Datenschutz & Sicherheit
Digitale Souveränität: Wie die Entzauberung eines Mythos gelingt
Für sie ist digitale Souveränität das Thema der re:publica 2026, sagte Astrid Maier, stellvertretende Chefredakteurin der Nachrichtenagentur dpa. Auf der Digitalkonferenz moderierte sie am Mittwoch eine Podiumsdiskussion dazu, wie deutsche Medienhäuser Software großer US-Konzerne einsetzen.
Maiers Eindruck verwundert wenig angesichts der Fülle an Talks, Podiumsdiskussionen und Workshops zu diesem Schlagwort – ganz gleich, ob es um sogenannte Künstliche Intelligenz, Cloud-Speicher, Rechenzentren oder Bezahlsysteme ging.
Allerdings verstanden die beteiligten Panel-Teilnehmer:innen unter digitaler Souveränität durchaus Unterschiedliches. Über Grundrechte sprach etwa re:publica-Mitgründer Markus Beckedahl. Thomas Jarzombek, Staatssekretär im Bundesdigitalministerium, will hingegen die europäische KI-Start-up-Szene stärken. Und auf dem Panel „Cut me loose: Wie der EU der digitale Befreiungsschlag gelingt“ plädierte die EU-Abgeordnete Alexandra Geese (Grüne) gemeinsam mit nextcloud-CEO Frank Karlitschek dafür, Open-Source bei IT-Unternehmen aus der EU einzukaufen. Ihr Gegenüber Axel Voss (CDU) sprach sich derweil für möglichst rasche Deregulierung aus.
Versäumte Fragen
Das breite Spektrum an Meinungen zum Thema lasse sich unter anderem damit erklären, dass die Debattierenden unterschiedliche oder sogar gegenläufige Verständnisse des Begriffs haben, lautet die Beobachtung von Julia Pohle und Marielle-Sophie Düh vom Wissenschaftszentrum Berlin für Sozialforschung (WZB). Aus ihrer Sicht versäumen wir es, in der Debatte zunächst drei Fragen zu stellen: Für wen soll digitale Souveränität erreicht werden? Von wem? Und zu welchem Ziel?
In ihrem Talk „Digitale Souveränität: Das Bullshit Bingo“ erklärten die beiden Politikwissenschaftlicherinnen, welche Mythen die Debatte hemmen. So sei das zugrundeliegende Konzept, auch wenn der aktuelle Hype etwas anderes suggeriere, keineswegs neu. Spätestens der Bericht „Die Informatisierung der Gesellschaft“ der hochrangigen französischen Beamten Simon Nora und Alain Minc habe 1978 den Startschuss für die Debatte gegeben.
Darin richteten Nora und Minc vor knapp 50 Jahren einen dringlichen Appell an den französischen Präsidenten: „Es ist eine Frage der Souveränität. Der Kampf gegen die Übermacht der amerikanischen Industrie im Bereich der Computer-Technologie ist bereits verloren.“
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Kein primär demokratisches Konzept
Auch den Mythos, dass „digitale Souveränität“ ein europäisches oder primär demokratisches Konzept sei, entzaubern Düh und Pohle.
Denn auch Länder in anderen Teilen der Welt streben nach digitaler Souveränität. So zielten etwa der IndiaStack in Indien oder die Initiative African Digital Compact der Afrikanischen Union darauf ab, ihre Wirtschaften mittels digitaler Technologien zu fördern.
Zugleich nutzen autokratische Länder das Konzept, um staatliche Kontrolle zu stärken. So hievte Russland das „souveräne Internet“ bereits im Jahr 2012 auf die staatliche Agenda; China tat Ähnliches schon 1994.
Damals schrieb das Informationsbüro des Staatsrats der Volksrepublik: „Das Internet ist eine Frage des wirtschaftlichen Wohlstands und Entwicklung, der staatlichen Sicherheit und gesellschaftlichen Stabilität, der staatlichen Souveränität.“ Der Staat müsse demnach im Netz die Hoheit haben und Regeln setzen. Das zentrale Ziel lautete: Informationskontrolle.
