Connect with us

Datenschutz & Sicherheit

EU-Kommission stellt Netzneutralität zur Debatte


Es ist ein kurzer, unscheinbarer Nebensatz in einer laufenden EU-Konsultation. Angeblich gebe es „mangelnde Rechtsklarheit der Vorschriften für das offene Internet in Bezug auf die regulatorische Behandlung innovativer Dienste“, schreibt die EU-Kommission etwas sperrig.

Einfacher ausgedrückt: Netzneutralität nervt und bremst Innovation aus – zumindest aus Perspektive ihrer Kritiker:innen. Gerade Netzbetreibern, die auf Kosten des offenen Internets Geschäfte machen wollen, ist sie ein Dorn im Auge. Wohl deshalb will die EU-Kommission das Prinzip auf den Prüfstand stellen.

Dabei gilt die gesetzlich verankerte Netzneutralität in der EU als großer Erfolg. Das betont nicht zuletzt die EU-Kommission immer wieder öffentlich. Europa sei „Vorreiter beim Schutz eines offenen Internets“, klopfte sich etwa die amtierende Kommissionspräsidentin Ursula von der Leyen (CDU) im Jahr 2020 selbst auf die Schulter. Die Regeln seien „wichtig für Innovation und Fairplay“ und schützten sowohl Nutzer:innen als auch Online-Dienste, sagte von der Leyen. „Kein Betreiber kann bestimmten Verkehr blockieren, verlangsamen oder priorisieren“.

Branche lässt sich nicht in Karten schauen

Warum die EU-Kommission nun an den bewährten Regeln rütteln möchte, wird auf den ersten Blick nicht klar. Noch weniger erschließt sich, worin genau die behauptete Rechtsunsicherheit bestehen soll und welche Innovationen damit verhindert würden.

Für wenig Aufklärung sorgt die Telekommunikationsbranche. Mehrfache Presseanfragen an große deutsche Netzbetreiber blieben unbeantwortet. Einer bat um „Verständnis, dass wir uns dazu nicht äußern“. Andere Branchenquellen mussten notgedrungen spekulieren – aber eine verbindliche Antwort hatte niemand parat.

Freilich zeigt die Geschichte, wie Unternehmen regelmäßig an verschiedenen Stellen der Netzneutralität zu sägen versuchen. Zuletzt sind sie, womöglich nur vorerst, mit dem Konzept einer Datenmaut abgeblitzt. Die sollte den teuren Infrastrukturausbau mitfinanzieren helfen, so das Versprechen einiger weniger Netzbetreiber. Nun soll die Netzneutralität als angeblicher Innovationskiller herhalten. Das könnte letztlich zu einer digitalen Zweiklassen-Gesellschaft führen, warnen Fachleute.

Detailliertes Regelwerk

Eigentlich ist der Bereich penibel geregelt. Neben dem Gesetzestext selbst umreißen von europäischen Regulierungsbehörden (GEREK) erstellte Leitlinien den Geltungsbereich der Regeln. Im Detail beschreiben sie, so technologieoffen wie möglich, in welchen Situationen etwa Datenverkehr gedrosselt oder umgekehrt priorisiert werden darf.

Zuletzt wurden die Leitlinien im Jahr 2022 überarbeitet, um neuere technische Entwicklungen sowie die Rechtssprechung des Europäischen Gerichtshofs (EuGH) zu reflektieren. Dieser hatte in einem Grundsatzurteil tatsächlich eine Rechtsunsicherheit beseitigt: Sogenannte Zero-Rating-Angebote, die den Zugriff auf bestimmte Partnerdienste vom monatlichen Transfervolumen ausnehmen, sind demnach nicht mit der EU-Verordnung vereinbar.

Außerdem werden die Vorschriften regelmäßig von der Kommission und Regulierungsbehörden überprüft. Bislang fielen die Urteile stets positiv aus. Demnach würde die Verordnung „den Endnutzer wirksam schützen und das Internet als Innovationsmotor fördern“, schrieb etwa die EU-Kommission in ihrer ersten Evaluation des Gesetzes. Selbst Netzbetreiber würden das Gesetz sehr schätzen, da es „rechtliche Sicherheit“ biete.

