Derzeit attackieren unbekannte Angreifer die quelloffenen Message Broker Apache ActiveMQ Broker und Apache ActiveMQ und führen Schadcode aus. Dagegen gerüstete Ausgaben stehen zum Download bereit.

Attacken mit und ohne Anmeldung

Auf die Sicherheitslücke (CVE-2026-34197 „hoch“) sind Sicherheitsforscher von Horizon3 gestoßen. In einem Beitrag führen sie aus, dass die Schwachstelle seit 13 Jahren in Apache ActiveMQ Classic schlummert. Die Lücke haben sie eigenen Angaben zufolge unter anderem mit der Hilfe des Claude-LLMs entdeckt.

Der Beschreibung der Lücke zufolge setzen Angreifer an der Jolokia API an, um Konfigurationsdateien abzufangen und Schadcode auszuführen. Dafür muss ein Angreifer aber bereits an Systemen angemeldet sein. Kombiniert ein Angreifer den Forschern zufolge die aktuelle Lücke mit einer älteren Schwachstelle (CVE-2024-32114 „hoch“), sind Attacken ohne Authentifizierung möglich. Demzufolge sollten Admins schnell reagieren.

Systeme vor Attacken schützen

Nun warnt die US-Sicherheitsbehörde Cybersecurtiy & Infrastructure Security Agency (CISA) vor laufenden Attacken. In welchem Umfang die Angriffe ablaufen und wer konkret attackiert wird, ist derzeit nicht bekannt. Die technischen Details zur Lücke erläutern die Sicherheitsforscher in ihrem Beitrag. Dort gibt es weiterführende Informationen zur älteren und aktuellen Sicherheitslücke. Zusätzlich zeigen sie Parameter auf, an denen Admins bereits erfolgreich attackierte Instanzen erkennen können.

In einer Warnmeldung geben die Entwickler an, dass die Ausgaben 5.19.4 und 6.2.3 von Apache ActiveMQ Broker und Apache ActiveMQ gegen die laufenden Angriffe gerüstet sind. Alle vorigen Versionen seien verwundbar.

(des)

Viele Spitzenpolitiker*innen wollen gerade Alterskontrollen und ein Social-Media-Verbot für Minderjährige. Der französische Präsident Emmanuel Macron will es ganz besonders. Medienwirksam treibt er das Vorhaben europaweit voran und versucht, andere Mitgliedstaaten auf Linie zu bringen.

Am gestrigen Donnerstag hat Macron zu einer Videokonferenz geladen. Dabei waren EU-Kommissionspräsidentin Ursula von der Leyen (CDU), Bundeskanzler Friedrich Merz (CDU), die italienische Ministerpräsidentin Giorgia Meloni und weitere hochrangige Vertreter*innen von EU-Mitgliedstaaten. Das Ziel: koordiniert vorgehen.

Auf Twitter-Nachfolger X sprach Macron von einer „Bewegung“. Ein von ihm veröffentlichter Videoclip zeigt eine Aufnahme des Bildschirms mit den zugeschalteten Gästen, darunter Bundeskanzler Merz. „Hier sind rund ein Dutzend Staaten vertreten“, so ein Schriftzug im Videoclip.

Über die Teilnahme des Kanzlers ist die französische Regierung offenbar besonders stolz. Im Vorfeld sagte ein Élysée-Sprecher, das sende ein „Signal“. Im Vergleich zu Frankreich ist die Position der Bundesregierung in Sachen Social-Media-Verbot nämlich noch verhalten.

Den Stein ins Rollen gebracht hatte im Dezember 2025 das Social-Media-Verbot für unter 16-Jährige in Australien. Dort dürfen große Plattformen wie TikTok, Instagram oder YouTube jungen Menschen keine Accounts mehr erlauben. Dafür sollen sie das Alter von Nutzer*innen prüfen. Nun drängen mehrere EU-Mitgliedstaaten auf ein ähnliches Modell.

Rechtssicher möglich wäre das jedoch nur mit einer EU-weiten Regelung. Deshalb erhöhen die Befürworter*innen Woche für Woche den Druck auf die EU-Kommission. Staats- und Regierungsschef*innen, etwa aus Spanien und Deutschland, stellen Forderungen auf oder schreiben der Kommissionspräsidentin dringliche Briefe. Mitgliedstaaten wie Frankreich und Griechenland bringen bereits nationale Gesetze auf den Weg. EU-Parlament und Rat beziehen Position.

Die gestrige Videokonferenz ist also nur der (bisherige) Gipfel der Bemühungen.

