Die Unionsfraktion im Bundestag stellt sich gegen eine anlasslose Überwachung von Chats und damit gegen die Chatkontrolle, die am 14. Oktober im EU-Rat abgestimmt werden soll.

Bei einer Pressekonferenz am Dienstagnachmittag sagte der Fraktionsvorsitzende der Union, Jens Spahn: „Wir als CDU/CSU-Bundestagsfraktion sind gegen die anlasslose Kontrolle von Chats. Das wäre so, als würde man vorsorglich mal alle Briefe öffnen und schauen, ob da etwas Verbotenes drin ist. Das geht nicht, das wird es mit uns nicht geben.“

Gleichzeitig sei klar, dass Kindesmissbrauch bekämpft und geahndet können werden müsse. Deswegen sei es auch grundsätzlich gut, dass die Europäische Union sich dieses Themas annehme. „Am Ende muss gelingen, dass die Verordnung, die geplant ist auf europäischer Ebene, Kinder wirksam schützt, ohne dabei die Sicherheit und die Vertraulichkeit individueller Kommunikation zu gefährden“, so Spahn weiter.

„Abstimmung noch nicht abgeschlossen“

Was das für die bis morgen erwartete Einigung der Bundesregierung bedeutet, ist noch unklar. Ein Sprecher des Bundesinnenministeriums sagte gegenüber netzpolitik.org, die Abstimmung innerhalb der Bundesregierung über eine Positionierung zum aktuellen Verordnungsentwurf sei noch nicht abgeschlossen. Zu laufenden Abstimmungen äußere sich das Ministerium grundsätzlich nicht. Das Bundesjustizministerium antwortete nicht auf eine Presseanfrage von netzpolitik.org zum Thema.

Elina Eickstädt, Sprecherin des CCC und Teil des Bündnisses „Chatkontrolle stoppen“ warnt allerdings: „Auch wenn Jens Spahn sich gegen die Chatkontrolle ausspricht, entscheiden letztendlich BMI und BMJ über die Positionierung der Bundesregierung.“ Entscheidend sei nicht nur das der dänische Vorschlag am 14. Oktober abgelehnt werde, sondern auch, dass sich die Bundesregierung generell gegen Client-Side-Scanning positioniere.

Union bekommt viele Zuschriften zur Chatkontrolle

Das Thema Chatkontrolle hat in den letzten Tagen hohe Wellen geschlagen und ist seit letzter Woche ein politischer Dauerbrenner in sozialen Medien, der viele Menschen mobilisiert hat. Jens Spahn bestätigte in der Pressekonferenz auch, dass die Unionsfraktion viele Zuschriften zum Thema erreichen würden. Auch der bayerische Digitalminister Fabian Mehring (Freie Wähler) sowie der CSU-Europaageordnete Christian Doleschal sprachen sich nun gegen die Chatkontrolle aus.

Zahlreiche zivilgesellschaftliche Organisationen haben sich in den letzten Tagen mit Nachdruck gegen die Chatkontrolle positioniert, darunter Amnesty International, Reporter ohne Grenzen, der Deutsche Kinderschutzbund, aber auch Wirtschaftsverbände wie eco und Bitkom sowie europäische Digital-Unternehmen. Auch Messenger wie Signal, Threema und WhatsApp sind gegen die Chatkontrolle.

Seit Jahren reden sich Hunderte von IT-Expertinnen und Sicherheitsforschern, Juristinnen, Datenschützern, Digitalorganisationen, Tech-Unternehmen, Messengern, UN-Vertretern, Kinderschützern, Wächterinnen der Internetstandards und Wissenschaftlerinnen weltweit den Mund gegen die Chatkontrolle fusselig. Eine unglaubliche Breite der Zivilgesellschaft lehnt die Chatkontrolle ab, weil sie die größte und gefährlichste Überwachungsmaschine Europas werden würde.

Zivilgesellschaft mobilisiert gegen Chatkontrolle

Das Bündnis „Chatkontrolle stoppen“ ruft derzeit dazu auf, für die Abstimmung relevante Personen und Organisationen zu kontaktieren. Das sind vor allem die an der deutschen Positionsfindung beteiligten Bundesministerien sowie die Fraktionen und Abgeordneten der Regierungsparteien im Bundestag. Am besten wirken direkte E-Mails und Telefonanrufe oder auch rechtzeitig ankommende Briefe. Auf der Website des Bündnisses gibt es Tipps und Adressen, um selbst aktiv zu werden.

Gleichzeitig hat das Bündnis eine Last-Minute-Petition gestartet, in der es die Bundesregierung auffordert, sich im EU-Rat gegen die Chatkontrolle zu stellen.

In die Debatte um die Chatkontrolle kommt kurz vor der entscheidenden EU-Ratssitzung Bewegung. Am Dienstagnachmittag erteilte Unionsfraktionschef Jens Spahn (CDU) der umstrittenen Maßnahme eine Absage. „Wir als CDU/CSU-Bundestagsfraktion sind gegen die anlasslose Kontrolle von Chats“, sagte Spahn am Nachmittag vor Journalisten in Berlin. Wie heise online aus Fraktionskreisen erfuhr, soll die Chatkontrolle vorerst nicht im Rat zur Abstimmung kommen.

„Das wäre so, als würde man vorsorglich mal alle Briefe öffnen und schauen, ob da etwas Verbotenes drin ist“, so Spahn. „Das geht nicht, das wird es mit uns nicht geben.“ Zugleich sei aber klar, dass Kindesmissbrauch bekämpft werden können müsse, betonte der Fraktionschef, und lobte die EU-Initiative. Eine Verordnung müsse Kinder wirksam schützen, „ohne dabei die Sicherheit und Vertraulichkeit individueller Kommunikation zu gefährden“.

