Es flog etwas unter dem Radar, doch ab dem heutigen Freitag wird es Ernst: Instagram verwässert den Privatsphärenschutz des sozialen Netzwerks. Die Opt-in-Option zur Ende-zu-Ende-Verschlüsselung (End-to-End-Encryption, E2EE) schaltet Meta für Direktnachrichten global ab.

Damit vollzieht Meta eine Kehrtwende, da das Unternehmen zuvor die E2EE als Goldstandard für die Privatsphäre gepriesen hat, wie die BBC es formuliert. Die allgemeine E2EE hatte Meta für den Facebook Messenger und Instagram ab Ende 2023 schrittweise eingeführt.

Instagram: E2EE-Ende wegen geringer Nutzung

Das auf Privatsphäre spezialisierte IT-Sicherheitsunternehmen Proton weist auch auf Instagram auf die anstehende Änderung hin. Wer auf bisherige verschlüsselte Nachrichten und Chats Zugriff behalten möchte, muss diese nun zügig herunterladen, bevor sie von Instagram verschwinden.

Als Erklärung dazu, warum die Ende-zu-Ende-Verschlüsselung nun nicht mehr möglich sein soll, liefert ein aktualisierter Facebook-Blog-Beitrag eine Antwort: Demnach haben nur sehr wenige Menschen die Möglichkeit der Aktivierung der Ende-zu-Ende-Verschlüsselung in Direktnachrichten genutzt. Wer weiterhin E2EE für Nachrichten nutzen wolle, könne dafür einfach WhatsApp einsetzen.

In Großbritannien wird dieser Schritt vermutlich begrüßt. Bereits zur Ankündigung der Einführung einer E2EE in Instagram stieg die britische Regierung auf die Barrikaden: Die damalige Innenministerin Suella Braverman forderte zunächst Sicherheitsmaßnahmen ein, um Kinder vor Missbrauch auf den Plattformen Instagram und Facebook Messenger zu schützen. Meta habe keine ausreichenden Zusicherungen gemacht, dass die beiden Plattformen „von krank machenden Missbrauchstätern“ freigehalten würden. Damals argumentierte Meta dagegen, Ende-zu-Ende-Verschlüsselung schütze die Menschen im Vereinigten Königreich vor Hackern, Betrügern und Kriminellen.

Da Meta nun potenziell Zugriff auf mehr persönliche Informationen von Nutzern erhält, könnte der Verdacht naheliegen, dass das etwa für Werbezwecke genutzt werden kann. Das ist aber gar nicht nötig. Allein anhand von Meta-Daten ist erstaunlich präzise Werbeansprache bereits möglich, erklärte der Instagram-Chef Adam Mosseri vor einiger Zeit.

(dmk)

Ende April, ein Platz im Görlitzer Park in Berlin: Etwa 100 Menschen stehen vor einer Bühne, am Rand eine Reihe Polizeifahrzeuge und Gruppen von Polizist*innen. Es gibt kostenloses Essen und Rap. Die Bühne haben Aktivist*innen mit Überwachungskameras dekoriert. Davor ist ein Banner gespannt, Aufschrift: „Gegen Überwachung und Ausgrenzung“. In kleinerer Schrift darunter: „Keine KI-Videoüberwachung unserer Parks, Plätze und Straßen!“

Diesen Park will die Polizei künftig mit Videokameras und Verhaltensscanner-Software kontrollieren, so wie weitere Orte in Berlin. Die Software, eine sogenannte Künstliche Intelligenz, soll analysieren, was die abgebildeten Menschen gerade tun und gutes von schlechtem Verhalten unterscheiden. Deshalb sind die Demonstrierenden hier. Sie lehnen die KI-Kontrolle ab. Die Person am Mikrofon ruft: „Man kann Kameras auch kaputt machen!“

Neun Bundesländer haben ihrer Polizei den Einsatz von Verhaltensscannern entweder bereits erlaubt – oder planen, dies zu tun. Bislang setzen Polizeien die Technologie nur in Mannheim und Hamburg ein. Doch die Zahl der Orte, die damit überwacht werden, wird sich wohl bald deutlich erhöhen.

Größere Polizeigesetz-Änderungen

Mehrere Bundesländer legalisieren derzeit Verhaltensscanner im Rahmen größerer Polizeigesetz-Reformen. Sie genehmigen den Beamt*innen unter anderem den Einsatz von Datenanalyse à la Palantir, Live-Gesichtserkennung oder Videodrohnen. In einigen Ländern, die gerade ihr Polizeigesetz verschärfen oder verschärft haben, formt sich auch außerparlamentarischer Widerstand.

