Vertreter*innen von 25 EU-Staaten sowie Norwegen und Island haben eine gemeinsame Erklärung unterzeichnet. Es geht um Maßnahmen zum Schutz von Minderjährigen im Netz. Nur von Estland und Belgien fehlt eine Unterschrift. Angestoßen hat die sogenannte Jütland-Erklärung die dänische Ratspräsidentschaft. Im Mittelpunkt stehen Forderungen nach neuen EU-Regeln. Sie sollen mehr strenge Alterskontrollen und ein Mindestalter für sozialen Medien vorschreiben.

Für die deutsche Regierung haben Digitalminister Karsten Wildberger (CDU) und Familienministerin Karin Prien (CDU) unterschrieben. Das irritiert, schließlich hatte sich das Kabinett im September darauf geeinigt, dass zunächst eine eigens eingesetzte Kommission aus Expert*innen ein Jahr lang Lösungen erarbeiten soll. Die Unterschriften der deutschen Minister*innen nehmen das Ergebnis der Kommission zwar nicht vorweg. Sie werfen aber die Frage auf, wie sehr sich die Regierung für die Arbeit der Kommission interessiert.

Die Illusion wirksamer Alterskontrollen

Die Jütland-Erklärung fügt sich ein in internationale Bestrebungen nach strengeren Alterskontrollen im Netz. Inhaltlich bringt sie die Debatte um Jugendmedienschutz jedoch nicht weiter, im Gegenteil. Der Fokus auf Alterskontrollen senkt das Niveau der Debatte. So heißt es in der Erklärung, aus dem Englischen übersetzt:

Es besteht die Notwendigkeit nach wirksamer und datenschutzfreundlicher Altersverifikation in sozialen Medien und anderen relevanten digitalen Diensten, die ein erhebliches Risiko für Minderjährige darstellen.

Mit diesen Worten beweisen die Unterzeichner*innen, das sie weiterhin einer Illusion erliegen. Es existiert nämlich keine Technologie, die Alterskontrollen wirksam und datenschutzfreundlich möglich macht. Um solche Kontrollen auszutricksen, genügen kostenlose Werkzeuge für digitale Selbstverteidigung, darunter VPN-Dienste, der Tor-Browser oder alternative DNS-Server. Das zeigt etwa der sprunghafte Anstieg der VPN-Nutzung in Großbritannien, wo Alterskontrollen jüngst auf Grundlage des Online Safety Acts verschärft wurden.

Datenschutzfreundliche Alterskontrollen sind zwar technisch denkbar, in der Praxis können sie aber nicht überzeugen. Selbst der als internationales Vorbild entworfene Prototyp der EU-Kommission setzt aktuell noch immer auf pseudonyme statt anonyme Kontrollen, und steht damit nicht im Dienst von Datenschutz und Privatsphäre. Bis Ende des Jahres will die Kommission allerdings nachbessern.

Zudem zeigt der jüngste Hack auf geschätzt 70.000 Ausweisdaten von Discord-Nutzer*innen, wie Alterskontrollen in der Praxis zum Datenschutz-Albtraum werden können. Ein frisches Gutachten aus Australien zeigt: Das ist kein Einzelfall. Wie sollen Nutzer*innen wissen, ob sie es gerade mit einem vertrauenswürdigen Kontrollsystem zu tun haben oder nicht?

Fachleute: Alterskontrollen kein Wundermittel

Hinzu kommt: Derzeit gibt es im EU-Recht kaum Spielraum für pauschale Alterskontrollen, wie sie den EU-Mitgliedstaaten offenbar vorschweben. Stattdessen bieten einschlägige Gesetze wie das Gesetz über digitale Dienste (DSA) und die Richtlinie über audiovisuelle Mediendienste (AVMD-RL) differenzierte Ansätze, je nach Art des Dienstes und des Risikos für Minderjährige.

Die Unterzeichner*innen der Jütland-Erklärung fordern deshalb neue und strengere EU-Gesetze. Konkret heißt es: „Es besteht Notwendigkeit zu prüfen, ob weitere Maßnahmen erforderlich sind, um den DSA zu ergänzen.“

Für das exakte Gegenteil argumentiert eine jüngst veröffentlichte Analyse der gemeinnützigen Denkfabrik Interface. „Denken Sie zweimal darüber nach, bevor Sie Alterskontrollen in verbindliches Recht auf EU-Ebene aufnehmen“, warnt darin Analystin Jessica Galissaire. Ihr Papier stellt die in der Jütland-Erklärung behauptete Notwendigkeit solcher Regeln in Frage.

