Eine Vielzahl von Multifunktionsdruckern verschiedener Hersteller weist teilweise eklatante Sicherheitslücken auf. Angreifer könnten sich Zugang zum Netzwerk und Daten verschaffen. Zwar stehen Firmware-Updates bereit, aber für eine der insgesamt acht gefundenen Schwachstellen gibt es nur einen Workaround: Kennwort ändern! In Österreich ist die staatliche Malware bislang nicht vom Parlament abgesegnet, da gibt es bereits Rufe nach Ausweitung. Der Bundestrojaner sollte nur in besonders schweren Fällen eingesetzt werden, doch der Innenminister will nun weitere Bereiche des Strafrechts abgedeckt sehen. Koalitionspartner NEOS stellt sich allerdings dagegen. Derweil bezeichnet Österreichs Telecomregulator Steinmaurer im Exklusivgespräch mit heise online IKT-Infrastruktur als Grundlage digitaler Souveränität. Das sieht die EU bereits seit einigen Jahren vor, doch er vermisst eine nationale Strategie – die wichtigsten Meldungen im kurzen Überblick.

Das IT-Sicherheitsunternehmen Rapid7 hat acht Schwachstellen in insgesamt 748 Multifunktionsdruckern, Scannern und Etikettendruckern von fünf verschiedenen Herstellern aufgedeckt. Angreifer könnten sich dadurch die Zugangsdaten zum Gerät selbst und dem angeschlossenen Netzwerk verschaffen. Die betroffenen Unternehmen Brother, Fujifilm, Ricoh, Toshiba und Konica Minolta haben Firmware-Updates bereitgestellt, aber eine Sicherheitslücke kann lediglich manuell umgangen werden. Die gefährlichste Schwachstelle ist die Umgehung der Authentifizierung, denn Angreifer können das Standard-Kennwort des Geräts anhand der Seriennummer herausfinden, um damit die Kontrolle über das Gerät zu erlangen: Sicherheitslücken in fast 750 Multifunktionsdruckern verschiedener Hersteller.

Um eine andere Art der Sicherheit geht es Österreichs Regierung. Diese plant, Malware im Millionenwert zu kaufen und zur Überwachung von Bürgern einzusetzen, die keiner Straftat verdächtig sind – wenn andere Ermittlungsmaßnahmen aussichtslos erscheinen. Der liberale Koalitionspartner NEOS war eigentlich dagegen, hat sich aber einen Kompromiss abringen lassen: Der Einsatzbereich sogenannter Bundestrojaner ist auf „Vorbeugung bestimmter, besonders schwerwiegender verfassungsgefährdender Angriffe„, die mit zehn Jahren oder längerer Haft bedroht sind, sowie Spionageabwehr beschränkt. Doch noch bevor das Gesetz beschlossen ist, ruft der Innenminister schon nach Ausweitung. Allerdings gibt es Protest sogar innerhalb der Regierung Österreichs: Ruf nach Ausweitung von Messenger-Überwachung.

Über ein anderes Thema der Alpenrepublik hat heise online mit Klaus Steinmaurer, Geschäftsführer Telekommunikation und Post der österreichischen Regulierungsbehörde RTR, gesprochen. „Alle reden von Digitalisierung und digitaler Souveränität„, sagte er. „Wir müssen bei der Infrastruktur anfangen, damit man das alles machen kann.“ Das heißt: Ein technischer Rahmen, zu dem Glasfaser, Rechenzentren und deren Stromversorgung gehören, sowie ein dazu passender rechtlicher Rahmen. „Dann kommen die Unternehmer“, ist sich der Österreicher sicher. „Es fehlt an einer Gesamtstrategie auf nationaler Ebene„. Die EU habe 2021 mit dem digitalen Kompass für die digitale Dekade ein Programm auf den Weg gebracht, doch fehle das rot-weiß-rote Pendant, so Österreichs Regulierer: Keine digitale Souveränität ohne Infrastruktur.

