Datenschutz & Sicherheit
Bitchat ist Jack Dorseys internetfreie Messaging-App
Jack Dorsey, bekannt als Mitgründer Twitters, hat den gemeinfreien Sourcecode für eine neue Software namens Bitchat online gestellt. Sie ermöglicht digitale Chats über Bluetooth, ganz ohne Internetverbindung und zentrale Server, vorerst für iOS und MacOS. Bei Bitchat stehen Datenschutz und Ausfallsicherheit im Vordergrund.
Nutzer müssen sich nirgends anmelden oder ausweisen; es gibt keine zentralen Server oder andere Instanzen, die Metadaten ernten und über die das Projekt korrumpiert oder stillgelegt werden könnte. Die Übertragungen werden komprimiert und Ende-zu-Ende verschlüsselt. Zudem sollen Dummy-Nachrichten und zufällige Verzögerungen es erschweren, bestimmte Nachrichten oder Usernamen einzelnen Nutzern aufgrund deren Nutzungsverhaltens zuzuordnen.
Die Übertragung erfolgt zunächst ausschließlich über Bluetooth Low Energy. Dessen Reichweite ist auf einige Dutzend Meter beschränkt, weshalb Bitchat Mesh-Netze aufspannen möchte. Teilnehmer in Reichweite übernehmen die verschlüsselten Nachrichten und leiten sie an andere Teilnehmer weiter, bis die Nachricht den adressierten Empfänger erreicht. Bis zu sieben Übertragungen sind vorgesehen. Besonders häufig kontaktierte Geräte speichern Nachrichten theoretisch unbeschränkt zwischen, auf anderen Geräten werden sie gelöscht, wenn sie nach zwölf Stunden nicht zugestellt werden konnten.
Ähnlich Briar
Ein kommerzielles Geschäftsmodell drängt sich nicht auf, womit aber auch keine Spamfilter für die verschlüsselten Nachrichten absehbar sind. Ob Bitchat reüssieren wird, hängt an den Teilnehmern allein. Ein Whitepaper denkt bereits daran, zu Bluetooth Low Energie noch Übertragungen mittels direkten WLAN-Verbindungen sowie LoRa hinzuzunehmen.
Der Name mag unglücklich gewählt sein, verleitet er doch zur Aussprache als „bitch at“, zu Deutsch: anschnauzen. Dorseys Name sorgt jedenfalls für Aufmerksamkeit, auch wenn das Grundkonzept nicht neu ist. Für Android gibt es seit Jahren die App Briar, die verschlüsselte Nachrichten zwischen Teilnehmern über Bluetooth, direkte WLAN-Verbindungen oder das internetbasierte Tor-Netz leitet. Im Notfall kann Briar Mitteilungen sogar als Dateien auf Datenträgern auf die Reise schicken.
Für LoRa existiert das Projekt Meshtastic (samt französischem Ableger Gaulix), das allerdings zusätzlich zu gängigen Smartphones noch LoRAWAN-Gateways erfordert. Die von Briar und Bitchat verfolgte Idee liegt auch dem 2018 gegründeten Projekt Berty zugrunde, das das eigens entwickele „Wesh Network“ mit dem Übertragungsprotokoll IPFS (InternerPlanetary File System) einsetzen möchte. Doch ist es um Berty sehr still geworden.
LoRa und LoRaWAN
Mit LoRa werden kleine Datenpakete (bis zu 256 Byte) mit geringem Energieeinsatz über große Entfernungen transportiert. Der funktechnische Trick: LoRa als physische Schicht besteht aus einem schmalbandigen Träger, der in einem vergleichsweise breiten Kanal auf- oder abbewegt wird. Diese „Chirps“ genannten Übertragungen sind gut im allgemeinen Rauschen erkennbar und somit sehr robust gegenüber Störungen.
Das Verfahren ist auf Nutzlasten von wenigen Byte optimiert und kommt beispielsweise bei Amazon Sidewalk zum Einsatz. LoRa ist die physische Übertragungstechnik für das Netzwerkprotokoll LoRaWAN, das für Netzstruktur, Adressierung, Verschlüsselung und Kanalvorgaben zuständig ist.
(ds)
Datenschutz & Sicherheit
Die Woche, in der wir alle etwas gegen die Chatkontrolle tun
Liebe Leser:innen,
in den nächsten Tagen wird die Bundesregierung vermutlich beschließen, was ihre Position zur gefährlichen EU-Chatkontrolle ist. Derzeit sieht es so aus, als würde sie sich entgegen aller Stimmen der Vernunft und gegen die Grundrechte für diese neue Form der Massenüberwachung entscheiden. Damit würde der Weg frei zu einer Einigung auf die Chatkontrolle in der Sitzung des EU-Rats am 14. Oktober.