Verunsichernde Überholspuren

Dennoch gibt es einen Bereich, der für die angebliche Verunsicherung unter Netzbetreibern in Frage kommen könnte: sogenannte Spezialdienste. Damit lassen sich vor allem im Mobilfunk Produkte anbieten, die nicht in der „objektiv“ notwendigen Qualität über das offene Internet garantiert realisierbar sind, beispielsweise datenbasierte Telefonie über das Mobilfunknetz oder ruckelfreie Telemedizin.

Zur Netzneutralität stehen solche über 5G-Mobilfunk abgewickelten Überholspuren „in einem deutlichen Spannungsverhältnis“, wie es einmal Daniel Jacob von der Stiftung Wissenschaft und Politik ausdrückte. Doch unter Auflagen sind sie seit gut zehn Jahren erlaubt.

Solange Spezialdienste nicht zu Lasten anderer Nutzer:innen gehen und das offene Internet einschränken, sollte es genug Spielraum für innovative Produkte geben – darunter etwa das mobile Spielepaket, das die Telekom Deutschland im Herbst vorgestellt hat. Dieses nutzt die in den aktuellen 5G-Mobilfunkstandard eingebauten „Network Slices“, um eine möglichst optimale, vom restlichen Internet getrennte Datenverbindung mit dem Spieledienst aufzubauen.

Beim Produktlaunch war von Verunsicherung des Netzbetreibers allerdings nicht viel zu spüren. Auf Anfrage teilte eine Unternehmenssprecherin damals mit, dass sich die Telekom „selbstverständlich an die rechtlichen Vorgaben“ halte. Das Produkt sei so ausgestaltet, dass die Bandbreite aller anderen Nutzer:innen einer Mobilfunkzelle dadurch nicht beeinflusst werde, so die Sprecherin. „Keinem wird etwas weggenommen.“

Ob hinter der PR-Kulisse nicht doch ein Stückchen Unsicherheit lauert, lässt sich nicht mit Gewissheit sagen. Die Presseabteilung des Anbieters reagierte nicht auf aktuelle und wiederholte Anfragen zu dem Thema.

Wacklige Produkte

Ganz abwegig würde die Sorge, Geld in ein womöglich illegales Produkt investiert zu haben, indes nicht scheinen. Nicht zuletzt die Telekom hat da einschlägige Erfahrungen: So zählte ihr StreamOn-Produkt zu einem der Angebote, dem das EuGH-Grundsatzurteil zu Zero Rating den Stecker gezogen hatte – nachdem es bereits Jahre auf dem Markt war.

Zudem ist bis heute nicht restlos geklärt, ob das aktuelle 5G-Spielepaket der Telekom mit den EU-Regeln vereinbar ist. Unter anderem Verbraucherschützer:innen haben ihre Zweifel; sie fürchten ein Zwei-Klassen-Netz durch die Hintertür. Tatsächlich untersucht die Bundesnetzagentur seit Oktober, ob das Produkt mit den europäischen Netzneutralitätsregeln konform geht.

Eine Pflicht zur Vorab-Kontrolle gebe es hierbei nicht, betont ein Sprecher der Regulierungsbehörde gegenüber netzpolitik.org. Darauf seien die EU-Regeln nicht ausgelegt. Allein lasse man potenziell verunsicherte Netzbetreiber jedoch nicht: Vor der Veröffentlichung neuer Dienste oder Tarife biete man ihnen an, etwaige Unklarheiten gemeinsam zu besprechen. „Marktteilnehmern steht es frei, von diesem Angebot Gebrauch zu machen.“ Mehr will die Behörde über das laufende Verfahren nicht preisgeben.

Digitalministerium hält Regeln für „klar und sachgerecht“

Auch das deutsche Digitalministerium (BMDS) vermutet, dass bezahlte Überholspuren hinter dem Nebensatz aus der EU-Konsultation stecken dürften. Die Passage „ist nach unserem Verständnis vor dem Hintergrund der Hinweise einiger Netzbetreiber zu sehen, die Vorgaben der EU-Verordnung, insbesondere zu Spezialdiensten, würden Innovationen erschweren, vor allem Innovationen auf Basis des 5G-Network Slicings“, teilt ein Sprecher des Ministeriums mit.

