Connect with us

Datenschutz & Sicherheit

BSI seziert Windows Hello: Wo Microsofts Anmeldung an Grenzen stößt


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die erste technische Analyse aus seinem Projekt „Windows seziert“ veröffentlicht. Die 169 Seiten lange Untersuchung nimmt Windows Hello for Business (WHfB) auseinander – Microsofts Anmeldung per PIN oder Biometrie für Unternehmensumgebungen. Anders als die offizielle Dokumentation beschreibt die Analyse nicht nur die Architektur, sondern rekonstruiert zahlreiche interne Abläufe per Reverse Engineering und bewertet sie aus Sicht eines Angreifers mit lokalen Administratorrechten.

Weiterlesen nach der Anzeige

Windows Hello for Business ersetzt klassische Passwörter durch schlüsselbasierte Anmeldungen. Nutzer authentifizieren sich lokal per PIN oder biometrischem Merkmal wie Gesicht oder Fingerabdruck. Das eigentliche Geheimnis – ein kryptografischer Schlüssel – bleibt auf dem Gerät, idealerweise geschützt durch das Trusted Platform Module (TPM). Gegenüber Active Directory oder Microsoft Entra ID weist sich anschließend nicht das Passwort, sondern das Gerät mit diesem Schlüssel aus.

Die Analyse des BSI bestätigt diesen grundsätzlichen Aufbau von Windows Hello for Business. Gleichzeitig beschreibt sie mehrere Einschränkungen und Angriffsmöglichkeiten, die Microsoft zwar teilweise erwähnt, aber deutlich weniger ausführlich bewertet.

Eine der wichtigsten Erkenntnisse betrifft die Rolle des TPM. In der offiziellen Dokumentation gilt es als zentrale Schutzkomponente von Windows Hello. Laut BSI trifft das jedoch nicht uneingeschränkt zu.

Ohne den Sicherheitsmodus Enhanced Sign-in Security (ESS) schützt das TPM die biometrischen Vorlagen für die Gesichtserkennung nicht direkt. Diese werden zwar verschlüsselt auf dem lokalen System gespeichert, der dafür benötigte Schlüssel bleibt jedoch ebenfalls lokal verfügbar. Nach Einschätzung des BSI können lokale Administratoren deshalb sowohl die Datenbank als auch die gespeicherten Templates entschlüsseln.

Erst mit aktiviertem ESS ändert sich dieses Sicherheitsmodell grundlegend. Dann werden sicherheitskritische Teile der biometrischen Verarbeitung in eine durch Virtualization-based Security (VBS) geschützte Umgebung verlagert. Zusätzlich kommt das TPM unter anderem für HMAC-basierte Autorisierungstickets und Replay-Schutz zum Einsatz.

Das BSI empfiehlt deshalb ausdrücklich, ESS zu aktivieren – sofern geeignete Hardware vorhanden ist. Gleichzeitig weist die Behörde darauf hin, dass bislang nur sehr wenige Sensoren diesen Modus vollständig unterstützen. Bereits 2023 hatten Sicherheitsforscher mehrere Fingerabdrucksensoren für Windows Hello angegriffen.

Weiterlesen nach der Anzeige

Besonders kritisch bewertet die Studie die Sicherheitsannahmen hinter biometrischer Anmeldung. Das BSI argumentiert, dass biometrische Merkmale im Gegensatz zu einer PIN keine zusätzliche Entropie in das System einbringen.

Der Unterschied liegt im Ablauf der Anmeldung. Eine PIN liefert bei jeder Anmeldung neues Wissen des Benutzers. Biometrische Merkmale dienen dagegen lediglich dazu, lokal den Zugriff auf bereits vorhandenes Schlüsselmaterial freizugeben. Für einen Angreifer mit administrativen Rechten befinden sich damit alle für die Authentifizierung benötigten Komponenten bereits auf dem Rechner.

