In den Messehallen Hamburgs herrschte am Dienstag die zum Jahresende übliche Mischung aus technologischer Zuversicht und Pessimismus. Doch als Ron Fulda und Constanze Kurz die Bühne des 39. Chaos Communication Congress (39C3) betraten, wich der Rest-Optimismus einer schauerlich-schrecklichen Bestandsaufnahme des digitalen Scheiterns. Unter dem Titel „Security Nightmares“ skizzierten die Hacker-Urgesteine ein Bild der IT-Sicherheit, das zwischen staatlichem Größenwahn und der drohenden „Enshittification“ durch KI pendelte. Ein Aufhänger: Angesichts der andauernden Ransomware-Bedrohung rief das Duo vom Chaos Computer Club (CCC) nach Backup-Wettbewerben im Stil sportlicher Großereignisse.

Glaskugel 2026: Vom Cyberdome zu Backup-Medaillen

Der traditionell mit viel Hackerironie geschärfte Blick in die nahe Zukunft war geprägt von einer zunehmenden Automatisierung – sowohl beim Angriff als auch bei der Verteidigung. Kurz verwies auf das Eckpunktepapier für einen „Cyberdome“. Die in Israel von Bundesinnenminister Alexander Dobrindt (CSU) aufgeschnappte Idee soll 2026 in ein Realisierungskonzept münden. Das Ziel klingt nach Science-Fiction: Ein digitaler Schutzschild für Wirtschaft und Gesellschaft, der „informatische Angriffe“ vollautomatisiert abwehrt.

Die Hacker-Community bleibt skeptisch. Wenn die Technik versagt, hilft nur die klassische Tugend der IT: das Backup. „Wir fordern die Bundesdatensicherungsspiele“, erklärte Fulda mit Blick auf zahllose gescheiterte Wiederherstellungsversuche in Verwaltung und Industrie: „Am Ende ist ein gutes Backup das Last Level of Defence.“ Das Thema müsse positiv besetzt werden, weg von den „Backup Hunger Games“ zu einer Kultur des Gelingens. Wer nachweisen könne, dass er seine Daten tatsächlich erfolgreich zurückspielen kann, sollte Medaillen oder zumindest Teilnahmeurkunden und Bildungsurlaub erhalten. Der Zustand der digitalen Welt sei teils absurd: So gebe es zwar den gesetzlichen Zwang zur freien Browserwahl im Betriebssystem. Es fehle aber eine Selektionspflicht dazu, ob Daten lokal, in der eigenen Cloud oder überhaupt auf diesem Planeten gespeichert werden müssten.

Für 2026 prognostizieren Kurz und Fulda auch eine neue Eskalationsstufe der KI-Integration. Es drehe sich längst nicht mehr alles darum, Nutzerverhalten für Werbung auszuspähen. Mit „Agentic Add-ons“ – eigenständig handelnden Bots – erreiche die Enshittification ein neues Level. Fulda scherzte über „Gegenschnittstellen“ und offene Standards für die Bestechung solcher KI-Agenten.

Gleichzeitig droht ein massives Ressourcenproblem. Während der Energie- und Wasserverbrauch von Rechenzentren bereits diskutiert wird, könnte 2026 der RAM-Verbrauch zum großen Ärgernis für Konsumenten werden, hieß es. Eine Rückkehr zu schmaler, effizienter Software wäre zwar wünschenswert, aber mit dem Trend zum Vibe-Coding – dem Zusammenklicken von Quelltext durch Nicht-Programmierer mittels KI – kaum vereinbar.

Rückblick: Von Hello Barbie zum Bitcoin-Raub

Um die Absurdität der Gegenwart zu verstehen, lohnt laut Fulda und Kurz die Erinnerung an 2015. Vor zehn Jahren war die Welt der IT-Sicherheit noch eine andere, wenn auch die Keime der heutigen Probleme bereits sichtbar waren. Damals wurde über den ersten Cyber-Bankraub in Höhe von einer Milliarde Dollar gestaunt – eine Summe, die heute angesichts von Krypto-Scams fast bescheiden wirkt. Fulda betonte: „Das war ja noch vor dem großen Bitcoin-Hype.“

