur sexuellen Aufklärung oder gar zu solchen, die politisch unerwünscht sind. Aufgrund dieser breiten Einsatzmöglichkeiten kann nicht ausgeschlossen werden, dass die Altersbestimmungstechnologien als Zensurinstrument missbraucht werden.

Mehr als 400 internationale Forscher*innen aus IT-Sicherheit und Datenschutz warnten in einem offenen Brief vom März 2026: Die Einführung von Alterskontrollen ohne weitere Forschung sei „gefährlich und gesellschaftlich nicht hinnehmbar“. Es fehle ein klares Verständnis dafür, was diese Kontrollen anrichten können, für „Sicherheit, Privatsphäre, Gleichberechtigung“ und die „Autonomie“ aller Menschen.

Eine drittes Paket an Empfehlungen kommt noch

Derzeit erarbeitet noch ein weiteres – also ein drittes – Gremium Vorschläge zum Schutz junger Menschen im Netz, und zwar auf EU-Ebene. Teils gibt es bei den Gremien personelle Überschneidungen: Judith Simon ist Professorin an der Universität Hamburg zur Ethik in der Informationstechnologie. Sie ist Mitglied im Ethikrat und im deutschen Gremium und war zu Gast im EU-Gremium.

In einer Doppelrolle unterwegs ist der Co-Vorsitzende des EU-Gremiums, Jörg Fegert, Professor an der Uniklinik Ulm für Kinder- und Jugendpsychiatrie, Psychosomatik und Psychotherapie. Er war auch Teil des deutschen Gremiums.

Am 13. Juli soll das EU-Gremium seine Ergebnisse EU-Kommissionspräsidentin Ursula von der Leyen (CDU) vorlegen. Es könnte das netzpolitisch einflussreichste der drei Pakete werden, denn Plattformregulierung wird vor allem auf EU-Ebene verhandelt. Auch Familienministerin Karin Prien (CDU) sagte mit Blick auf die deutschen Fachleute: „Ich setze mich dafür ein, dass uns eine europäische Lösung gelingt.“

Gelingen kann aber nichts, solange sich die Politik und ihre Berater*innen um unangenehme Fragen drücken: Welche Nachteile wollen wir als Gesellschaft wirklich in Kauf nehmen – mit oder ohne Alterskontrollen?



Source link

Weiterlesen

Datenschutz & Sicherheit

„Akute Bedrohung“: Innenminister fordern vollständiges Verbot von Indymedia


Die Innenminister der Länder haben auf ihrer Konferenz in Hamburg Mitte Juni ein Signal gegen den organisierten Linksextremismus gesetzt. Bei dem Treffen einigte sich das Gremium auf eine neue Initiative gegen das als linksextremistisch eingestufte Portal indymedia.org. Sie appellieren in dem nun veröffentlichten Beschluss offiziell an das Bundesinnenministerium, „alle rechtlichen Möglichkeiten für ein vollständiges Verbot“ zu prüfen und sich innerhalb der Bundesregierung dafür einzusetzen. Damit griff die Konferenz ein Anliegen auf, das der hessische Innenminister Roman Poseck (CDU) einbrachte.

Weiterlesen nach der Anzeige

Die Konferenz weist darauf hin, dass das geltende Straf- und Gefahrenabwehrrecht bereits ausreichende Grundlagen biete, um entschieden gegen die Plattform vorzugehen. Als konkrete Instrumente nennen sie die Beschlagnahme von Webseiten, Löschungsaufforderungen an Host-Provider sowie „Netzsperren als ultima ratio“. Von diesen Optionen soll in der Vollzugspraxis konsequenter Gebrauch gemacht werden.

Hessen startete die Initiative, weil das Bundesland laut Poseck eine besorgniserregende Zunahme linksextremer Straftaten verzeichnete. Der Christdemokrat bezeichnete das Portal als das derzeit wichtigste Informations- und Propagandamedium der Szene, das Straftaten und Gewalt aktiv fördere.

In der Begründung zeichnen die Innenminister ein ernstes Bild der Sicherheitslage. Linksextremismus stelle vor allem angesichts von Angriffen auf kritische Infrastrukturen, gewaltsamen Ausschreitungen und einer zunehmenden internationalen Vernetzung eine hohe Bedrohung für die Gesellschaft und die freiheitliche demokratische Grundordnung dar.

Die Szene instrumentalisiere gesellschaftliche Themen wie Klimaschutz, soziale Gerechtigkeit und die Wehrpflicht, heißt es. Ziel sei es, in breitere Schichten vorzudringen und immer jüngere Menschen – darunter insbesondere Schülerinnen und Schüler – zu erreichen. Daher gewinne die Absprache im Koalitionsvertrag auf Bundesebene für das Erarbeiten einer Strategie gegen linksextremistische Strukturen an Bedeutung.

Weiterlesen nach der Anzeige

Das Vorhaben berührt juristisch sensibles Terrain. Bereits im August 2017 hatte das damals von Thomas de Maizière (CDU) geführte Bundesinnenministerium den Indymedia-Ableger „linksunten“ auf Basis des Vereinsgesetzes verboten. Die darauffolgenden Maßnahmen wie Hausdurchsuchungen und Strafverfahren erwiesen sich im Nachgang aber als Hürdenlauf.

Mehrere Gerichte erklärten die Razzien später für teilweise rechtswidrig. Strafverfahren gegen mutmaßliche Administratoren und Unterstützer wurden eingestellt, da sich keine konkrete Betreiberstruktur nachweisen ließ. Es waren sogar Redaktionsräume des Senders Radio Dreyeckland betroffen, was das Bundesverfassungsgericht rügte. Die Einstufung der Webseite als Verein blieb in der Rechtswissenschaft ebenfalls umstritten, auch wenn sie das Bundesverwaltungsgericht 2020 bestätigte.

Während „linksunten“ abgeschaltet blieb, existiert die Plattform „de.indymedia.org“ bis heute. Der neue Anlauf der Innenministerkonferenz zielt darauf ab, dieses rechtliche Vakuum zu beenden. Das Gremium dürfte damit aber wieder eine komplexe Debatte über die Grenzen digitaler Repression und die Verhältnismäßigkeit staatlicher Eingriffe im Internet anstoßen.


(afl)



Source link

Weiterlesen

Beliebt