Deshalb bewertet das BSI eine ausreichend lange PIN in Kombination mit TPM und dessen Brute-Force-Schutz teilweise günstiger als die biometrische Anmeldung ohne ESS. Diese Einschätzung gilt allerdings ausdrücklich für das Bedrohungsmodell eines Angreifers mit lokalen Administratorrechten. Vor typischen Angriffen wie Phishing oder Passwortdiebstahl schützt Windows Hello for Business wie gehabt, indem das eigentliche Authentifizierungsgeheimnis das Gerät nicht verlässt.

Aus der Analyse leitet das BSI außerdem eine ungewöhnlich konkrete Empfehlung für Unternehmen ab: Pro Gerät sollte möglichst nur ein Benutzer für Windows Hello registriert werden.

Grund ist die lokale Verwaltung der biometrischen Datenbank: Befindet sich auf einem Rechner bereits das biometrische Template eines anderen Domänenbenutzers, könnte ein lokaler Administrator dieses theoretisch manipulieren oder dessen Identität übernehmen. Voraussetzung dafür ist allerdings, dass der betreffende Benutzer zuvor bereits auf genau diesem Gerät registriert wurde.

Die Behörde ordnet dieses Risiko in den breiteren Security-Kontext ein. Ein lokaler Administrator verfüge ohnehin bereits über zahlreiche Möglichkeiten zur Rechteausweitung, etwa über Pass-the-Hash- oder Pass-the-Ticket-Angriffe. Windows Hello for Business eröffne hier keinen völlig neuen Angriffsweg, sondern erweitere das bestehende Bedrohungsmodell.

Über die Sicherheitsbewertung hinaus liefert die Analyse zahlreiche bislang nicht dokumentierte technische Details. Das BSI rekonstruiert unter anderem den vollständigen Authentifizierungsablauf zwischen FaceCredentialProvider, Windows Biometric Service, Microsoft Passport, LSASS und Kerberos. Außerdem beschreibt die Analyse interne RPC-Schnittstellen, die Struktur der biometrischen Datenbank sowie den Aufbau der Schlüsselhierarchie.

Die Autoren weisen zudem auf Lücken in Microsofts Entwicklerdokumentation hin. Während die Fingerabdruckerkennung vergleichsweise gut beschrieben sei, fehle für die Gesichtserkennung an mehreren Stellen weiterführende Dokumentation, etwa zu asynchronen API-Aufrufen oder internen Schnittstellen des Windows Biometric Frameworks.

Auch praktische Tests enthält die Untersuchung. So beobachteten die Autoren, dass schlecht durchgeführte Registrierungen – etwa mit Schal, Kapuze und Brille – die Wahrscheinlichkeit von Fehlidentifikationen erhöhen können. Außerdem gelang es ihnen, Gesichtsmasken erfolgreich zu registrieren und später mit derselben Maske in anderer Farbgebung erneut erkannt zu werden. Solche Ergebnisse betreffen nach Darstellung des BSI jedoch die konkrete Umsetzung der Gesichtserkennung und nicht die kryptografische Architektur von Windows Hello for Business.

Mit der Veröffentlichung beginnt das BSI seine angekündigte Reihe „Windows seziert“. In den kommenden Monaten sollen weitere Analysen, unter anderem zu Protected Process Light (PPL) und Control Flow Guard (CFG), folgen.


(fo)



Source link

Datenschutz & Sicherheit

Reformpaket: Schwarz-Rot will 99 Prozent der deutschen Unternehmen vom Datenschutz ausnehmen


Am 2. Juli haben die Spitzen von Union und SPD im Koalitionsausschuss ein sogenanntes Reformpaket verabredet. Einige der vorgeschlagenen 34 Maßnahmen haben seitdem für heftige Debatten gesorgt, etwa Verschärfungen beim Thema Krankschreibung oder die De-Facto-Abschaffung der Informationsfreiheit im Bund. Bislang weniger im Fokus stehen Pläne der Koalition, auch beim Datenschutz die Axt anzulegen.

