Connect with us

Datenschutz & Sicherheit

innen stellen sich gegen Chatkontrolle


Mehr als 470 Wissenschaftler:innen aus 34 Ländern stellen sich gegen den aktuellen Vorschlag zur Chatkontrolle, den die dänische Ratspräsidentschaft am 24. Juli im EU-Rat eingebracht hat.

Die EU-Kommission versucht seit mehreren Jahren ein Vorhaben umzusetzen, das verschlüsselte Kommunikation in der EU durchleuchten würde, etwa auf Messengern wie Signal. Auf diesem Weg will sie nach Darstellungen von sexualisierter Gewalt an Kindern (CSAM) suchen.

Die EU-Staaten können sich bisher nicht auf eine gemeinsame Position zu dem umstrittenen Vorhaben einigen. Eine Mehrheit unterstützt die Pläne der EU-Kommission, eine Sperrminorität von Staaten blockiert jedoch und setzt sich für die überwachungskritische Position des Parlaments ein. Mehrere Präsidentschaften sind bislang daran gescheitert, eine Einigung im Rat zu organisieren– zuletzt Polen. Die Position Deutschlands könnte entscheidend sein für den Fortgang der Verhandlungen, weil Deutschland als bevölkerungsreiches Land die bislang vorhandene Sperrminorität alleine kippen kann.

In ihrem Brief begrüßen die Unterzeichnenden zwar die Aufnahme von Bestimmungen, die eine freiwillige Meldung illegaler Aktivitäten erleichtern, sowie die Forderung, die Bearbeitung dieser Meldungen zu beschleunigen. Sie richten sich aber entschieden gegen das Durchsuchen der Endgeräte sowie gegen Alterskontrollen im Netz.

„Beispiellose Möglichkeiten für Überwachung, Kontrolle und Zensur“

Es sei einfach nicht möglich, bekanntes und neues Bildmaterial von sexualisierter Gewalt (CSAM) für Hunderte Millionen Nutzer:innen mit einer akzeptablen Genauigkeit zu erkennen, unabhängig vom spezifischen Filter. Darüber hinaus untergrabe die Erkennung auf dem Gerät, unabhängig von ihrer technischen Umsetzung, den Schutz, den eine Ende-zu-Ende-Verschlüsselung gewährleisten soll. Die Änderungen im Vorschlag würden zudem die Abhängigkeit von technischen Mitteln erhöhen und so die Sicherheits- und Datenschutzrisiken für die Bürger:innen verschärfen, ohne dass eine Verbesserung des Schutzes für Kinder garantiert sei.

Im offenen Brief, der auf deutsch und englisch vorliegt, heißt es:

Der neue Vorschlag würde – ähnlich wie seine Vorgänger – beispiellose Möglichkeiten für Überwachung, Kontrolle und Zensur schaffen und birgt ein inhärentes Risiko für den Missbrauch durch weniger demokratische Regime. Das heute erreichte Sicherheits- und Datenschutzniveau in der digitalen Kommunikation und in IT-Systemen ist das Ergebnis jahrzehntelanger gemeinsamer Anstrengungen von Forschung, Industrie und Politik. Es besteht kein Zweifel, dass dieser Vorschlag diese Sicherheits- und Datenschutzmaßnahmen, die für den Schutz der digitalen Gesellschaft unerlässlich sind, vollständig untergräbt.

Weiterhin weist der Brief auf Widersprüche im neuen Vorschlag hin: Dort heißt es, dass die CSAM-Detektionstechnologie nicht zu einer „Schwächung des durch Verschlüsselung gebotenen Schutzes” führen dürfe.

Es sei jedoch unmöglich, Material zu erkennen und entsprechende Berichte zu übermitteln, ohne die Verschlüsselung zu unterminieren. Zu den zentralen Gestaltungsprinzipien eines sicheren Ende-zu-Ende-Verschlüsselungsschutzes (E2EE) gehöre nämlich die Gewährleistung, dass einerseits nur die beiden vorgesehenen Endpunkte auf die Daten zugreifen können, und zweitens die Vermeidung eines Single Point of Failure.

