Vor elf Jahren hat der Europäische Gerichtshof die Vorratsdatenspeicherung gekippt. Seitdem gibt es keine EU-weite Vorratsdatenspeicherung. Jetzt arbeiten die EU-Institutionen an einem neuen Gesetz.

Die EU-Kommission hat bis Juni eine Sondierung und bis September eine Konsultation durchgeführt. Es wird erwartet, dass die Kommission Anfang 2026 ein neues Gesetz vorschlägt.

Standortdaten und Over-the-Top

Die EU-Staaten machen ebenfalls Druck. Die dänische Ratspräsidentschaft hat vor kurzem eine Fragebogen verschickt. Wir veröffentlichen das Dokument. Die Antworten sollen der EU-Kommission beim Schreiben des Gesetzentwurfs helfen.

Die Fragen weisen weit über die in Deutschland diskutierte Vorratsdatenspeicherung von IP-Adressen bei Internet-Zugangs-Anbietern hinaus. Dänemark fragt, ob die EU auch Dienste-Anbieter wie „Over-the-Top“-Dienste verpflichten soll – also etwa Messenger, Videos und Spiele. Dänemark fragt auch nach Verkehrsdaten und Standortdaten – diese sind hochsensibel.

Darüber hinaus fragt Dänemark die EU-Staaten auch nach anlassbezogener Speicherung mit Quick Freeze, Speicher-Dauer, Zugangsregeln und Straftaten, für die Vorratsdaten genutzt werden sollen.

Messenger und Verschlüsselung

Die Vorratsdatenspeicherung ist nur ein Baustein im größeren Wunsch nach „Zugang zu Daten für eine wirksame Strafverfolgung“. Zu diesem Thema hatte eine einseitige Arbeitsgruppe getagt und Forderungen erstellt. Das Generalsekretariat des Rates hat jetzt einen aktuellen Stand verschickt. Wir veröffentlichen auch dieses Dokument.

Die Sicherheitsbehörden wünschen sich den Zugang zu verschiedenen Daten. An erster Stelle steht auch hier die Vorratsdatenspeicherung von Verbindungsdaten. Daneben wünschen sie eine Kommunikationsüberwachung auch bei „Messaging-Apps wie WhatsApp, Facebook Messenger und WeChat“. Und schließlich fordern sie den Zugang zu verschlüsselten Inhalten, auch bei „Ende-zu-Ende-Verschlüsselung“.

Die dänische Ratspräsidentschaft ruft die EU-Staaten dazu auf, ihre Forderungen in diese Debatte einzubringen.

Ausweis für Mobilfunk

Die EU-Staaten diskutieren außerdem den Ausweis-Zwang für Mobilfunk-Anschlüsse. Noch 2013 sagte die EU-Kommission, dass „es keine Beweise für die Wirksamkeit dieser Maßnahme für die Strafverfolgung gibt“. Das Bundesamt für Sicherheit in der Informationstechnik hat die „Verwendung von Prepaid-Karten zur Anonymisierung“ sogar empfohlen.

Trotzdem hat unter anderem Deutschland 2016 anonyme Prepaid-Karten verboten. Behörden fragen diese Daten jede Sekunde ab.

Staaten wie Polen wünschen sich EU-weite Vorschriften zur Registrierung von SIM-Karten. Anfang des Jahres hat die polnische Polizei einen Vortrag dazu gehalten. Wir veröffentlichen die Präsentation.

Dafür haben sie die Regeln von 37 europäischen Staaten untersucht. 16 Staaten haben eine Registrierungspflicht, darunter Deutschland und Italien. 13 Staaten haben keine Registrierungspflicht, darunter Großbritannien und die Niederlande. Für acht Staaten hat Polen keine Daten gefunden.

Polen schließt daraus, dass es eine EU-weite Registrierungspflicht braucht. Bekämpfen wollen sie damit unter anderem falsche Bomben-Drohungen und Betrug an älteren Menschen. Es ist möglich, dass ein neues EU-Gesetz zur Vorratsdatenspeicherung auch diese Speicherpflicht enthält.

Die US-Polizeibehörde ICE will künftig auch in Sozialen Medien nach Menschen suchen, die sie abschieben kann. Das geht aus einer Suche der US-Regierung nach entsprechender Monitoring-Software hervor. Das neue Programm, über das zuerst das US-Medium WIRED berichtete, soll unterschiedliche Informationsquellen wie etwa Social-Media-Plattformen auswerten.

Die umstrittene Behörde, mit vollem Namen Immigration and Customs Enforcement (ICE), untersteht dem US-Heimatschutzministerium. Sie ist für Grenzschutz, Zollkontrollen und Migration zuständig und setzt den rücksichtslosen Abschiebekurs von US-Präsident Donald Trump um. Anfang Oktober veröffentlichte sie auf einer Regierungswebsite eine sogenannte Request for Information (RFI). Das Dokument ist noch keine Ausschreibung für mögliche Auftragnehmer, sondern dient zunächst der Bestandsaufnahme möglicher Dienstleister und Produkte.