Um wen geht’s?
Dass der Begriff in der europäischen Debatte zugleich vielfältig genutzt wird, verdankt sich laut Pohle und Düh den drei Dimensionen, die er umfasst: Nutzer:innen, Staat und Wirtschaft.
Auf EU-Ebene stehe „digitale Souveränität“ quasi für eine allumfassende Heilsstrategie, die etwa die Kommission gerne ins Zentrum europäischer Digitalpolitik stellen würde, so Pohle. Doch das gebe der Begriff nicht her, da mit ihm unterschiedliche Ziele verknüpft seien, wie etwa der Schutz von Nutzerrechten, die Sicherheit von Infrastrukturen, die Unabhängigkeit der öffentlichen Verwaltung sowie – nicht zuletzt – die Wettbewerbs- und Innovationsfähigkeit.
Der Schutz demokratischer Öffentlichkeiten habe im europäischen Diskurs lange Zeit im Vordergrund gestanden, sagte Pohle, die bereits seit 15 Jahren zum Thema forscht. Inzwischen dominiere aber die wirtschaftliche Dimension die Debatte.
Wir sind ein spendenfinanziertes Medium.
Unterstütze auch Du unsere Arbeit mit einer Spende.
Dass die einzelnen Stakeholder jeweils einen anderen Fokus haben, mache es schwer, das Konzept umzusetzen. „Wenn unklar ist, wie diese Dimensionen ineinander spielen und welche Ziele angestrebt werden sollen, ist auch unklar, was für Maßnahmen es braucht, um die zu erreichen“, so Pohle.
Mehr Rechenzentren sorgen nicht für mehr Datensouveränität
Diese Unklarheit erkläre wohl auch, warum insbesondere vermeintlich souveräne Cloud-Produkte von Amazon, Google und Microsoft derzeit stark nachgefragt seien.
Deren Versprechen seien jedoch überaus zweifelhaft, sagt Düh. Wenn eigene Rechenzentren tatsächlich zu digitaler Souveränität führen würden, müsste Deutschland bereits Cloud-Souveränität erreicht haben. Die Bundesrepublik ist nach den USA das Land mit den meisten Rechenzentren weltweit und rangiert damit noch vor China. Gleichzeitig aber seien „wir zu 80 Prozent von den US-amerikanischen Cloud-Anbietern abhängig“.
Allerdings sei das Versprechen der Tech-Konzerne aus den USA, wonach die in der EU gehosteten Daten sicher seien, hohl. Denn der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, verpflichtet sie unter bestimmten Bedingungen dazu, Daten gegenüber US-Behörden offenzulegen – auch wenn sich diese außerhalb der Vereinigten Staaten befinden.
Klar sagen, worum es geht
Wenn wir in der Debatte um digitale Souveränität weiterkommen wollen, so Pohles und Dühs Fazit, müssen wir auf den Begriff möglichst verzichten. Stattdessen sollten wir klar benennen, um was es uns konkret geht – um Wettbewerbsfähigkeit, um öffentliche Beschaffung, um Grundrechte, um Sicherheitspolitik.
Andernfalls laufen alle Beteiligten an der Debatte Gefahr, Forderungen stark zu machen, hinter denen sie eigentlich nicht stehen. Und das dürfte weder in unserem Interesse liegen noch einer konstruktiven Debatte zuträglich sein.
Datenschutz & Sicherheit
Videoanalyse für die Bundespolizei: Bahnhofs-Kameras sollen Menschen und ihr Verhalten erkennen
Zahlreiche Bundesländer haben ihren Polizeien bereits Software-gestützte Echtzeit-Videoanalyse erlaubt, nun zieht die Bundesregierung nach. Die Bundespolizei soll künftig automatisiert die Bilder von Kameras prüfen. Software soll nach bestimmten Gesichtern suchen und identifizieren, wer gerade was tut. Die Bundespolizei könnte die Technologien an Bahnhöfen, aber auch an Häfen und Flughäfen einsetzen.
