Die EU-Kommission macht den Weg ein Stück weit frei für Forscher:innen, die Zugang zu den Datenschätzen großer Online-Dienste wie Facebook oder Google suchen. Ein am Mittwoch veröffentlichter delegierter Rechtsakt regelt nun die Details der Zugangsbedingungen. Zugleich steht ab sofort ein Portal bereit, das Forschenden sowie betroffenen Online-Diensten Informationen über den Status ihrer Anträge und Zugänge liefern soll.

Die Regeln sind Teil des Digital Services Act (DSA) der EU. Dieser soll ein sicheres Online-Umfeld schaffen und stellt insbesondere an sehr große Online-Dienste höhere Anforderungen als vorher. Dazu zählt unter anderem, dass sie Forschenden Zugang zu einigen ihrer Daten geben müssen. Bislang fiel es oft schwer, die Funktionsweise von Online-Diensten und die von ihnen potenziell ausgehenden systemischen Risiken unabhängig zu erforschen, da es kein gesetzlich verbrieftes Recht gab, auf die oft als Geschäftsgeheimnisse betrachteten internen Daten zuzugreifen.

Die Verabschiedung des Rechtaktes sei ein „entscheidender und überfälliger Schritt“ für den Zugang von Forschenden zu Plattformdaten, sagt Joschka Selinger von der Gesellschaft für Freiheitsrechte (GFF). Es handle sich um „das letzte Puzzleteil, damit Forschende in der EU erstmals den umfassenden Anspruch auf Zugang zu Daten von großen Online-Plattformen geltend machen können“, sagt der Jurist.

Zeitfristen für Anträge

Den groben Rahmen steckt bereits Artikel 40 des DSA ab. So läuft der Zugang stets über die nationalen Koordinatoren für digitale Dienste (auf Englisch: Digital Services Coordinator, DSC). In Deutschland ist die Stelle bei der Bundesnetzagentur angesiedelt. Dem Rechtakt zufolge haben diese Stellen 80 Werktage Zeit, um über Anträge auf Zugang zu entscheiden.

Forscher:innen müssen hierbei einige Bedingungen erfüllen: Sie müssen einer Forschungsorganisation, in der Regel einer Hochschule, angehören. Und sie müssen kommerziell unabhängig sowie bereit sein, ihre Forschungsergebnisse der Öffentlichkeit anschließend frei zur Verfügung zu stellen. Zudem müssen sie in ihrem Antrag auf Zugang einigermaßen detailliert beschreiben, welche Daten sie genau anfordern und welches Format sowie welchen Umfang sie haben.

Womöglich könnte das zum Problem werden, sagt Selinger: „Der delegierte Rechtsakt löst das strukturelle Ungleichgewicht zwischen Forschenden und Plattformen nicht auf.“ Forschende wüssten am Beginn des Antragstellungsprozesses nicht, welche Daten sie am Ende erhalten würden. „So müssen sie quasi im Blindflug Vorkehrungen zu Datensicherheit und Datenschutz treffen“, sagt Selinger. Formalisierte Beteiligungsrechte, welche die Position der Forschenden deutlich hätten aufwerten können, enthält der Rechtsakt jedoch nicht, bedauert der GFF-Jurist.

Für einen gewissen Ausgleich könnten zumindest die nun vorgeschriebenen Datenkataloge sorgen, in denen Online-Dienste Informationen über verfügbare Datensätze, deren Struktur und Metadaten offenlegen müssen. „Das hilft, präziser zu formulieren, was man anfragt“, sagt Jakob Ohme vom Weizenbaum-Institut, der zugleich am „DSA 40 Data Access Collaboratory“ beteiligt ist.

Breit gefasste Datenzugänge

Auch Ohme hält den Rechtsakt für einen „zentralen Schritt für die Umsetzung von Artikel 40 des DSA“. Dabei habe die Kommission einige wichtige Punkte aus der öffentlichen Konsultation aufgegriffen und beispielsweise die Rolle der DSCs gestärkt, begrüßt der Forscher. Aufgrund des straffen Zeitrahmens könnten sich Online-Anbieter nicht länger durch Verzögerung entziehen, so Ohme.