Allerdings folgt gleich eine Einschränkung: Dem BMDS seien bisher keine Fälle bekannt, in denen aufgrund der EU-Vorgaben innovative Geschäftsmodelle im Zusammenhang mit Network Slicing untersagt wurden, so der Sprecher. „Wir halten die Vorgaben der EU-Verordnung und die diese erläuternden Leitlinien des GEREK auch grundsätzlich für klar und sachgerecht.“

Dennoch sollten die Sorgen der Netzbetreiber beachtet werden, sagt der BMDS-Sprecher. „Es sollte insbesondere geprüft werden, ob und wie die Rechtssicherheit jenseits gesetzlicher Vorgaben noch weiter verbessert werden kann, ohne die bestehenden Prinzipien der Netzneutralität anzurühren.“

Vorstoß in Richtung Konsolidierung

Ist das Grund zur Entwarnung? Vermutlich nicht, schließlich ist Deutschland nicht das einzige Land in der EU. Vor allem aber spielt sich die aktuelle EU-Konsultation vor dem Hintergrund des anstehenden Digital Networks Act (DNA) ab. Mit dem geplanten Gesetz will die EU-Kommission die Regeln im Telekommunikationsbereich weitflächig umbauen, ein Entwurf ist für Ende des Jahres angekündigt.

Gleich mehrere, teils umfassende EU-Gesetze könnten dann im DNA zusammengeführt werden, wie die Kommission in Aussicht stellt: Der sogenannte TK-Kodex, der erst vor wenigen Jahren vier EU-Richtlinien in eine einzige gegossen hatte und der die Grundlage für die Regulierung der EU-Telekommunikationsmärkte bildet; die GEREK-Verordnung, welche die Kompetenzen des EU-Gremiums absteckt; das Programm für die Funkfrequenzpolitik; sowie die Verordnung über den Zugang zum offenen Internet, die darüber hinaus auch noch Roaminggebühren regelt.

Ein ganz schönes Knäuel, das der DNA entwirren soll. In einem Begleitschreiben zur Konsultation fasst die EU-Kommission ihre Zukunftsvision so zusammen: „Von entscheidender Bedeutung sind ein moderner und einfacher Rechtsrahmen, der Anreize für den Übergang von herkömmlichen Netzen zu Glasfaser-, 5G- und Cloud-Infrastrukturen schafft, sowie ein Größenzuwachs durch die Bereitstellung von Diensten und einen grenzüberschreitenden Betrieb.“

Zeichen stehen auf Deregulierung

Den Boden für den geplanten Umbau haben mehrere Berichte aus den Vorjahren aufbereitet, mit einer gemeinsamen Stoßrichtung: Neben einem Weißbuch von Ex-Kommissar Thierry Breton drängen auch im Auftrag der EU erstellte Papiere von Ex-EZB-Chef Mario Draghi und des italienischen Ex-Premiers Enrico Letta auf Deregulierung, Liberalisierung und generell mehr Markt.

Damit soll nicht nur der Ausbau moderner Infrastruktur, vor allem von Glasfaser und 5G-Mobilfunk, schneller gelingen. Es soll auch die Wettbewerbsfähigkeit großer europäischer Unternehmen stärken, die sich dann besser auf dem Weltmarkt behaupten könnten, so die Hoffnung.

Dass dabei eine Reihe bisheriger Säulen europäischer Regulierungspolitik fallen könnte, hatte schon viele EU-Länder in Alarmbereitschaft versetzt. Zur Debatte stellt die Kommission unter anderem die Vorabregulierung marktdominanter Anbieter, insbesondere von Ex-Monopolisten wie Telekom Deutschland oder Orange, vormals France Télécom. Diese Unternehmen sollen zudem einfacher wachsen und grenzüberschreitend operieren können.

Netzneutralität als Verhandlungsmasse

Darüber steht die Sorge um die Wettbewerbsfähigkeit der EU, die der Kommission offenkundig ein Herzensanliegen ist. Mit entschlackten Berichtspflichten etwa, die ebenfalls auf ihrer Wunschliste stehen, wird es nicht getan sein. Dabei droht die Gefahr, dass die Netzneutralität zur Verhandlungsmasse gerät.

„Die Telko-Industrie versucht hier, mit dem Narrativ der Innovationsbremse die Open-Internet-Verordnung anzugreifen und die Kommission zu umfassender Deregulierung zu bewegen“, sagt Nikola Schiefke vom Bundesverband der Verbraucherzentralen (vzbv). Aus Verbrauchersicht sei zu befürchten, dass in diesem Zuge auch das Netzneutralitätsgebot zur Debatte steht.