Ein Highlight der Retrospektive war die vernetzte Puppe „Hello Barbie“. Damals als Sicherheitsdesaster fürs Kinderzimmer verschrien, zog Fulda eine Parallele zu heutigen KI-Systemen wie ChatGPT. Auch Barbie hatte ein Backend, das jahrelang live war. Zudem hat das Spielgerät laut den Hackern die Frage aufgeworfen, ob Spielzeughersteller verpflichtet seien, Kindesmissbrauch bei Kenntnisnahme durch die Puppe zu melden. Heute drehe sich die Debatte um Chatverläufe bei Suiziden und KI-Halluzinationen, erklärte Fulda: „Wenn die KI sagt: ‚Das wird mir zu hart, ich übergebe an einen Menschen‘, und dann geht niemand ans Telefon – das ist die Realität, in der wir angekommen sind.“

Auch staatliche Überwachung war 2015 schon Dauerthema. Der große Leak bei Hacking Team beschäftigte die Community lange. Kurz dachte zurück an die Nächte, die sie sich um die Ohren schlug. Mit Helfern wollte sie im Datenwust den Beweis finden, dass auch das Bundeskriminalamt (BKA) Kunde der italienischen Trojaner-Schmiede war. Während die Tüftler damals noch vor Desinformationskampagnen im US-Wahlkampf zitterten, wirkt die aktuelle Lage deutlich düsterer. Fulda trocken: „Heute sind wir froh, wenn es in drei Jahren überhaupt noch einen Wahlkampf gibt.“

Internet-Normalitätsupdate 2025: Der KI-Slop übernimmt

Im Hier und Jetzt ist die IT-Sicherheit an einem kritischen Punkt angelangt. Die Statistiken, die Fulda präsentierte, sprechen eine deutliche Sprache: 119 neue Sicherheitslücken pro Tag, ein Anstieg von 24 Prozent im Vergleich zum Vorjahr. Gleichzeitig verfügen nur 44 Prozent der Deutschen über ein „sicheres Passwort“. Die Folgen sind fatal. 2024 gab es in England den ersten dokumentierten „Ransomware-Toten“, da ein Angriff auf einen Dienstleister für Blutkonserven die medizinische Versorgung lahmlegte. „Die indirekten Toten wurden nie gezählt“, ergänzte Kurz düster.

Besonders genervt zeigten sich die Panelisten vom Zustand des Internets. Rund 20 Prozent der beliebtesten YouTube-Inhalte bestehe mittlerweile aus „AI Slop“. Dieser minderwertige, KI-generierte Content erziele dennoch Millionenumsätze. Auf TikTok liege der Anteil bei 60 Prozent. „Gibt es überhaupt noch jemanden mit einem normalen Gesicht“ in sozialen Netzwerken?, fragte Kurz enttäuscht. Da immer mehr Software von Menschen „zusammengeklickt“ werde, die die Essenz des Programmierens nie gelernt haben, müssten Profis oft die Trümmer wegräumen. Fulda brachte ein weiteres Beispiel: „Wenn man in einer Kanzlei KI einsetzt, braucht man hinterher mehr Rechtsanwälte, um die unerwünschten Verfahren wieder loszuwerden.“

Fallen die Hackerparagrafen?

Auch das Militär – Chat der „Houthi-Gruppe“ mit Insidererkenntnissen zu Opsec geleakt – und die Industrie blieben angesichts hoher Zero-Day-Wellen und veritabler Cloud-Ausfälle nicht verschont. Der schwere Cyberangriff auf Jaguar Landrover im Februar führte zu wochenlangen Werksschließungen und einem Schaden von rund 2,2 Milliarden Euro. Währenddessen toben im Hintergrund die „Infinity Crypto Wars“. Die britische Regierung forderte Zugriff auf iCloud-Daten, woraufhin Apple die „Advanced Data Protection“ für Neukunden in UK abschaltete. Kurz weiß: „Die Gremien, die die Wunschlisten für Überwachung schreiben, haben heute einen sehr erfolgreichen Zugriff auf die Gesetzgeber.“

Trotz der vielen Schlafräuber gab es zum Ende einen zaghaften Lichtblick. Nach fast 17 Jahren politischer Debatte und einem entsprechenden Versprechen im Koalitionsvertrag der aktuellen Regierung unter Friedrich Merz (CDU) scheint das „Recht auf IT-Sicherheitsforschung“ endlich greifbar. „Es soll jetzt tatsächlich so weit sein“, wollte Kurz die politischen Ankündigungen zur Novelle der Hackerparagrafen noch nicht so recht glauben. In einer Welt, in der nordkoreanische IT-Mitarbeiter nur durch ihre Tastatur-Verzögerungen identifiziert werden können, wäre ein solcher Schritt für die hiesigen Hacker zumindest ein kleiner Trostpreis bei ihren Leistungssportwettbewerben.

