Connect with us

Datenschutz & Sicherheit

Digitale Souveränität: Wie die Entzauberung eines Mythos gelingt


Für sie ist digitale Souveränität das Thema der re:publica 2026, sagte Astrid Maier, stellvertretende Chefredakteurin der Nachrichtenagentur dpa. Auf der Digitalkonferenz moderierte sie am Mittwoch eine Podiumsdiskussion dazu, wie deutsche Medienhäuser Software großer US-Konzerne einsetzen.

Maiers Eindruck verwundert wenig angesichts der Fülle an Talks, Podiumsdiskussionen und Workshops zu diesem Schlagwort – ganz gleich, ob es um sogenannte Künstliche Intelligenz, Cloud-Speicher, Rechenzentren oder Bezahlsysteme ging.

Allerdings verstanden die beteiligten Panel-Teilnehmer:innen unter digitaler Souveränität durchaus Unterschiedliches. Über Grundrechte sprach etwa re:publica-Mitgründer Markus Beckedahl. Thomas Jarzombek, Staatssekretär im Bundesdigitalministerium, will hingegen die europäische KI-Start-up-Szene stärken. Und auf dem Panel „Cut me loose: Wie der EU der digitale Befreiungsschlag gelingt“ plädierte die EU-Abgeordnete Alexandra Geese (Grüne) gemeinsam mit nextcloud-CEO Frank Karlitschek dafür, Open-Source bei IT-Unternehmen aus der EU einzukaufen. Ihr Gegenüber Axel Voss (CDU) sprach sich derweil für möglichst rasche Deregulierung aus.

Versäumte Fragen

Das breite Spektrum an Meinungen zum Thema lasse sich unter anderem damit erklären, dass die Debattierenden unterschiedliche oder sogar gegenläufige Verständnisse des Begriffs haben, lautet die Beobachtung von Julia Pohle und Marielle-Sophie Düh vom Wissenschaftszentrum Berlin für Sozialforschung (WZB). Aus ihrer Sicht versäumen wir es, in der Debatte zunächst drei Fragen zu stellen: Für wen soll digitale Souveränität erreicht werden? Von wem? Und zu welchem Ziel?

In ihrem Talk „Digitale Souveränität: Das Bullshit Bingo“ erklärten die beiden Politikwissenschaftlicherinnen, welche Mythen die Debatte hemmen. So sei das zugrundeliegende Konzept, auch wenn der aktuelle Hype etwas anderes suggeriere, keineswegs neu. Spätestens der Bericht „Die Informatisierung der Gesellschaft“ der hochrangigen französischen Beamten Simon Nora und Alain Minc habe 1978 den Startschuss für die Debatte gegeben.

Darin richteten Nora und Minc vor knapp 50 Jahren einen dringlichen Appell an den französischen Präsidenten: „Es ist eine Frage der Souveränität. Der Kampf gegen die Übermacht der amerikanischen Industrie im Bereich der Computer-Technologie ist bereits verloren.“

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Kein primär demokratisches Konzept

Auch den Mythos, dass „digitale Souveränität“ ein europäisches oder primär demokratisches Konzept sei, entzaubern Düh und Pohle.

Denn auch Länder in anderen Teilen der Welt streben nach digitaler Souveränität. So zielten etwa der IndiaStack in Indien oder die Initiative African Digital Compact der Afrikanischen Union darauf ab, ihre Wirtschaften mittels digitaler Technologien zu fördern.

Zugleich nutzen autokratische Länder das Konzept, um staatliche Kontrolle zu stärken. So hievte Russland das „souveräne Internet“ bereits im Jahr 2012 auf die staatliche Agenda; China tat Ähnliches schon 1994.

Damals schrieb das Informationsbüro des Staatsrats der Volksrepublik: „Das Internet ist eine Frage des wirtschaftlichen Wohlstands und Entwicklung, der staatlichen Sicherheit und gesellschaftlichen Stabilität, der staatlichen Souveränität.“ Der Staat müsse demnach im Netz die Hoheit haben und Regeln setzen. Das zentrale Ziel lautete: Informationskontrolle.

Um wen geht’s?

Dass der Begriff in der europäischen Debatte zugleich vielfältig genutzt wird, verdankt sich laut Pohle und Düh den drei Dimensionen, die er umfasst: Nutzer:innen, Staat und Wirtschaft.