Dabei müsse das Prinzip der Gleichbehandlung und Nichtdiskriminierung „unbedingt aufrechterhalten werden, um eine digitale Zweiklassen-Gesellschaft zu verhindern“, sagt Schiefke. „Offener Wettbewerb ist und bleibt der stärkste Motor für technologische Weiterentwicklung und Innovation“, so die Verbraucherschützerin.

Die von der Kommission behauptete Rechtsunsicherheit kann auch Schiefke mit Blick auf die verschiedenen Evaluierungsstudien nicht nachvollziehen. „Zudem genügt der aktuell verfolgte fallbasierte Ansatz, da bisher nur wenige Spezialdienste eingeführt wurden“, sagt Schiefke. Für eine ausreichende Klarheit der Vorgaben spreche auch die begrenzte Anzahl an streitigen Verfahren über ihre Auslegung. „Gäbe es tatsächlich erhebliche Unsicherheiten, käme es vermehrt zu gerichtlichen Auseinandersetzungen“, sagt Schiefke.

Endstation EU-Kommission

Was aber sagt nun die EU-Kommission darüber, die muss es ja schließlich wissen? Nicht viel, zumindest nicht öffentlich. Auf Anfrage verweist eine Kommissionssprecherin lediglich auf den letzten Evaluationsbericht aus dem Jahr 2023.

Tatsächlich finden sich darin abstrakte Verweise auf die Sorgen bestimmter Marktakteure: „Viele größere Anbieter von Internetzugangsdiensten“, schreibt die Kommission – und meint damit wohl die europäischen Ex-Monopolisten –, seien der Ansicht, „dass die derzeitigen Vorschriften und das derzeitige Konzept keine ausreichende Sicherheit böten, um sie in die Lage zu versetzen, Dienste auf der Grundlage von Network-Slicing einzuführen oder Spezialdienste zu definieren.“

Damals ließ die Kommission noch offen, ob es sich wirklich um ein Problem handelt oder nicht. Dagegen spricht etwa die im gleichen Bericht diskutierte Empfehlung von Regulierungsbehörden, es beim fallbezogenen Ansatz zu belassen. Offen blieb damals zudem, ob gegebenenfalls ein tieferer gesetzlicher Eingriff oder ein simples Update der GEREK-Leitlinien angemessen wäre.

Doch welche Innovationen die Netzneutralität angeblich verhindert, kann oder will die Kommission bis heute nicht beantworten. Selbst in besagtem Evaluationsbericht nicht: „Bislang haben weder das GEREK noch die Kommission Kenntnis von konkreten Beispielen, bei denen die Umsetzung der 5G-Technologie durch die Verordnung behindert wird.“



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

DEF CON 33: Pwnie-Awards verliehen


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Bei der 33. Hackerkonferenz Def Con wurden mit den Pwnie-Awards die „Oscars“ der IT-Security verliehen. Matteo Rizzo, Kristoffer Janke, Josh Eads, Tavis Ormandy und Eduardo Vela Nava gewannen gleich zweimal: in den Kategorien „Bester Krypto-Bug“ und „Bester Desktop-Bug“. Sie fanden heraus, dass AMD seit sieben Jahren den Schlüssel aus der NIST-Dokumentation, der dort als Beispiel angegeben ist, in der Produktion benutzt hat.

Ken Gannon erhielt einen Award für das Enthüllen der komplizierten Exploitkette, mit der man ein Samsung Galaxy S24 mit sieben Bugs zum Installieren eigener APKs bringt. Den Pwnie für die beste Privilegien-Eskalation gewannen die Hacker v4bel und qwerty_po für die Linux Kernel VSOCK Quadruple Race Condition. Die Sicherheitsforscher von Qualys haben ebenfalls zwei Pwnies gewonnen: in den Kategorien „Best RCE“ (Remote Code Execution) und „Epic Achievement“ für das Enthüllen von OpenSSH-Schwachstellen.

Inwhan Chun, Isabella Siu und Riccardo Paccagnella bekamen den Pwnie für „Most Underhyped Research“ (etwa: am meisten unterbewertete Forschung). Der von ihnen entdeckte Bug „Scheduled Disclosure“ in den Energieverwaltungsalgorithmen moderner Intel-Prozessoren ermöglicht es, Power-Side-Channel-Angriffe in Remote-Timing-Angriffe umzuwandeln – und zwar effektiver als bisher und ohne Frequenz-Side-Channel-Leckage.