Ausweispflicht im Netz? Das droht konkret

Der an den Tag gelegte Eifer könnte den Eindruck erwecken, Europa müsse auf eine plötzliche Katastrophe reagieren. Das ist aber nicht der Fall: Es gibt keine Hinweise, dass soziale Medien aktuell schädlicher wären als beispielsweise vor fünf Jahren. Die Forschungslage über gesundheitliche Gefahren sozialer Medien für Minderjährige ist nach wie vor unklar; Warnungen aus der Wissenschaft sind in der Gesamtschau eher vorsichtig.

Anders sieht jedoch das Bild aus, dass Spitzenpolitiker*innen zeichnen. Ursula von der Leyen hatte diese Woche die neue EU-Alterskontroll-App in ihrer Rede sogar mit der Einführung der Covid-App verglichen. Als wären soziale Medien eine Pandemie, die Europa überrollt und dabei vor allem Kinder und Jugendliche infiziert. Worauf genau steuert Europa da gerade zu?

Das in eine künstliche Drohkulisse gerahmte Vorhaben lässt sich auf vier Module herunterbrechen.

• Erstens geht es um ein EU-weites einheitliches Mindestalter für soziale Medien – ähnlich wie für einen Auto-Führerschein. Es könnte irgendwo zwischen 12 und 16 Jahren liegen. Frankreich will es bei 15 Jahren ansetzen. Schon jetzt geben Plattformen in ihren Nutzungsbedingungen ein Mindestalter vor: etwa 13 Jahre bei TikTok oder 16 Jahre bei YouTube. Für ein EU-weites Mindestalter allein wären die rechtlichen Hürden eher gering.
• Zweitens geht es um die Verpflichtung, dass Plattformen dieses Mindestalter mit strengen Alterskontrollen sichern müssen, etwa auf Basis von Ausweisdokumenten. Eine solche Pflicht gibt es bereits für Pornoseiten, die nur ab 18 Jahren erlaubt sind. Für soziale Medien dagegen gilt das Gesetz über Digitale Dienste (DSA), das strenge Alterskontrollen nur als eine von mehreren Optionen vorsieht. Möchte die EU also soziale Medien zu solchen Alterskontrollen verpflichten, müsste der DSA angepasst werden.
• Drittens geht es um die wirksame Durchsetzung einer möglichen Pflicht zu strengen Alterskontrollen. Das Beispiel von Pornoseiten zeigt: Nur weil eine strenge Ausweispflicht de jure gilt, heißt es noch lange nicht, dass Websites sich auch de facto daran halten. Eigentlich dürfte es in der EU keine frei zugänglichen Pornoseiten geben. Seit Jahren laufen dazu Rechtsstreitigkeiten. Social-Media-Seiten sind jedoch weniger rebellisch als Pornoseiten. Sie könnten sich entsprechenden Gesetzen beugen – in Australien tun sie es auch, zumindest widerwillig.
• Viertens geht es um einheitliche Methoden für strenge Alterskontrollen. Die EU hat hierfür jüngst eine Alterskontroll-App vorgestellt, die EU-weit ausgerollt werden soll. Später soll sie in der neuen digitalen Brieftasche (EUDI-Wallet) aufgehen. Nutzer*innen sollen in der App ein Ausweisdokument hinterlegen, das ihr Alter verrät. Die App soll dann lediglich weitergeben, ob eine Person eine bestimmte Altersschwelle überschritten hat. Rund um die App gibt es jedoch mehrere technische Unklarheiten und falsche Versprechungen.

Sobald alle vier Module wie Zahnräder ineinandergreifen, könnte ein mächtiger Kontrollapparat entstehen, der das Internet, wie wir es bisher kennen, umkrempelt. In diesem Szenario wäre es zwar weiterhin möglich, Alterskontrollen mit Tricks zu umgehen – etwa mit einem VPN-Dienst. Dennoch ist davon auszugehen, dass ein Großteil der Nutzer*innen lieber den offiziell gewünschten Weg geht und sich künftig mit einer Ausweis-App durchs Netz bewegt.

Zwei Updates könnten den Überwachungs-Apparat scharfstellen

Für Anonymität im Netz ist das eine Gefahr. Aktuell setzt die Alterskontroll-App der EU auf Pseudonyme, auch wenn die EU-Kommission versucht, die Kontrollen als „komplett anonym“ zu verkaufen. Technische Systeme lassen sich allerdings mühelos verändern. Vom Kontrollapparat zum Apparat für Massenüberwachung wäre es – theoretisch – kein allzu großer Schritt mehr. Dafür bräuchte es nur zwei Updates:

• Ein technisches Update könnte die App von Pseudonymen auf Klarnamen umstellen.
• Ein juristisches Update müsste dafür die entsprechende Rechtsgrundlage schaffen.

