Liebe Leser:innen,

in den nächsten Tagen wird die Bundesregierung vermutlich beschließen, was ihre Position zur gefährlichen EU-Chatkontrolle ist. Derzeit sieht es so aus, als würde sie sich entgegen aller Stimmen der Vernunft und gegen die Grundrechte für diese neue Form der Massenüberwachung entscheiden. Damit würde der Weg frei zu einer Einigung auf die Chatkontrolle in der Sitzung des EU-Rats am 14. Oktober.

Doch noch ist es nicht zu spät, denn die Verhandlungen laufen in den Ministerien noch. Das Bündnis „Chatkontrolle stoppen“ ruft deswegen zum Protest per Anruf, Mail und Brief auf – um an den entscheidenden Stellen vielleicht doch noch etwas zu bewegen. Hier findet ihr die Anleitung des Bündnisses. Macht mit! Schreibt freundlich und bestimmt, was ihr von dem größten Überwachungsprojekt in der Geschichte der EU haltet.

Auf netzpolitik.org begleiten wir das Thema jetzt noch engmaschiger als sonst – ihr findet hier alle wichtigen Infos, Details und Updates.

Und verdammt nochmal. Ich bin so richtig sauer darüber, dass diese Bundesregierung so beratungsresistent ist.

Wenn dir Amnesty International, der CCC, Reporter ohne Grenzen, Juristenverbände, Wissenschaftler:innen aus der ganzen Welt ebenso wie Kinderschutzorganisationen, Fußballfans und UN-Beauftragte unisono zurufen „Macht das nicht! Das zerstört die private Kommunikation, das schadet der Pressefreiheit, das ist gefährlich für die Demokratie – und macht zu allem Überfluss noch die IT unsicher“, dann muss man doch aufhorchen. Das sind relevante Teile einer aufmerksamen, demokratischen Zivilgesellschaft, die da laut und deutlich warnen. Und zwar seit Jahren.

Wenn du dann aber mit deinem Überwachungstunnelblick einfach wegschaust, weil ja Überwachung immer gegen alles hilft und die autoritäre Schiene gerade angesagt ist, dann ist das einfach nur unverantwortlich, töricht und gegen eherne Verfassungsgrundsätze und die Menschenrechte gerichtet. Wie kann man nur sehenden Auges so eine gefährliche und unnötige Überwachungsinfrastruktur aufbauen wollen? Es ist nicht zu fassen.

Deswegen: Lasst uns versuchen, dieses Ding zu stoppen.

Viel Spaß beim Anrufen, Mails- und Briefeschreiben wünscht euch

Markus Reuter

In der Datenbank Redis haben die Entwickler mit einer aktualisierten Softwareversion vier Sicherheitslücken geschlossen. Eine davon erreicht mit einem CVSS-Wert von 10 die maximale Risikobewertung. IT-Verantwortliche sollten ihre Installationen umgehend auf den neuen Stand bringen.

In den Release-Notizen zur Version 8.2.2 nennt das Redis-Projekt die vier Schwachstellen. Angemeldete Nutzer können mit speziell präparierten LUA-Scripten den Garbage Collector manipulieren, eine Use-after-Free-Situation provozieren und so Schadcode aus dem Netz zur Ausführung bringen (CVE-2025-49844 / EUVD-2025-32326, CVSS 10, Risiko „kritisch„). Außerdem können solche LUA-Scripte einein Integer-Überlauf provozieren, was ebenfalls die Ausführung von aus dem Internet eingeschleustem Code erlaubt (CVE-2025-46817 / EUVD-2025-32363, CVSS 7.0, Risiko „hoch„).

Die weiteren Lücken sind weniger gravierend. Präparierte LUA-Skripte können außerhalb vorgesehener Speicherbereiche lesend zugreifen oder den Server zum Absturz bringen und so einen Denial of Service verursachen (CVE-2025-46819 / EUVD-2025-32327, CVSS 6.3, Risiko „mittel„). Außerdem können LUA-Skripte andere LUA-Objekte manipulieren und so ihren eigenen Code im Kontext anderer Nutzer ausführen (CVE-2025-46818 / EUVD-2025-32328, CVSS 6, Risiko „mittel„).

Fehlerkorrigierte Redis-Version installieren

Die IT-Sicherheitsforscher von Wiz haben zudem eine detaillierte Analyse der gravierendsten Lücken verfügbar gemacht. Da mindestens eine der Schwachstellen als kritisch gilt, sollten Admins umgehend ihre Redis-Instanzen auf den nun aktuellen Stand 8.2.2 oder neuer bringen. Die quelloffene Software steht in aktueller Fassung im Quelltext auf Github bereit.

