In den Fluren der EU-Kommission herrscht derzeit Unruhe. Auslöser ist die Frage, ob das schärfste Schwert Brüssels gegen die Übermacht der Big-Tech-Konzerne, der Digital Markets Act (DMA), bereits vor einem größeren Einsatz stumpf geworden ist. Berichte des Handelsblatts und von Capital Forum erschüttern die Glaubwürdigkeit der europäischen Digitalpolitik. Demnach soll Kommissionspräsidentin Ursula von der Leyen persönlich eingegriffen haben, um eine bereits fest eingeplante Milliardenstrafe gegen den US-Giganten Google in letzter Minute zu stoppen.

Eigentlich schien der Fall klar: In zwei umfangreichen Verfahren hatten die EU-Wettbewerbshüter untersucht, ob Google systematisch gegen die Regeln des DMA verstößt, um seine marktbeherrschende Stellung weiter zu zementieren. Die Ermittlungen waren den Berichten zufolge bereits abgeschlossen, die Beweislast drückend und das Urteil gefällt: Eine Strafe in Milliardenhöhe sollte im März offiziell verkündet werden.

Doch statt des erwarteten Paukenschlags folgte – nichts. Die Kommissionspräsidentin soll die Sanktionen nun bis auf weiteres ausgesetzt haben. Das wirft einen langen Schatten auf die Unabhängigkeit der Brüsseler Regierungsinstitution.

Warnrufe aus dem Parlament und der Zivilgesellschaft

Hintergrund der Auseinandersetzung sind die weitreichenden Pflichten, die Google seit 2023 als „Gatekeeper“ unter dem DMA erfüllen muss. Die Kommission setzte dem Konzern bereits im Januar eine Frist von sechs Monaten, um tiefgreifende Änderungen vorzunehmen. So muss Google technische Hürden für KI-Assistenten von Mitbewerbern auf dem Android-Betriebssystem abbauen und zentrale Suchdaten für konkurrierende Suchmaschinenanbieter zugänglich machen. Ziel ist es, die geschlossenen Ökosysteme aufzubrechen und echten Wettbewerb zu ermöglichen. Diese Verlangen setzen Google unter Zugzwang.

Die Reaktion der Zivilgesellschaft auf die Berichte über den Stopp der Strafe ließ nicht lange auf sich warten. In einem am Mittwoch publizierten offenen Brief fordern 34 Organisationen aus ganz Europa die Kommissionspräsidentin auf, den DMA wirksam zu vollziehen.

Sie sehen in dem Zögern nicht nur ein Versäumnis im Einzelfall, sondern eine Gefahr für das Prestigeprojekt der digitalen Souveränität. Unterstützung erhalten sie von über 20.000 Bürgern, die einen Online-Appell unterzeichnet haben. Die Sorge ist groß, dass das Gesetz zum zahnlosen Tiger verkommt, noch bevor es seine volle Wirkung entfalten kann.

Erst vorige Woche schlug das EU-Parlament in einer Resolution ebenfalls Alarm. Die Abgeordneten warnen deutlich vor externem politischem Druck, der darauf abziele, die neuen Wettbewerbsregeln zu schwächen. Sie verlangen: Laufende DMA-Verfahren müssten unverzüglich und ohne politische Rücksichtnahmen abgeschlossen werden. Verhältnismäßige Geldstrafen seien unerlässlich, um eine Abschreckung gegen Regelverstöße zu gewährleisten. Damit wird die Lage für von der Leyen zunehmend ungemütlich.

Fatales Signal ans Silicon Valley

Experten wie Felix Duffy von der Organisation LobbyControl sehen in dem Vorgang ein fatales Signal an die Tech-Branche. Wenn Konzerne lernten, dass Verstöße gegen europäisches Recht bei ausreichender Druckausübung auf Entscheider keine Konsequenzen haben, verliere die EU ihre wichtigste Handhabe.