Positiv bewertet er auch die breit gefassten Datenzugänge. Der Rechtsakt benenne ausdrücklich sensible Daten wie Inhaltsvorschläge, Engagement-Daten oder personalisierte Empfehlungssysteme, sagt Ohme. „Für die Kommunikations- und Sozialforschung ist das ein echter Fortschritt.“

Ein zweischneidiges Schwert sind die relativ hohen Voraussetzungen für den Zugang. Hierbei werde der Datenschutz ernst genommen, indem der Zugang an klare Anforderungen gebunden ist, so der Datenforscher. Unter anderem müssen Forscher:innen Datenschutz-Folgenabschätzungen erstellen und sichere Verarbeitungsumgebungen schaffen. „Für viele sozialwissenschaftliche Forschungsprojekte bedeutet das neue Hürden, aber auch mehr Vertrauen in den Prozess“, sagt Ohme.

Trotz der „vielversprechenden Formulierung“ im Rechtsakt könnten Online-Dienste dennoch versuchen, zu mauern, mahnt Oliver Marsh von AlgorithmWatch. In der Vergangenheit habe sich wiederholt beobachten lassen, „dass viele Plattformen bei der Einhaltung und Umsetzung verschiedener Artikel des DSA – von der Bereitstellung öffentlicher Daten bis hin zu Risikobewertungen – kaum oder schlecht geliefert haben“, sagt Marsh. „Die Regulierungsbehörden müssen gegenüber den Plattformen entschlossen auftreten, um sicherzustellen, dass die an sich vielversprechenden Vorschriften der Forschung tatsächlich helfen.“

Praxis wird entscheidend

Insgesamt handle es sich jedenfalls um einen erfreulichen Schritt, der für die Forschung vieles klarer mache, sagt Jakob Ohme – selbst „wenn offene Fragen zur praktischen Umsetzung bleiben, insbesondere was konkrete Zugangspfade und Abstimmungen auf nationaler Ebene angeht.“

Ähnlich sieht dies Joschka Selinger von der GFF. Um das „enorme Potenzial“ von Artikel 40 für die Forschung mit Plattformdaten zu heben, müssten Forschende und die DSCs diesen Rahmen jetzt mit Leben füllen. „Vor allem die Digital Service Coordinators haben bei der Durchsetzung der Zugangsansprüche eine zentrale Rolle und müssen die Wissenschaftsfreiheit robust gegenüber Big Tech geltend machen.“

In Kraft treten die Regeln nicht unmittelbar, ab ihrer Veröffentlichung gilt eine dreimonatige Begutachtungsfrist für das EU-Parlament und den EU-Rat. Zumindest die DSCs haben in ihrer letzten Sitzung den Rechtsakt in der vorliegenden Form „herzlich begrüßt“. Sollte erwartungsgemäß kein Widerspruch anderer EU-Institutionen kommen, gilt der Rechtsakt nach Verstreichen der Frist. Danach können DSCs formell über die ersten Zugänge für die Wissenschaft entscheiden.

IT-Sicherheitsforscher haben eine kritische Sicherheitslücke in dem KI-Tool MCP Inspector von Anthropic entdeckt. Angreifer können dadurch ohne vorherige Anmeldung Code auf verwundbaren Systemen ausführen.

In der Schwachstellenbeschreibung erklären die Entdecker, dass es keinen Authentifizierungsmechanismus zwischen MCP-Inspector-Client und MCP Proxy gebe. Das ermöglicht das Unterschieben von MCP-Befehlen über HTTP stdio, am Ende bis zur Ausführung von Schadcode aus dem Netz (CVE-2025-49596 / kein EUVD, CVSS 9.4, Risiko „kritisch„).

Weiterreichende Details zur Lücke

In einem Blog-Beitrag beschreiben die Entdecker der Sicherheitslücke von Oligo das etwas genauer. Es geht um Entwickler-Werkzeuge für das Model Context Protocol (MCP) [–] eine Art Middleware, entwickelt von Anthropic, die standardisiert zwischen beliebigen Anwendungen, Datenquellen, Tools oder Diensten und einer KI respektive LLM vermittelt und so Aktionen ausführen kann. MCP-Server sind APIs, die Interaktionen zwischen Systemen in der „echten Welt“ ermöglichen, und laufen auf Cloud-Instanzen oder etwa lokal auf Entwicklermaschinen. In der Regel komme Python oder Javascript zum Einsatz. Die MCP-Server nutzen üblicherweise von Anthropic bereitgestellte Client-Bibliotheken.