Anlass oder nicht

Knackpunkt ist das Wort „anlasslos“. Die Union erteilt damit einer generellen Massenüberwachung eine Absage. Doch auch für eine anlassbezogene Überwachung von verschlüsselten Chats müsste die Technik massiv geschwächt werden, um Dritten Zugang zu den Inhalten zu ermöglichen. Damit wäre die Ende-zu-Ende-Verschlüsselung zwischen den Clients gebrochen.

Der erneute Vorstoß für eine Chatkontrolle wird von der dänischen Ratspräsidentschaft unter dem Banner der Bekämpfung des Kindesmissbrauchs geführt. Das EU-Parlament ist entschieden dagegen, das Grundrecht auf vor staatlichem Zugriff geschützte Kommunikation drastisch einzuschränken. Der EU-Rat der Mitgliedsstaaten sollte ursprünglich in der kommenden Woche darüber abstimmen.

Im Rat hatte bisher eine Minderheit mit Deutschland, Polen, Österreich und den Niederlanden eine Entscheidung verhindert. Sollte einer von den vier umfallen, wäre die Sperrminorität dahin.

In der Bundesregierung hat sich Innenminister Alexander Dobrindt (CSU) bisher offen für den Vorstoß der Dänen gezeigt. Die SPD lehnt die Chatkontrolle weiterhin und begrüßte die Äußerungen Spahns. Es sei gut, dass sich die Union den Bedenken anschließe, sagte SPD-Fraktionsvize Sonja Eichwede. „Der Schutz von Kindern ist zentral, aber verdachtslose Überwachung privater Kommunikation ist der falsche Weg.“

Fraktion hat Redebedarf

Bereits im Laufe des Tages hatte sich abgezeichnet, dass es offenbar noch Redebedarf gibt. Zwar hatten sich Dobrindts Innenministerium und das Justizministerium von Stefanie Hubig (SPD) im Grundsatz auf eine Abstimmungsposition verständigt. Doch dann musste die Bundesregierung feststellen, dass auch die sie tragenden Bundestagsfraktionen eigene Sichtweisen haben.

So kam scharfe Kritik daran auf, dass die neue Koalition die Fragen im Zusammenhang mit der geplanten Verordnung bislang nicht ausreichend diskutieren konnte. Nachdem die Verordnung nun bereits drei Jahre diskutiert werde, gebe es keinen Grund, nun binnen weniger Stunden eine deutsche Positionierung ohne gründliche Beteiligung mit den Abgeordneten im Bundestag durchzudrücken, heißt es aus Fraktionskreisen.

Gegen die EU-Pläne formiert sich breiter Widerstand. Die Betreiber des Messengers Signal haben angekündigt, ihren Dienst in der EU einzustellen, sollte die Politik die Verschlüsselung unterwandern. Auch andere Messengerdienste haben das Vorhaben kritisiert. Scharfe Kritik äußerten auch IT-Verbände, Bürgerrechtsorganisationen und Medienverbände.

(vbr)

In der Datenbank Redis haben die Entwickler mit einer aktualisierten Softwareversion vier Sicherheitslücken geschlossen. Eine davon erreicht mit einem CVSS-Wert von 10 die maximale Risikobewertung. IT-Verantwortliche sollten ihre Installationen umgehend auf den neuen Stand bringen.

In den Release-Notizen zur Version 8.2.2 nennt das Redis-Projekt die vier Schwachstellen. Angemeldete Nutzer können mit speziell präparierten LUA-Scripten den Garbage Collector manipulieren, eine Use-after-Free-Situation provozieren und so Schadcode aus dem Netz zur Ausführung bringen (CVE-2025-49844 / EUVD-2025-32326, CVSS 10, Risiko „kritisch„). Außerdem können solche LUA-Scripte einein Integer-Überlauf provozieren, was ebenfalls die Ausführung von aus dem Internet eingeschleustem Code erlaubt (CVE-2025-46817 / EUVD-2025-32363, CVSS 7.0, Risiko „hoch„).

Die weiteren Lücken sind weniger gravierend. Präparierte LUA-Skripte können außerhalb vorgesehener Speicherbereiche lesend zugreifen oder den Server zum Absturz bringen und so einen Denial of Service verursachen (CVE-2025-46819 / EUVD-2025-32327, CVSS 6.3, Risiko „mittel„). Außerdem können LUA-Skripte andere LUA-Objekte manipulieren und so ihren eigenen Code im Kontext anderer Nutzer ausführen (CVE-2025-46818 / EUVD-2025-32328, CVSS 6, Risiko „mittel„).

Fehlerkorrigierte Redis-Version installieren

Die IT-Sicherheitsforscher von Wiz haben zudem eine detaillierte Analyse der gravierendsten Lücken verfügbar gemacht. Da mindestens eine der Schwachstellen als kritisch gilt, sollten Admins umgehend ihre Redis-Instanzen auf den nun aktuellen Stand 8.2.2 oder neuer bringen. Die quelloffene Software steht in aktueller Fassung im Quelltext auf Github bereit.

Die Linux-Distributionen sollten in Kürze aktualisierte Pakete bereitstellen, sodass die Softwareverwaltung der eingesetzten Distribution die Updates ausliefern kann. [Link auf https://access.redhat.com/security/cve/cve-2025-49844]Redhat empfiehlt mangels aktualisiertem Paket derzeit beispielsweise, den Zugriff auf den Server auf vertrauenswürdige Maschinen zu beschränken. Etwa auf der Pwn2Own-Veranstaltung in Berlin hatten die IT-Sicherheitsforscher Sicherheitslücken in Redis ausgemacht und vorgeführt.

(dmk)