Was Kinder im Netz erleben, und was Politik daraus lernen kann

Ausführlich beschreibt sie, dass selbst sehr große Plattformen wie Instagram, TikTok, Roblox oder YouTube bereits existierende Regeln schleifen lassen. Aufsichtsbehörden fehle es an Mitteln zur Durchsetzung, Zuständigkeiten seien unklar. Plattformen wiederum würden die rechtlichen Unschärfen ausnutzen, um weiter ihr eigenes Süppchen zu kochen. Alterskontrollen, warnt Interface, können und sollten nicht als Wundermittel („silver bullet“) behandelt werden.

Heiße Luft statt Argumente

Tatsächlich sind die Risiken für Kinder und Jugendliche zu vielfältig, um sie mit einer Maßnahme aus dem Weg räumen zu können. Zu nennen sind nicht nur potenziell verstörende Inhalte, sondern auch manipulative und süchtig machende Designs, Kontaktaufnahme durch böswillige Fremde oder Cybermobbing. Für diese und weitere Risiken braucht es spezifische Maßnahmen – und dafür wurden schon Grundlagen geschaffen.

So sieht das relativ junge Gesetz über digitale Dienste (DSA) vor, dass Dienste ihre jeweiligen Risiken einschätzen und eindämmen müssen, sonst drohen Strafen. Wie Maßnahmen aussehen können, hat die EU jüngst in DSA-Leitlinien ausbuchstabiert. Es geht etwa um Einschränkungen von unendlichem Scrollen und von Push-Benachrichtigungen und um sichere Voreinstellungen für Kontaktaufnahmen.

Diese Vielfalt der Risiken versucht die Jütland-Erklärung einzufangen, argumentiert jedoch unschlüssig. So seien „wirksame“ Alterskontrollen (die es wohlgemerkt nicht gibt) ein essentielles Werkzeug, „um die negativen Auswirkungen von illegalen und nicht altersgerechten Inhalten, schädlichen Geschäftspraktiken, süchtig machenden oder manipulativen Designs sowie übermäßiger Datenerhebung – insbesondere bei Minderjährigen – zu verringern.“

Das Zitat erweckt den Anschein einer Argumentation, entpuppt sich bei näherer Betrachtung jedoch als heiße Luft. So schützen Alterskontrollen nicht „insbesondere“ Minderjährige, nein, sie schützen, wenn überhaupt, ausschließlich Minderjährige. Denn wer eine Alterskontrolle überwindet, wird vor den aufgezählten Risiken ganz und gar nicht geschützt.

„Illegale“ Inhalte sind, wie das Wort es schon sagt, bereits illegal. Warum sollten Plattformen, die nicht konsequent gegen illegale Inhalte vorgehen, konsequent gegen Zugriff durch Minderjährige vorgehen? Ebenso sind Risiken wie süchtig machende und manipulative Designs und übermäßige Datenerhebung auf Grundlage anderer EU-Gesetze wie etwa dem DSA oder der DSGVO bereits reguliert.

Forderung ist Zeichen politischer Schwäche

Es scheint, als wollten die Mitgliedstaaten einmal großzügig Alterskontrollen über allerlei Missstände bügeln, gegen die es bereits Regeln gibt. Das ist weder angemessen noch erforderlich – und damit keine seriöse Grundlage für Gesetzgebung. Zugleich ist die Forderung nach Alterskontrollen ein Zeichen politischer Schwäche. Es ist teuer und mühsam, die Einhaltung bereits bestehender Gesetze durchzusetzen. Es ist dagegen bequem und billig, sich neue Gesetze auszudenken.

Behörden müssen oftmals vor Gericht ziehen, weil sich betroffene Unternehmen mit aller Macht gegen gesetzliche Einschränkungen wehren; vor allem, wenn sie deren Einnahmen schmälern könnten. Gerade bei Verbraucher- und Datenschutz müssen Aufsichtsbehörden oftmals für die Grundrechte der EU-Bürger*innen kämpfen.

Von echtem Kampfgeist ist in der Jütland-Erklärung jedoch keine Spur. Eher symbolisch merken die Vertreter*innen an, es sei „notwendig“, dass süchtig machende und manipulativen Designs „adressiert“ werden. Wie und von wem auch immer. Eltern solle man der Erklärung zufolge informieren, aber auch nicht in die Verantwortung nehmen. Dabei hätte niemand mehr Einfluss auf das Wohlbefinden von Kindern als Eltern und Aufsichtspersonen.

