Befürworter der Chatkontrolle beschweren sich über die politische Gegenwehr. Sie wollen das Framing „Chatkontrolle“ loswerden und stattdessen über „Kinderschutz“ sprechen.
Die deutsche Botschaft in Brüssel hat letzte Woche einen Drahtbericht an die Bundesregierung verschickt. Innenpolitiker der Ständigen Vertretung fordern darin, dass Deutschland dem Chatkontrolle-Gesetz zustimmt. Wir veröffentlichen das Dokument in Volltext: „Es geht um Kinderschutz, nicht um ‚Chatkontrolle‘. Keine Verordnung ist auch keine Lösung.“
Diplomaten sind eigentlich diplomatisch. Sie vertreten ihren Staat und ihre Regierung im Ausland. Diplomaten handeln nicht nach ihren eigenen Überzeugungen, sondern nach Weisungen ihrer Regierung. Vor diesem Hintergrund ist der Ton dieses Drahtberichts ungewöhnlich.
Anfang Oktober verkündete Justizministerin Stefanie Hubig (SPD): „Anlasslose Chatkontrolle muss in einem Rechtsstaat tabu sein. Private Kommunikation darf nie unter Generalverdacht stehen.“
Am selben Tag machte Regierungs-Sprecher Stefan Kornelius widersprüchliche Äußerungen. Einerseits sagte er: „Die Bundesregierung hat stets betont, dass die anlasslose Chatkontrolle für sie ein Tabu ist“. Andererseite sagte er: „Wir machen hier keine Chatkontrolle. Es geht in diesem Verfahren darum, Prävention im Fall von Kindsmissbrauch durchzusetzen.“
Die Botschaft in Brüssel widerspricht der Ministerin ebenfalls. Die Diplomaten schreiben: „‚Wir wollen keine anlasslose Chatkontrolle‘, schallt es aus Berlin, obwohl selbige in Brüssel niemand fordert.“ Und: „Es geht um Kinderschutz, nicht um ‚Chatkontrolle‘.“
Diese Aussagen sind irreführend bis falsch. Der Gesetzentwurf soll Internet-Dienste verpflichten, die Kommunikation ihrer Nutzer auf mutmaßliche Straftaten zu durchsuchen. Das Gesetz will Kinderschutz durch Chatkontrolle, nicht Kinderschutz statt Chatkontrolle.
Darüber hinaus fordern manche Politiker bereits eine Ausweitung der Chatkontrolle auf andere Inhalte.
Die EU-Kommission will auf Anordnung Dienste dazu verpflichten, die Chats all ihrer Nutzer zu durchsuchen – auch wenn die Nutzer keiner Straftat verdächtig sind und deshalb keinen Anlass für eine Chatkontrolle geben. Das EU-Parlament will nur Nutzer durchsuchen, die verdächtig sind – also einen Anlass zur Kontrolle geben.
Befürworter argumentieren, dass manche Dienste einen Anlass zur Chatkontrolle geben, zum Beispiel wenn sie Anonymität und Verschlüsselung anbieten. Das erinnert an die anlasslose Massenüberwachung der Geheimdienste wie NSA und BND, die milliardenfach Kommunikation der ganzen Welt abhören – ihr „Anlass“ ist die Suche nach Terroristen. Dieser Definition von „Anlass“ widerspricht unter anderem das Bundesverfassungsgericht.
Die Innenpolitiker der Botschaft behaupten weiter, dass „eine lautstarke Internet-Community und einige großer Tech-Konzerne“ einen „enormen Druck“ aufbauen und „die Wahrnehmung im politischen Raum und der Öffentlichkeit einseitig prägen“. Demgegenüber falle es „den Kinderschutzorganisationen schwer, im öffentlichen Diskurs Gehör zu finden“.
Als Beleg für das mangelnde Gehör nennt die Vertretung eine Veranstaltung in Brüssel. Organisiert wurde die Veranstaltung von über 70 Kinderschutz-NGOs. Kinderschutz-Organisationen wie der Deutsche Kinderschutzbund, die eine Chatkontrolle ablehnen, waren offenbar nicht dabei.
Zur Begrüßung sprachen der EU-Innenkommissar Magnus Brunner und die deutsche Missbrauchsbeauftragte Kerstin Claus. Auf dem Podium diskutierten die Kinderschützer mit Europol-Polizisten, Kommissions-Beamten und EU-Abgeordneten.
Eine Kinderschutz-Referentin von ECPAT Deutschland und die Geschäftsführerin der Internet Watch Foundation haben sogar eigene Gesprächstermine mit der Ständigen Vertretung bekommen. Vor zwei Jahren haben Recherchen aufgedeckt, wie Tech-Firmen, Stiftungen, Sicherheitsbehörden und PR-Agenturen auf höchster EU-Ebene für die Chatkontrolle lobbyieren.
