IT-Verantwortliche, die zur Zugriffsverwaltung auf Apps den F5 BIG-IP Access Policy Manager (APM) (inzwischen unter dem Namen „BIG-IP Zero Trust Access“ unterwegs) nutzen, sollten dringend prüfen, ob die Software ihrer Appliances auf dem aktuellen Stand ist. Die US-amerikanische Cybersicherheitsbehörde CISA hat eine Warnung veröffentlicht, dass auf eine Sicherheitslücke in dem System Angriffe beobachtet wurden.

Konkret schreibt die CISA, dass die Behörde Kenntnis von Attacken auf die Schwachstelle CVE-2025-53521 hat. Laut Schwachstellenbeschreibung können Angreifer mit bestimmtem bösartigen Traffic Schadcode aus dem Internet einschleusen und ausführen. Voraussetzung dafür ist lediglich, dass die BIG-IP APM-Zugriffsrichtlinie auf einem virtuellen Server konfiguriert ist (CVSS4 9.3, Risiko „kritisch“).

Wie F5 in der Sicherheitsmitteilung dazu erklärt, wurde die Lücke zunächst als Denial-of-Service-Schwachstelle kategorisiert und erhielt eine Risikoeinstufung CVSS4 8.7, was einem hohen Risiko entspricht. Aufgrund neuer Informationen aus dem März 2026 hat F5 sie jetzt neu kategorisiert und als Remote-Code-Execution (RCE) mit kritischem Risiko bewertet. Außerdem ergänzt F5 den Hinweis: „Uns ist bekannt geworden, dass die Schwachstelle in den verwundbaren BIG-IP-Versionen ausgenutzt wurde“.

Aktualisierte Software zum Schließen der Lücke

Die Sicherheitslücke hat F5 mit aktualisierten Softwarepaketen geschlossen. F5 BIG-IP APM 17.5.1.3, 17.1.3, 16.1.6.1 und 15.1.10.8 sowie neuere Versionen enthalten laut Hersteller den sicherheitsrelevanten Fehler nicht mehr. Admins sollten die Aktualisierungen umgehend anwenden.

Im vergangenen Oktober wurde bekannt, dass Angreifer bei F5 Code und Informationen zu Sicherheitslücken stehlen konnten. Das führte dazu, dass F5 Patches für fast vier Dutzend Sicherheitslücken auf einen Schlag veröffentlichte.

(dmk)

Es lässt mich nicht los, dieses kleine, viereckige Gerät. Das eine Ding, das ich immer bei mir trage, selbst wenn ich nur vom Schlafzimmer in die Küche laufe. In der Bahn, in Pausen, beim Warten an der Ampel, vorm Einschlafen, direkt nach dem Aufwachen: In jeder freien Sekunde geht mein erster Griff zum Smartphone. Selbst wenn ich Besseres zu tun hätte und selbst wenn mich der Inhalt eigentlich gar nicht interessiert oder ich vom Scrollen schon längst Kopfschmerzen habe. Auch dann, wenn ich eigentlich nicht frei habe. Wenn ich – so wie jetzt gerade – eine Hausarbeit für die Uni schreiben sollte oder eine Kolumne abgeben muss.

Meine durchschnittliche tägliche Bildschirmzeit auf Instagram beträgt zwei Stunden. Zwei Stunden jeden Tag. Auf ein Jahr hochgerechnet sind das 730 Stunden, die ich mit einer einzigen App verbracht habe. In dieser Zeit hätte ich im vergangenen Jahr eine Sprache lernen oder ein gesamtes zusätzliches Studiensemester im Umfang von 30 ECTS abschließen können. Ganz abgesehen von der Zeit, die ich auf WhatsApp, beim Surfen oder mit Serien verbringe. Mir ist das seit Jahren bewusst. Und trotzdem ändert sich nichts. Das ist kein persönliches Versagen. Es ist Systemdesign.

Laut einer Studie aus dem Jahr 2025 verbringen deutsche Jugendliche zwischen 12 und 19 Jahren im Schnitt über 200 Minuten täglich im Netz. Das entspricht einem Teilzeitjob. 68 Prozent der Befragten stimmen der Aussage zu: „Es kommt oft vor, dass ich mich vergesse und viel mehr Zeit am Handy verbringe, als ich geplant hatte.“ Das ist kein Charakterproblem. Das ist das Ergebnis von Milliarden Euro, die in Systeme investiert wurden, um genau das zu erreichen.