Duffy spricht von einer digitalen Abhängigkeit der EU von den USA. Ihm drängt sich der Verdacht auf, dass Brüssel vor Washington eingeknickt ist, statt die eigenen demokratischen Grundprinzipien und den Schutz der Bürger zu verteidigen. Eine wirksame Durchsetzung des DMA sei die einzige Möglichkeit, den Einfluss von Big Tech einzudämmen.

Auch Max Bank von Rebalance Now kritisiert die bisherige Umsetzung scharf. Er beobachtet eine besorgniserregende Tendenz: Verfahren ziehen sich in die Länge, Entscheidungen werden hinausgezögert und Sanktionen kommen nur zögerlich zum Einsatz. Google beklagte indes im September 2025, der DMA richte Schaden bei europäischen Nutzern an.

Um die Einhaltung der Vorgaben sicherzustellen, leitete die EU-Aufsicht Anfang des Jahres zusätzliche „Präzisierungsverfahren“ ein. Dabei handelt es sich zwar noch nicht um neue formelle Ermittlungen, aber um eine Formalisierung des Regulierungsdialogs. Die Behörden prüfen dabei konkret, ob Google konkurrierende KI-Software fair behandelt. Die Kommission schlug dem Konzern Mitte April vor, Such- und Gemini-Daten herauszugeben. Ende des Monats folgten Empfehlungen für mehr Interoperabilität bei Android.

Google-Anwältin Clare Kelly monierte dagegen, dass zusätzliche Vorschriften, die eher auf Wettbewerberbeschwerden als auf Verbraucherinteressen basieren, die Privatsphäre und Innovation gefährden könnten. Teresa Ribera, als Vizepräsidentin der EU-Kommission für Wettbewerb zuständig, griff die Trump-Regierung in den USA im November an. Diese setze die EU massiv unter Druck, ihre Tech-Regeln abzuschwächen.

(mki)

Der Abend des 5. Mai war für viele Administratoren, die Dienste und Webseiten mit .de-Domain betreuen, nicht vergnüglich: Kurz vor 22 Uhr schlugen Monitoringsysteme Alarm, Kunden und Mitarbeiter lösten Supportfälle aus und die Fehlersuche begann – Websites waren nicht erreichbar, Apps funktionierten nicht und VPN-Verbindungen scheiterten. Die Ursache lag aber nicht bei Betreibern von Diensten, sondern an zentraler Stelle: Im Domain Name System (DNS) der Zone .de, genauer in deren DNSSEC-Konfiguration.

Verantwortlich für die Konfiguration ist die DENIC eG, die bisher über den Vorfall nur knapp Auskunft gibt. Am Mittwoch hat sich der Staub zwar gelegt, die Störung ist beseitigt und manche Details zu den Ereignissen werden klarer. Der Blick in die DNS-Daten zeigt aber auch: Die genaue Ursache kann nur die DENIC erklären, eine Stellungnahme steht noch aus. Zur Rekonstruktion der Ereignisse haben wir die historischen DNS-Einträge untersucht, die der Dienst dnsviz.net aufzeichnet.

Was ist passiert

DNSSEC hat die Aufgabe, DNS-Antworten mit digitalen Signaturen gegen Manipulationen zu schützen. Ohne DNSSEC könnten Angreifer Antworten fälschen, wenn sie den Verkehr zwischen Client und Resolver abfangen und verändern. DNSSEC arbeitet mit asymmetrischer Kryptografie, also mit Schlüsselpaaren aus öffentlichem und privatem Schlüssel. Die öffentlichen Schlüssel werden in einem Eintrag vom Typ DNSKEY im DNS hinterlegt. Zum Signieren von Antworten gibt es längere Zone-Signing-Keys (ZSK), die wiederum mit einem kürzeren Key-Signing-Key (KSK) signiert werden.

Geprüft wird die Integrität einer DNS-Antwort schrittweise und zwar von hinten, ausgehend von der Root-Zone, deren Schlüsseln der Anfragende vertrauen muss. Die Root-Zone verweist, digital signiert, auf die zuständigen Nameserver der Toplevel-Domain – konkreten Fall .de. Liefern die einen gültigen signierten Verweis auf den Nameserver, der für diese Domain zuständig ist, wird dieser befragt. Wenn eine Signatur auf dem Weg fehlerhaft ist, wird die ganze Kette als fehlerhaft betrachtet und die Namensauflösung scheitert. Das ist das gewünschte Verhalten, das vor Manipulationen schützt.