Zum Testen und Debuggen von MCP-Servern kommt in der Regel das offizielle Toolset von Anthropic zum Einsatz. Dazu gehört der MCP Inspector, bestehend aus dem MCP-Inspector-Client (MCPI), einem Webinterface, das eine interaktive Schnittstelle zum Test und Debuggen von MCP-Servern bietet und dem MCP Proxy, einem auf node.js basierenden Server, der das Webinterface über diverse Protokolle an MCP-Server anbindet, etwa stdio, SSE oder streamable-HTTP. Etwa stdio dient der lokalen Prozesskommunikation mit Befehlszeilenwerkzeugen – der MCP Client startet ein lokales Skript über das stdin-Interface und erhält die Ausgabe von stdout zurück.

Der MCP Inspector laufe standardmäßig beim Aufruf des MCP-dev-Befehls und stellt einen HTTP-Server bereit, der auf eingehende Verbindungen lauscht. Die Standardkonfiguration kommt ohne ausreichende Sicherheitsmaßnahmen wie Authentifizierung oder Verschlüsselung daher. Dadurch kann jeder im gleichen Netz oder teils auch im Internet mit den MCP-Servern interagieren und sie missbrauchen, erklären die IT-Forscher. Die Dokumentation weise darauf hin, dass der MCP Proxy lediglich in vertrauenswürdigen Netzwerken betrieben werden solle.

Das greift jedoch zu kurz. Die Schwachstelle CVE-2025-49596 ermöglicht etwa auch Cross-Site-Request-Forgeries (CSRF) von öffentlichen Webseiten aus. Sie können bösartige Anfragen auslösen, die in der Ausführung von Schadcode aus dem Netz auf der MCP-Entwickler-Maschine münden. Das gelingt auch dann, wenn der MCP Proxy lediglich auf 127.0.0.1/localhost lauscht. In ihren Untersuchungen haben die Oligo-Analysten auch aus dem Internet erreichbare MCP-Inspector-Instanzen entdeckt.

Entwickler sollten den MCP Inspector zügig auf den Stand 0.14.1 oder neuer aktualisieren. Darin ergänzt Anthropic Session-Handling mit Session-Tokens oder die Verifikation des Verbindungsursprungs.

(dmk)

Angreifer können mit vergleichsweise wenig Aufwand auf Cisco Unified Communications Manager zugreifen und die volle Kontrolle über Systeme erlangen. Die Lücke wurde nun geschlossen. Außerdem gibt es noch Sicherheitsupdates für Application Delivery Platform, Enterprise Chat and Email und Spaces Connector.

Hintertür geschlossen

Den unbefugten Zugriff erlangen Angreifer durch das erfolgreiche Ausnutzen einer „kritischen“ Sicherheitslücke (CVE-2025-20309) in Unified Communications Manager und Unified Communications Manager Session Management Edition. Sie ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Davon sind konkret die Versionen 15.0.1.13010-1 bis einschließlich 15.0.1.13017-1 in allen Konfigurationen bedroht.

Der Zugriff erfolgt über einen Root-Account mit statischen SSH-Zugangsdaten, die nicht geändert werden können. Darüber können entfernte Angreifer ohne Authentifizierung zugreifen. Im Anschluss können sie Schadcode mit Root-Rechten ausführen. In so einem Fall gelten Instanzen in der Regel als vollständig kompromittiert. Cisco gibt an, dass der Account aus der Entwicklung stammt.

In einer Warnmeldung listen die Entwickler Hinweise (Indicator of Compromise, IOC) auf, an denen Admins bereits attackierte Systeme erkennen können. Cisco versichert, den Account in der Ausgabe 15SU3 (Jul 2025) geschlossen zu haben. Außerdem stellen sie einen Sicherheitspatch zum Download. Dem Netzwerkhersteller zufolge gibt es derzeit keine Hinweise, dass Angreifer die Schwachstelle ausnutzen.

Weitere Gefahren

Enterprise Chat and Email ist für eine XSS-Attacke anfällig (CVE-2025-20310 „mittel„). Die Ausgabe 12.6(1)_ES11 ist abgesichert. Für Ausgabe 11 gibt es keinen Support mehr. Hier ist ein Upgrade auf eine noch unterstütze Version notwendig. Version 15 ist nicht verwundbar. Auf Application Delivery Platform sind ebenfalls XSS-Attacken möglich (CVE-2025-20307 „mittel„). RI.2025.05 verfügt über einen Sicherheitspatch.

Authentifizierte Angreifer können sich über eine Lücke (CVE-2025-20308 „mittel) in Spaces Connector Root-Rechte aneignen. Dagegen ist Connector 3-Jun 2025 gerüstet.

(des)