Wie in Österreich ist auch Überwachung in den USA umstritten. Dort sind Kennzeichen-Scanner, die ohne Verdacht oder Anlass alle vorbeifahrenden Fahrzeuge erfassen und speichern, bei US-Polizisten besonders beliebt. Es gibt nur bescheidene Einschränkungen für die Auswertung der Daten. Und selbst die halten manche Polizeibehörden nicht ein. Diese haben die Daten offenbar illegal abgefragt, etwa zum Aufenthaltsrecht oder wegen lokal verbotener Abtreibungen. Flock, einer von mehreren Scannerbetreibern in den USA, ergreift jetzt behutsame Maßnahmen gegen Missbrauch: Daten aus Kalifornien, Illinois und Virginia können nur noch im Staat selbst abgefragt werden. Bald soll auch eine KI bei möglichem Missbrauch Mitteilung machen in den USA: Polizisten haben Kennzeichen-Scanner missbraucht.

Sommer, Hitze, (etwas) kürzere Podcast-Episode – doch die Themen sind alles andere als heiter: In Folge 137 des c’t-Datenschutz-Podcasts sprechen wir über aktuelle Fälle und Urteile. Ein Fall aus Niedersachsen führt direkt zu akustischem Kopfschütteln: Eine öffentlich zugängliche, schwenkbare Webcam filmte einen FKK-Strand und übertrug die Bilder live ins Netz – ohne Hinweis für die Besucher. Die niedersächsische Datenschutzbehörde griff ein, ließ die Bilder verpixeln und prüft ein Bußgeld. Kein Bußgeld gibt es von VW, denn ein Staatsanwalt vergaß, eine Beschwerde gegen ein Gerichtsurteil zu unterschreiben. Zudem erörtern wir ein Urteil, das Meta erlaubt, öffentliche Facebook- und Instagram-Postings für das Training seiner Sprach-KI zu verwenden. Darum geht es in der Auslegungssache 137: Ohne Unterschrift kein Geld!

Auch noch wichtig:

• Der in beliebten Modellen großer Hersteller verbaute Bluetooth-Chipsatz ist angreifbar. Hacker konnten so Anrufe starten und Geräte abhören. Da es kaum Updates gibt, ist es ein Zero-Day: Bluetooth-Lücke macht Millionen Kopfhörer zu Abhörstationen.
• Der Musiker Moby stellt hunderte Tracks kostenlos im Web zur Verfügung. Doch im Kleingedruckten lauern juristische Fußangeln: Moby veröffentlicht unfreie Gratis-Musik mit ethischen und politischen Schranken.
• Für das KI-Training hat Meta Schattenbibliotheken heruntergeladen. Trotzdem sind die Autoren und Autorinnen vor Gericht gescheitert – wegen mehrerer Fehler: Bei Raubkopien für KI-Training bekommt Meta recht, die Klagenden einen Rüffel.
• Schummeln Schüler mittels KI bei Leistungserhebungen? Einen Hase-und-Igel-Wettlauf sollte man sich in dem Fall sparen und umdenken, erklärt Bernhard Gmeiner im Interview: „Bisherige Prüfungsformate werden durch den Einsatz von KI nutzlos“.
• Amazon arbeitet an einem neuen „James Bond“-Film. Regisseur ist Denis Villeneuve, der unter anderem die „Dune“-Filme gedreht hat: Dune-Regisseur Denis Villeneuve dreht den neuen James-Bond-Film.
• Wer sich von einem iPhone mit iOS 26 wecken lässt, bekommt womöglich ein Problem. Das Button-Design ist eher unklug in iOS 26: Schnell mal verschnarcht – Ärger mit neuem Wecker.
• Auf seiner Hauskonferenz zeigte HPE viel RZ-Hardware mit Nvidia. Zweites Standbein ist inzwischen die RZ-Software, bei der sich HPE für die Konkurrenz öffnet: HPE startet seine VMware-Alternative.
• Wer sich mit dem Etikett der Freiheit schmückt, darf bei Open Source oder Creative Commons nichts und niemanden ausschließen, meint Hartmut Gieselmann in seinem Kommentar: Open Source auch für die Bösen!
• Vor 30 Jahren entstand in Frankfurt der heute größte Internetknoten der Welt: DE-CIX. Anfangs wurde mit 2-Megabit-Leitungen gearbeitet. Es ist das Jubiläum des größten Internetknotens der Welt: Der DE-CIX wird 30.
• Nachdem der CCC auf Sicherheitslücken bei Hunderten Bestellseiten von Restaurants aufmerksam gemacht hatte, prüft die Datenschutzbehörde den Vorfall: Datenschutzbehörde prüft Fall nach Datenlecks bei Hunderten Restaurant-Websites.
• Das Weltraumteleskop James Webb hat schon einige Entdeckungen geliefert. Nun wurde damit auch erstmals ein Exoplanet direkt abgebildet, kleinere sollen folgen: Weltraumteleskop James Webb bildet erstmals Exoplaneten direkt ab.
• Die Trump Organization bewarb das Trump-Phone mit der Behauptung „Made in USA“. Davon ist nun nicht mehr die Rede – und es gibt weitere Änderungen. Es wird kleiner, später, nicht mehr „Made in USA“: T1 Phone nach unten korrigiert.