Die Linux-Distributionen sollten in Kürze aktualisierte Pakete bereitstellen, sodass die Softwareverwaltung der eingesetzten Distribution die Updates ausliefern kann. [Link auf https://access.redhat.com/security/cve/cve-2025-49844]Redhat empfiehlt mangels aktualisiertem Paket derzeit beispielsweise, den Zugriff auf den Server auf vertrauenswürdige Maschinen zu beschränken. Etwa auf der Pwn2Own-Veranstaltung in Berlin hatten die IT-Sicherheitsforscher Sicherheitslücken in Redis ausgemacht und vorgeführt.

(dmk)

Dieser Text erschien zuerst bei D 64 und steht unter der Lizenz CC BY-SA 4.0. Wir haben den Text mit einem Statement von Google ergänzt.

Ohne Vorwarnung scheint Google seine Bibliothek politischer Werbeanzeigen in der Europäischen Union abgeschaltet zu haben. Über die Werbebibliothek konnte nachverfolgt werden, welche politischen Anzeigen seit 2018 über Googles Dienste geschaltet wurden. Damit war die von Google unterhaltene Website ein zentrales Instrument, um die Verbreitung und die Inhalte politischer Werbekampagnen untersuchen und verfolgen zu können. Während sich in der Sammlung politischer Anzeigen andere Regionen wie Brasilien, Israel oder Großbritannien auswählen, sind die 27 EU-Mitgliedstaaten nicht mehr verfügbar.

„Alle bisher im Report aufgeführten EU-Wahlwerbeanzeigen bleiben weiterhin im Google Ads Transparency Center öffentlich zugänglich – vorbehaltlich der geltenden Aufbewahrungsrichtlinien“, schreibt Google dazu auf eine Anfrage von netzpolitik.org. Der EU Political Ads Transparency Report werde jedoch nicht mehr verfügbar sein.

Bis vor wenigen Tagen konnten Nutzer:innen über Googles Werbearchiv nachverfolgen, welche politischen Anzeigen in ihrem Land geschaltet wurden. Bis 2018 konnte man nachvollziehen, welche Parteien auf welchen Plattformen Anzeigen geschaltet hatten; einzelne Anzeigen konnten über eine Stichwortsuche gefunden und angesehen werden. Auch die angesprochenen Zielgruppen und wie viel Geld für die Kampagnen ausgegeben wurde, wurden dargestellt.

Heute lassen sich die Anzeigen zwar finden, etwa wenn man nach Parteien sucht. Ihr politischer Charakter wir jedoch nicht direkt sichtbar. So wie beispielhaft bei einer Wahlwerbung der SPD für eine Bundestagskandidatin. Dort lautet das von Google vergebene Label: „Hobbys, Spiele und Freizeitaktivitäten“.

Obwohl die Werbebibliothek bei Weitem nicht perfekt war, bot sie zumindest Anhaltspunkte, um nachvollziehen zu können, wie politische Akteure versuchen, Diskurse rund um Wahlen und gesellschaftlich relevante Themen zu gestalten. Die Bibliothek war somit nicht nur eine Sammlung von Online-Werbung, sondern auch ein Archiv demokratischer Willensbildung.

Google hat eine wichtige Datenquelle zerstört

Mit dem kommentarlosen Abschalten des Archivs hat Google nicht nur eine signifikante Datenquelle für zivilgesellschaftliche und wissenschaftliche Analysen von politischen Kampagnen zerstört. Die Löschung der eigenen Werbebibliothek durch Google wird auch die Arbeit von Aufsichtsbehörden in den kommenden Monaten sehr viel herausfordernder machen.

Hintergrund scheint Googles Ankündigung zu sein, in der Europäischen Union keine politische Werbung mehr über seine Dienste ausspielen zu wollen. Als Grund wird die bald greifende EU-Verordnung zu Transparenz und Targeting bei politischer Werbung angegeben. Die im April 2024 in Kraft getretene und ab dem 10. Oktober 2025 geltende Verordnung verpflichtet Anbieter, die ausdrückliche Einwilligung von Datensubjekten einzuholen, bevor ihre Daten zum Targeting verwendet werden dürfen.

