Anbieter von Betriebssystemen wie Apple, Google oder Microsoft müssen demnächst sicherstellen, dass diese mit einer „Jugendschutzvorrichtung“ ausgestattet sind. Das sieht eine Novelle des Jugendmedienschutzstaatsvertrags (JMStV) vor, die von den Bundesländern verabschiedet wurde. Das Parlament von Brandenburg hatte am Mittwoch als letztes Bundesland den Weg dafür freigemacht.

Laut der Reform sollen Spielekonsolen, Smartphone, Smart-TVs und andere Geräte, die „Zugang zu Telemedien ermöglichen“, bereits auf der untersten Software-Ebene einen Filter bieten, der dafür sorgt, dass etwa der Weg zu Pornoseiten versperrt bleibt.

Eltern sollen diesen Schutzmodus mit nur einem Klick aktivieren können und dabei auch das Alter der Kinder einstellen können. Der Vertrag bezeichnet das als „One-Button-Lösung“. Anschließend sollen Browser auf dem Gerät nur noch verfügbar sein, wenn sie über „eine gesicherte Suchfunktion“ verfügen. Was das ist, wird im Text nicht näher definiert. Auch für Apps gilt, dass sie der Altersangabe entsprechen müssen.

Umstrittene Novelle

Die neuen Regeln treten am 1. Dezember 2027 in Kraft und gelten nur für Geräte, die neu in den Handel kommen. Alte Geräte, für die keine Softwareupdates mehr bereitgestellt werden, sind davon ausgenommen. Für Geräte, die bereits produziert werden, gilt eine Übergangsfrist von drei Jahren ab Bekanntgabe der neuen Regeln.

Auf die umstrittene Novelle hatten sich die Ministerpräsidenten der Länder bereits vor einem Jahr geeinigt. Tech-Konzerne wie Google und Microsoft wehrten sich gegen die Auflagen und verwiesen darauf, dass sie bereits Lösungen für den Jugendschutz anböten. Die neuen Vorschriften würden zu vielen rechtlichen und technischen Problemen führen. Auch Verbände wie die Free Software Foundation kritisierten die Pläne. Es sei etwa unklar, wie Anbieter von freier Software die Vorgaben umsetzen sollten.

Geldhahn abdrehen, Domains sperren

Zusätzlich zu den Jugendschutzfiltern bekommt die Jugendmedienaufsicht zwei weitere Werkzeuge an die Hand, um Betreiber von Pornoseiten unter Druck zu setzen. Die erste gilt der Sperre von sogenannten Ausweichdomains. Hintergrund ist der Kampf der deutschen Medienaufsicht gegen Pornoseiten, die sich weigern, das Alter ihrer Nutzer*innen zu kontrollieren. Die Medienaufsicht will diese Alterskontrollen gemäß deutschem Recht erzwingen und lässt die Seiten widerspenstiger Betreiber sperren. Internetprovider wie die Telekom müssen dann verhindern, dass ihre Kund*innen die Seiten aufrufen können.

In der Vergangenheit hatte diese Methode wenig Erfolg. XHamster und Pornhub haben einfach binnen kürzester Zeit alternative Domains eingerichtet, ein Katz-und-Maus-Spiel, bei dem die Behörde immer einen Schritt hinterher war. Mit der Novelle gilt, dass die Medienaufsicht in Zukunft auch für diese neuen Domains Netzsperren schneller anordnen darf – ohne gesondertes Verfahren.

Das zweite Werkzeug richtet sich gegen Zahlungsdienstleister und soll den Geldfluss an Pornoseiten kappen. Die jeweils zuständige Landesmedienanstalt darf nun etwa Visa oder Paypal anweisen, keine Zahlungen mehr für bestimmte Seiten abzuwickeln, wenn diese „unzulässige Angebote“ zeigen.

EU-Kommission vs. deutsche Medienaufsicht

Kritiker*innen weisen darauf hin, dass diese Maßnahmen wenig bringen, wenn es damit geht, Jugendliche von Pornoseiten fernzuhalten. So lassen sich Netzsperren mit wenigen Klicks umgehen, zum Beispiel durch VPN-Dienste, die vorgeben, eine Seite aus einem anderen Land aufzurufen. Der Download solcher Software steigt in allen Regionen rasant an, in denen Pornoseiten entweder gesperrt sind oder Alterskontrollen einführen – zuletzt etwa in Großbritannien.

Verpflichtende Alterskontrollen, wie die Medienaufsicht sie zudem vorschreiben will, würden außerdem bedeuten, dass alle Nutzer*innen von Pornoseiten ihr Alter nachweisen müssten. Die Medienaufsicht empfiehlt dafür etwa, dass die Seiten die Ausweise der Besucher*innen kontrollieren oder das Alter per biometrischer Gesichtserkennen schätzen sollen.

Einer der größten Anbieter, Pornhub, wehrt sich aktuell vor Gericht gegen die aus Deutschland angeordneten Netzsperre. Betreiber Aylo ist auf dem Standpunkt, dass nicht die Medienaufsicht, sondern die EU-Kommission für Pornhub zuständig sei. Die gesetzliche Grundlage dafür ist das Gesetz über digitale Dienste (DSA). Als EU-Verordnung habe es Vorrang gegenüber nationalen Gesetzen wie dem JMStV.

Auch der DSA sieht vor, dass Anbieter von Pornoseiten mehr für den Schutz von Minderjährigen tun müssen, er schreibt dafür aber keine verpflichtenden Alterskontrollen vor, sondern verpflichtet Anbieter lediglich dazu, “Risiken” für den Jugendschutz selbst einzuschätzen und zu minimieren. Derzeit designiert die EU-Kommission mehrere Pornoseiten zudem als „Sehr Große Online-Plattform“ und sieht damit striktere Auflagen für sie vor.