In regelmäßigen Abständen werden die Zone-Signing-Keys auf Ebene der Toplevel-Domains getauscht. Weil das ein zentraler Schritt mit weitreichenden Folgen ist, passiert das in mehreren Schritten: Am 2. Mai hat die DENIC als Verantwortliche für die Zone .de einen neuen öffentlichen Schlüssel mit der ID 33834 bekanntgegeben. Das passierte so rechtzeitig, dass sich der neue Eintrag im DNS herumsprechen konnte. Signiert wurde mit dem neuen Schlüssel vorerst nicht, das übernahm der alte Schlüssel 32911. Erstmals als signierender Schlüssel in Erscheinung trat 33834 am 5. Mai um 21:43 (19:43 UTC) in einer Signatur (RRSIG) für den SOA-Eintrag der Zone .de. SOA steht für „Start of Authority“, der Eintrag enthält Informationen zur Zone selbst. Diese Signatur war aus noch ungeklärter Ursache ungültig. Die Daten von dnsziv zeigen: Alle 6 zuständigen Nameserver lieferten zu diesem Zeitpunkt diese defekte Signatur mit dem Schlüssel 33834 aus.

Gegen 21:59 waren die ersten Gegenmaßnahmen zu erkennen: Einer der Nameserver, n.de.net, lieferte ab da einen neuen RRSIG-Eintrag für den SOA-Eintrag mit einer gültigen Signatur, signiert mit dem neuen Schlüssel 33834. Die anderen fünf Server verbreiteten weiter die falsche Signatur.

Um 22:27 zeigte sich ein neues Bild: n.de.net lieferte wieder eine ungültige Signatur, jetzt hatten a.nic.de und z.nic.de gültige Einträge mit dem alten Schlüssel 33834 zu bieten – jedoch unterschiedliche per IPv4 und IPv6. z.nic.de zeigte parallel auch noch eine defekte Signatur. Um 22:31 dann der nächste Zustand, jetzt waren fünf Server in der Lage, richtig mit dem neuen Schlüssel 33834 zu signieren und nur n.de.net, der dieses Kunststück zuvor schon vollbracht hatte, lag mit seinem Eintrag daneben. Nur drei Minuten später lieferten zur Abwechslung alle falsche Antworten, in kurzen Abständen kamen immer andere Kombinationen von den Servern, die alle ungültig waren.

Um 22:50 hatten sich zwischendurch die meisten Server auf eine gemeinsame gültige Signatur mit dem alten geeinigt, nur n.de.net lag weiter daneben. Das änderte sich erstmals um 1:15 am 6. Mai (23:15 UTC), als wieder alle Server korrekte Antworten parat hatten – wenn auch noch nicht perfekt: a.nic.de und z.nic.de lieferten parallel zwei Signaturen, immerhin waren beide gültig. Um 1:17 dann endlich der erwünschte Zustand: Sechs Nameserver konnten eine gültige Signatur erzeugen. Weil es nicht gelungen war, alle sechs Nameserver zu überzeugen, gleichzeitig mit 33834 zu signieren, waren zu diesem Zeitpunkt alle auf den Schlüssel 32911 ausgewichen, der Schlüsseltausch wurde also rückabgewickelt. Daran hat sich bis zum Nachmittag des 6. Mai nichts geändert, bisher gab es keinen erneuten Versuch, den Schlüssel 33834 wieder einzusetzen.