Angesichts der weitverbreiteten „Consent Fatigue“ und der Einsicht, dass die Hürde der Einwilligung nur einigen wenigen Privilegierten, die die nötigen Ressourcen und Zeit haben, sich mit Cookie-Bannern und Einwilligungs-Screens auseinanderzusetzen, Schutz vor der Verarbeitung persönlicher Daten bietet, ist es enttäuschend, dass die Verordnung in diesem Punkt zu kurz greift. Relevanter ist, dass das Targeting und Profiling auf Grundlage sensibler persönlicher Daten wie Name, Geschlecht oder Religionszugehörigkeit ausnahmslos verboten werden. Auch Personen, die das jeweilige Wahlalter noch nicht erreicht haben, dürfen keine personalisierten Anzeigen ausgespielt bekommen.

Die Besonderheit der Verordnung ist jedoch, dass sie erstmals definiert, was politische Werbung überhaupt ist. Dabei wird klargestellt, dass nicht nur Anzeigen von politischen Kandidat:innen oder Parteien unter die Definition fallen, sondern auch Werbeanzeigen, die politische Themen betreffen, sogenannte „issue ads“. Anzeigen zu gesellschaftlichen Themen wie Klimawandel, körperlicher Selbstbestimmung oder dem Krieg in Gaza fallen somit in die Kategorie der politischen Werbung.

Keine politischen Anzeigen mehr bei Google und Meta

Angesichts dieser (geringfügigen) Einschränkungen ihrer Geschäftsmodelle haben sowohl Google als auch Meta angekündigt, in Zukunft keine politischen Anzeigen mehr in der EU ausspielen zu wollen – zu groß seien die Beschränkungen der Targeting-Möglichkeiten, und zu aufwendig sei es, „issue ads“ zu identifizieren. Paradoxerweise bedeutet aber auch die Ankündigung der Konzerne, in Zukunft keine politische Werbung mehr ausspielen zu wollen, „issue ads“ identifizieren zu müssen. Nur so könnten sie aussortiert und blockiert werden, um nicht in den Anwendungsbereich der Verordnung über politische Werbung zu fallen.

Durch das Wegfallen des Archivs zu politischer Werbung wird es für die Zivilgesellschaft und die Aufsichtsbehörden jedoch schwieriger, zu überprüfen, welche Anzeigen der Konzern in der Vergangenheit als politische Werbung eingestuft hat und welche nicht mehr geschaltet werden. Google ist für die mangelhafte Umsetzung seiner eigenen Werberichtlinien bekannt und es ist nicht unwahrscheinlich, dass es vielen Akteuren auch weiterhin gelingen wird, politische Anzeigen über Google zu schalten. Gleichzeitig wird das durch Meta und Google beschlossene de-facto-Moratorium für politische Werbung in der EU es zivilgesellschaftlichen und oppositionellen Kräften in Zukunft sehr viel schwieriger machen, ihre Botschaften zu verbreiten.

Erschwerte Kontrolle

Wer also in Zukunft verstehen möchte, wie politische Werbung demokratische Diskurse in der EU beeinflusst, muss die Nadel im Heuhaufen von Googles allgemeiner Werbebibliothek suchen, zu deren Einführung der Digital Services Act verpflichtet hat. Diese Datenbank fällt vor allem durch ihre Begrenztheit auf; es fehlen stichhaltige Informationen über das Targeting von Nutzer:innen und die Budgets von Werbekampagnen. Durch das Löschen der eigenen Werbebibliothek für politische Anzeigen schafft Google die Fiktion, nie politische Werbung in der EU angeboten zu haben. Der Konzern baut so Transparenz ab, verhindert zivilgesellschaftliche und wissenschaftliche Forschung und erschwert es Aufsichtsbehörden, zu überprüfen, ob er gegen die Auflagen der Verordnung zu Transparenz und Targeting bei politischer Werbung verstößt.

Dieses Beispiel zeigt erneut, dass Transparenz und gesellschaftliche Verantwortung nicht den Launen von Konzernen überlassen werden dürfen. Die Assimilierung der US-Tech-Konzerne an die Werte der Trump-Regierung hat eindrucksvoll demonstriert, wie schnell sich solche Launen ändern können. Anstatt uns also mit halbgaren Transparenzinitiativen abspeisen zu lassen, müssen wir auf echte Veränderung setzen. Ein Verbot personalisierter Werbung, das Ende des Einwilligungs-Theaters und lückenlose Transparenz, die ihren Namen verdient. In der Zwischenzeit sollten wir damit rechnen, dass dies nicht die letzte Transparenzinitiative war, die eingestampft wurde.