Dabei haben die Vorschläge es durchaus in sich: Unter anderem sollen viele Unternehmen ganz vom Datenschutz ausgenommen und betriebliche Datenschutzbeauftragte aussortiert werden. Auch die Datenschutzaufsicht will die Regierung radikal umbauen.

Auf Anfrage von netzpolitik.org gehen Datenschutzexpert:innen, Aufsichtsbehörden und zivilgesellschaftlichen Organisationen hart mit den Plänen ins Gericht. „Wer Ausnahmen schafft, die innerbetriebliche Kontrolle und Beratung abbaut und Aufsichtsstrukturen schwächt, hat eine klare Zielrichtung“, kritisiert etwa Frank Spaeing, Vorsitzender der Deutschen Gesellschaft für Datenschutz (DVD). „Die Koalition versucht, den Datenschutz an allen Ecken und Ende kaputt zu machen.“

„Die Große Koalition versucht mit dem irreführenden Narrativ vom Datenschutz als ‚Bürokratiemonster’ und Innovationshemmnis, ein europäisch verankertes Grundrecht abzubauen“, konstatiert auch Svea Windwehr, die Co-Vorsitzende des digitalpolitischen Vereins D64. „Mit der gleichen Kahlschlagmentalität, wie sie auch bei den Vorschlägen zum IFG zu erkennen ist, sollen betriebliche Datenschutzbeauftragte reduziert und kleine und mittelständische Unternehmen von Datenschutzpflichten ausgenommen werden.“

Ausnahme für 99 Prozent der deutschen Unternehmen

Überschrieben ist der verhältnismäßig knapp gehaltene 14. Punkt des Reformpakets mit „Moderner Datenschutz für mehr Wachstum“. Übergeordnetes Ziel ist eine Vereinfachung des Datenschutzes. Ein neues Datengesetzbuch soll das Datenrecht harmonisieren und unter Wahrung des Datenschutzes die Datennutzung fördern, heißt es in dem Papier.

Einer der Vorschläge sticht besonders hervor: Er zielt darauf ab, viele Unternehmen und Verarbeitungstätigkeiten gleich ganz vom Datenschutz zu befreien. Man wolle sich bei der EU dafür einsetzen, dass „nicht-kommerzielle Tätigkeiten (zum Beispiel in Vereinen), kleine und mittelständische Unternehmen und risikoarme Datenverarbeitungen (zum Beispiel Kundenlisten von Handwerkern) vom Anwendungsbereich der DSGVO ausgenommen werden“.

Dass insbesondere Vereine und sogenannte KMUs (Kleine und Mittelständische Unternehmen) beim Datenschutz entlastet werden sollen, hatte Schwarz-Rot bereits im Koalitionsvertrag angekündigt. Neu ist, dass dies über eine pauschale Befreiung von der gesamten Datenschutzgrundverordnung geschehen soll. Nach Angaben des Statischen Bundesamtes galten 2023 99,3 Prozent der deutschen Unternehmen als KMUs. Schwarz-Rot will also weite Teile der deutschen Wirtschaft weitgehend vom Datenschutz ausnehmen.

Das Problem: Von der Organisationsform oder der Größe eines Unternehmens hängt nicht ab, ob es Daten verarbeitet, die für Menschen gefährlich werden können. Auch bei Selbsthilfevereinen oder kleinen Unternehmen im Finanzwesen können hochsensible Daten landen.

Nicht nach Größe, sondern nach Risiko unterscheiden

Aus diesem Grund kritisiert Tobias Keber den Vorschlag. „Ein Handwerksbetrieb, bei dem nur wenige und in der Regel nicht sensible personenbezogene Daten verarbeitet werden, kann genauso wie ein kleines Unternehmen aus dem Gesundheitssektor, das große Mengen enorm sensibler Daten nutzt, als KMU gelten“, so der Landesdatenschutzbeauftragte von Baden-Württemberg. Pauschale Ausnahmen würden diese Unterschiede nicht abbilden.