Im Gegensatz dazu werden Vertreter der digitalen Zivilgesellschaft immer wieder ausgegrenzt und ausgeladen.
Die Missbrauchsbeauftragte Kerstin Claus sagte auf der Veranstaltung: „Hauptziel der CSA-Verordnung ist, Kinder vor Missbrauch und Ausbeutung online und offline zu schützen, nicht Massenüberwachung europäischer Bürger. Ja, wir müssen darüber diskutieren, welche Schutzmaßnahmen oder Einschränkungen wir benötigen, um Verstöße gegen die Privatsphäre der Kommunikation auszugleichen.“
Claus befürwortet offenbar eine Chatkontrolle. Vor drei Jahren warb sie für „ein gestuftes Verfahren bei der Chatkontrolle“ – explizit für „Chat-Dienste wie WhatsApp, Signal sowie E-Mail-Anbieter“.
Auf der Konferenz notierten die deutschen Vertreter: „62% der Webseiten mit Darstellungen des sexuellen Missbrauchs von Kindern werden in Europa gehostet.“ Die Quelle dafür ist die Internet Watch Foundation 2022. Weiter schreiben sie: „Die Anzahl der aus Deutschland gehosteten Seiten hat sich allein zwischen 2020 und 2022 verzehnfacht.“ Auch das stammt von der Internet Watch Foundation 2022.
Diese Zahlen widersprechen denen der Bundesregierung. Laut Bundeskriminalamt sind fast die Hälfte der Verdachtsmeldungen aus den USA nach deutschem Recht strafrechtlich nicht relevant.
Bundeskriminalamt und Meldestellen erhielten 2020 relevante 1.728 Fälle und 2022 7.868 Fälle. Wenn die Polizei aktiv wird, sind diese Inhalte schnell weg. Über 99 Prozent dieser Inhalte werden innerhalb einer Woche erfolgreich gelöscht.
Immer wieder könnte die Polizei pädokriminelle Inhalte löschen, tut das aber nicht. Eine Bund-Länder-Gruppe hat einen Bericht dazu verfasst. Der soll jedoch geheim bleiben und nicht öffentlich werden.
Die deutsche Vertretung betitelt den Drahtbericht mit dem Satz „Keine Verordnung ist auch keine Lösung.“ Der erste Satz lautet: „Der Kampf gegen den sexuellen Missbrauch von Kindern droht auf EU-Ebene aufgrund der deutschen Sprachlosigkeit verloren zu gehen.“
Diese Absolutheit irritiert. Selbst vehemente Kritiker der Chatkontrolle sind nicht gegen die Bekämpfung von Missbrauch oder das gesamte Gesetz. Im Gegenteil, es gibt viele sinnvolle Vorschläge für besseren Kinderschutz im Internet. Diese werden aber von der Chatkontrolle überschattet.
Das EU-Parlament hat einen Verhandlungsentwurf beschlossen, der anlasslose Chatkontrolle ausschließt. Stattdessen sollen Internet-Dienste mehr Kinderschutz-Mechanismen einführen, wie eine Zustimmung zu unaufgeforderten Nachrichten und bessere Optionen zum Blockieren und Stummschalten. Die EU-Staaten könnten diese Position einfach übernehmen.
Stattdessen prognostiziert der Bericht, dass „noch ein schwieriger Trilog mit dem EU-Parlament wartet“. Das klingt, als ob die Innenpolitiker in Brüssel die parlamentarische Ablehnung der Chatkontrolle bedauern und in den anstehenden Verhandlungen wieder ändern wollen.
Heute haben die Ständigen Vertreter der EU-Staaten über die Chatkontrolle verhandelt. Im Vorfeld forderte die deutsche Vertretung von der Bundesregierung: „Deutschland muss endlich sprechfähig sein.“
Hier das Dokument in Volltext:
Der Kampf gegen den sexuellen Missbrauch von Kindern droht auf EU-Ebene aufgrund der deutschen Sprachlosigkeit verloren zu gehen. Wo es um die brutalste und perverseste Form des Missbrauchs von Kindern (insbesondere auch Säuglingen und Kleinkindern) geht, wird in Deutschland eine datenschutz- und verfassungsrechtliche Debatte geführt, die in ihrer Einseitigkeit irritiert. „Wir wollen keine anlasslose Chatkontrolle“, schallt es aus Berlin, obwohl selbige in Brüssel niemand fordert. Eine Antwort auf die uns seit Monaten gestellte Frage, was wir eigentlich wollen und wie Pädokriminelle im Netz entdeckt werden sollen, bleiben wir hingegen schuldig – trotz maximaler Kooperations- und Kompromissbereitschaft der dänischen Ratspräsidentschaft, die nach langem Warten auf unsere Vorschläge zur „Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“ inzwischen aber zu realisieren beginnt, dass sie – bei welchem Lösungsansatz auch immer – ohne uns planen muss.