Doch noch ist es nicht zu spät, denn die Verhandlungen laufen in den Ministerien noch. Das Bündnis „Chatkontrolle stoppen“ ruft deswegen zum Protest per Anruf, Mail und Brief auf – um an den entscheidenden Stellen vielleicht doch noch etwas zu bewegen. Hier findet ihr die Anleitung des Bündnisses. Macht mit! Schreibt freundlich und bestimmt, was ihr von dem größten Überwachungsprojekt in der Geschichte der EU haltet.
Auf netzpolitik.org begleiten wir das Thema jetzt noch engmaschiger als sonst – ihr findet hier alle wichtigen Infos, Details und Updates.
Und verdammt nochmal. Ich bin so richtig sauer darüber, dass diese Bundesregierung so beratungsresistent ist.
Wenn dir Amnesty International, der CCC, Reporter ohne Grenzen, Juristenverbände, Wissenschaftler:innen aus der ganzen Welt ebenso wie Kinderschutzorganisationen, Fußballfans und UN-Beauftragte unisono zurufen „Macht das nicht! Das zerstört die private Kommunikation, das schadet der Pressefreiheit, das ist gefährlich für die Demokratie – und macht zu allem Überfluss noch die IT unsicher“, dann muss man doch aufhorchen. Das sind relevante Teile einer aufmerksamen, demokratischen Zivilgesellschaft, die da laut und deutlich warnen. Und zwar seit Jahren.
Wenn du dann aber mit deinem Überwachungstunnelblick einfach wegschaust, weil ja Überwachung immer gegen alles hilft und die autoritäre Schiene gerade angesagt ist, dann ist das einfach nur unverantwortlich, töricht und gegen eherne Verfassungsgrundsätze und die Menschenrechte gerichtet. Wie kann man nur sehenden Auges so eine gefährliche und unnötige Überwachungsinfrastruktur aufbauen wollen? Es ist nicht zu fassen.
Deswegen: Lasst uns versuchen, dieses Ding zu stoppen.
Viel Spaß beim Anrufen, Mails- und Briefeschreiben wünscht euch
Markus Reuter
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Datenschutz & Sicherheit
Redis: Kritische Codeschmuggel-Lücke in Datenbank
In der Datenbank Redis haben die Entwickler mit einer aktualisierten Softwareversion vier Sicherheitslücken geschlossen. Eine davon erreicht mit einem CVSS-Wert von 10 die maximale Risikobewertung. IT-Verantwortliche sollten ihre Installationen umgehend auf den neuen Stand bringen.
In den Release-Notizen zur Version 8.2.2 nennt das Redis-Projekt die vier Schwachstellen. Angemeldete Nutzer können mit speziell präparierten LUA-Scripten den Garbage Collector manipulieren, eine Use-after-Free-Situation provozieren und so Schadcode aus dem Netz zur Ausführung bringen (CVE-2025-49844 / EUVD-2025-32326, CVSS 10, Risiko „kritisch„). Außerdem können solche LUA-Scripte einein Integer-Überlauf provozieren, was ebenfalls die Ausführung von aus dem Internet eingeschleustem Code erlaubt (CVE-2025-46817 / EUVD-2025-32363, CVSS 7.0, Risiko „hoch„).
Die weiteren Lücken sind weniger gravierend. Präparierte LUA-Skripte können außerhalb vorgesehener Speicherbereiche lesend zugreifen oder den Server zum Absturz bringen und so einen Denial of Service verursachen (CVE-2025-46819 / EUVD-2025-32327, CVSS 6.3, Risiko „mittel„). Außerdem können LUA-Skripte andere LUA-Objekte manipulieren und so ihren eigenen Code im Kontext anderer Nutzer ausführen (CVE-2025-46818 / EUVD-2025-32328, CVSS 6, Risiko „mittel„).
Fehlerkorrigierte Redis-Version installieren
Die IT-Sicherheitsforscher von Wiz haben zudem eine detaillierte Analyse der gravierendsten Lücken verfügbar gemacht. Da mindestens eine der Schwachstellen als kritisch gilt, sollten Admins umgehend ihre Redis-Instanzen auf den nun aktuellen Stand 8.2.2 oder neuer bringen. Die quelloffene Software steht in aktueller Fassung im Quelltext auf Github bereit.
Die Linux-Distributionen sollten in Kürze aktualisierte Pakete bereitstellen, sodass die Softwareverwaltung der eingesetzten Distribution die Updates ausliefern kann. [Link auf https://access.redhat.com/security/cve/cve-2025-49844]Redhat empfiehlt mangels aktualisiertem Paket derzeit beispielsweise, den Zugriff auf den Server auf vertrauenswürdige Maschinen zu beschränken. Etwa auf der Pwn2Own-Veranstaltung in Berlin hatten die IT-Sicherheitsforscher Sicherheitslücken in Redis ausgemacht und vorgeführt.