Magdalena Finke, CDU-Innenministerin von Schleswig-Holstein hat mit ihrem Polizeigesetz-Entwurf Fans des Fußballvereins in Kiel gegen sich aufgebracht. Die mobilisieren in der Fanszene und vernetzen sich darüber hinaus mit zivilgesellschaftlichen Initiativen. „Das wurde komplett im Hinterzimmer ausgehandelt“, sagt Fußballfan Jan auf Anfrage von netzpolitik.org über das Polizeigesetz.

Jan und seine Mitstreiter*innen wollen eine große Demo durch die Landeshauptstadt Kiel organisieren. Kein bloßer Fanmarsch, sondern ein breites Bündnis. „Wir wollen Menschen aus dem ganzen Landesgebiet mobilisieren“, sagt Jan. Geplant sind außerdem Infoveranstaltungen für Fußballfans, Flyer und Aktionen mit Spruchbändern im Stadion. „Wir sehen das als unsere Aufgabe, das Polizeigesetz in unserer Kurve zum großen Thema zu machen.“

Das volle Programm High-Tech-Überwachung

Die schwarz-grüne Landesregierung von Schleswig-Holstein steht kurz davor, das volle Programm High-Tech-Überwachung genehmigt zu bekommen: Datenanalyse nach Palantir-Art, Verhaltensscanner, Live-Gesichtserkennung, Gesichtersuchmaschine. Am 6. Mai haben die Abgeordneten den Gesetzentwurf erstmals im Parlament besprochen.

Jan sagt: „Durch Überwachung und erst recht durch KI-Überwachung werden die Freiräume immer begrenzter. Freiräume sind aber ein wichtiger Teil der partizipativen Demokratie.“

Begründet werde die Ausweitung der Überwachung mit Messerangriffen. „Aber in Kiel gibt es kaum bis keine Messerangriffe. Dann kann man doch nicht deshalb der Polizei solche Befugnisse geben. Die lassen sich nicht wieder zurückdrehen“, sagt Jan. Er befürchtet, dass bald alle öffentlichen Plätze im Land KI-überwacht werden.

Wie wir bereits berichtet haben, gibt es auch in Thüringen Widerstand gegen das dortige Polizeigesetz. Der bekommt zunehmend Schwung, wie die Initiator*innen der Anti-Polizeigesetz-Kampagne ThürPAG stoppen berichten. Zu den Kritiker*innen gehören inzwischen die antifaschistischen Bündnisse Auf die Plätze Erfurt und Rechtsruck Stoppen, der Verein Vielfalt Leben – QueerWeg und der Hacker*innentreff Krautspace Jena.

Kunstaktionen gegen Überwachung

In Sachsen wehrt sich das antifaschistische Aktionsbündnis Leipzig nimmt Platz gegen die Polizeigesetz-Novelle. Die Dresdner Datenpunks planen Kunstaktionen zu Überwachung, um darüber mit Menschen ins Gespräch zu kommen.

Aufklärung zur niedersächsischen Polizeigesetznovelle leisten der Kleindatenverein und Freiheitsfoo.

Derweil agieren Initiativen wie Kameras stoppen aus Köln, Bündnis Hansaplatz aus Hamburg oder dieDatenschützer Rhein-Main seit Jahren nicht ohne Erfolg gegen Video- und KI-Überwachungs-Projekte – auch vor Gericht.

Ausdrücklich gegen die Massen-Datenanalyse positioniert sich das Bündnis Kein Palantir in Baden-Württemberg. Das Netzwerk Sicherheit ohne Überwachung macht derweil auf Bundesebene gegen verschärfte Gesetze mobil. Es geht einmal mehr um biometrische Gesichtersuche, um Datenanalyse nach Palantir-Art – und Vorratsdatenspeicherung. Unter anderem geplant ist eine Demonstration am 13. Juni 2026 ab 14 Uhr in Berlin.

Die Gewerkschaft der Osterhasen

Zurück zur Kundgebung im Görlitzer Park. Dahinter stehen drei Initiativen: Cables of Resistance, die in Berlin kürzlich einen Kongress zum Kampf gegen die Big-Tech-Übermacht veranstaltet hat; Wrangelkiez United, eine polizeikritische Anwohner*innengruppe – und Görli 24/7, die dagegen kämpft, dass die Stadt den Görlitzer Park inzwischen nachts verriegelt.