In Brüssel wird die deutsche Nichtpositionierung heftig kritisiert und maßgeblich dafür verantwortlich gemacht, dass die dringend erforderliche Einigung im Rat nicht erfolgen kann. Klar ist, dass wir (wie andere MS) unter enormen Druck einer lautstarken Internet-Community und einiger großer Tech-Konzerne stehen, die die Wahrnehmung im politischen Raum und der Öffentlichkeit einseitig prägen.
Dass es den Kinderschutzorganisationen demgegenüber schwerfällt, im öffentlichen Diskurs Gehör zu finden, wurde auch hier in Brüssel anlässlich einer Konferenz der European Child Sexual Abuse Legislation Advocacy Group (ECLAG) sowie einiger begleitend geführter Gespräche der StäV deutlich. Es lohnte aber, zuzuhören.
Rund 29,2 Millionen Fälle mutmaßlichen sexuellen Missbrauchs von Kindern gab es im Jahr 2024 ausweislich eines Berichts des „National Center for Missing and Exploited Children“ (NCMEC), einer gemeinnützigen Organisation, die 1984 vom Kongress der Vereinigten Staaten gegründet wurde und bei ihr eingehende Meldungen zu sexuellen Missbrauchsdarstellungen nach einer Überprüfung an die zuständigen Strafverfolgungsbehörden u.a. in Deutschland und Europa weiterleitet. Diese Meldungen enthielten insgesamt 62,9 Millionen Missbrauchsdarstellungen. Anders formuliert: In jeder Minute gibt es nachweislich 55 Fälle mutmaßlichen sexuellen Kindesmissbrauchs und 120 Fotos oder Videos dazu. Zudem geht das BKA von einem sehr hohen Dunkelfeld aus. Eine nähere Auswertung von rund 580.000 Bildern mit 650.000 sexuell missbrauchten Kindern durch die Internet Watch Foundation ergab, ebenfalls für das Jahr 2024, dass die Opfer meist zwischen 7 und 10 (228.928 Fälle, i.e. 35%) oder aber zwischen 11 und 13 Jahre alt sind (217.780 Fälle / 33,5%). In 101.240 Fällen, also rund einem Sechstel der untersuchten Bilder, sind die Opfer zwischen 3 und 6 Jahre alt. Auf immerhin 13.032 Bildern (2%) finden sich Säuglinge und Kleinkinder zwischen 0 und 2 Jahren, die meist besonders schwerem sexuellen Missbrauch ausgesetzt sind (sog. „Kategorie A“: Penetration, Sex mit Tieren und/oder Sadismus).
Im Jahr 2025 zeigt sich bislang ein derart dramatischer Anstieg der Zahlen, dass sich das NCMEC erstmals zu einem Halbjahresbericht veranlasst sah. Im Vergleich zum ersten Halbjahr 2024 ergab sich fast eine Verdopplung der Zahlen beim sog. „Online Enticement“ (Anlocken einer Person über das Internet, oft um sie zu einer bestimmten Handlung zu bewegen) von 292.951 auf 518.720. Der Sexhandel mit Kindern stieg von 5.976 auf 62.891 Fälle. Die Zahl KI-generierter Missbrauchsdarstellungen erhöhte sich von 6.835 auf 440.419.
62% der Webseiten mit Darstellungen des sexuellen Missbrauchs von Kindern werden in Europa gehostet. Die Anzahl der aus Deutschland gehosteten Seiten hat sich allein zwischen 2020 und 2022 verzehnfacht. Nach einer Untersuchung von „Protect Children“ ist Deutsch zudem die vierthäufigste Sprache von Nutzern, die im Darknet kinderpornographische Bilder und Filme suchen und anschauen (nach Englisch, Spanisch und Russisch).
