Der SPD-Politiker Sebastian Fiedler hat in einer Bundestagsdebatte zur Chatkontrolle am vergangenen Mittwoch gefordert: „Es darf kein Endgerät mehr auf dem europäischen Markt geben, das überhaupt in der Lage ist, kinderpornografisches Material anzuzeigen und zu verarbeiten.“ (Video)

Der Vorschlag würde eine extreme Form von Zensur und Inhaltskontrolle erfordern. Die Technologie und das Vorhaben wären noch weit eingriffsintensiver als die verpflichtende Chatkontrolle, die in Europa vier Jahre lang diskutiert wurde und nun vorerst vom Tisch ist. Zensurtechnologien auf Endgeräten, wie die von Fiedler vorgeschlagene Version, sind eher aus Ländern wie Nordkorea bekannt.

Der Innenpolitiker und Polizist Fiedler, der früher Vorsitzender des Bundes Deutscher Kriminalbeamter war, fordert diese Form der Überwachung und Informationskontrolle nicht zum ersten Mal. Schon im Jahr 2024 hatte er seinen Vorschlag im Rahmen der Chatkontrolle-Debatte ins Spiel gebracht. Damals behauptete er im Interview mit WDR5, dass eine technische Umsetzung des Vorschlags möglich sei.

Wir hatten schon damals nachgefragt, wie dies funktionieren soll – und bedauerlicherweise keine Antwort von Herrn Fiedler erhalten.

Neue Fragen bleiben ebenfalls unbeantwortet

Weil er nun erneut diesen Vorschlag ins Rennen schickt, haben wir wieder nachgefragt. Wir wollten wir unter anderem wissen, wie die Technologie funktionieren soll, ohne dass es zu einer anlasslosen Komplettüberwachung aller digitalen Inhalte auf sämtlichen Endgeräten kommt.

Außerdem wollten wir von Herrn Fiedler wissen, ob ihm eine Technologie bekannt ist, die das leistet.

Und wir wollten wissen, wie Herr Fiedler ausschließen möchte, dass die Technologie in autoritären Ländern oder in Deutschland unter einer AfD-Regierung dazu genutzt wird, um unliebsame politische Inhalte zu sperren.

Auch dieses Mal hat Herr Fiedler auf die Presseanfrage von netzpolitik.org nicht reagiert.

Eine Sicherheitslücke im schlanken SSH-Server Dropbear ermöglicht Angreifern, ihre Rechte im System auszuweiten. Aktualisierte Softwarepakete schließen die Sicherheitslücke.

Dropbear kommt aufgrund seiner geringen Größe oftmals auf Single-Board-Computersystemen und Routern zum Einsatz, etwa in OpenWRT. Jetzt haben die Entwickler die Dropbear-Version 2025.89 veröffentlicht und schreiben in der Ankündigung, dass bei älteren Fassungen bis einschließlich Dropbear 2024.84 Angreifer beliebige Programme im System als „root“ starten können, sofern sie eine Sicherheitslücke in Dropbear ausnutzen.

Temporäre Gegenmaßnahme

Ursache des Sicherheitslecks ist die Weiterleitung von Unix-Sockets. Andere Programme auf dem System können Unix-Sockets mittels SO_PEERCRED authentifizieren, was bei von Dropbear weitergeleiteten Verbindungen der User „root“ ist, was die Ausweitung der eigenen Rechte ermöglicht, führen die Dropbear-Programmierer aus (CVE-2025-14282, CVSS 9.8, Risiko „kritisch“).

Wer noch nicht aktualisieren kann, kann sich damit behelfen, den Zugriff auf Unix-Socket-Forwarding zu unterbinden. Das erledigt der Aufruf mit Kommandozeilenparameter dropbear -j – das deaktiviert jedoch zugleich auch TCP-Forwarding. Wer Dropbear aus den Quellen selbst baut, kann auch in den Header-Dateien „localoptions.h“ sowie „distrooptions.h“ einen Define passend setzen: „#define DROPBEAR_SVR_LOCALSTREAMFWD 0“ sorgt dafür, dass die anfällige Funktion nicht ausgeführt wird. Die vollständige Korrektur benötigt jedoch weiterreichende Änderungen.

„Die Weiterleitung von Unix-Sockets ist jetzt deaktiviert, wenn erzwungene Befehlsoptionen verwendet werden, da sie Befehlsbeschränkungen umgehen könnten“, erklären die Dropbear-Entwickler. Das stehe nicht direkt mit der Rechteausweitung in Verbindung, aber könnte die Ausführung beliebiger Befehle als korrekter User erlauben.