(fds)

Österreichs Regierung plant, Malware im Millionenwert zu kaufen und zur Überwachung von Bürgern einzusetzen, die keiner Straftat verdächtig sind – wenn andere Ermittlungsmaßnahmen aussichtslos erscheinen. Der liberale Koalitionspartner NEOS war eigentlich dagegen, hat sich aber einen Kompromiss abringen lassen: Der Einsatzbereich sogenannter Bundestrojaner ist auf „Vorbeugung bestimmter, besonders schwerwiegender verfassungsgefährdender Angriffe“, die mit zehn Jahren oder längerer Haft bedroht sind, sowie Spionageabwehr beschränkt. Doch noch bevor das Gesetz beschlossen ist, ruft der Innenminister schon nach Ausweitung.

Die Regierungsvorlage für die erste Stufe der Legalisierung staatlich finanzierter Malware ist vergangene Woche ans Parlament gegangen. Durchführen soll die Überwachungsangriffe der österreichische Geheimdienst. Bereits diese Woche Donnerstag hat sich Innenminister Gerhard Karner (ÖVP) bei einem Auftritt im Farbfernsehen dafür ausgesprochen, die geplante Überwachungsmethode auf weitere Bereiche des Strafrechts auszudehnen.

„Ich finde es gut – das ist ja letztendlich auch vereinbart –, dass man auch in diesem Bereich zu gegebener Zeit nachschärft. Ich denke, dass es dazu auch Arbeitsgruppen geben wird“, sagte Karner. „Ich halte es für sinnvoll, dass man das tut.“ Ihm zur Seite stehen die Vorsitzende der Staatsanwältevereinigung, Elena Haslinger, und der Chef des Bundeskriminalamts, Andreas Holzer. Haslinger möchte, dass auch die Staatsanwaltschaften den Einsatz von Bundestrojanern anordnen können, während Holzer die Kriminalpolizei ermächtigen will.

SPÖ und NEOS unterstützen Karner nicht

Laut Karner ist die Verschärfung also bereits „vereinbart“. Die Koalitionspartner sehen das anders. „Eine Ausweitung der Gefährderüberwachung auf weitere Delikte ist in der Regierung kein Thema“, heißt es seitens der SPÖ in Person ihres Sicherheitssprechers Maximilian Köllner.

Keine Verhandlungsbereitschaft zeigen die NEOS: „Eine Ausweitung der Gefährder-Überwachung kommt nicht infrage. Unsere Aufgabe in der Politik ist es, die Menschen in Österreich und unsere Verfassung gleichermaßen zu schützen“, schreibt NEOS-Klubobmann Yannick Shetty in einer Aussendung, „Dazu gehört es, Angriffe auf unsere Gesellschaft und Demokratie durch Terroristen und Extremisten frühzeitig zu erkennen, um sie verhindern zu können. Eine Ausdehnung der Gefährder-Überwachung auf andere Delikte wird es mit uns in der gesamten Regierungsperiode nicht geben.“