Mit der Begründung, Kinder und Jugendliche zu schützen, erschaffen Emmanuel Macron, Ursula von der Leyen und weitere Befürworter*innen von Alterskontrollen also gerade eine neue Infrastruktur, um alle Menschen im Netz umfassend zu kontrollieren. Und diese Infrastruktur wäre nur zwei Updates davon entfernt, Anonymität im Netz weitgehend abzuschaffen.

Weiter wäre es mit diesem Kontrollapparat möglich, bestimmte Personengruppen systematisch aus digitalen Räumen auszuschließen, etwa weil sie eine bestimmte Altersgrenze nicht überschreiten oder weil sie keine erforderlichen Papiere besitzen. – Wie weit ist dieses Szenario entfernt?

Erste Hürde: Die Alterskontroll-App ist nicht fertig

Rund um Alterskontrollen gibt es eine auffällige Diskrepanz zwischen dem, was Befürworter*innen sagen, und dem, was der Fall ist. So hat Kommissionspräsidentin von der Leyen die Alterskontroll-App diese Woche für „technisch fertig“ erklärt. In einem nachgelagerten Pressebriefing betonte ein Pressesprecher mit gepresster Stimme, die App sei „fertig!“. Ein hochrangiger EU-Beamter sprach im selben Pressebriefing von einem „Goldstandard“.

Der Blick in den Code und die Spezifikationen zeigt jedoch: Die App ist nicht fertig. Einiges ist noch nicht abschließend geklärt. So braucht es je nach Nationalstaat und unterstützten Altersnachweisen eigene Umsetzungen der App. Dabei gibt es viele Spielräume, die am Ende mehr oder weniger Privatsphäre versprechen. IT-Sicherheitsexperten warnen bereits vor Lücken.

Deutschland wiederum will die Alterskontroll-App gar nicht erst einführen, wie jüngst ein Sprecher des Digitalministeriums gegenüber der Süddeutschen Zeitung (SZ) erklärte. Offenbar liegt der Fokus in Deutschland auf der digitalen Brieftasche.

Aus der Bundesagentur für Sprunginnovationen heißt es laut SZ: Die technischen Standards der Alterskontroll-App würden von jenen aus der Verordnung für die digitale Brieftasche abweichen, „ohne, dass dadurch ein Mehrwert entsteht“. Das deutet darauf hin: Der angebliche „Goldstandard“ könnte zum Rohrkrepierer werden.

Zweite Hürde: Der DSA steht im Weg

Weiter ist noch nicht entschieden, ob und inwiefern die EU-Kommission bereit wäre, Social-Media-Plattformen zu strengen Alterskontrollen zu verpflichten. Dafür müsste sie nämlich den DSA anfassen. Gibt es dafür einen politischen Willen? In ihren Äußerungen zur Videokonferenz mit Macron, von der Leyen und weiteren Spitzenpolitiker*innen hielt sich die EU-Kommission offenbar bewusst alle Türen auf.

Ursula von der Leyen schrieb auf Twitter-Nachfolger X: „Mit dem DSA haben wir EU-weite Regeln.“ Eltern sollten sich keine Sorgen machen. Das deutet darauf hin: Nein, es kommen keine neuen Gesetze, die über den DSA hinausgehen.

Am selben Tag allerdings sagte ein Kommissionssprecher dem Fachmedium Mlex: „Natürlich erwarten wir von Online-Plattformen, einschließlich sozialer Medien, dass sie angemessene Verfahren zur Altersverifikation haben, wenn für ihre Dienste Altersbeschränkungen gelten.“ Das wiederum deutet in eine andere Richtung: Die EU-Kommission könnte versuchen, bei der Durchsetzung des DSA auf strenge Altersverifikation zu pochen. Plattformen allerdings könnten sich dann rechtlich dagegen wehren und auf den Spielräumen beharren, die ihnen laut DSA zustehen.

Aktuell muss die EU-Kommission über das französische Social-Media-Verbot bis 15 Jahre entscheiden, und zwar im sogenannten Notifizierungsverfahren. Hier soll sich klären, ob das geplante nationale Gesetz mit EU-Recht vereinbar ist. Das könnte eng werden: In zwei Gutachten hatten die Wissenschaftlichen Dienste des Bundestags keine Spielräume für nationale Alleingänge bei diesem Thema gesehen.

Die Wissenschaftlichen Dienste arbeiten laut Selbstbeschreibung parteipolitisch neutral und sachlich objektiv. Als die französische Regierung jüngst in einem Pressebriefing auf deren juristisch fundierte Einschätzung angesprochen wurde, wollte sie davon nichts wissen. Ein Sprecher weigerte sich, zu kommentieren, was „irgendein“ deutsches Gremium sage.