Der Preis für den „Most Innovative“-Beitrag ging an Angelos Beitis. Er fand im Internet mehr als vier Millionen Server, die alten, nicht authentifizierten Tunnelverkehr wie IPIP, GRE, 6in4 oder 4in6 akzeptieren. Dadurch lassen sich Quell-IP-Adressen trivial fälschen, Denial-of-Service-Angriffe durchführen und sogar Zugriffe auf interne Unternehmensnetze erlangen.



Das Pwnie-Team

(Bild: Lukas Grunwald / heise online)

„Signal-Gruppen töten Truppen“

Außer den Awards für Sicherheitsforscher gibt es auch ironisch gemeinte „Auszeichnungen“ für Firmen und Einzelpersonen. Den Negativ-Pwnie „Lamest Vendor Response“ (etwa: schwächste Herstellerantwort) ging an die Linux-Kernelentwickler wegen der Sicherheitslücke “Linux kernel slab OOB write in hfsplus” (CVE-2025-0927). Und der Pwnie „EPIC Fail“ ging an Mike Waltz für SignalGate genannte Signal-Gruppenchat-Affäre der US-Regierung. Das Pwnie-Team überreichte ihm auch ein T-Shirt, das das Motiv eines Sicherheits-Awareness-Plakates aufgreift: „Signal Groups kill troops.“



Anspielung auf die SignalGate-Affäre der US-Regierung, die in einer Signal-Gruppe Militärgeheimnisse vor Fremden besprach.


(tiw)



Source link

Weiterlesen

Datenschutz & Sicherheit

Für die elektronische Patientenakte kann man sich jetzt doch per Video identifizieren


Wer die eigene elektronische Patientenakte (ePA) in einer Krankenkassen-App aktivieren wollte, musste sich bislang digital ausweisen. Dafür kam entweder die elektronischen Gesundheitskarte (eGK) oder die Online-Ausweisfunktion des Personalausweises zum Einsatz – inklusive PIN-Abfrage. Das Bundesgesundheitsministerium hatte sich bewusst für diese hohen Sicherheitshürden entschieden, da in der ePA sensible Gesundheitsdaten verwaltet werden.

Nun ist eine Möglichkeit hinzugekommen, mit der sich Versicherte identifizieren können, ohne dass sie dafür eine PIN benötigen. Die Gematik hat das Verfahren „Nect Ident mit ePass“ des Hamburger Unternehmens Nect rückwirkend zum 1. August zugelassen. Das Verfahren darf demnach für die Freigabe einer Gesundheitskarte oder für die Ausgabe einer PIN für die eGK genutzt werden. Mit der Karte lassen sich eine GesundheitsID und der Login in die elektronische Patientenakte erstellen.

Die Entscheidung der Gematik überrascht. Denn vor ziemlich genau drei Jahren hatte sie Video-Ident-Verfahren für unzulässig erklärt. Das Verbot war aufgrund einer „sicherheitstechnischen Schwachstelle in diesem Verfahren … unumgänglich“ gewesen, wie die Gematik damals schrieb. Eine Wiederzulassung könne erst dann entschieden werden, „wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind“.

„Von Natur aus anfällig für Angriffe“

Zu dem Verbot war es gekommen, nachdem der IT-Sicherheitsforscher Martin Tschirsich vom Chaos Computer Club mehrere gängige Video-Ident-Verfahren überlisten konnte – „mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe“.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) kam damals zu einem klaren Urteil: „Bei videobasierten Fernidentifikationslösungen ist grundsätzlich eine Manipulation des Videostreams möglich, sodass videobasierte Lösungen nicht dasselbe Sicherheitsniveau erreichen können wie beispielsweise die Online-Ausweisfunktion des Personalausweises.“

Und erst kürzlich bekräftigte das BSI, dass die videobasierte Identitätsprüfung zwar benutzerfreundlich, „von Natur aus aber anfällig für wiederholbare, skalierbare und unsichtbare Angriffe wie Präsentations- und Injektionsbedrohungen“ sei. Das Video-Ident-Verfahren, das das Bundesinnenministerium ohnehin nur als Brückentechnologie betrachtete, schien damit endgültig am Ende.