Ein Änderungsantrag zu einem der drei Sicherheitsgesetze, die gerade durch den Bundestag gedrängt werden, erweitert die geplanten KI-Überwachungsbefugnisse massiv. Bislang beinhalteten sie die Erlaubnis, im Internet nach bestimmten Gesichtern zu suchen und Datenanalysen nach Palantir-Art durchzuführen. Nun kommt noch die automatisierte Auswertung von Videobildern hinzu. Der Antrag wurde gestern eingereicht und wird am heutigen Mittwoch im Innenausschuss debattiert. Das entsprechend reformierte Bundespolizeigesetz soll bereits am Freitag im Bundestag verabschiedet werden.
Mit zwei verschiedenen Technologien soll die Bundespolizei künftig die Live-Streams von Videokameras untersuchen dürfen. Eine wird aktuell bereits in Frankfurt am Main getestet. Dabei werden die Gesichter aller Passant*innen vermessen und mit einer Liste von gesuchten Gesichtern abgeglichen. Stimmt ein Gesicht im videoüberwachten Areal mit einer gewissen Wahrscheinlichkeit mit einem gesuchten Gesicht überein, schlägt die Software Alarm.
Alles, was erlaubt ist
Die KI-Verordnung der EU setzt derartiger Live-Gesichtserkennung enge Grenzen. Sie darf nur in bestimmten Fällen angewendet werden. Die Bundespolizei soll beinahe alle diese Verbotslücken ausnutzen. Sie soll mit der Technologie nach Menschen suchen, die das Leben einer Person oder die Sicherheit der Bundesrepublik gefährden, nach Menschen, denen vorgeworfen wird, eine kriminelle Vereinigung gebildet zu haben, nach Menschen, die mutmaßlich Opfer von Entführung, Menschenhandel oder sexueller Ausbeutung sind oder vermissten Personen, die sich in Lebensgefahr befinden. Die Maßnahme muss richterlich angeordnet werden, Treffer müssen von zwei Polizist*innen geprüft werden. Mit der Begrenzung glaubt die Bundesregierung, sich noch innerhalb des Rahmens der KI-Verordnung zu bewegen.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Die andere Technologie, mit der die Bundespolizei Videostreams durchsuchen soll, prüft automatisiert, was die abgebildeten Menschen gerade tun. Derartige Software wird bereits in der Mannheimer und der Hamburger Innenstadt erprobt. Berlin bereitet den Einsatz vor. Sie ordnet menschliche Bewegungen in Kategorien ein wie: „Tanzen“, „Rennen“ oder „einander Umarmen“. Findet sie etwa Bewegungen, die auf einen Kampf hindeuten, weist sie die wachhabenden Beamt*innen auf die Situation hin. Auch die Wahrnehmung mutmaßlich hilfloser Menschen führt zu einer derartigen Alarmierung. Die Hilflosigkeit wird dann wohl mindestens bei liegenden Tätigkeiten angenommen. Kritiker*innen weisen darauf hin, dass dieser polizeiliche Fokus zu einer Diskriminierung von obdachlosen Menschen führt.
Außerdem soll die Software selbstständig Waffen detektieren und Personen, die einer Straftat verdächtig sind, automatisiert über mehrere Kameras hinweg verfolgen. Laut Gesetzesbegründung ist es auch möglich, Personen zu identifizieren, die sich ungewöhnlich lange in einem Bereich aufhalten. So sollen potenziell suizidale Menschen von der Umsetzung des Suizids abgehalten werden.