Auf EU-Ebene stehe „digitale Souveränität“ quasi für eine allumfassende Heilsstrategie, die etwa die Kommission gerne ins Zentrum europäischer Digitalpolitik stellen würde, so Pohle. Doch das gebe der Begriff nicht her, da mit ihm unterschiedliche Ziele verknüpft seien, wie etwa der Schutz von Nutzerrechten, die Sicherheit von Infrastrukturen, die Unabhängigkeit der öffentlichen Verwaltung sowie – nicht zuletzt – die Wettbewerbs- und Innovationsfähigkeit.

Der Schutz demokratischer Öffentlichkeiten habe im europäischen Diskurs lange Zeit im Vordergrund gestanden, sagte Pohle, die bereits seit 15 Jahren zum Thema forscht. Inzwischen dominiere aber die wirtschaftliche Dimension die Debatte.

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Dass die einzelnen Stakeholder jeweils einen anderen Fokus haben, mache es schwer, das Konzept umzusetzen. „Wenn unklar ist, wie diese Dimensionen ineinander spielen und welche Ziele angestrebt werden sollen, ist auch unklar, was für Maßnahmen es braucht, um die zu erreichen“, so Pohle.

Mehr Rechenzentren sorgen nicht für mehr Datensouveränität

Diese Unklarheit erkläre wohl auch, warum insbesondere vermeintlich souveräne Cloud-Produkte von Amazon, Google und Microsoft derzeit stark nachgefragt seien.

Deren Versprechen seien jedoch überaus zweifelhaft, sagt Düh. Wenn eigene Rechenzentren tatsächlich zu digitaler Souveränität führen würden, müsste Deutschland bereits Cloud-Souveränität erreicht haben. Die Bundesrepublik ist nach den USA das Land mit den meisten Rechenzentren weltweit und rangiert damit noch vor China. Gleichzeitig aber seien „wir zu 80 Prozent von den US-amerikanischen Cloud-Anbietern abhängig“.

Allerdings sei das Versprechen der Tech-Konzerne aus den USA, wonach die in der EU gehosteten Daten sicher seien, hohl. Denn der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, verpflichtet sie unter bestimmten Bedingungen dazu, Daten gegenüber US-Behörden offenzulegen – auch wenn sich diese außerhalb der Vereinigten Staaten befinden.

Klar sagen, worum es geht

Wenn wir in der Debatte um digitale Souveränität weiterkommen wollen, so Pohles und Dühs Fazit, müssen wir auf den Begriff möglichst verzichten. Stattdessen sollten wir klar benennen, um was es uns konkret geht – um Wettbewerbsfähigkeit, um öffentliche Beschaffung, um Grundrechte, um Sicherheitspolitik.

Andernfalls laufen alle Beteiligten an der Debatte Gefahr, Forderungen stark zu machen, hinter denen sie eigentlich nicht stehen. Und das dürfte weder in unserem Interesse liegen noch einer konstruktiven Debatte zuträglich sein.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Gelöscht und doch nicht weg: Signal speichert Nachrichten länger als erwartet


Der verschlüsselte Messenger Signal nimmt es mit dem Entfernen gelöschter Nachrichten nicht so genau wie erwartet, hat der Sicherheitsforscher Harry Sintonen herausgefunden. Er meldete das Problem an die zuständigen Ansprechpartner und erhielt ein halbes Jahr lang keine Rückmeldung. Nun geht er an die Öffentlichkeit.

Weiterlesen nach der Anzeige

Die Signal-App nutzt eine verschlüsselte SQLite-Datenbank zur Speicherung aller Nachrichten. Die speichert Transaktionen, also auch geplante Löschungen, in einem sogenannten Write-Ahead Log zwischen, das zu bestimmten Gelegenheiten abgearbeitet wird. Löscht ein Nutzer eine Nachricht in der Signal-App (oder nutzt deren „verschwindende Nachrichten“), wird der entsprechende Datenbankeintrag aus der App ausgeblendet und im Write-Ahead Log zur Löschung markiert. Bis diese Löschung ausgeführt wird und somit die Nachricht vom Gerät verschwindet, können nach Sintonens Aussage Tage, bei wenig genutzten Signal-Instanzen gar Wochen vergehen.