(dmk)
Datenschutz & Sicherheit
Wie das Löschen des Werbearchivs die demokratische Kontrolle untergräbt
Dieser Text erschien zuerst bei D 64 und steht unter der Lizenz CC BY-SA 4.0. Wir haben den Text mit einem Statement von Google ergänzt.
Ohne Vorwarnung scheint Google seine Bibliothek politischer Werbeanzeigen in der Europäischen Union abgeschaltet zu haben. Über die Werbebibliothek konnte nachverfolgt werden, welche politischen Anzeigen seit 2018 über Googles Dienste geschaltet wurden. Damit war die von Google unterhaltene Website ein zentrales Instrument, um die Verbreitung und die Inhalte politischer Werbekampagnen untersuchen und verfolgen zu können. Während sich in der Sammlung politischer Anzeigen andere Regionen wie Brasilien, Israel oder Großbritannien auswählen, sind die 27 EU-Mitgliedstaaten nicht mehr verfügbar.
„Alle bisher im Report aufgeführten EU-Wahlwerbeanzeigen bleiben weiterhin im Google Ads Transparency Center öffentlich zugänglich – vorbehaltlich der geltenden Aufbewahrungsrichtlinien“, schreibt Google dazu auf eine Anfrage von netzpolitik.org. Der EU Political Ads Transparency Report werde jedoch nicht mehr verfügbar sein.
Bis vor wenigen Tagen konnten Nutzer:innen über Googles Werbearchiv nachverfolgen, welche politischen Anzeigen in ihrem Land geschaltet wurden. Bis 2018 konnte man nachvollziehen, welche Parteien auf welchen Plattformen Anzeigen geschaltet hatten; einzelne Anzeigen konnten über eine Stichwortsuche gefunden und angesehen werden. Auch die angesprochenen Zielgruppen und wie viel Geld für die Kampagnen ausgegeben wurde, wurden dargestellt.
Heute lassen sich die Anzeigen zwar finden, etwa wenn man nach Parteien sucht. Ihr politischer Charakter wir jedoch nicht direkt sichtbar. So wie beispielhaft bei einer Wahlwerbung der SPD für eine Bundestagskandidatin. Dort lautet das von Google vergebene Label: „Hobbys, Spiele und Freizeitaktivitäten“.
Obwohl die Werbebibliothek bei Weitem nicht perfekt war, bot sie zumindest Anhaltspunkte, um nachvollziehen zu können, wie politische Akteure versuchen, Diskurse rund um Wahlen und gesellschaftlich relevante Themen zu gestalten. Die Bibliothek war somit nicht nur eine Sammlung von Online-Werbung, sondern auch ein Archiv demokratischer Willensbildung.
Google hat eine wichtige Datenquelle zerstört
Mit dem kommentarlosen Abschalten des Archivs hat Google nicht nur eine signifikante Datenquelle für zivilgesellschaftliche und wissenschaftliche Analysen von politischen Kampagnen zerstört. Die Löschung der eigenen Werbebibliothek durch Google wird auch die Arbeit von Aufsichtsbehörden in den kommenden Monaten sehr viel herausfordernder machen.
Hintergrund scheint Googles Ankündigung zu sein, in der Europäischen Union keine politische Werbung mehr über seine Dienste ausspielen zu wollen. Als Grund wird die bald greifende EU-Verordnung zu Transparenz und Targeting bei politischer Werbung angegeben. Die im April 2024 in Kraft getretene und ab dem 10. Oktober 2025 geltende Verordnung verpflichtet Anbieter, die ausdrückliche Einwilligung von Datensubjekten einzuholen, bevor ihre Daten zum Targeting verwendet werden dürfen.
Angesichts der weitverbreiteten „Consent Fatigue“ und der Einsicht, dass die Hürde der Einwilligung nur einigen wenigen Privilegierten, die die nötigen Ressourcen und Zeit haben, sich mit Cookie-Bannern und Einwilligungs-Screens auseinanderzusetzen, Schutz vor der Verarbeitung persönlicher Daten bietet, ist es enttäuschend, dass die Verordnung in diesem Punkt zu kurz greift. Relevanter ist, dass das Targeting und Profiling auf Grundlage sensibler persönlicher Daten wie Name, Geschlecht oder Religionszugehörigkeit ausnahmslos verboten werden. Auch Personen, die das jeweilige Wahlalter noch nicht erreicht haben, dürfen keine personalisierten Anzeigen ausgespielt bekommen.