Für einen offen zugänglichen Görlitzer Park sind auch zwei Redner*innen, die als nächstes die Bühne betreten, maskiert mit rosa Hasenköpfen. Sie stellen sich als Vertreter*innen der „Osterhasen-Gewerkschaft“ vor und erzählen, dass Menschen bereits Nachschlüssel zu den Parktoren an Interessierte verteilt hätten. Einige Eingänge könne man auch selbst öffnen, wenn man eine Türklinke in die dafür vorgesehene Öffnung schiebt. „Klinken bekommt ihr am Info-Stand“, ruft einer der Hasen.

Bevor die Osterhasen die Bühne betreten, gibt es eine unfreiwillige Programm-Pause. Beamt*innen treten an die Bühne heran und wollen Personalien sehen – von der Person, die über kaputte Kameras gesprochen hatte. Gibt es jetzt Ärger?

Per Mikrofon hält eine andere Person aus dem Kreis der Veranstalter das Publikum auf dem Laufenden. Sie gibt weiter, dass die Polizei die Aussage über die Zerstörbarkeit von Kameras für eine Straftat hält. „Also sagt das nicht“, ruft sie durch die Lautsprecher. „Sagt nicht, dass man Kameras auch kaputtmachen kann.“

In Ivantis Endpoint Manager Mobile (EPMM) klaffen mehrere Sicherheitslücken, von denen eine bereits im Internet angegriffen wird. Aktualisierte Software stopft die Sicherheitslecks. Admins sollten zügig handeln.

In der Update-Ankündigung für Ivantis EPMM schreiben die Entwickler des Unternehmens, dass sie von Missbrauch einer der Lücken bei einigen Kunden wissen; auch die US-amerikanische IT-Sicherheitsbehörde CISA hat die Schwachstelle bereits in ihren Known-Exploited-Vulnerabilities-Katalog aufgenommen. Für erfolgreiche Attacken benötigen Angreifer jedoch Admin-Rechte. Vorab empfiehlt Ivanti, Konten mit Admin-Rechten zu prüfen und gegebenenfalls die Zugangsdaten zu rotieren. Die anderen vier Schwachstellen seien jedoch noch nicht attackiert worden.

Insgesamt geht es um fünf Sicherheitslecks. Die bereits angegriffene Schwachstelle basiert auf einer unzureichenden Eingabeprüfung – Ivanti schreibt jedoch keine weiteren Hinweise, die eingrenzen würden, in welcher Komponente der Fehler liegt oder wie das angreifbar wäre (CVE-2026-6973, CVSS 7.2, Risiko „hoch“).

Umstrittenes Risiko

Die weiteren Schwachstellen sind im Schweregrad teils umstritten, etwa eine unzureichende Zugriffskontrolle, die Angreifern ohne vorherige Anmeldung das Aufrufen beliebiger Methoden erlaubt (CVE-2026-5788). Die NVD-Analysten stufen das mit einem CVSS-Wert von 9.8 als „kritisch“ ein, Ivanti bleibt jedoch entspannter bei CVSS 7.0, mithin einem „hohen“ Risiko. Eine unzureichende Zertifikatsprüfung ermöglicht Angreifern aus dem Netz ohne Authentifizierung, registrierte Sentry-Hosts zu fälschen und gültige CA-signierte Client-Zertifikate zu erhalten (CVE-2026-5787, CVSS laut NVD 9.1, Risiko „kritisch“, laut Ivanti CVSS 8.9, „hoch“).

Eine weitere unzureichende Zertifikatsprüfung erlaubt Angreifern aus dem Netz ohne vorherige Anmeldung, Geräte einzubinden, die zu einer begrenzten Liste an nicht eingebundenen Geräten gehört, was zum Abfluss von Informationen über die EPMM-Appliance führen kann (CVE-2026-7821, NVD: CVSS 9.1, Risiko „kritisch“; Ivanti: CVSS 7.4, „hoch“). Hier schränkt Ivanti in der Update-Ankündigung noch ein, dass Kunden, die das Apple-Device-Enrollment nicht konfiguriert haben und nicht nutzen, nicht davon betroffen sind. Die letzte gefixte Schwachstelle basiert auf unzureichenden Zugriffskontrollen, durch die authentifizierte Angreifer aus dem Netz Admin-Zugang erlangen können (CVE-2026-5786. CVSS 8.8, Risiko „hoch“).

Ivanti EPMM: Aktualisierte Software

Die Schwachstellen schließt Ivanti mit den Versionen Ivanti Endpoint Manager Mobile 12.6.1.1, 12.7.0.1 und 12.8.0.1 oder neueren. Die Downloads verlinkt der Hersteller in der Update-Ankündigung.

Sicherheitslücken in Ivantis EPMM sind immer wieder Ziel von bösartigen Akteuren. Im Februar warnte etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor weiter verbreitetem Missbrauch von Schwachstellen in der Verwaltungssoftware.

(dmk)