Etwa 30 Namen von Unternehmen sind auf der Darknet-Seite der kriminellen Vereinigung cl0p neu aufgetaucht. Darunter sind auch einige bekannte und global aktive.

Unter den angeblich betroffenen Unternehmen finden sich Größen wie Broadcom, Canon, Mazda (und zusätzlich Mazda USA) oder auch der Reifenhersteller Michelin. Es finden sich von den betroffenen Unternehmen bislang noch keine Stellungnahmen oder Bestätigungen von etwaigen Datenlecks, die kürzlich erfolgt wären. Die Täter haben auf der Darknet-Leaksite von cl0p derzeit lediglich allgemeine Unterseiten ohne Details oder Ausschnitte aus den abgezogenen Daten angelegt. Es ist also unklar, in welchem Umfang und was für Daten die Kriminellen erlangt haben wollen.

Bislang glaubhafte Einbruchsberichte

Bislang waren angekündigte Datendiebstähle von cl0p echt, es handelte sich regelmäßig nicht um Bluffs. Etwa Anfang des Monats nahm cl0p Logitech und die Washington Post in die Liste der kompromittierten Unternehmen auf. Rund eine Woche später bestätigte Logitech, dass Angreifer Zugriff auf Computersysteme erlangt und dabei Daten von Kunden und Mitarbeitern kopiert haben. Die Washington Post hat Anfang der Woche ebenfalls mit einer Meldung eines Datenschutzvorfalls eingeräumt, dass Daten von knapp 10.000 ehemaligen und aktuellen Mitarbeitern sowie Auftragnehmern von kriminellen Eindringlingen kopiert wurden.

Zuletzt hatte cl0p reihenweise Opfer durch eine Sicherheitslücke in Oracles E-Business-Suite (EBS) angegriffen und dadurch unbefugt Zugriff auf sensible Daten erlangt. Anfang Oktober hat Oracle vor laufenden Angriffen auf die Lücken und darauffolgende Erpressungsversuche gewarnt. Seitdem stehen auch Updates bereit, die Admins unbedingt installieren sollten. Die Zero-Day-Sicherheitslücke war den Angreifern demnach bereits mindestens seit Juni des Jahres bekannt.

(dmk)

Wenn Unternehmen mit Behörden kommunizieren, wird es oft kompliziert. Dann braucht es Unterschriften per Hand, Firmenstempel oder Vollmachten. Die EU-Kommission will das nun ändern.

Sie hat am Mittwoch ihre Pläne für die „European Business Wallet“ vorgestellt. Mit der digitalen Brieftasche sollen sich Unternehmen innerhalb der EU grenzüberschreitend etwa gegenüber Behörden authentifizieren, mit diesen kommunizieren und Dokumente austauschen können.

Das Vorhaben ist Teil des „Digital Omnibus“-Gesetzespakets und soll Verwaltungsprozesse vereinfachen. Den Unternehmen verspricht die Kommission Einsparungen in Höhe von insgesamt mehr als 160 Milliarden Euro pro Jahr.

Nutzung ist freiwillig, soll aber Standard werden

Dem vorgelegten Gesetzentwurf ging im Sommer eine vierwöchige, öffentliche Konsultation voraus, die Mitte Juni endete.

Dem Entwurf zufolge soll nur die Verwaltung dazu verpflichtet sein, die Wallet einzusetzen; für Unternehmen besteht diese Pflicht nicht. Zugleich betont die EU-Kommission, dass die Wallet „zum Standardinstrument für einen sicheren und effizienten Austausch“ zwischen Unternehmen und öffentlichen Stellen in der gesamten EU werden soll.

Sowohl private Unternehmen als auch öffentliche Einrichtungen können eine Wallet anbieten. Sie müssen sich vorab bei der Aufsichtsbehörde ihres EU-Landes notifizieren lassen. In Deutschland sind dafür das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur (BNetzA) zuständig. Wollen EU-Institutionen eine Wallet anbieten, übernimmt die Kommission die Aufsichtsfunktion.

eIDAS-Verordnung als Grundlage

Der Vorschlag für die Business-Wallet baut auf den Plänen zur elektronischen Bürger-ID auf, wie sie in der eIDAS-Verordnung (eIDAS 2.0) geregelt ist. Das EU-Gesetz, das im Mai 2024 in Kraft trat, ist auch die rechtliche Grundlage für die EUDI-Wallet, mit der sich ab Ende 2026 alle EU-Bürger:innen digital ausweisen können. Derzeit werden dafür in Brüssel die technischen Anforderungen verhandelt.

Ursprünglich sollte die EUDI-Wallet selbst auch für Organisationen und Unternehmen nutzbar sein. Die Pläne hatten sich allerdings als zu komplex herausgestellt. Bereits zu Jahresbeginn hatte die Kommission daher eine eigene digitale Brieftasche für Unternehmen angekündigt.

Die Business-Wallet soll der EUDI-Wallet ähneln, zugleich aber über besondere Funktionen für Unternehmen verfügen. Die technischen Standards und Anforderungen dafür will die EU-Kommission gemeinsam mit den Mitgliedstaaten und dem privaten Sektor ausarbeiten. Außerdem sind „großangelegte Pilotprojekte“ geplant. In einem Anhang zum Gesetzentwurf definiert die Kommission bereits ein umfassendes Berechtigungs- und Zugriffsmodell.

Bevor es aber ins Detail gehen kann, müssen noch das EU-Parlament und der Rat über den Vorstoß der Kommission verhandeln. Danach haben die öffentlichen Verwaltungen in der gesamten EU voraussichtlich zwei Jahre Zeit, die europäische Business-Wallet einzuführen.