Die Rückkehr der Brückentechnologie

Nun aber bringt die Gematik die visuelle Personenidentifikation zurück. Das Verfahren sollen all jene Versicherten nutzen können, die keine PIN für ihre elektronische Gesundheitskarte oder ihren Personalausweis haben. „Wie üblich bei sicherheitsrelevanten Themen rund um die Telematikinfrastruktur wurde das BSI im Vorfeld über den Sachverhalt informiert“, schreibt die Gematik auf Anfrage von netzpolitik.org.

Ihre Entscheidung begründet die Gematik damit, dass „bei dem ‚Nect ePass‘-Verfahren zusätzlich zur Personenidentifikation Ausweisdokumente (z. B. Personalausweis oder Reisepass) elektronisch ausgelesen“ werden. Es verfüge damit über „die sicherheitstechnische Eignung für den Einsatz in der Telematikinfrastruktur“.

Das „ePass“-Verfahren der Nect GmbH erfolgt „vollautomatisiert“ mit Hilfe einer „KI-gestützten Dokumentenprüfung“. Außerdem müssen Nutzer:innen den NFC-Chip ihres Ausweisdokuments mit dem Smartphone auslesen und bei einem Video-Selfie zwei zufällig ausgewählte Worte sagen („Liveness Detection“).

Letztlich verändert die Gematik die Sicherheitsvorgaben: Bislang brauchten Versicherte notwendigerweise eine PIN, um ihre Identität zu bestätigen. Nun können sie sich auch ohne PIN mit ihrem Personalausweis im Video-Ident-Verfahren identifizieren. Damit erhalten sie eine PIN für ihre Gesundheitskarte, um dann ihre ePA zu aktivieren.

„Eine Art 1,5-Faktor-Authentifizierung“

Die Sicherheitsforscherin Bianca Kastl, die eine Kolumne für netzpolitik.org verfasst, sieht die Rückkehr zum Video-Ident-Verfahren kritisch. „Im Prinzip handelt es sich bei dem Verfahren um eine Art 1,5-Faktor-Authentifizierung“, sagt sie gegenüber netzpolitik.org. „Es wird zumindest das Vorhandensein eines plausiblen Ausweises geprüft, der zweite Faktor ist aber eine Videoanalyse, die heute als nur halb sicher gelten muss.“ Kastl bezieht sich hier auf die Zwei-Faktor-Authentifizierung, ein Verfahren, bei dem zwei unterschiedliche und voneinander unabhängige Komponenten zur Prüfung eingesetzt werden.


2025-07-14
1648.12
136


– für digitale Freiheitsrechte!



Euro für digitale Freiheitsrechte!

 

Damit sind für Kastl weiterhin Angriffsszenarien denkbar. „Der physikalische Zugriff zu Identifikationsmitteln wie dem Personalausweis stellt hier keine allzu große Hürde dar“, sagt sie. „Und die Haltbarkeit von KI-Identifikationsverfahren gegenüber KI-Bildsynthese dürfte perspektivisch eher begrenzt sein.“

Warnung vor Bauchlandung

Die Entscheidung der Gematik hat offenkundig auch mit der geringen Zahl an Versicherten zu tun, die die elektronische Patientenakte aktiv nutzen. „Der elektronischen Patientenakte für alle droht eine Bruchlandung“, mahnte Ende Juli der Bundesvorsitzende des Hausärzteverbandes, Markus Beier. Er rief die Krankenkassen dazu auf, Patienten besser aufzuklären, statt die „Hände in den Schoß“ zu legen.

Angaben der Krankenkassen untermauern den Befund. Techniker Krankenkasse, AOK und Barmer haben zusammen mehr als 44 Millionen elektronische Patientenakten eingerichtet. Doch nur 1,2 Millionen Versicherte nutzen die ePA aktiv.

Der Vorstandschef der Techniker Krankenkasse, Jens Baas, kritisiert derweil den aus seiner Sicht komplizierten Registrierungsprozess für die ePA. „Wir bekommen viele Rückmeldungen von Versicherten, dass sie den Registrierungsprozess für die ePA zu kompliziert finden“, sagte der TK-Vorstandschef nur wenige Tage vor der Gematik-Entscheidung. Er forderte, die rechtlichen Rahmenbedingungen so anzupassen, dass Video-Ident-Verfahren dafür wieder möglich sind.