By Design

Soziale Medien sind längst nicht nur Unterhaltungsmedien. Sie sind Aufmerksamkeitsmaschinen. Ihr Geschäftsmodell basiert nicht auf guten Inhalten, die produzieren sie nicht einmal selbst. Und wenn wir ehrlich sind, ist der meiste Content in Sozialen Medien weder besonders unterhaltsam noch bereichernd.

Das Geschäftsmodell basiert darauf, menschliche Aufmerksamkeit zu binden, zu messen und in Werbeeinnahmen zu verwandeln. Je länger wir scrollen, desto wertvoller sind wir als Nutzer. Unsere Zeit ist das Produkt.

Die Mechanismen sind gut dokumentiert: Plattformen wie Meta und ByteDance setzen auf denselben neurobiologischen Mechanismus wie Spielautomaten: den variablen Verstärkungsplan. Das Gehirn schüttet Dopamin nicht aus, wenn es eine Belohnung erhält, sondern während es eine erwartet. Es ist das Vielleicht, das süchtig macht. Vielleicht unterhält mich der nächste Clip besser als der davor.

Dazu kommen Endlosscrolling ohne natürliche Pause, Push-Benachrichtigungen im Sekundentakt, Empfehlungssysteme, die nicht das Interessanteste zeigen, sondern das, was uns emotional am stärksten aktiviert. Der Schließen-Button kleiner und grauer als der Weiter-Button. Die Datenschutzeinstellungen hinter drei Menüs versteckt. Die Kündigung, die nach jeder Menge Kleingedrucktem den Account nur für dreißig Tage stilllegt.

All das zusammen ergibt eine Architektur, in der Freiheit simuliert wird – du kannst ja jederzeit aufhören – aber strukturell verhindert. Wer hier „zu viel“ Zeit verbringt, hat nicht versagt. Er hat sich einem System ergeben, das dafür optimiert wurde, ihn auf der Plattform zu halten. Und das es gleichzeitig schafft, uns all das als emanzipatorisch zu verkaufen.

Soft Power reicht nicht aus

Auf solche Probleme antworten Entscheidungsträger gerne mit weichen Steuerungselementen: etwa mehr Medienkompetenz in der Schule. Das ist nicht falsch. Aber es ist unzureichend – selbst wenn dieser Forderung endlich einmal ernsthaft nachgegangen würde. Es wäre so, als würde man einem rauchenden Jugendlichen sagen, er solle mehr Willenskraft aufbringen, anstatt Tabakwerbung zu regulieren und Zigarettenhersteller zur Verantwortung zu ziehen.

Das strukturelle Problem ist eine fundamentale Machtasymmetrie: Auf der einen Seite Unternehmen mit Milliardenumsätzen und Tausenden Mitarbeitern, die sich rund um die Uhr mit einer Frage beschäftigen: Wie halten wir Menschen möglichst lange auf der Plattform? Und auf der anderen Seite Nutzer, die – selbst wenn sie wissen, wie ihnen da eigentlich geschieht – nahezu keine Möglichkeit haben, sich davor zu schützen und gleichzeitig weiterhin große Online-Plattformen zu nutzen.

Brüssel will mehr digitalen Verbraucherschutz

Nach Jahren der Diskussion plant die EU-Kommission den Digital Fairness Act (DFA); ein Gesetz, das das digitale Verbraucherrecht grundlegend neugestalten soll. Grundlage ist eine Erhebung aus dem Oktober 2024, deren Befund ernüchternd ausfiel: Die bestehenden EU-Verbraucherschutzgesetze taugen für das digitale Zeitalter nicht. Verbraucher werden durch manipulative Online-Praktiken zu Vertragsabschlüssen verleitet, die sie sonst nicht getätigt hätten.

Der DFA soll nach aktueller Beschreibung seitens des EU-Parlaments unter anderem vier Kernprobleme regulieren: Dark Patterns, suchterzeugendes Design, Influencer-Marketing und die unlautere Personalisierung durch die Plattformbetreiber selbst.