Vor diesem Hintergrund sahen auf der o.g. Konferenz sowohl Magnus Brunner, Kommissar für Inneres und Migration, als auch Kerstin Claus, Unabhängige Beauftragte für Fragen des sexuellen Kindesmissbrauchs in Deutschland, dringenden Handlungsbedarf. Eine „Nicht-Verabschiedung der Verordnung sei keine Lösung“, so Kerstin Claus. Sexueller Missbrauch sei der schwerste Verstoß gegen Kinderrechte. Es sei wichtig, dass dies auch in der öffentlichen Diskussion wahrgenommen und berücksichtigt werde („a shift of mindset is necessary“). MdEP Jeroen Lenaers, EPP NLD, schloss sich diesem Appell an. Es gehe vor allem nicht um „Chatkontrolle“, sondern um Kinderschutz. Man müsse sich auf den tatsächlichen Inhalt der Verordnung konzentrieren und den politischen Entscheidungsträgern „real life stories“ nahebringen. Eine Vertreterin von Microsoft plädierte für eine gesetzliche Regelung, da eine solche den Status-quo verbessern würde und staatliche Akteure sich zudem nicht allein auf freiwillige kooperierende Diensteanbieter verlassen sollten. Weitere Diskussionsteilnehmer stellten ebenso auf den dringend notwendigen Schutz der Kinder ab. Die EU stünden nun vor der Wahl, zu handeln oder das Phänomen zu ignorieren. Jeder weitere Tag des Nichthandels führe zu irrreversiblen Schäden.
Wir lassen mit unserer eingangs skizzierten Sprachlosigkeit gerade die Gelegenheit verstreichen, die Verhandlungen im Rat zu prägen und den Kindesschutz grundrechtskonform zu verbessern.
Schlimmer noch: Wir sind drauf und dran dafür zu sorgen, dass sich die Rechtslage verschlechtert und sexueller Missbrauch von Kindern und Säuglingen künftig nur noch in Ausnahmefällen entdeckt, beendet, verfolgt und bestraft werden kann. Derzeit können Diensteanbieter auf Basis der sog. Interims-VO noch freiwillig nach Missbrauchsdarstellungen von Kindern in ihren Diensten suchen und diese melden. Diese Möglichkeit wird mit dem Auslaufen der Interims-VO im April wegfallen. Die online gestellten Bilder und Videos sind für die Polizei aber oft die einzige Möglichkeit, um auf Fälle sexuellen Missbrauchs aufmerksam zu werden, auch weil Kinder selten über ihren Missbrauch sprechen und oft erst Jahre später verstehen, dass sie Opfer einer Straftat geworden sind. Eine schnellstmögliche Einigung des Rates auf eine allgemeine Ausrichtung ist vor diesem Hintergrund dringend geboten (siehe auch schon Bezugs-DKOR).
Nach drei Jahren Verhandlungen mit insgesamt 47 Sitzungen im Rat sollte auch Deutschland eine Position zu der Frage finden, wie der massenhaft stattfindende sexuelle Missbrauch von Kindern bekämpft werden kann. Im AStV vom 5. November muss Deutschland endlich sprechfähig sein. Die Zeit drängt, da nach der zunächst erforderlichen Positionierung des Rates noch ein schwieriger Trilog mit dem EP wartet, der vor dem Auslaufen der Interim-VO abgeschlossen sein sollte.
Zum in der Öffentlichkeit ausschließlich unter Datenschutz/Schutz privater Kommunikation Aspekten diskutierte Vorschlag einer „Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“ (CSA–VO) fand am 16.10. eine Veranstaltung des der European Child Sexual Abuse Legislation Advocacy Group (ECLAG) unter dem Titel „Back to basics: Fighting sexual abuse with children at the centre“ statt. ECLAG vereint mehr als 70 europäische und internationale NRO im Bereich des Schutzes von Kindern, u.a. Terre des Hommes, Eurochild, ECPAT International, Internet Watch Foundation und Thorn.
In ihren Begrüßungsansprachen machten sowohl Magnus Brunner, Kommissar für Inneres und Migration, als auch Kerstin Claus, Unabhängige Beauftragte für Fragen des sexuellen Kindesmissbrauchs, klar, dass eine Verpflichtung der Diensteanbieter beim Schutz von Kindern vor sexuellem Missbrauch online sowie bei der Bekämpfung der Verbreitung von Missbrauchsdarstellungen (im Folgenden: CSAM) dringend notwendig sei.
Fiona Jennings, Irish Society for the Prevention of Cruelty to Children (ISPCC), unterstrich, dass sexueller Missbrauch von Kindern historische Ausmaße erreicht habe. Anton Toni Klančnik, Specialist in AP Twins, Europol, unterlegte diese Aussage. Insbesondere Grooming sei ein wachsendes Problem. Für Europol sei es immer eine Priorität, anhand gemeldeter Bilder und Filme das Opfer zu identifizieren. So habe man in einer 2-wöchigen Task Force mehr als 50 Opfer entdeckt und identifiziert. Er erwähnte ebenso die Operation „Cumberland“ (KI-generierte Missbrauchsdarstellungen, 19 Länder, 273 Verdächtige, 25 Festnahmen, Stand Feb 2025). Erschreckend sei auch, dass es sogenannte Pädo-Handbücher mit detaillierten Anleitungen zu sexuellem Missbrauch von Kindern gäbe.