Kritik an fehlender Transparenz

Dem Wunsch nach einem einfacheren Registrierprozess will die Gematik nun offenbar nachkommen, allerdings ohne rechtliche Anpassungen. „Unserer Kenntnis nach bewegt sich die Anzahl an Versicherten bzw. Bürger:innen, die ihre PIN zur eGK bzw. PIN zum Personalausweis aktiv nutzen, auf einem niedrigen Niveau“, schreibt die Gematik an netzpolitik.org. „Daher sind sichere VideoIdent-Verfahren aus Sicht der Gematik ein wichtiger Schritt, um einen einfacheren Zugang zu digitalen Anwendungen wie der elektronischen Patientenakte oder dem E-Rezept zu ermöglichen.“

Das Vorgehen der Gematik überrascht Kastl nicht. „Vom Prozess her ist das wieder klassisch: Irgendwo im Hintergrund wird an einem Verfahren gewerkelt, das dann auf einmal auf die Bevölkerung losgelassen wird“, so die Sicherheitsforscherin. „Transparente Risikoaufklärung und unabhängige Risikobewertung? Mal wieder Fehlanzeige.“



Source link

Weiterlesen

Datenschutz & Sicherheit

libarchive: Sicherheitslücke entpuppt sich als kritisch


In der Open-Source-Kompressionsbibliothek libarchive klafft eine Sicherheitslücke, die zunächst als lediglich niedriges Risiko eingestuft wurde. Einige Zeit nach der Veröffentlichung aktualisierter Quellen kam das US-amerikanische NIST jedoch zu der Einschätzung, dass das Leck sogar eine kritische Bedrohung darstellt. Darauf wurde nun das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) aufmerksam.

Bei der Verarbeitung von .rar-Archiven kann ein Ganzzahlüberlauf in der Funktion archive_read_format_rar_seek_data() auftreten. In dessen Folge kann es zu einem „Double Free“ kommen, bei dem bereits freigegebene Ressourcen nochmals freigegeben werden. Dabei kommt es potenziell zu Störungen des Speichers, wodurch Angreifer etwa Schadcode einschleusen und ausführen oder einen Denial-of-Service-Zustand hervorrufen können (CVE-2025-5914 / EUVD-2025-17572, CVSS 9.8, Risiko „kritisch„).

Nachträglich höheres Risiko erkannt

Die ursprüngliche Meldung der Lücke an das libarchive-Projekt durch Tobias Stöckmann mitsamt eines Proof-of-Concept-Exploits fand bereits am 10. Mai dieses Jahres statt. Am 20. Mai haben die Entwickler die Version 3.8.0 von libarchive herausgegeben. Die öffentliche Schwachstellenmeldung erfolgte am 9. Juni ebenfalls auf Github. Dort wurde auch die CVE-Nummer CVE-2025-5914 zugewiesen, jedoch zunächst mit dem Schweregrad CVSS 3.9, Risiko „niedrig„, wie Red Hat die Lücke einordnete.

Mit einem aktualisierten Angriffsvektor kam das NIST am 20. Juni jedoch zur Einschätzung, dass das Risiko auf einen CVSS-Wert von 9.8 kommt und mithin „kritisch“ einzustufen ist. Die Änderung blieb weitgehend unbemerkt, bis FreeBSD zum Wochenende eine eigene Sicherheitsmitteilung veröffentlicht hat.

Nicht nur Linux- und Unix-Distributionen setzen auf libarchive – wo Admins die Softwareverwaltung anwerfen und nach bereitstehenden Aktualisierungen suchen lassen sollten –, sondern auch in Windows ist inzwischen libarchive am Werk. Zur Ankündigung des aufgebohrten Windows-ZIP-Tools, das inzwischen mehrere Archivformate beherrscht, gab der Leiter damalige Panos Panay der Produktabteilung Windows und Geräte zur Microsoft Build 2023 bekannt, dass die native Unterstützung für .tar, 7-zip, .rar, .gz und viele andere durch die Nutzung des Open-Source-Projekts libarchive hergestellt wird. Es ist derzeit unklar, ob Microsoft etwa zum kommenden Patchday die eingesetzte Bibliothek auf einen fehlerkorrigierten Stand bringt oder es bereits in den vergangenen zwei Monaten getan hat.


(dmk)



Source link

Weiterlesen

Beliebt