Kein Wunder, dass die Plattformen dagegen Sturm laufen. TikTok erklärte in der Konsultation zum geplanten Gesetz, es bestehe nur sehr begrenzter Bedarf an zusätzlicher Regulierung. ByteDance, Meta, Google: Sie alle wissen, was auf dem Spiel steht. Weniger manipulatives Design bedeutet weniger Verweildauer, weniger Werbeeinnahmen.

Die EU hat mit DSA, DMA und AI Act bereits ambitionierte Digitalgesetze verabschiedet. Diese Regelwerke haben eine gemeinsame Leerstelle: Sie regulieren Inhalte und Marktmacht, nicht das Design der Plattformen. Der DFA soll genau diese Lücke schließen. Entscheidend wird – wie so oft – die Durchsetzung des Acts sein. Die EU hat eine unrühmliche Geschichte, ambitionierte Gesetze zu verabschieden und sie anschließend unzureichend durchzusetzen.

„Langweiliger“, aber freier

Ich will keine App-freie Welt. Keine vordigitale Idylle, wie sie so mancher Kulturpessimist allzu gerne zeichnet. Was ich will, ist die tatsächliche Freiheit, darüber zu entscheiden, wie ich meine Zeit verbringe. Eine App-Architektur, die mich nicht gegen mich selbst ausspielt.

Soziale Medien müssen langweiliger werden. Nicht im Sinne schlechterer Inhalte – die sind ohnehin meist beliebig. Sondern im Sinne eines Designs ohne psychologische Fallen. Das zu ermöglichen, ist eine politische Entscheidung. Und es wird Zeit, dass diese Entscheidung zugunsten der Verbraucher in Brüssel getroffen wird.

Cyberkriminelle haben die Europäische Kommission attackiert. Dabei könnten sie auch eine große Menge an Daten erbeutet haben. Die EU untersucht noch die vollständigen Auswirkungen des Vorfalls.

Laut der Kommission ereignete sich der Angriff schon am Dienstag. Demnach sei ein Webauftritt der EU-Kommission auf der EU-eigenen Plattform europa.eu betroffen gewesen, aber keine internen Systeme der Kommission. „Frühe Ergebnisse unserer laufenden Untersuchung deuten darauf hin, dass Daten von diesen Websites stammen“, erklärte die Kommission. Andere EU-Einrichtungen, die von dem Vorfall betroffen sein könnten, will die Kommission unterrichten. Dass auch vermeintlich sichere Infrastrukturen zum Ziel werden, zeigte sich erst kürzlich, als Angreifer Zugriff auf Nutzerdaten bei Cloud Imperium Games erlangten.

Etwas mehr Details veröffentlichte bereits das Portal bleepingcomputer, das Informationen von einem der beteiligten Bedrohungsakteure erhalten haben will. Demnach traf der Angriff mindestens einen der Amazon-Web-Services-Accounts (AWS-Accounts) der Kommission. Bei Amazon habe es aber keinen Sicherheitsvorfall gegeben und alle Dienste würden weiter funktionieren wie vorgesehen, teilte ein Amazon-Sprecher Bleepingcomputer mit.

Screenshots sollen Zugriff auf Mailserver zeigen

Wie Bleepingcomputer von dem mutmaßlichen Angreifer erfahren haben will, wurden bei dem Angriff 350 Gigabyte an Daten erbeutet, inklusive mehrerer Datenbanken. Die Glaubwürdigkeit ist allerdings noch fraglich: Als Beleg führte er mehrere (nicht öffentliche) Screenshots an, auf denen der Zugriff auf Informationen der Kommission sowie auf einen ihrer E-Mail-Server zu sehen sein soll. Das würde der Darstellung der EU-Kommission, es seien keine internen Systeme betroffen, widersprechen. Details zum Vorgehen teilte er nicht.

Das Ziel der Angreifer sei demnach nicht, die Kommission zu erpressen. Allerdings wollen sie zeitnah einige der Daten veröffentlichen. Welche Daten mutmaßlich erbeutet wurden, ist zum aktuellen Zeitpunkt noch unklar. Die EU reagierte in der Vergangenheit bereits mit harten Maßnahmen auf solche Vorfälle und sanktionierte iranische sowie chinesische Staatshacker wegen Angriffen auf europäische Einrichtungen. Im aktuellen Fall wird der Angriff auf Daten der EU noch keinem staatlichen Akteur zugeordnet.

(nen)