(ps)

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel lokales Active Directory: effiziente Absicherung erfahren Sie, wie Sie Active Directory-Umgebungen wirksam schützen.

Zunächst lernen Sie die Grundlagen von AD-Objekten und Authentifizierungsprotokollen wie Kerberos und Net-NTLM kennen. Sie erhalten Einblicke in typische Angriffswege – von der Informationssammlung über Fehlkonfigurationen bis zu Techniken wie Pass the Hash, Kerberoasting, Lateral Movement und Delegierungsangriffen. Auch verbundene Dienste wie SQL-Server und Exchange werden betrachtet.

Darauf aufbauend werden konkrete Schutzmaßnahmen vermittelt: das Aufspüren und Beheben von Schwachstellen mit Tools wie PowerView, BloodHound und PingCastle, Härtung durch Rechtevergabe, Tiering, LAPS und Schutz administrativer Konten. Zudem lernen Sie, Angriffe frühzeitig zu erkennen – durch Log- und Auditeinstellungen, zentrale Protokollauswertung, Sicherheitslösungen und Deception-Technologien wie Honeypots.

Dieser Workshop richtet sich an Administrierende, IT-Sicherheitsverantwortliche sowie an Security-Fachleute. Referent des dreitägigen Präsenz-Workshops ist Frank Ully. Als erfahrener Pentester konzentriert er sich auf relevante Entwicklungen im Bereich der offensiven IT-Sicherheit.

Absicherung von Entra ID

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Azure und Entra ID: Angriffsszenarien und Schutzmaßnahmen.

(ilk)

Die Volksrepublik China nimmt große Sprachmodelle an die Kandare. Weil es schnell gehen soll, sind nun „vorläufige Maßnahmen“ zur öffentlichen Konsultation bis 25.1.2026 aufgelegt. Grundtenor ist, dass Künstliche Intelligenz sich als solche zu erkennen geben sowie auf Datenschutz, Wohlergehen der Nutzer und natürlich „sozialistische Kernwerte“ achten muss.

Ziel ist die Unterstützung „gesunder Entwicklung“ von KI-Diensten samt „Anwendungs-Ökosystem“, speziell zwecks Verbreitung chinesischer Kultur sowie Begleitung von Senioren. Letzteres soll offenbar Einsamkeit bekämpfen. Sozialistische Kernwerte sind stets einzuhalten, zudem sind „soziale Moral und Ethik“ zu beachten. Und Betrieb ist erst gestattet, wenn Sicherheit und Verlässlichkeit in vollem Umfang bewiesen sind.

Die neuen Maßnahmen sind nachrangig gegenüber etwaigen Gesetzen und Verordnungen und erfassen „anthropomorphe interaktive Dienste“. Das sind alle öffentlich angebotenen KI-Systeme, die in China mit Menschen durch Text, Bilder, Videos und/oder Ton kommunizieren und dabei menschliche Persönlichkeitsmuster, Denkmuster oder Kommunikationsstile simulieren. Die Volksrepublik wird solche Dienste heimlich überwachen, um „Missbrauch und Kontrollverlust“ hintanzuhalten. Zusätzlich soll sich die Branche selbst Regeln geben.

Unvernünftige Entscheidungen Verboten

Artikel 7 des konsultierten Entwurfs enthält eine lange Reihe an Verboten. Untersagt sind Generation, Verbreitung oder Bewerbung von Inhalten mit Bezug zu Glücksspiel, Obszönem, Gewalt, Beleidigung, Rufschädigung, Anstiftung zu Straftaten oder der Verletzung legitimer Rechte oder Interessen (!) Dritter. Gleichermaßen darf nichts generiert oder verbreitet werden, was nationale Interessen, die Nationale Ehre oder die Nationale Sicherheit gefährdet, die Einheit Chinas unterminiert, illegale Religionsausübung ist oder Gerüchte verbreitet, die die wirtschaftliche oder soziale Ordnung stören.