Schwarz-Rot will die Informationsfreiheit beschneiden.

Wir kämpfen für Transparenz. Mit deiner Unterstützung.

Es gebe zahlreiche Vorschläge aus der Fachwelt, wie Vereinfachungen für Vereine und Wirtschaft besser erreicht werden können, kritisiert der Berufsverband der Datenschutzbeauftragten (BVD) in einer Stellungnahme: „Nicht die Unternehmensgröße, sondern das Risiko der Verarbeitung muss das entscheidende Kriterium für die Umsetzungspflichten sein.“ Dieser risikobasierte Ansatz sei in der DSGVO bereits angelegt, er müsse nur gestärkt werden.

Wer Vereine und KMUs tatsächlich entlasten wolle, müsse vielmehr die Hersteller von Software in die Haftung nehmen, so die Berliner Datenschutzbeauftragte Meike Kamp. Denn bisher tragen Anwender:innen die rechtliche Verantwortung, wenn sie etwa Dienste wie Microsoft 365 nutzen, obwohl sie an deren Datennutzung gar nichts ändern können.

Kamp fordert: „Hersteller und Anbieter von IT-Diensten sollten gesetzlich verpflichtet werden, ihre Produkte von Anfang an datenschutzkonform auszugestalten.“ Damit würde die datenschutzrechtliche Verantwortung dorthin verlagert werden, wo die Entscheidung über die Gestaltung von IT-Produkten getroffen werde. Zudem sollten auch Auftragsverarbeiter, also externe Dienstleister, verpflichtet werden, „ihre Dienste nur so anzubieten, dass die Datenschutzgrundsätze eingehalten werden können“.

Innerbetriebliche Expert:innen sollen aussortiert werden

Die Koalition will auch einen weiteren Dauerbrenner der deutschen Datenschutzdebatte angehen: Die betrieblichen Datenschutzbeauftragten. Diese müssen in Deutschland, anders als in vielen anderen EU-Ländern, benannt werden, wenn in einem Betrieb in der Regel mindestens zwanzig Mitarbeitende ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Sie sollen dafür sorgen, dass im Unternehmen entsprechende Expertise für Datenschutz vorhanden ist, werden insbesondere von Unionspolitiker:innen jedoch immer wieder als bürokratisches Ärgernis dargestellt. Laut Koalitionsbeschluss soll ihre Zahl in kleineren und mittleren Unternehmen deshalb reduziert werden.

Diesen Ansatz kritisiert nicht nur der Berufsverband der Datenschutzbeauftragten, demzufolge die Reduzierung der betrieblichen Datenschutzbeauftragten den Aufwand für Unternehmen massiv erhöhe und verteuere, während das Haftungsrisiko für Geschäftsführer und Vorstände steige.

Auch Tobias Keber, der Landesbeauftragte aus Baden-Württemberg, kann dem Vorschlag wenig abgewinnen. „Hier würde man das Kind mit dem Bade ausschütten“, weil im Unternehmen Wissen und der Aufsicht wichtige Ansprechpartner:innen wegfallen würden, während datenschutzrechtliche Verpflichtungen bestehen blieben. „Eine Abschaffung wäre ein klarer Rückschritt“, sagt auch die Berliner Datenschutzbeauftragte Meike Kamp.

Ebenfalls für eine „schlechte Idee“ hält das Frank Spaeing von der Deutschen Gesellschaft für Datenschutz. Er erinnert daran, dass es die deutsche Wirtschaft gewesen sei, die sich in den 70er-Jahren bei Entstehung der ersten Datenschutzgesetze für die Einführung betrieblicher Datenschutzbeauftragter eingesetzt habe, weil sie ein strenges Aufsichtsregime habe verhindern wollen.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

„Die Logik war damals: Mehr Eigenverantwortung für die Unternehmen und dadurch mehr Ruhe vor den Behörden.“ Wenn man nun auf die internen Beauftragten verzichten wolle, müsse man gleichzeitig die externe Kontrolle durch die Datenschutzaufsicht verschärfen. Die Koalition plane nun allerdings das genau Gegenteil, so Spaeing weiter.