Die verschlüsselte SQLite-Datenbank ist eine simple Datei. Sichert der Nutzer die Daten seiner Signal-App regelmäßig, etwa über die stündliche Sicherung bei Apples Time Machine, so können es Datenbankdateien mit eigentlich gelöschten Nachrichten in ein Backup schaffen und dort auf unbestimmte Zeit verweilen. Zumindest liegen sie dort nicht im Klartext: Die SQLcipher-Datenbank der Signal-App ist verschlüsselt. Ein Angreifer, der Nachrichten lesen möchte, müsste diese Verschlüsselung knacken oder die Schlüssel beim Nutzer abziehen. Das ist etwa über einen Infostealer denkbar, denn Signal bietet Desktop-Apps für Linux, Windows und macOS an.

Risiko meist nicht sehr hoch

Für Nutzer, die Signal recht intensiv verwenden, ist das Risiko gering, dass gelöschte Nachrichten lange auf dem Gerät verweilen. Denn das Write Ahead Log wird nach Erreichen einer bestimmten Größe abgearbeitet und geleert. Wer sicher gehen will, dass die gelöschte Nachricht sofort weg ist, startet einfach die App neu – auch das arbeitet das Write Ahead Log ab.

Mögliche Angriffe und Datenlecks dürften sich auf die offeneren Desktop-Betriebssysteme beschränken – deren Nutzer sollten sichergehen, dass sensible Nachrichten nicht versehentlich in einem Time-Machine-Backup landen. Wer ganz auf Nummer Sicher geht, verbannt die Signal-App vom Schreibtischrechner und nutzt sie nur auf dem Smartphone.

Signal-Team ignoriert Forscher

Weiterlesen nach der Anzeige

Der Veröffentlichung ging eine halbjährige Wartezeit voraus. Bereits im November 2025 wandte sich Sintonen an Signals Sicherheitsteam, erhielt aber keine Antwort. Auch Kontaktversuche im April blieben ohne Erfolg. Nachdem Signal 180 Tage lang untätig geblieben war, entschied der Sicherheitsforscher sich, die Lücke in einem Advisory zu veröffentlichen. Es enthält auch einen „Proof of Concept“, mit dem man das Problem selbst nachvollziehen kann. Putziges Detail: Die Beispielnachricht „KENSENTME“ dürfte Liebhabern der Sierra-Grafikadventures der Achtziger bekannt vorkommen.


ken sent me

ken sent me

Als Leisure Suit Larry im Jahr 1987 das Passwort „Ken sent me“ nutzte, um ins Kneipen-Hinterzimmer zu kommen, war von verschlüsselten Messengern noch keine Rede.

Der Messenger Signal ist derzeit Ziel großangelegter Phishing-Kampagnen, denen unter anderem Bundespolitiker zum Opfer fielen. Die „Signal-Affäre“ wurde jedoch nicht durch Sicherheitslücken in der App, sondern geschickten Betrug an den Opfern ausgelöst. Signal kümmert sich nun um Gegenmaßnahmen.


(cku)



Source link

Weiterlesen

Datenschutz & Sicherheit

AI Forensics vs. X: „We can have retaliation against us“



AI Forensics vs. X: „We can have retaliation against us“

When it comes to enforcing the EU’s digital regulation against social media platforms like X, the Commission and national authorities are not alone in collecting the necessary evidence. In many cases, they rely on the work that is done by outside actors, such as AI Forensics.

The non-profit organisation analyses and investigates the algorithms that shape the information landscape. Based in Paris, they consider themselves an European organisation, with people working from all across the continent.

In an interview with netzpolitik.org, Marc Faddoul, the founder and director of AI Forensics, reflects on the organisation’s experience of working with regulators and points out how the conditions could be improved: by providing flexible funding and legal protection.

Contribution behind the scenes

netzpolitik.org: We often ask whether the European Commission or the national authorities have enough staff to enforce the Digital Services Act (DSA), but no one ever really mentions contributors like you. I suppose it’s partly because you’re not allowed to talk about all your contributions…

Marc Faddoul: In a way I’m sometimes shocked myself. About the role we are given to play in those big scale politics, about how much falls onto civil society.

I am not even sure it is really a matter of number of people; it’s more about the specific expertise that is needed to do this job. That is not necessarily the profile that is drawn towards the institutions.