Die Systeme dürfen auch keine falschen Versprechen machen, die das Verhalten der Nutzer stark beeinflussen oder ihre sozialen Beziehungen schädigen. Verpönt sind darüber hinaus die Schädigung der physischen Gesundheit der Nutzer durch Implikation, Anstiftung zu oder Verherrlichung von Selbstschädigung oder Suizid. Parallel sollen geistige Gesundheit und persönliche Würde durch Untersagung emotionaler Manipulation und verbaler Gewalt geschützt werden. Dazu passt die Interdiktion, die digitalen Angeboten mit Zielen wie Abhängigkeit, soziale Isolation oder psychologische Kontrolle über die User zu gestalten.

Schließlich verbittet sich die Behörde auch die Sammlung vertraulicher Informationen sowie die Verleitung der Nutzer zu „unvernünftigen Entscheidungen“ durch Methoden wie algorithmische Manipulation, irreführende Information oder das Stellen emotionaler Fallen. Das Nachahmen von Familienmitgliedern ist ebenfalls tabu.

Vom Design über Training bis zur Abschaltung

Artikel 8, 9 und 21 folgende beinhalten umfangreiche Auflagen für Entwurf, Entwicklung, Betrieb und Abschaltung der KI-Dienste. Die Bandbreite reicht von Datenschutz über Betrugsbekämpfung bis zu Ethik und IT-Sicherheit. Einmal in Betrieb soll Leistung „kontinuierlich optimiert“ werden.

Vorgaben zu den für das KI-Training genutzten Daten stehen in Artikel 10 des Entwurfs: Sie müssen ebenfalls sozialistischen Werten entsprechen und die „exzellente traditionelle chinesische Kultur“ verkörpern. Gleichzeitig soll das Korpus divers sein und täglich überprüft werden. Nicht vergessen wird auf die Voraussetzung, dass die Trainingsdaten legal und nachverfolgbar zu sein haben.

Altersverifikation nur im Zweifelsfall

Die Anbieter sollen laut Artikeln 11 bis 13 ihre Nutzer dahingehend auswerten, ob sie Senioren oder minderjährig sind sowie ob sie von dem Dienst abhängig sind oder emotionale Schwierigkeiten haben. Daran müssen sich jeweils passende Maßnahmen anschließen. Minderjährige dürfen nur einen Modus mit Einschränkungen, auch zeitlicher Natur, speziellem Datenschutz und Einblicknahme für bei der Registrierung anzugebende Erziehungsberechtigte sehen. Wer zu Unrecht als minderjährig eingestuft wird, erhält ein Einspruchsrecht.

Auch Senioren sind schon bei der Registrierung dazu anzuhalten, eine Kontaktperson für Notfälle zu benennen; außerdem müssen die Betreiber im Falle des Falles soziale und psychologische Hilfe leisten. Für alle User müssen Betreiber vorgefertigte Informationen vorbereiten, die bei Erkennung von Gefahr für Leben, Gesundheit oder Eigentum des Benutzers eingeblendet werden. Schlägt ein Anwender konkret Suizid, Selbstschädigung oder „andere extreme Taten“ vor, muss sofort ein Mensch die Kommunikation übernehmen und Notfallkontakte des Anwenders informieren.

Nutzungsdaten dürfen ohne Zustimmung des jeweiligen Nutzers weder weitergegeben noch für das Training von KI genutzt werden. Die Nutzer müssen ihre Nutzungsdaten zudem löschen können.

Ich bin’s, die KI

Die Betreiber müssen deutlich machen, dass die Nutzer es mit einer KI zu haben und nicht mit einem echten Menschen. Wer als „überaus abhängig“ erkannt wird, muss daran erinnert werden. Nach zwei Stunden ununterbrochener Sitzung sind Anwender zu einer Pause zu ermuntern.

Besondere Mühe müssen sich Anbieter „emotionaler Begleiter“, also zum Beispiel von KI-Girlfriends geben. Sie müssen einfache Ausstiegsmöglichkeiten bieten und dürfen Nutzer nicht von einer Beendigung der Sitzung abzubringen suchen. Wird eine Teilfunktion entfernt, muss der Betreiber das im Voraus ankündigen. Auch bei Ausfällen ist öffentliche Information vorgeschrieben.

Nicht zuletzt muss es bei allen von der Regulierung erfassten Systemen bequeme Kanäle für die Einreichung von Hinweisen und Beschwerden geben, zu denen Bearbeitungsstatistiken zu veröffentlichen sind. Die Einreicher sind flott über das Resultat der Bearbeitung ihrer Eingabe zu verständigen.

(ds)