Online-Plattformen tun nicht genug, um Minderjährige vor Risiken im Netz zu schützen, finden die Abgeordneten aus dem Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) im EU-Parlament. Am gestrigen Donnerstag haben sie auf 26 Seiten Forderungen nach Verschärfungen und teils neuen Maßnahmen vorgelegt. Die Themen reichen von Videospielen über süchtig machende Designs und KI bis zum Umgang von Plattformen mit minderjährigen Influencern.

Eine der brisantesten Forderungen in dem Papier ist ein EU-weites einheitliches Mindestalter von 16 Jahren für die Nutzung sozialer Netzwerke, Video-Plattformen und sogenannter “AI Companions” (KI Begleiter). Mit Zustimmung der Eltern könnte die Altersgrenze demnach auf 13 Jahre sinken.

Australien hat sich auf eine solche Altersgrenze bereits geeinigt, die Umsetzung ist für Dezember geplant. Umsetzbar ist eine solche Grenze in der Regel nur durch strenge Alterskontrollen. Dafür haben sich etwa die Digitalminister der EU-Staaten kürzlich ausgesprochen. Unter anderem EDRi, der Dachverband von Organisationen für digitale Freiheitsrechte, lehnt diesen Ansatz allerdings ab.

Hohe Hürden für Alterskontrollen

Bereits heute ist die Nutzung von Instagram und TikTok erst ab 13 Jahren erlaubt, doch es gibt derzeit keine strengen Kontrollen des Mindestalters. Für eine feste und pauschale Altersschranke müsste wohl ein neues Gesetz geschaffen werden, denn das Gesetz über digitale Dienste (DSA) sieht Altersbegrenzungen nur als eine von mehreren Maßnahmen vor, die Dienste ergreifen können, um Risiken für Nutzende zu minimieren. Im Rahmen der DSA-Umsetzung diskutiert die EU-Kommission gerade, in welchen Fällen welche Form von Alterskontrollen angemessen sind.

Die Parlamentarier sprechen sich in ihrem Papier dafür aus, Alterskontrollen möglichst einfach, sicher und „datenschutzfreundlich“ zu gestalten. Sie sind der Ansicht, dass etwa die geplante digitale Brieftasche (EUDI-Wallet) diese Ziele erfüllen könnte. Ausdrücklich befürworten sie die derzeit laufende Entwicklung einer App zur Altersüberprüfung im Auftrag der EU-Kommission, deren Funktion später in der EUDI-Wallet aufgehen soll. Sie empfehlen, dafür sogenannte “Zero-Knowledge-Proof”-Protokolle zu nutzen. Online-Dienste sollen dadurch nur eine Ja/Nein-Antwort erhalten, also erfahren, ob eine Person alt genug ist, ohne sie identifizieren zu können.

Wie auch andere Befürworter solcher Maßnahmen blendet der Ausschuss aus, dass sich Alterskontrollen leicht umgehen lassen und zahlreiche neue Probleme schaffen, etwa mit Blick auf Teilhabe und Overblocking. Die Abgeordneten fordern zumindest, dass alle Maßnahmen im Zusammenhang mit Alterskontrollen „gründlich auf ihre Auswirkungen auf die Grundrechte geprüft werden, um die Verankerung von Überwachungspraktiken zu vermeiden“. Zudem sollten Regelungen nur dann geschaffen werden, „wenn sie unbedingt notwendig und verhältnismäßig sind“.

Weitreichende Verbote zum Schutz von Minderjährigen

Weiter betont der Ausschuss in seinem Papier, dass Alterskontrollen kein Wundermittel („silver bullet“) seien. Sie entbinden demnach Plattformen nicht von der Verantwortung, ihre Produkte von Beginn an sicher zu gestalten („safe by design“). Die Abgeordneten fordern deshalb, dass Designelemente mit dem „größten Suchtpotenzial“ für Minderjährige gänzlich abgestellt werden sollen. Dazu gehören Empfehlungsalgorithmen, die basierend auf dem Verhalten der Nutzenden weitere Inhalte vorschlagen – und damit eine immense Sogwirkung entfalten.

Ebenso soll das „Profiling“ von Minderjährigen verboten werden, also die Erstellung von Profilen der Nutzenden mithilfe ihrer Daten, die sich ebenfalls für die Empfehlung von Inhalten und für Werbung nutzen lassen. In Online-Spielen, auf die Minderjährige Zugriff haben, sollen „Glücksspiel-Mechanismen“ wie Lootboxen verboten werden. Das sind virtuelle Produkte, deren Inhalt man erst nach dem Öffnen sieht.

Teils lassen sich solche Missstände bereits auf Grundlage des DSA bearbeiten, allerdings lediglich von Fall zu Fall, je nach Risiko eines betroffenen Dienstes. Die Forderungen des Ausschusses nach grundsätzlichen Verboten gehen darüber hinaus. Ein Gelegenheitsfenster für derart strengere Gesetze wäre der geplante Digital Fairness Act der Europäischen Union, den der Ausschuss in seinem Papier mehrfach erwähnt. Aktuell läuft noch eine öffentliche Konsultation zu dem Vorhaben, das für das letzte Quartal 2026 geplant ist.

Plattform-Manager sollen persönlich haften

Der Ausschuss fordert die EU-Kommission weiter dazu auf, den DSA und die KI-Verordnung (AI Act) konsequent durchzusetzen. Die Kommission solle es demnach in Erwägung ziehen, bei ernsten und dauerhaften Regelverstößen Führungskräfte eines Konzerns persönlich haften zu lassen. Ähnlich handhabt es der britische Online Safety Act.