And also the methods: We often have to deploy unconventional and adversarial methods to do the work that we do, that is not what the institutions are best at doing.

netzpolitik.org: So, let’s start at the beginning. What is it that you do?

Marc Faddoul: We’ve done a lot of work on social media recommender systems, because they were, and are still to a large extent, the most influential algorithmic system in shaping the information we consume. We are working increasingly on chatbots, since they are becoming the new gatekeepers of online content.

Our audience is the general public, usually through journalists. And we do a more targeted dissemination to regulators and policymakers to inform policymaking processes and especially to enforce existing regulation.

Our reports are always data driven. We collect data, including on systems for which there are no official data access mechanisms. We do so by using what we call “adversarial methods” which allow us to basically scrape publicly available content directly from those services and therefore analyse how they behave in different conditions and for different users.

netzpolitik.org: You mentioned the enforcement of laws. Besides the DSA, are there any other laws that are also quite important, or is that really the most important one right now?

Marc Faddoul: It’s definitely the most important one.

Firstly, because it is at the European level. When you’re facing those huge tech giants, you need a strong enough market power to be able to impose your rules.

Secondly, it encapsulates a lot of things through this notion of systemic risks: electoral integrity, a risk to mental health, technology-facilitated gender-based violence. There’s a whole range of risks that are captured in this article, which makes it one of the more flexible legal frameworks to date.

But it’s not only the DSA we work on. Recently we have done this study exposing the dissemination of non-consensual intimate images and the production of CSAM content by Grok. For both of these there are a lot of other legal frameworks for which this is relevant, both in Europe and worldwide. On those cases we are also working with other regulators, including Australia, the UK and California.

netzpolitik.org: And how exactly do you work with regulators? Do you bring something to their attention, or do you get tasks from them?

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Marc Faddoul: In many cases we do our own investigations and then we bring them to the attention of the regulators. So that’s really our own initiative.

In other cases, regulators can come to us with specific requests. That can be paid or contracted, but not always.

Sometimes the work is unpaid

netzpolitik.org: And when it’s not paid, why do you still do it?

Marc Faddoul: When it’s unpaid, we still do it because it’s aligned with the mission of our organization to hold platforms to account to the user and to the law.

But obviously there are limits to how much we can do under these modalities, so it cannot be systematic. There is clearly a lack of funding mechanisms available from institutions to support the ecosystem. In some respects, there are new mechanisms arising, but it’s still quite limited.

netzpolitik.org: Who decides about the funding and how should it be improved in your opinion?

Marc Faddoul: At the European level now is an important moment because of the ongoing negotiations around the EU’s multi-annual budget. I think this is a big opportunity to push for more flexible funding.

One of the big pain points right now is that a lot of the funding is available through Horizon calls, which are typically three-year projects that have to be done in a large consortium of ten organizations or more.

It is quite inflexible because you cannot anticipate three years in advance what will be most relevant to do.

For example, the age verification mechanism has become a big priority. That was not the case two years ago. It is a change in the political agenda that gives it a stronger priority.

netzpolitik.org: Ok, let’s go over how the political agenda affects your work. In Brussels, it is said that people in the top political sphere are the ones taking some important decisions around the DSA cases, and that it’s not a purely technical enforcement.

Marc Faddoul: The fact that this is being constantly weighed on a geopolitical scale, is both frustrating for people who are involved in building this case, but also, most importantly, incoherent with the statements by those political leaders who say that respecting European laws is not something that is negotiable and that they will be enforced strictly.

Also, it is sending a wrong signal to those platforms and to adverse politicians that indeed they can put pressure to block those decisions.

And then you have a second component which is: What are you enforcing? What are the priorities?

There’s a lot of room for interpretation because the DSA is big. It’s being rolled out and not everything is being implemented with the same speed and with the same priority.

Political climate influences enforcement

netzpolitik.org: What is being prioritised?

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Marc Faddoul: Some topics that have consensus across the political spectrum and also transatlantic consensus include the dissemination of non-consensual intimate images. Even Melania Trump, for example, was quite involved in advocating for this specific issue. Other examples of topics with broad consensus include CSAM content and age verification. Still, those political dynamics define where we are putting the pressure on.

On the other hand, climate change disinformation is now being pushed towards the bottom of the list.

netzpolitik.org: How would you rate the transparency of how the DSA is being enforced?