Millionenbudget

Die Malware soll heimlich auf Computern und Handys installiert werden, um verschlüsselte wie unverschlüsselte Nachrichten und Informationen sowie sonst gespeicherte Daten auszuspähen. Laut bisheriger Regierungsvorlage muss das im Einzelfall vom Bundesverwaltungsgericht genehmigt sein. Das Innenministerium geht offiziell davon aus, jährlich etwa 30-mal die Ausspähung unverschlüsselter Nachrichten zu beantragen, und 5- bis 15-mal die Überwachung verschlüsselter Nachrichten. Für Bundestrojaner und dafür notwendige Vorkehrungen werden für 2026 18,3 Millionen Euro budgetiert, in den Folgejahren jeweils rund zehn Millionen Euro.

Erst wenn in einem Kalenderjahr 30-mal tatsächlich verschlüsselte Nachrichten ausgespäht werden, muss der Innenminister den ständigen Unterausschuss des Ausschusses für innere Angelegenheiten des Nationalrates informieren. (Der Nationalrat ist die direkt gewählte Kammer des österreichischen Parlaments, Anmerkung.)

(ds)

Sony hat die Beta-Version von „Camera Verify“ vorgestellt, eine Technik, die die Authentizität von Bildern sicherstellen soll. Dass dies bald möglich sein soll, hatte Sony bereits im März angekündigt. Neu in der Beta-Version ist die Möglichkeit, Verifizierungsinformationen über eine URL weiterzugeben. Nachrichtenorganisationen können diese URLs dann an Dritte weiterreichen, die so die Authentizität eines Bildes überprüfen können. Dies soll den Prüfprozess erheblich beschleunigen und die Verbreitung vertrauenswürdiger Inhalte erleichtern.

Die Authentifizierungsfunktion in der Kamera erfordert jedoch eine Lizenz, die über die Sony Creators’ Cloud verfügbar ist. Unterstützt werden außerdem bisher nur bestimmte Kameramodelle wie die Alpha 1 II, Alpha 9 III oder Alpha 7 IV.

Wie Sony informiert, basiert die neue Funktion neben der Einbettung dieser C2PA-Signaturen auch auf den 3D-Tiefeninformationen, die die Kameras direkt bei der Aufnahme erstellen. Die digitale Signatur wird direkt in der Kamera erstellt und in Echtzeit in die Bilddatei integriert. Das soll gewährleisten, dass die Aufnahme tatsächlich mit einer Kamera erstellt und nicht etwa durch eine KI generiert wurde. Laut Sony werden auch diese Änderungen dokumentiert, sollte das Bild bearbeitet werden. Bei der Verifizierung wird ein Bericht erstellt, der alle diese Daten zusammenfasst. Über die oben genannte URL können Nutzer diesen Bericht einsehen und so die Echtheit eines Bildes überprüfen.

Vorerst nur für ausgewählte Agenturen

Zielgruppe sind, wie der Hersteller damals schon bekannt gab, vorerst nur ausgewählte Nachrichtenagenturen. Fotojournalisten und Medienunternehmen, die nicht zu diesem Kreis gehören, profitieren von der neuen Technik vorerst nicht.

Da sich die Medienlandschaft zunehmend mit manipulierten oder KI-generierten Inhalten konfrontiert sieht, hat Adobe bereits vor einigen Jahren das Echtheitssiegel nach CAI/C2PA angestoßen, das inzwischen von fast der gesamten Fotobranche unterstützt wird. Die Initiative soll die Entwicklung von Standards, die Transparenz und Nachvollziehbarkeit von Medieninhalten fördern. Neben Sony bieten auch Leica und Nikon Kameras mit C2PA-Signatur an.

Erweiterung auf Videos geplant

Ab Herbst 2025 soll die Kamera-Authentizitätslösung auch für Videos verfügbar sein. Sonys Beta-Version bleibt vorerst kostenlos, Änderungen am Funktionsumfang sind jedoch möglich. Die endgültige Verfügbarkeit für alle Kunden steht bisher nicht fest.

(cbr)