Zentralisierung der Datenschutzaufsicht

In der Debatte um eine Vereinheitlichung der föderalen Datenschutzaufsicht legt sich die Koalition nun auf eine Zuständigkeitskonzentration beim BfDI fest, also beim Bundesbeauftragten für Datenschutz und Informationsfreiheit. Derzeit kontrolliert dieser, von einigen Ausnahmen abgesehen, insbesondere öffentliche Stellen des Bundes. Bereits in den Koalitionsverhandlungen hatte die Union gefordert, den Landesdatenschutzbeauftragten die Aufsicht über die Wirtschaft zu entziehen und diese beim BfDI zu zentralisieren.

Dem Vernehmen nach war es die damalige SPD-Chefin Saskia Esken, die das verhindert hatte. Inzwischen gehen die Sozialdemokraten diesen Weg offenbar mit, obwohl sie damit auf Konfrontationskurs zum Bundesrat gehen. Denn nicht nur zivilgesellschaftliche Organisationen und die Landesdatenschutzbeauftragten warnen vor einer Zentralisierung, weil diese sowohl die Kontrolle als auch die Beratung vor Ort schwächen könnte. Auch der Bundesrat hat kürzlich eine Initiative beschlossen, der zufolge die föderale Aufsichtsstruktur beibehalten, aber effizienter und einheitlicher werden soll.

Die Datenschutzbehörden seien in der Fläche heute schon nicht präsent genug, sagt Frank Spaeing von der DVD, der selbst als externer Datenschutzbeauftragter arbeitet. Eine Zentralisierung würde dazu führen, dass die Aufsicht gar nicht mehr vor Ort wahrnehmbar wäre.

Kritik kommt auch von Svea Windwehr von D64: Die Bündelung von Kompetenzen beim BfDI müsse kritisch gesehen werden. „Föderale Aufsichtsstrukturen schützen gegen Corporate Capture und antidemokratische Akteure.“ Spezialkompetenzen wie die zu Normierungsverfahren könnten hingegen an den BfDI abgegeben werden, um die Arbeit der deutschen Datenschutzaufsicht zu vereinfachen. Das müsse jedoch mit entsprechenden Ressourcen bei der Behörde einhergehen.

Wie eine echte Reform des Datenschutzes aussehen könnte

Dass auch die Datenschutzbehörden selbst Reformbedarf bei der Aufsicht sehen, machen Meike Kamp und Tobias Keber deutlich. Sie verweisen auf die Stuttgarter Impulse, in denen sie und ihre Länderkolleg:innen Vorschläge für eine effizientere Aufsicht skizziert haben. Zentrales Element: Die bislang nur informell agierende Datenschutzkonferenz, in der alle Behörden sich absprechen, solle institutionalisiert, mit einer Geschäftsstelle und bindenden Mehrheitsbeschlüssen versehen werden.

Zudem wollen die Behörden ein „Einer für alle“-Prinzip einzuführen: Wenn eine Behörde etwas geprüft hat, soll es eine andere bei vergleichbaren Themen nicht mehr tun. Dies geht weiter, als es das Reformpaket der Koalition vorschlägt. Zwar sieht dieses eine gesetzliche Verankerung der Datenschutzkonferenz vor, allerdings nur mit dem Ziel, dass dort „gemeinsame Standards“ erarbeitet werden.