Wissenschaft und Zivilgesellschaft im Abseits

Ähnlich wie die EU-Kommission hält sich Deutschland noch alle Türen auf. Zwar haben bereits Kanzler, Vizekanzler, die CDU und wichtige SPD-Politiker*innen Position bezogen – für ein Social-Media-Verbot für Minderjährige plus Alterskontrollen. Die CSU dagegen ist skeptisch. Und die Bundesregierung teilte jüngst mit, sie habe sich noch nicht festgelegt.

Mit zunehmender Ungeduld schielen die Befürworter*innen des Modells auf zwei Expert*innen-Kommissionen; eine auf Deutschland- und eine auf EU-Ebene. Dort sollen Fachleute bis spätestens Sommer Handlungsempfehlungen für Jugendschutz im Netz vorlegen. Ihnen dürfte allerdings bewusst sein, dass Politiker*innen auf höchster Ebene gerade Entscheidungen vorwegnehmen. Wie groß ist wohl das Interesse der Forschenden, den Staats- und Regierungschef*innen mit möglicherweise abweichenden Positionen in die Parade zu fahren?

Keinerlei politisches Gehör findet derweil eine breite interdisziplinäre Palette an Kritiker*innen aus den Bereichen Kinderschutz, Pädagogik und Wohlfahrt, aus Elternverbänden, aus Datenschutz und IT-Sicherheit bis hin zur Kirchen-Organisationen. Viele lehnen sowohl ein pauschales Social-Media-Verbot für Minderjährige ab als auch strenge Alterskontrollen für alle. Kinder und Jugendliche mit ihren Interessen und Bedürfnissen kommen in der politischen Debatte – wenn überhaupt – nur am Rande vor.

Eine Schwachstelle in YubiKey Manager, libfido2 und python-fido2 ermöglicht Angreifern, der Software Schadcode unterzuschieben. Yubico stellt aktualisierte Softwarepakete bereit, die die Lücken stopfen sollen.

Davor warnt Yubico in einer Sicherheitsmitteilung. Für die Open-Source-Projekte YubiKey Manager, libfido2 sowie python-fido2 stehen seit Mittwoch dieser Woche aktualisierte Quellen respektive Installer bereit. Sie schließen alle Schwachstellen, die unter Windows aufgrund eines Problems mit dem DLL-Suchpfad auftreten können. Haben Angreifer die Möglichkeit, Dateien im Installationsverzeichnis der betroffenen Software abzulegen, können sie dadurch eigenen Code zur Ausführung bringen.

Die verwundbare Software nutzt die Funktionen LoadLibrary(TEXT("DLL_NAME")), was den Suchpfad nicht auf das System32-Verzeichnis beschränkt. Durch die Nutzung von LoadLibraryExW(L"DLL_NAME", NULL, LOAD_LIBRARY_SEARCH_SYSTEM32) respektive WinDLL("DLL_NAME", winmode=LOAD_LIBRARY_SEARCH_SYSTEM32) korrigieren die Yubico-Entwickler den sicherheitsrelevanten Fehler jedoch. Wenn die betroffene Software mit Administratorrechten auf den Verzeichnissen geschützt ist, würden Angreifer ebenfalls diese Zugriffsrechte benötigen, schränkt Yubico jedoch ein (CVE-2026-40947, CVSS 7.0, Risiko „hoch“). Abweichend von Yubicos Einschätzung stuft MITRE die Lücke lediglich als niedriges Risiko ein (CVSS 2.9, Risiko „niedrig“).

Aktualisierte Software schützt

Yubico empfiehlt Nutzern und Nutzerinnen, auf die fehlerkorrigierten Versionen zu aktualisieren: libfido2 1.17.0, python-fido2 2.2.0 sowie yubikey-manager 5.9.1. Entwickler, die die verwundbaren Bibliotheken in ihren Apps verwenden, sollten die Microsoft-Hinweise zum Schutz vor DLL-Preloading-Angriffen nachvollziehen, um ihre Software vor diesen Arten von Angriffen zu schützen.

Vor rund zwei Jahren hatte Yubico bereits eine Sicherheitslücke in YubiKey Manager geschlossen, die Angreifern die Ausweitung ihrer Rechte im System ermöglichte. Im September 2024 erlangte ein Cloning-Angriff über einen Seitenkanal in der Firmware von Yubikey-Hardware Bekanntheit. Er hat den Namen EUCLEAK erhalten.

(dmk)