Laut dem Gesetzespaket dürfen die beiden Programme dann auch mit den Gesichtern und dem Verhalten von Bürger*innen trainiert werden. Nach zwei Jahren soll es eine Evaluierung der Befugnisse geben. Die wird „im Zusammenwirken mit“ einer wissenschaftlichen Einrichtung, also nicht unabhängig, erstellt.
Datenschutz & Sicherheit
Sicherheitsalbtraum Wechselrichter: Hoymiles lässt Nachbarschaften verstummen
Der Ausbau der dezentralen Energieerzeugung offenbart immer wieder Defizite bei der IT-Sicherheit marktführender Hardware. Im Fokus steht erneut die chinesische Firma Hoymiles, die nach eigenen Angaben rund 20 Prozent des europäischen Marktes für Mikrowechselrichter bedient. Diese sind in Balkonkraftwerken und kleineren Dachsolaranlagen verbaut. Der Sicherheitsforscher Benedikt Heinz alias Hunz hat zusammen mit dem Chaos Computer Club (CCC) weitreichende Sicherheitslücken aufgedeckt: Mit einfachen Mitteln aus der elektronischen Grabbelkiste und wenig Know-how ist es demnach möglich, Solaranlagen in der Nachbarschaft im Vorbeifahren zu manipulieren, abzuschalten oder dauerhaft unbrauchbar zu machen.
Weiterlesen nach der Anzeige
Das Problem liegt laut den Schwachstellenbeschreibungen in den Funkprotokollen, über die die Wechselrichter der HM- sowie der HMS- und HMT-Serien mit den zugehörigen Steuereinheiten kommunizieren. Der Austausch erfolgt unverschlüsselt über die Frequenzbänder 868 MHz und 2,4 GHz. Hobby-Bastler und Open-Source-Projekte wie OpenDTU oder AhoyDTU gingen bisher davon aus, dass Angriffe zumindest die Kenntnis der individuellen Seriennummer des Geräts voraussetzen. Doch Hunz entdeckte eine undokumentierte Funktion in der Firmware. Wird dieser Rundrufbefehl ausgesendet, antworten alle erreichbaren Hoymiles-Wechselrichter in der Umgebung und übermitteln ihre Seriennummer im Klartext per Funk.
Massenhafte Lokalisierung und Fernsteuerung
Bei experimentellen Tests reichte ein modifizierter, handlicher Scanner aus, um innerhalb von 20 Minuten zwei Dutzend fremde Wechselrichter samt ihrer eindeutigen Identifikationsnummern und Modell-IDs zu lokalisieren. Da die Reichweite der Funksignale mehrere hundert Meter betragen kann, ließe sich eine solche Angriffshardware sogar problemlos auf eine Drohne montieren, um ganze Wohngebiete systematisch zu erfassen.
Sobald ein Angreifer im Besitz der Seriennummern ist, steht ihm das ganze Spektrum der Gerätefernsteuerung offen. Da die Integrität der Datenpakete nur durch simple Prüfsummen geschützt wird, die sich bei Modifikationen mathematisch leicht neu berechnen lassen, existiert keine echte Authentifizierung.
Ein Angreifer kann die Wechselrichter nach Belieben ein- oder ausschalten und Leistungslimits manipulieren. Über den ungeschützten Funkbefehl zur Aktualisierung der Firmware lässt sich sogar Schadsoftware einschleusen. Der Forscher demonstrierte das anhand eines eigenen Test-Programms, das die Relais und LEDs des Wechselrichters in Dauerschleife schaltete. Werden gezielt sensible Netzparameter verändert oder die internen Speicherbereiche des Bootloaders gelöscht, drohen Brände, elektrische Unfälle oder die Zerstörung des Geräts. Das lässt sich danach nur noch durch Öffnen des Gehäuses reparieren.