Die Risikoeinstufung als „kritisch“ der Schwachstelle stammt vom CERT-Bund. Wer Dropbear als SSH-Server einsetzt, sollte nach aktualisierten Paketen Ausschau halten und diese zeitnah installieren. Sofern das noch nicht möglich ist, hilft der vorgeschlagene Workaround, die eigene Installation abzusichern.

(dmk)

Mehr Europäische Souveränität – weniger Abhängigkeit von großen US-Konzernen. Das ist das zentrale Versprechen des Digitalen Euro. Doch immer wenn über technische Standards beim Digitalen Euro geredet wird, sitzen US-amerikanische Big Tech- und Finanzkonzerne mit am Tisch. Mastercard ist sogar an einem der Unternehmen beteiligt, die den Digitalen Euro zum Leben erwecken sollen.

Der Digitale Euro (D€) soll das grenzüberschreitende Bezahlen möglich machen und damit das Oligopol von Mastercard, Visa und PayPal aufbrechen. Spätestens seit der Rückkehr von Donald Trump ins Weiße Haus begründen Befürworter:innen das Projekt der EZB auch mit Europäischer Souveränität.

Europäische Souveränität als Ziel

So verweist Burkhard Balz, Vorstand der Bundesbank, im Tagesspiegel auf das Schicksal des brasilianischen Richters Alexandre de Moraes, der zuerst den ehemaligen brasilianischen Präsidenten Bolsonaro für seinen Putschversuch verurteilte. Die Trump-Regierung sanktionierte daraufhin den Richter und schloss ihn so de-facto vom Finanzsystem aus. Ähnliche Szenarien seien im europäischen Zahlungsverkehr denkbar. US-Anbieter „können dann darüber entscheiden, ob wir Europäer digital zahlen können oder nicht“, schreibt Bundesbanker Balz.

Weniger Abhängigkeit von US-Firmen ist also das Ziel des D€, insbesondere von Mastercard und Visa, die das bargeldlose Bezahlen in Europa dominieren. Umgesetzt werden soll das auf der einen Seite von EU-Kommission, Ministerrat und Europäischem Parlament – den EU-Gesetzgebern. Sie arbeiten an einem Gesetzespaket zum Digitalen Euro. Auf der anderen Seite arbeitet die Europäische Zentralbank (EZB) bereits an der Umsetzung. Und genau dort wirft der Einfluss von US-Konzernen Fragen auf.

Mastercard ist an App-Entwickler für den D€ beteiligt

Denn ausgerechnet Mastercard ist auch an einem wichtigen Unternehmen für die Entwicklung des Digitalen Euro beteiligt. Der gleiche Digitale Euro, der uns unabhängiger von Mastercard machen soll.

Denn zur Umsetzung des D€ hat die EZB bereits Aufträge vergeben. Unter Vertrag genommen wurden zehn Unternehmen für insgesamt fünf Aufträge: Alias-System, App und Software Entwicklung, Offline-Lösung, Risko- und Betrugsmanagement sowie sicherer Austausch von Zahlungsinformationen.

Einen Teil der Ausschreibung zur App-Entwicklung gewann die italienische Firma Fabrick. Mastercard hat Anteile an dem Unternehmen, das mehrheitlich zur italienischen Banca Sella Gruppe gehört. Mastercard kaufte sich 2023 in das Unternehmen ein, wie ein Pressemitteilung zeigt, und hält die Anteile bis heute. Wie viele Anteile Mastercard an Fabrick besitzt, ist unklar. Beide Unternehmen haben nicht auf Anfragen von netzpolitik.org reagiert.

„Es ist ein Risiko“

Bruno de Conti von der NGO Positive Money führt die Beteiligung von Mastercard auf die hohe Konzentration und Vernetzung innerhalb des Finanzmarkts zurück, er sei daher nicht überrascht gewesen, dass Mastercard an einem der Unternehmen beteiligt gewesen sei. „Dennoch stellt das ein Risiko dar“, warnt de Conti. Es brauche einen möglichst transparenten Prozess und eine starke EZB, die das Gemeinwohl verteidige.