In der RFI werden Soziale Medien ausdrücklich als mögliche Quelle für die zu sammelnden Daten genannt. Die Software soll diese dann mit Daten aus anderen Quellen wie etwa Regierungsdatenbanken zusammenführen und auswerten. So will die Behörde Anhaltspunkte zum Aufenthaltsort von Menschen ohne Aufenthaltsgenehmigung generieren. Unter diese Anhaltspunkte fallen Adressen, Fortbewegungsmittel, Arbeitsplatz, Familie, Freunde, Arbeitskollegen, Änderungen von Telefonnummern, Usernames, Sozialversicherungsnummer und mehr.

Massiver Ausbau

Die Migrationsbehörde steht bereits seit geraumer Zeit in der Kritik, da Beamte bei Einsätzen teils nicht zu identifizieren sind und demokratische Kontrollinstanzen ausgeschaltet werden. US-Präsident Donald Trump baut die Kapazitäten der Behörde immer weiter aus. Erst in diesem Sommer wurde ihr Etat von acht auf 28 Milliarden Dollar erhöht, das Dreifache des FBI-Budgets.

Auch technisch rüstet Trumps Abschiebebehörde massiv auf. Im April gab ICE rund 30 Millionen US-Dollar für eine neue Software von Palantir aus. Das umstrittene Big-Data-Unternehmen soll ICE mit einem System namens „ImmigrationOS“ ausstatten, das Visa-Überzüge trackt und dabei helfen soll, die Abschiebungen von „gewalttätigen Kriminellen“ zu priorisieren.

Vollkommen unklar ist dabei, anhand welcher Kriterien ImmigrationOS gewalttätige Kriminelle erkennen will, kritisiert etwa der American Immigration Counsel. Gleiches gilt auch für geplante Software zum Durchforsten der Sozialen Medien.

Eine Sicherheitslücke im Dolby Digital Plus Unified Decoder machte Android, iOS, macOS und Windows anfällig für Angriffe. Sie ermöglichte etwa Zero-Click-Attacken auf Android-Geräte. Aktualisierungen zum Stopfen des Sicherheitslecks stehen bereits zur Verfügung.

Darüber berichtet Googles Project Zero in einem Bug-Eintrag. Aufgrund eines Integer-Überlaufs bei der Verarbeitung von Daten durch den DDPlus Unified Decoder können Schreibzugriffe in einen Heap-artigen Puffer über die vorgesehenen Speichergrenzen hinaus erfolgen. Dadurch lassen sich Strukturen wie Zeiger überschreiben. „Unter Android führt dies zu einer Zero-Click-Schwachstelle, da Android lokal alle Audio-Nachrichten und -Anhänge zur Transkription dekodiert, mit diesem Decoder, und das ohne, dass Nutzer mit dem Gerät interagieren“, erklären die Programmierer dort.

Zero-Click-Code-Ausführung auf Android-Handy

Sie haben Beispieldateien erstellt, die die Lücke demonstrieren und einen Absturz anfälliger Geräte auslösen. Getestet haben die IT-Forscher Googles Pixel 9 sowie Samsungs S24, die mit einem SIGSEGV (Segmentation Fault) abstürzten. MacBook Air M1 mit macOS 26.0.1 und iOS 26.0.1 auf einem iPhone 17 Pro stürzten hingegen mit einer „-bounds-safety trap“ ab, also Sicherheitsmechanismen in der verwendeten Programmierumgebung. Die IT-Sicherheitsspezialisten haben eingeschleusten Code durch diese Schwachstelle auf Googles Pixel 9 mit Android 16 und Firmware BP2A.250605.031.A2 ausführen können.

Die Schwachstelle gilt dem Bug-Eintrag zufolge als gefixt. Microsoft hat sie vergangene Woche mit den Oktober-Sicherheitsupdates für diverse Windows-Versionen ausgebessert(CVE-2025-54957, CVSS 7.0, Risiko „hoch„). Für ChromeOS hat Google dafür Mitte September eine Betriebssystemaktualisierung verteilt.

Dolby hat eine eigene Sicherheitsmitteilung veröffentlicht, in der das Unternehmen das Sicherheitsrisiko mit einem CVSS-Wert von 6.7 lediglich als „mittel“ einstuft. Betroffen sind demnach die Softwareversionen UDC v4.5 bis v4.13. Der Hersteller fordert Anbieter auf, deren Geräte Dolby Digital Plus einsetzen, ihren Dolby-Repräsentanten zu kontaktieren, um die jüngsten Dolby-Digital-Plus-Dateien zu erhalten. Endkunden sollten sicherstellen, dass ihre Geräte auf dem aktuellen Stand sind.

Zuletzt gab es etwa Ende August in WhatsApp eine Zero-Click-Lücke, die iOS- und macOS-Geräte ohne Nutzerbestätigung verwundbar machte.

(dmk)