Was folgt daraus

Der Blick in die historischen DNS-Daten zeigt: Mit dem Schlüssel 33834 war etwas faul, zumindest im Zusammenspiel mit SOA-Einträgen. Andere DNS-Einträge konnten zu jeder Zeit erfolgreich signiert werden. 15 Minuten nach der ersten ungültigen Signatur begannen deren Gegenmaßnahmen. Trotz einigen Wirrungen gelang es aber nicht, den Schlüssel auf allen sechs Servern für SOA-Signaturen zu nutzen. Um den Ausfall in den Griff zu bekommen, entschied man sich dann, diese wieder mit dem Schlüssel 32911 zu signieren.

Für .de-Domains ist ein solcher Ausfall wegen eines DNSSEC-Fehlers bisher einmalig. Im Jahr 2022 gab es in Schweden mit der Domain .se Probleme, die auf DNSSEC zurückzuführen waren. Russland hatte 2024 mit .ru-Domains ein DNSSEC-Problem. Ursächlich damals war eine doppelt vergebene Keytag-ID.

DENIC ist jetzt in der Verantwortung, die Ursache des Problems zu benennen und zu erklären, welche Gegenmaßnahmen ergriffen wurden. Unbeantwortet ist auch die Frage, warum die Signaturprobleme nicht bereits in einer Testumgebung aufgefallen sind.

(jam)

Wer auf dem Wasser unterwegs ist, weiß: Wenn sich etwas in der Schraube verheddert, endet die Bootsfahrt abrupt. Warum sollte sich das, was auf dem Wasser wirkt, nicht auch in der Luftfahrt nutzen lassen? Forscher vom Karlsruher Institut für Technologie (KIT) wollen Drohnen unschädlich machen, indem sie ihre Rotoren blockieren.

Das Konzept ist relativ einfach: Eine Abschusseinrichtung schleudert dünne Ketten in Richtung der Drohne. „Die Ketten umschlingen beim Kontakt den Drohnenkörper und die Rotoren. Dadurch verlieren die Rotoren ihre Beweglichkeit und die Drohne stürzt ab“, beschreibt Claus Mattheck, der das Verfahren gemeinsam mit externen Partnern entwickelt hat.

Ein Ingenieurbüro untersuchte das Verhalten von Ketten mit Durchmessern von drei bis vier Millimetern beim Aufprall auf Drohnen. Bei den Simulationen wurden laut Mattheck unter anderem Reibung, Geometrie und Bewegungsabläufe einbezogen.

Simulationen und Feldtests

In den Simulationen habe das Team „die grundsätzliche Tauglichkeit der Methode“ gezeigt, sagt Mattheck. „Weitere Verifikationen erfolgten experimentell durch Schussversuche im Ballistikzentrum Sternenfels.“ Die Ergebnisse der Simulationen und der Feldtests beschreibt das Team in den Fachzeitschriften Aerospace & Defence und Konstruktionspraxis.

Das Team suchte einen „möglichst einfachen, robusten und kurzfristig einsetzbaren Ansatz zur Drohnenabwehr“. Vorbild waren die Bolas, die Südamerika eingesetzten Wurfwaffen. Diese bestehen aus mehreren Schnüren mit Gewichten am Ende. Sie werden zum Fangen von Tieren eingesetzt, deren Beine durch Bolas umschlungen werden. „Statt Kugeln an Seilen verwenden wir dünne Ketten, die sich in Simulationsrechnungen als überlegen erwiesen haben“, sagt Mattheck.

Unerwünschte Drohnen

Immer häufiger werden unerwünschte Drohnen in der Nähe von Flughäfen, militärischen Einrichtungen oder kritischen Infrastrukturen gesichtet. Experten suchen nach Möglichkeiten, die unbemannten Luftfahrzeuge unschädlich zu machen, etwa mit Laser oder Mikrowellen.

Das DLR will Drohnen mit Netzen fangen oder von Abfangdrohnen rammen lassen. Schließlich gibt es noch die handfeste Möglichkeit, eine Drohne einfach abzuschießen – was aber nicht ohne Risiko für Umstehende ist: „Ein besonderer Vorteil der Ketten als Geschoss ist, dass sie herabfallend weniger Potenzial für Kollateralschäden haben als ein kompaktes Geschoss gleicher Masse“, sagt Mattheck.

(wpl)