Rechtsprofessor Andreas Kerkemeyer von der TU Darmstadt findet die Minderheitsbeteiligung von Mastercard zumindest überraschend: „Es ist wichtig für das Gelingen des Digitalen Euros, dass die Unternehmen, mit denen die EZB zusammenarbeitet, um die Kernfunktionen bereitzustellen, ihren Sitz in Europa haben, in europäischer Hand sind und auch nicht von nicht-europäischen Unternehmen aufgekauft werden.“

EZB: Minderheitsbeteiligung ist unproblematisch

Die EZB teilt auf Anfrage mit, dass die Verträge und Ausschreibungen eine Bedingung beinhalten, um die europäische Autonomie zu sichern. Dieser Bedingung zur Folge müssen alle Dienstleister des Digitalen Euro europäisch kontrolliert sein, also von einem Unternehmen mit Sitz in der EU oder einem EU-Bürger. Die EZB schreibt:

Kontrolle’ bedeutet die Möglichkeit, direkt oder indirekt über ein oder mehrere zwischengeschaltete Unternehmen einen entscheidenden Einfluss auf ein Unternehmen auszuüben. Die Kontrolle kann in einer der folgenden Formen ausgeübt werden: direkte oder indirekte Beteiligung von mehr als 50 % des Nennwerts des ausgegebenen Aktienkapitals der betreffenden juristischen Person oder Mehrheit der Stimmrechte der Aktionäre oder Gesellschafter dieser Person.

Die Minderheitsbeteiligung von Mastercard habe „offenbar keine ‚Kontrolle‘ über den Anbieter zur Folge und wirkt sich daher nicht auf die Eignung des Anbieters aus, Arbeiten und Dienstleistungen für die EZB zu erbringen“, antwortet die EZB auf netzpolitik.org-Anfrage.

Das Regelwerk

Neben der Unternehmensbeteiligung ist Mastercard noch an einer anderen Stelle in der Umsetzung des Digitalen Euro mindestens involviert – ebenso wie einige US-amerikanische Big Tech-Konzerne.

Denn ein wichtiger Teil der D€-Umsetzung geschieht in der Rulebook Development Group (RDG). Diese arbeitet ein Rulebook („Regelwerk“) aus, in welchem einheitliche Regeln und technische Standards festgelegt sind. Besonders relevant ist das für die Unternehmen, die die zukünftigen Zahlungsprozesse abwickeln, etwa Banken oder andere Zahlungsdienstanbieter. Nach Auskunft der Bundesbank wurde die RDG „ins Leben gerufen, um eine Branchenperspektive auf den Entwurf des Regelwerks für den digitalen Euro zu gewinnen.“

Wo US-Konzerne mit am Tisch sitzen

Doch mit am Tisch sitzen auch Verbände, deren Mitglieder große US-amerikanischen Unternehmen sind, also genau die, von denen die EZB die europäische Abhängigkeit reduzieren möchte.

• Da ist zum einen als Vertreter der Zahlungsinstitutionen die European Payment Institutions Federation (EPIF). Diese ist dominiert von US-amerikanischen Big-Tech-Konzernen. Apple, Amazon Payments, Google Pay und Meta stellen immerhin die Hälfte der „Voll-Mitglieder“. Zu diesem Kreis gehören auch die US-Finanzkonzerne American Express, Moneygram und Western Union.
• Auch die Mitgliederliste der Electronic Money Association (EMA) liest sich wie ein Who-is-who der Plattformkonzerne: AirBnB, Amazon, ByteDance, Google, PayPal und Uber sind mit von der Partie, ebenso wie Finanzkonzerne wie American Express und die Kryptobörse Kraken.
• Amazon ist außerdem noch Mitglied im Händlerverband Eurocommerce, in dem auch Aldi und die Schwarz-Gruppe (Kaufland, Lidl) sitzen.
• Mastercard ist Mitglied in zwei in der RDG sitzenden Verbänden. Die belgische Präsenz von Mastercard ist Mitglied im European Payment Council, außerdem gehört Mastercard das Unternehmen „aiia“, welches Mitglied der European Third Party Providers Association ist.

Wie problematisch ist das?

Bundesbank und EZB verteidigen auf Anfrage die indirekte Präsenz von US-Konzernen in der RDG. So schreibt die EZB: „Alle derzeitigen RDG-Mitglieder aus dem privaten Sektor stammen aus einem europäischen Verband oder sind mit privaten Institutionen/Unternehmen mit Sitz in der EU verbunden.“ Das schließt allerdings auch Tochterunternehmen nicht-europäischer Konzerne mit ein.