Ignoranz der Behörden und CCC-Appell
Weiterlesen nach der Anzeige
Hersteller Hoymiles reagierte im Rahmen des Disclosure-Prozesses irritiert bis gar nicht und stellte bisher keinen Patch zur Verfügung. Auch staatliche Aufsichtsbehörden winkten ab: Mögliche plötzliche Leistungseinbrüche im Gigawatt-Bereich durch ein koordiniertes Abschalten von Solaranlagen könnten von den Netzbetreibern abgefangen werden. Der CCC warnt indes vor einem systemischen Risiko und einer Wild-West-Manier beim Ausbau des Internet of Things (IoT). IT-Sicherheit im Energiesektor dürfe nicht erst bei Großkraftwerken anfangen, sondern müsse auch im Vorgarten und auf dem Balkon gelten.
Die Hacker fordern verbindliche Mindeststandards und ein Verbot von Einspeisegeräten in der EU, die Firmware-Updates ohne kryptografische Authentifizierung via Funk akzeptieren. Bis echte Patches vorliegen, bleibt Betreibern als Notlösung nur, über die Original-Software ein Diebstahlschutzpasswort zu vergeben, die Abfrageintervalle in Open-Source-Tools drastisch zu erhöhen oder die Solarmodule physisch vom Wechselrichter zu trennen.
(cku)
Datenschutz & Sicherheit
Zimbra Collaboration Suite: Kritische Lücke macht Classic Web Client angreifbar
Die Zimbra-Entwickler haben im Zuge eines Patch Release Updates auf Version 10.1.19 der Zimbra Collaboration Suite (ZCS) auf ein mögliches Sicherheitsrisiko aufmerksam gemacht. Laut Patch Release Notes kann die zugrundeliegende Schwachstelle ausschließlich über die Komponente Classic Web Client missbraucht werden, wird in diesem Kontext allerdings als „kritisch“ bezeichnet.
Weiterlesen nach der Anzeige
Die betreffende, bislang nicht mit einer CVE-ID bezeichnete Lücke könnte demnach von Angreifern missbraucht werden, um speziell präparierte E-Mails zu verschicken. In ZCS-Versionen vor 10.1.19 könnte darin enthaltener, schädlicher Programmcode möglicherweise bereits beim Öffnen der betreffenden Mail zur Ausführung kommen.
Wie das Zimbra-Team etwas vage ausführt, könnten sich Angreifer auf diesem Wege unbefugten Zugriff auf Mailbox-, Session- oder Account-Informationen verschaffen. Wie aus den separat veröffentlichten Release-Notes zu 10.1.19 hervorgeht, handelt es sich technisch wohl um einen Stored-Cross-Site-Scripting-Angriff.
Weitere Update-Informationen
Admins tun auch dann gut daran, die ZCS auf den neuesten Stand zu bringen, wenn der Classic Web Client im Unternehmen nicht zum Einsatz kommt. Erst vor wenigen Monaten hat die US-Sicherheitsbehörde vor aktiven Angriffen auf die Collaboration Suite gewarnt. Auch damals hatten die Übeltäter eine Cross-Site-Scripting-Lücke im Visier. Im Hinblick auf den aktuellen Lückenfund bislang zwar keine Exploitversuche bekannt; dennoch ist es ratsam, zeitnah zu handeln.
Endanwender verwundbarer ZCS-Versionen sollten derweil auf die Nutzung des Classic Client verzichten und alternativ etwa auf den Modern Client umschwenken, bis das Update eingespielt wurde.
Upgrade-Anleitungen, je nach Ausgangsversion, sind den Release Notes zu entnehmen.
//Update 07.07.26, 14:52: Anriss und Text nach Leserfeedback angepasst (Update-Verantwortung liegt bei den Admins).
Weiterlesen nach der Anzeige
(ovw)
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Künstliche Intelligenzvor 3 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Apps & Mobile Entwicklungvor 3 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Künstliche Intelligenzvor 2 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
-
UX/UI & Webdesignvor 2 TagenRegional & mit Gefühl: Identity für Klimafonds Baden-Württemberg › PAGE online