Marc Faddoul: I can tell you one thing: in the cases we’re involved in, where we provided evidence, we have no idea about their content or when they’re going to come out. We only know it’s been received.

And even then, we can be exposed by the results of those investigations.

This happened with the X investigation. The fine was sent out, then the Department of Justice in the U.S. leaked the whole investigative file with our names in it, unredacted.

So, this is a real consequence for us. We can have retaliation against us, especially when Elon Musk tweets very aggressively against the fine, how it’s censoring US free speech, which is obviously complete nonsense.

But, still, in reality, we can be harassed and attacked in response, but we had no control over the fact that our name was captured in those files, over the fact that it was released, and over the fact that we are not even really informed about the timetable.

This is not directly the Commission’s fault. They had to give the file to Twitter. Then the Department of Justice requested the file from Twitter. And then they leaked it.

We are a pivotal actor in building this case, but we have no control, and even no information on what happens next.

netzpolitik.org: You can not only be harassed via tweets or comments, but there could also be legal consequences, right? Do you have any sort of protection for that or does that all lie on you?

Marc Faddoul: All on us. The Commission doesn’t help us with that in any way.

Here, we have a clear policy request: the creation of a much better safe harbour for people who do public interest research, like we do.

netzpolitik.org: So, the main things that you would need are better funding, legal protection, also transparency, something else?

Marc Faddoul: Well, in fact, I think for our protection it is good that we don’t have the details of the cases. I wouldn’t make it a request.

The funding, absolutely. It should be more flexible, shorter term, not only through large consortiums.

And on the protection, yes, absolutely. A safe harbour for public interest research and also institutional support when we get attacked by foreign actors for the work that we do in supporting enforcement of democratic regulation.



Source link

Weiterlesen

Datenschutz & Sicherheit

Notepad++: Update bessert Schwachstelle im Installer aus


Notepad++ schließt in der neuen Version 8.9.6 eine Sicherheitslücke im Installer. Die Risikobewertung ist noch nicht eindeutig, ein aufgeführter CVE-Eintrag noch nicht veröffentlicht.

Weiterlesen nach der Anzeige

In der Versionsankündigung schreibt der Notepad++-Entwickler Don Ho, dass die Schwachstelle Version 8.9.4 und 8.9.5 von Notepad++ betreffe, in der letzteren Fassung jedoch einige Installer-bezogene Regressionen bereits ausgebessert wurden. Es handelt sich um die Lücke mit dem CVE-Eintrag CVE-2026-46710, der bislang jedoch noch nicht veröffentlicht wurde. Das CERT-Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt zur Einschätzung, dass der Schweregrad gemäß CVSS 7.3 erreicht, also als Risiko „hoch“ eingestuft wird.

Gemäß alter Programmiererdoktrin ist daher derzeit der Code die Dokumentation. Im zugehörigen Commit zur Schwachstelle schreibt Ho, dass der Dateipfad nun aus der Registry bezogen anstatt hartkodiert wird. Das bezieht sich auf den Aufruf von „powershell“, die jedoch zuvor ohne jedweden Pfad aufgerufen wurde. Das legt zumindest die Vermutung nahe, dass ein Angreifer eine bösartige Datei mit dem Namen „powershell.exe“ in den Windows-Suchpfad hätte legen können, der dann beim Start der Installation oder eines Updates ausgeführt wird.

Update manuell anwenden

Die aktualisierte Version findet sich auf der Notepad++-Download-Webseite. Der interne Update-Mechanismus meldet zum Meldungszeitpunkt bei Aufruf, dass es kein allgemein verfügbares Update nach v8.9.5 gebe. Auch der Aufruf von „winget upgrade –all“ an der Windows-Eingabeaufforderung fördert die aktualisierte Version des mächtigen Textwerkzeugs bislang noch nicht auf das Laufwerk. Wer sich also jetzt schon schützen möchte, muss selbst Hand anlegen und das Update herunterladen und installieren.

Ende vergangenen Jahres wurde eine Sicherheitslücke im Update-Mechanismus von Notepad++ von staatlichen Akteuren missbraucht. Sie haben damit Malware auf Rechner der Opfer verfrachtet.


(dmk)



Source link

Weiterlesen

Beliebt