Antonio Labrador Jimenez, DG Home European Commission, stellte klar, dass die CSA–VO einen Fokus auf Prävention setzte und in großen Teilen unumstritten sei. So werde z.B. die Einrichtung eines EU-Zentrums einstimmig begrüßt. Lediglich zu den sogenannten Detection Orders (Aufdeckungsanordnungen) gäbe es noch keine Einigung. Es sei nicht sinnvoll, sich auf Meldungen von Opfern oder ihren Angehörigen zu verlassen. Kinder würden sich nicht melden, weil sie entweder zu jung oder zu verängstigt seien. Eltern oder soziales Umfeld seien oft unwissend oder gar selbst Täter. Es sei gut, dass die Diensteanbieter Erfahrung bei der Aufdeckung von CSAM hätten. Man dürfe aber nicht außer Acht lassen, dass mittlerweile 80% der bei NCMEC eingehenden Berichte aus privater Kommunikation sei. Der VO-Entwurf stelle auch nicht auf Fragen der verschlüsselten Kommunikation ab, sondern sei bewusst technologieneutral gehalten. Fakt sei aber z.B. ein deutlicher Rückgang der Meldungen seitens Facebook, nachdem dort Ende-zu-Ende-Verschlüsselung im Messenger eingeführt worden sei. Man müsse sich zudem die Frage stellen, warum in der öffentlichen Diskussion immer Art. 7 der Grundrechtecharta der EU (Achtung der Kommunikation) über die Rechte der Kinder z.B. aus Art. 3 (Recht auf körperliche Unversehrtheit) und Art. 4 (Verbot der Folter und unmenschlicher oder erniedrigender Strafe oder Behandlung) gestellt werde. Wenn eines der Grundrechte Vorrang haben könne, dann wohl eher Art. 3, da sexueller Missbrauch von Kindern eindeutig eine unmenschliche und erniedrigende Behandlung darstelle.
MEP Jeroen Lenaers (Niederlande, EPP), Berichterstatter zur Überarbeitung der CSA-Richtlinie, nannte es einen Skandal, dass der Rat sich immer noch nicht auf eine Position geeinigt habe und zugleich die MS der blocking minority keine Ideen zur Kompromissfindung einbrächten. Man müsse auch ganz deutlich machen, dass es nicht um „Chatkontrolle“ sondern um Kinderschutz ginge. Auch er bedauere, dass der Vorschlag in der Öffentlichkeit komplett einseitig wahrgenommen werde und man mittlerweile nicht mehr über den Inhalt diskutiere. Die Position des EP zur CSA–VO sei sicher nicht optimal, aber man sei zumindest bereit für den Trilog und damit für ein Vorankommen des Vorschlags. Bei der CSA-Richtlinie komme man im Trilog leider auch nicht voran, da die Ambitionen der MS sehr gering seien.
Das zweite Podium der Veranstaltung konzentrierte sich auf technologische Aspekte.
Jasper van Heugten, KI-Experte, stellte klar, dass es bereits verlässliche Technologien zur Feststellung von CSAM gebe. Dies würden nicht unbedingt einen Eingriff in die Privatsphäre oder eine Berichtsautomatismus enthalten. Die Prämisse müsse allerdings sein, dass die gemeinsamen Werte die Technik bestimmen müsse, nicht umgekehrt. Auch sei es sinnvoll, für unterschiedliche Plattformen spezifische Technologien zu entwickeln. Bei der Diskussion zur Aufdeckung von Grooming müsse klargestellt werden, dass die Wortwahl eindeutig und deutliche unterscheidbar von normaler Kommunikation sei.
Lea Peters, ECPAT Germany, erinnerte daran, dass das Internet in seinen Anfängen nicht für Kinder designed worden sei. Mittlerweile enthalte aber fast jeder sexuelle Missbrauch von Kindern auch eine online-Komponente.