Dass eine echte Reform des Datenschutzes möglich wäre, die sowohl für Vereinfachung sorgt als auch mehr Durchschlagskraft bringt, hatte kürzlich im Interview mit netzpolitik.org auch Datenschutz-Aktivist Max Schrems betont. Er schlägt vor, den risikobasierten Ansatz der DSGVO zu stärken und kleinere Unternehmen etwa bei Dokumentationspflichten zu entlasten. Gleichzeitig müsse die Durchsetzung des Datenschutzes gegenüber Konzernen und Datenhändlern gestärkt werden.

Die Frage sei allerdings, ob das politisch gewollt ist, so Tom Jenissen von der Digitalen Gesellschaft. Er erinnert daran, dass die Bundesregierung sich in aktuellen Verhandlungen des Rates der EU-Mitgliedstaaten über den Datenomnibus für weitreichende Rückschritte einsetzt. „Es bleibt zu hoffen, dass Europaparlament und Rat den populistischen Forderungen der deutschen Regierung nicht nachgeben.“



Source link

Weiterlesen

Datenschutz & Sicherheit

SonicWall SMA1000: Angriffe auf teils kritische Zero-Day-Lücken


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

SonicWall warnt vor Angriffen auf zwei Sicherheitslücken in den SonicWall-SMA1000-Appliances. Ein Hotfix steht bereit, um die Zero-Day-Lücken zu schließen. IT-Verantwortliche sollten zügig handeln.

Weiterlesen nach der Anzeige

In einer Sicherheitsmitteilung schreibt SonicWall, dass eine Server-Side-Request-Forgery (SSRF) im Work-Place-Interface der SMA1000-Appliances dazu führen kann, Anfragen an eigentlich nicht zugängliche Bereiche zu senden (CVE-2026-15409, CVSS 10.0, Risiko „kritisch“). Eine zweite Sicherheitslücke ermöglicht das Einschleusen von Code in die Appliance-Management-Console (AMC) der SMA1000. Angemeldete Angreifer aus dem Netz können dadurch beliebige Befehle im Betriebssystem ausführen (CVE-2026-15410, CVSS 7.2, Risiko „hoch“).

Das PSIRT von SonicWall hat mehrere Fälle untersucht, die auf aktiven Missbrauch dieser Schwachstellen hindeuten, schreibt der Hersteller. Das Unternehmen empfiehlt Kunden daher dringend, so schnell wie möglich den bereitstehenden Hotfix zu installieren. Auch die US-amerikanische IT-Sicherheitsbehörde CISA hat beide Schwachstellen in den „Known Exploited Vulnerabilities“-Katalog aufgenommen und bestätigt die Angriffe in freier Wildbahn damit.

Laut SonicWall sind die SMA1000-Modelle 6210, 7210 und 8200v betroffen, sofern sie die Firmware-Versionen 12.4.3-03245, 12.4.3-03387 und 12.4.3-03434 oder 12.5.0-02283, 12.5.0-02624 und 12.5.0-02800 einsetzen. Temporäre Gegenmaßnahmen nennt SonicWall nicht, lediglich die Aktualisierung auf die Hotfix-Versionen 12.4.3-03453 respektive 12.5.0-02835 oder neuere Firmwares helfen, die Lücken zu schließen.

Administratoren können ihre SMA1000-Appliances zudem auf Angriffspuren untersuchen. SonicWall nennt in der Sicherheitsmitteilung einige Indicators of Compromise (IOC), die Angriffe etwa in den Log-Dateien hinterlassen. Sofern erfolgreiche Angriffe dabei entdeckt werden, sollen Admins die Hardware mit einem neuen, sauberen Image versorgen, Nutzer- und Administrator-Kennwörter ändern und die TOTP-Tokens zurücksetzen.

Ende April hatte SonicWall zuletzt relevante Sicherheitslücken in SonicOS gemeldet. Eine davon galt als hochriskant.