Die Abgeordneten wollen zudem, dass Plattformen aufhören, minderjährige Influencer („Kidfluencer“) zu unterstützen. Ihre Inhalte sollen demnach nicht mehr monetarisiert werden, und Kinder sollten auch keine anderen finanziellen oder materiellen Anreize von Plattformen erhalten.  Nicht davon berührt wären wohl Werbe-Deals mit Privatunternehmen, eine der größten Einnahmequellen von Influencern. Oftmals werden Kidfluencer von ihren Eltern begleitet und gemanagt; das Publikum wiederum ist oftmals selbst minderjährig.

Die Entschließung der Vorschläge hat der Ausschuss mit breiter Mehrheit (32 von 46 Stimmen) angenommen. Es gab fünf Stimmen dagegen und neun Enthaltungen. Ende November sollen dann das Plenum über den Vorschlag abstimmen. Die Diskussion der Vorschläge aus der Sitzung vom 24. September 2025 kann man sich hier als Video ansehen.

Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat ihrem Verzeichnis bekannter, aktiver Exploits (Known Exploited Vulnerabilities Catalog) eine bereits seit Längerem bekannte Sicherheitslücke in Adobes Content-Management-Plattform Experience Manager (AEM) hinzugefügt.

Das CISA-Team habe beobachtet, dass die betreffende Lücke CVE-2025-54253 mit dem CVSS-Höchstwert 10.0 (kritisch) Ziel von Angriffen sei, heißt es in einem Sicherheitshinweis der Behörde.

Nähere Details etwa hinsichtlich spezifischer Angreifergruppen, Zielen oder Umfang der Attacken sind dem Hinweis nicht zu entnehmen. Bekannt ist aber, dass Angreifer Systeme durch das Ausführen beliebigen Schadcodes vollständig kompromittieren könnten (arbitrary code execution, arbitrary file system read).

Handlungsbedarf nur bei versäumtem August-Update

Adobe hat die Sicherheitslücke bereits Anfang August dieses Jahres im Zuge des Notfallupdates Experience Manager Forms on JEE 6.5.0-0108 geschlossen. Verwundbar sind beziehungsweise waren Versionen bis einschließlich 6.5.23.0.

Admins, die das Update damals eingespielt haben, müssen nicht aktiv werden, da die betreffenden AEM-Installationen gegen die Exploits abgesichert sind. Alle anderen können dem zugehörigen Adobe Security Bulletin APSB25-82 nähere Details samt Update-Anleitung entnehmen.

Dem Notfallupdate von August war eine zähe Kommunikation zwischen Schwachstellen-Entdeckern und Adobe vorausgegangen, bis die bereits seit April bekannte Lücke letztlich gepatcht wurde. Zu diesem Zeitpunkt war laut dem Softwarehersteller bereits Exploit-Code in Umlauf. Ebenfalls bedenklich: Das Security Bulletin wurde bislang noch nicht bezüglich der aktiven Exploits aktualisiert.

(ovw)

Cisco und Ubiquiti haben Sicherheitsupdates veröffentlicht, die IP-Telefonie-Schwachstellen mit High-Einstufung schließen. Über aktive Angriffe ist bislang nichts bekannt. Dennoch sollten IT-Verantwortliche lieber drangehen und die verfügbaren Aktualisierungen einspielen.

Cisco: Denial-of-Service und Cross-Site-Scripting

Die von Cisco behobene Sicherheitslücke betrifft die Produktserien Desk Phone 9800, IP Phone 7800, IP Phone 8800 und Video Phone 8875. Ausdrücklich nicht verwundbar sind IP Phone 7800 und 8800-Serien, die auf der Cisco Multiplatform Firmware aufsetzen.

Erfolgreiche Angriffe via CVE-2025-20350 und CVE-2025-20351 aus der Ferne und ohne vorherige Authentifizierung könnten die Telefone per aufgezwungenem Neustart vorübergehend lahmlegen (Denial of Service, DoS). Außerdem sind Cross-Site-Scripting-Angriffe gegen Nutzer des grafischen Webinterfaces denkbar. Das Risiko bewertet Cisco als „hoch“ (CVSS-Score 7.5).

Exploits sind laut Cisco nur dann möglich, wenn das jeweilige Telefon beim Cisco Unified Communications Manager angemeldet ist und der Web-Zugriff aktiviert ist. Per Default sei dies nicht der Fall.

Wie man den aktuellen Status der Web-Access-Funktion prüft, ist Ciscos Advisory zu den Lücken zu entnehmen. Dort findet man auch eine Übersicht über die gefixten Releases der von den Geräten genutzten Cisco SIP Software.

Ubiquiti: Debugging-Funktionen als potenzielles Einfallstor

Die Sicherheitslücke CVE-2025-52663 (CVSS-Score 7.2) steckt in UniFi Talk Touch bis einschließlich Version 1.21.16, UniFi Talk Touch Max bis inklusive Version 2.21.22 sowie Telefonen der Serie UniFi Talk G3 bis inklusive Version 3.21.26.

Bei diesen Geräten wurde offenbar ab Werk die Debugging-Funktionalität nicht wie vorgesehen deaktiviert. Ein entfernter Angreifer mit Zugriff auf das UniFi Talk Management Network könnte über die Programmierschnittstelle der Geräte auf diese Funktionen zugreifen.

Welche Konsequenzen solche Manipulationen im Einzelnen hätten, ist Ubiquitis Schwachstellenbeschreibung im Security Advisory Bulletin nicht zu entnehmen. Ein Update mindestens auf die jeweils nächste Version (Talk Touch 1.21.17, Talk Touch Max 2.21.23, Talk G3 3.21.27) bannt jedenfalls die Gefahr.

(ovw)