Julie Guichard, Microsoft, erläuterte die Maßnahmen von Microsoft in den Chatfunktionen der Xbox. Die KI-gestützte Software erfasse 90 Sprachen. In 2025 habe Microsoft 4,5 Millionen Inhalte entfernt, bevor diese weitergeleitet wurden. Es gäbe auch die Möglichkeit, die Sperrung von privaten Bildern bei Microsoft zu beantragen. Hinsichtlich des Problems KI-generierter Missbrauchsdarstellungen würden die Gegenmaßnahmen von Microsoft derzeit noch halten. Microsoft sehe die Möglichkeit der freiwilligen Aufdeckung als guten Anreiz für Unternehmen an; auch im Hinblick auf die Weiterentwicklung von Technologien einschließlich der notwendigen Investitionen. Auch Microsoft plädiere dafür, dass eine rechtliche Regelung den Status-quo verbessere. Dazu gehöre, die nicht kooperativen Plattformen zu verpflichten, Prävention zu gewährleisten. Die staatlichen Akteure und Entscheidungsträger dürften sich nicht auf die gutwilligen Betreiber alleine verlassen. Client-Side Scanning werde bereits gemacht, allerdings ohne die Treffer weiterzuleiten. Man dürfe nicht akzeptieren, dass Straftäter sich immer sicherer fühlten. Auch Julie Guichard sah es als wichtig an, klarzumachen, dass es um Aufdeckung und nicht um Überwachung gehe. Auf Nachfrage erläuterte sie, dass Microsoft Xbox Accounts aussetzen und sperren könne, abhängig von der Schwere des Verstoßes. Man kommuniziere dies offen und transparent, um auch dem Nutzer klar zu machen, dass z.B. Grooming Versuche nicht toleriert würden.
Alle im DKOR dargestellten Zahlen stammen aus der vorstehend skizzierten Konferenz und aus Gesprächen, die StäV auf entsprechende Anfragen am 15.10.2025 namentlich mit Lea Peters, Referentin Digitaler Kinderschutz bei ECPAT Deutschland e.V., sowie am heutigen 29.10.2025 mit Kerry Smith, CEO der Internet Watch Foundation, geführt hat. Sie sind im Internet frei zugänglich.
Aufgrund einer BIOS-Schwachstelle können Angreifer Dell PowerEdge Server attackieren und Systeme vollständig kompromittieren. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Admins sollten die Sicherheitsupdates zeitnah installieren.
Weiterlesen nach der Anzeige
In einer Warnmeldung listet Dell die betroffenen PowerEdge-Server-Modelle auf. Darunter fallen etwa PowerEdge R770, PowerEdge M7725 und PowerEdge R750XA. Die Lücke (CVE-2025-42446 „hoch“) findet sich im von American Megatrends Inc. (AMI) entwickelten BIOS. Daran können Angreifer auf einem nicht näher beschriebenen Weg für eine Schadcode-Attacke ansetzen. Konkret ist das SSM Module SmmWhea betroffen. Wie aus einem Beitrag von AMI hervorgeht, ist die Lücke schon seit Mai dieses Jahres bekannt. Warum Dell die Schwachstelle erst jetzt aufgreift, ist zurzeit nicht bekannt.
Dell versichert, dass die Firmwares 1.4.1, 1.5.3, 1.6.4, 1.10.3, 1.15.3, 1.19.2, 1.21.1, 2.19.1, 2.21.1, 2.4.0 und 2.8.2 abgesichert sind.
(des)
Im Jahr 2025 ist das Team von netzpolitik.org gewachsen. Im Januar kam David Giwojno als Werkstudent für die Technik-Administration dazu, im September folgten Lucas Fiola, der ebenfalls als Werkstudent unsere Social-Media-Präsenz aufmöbelt, und Timur Vorkul, unser erster Volontär. Ab Dezember unterstützt uns unsere vorherige Bundesfreiwillige Lilly Pursch bei der Spenden-Verwaltung. Als neuer Freiwilliger ist seit September Ben Kumi im Team und als feste Freie sind seit diesem Jahr auch Anna Ströbele Romero in Brüssel und Esther Menhard an Bord.
Damit sind wir 13 feste Redakteur:innen, die von mehreren freien Autor:innen, Kolumnist:innen und unserem Podcast-Produzenten unterstützt werden. In der Regel macht außerdem eine Person pro Quartal ein Praktikum in der Redaktion. In der IT arbeiten derzeit zwei Menschen, in Finanzen und Verwaltung ebenfalls, genau wie zu den Themen Kreation, Campaigning und Social Media. Eine Person sorgt dafür, dass unser Büro jede Woche blitzeblank erstrahlt. Und ein Mensch absolviert bei uns sein Freiwilligenjahr und lernt so ziemlich alle unsere Arbeitsbereiche kennen. Macht insgesamt 22 Einträge auf der Team-Seite.
All diese Menschen haben dafür gesorgt, dass wir im Jahr 2025 bis zum 19. Dezember 970 Texte auf unserer Seite veröffentlichen konnten. Die bestehen zusammen aus rund 1,87 Millionen Wörtern oder auch genauer: 11.029.782 Zeichen. Bei einer angenommenen durchschnittlichen Vorlesegeschwindigkeit von 150 Wörtern pro Minute bräuchtet ihr etwa 12.500 Minuten, um alle Texte des Jahres einzusprechen. Das sind mehr als 200 Stunden.