Weiterlesen nach der Anzeige


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

USA: Regierung erlässt KI-Executive Order „Gold Eagle“


Die Trump-Regierung setzt ihren KI-Kurs in der Cybersicherheit fort: Wie das Weiße Haus mitteilte, ist mit „Gold Eagle“ das erste operative Programm aus dem Anfang Juni unterzeichneten KI-Erlass an den Start gegangen. Das Clearinghouse soll Regierungsbehörden und privaten Unternehmen wie „Open source Sortware-Partnern“ und Betreibern von kritischer Infrastruktur eine gemeinsame Plattform bieten, um Cyberschwachstellen gemeinsam zu bearbeiten.

Weiterlesen nach der Anzeige

Das Programm geht auf die Executive Order 14409 zurück, die Präsident Donald Trump am 2. Juni 2026 unter dem Titel „Promoting Advanced Artificial Intelligence Innovation and Security“ unterzeichnete. Gold Eagle soll hier als „Force Multiplier“ wirken – also die bestehenden Kapazitäten von Staat und Wirtschaft bündeln, statt sie nebeneinander arbeiten zu lassen. Laut dem Weißem Haus geht es darum, doppelte Scan-Bemühungen zu vermeiden und stattdessen validierte Schwachstellen gezielt an Teams aus der Industrie und der Regierung weiterzureichen.

Beteiligt sind neben dem Weißen Haus das US-Finanzministerium, das Heimatschutzministerium durch seine Cybersicherheitsbehörde CISA sowie das Pentagon. Finanzminister Scott Bessent erklärte laut der Mitteilung des Weißen Hauses, sein Haus arbeite „Hand in Hand mit dem Privatsektor, um Finanzinstitutionen zu schützen, Schwachstellen zu schließen und die Integrität des US-Finanzsystems zu wahren“.

Gold Eagle kommt nicht aus dem luftleeren Raum. Die US-Regierung versucht schon seit einiger Zeit, Kontrolle über die KI-Modelle von großen US-Anbietern zu bekommen – in der Regel mit der Begründung „aufgrund von Sorgen um die Cybersicherheit“. Erst Mitte Juni hatte die US-Regierung Anthropic angewiesen, den Zugang zu seinen Frontier-Modellen Mythos 5 und Fable 5 weltweit zu sperren – auch für Ausländer innerhalb der USA. Auslöser war ein entdeckter Jailbreak, der Schutzmechanismen aushebeln und die leistungsfähigen Cybersecurity-Funktionen von Mythos 5 ohne Restriktionen nutzbar machen konnte. Die US-Regierung befürchtete, das Verbraucherprodukt Fable 5 könnte so zu einer unkontrollierbaren Cyberwaffe werden. Ende Juni hob das Handelsministerium die Sperren nach mehr als zwei Wochen wieder auf.

Ähnlich verfuhr die Regierung bei OpenAI: Dessen neues KI-Modell GPT-5.6 mit der leistungsstärksten Variante „Sol“ wurde von vornherein nur einem kleinen Kreis vertrauenswürdiger Partner zugänglich gemacht – auf Forderung der US-Behörden. Anders als bei Anthropic, wo das Modell erst veröffentlicht und dann zurückgezogen werden musste, ging OpenAI den Weg der kontrollierten Freigabe von Anfang an.

Die zwischenzeitlichen Sperren lösten in Europa Besorgnis aus. Die EU-Kommission arbeitet seitdem an einem Aktionsplan, der bis Jahresende konkrete Notfallmaßnahmen entwickelt, für den Fall, dass ein Drittstaat den Zugang zu sicherheitsrelevanter KI einschränkt. EU-Digitalkommissarin Henna Virkkunen betonte, Europa könne sich „bei Fähigkeiten, die entscheidend für unsere Sicherheit sind, nicht allein auf außereuropäische Lösungen verlassen“. Die Kommission will den Leitfaden gemeinsam mit der EU-Cybersicherheitsagentur Enisa erarbeiten und eine Testplattform für KI-Modelle aufbauen.

Weiterlesen nach der Anzeige


(rie)



Source link

Weiterlesen

Beliebt