Strengere Regeln zu Alterskontrollen sollen es also richten, noch bevor die gerade erst geschaffenen Instrumente des DSA ihre Wirkung entfalten konnten. So sieht das aus, wenn Politiker*innen einen bequemen und billigen Weg einschlagen.

Heute endet der Herstellersupport für Microsoft Office 2016 und 2019 – und stellt damit viele kleine Unternehmen in Deutschland vor ein Sicherheitsrisiko. Laut der aktuellen KMU-Studie des Groupware- und Security-Anbieters Intra2net erhalten nun 77 Prozent dieser Betriebe keine Sicherheitsupdates mehr für ihr Office-Paket.

Grund dafür ist die schleppende Migration auf aktuelle Versionen: Office 2016 und 2019 sind mit einer Installationsquote von 65 Prozent weiterhin die dominierenden On-Premises-Pakete, folglich stehen Nutzer jetzt unter unmittelbarem Handlungsdruck. Auffällig ist, dass der Marktanteil von Office 2016 im vergangenen Jahr stabil geblieben ist, während weitere 12 Prozent der Unternehmen sogar noch ältere Versionen wie Office 2010 oder 2013 einsetzen, die seit Jahren ohne Support laufen. Ihr Anteil ging seit einem Jahr ebenfalls nur knapp zurück.

Die Studie zeigt, dass bei einem Wechsel zumeist direkt auf Office 2024 migriert wird. Das neueste On-Premises-Paket kommt derzeit auf einen Marktanteil von 8 Prozent, hauptsächlich durch Umsteiger aus Office 2019. Office 2021 spielt hingegen bei aktuellen Migrationen kaum noch eine Rolle, die Suite konnte sich nicht etablieren.

Nicht nur Office

Intra2net-Vorstand Steffen Jarosch sieht dringenden Handlungsbedarf: „Die Ergebnisse sind alarmierend, aber keine Überraschung. Viele kleine Unternehmen haben die letzten zwölf Monate nicht genutzt, um ihr Office-Paket rechtzeitig zu aktualisieren. Zusammen mit dem Supportende von Windows 10 entsteht ein massiver Migrationsdruck – zumal Microsoft für Office keine kostenpflichtige Übergangslösung mit erweiterten Sicherheitsupdates anbietet.“

Neben MS Office und Windows 10 steht Nutzern außerdem mit dem Supportende von Exchange 2016 sowie 2019 aktuell weiterer dringender Migrationsaufwand an. Für die Analyse wertete Intra2net im September 2025 Daten aus 1.567 PC-Arbeitsplätzen in 104 deutschen Unternehmen mit jeweils 10 bis 49 Mitarbeitern aus. Berücksichtigt wurden dabei ausschließlich Betriebe ohne Hosted Exchange oder Microsoft 365. Informationen zur Studie finden sich hier.

(fo)

In mehreren Versionen von Veeams Backup & Replication klaffen zwei kritische Sicherheitslücken, die die Backup-Lösung verwundbar für Remote Code Execution (RCE), also Schadcode-Ausführung aus der Ferne, durch authentifizierte Domain User machen. Ein Patch schließt die Lücken CVE-2025-48983 und CVE-2025-48984, die jeweils mit einem CVSS-v3.1-Score von 9.9 bewertet wurden und damit kritisch sind.

Von den RCE-Lücken betroffen sind laut Sicherheitshinweis der Entwickler alle Veeam Backup & Replication-Versionen der 12-er Reihe bis einschließlich 12.3.2.3617. Der am heutigen Dienstag veröffentlichte Patch 12.3.2.4165 bannt die Gefahr (siehe Release-Informationen). Zügiges Handeln ist ratsam.

Veeam Agent für Windows ebenfalls abgedichtet

Des Weiteren haben die Entwickler dem Veeam Agent für Windows ein Sicherheitsupdate spendiert. Von der dabei beseitigten Sicherheitslücke CVE-2025-48982 ging ein hohes Risiko aus (CVSS-Score 7.3); sie hätte unter bestimmten Voraussetzungen zur Rechteausweitung missbraucht werden können.

Die Lücke steckt in allen Versionen bis inklusive 6.3.2.1205 und wurde mit dem Build 6.3.2.1302 behoben. Details und Download-Links sind ebenfalls dem aktuellen Sicherheitshinweis zu entnehmen.

(ovw)