Die meisten Texte (209) gab es mittwochs, im Wochendurchschnitt waren es 2,7 pro Tag. Auch wenn es uns nicht so vorkam, im August sieht man ein kleines Sommerloch. In dem Monat erschienen die wenigsten Texte, nämlich 68 insgesamt.
Am Wochenende erscheint traditionell weniger, insgesamt 131 Artikel zur Lektüre gab es da. Sonntag ist der Tag für die meisten unserer Kolumnen, 36 gab es davon an der Zahl. Immer dabei war der Wochenrückblick, der jede Woche am Samstag erscheint – macht 52 bis zum Jahresende. Diesen Rückblick verschicken wir auch als Newsletter an mittlerweile 17.486 Mail-Adressen. Im Vergleich zum Vorjahr sind das mehr als 3.000 neue Abonnent:innen.
Wer noch öfter von uns Post bekommen will und Wert auf einen regelmäßigen Überblick zu neuen Texten legt, kann sich auch alle zwei Werktage „Auf den Punkt“ mit einem knackigen Vorspann in die Inbox holen. 148 Ausgaben verschickten wir bisher in diesem Jahr an 2.128 Postfächer.
Neben vielen Analysen, Recherchen, Leaks und Meldungen gab es 2024 23 Interviews und 47 Kommentare. Außerdem erschienen 15 Ausgaben unseres Podcasts „Off/On“, den wir in diesem Jahr mit einem neuen Konzept überarbeitet haben.
Inhaltlich lagen – zumindest laut unserer Schlagwort-Analyse – genau wie letztes Jahr Texte zum Thema EU-Kommission (73) an der Spitze des Häufigkeits-Rankings, gefolgt von Chatkontrolle (55) und Donald Trump (47). Eher auf die Textgattung bezogene Schlagworte wie etwa „Kolumne“ haben wir in dieser Übersicht weggelassen.
Doch nicht nur unsere Artikel erscheinen auf der Seite. Ihr habt uns 6.439 freigeschaltete Ergänzungen verfasst. Die meisten (79) stehen unter Markus Reuters Kommentar „Oh, wie schön ist Abschiebung“ zu einem Frontex-Kinderbuch. Aber auch als Martin Schwarzbeck das neue Berliner Polizeigesetz mit „Berlin wirft die Freiheit weg“ kommentierte, hat euch das zu 60 Beiträgen bewegt, dicht gefolgt von der Recherche zu 1.600 polizeilichen Überprüfungen psychisch erkrankter Menschen in Hessen mit 58 Ergänzungen.
Schon 2024 haben wir damit begonnen, euch in unserem News-Ticker mit kurzen und knappen Einordnungen auf lesenswerte Texte von anderen hinzuweisen. 2.698 Tickermeldungen sind das dieses Jahr bis zum 19. Dezember geworden, vom Hinweis auf eine unterhaltsame Randnotiz bis zur ernsten Analyse. Am häufigsten nahmen wir Artikel von heise online in unseren Ticker auf (242), gefolgt von der taz (125) und The Guardian (118).
Dass wir Links auf spannende und aufschlussreiche Quellen mögen, merkt man auch in unseren eigenen Artikeln. Im gesamten Jahr haben wir 9.639 Inhalte verlinkt, davon waren rund 2.977 interne Verweise auf netzpolitik.org, der Rest ging nach außen. Das sind rund 10 Links pro Text.
Wir haben ja schon erwähnt, dass wir dieses Jahr Social-Media-Unterstützung bekommen haben. Besonders nutzen wir Mastodon, Bluesky und Instagram, wo uns jeweils 50.000, 35.000 und 25.800 Accounts folgen. Wir posten aber beispielsweise auch auf Pixelfed und LinkedIn.
Viel mehr Menschen besuchen uns aber weiterhin direkt auf netzpolitik.org oder haben unseren Feed abonniert. Laut unserer Statistik wurden Artikel aus dem Jahr 2025 rund 13,7 Millionen Mal aufgerufen, wenn man die individuellen Aufrufe zählt. Insgesamt – inklusive der Feeds, Artikel voriger Jahre, Datei-, Podcast- und sonstiger Downloads – gab es 2025 rund 109 Millionen Seitenaufrufe, davon 60,5 Millionen unique pageviews. Dabei wird nicht gezählt, wenn jemand die Seite zweimal direkt hintereinander lädt.
Aber Obacht: Das waren sicher nicht alles menschliche Leser:innen. Da wir auf Tracking verzichten, können wir Aufrufe von Bots nicht zuverlässig aussortieren. Stattdessen messen wir serverseitig Seitenzugriffe und auch WordPress bietet uns Zahlen an, die in der gleichen Größenordnung liegen.