Zudem seien die in der RDG ausgehandelten Regeln nicht verbindlich. „Die Rolle der RDG-Mitglieder ist beratend“, schreibt die Bundesbank auf netzpolitik.org-Anfrage. Die Verantwortung und Eigentümerschaft des Regelwerks bleibe beim Eurosystem. Auch die EZB betont, dass die letztendliche Entscheidung bei ihr liege: „Ein endgültiger Entwurf des vorläufigen Regelwerks wird einer öffentlichen Konsultation unterzogen. Anschließend wird das Regelwerk für den digitalen Euro dem EZB-Rat zur Prüfung und anschließenden Genehmigung vorgelegt.“

Zivilgesellschaft: Kein Vorbeikommen an US-Konzernen

Expert:innen aus der Zivilgesellschaft sehen die indirekte Beteiligung von großen US-Konzernen kritischer. So sagt Carolina Melches zu netzpolitik.org: „Dass US-Unternehmen indirekt mit am Tisch sitzen, zeigt die problematische Allgegenwärtigkeit dieser Unternehmen im europäischen Zahlungsverkehr. Will man wichtige Stakeholder dabeihaben, kommt man an den US-Anbietern kaum vorbei.“

Bruno de Conti von der Nichtregierungsorganisation Positive Money Europe warnt, dass es beim Rulebook um „wesentliche Entscheidungen“ gehe. Die Einbindung von privaten Firmen bei Projekten wie dem Digitalen Euro sei auch eine Strategie der Zentralbanken, „um die Zurückhaltung vieler privater Unternehmen in Bezug auf digitale Zentralbankwährungen zu verringern“, schreibt de Conti auf Anfrage.

US-Digitalkonzerne könnten versuchen, auf einen möglichst unattraktiven Digitalen Euro hinzuarbeiten, aber es könnte auch auf eine interoperable Lösung hinauslaufen, so de Conti weiter. Die Frage nach der Problematik der Beteiligung von großen US-Konzernen „betrifft also weniger die Einbeziehung an sich, sondern vielmehr den Einfluss, den sie in den Gesprächen hatten – etwas, über das wir erschreckend wenig wissen.“

Wissenschaftler: Auch mit diesen Konzernen sprechen

Professor Andreas Kerkemeyer ist von der mindestens indirekten Beteiligung der US-Konzerne an der RDG nicht beunruhigt. „Da der Zugang zum Digitalen Euro für die Nutzer nicht über die EZB oder das Eurosystem erfolgt, sondern über (digitale) Zahlungsdienstleister, macht es schon Sinn mit all denjenigen zusprechen, die in diesem Markt aktiv sind“, sagt der Jura-Professor im Gespräch mit netzpolitik.org.

Für Kerkemeyer „besteht immer die Gefahr eines ‚regulatory capture‘, wenn die Vertreter von Firmen an Rechtsregeln mitarbeiten.“ Regulatory capture meint das Kapern einer Institution, die eigentlich dem Gemeinwohl dienen soll, durch einzelne Lobbygruppen.

„Allerdings steuert die EZB den Prozess maßgeblich, sie hat den Vorsitz und das Sekretariat der RDG inne und am Ende entscheidet sie über das Rulebook“, so Kerkemeyer. Außerdem habe die RDG noch mehr Mitglieder als die oben angesprochenen Verbände.

Der Blick richtet sich auf EU-Parlament und Rat

Dass der Digitale Euro gelinge, sehen alle drei Expert:innen auch in der Verantwortung von Parlament und Rat, diese beraten aktuell über das Gesetzespaket zum Digitalen Euro. So sagt Andreas Kerkemeyer: „In der Verordnung werden die wesentlichen Entscheidungen über den Digitalen Euro getroffen. Es ist klar, dass sich das Rulebook innerhalb des Rahmens der Verordnung bewegen muss.“

Carolina Melches von Finanzwende betont: Der Digitale Euro könne nur dann ein echtes Gegengewicht zu US-amerikanischen Anbietern werden, „wenn Infrastruktur und Betrieb bei seiner Einführung rein europäisch sind“. Hierfür müssten sich auch die EU-Gesetzgeber einsetzen.

Aus Sicht von Positive Money Europe ist das Europäische Parlament aktuell die größte Hürde, um Abhängigkeiten von den USA abzubauen. De Conti bezieht sich damit auf den Entwurf von Berichterstatter Navarrete, der im November im Wirtschaftsausschuss diskutiert wurde. Navarrete hatte vorgeschlagen, einen Online-D€ nur dann einzuführen, wenn bis zu seiner Einführung keine privat-wirtschaftliche pan-europäische Alternative bereitstünde.

Dieser Ansatz sei „kurzsichtig“, kritisiert de Conti: „Würde ein solches System letztendlich von einem Nicht-EU-Unternehmen aufgekauft, stünden wir wieder am Anfang – nur mit einer noch größeren Verzögerung bei der Entwicklung eines umsetzbaren und zuverlässigen Plans und einer weiteren Konsolidierung der Marktmacht in den Händen von Nicht-EU-Unternehmen.“