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Die Besonderheit der Verordnung ist jedoch, dass sie erstmals definiert, was politische Werbung überhaupt ist. Dabei wird klargestellt, dass nicht nur Anzeigen von politischen Kandidat:innen oder Parteien unter die Definition fallen, sondern auch Werbeanzeigen, die politische Themen betreffen, sogenannte „issue ads“. Anzeigen zu gesellschaftlichen Themen wie Klimawandel, körperlicher Selbstbestimmung oder dem Krieg in Gaza fallen somit in die Kategorie der politischen Werbung.
Keine politischen Anzeigen mehr bei Google und Meta
Angesichts dieser (geringfügigen) Einschränkungen ihrer Geschäftsmodelle haben sowohl Google als auch Meta angekündigt, in Zukunft keine politischen Anzeigen mehr in der EU ausspielen zu wollen – zu groß seien die Beschränkungen der Targeting-Möglichkeiten, und zu aufwendig sei es, „issue ads“ zu identifizieren. Paradoxerweise bedeutet aber auch die Ankündigung der Konzerne, in Zukunft keine politische Werbung mehr ausspielen zu wollen, „issue ads“ identifizieren zu müssen. Nur so könnten sie aussortiert und blockiert werden, um nicht in den Anwendungsbereich der Verordnung über politische Werbung zu fallen.
Durch das Wegfallen des Archivs zu politischer Werbung wird es für die Zivilgesellschaft und die Aufsichtsbehörden jedoch schwieriger, zu überprüfen, welche Anzeigen der Konzern in der Vergangenheit als politische Werbung eingestuft hat und welche nicht mehr geschaltet werden. Google ist für die mangelhafte Umsetzung seiner eigenen Werberichtlinien bekannt und es ist nicht unwahrscheinlich, dass es vielen Akteuren auch weiterhin gelingen wird, politische Anzeigen über Google zu schalten. Gleichzeitig wird das durch Meta und Google beschlossene de-facto-Moratorium für politische Werbung in der EU es zivilgesellschaftlichen und oppositionellen Kräften in Zukunft sehr viel schwieriger machen, ihre Botschaften zu verbreiten.
Erschwerte Kontrolle
Wer also in Zukunft verstehen möchte, wie politische Werbung demokratische Diskurse in der EU beeinflusst, muss die Nadel im Heuhaufen von Googles allgemeiner Werbebibliothek suchen, zu deren Einführung der Digital Services Act verpflichtet hat. Diese Datenbank fällt vor allem durch ihre Begrenztheit auf; es fehlen stichhaltige Informationen über das Targeting von Nutzer:innen und die Budgets von Werbekampagnen. Durch das Löschen der eigenen Werbebibliothek für politische Anzeigen schafft Google die Fiktion, nie politische Werbung in der EU angeboten zu haben. Der Konzern baut so Transparenz ab, verhindert zivilgesellschaftliche und wissenschaftliche Forschung und erschwert es Aufsichtsbehörden, zu überprüfen, ob er gegen die Auflagen der Verordnung zu Transparenz und Targeting bei politischer Werbung verstößt.
Dieses Beispiel zeigt erneut, dass Transparenz und gesellschaftliche Verantwortung nicht den Launen von Konzernen überlassen werden dürfen. Die Assimilierung der US-Tech-Konzerne an die Werte der Trump-Regierung hat eindrucksvoll demonstriert, wie schnell sich solche Launen ändern können. Anstatt uns also mit halbgaren Transparenzinitiativen abspeisen zu lassen, müssen wir auf echte Veränderung setzen. Ein Verbot personalisierter Werbung, das Ende des Einwilligungs-Theaters und lückenlose Transparenz, die ihren Namen verdient. In der Zwischenzeit sollten wir damit rechnen, dass dies nicht die letzte Transparenzinitiative war, die eingestampft wurde.
-
UX/UI & Webdesignvor 2 Monaten
Der ultimative Guide für eine unvergessliche Customer Experience
-
UX/UI & Webdesignvor 1 Monat
Adobe Firefly Boards › PAGE online
-
Social Mediavor 2 Monaten
Relatable, relevant, viral? Wer heute auf Social Media zum Vorbild wird – und warum das für Marken (k)eine gute Nachricht ist
-
Entwicklung & Codevor 2 Monaten
Posit stellt Positron vor: Neue IDE für Data Science mit Python und R
-
Entwicklung & Codevor 1 Monat
EventSourcingDB 1.1 bietet flexiblere Konsistenzsteuerung und signierte Events
-
UX/UI & Webdesignvor 3 Wochen
Fake It Untlil You Make It? Trifft diese Kampagne den Nerv der Zeit? › PAGE online
-
Apps & Mobile Entwicklungvor 3 Monaten
Firefox-Update 141.0: KI-gestützte Tab‑Gruppen und Einheitenumrechner kommen
-
Online Marketing & SEOvor 2 Monaten
So baut Googles NotebookLM aus deinen Notizen KI‑Diashows