Am meisten gelesen habt ihr laut unserer WordPress-Statistik den Text zum Real-o-Maten – einer Wahl-o-Mat-Alternative, die auf das Abstimmungsverhalten von Parteien im Bundestag schaute. Rund 780.000 Mal wurde dieser Text geklickt. Für eine knappe Meldung ist das eine sehr ungewöhnliche Zahl und für die gibt es eine einfache Erklärung: Bei Google wurde unser Text zeitweise über der eigentlichen Real-o-Mat-Website in den Suchergebnissen angezeigt – und Leute, die direkt zum Wahl-Test wollten, landeten erstmal bei uns. Ein Musterbeispiel dafür, wie ein Suchmaschinen-Ranking die Reichweite beeinflussen kann.
Weitere statistische Einblicke gibt es dazu, wie häufig wir mit Informationsfreiheitsanfragen versuchen, an Informationen zu gelangen. 38 öffentliche Anfragen via FragDenStaat stellte das Team dabei im letzten Jahr.
Dieses Jahr haben wir außer den harten Textfakten außerdem gezählt, wie viele Pflanzen uns den Büroalltag ein wenig grüner machen. 18 Töpfe mit lebendigen Exemplaren stehen in unseren Räumen verteilt. 3 Töpfe sind leider leer, da unter anderem eine Grünlilie an zu viel Wasser verging und der Rettungsversuch für eine Kokospalme am Straßenrand zu spät kam.
Rettungsversuche gab es auch für einen neuen Bürorechner. Nach drei Rücksendungen und Reparaturversuchen beim Versender wird er bald ein viertes Mal in die Post gehen – diesmal aber ohne Rückschein.
Die Zahl, die uns aktuell am meisten beschäftigt, zum Schluss: 157.000 Euro. So viel Geld fehlt uns noch, um unsere Arbeit für das Jahr gut zu finanzieren. Wenn ihr dazu beitragen wollt und könnt, findet ihr hier alle Möglichkeiten.
Wie funktioniert eigentlich Reverse Engineering und wie kann KI dabei helfen? Am Beispiel einer Firmware von TP-Link zeigt ein Sicherheitsforscher, wie die Rekonstruktion des Codes vonstattengehen kann, auf welche Sicherheitsprobleme er dabei gestoßen ist und wie sich der Hersteller dazu verhalten hat.
Weiterlesen nach der Anzeige
Seine Erkenntnisse hat er in einem Beitrag zusammengefasst. Dabei geht er Schritt für Schritt vor. Die Firmware für die IP-Kamera hat er öffentlich im Internet verfügbar entdeckt und sie mit Tools wie binwalk analysiert. Über den KI-Chatbot Grok hat er dann Informationen zum Entschlüsseln des Codes gesammelt.
Nach der Entschlüsselung begab er sich mit Werkzeugen wie Ghidra auf die Suche nach Bugs. Bei der Analyse des Dateisystems half ihm das KI-Tool Cline. Weiterführende Details zu bestimmten Funktionen im Code ließ er sich von KI erläutern.
Am Ende stuft er die Kombination aus seinem Fachwissen und KI-Tools als erfolgreich ein und er stieß auf insgesamt drei Sicherheitslücken (CVE-2025-8065 „hoch“, CVE-2025-14299 „hoch“, CVE-2025-14300 „hoch“). An den Schwachstellen können entfernte Angreifer für DoS-Attacken ansetzen. Mittlerweile hat der Hersteller Sicherheitspatches veröffentlicht.
Die Kommunikation mit TP-Link stuft der Sicherheitsforscher als langwierig ein. Nach seiner Meldung im Juli dieses Jahres hat der Hersteller erst im Dezember Updates veröffentlicht.
Weiterlesen nach der Anzeige
Er schließt seinen Beitrag kritisch: TP-Link ist eine CVE Numbering Authority (CNA) und kann somit CVE-Kennungen für an sie gemeldete Schwachstellen vergeben. Im gleichen Atemzug werben sie damit, dass sie weniger Sicherheitslücken als die Konkurrenz von Cisco & Co. haben. „Es besteht ein offensichtlicher und struktureller Interessenkonflikt, wenn ein Anbieter seine eigene CNA sein darf und gleichzeitig die Anzahl seiner CVEs als Marketingkennzahl nutzt.“
(des)
Illustrierte Reise nach New York City › PAGE online
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
SK Rapid Wien erneuert visuelle Identität
Neue PC-Spiele im November 2025: „Anno 117: Pax Romana“
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Donnerstag: Deutsches Flugtaxi-Start-up am Ende, KI-Rechenzentren mit ARM-Chips
Arndt Benedikt rebranded GreatVita › PAGE online