Zwangs-Detektion und Verschlüsselung schließen sich aus

Wenn aber ein Detektionsmechanismus die Daten vor ihrer Verschlüsselung scanne, wie der aktuelle Vorschlag der Dänen es vorsieht, mit der Möglichkeit, sie nach der Überprüfung an die Strafverfolgungsbehörden zu übermitteln – verstoße das gegen beide Grundsätze: Sie untergrabe die zentrale Kerneigenschaft von E2EE, indem sie über den Detektionsmechanismus auf die privaten Daten zugreife, und schaffe zugleich durch die erzwungene Detektion einen einzelnen Fehlerpunkt für alle sicheren E2EE-Systeme.

Ende-zu-Ende-Verschlüsselung sei aber unerlässlich, damit EU-Bürger:innen sicher und privat online kommunizieren können, insbesondere wenn man bedenke, dass Kernteile unserer Kommunikationsinfrastruktur von US-amerikanischen Big-Tech-Unternehmen kontrolliert würden. Verschlüsselung schütze nicht nur die Zivilgesellschaft, sondern auch EU-Politiker:innen, Entscheidungsträger, Strafverfolgungsbehörden und Verteidigungskräfte. Sie seien in hohem Maße auf Verschlüsselung angewiesen, um eine sichere Kommunikation gegen interne und externe Bedrohungen zu gewährleisten.

Mehr Aufklärung gegen Missbrauch gefordert

Weiterhin wenden sich die Forscher:innen auch gegen die Erzählung, dass CSAM-Darstellungen nur mit technischen Mitteln zu begegnen sei:

Wir erinnern daran, dass CSAM-Inhalte stets das Ergebnis von sexuellem Kindesmissbrauch sind. Ihre Beseitigung setzt daher die Bekämpfung des Missbrauchs selbst voraus, nicht alleine die Verhinderung der digitalen Verbreitung von Missbrauchsmaterial.

Deshalb solle die Politik nicht weiterhin auf Technologien mit zweifelhafter Wirksamkeit wie CSAM-Erkennungsalgorithmen und Altersüberprüfungen setzen, welche die Sicherheit und Privatsphäre erheblich schwächen. Stattdessen sollte sie den von den Vereinten Nationen empfohlenen Maßnahmen folgen. Zu diesen gehörten unter anderem Aufklärung über Einwilligung, Normen und Werte, digitale Kompetenz und Online-Sicherheit und umfassende Sexualaufklärung sowie Hotlines für Meldungen.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Internationaler Strafgerichtshof wirft Microsoft raus


Der Internationale Strafgerichtshof (IStGH) will sich von Technologie aus den USA unabhängig machen – aus Furcht vor Repressalien Donald Trumps, hat das Handelsblatt erfahren. Die Institution in Den Haag will die bislang auf den Arbeitsplätzen genutzte Microsoft-Software durch OpenDesk ersetzen.

Weiterlesen nach der Anzeige

Laut Handelsblatt ist die Entscheidung vor dem Hintergrund von Sanktionen durch die derzeitige US-Regierung unter Präsident Donald Trump gegen Mitarbeiter wie dem Chefankläger Karim Khan zu sehen. Microsoft hatte seinen E-Mail-Zugang einfach gesperrt. Er musste daher zum Schweizer E-Mail-Dienst Proton wechseln. Da der IStGH in hohem Maße auf Dienstleister wie Microsoft angewiesen sei, werde er in seiner Arbeit geradezu gelähmt, hieß es im Mai.

Zudem prüfe die US-Regierung in Washington weitere Maßnahmen gegen den Internationalen Strafgerichtshof, erörtert das Handelsblatt weiter. Auch das könnte die Arbeitsfähigkeit der Einrichtung erheblich einschränken.

Digitale Souveränität erreichen

Die OpenDesk-Software wird vom Zentrum für Digitale Souveränität (Zendis) entwickelt, einer Firma des Bundes. Ihre Aufgabe ist es, beim Auflösen kritischer Abhängigkeiten von einzelnen Technologieanbietern zu helfen.

Beim Internationalen Strafgerichtshof geht es zwar „nur“ um 1800 Arbeitsplätze, die aus der US-Abhängigkeit gelöst werden sollen. Das Handelsblatt sieht das jedoch als Hinweis darauf, dass Geopolitik sich zunehmend um Technologie dreht. Wirtschaft und Politik erkennen die Abhängigkeit von US-amerikanischen Digitalkonzernen als Problem, insbesondere mit Hinblick darauf, dass die USA die Technologie als Druckmittel einsetzen.

Der IStGH steht nicht alleine mit diesen Ambitionen da: Etwa der Öffentliche Gesundheitsdienst will auf OpenDesk setzen, und auch die Deutsche Bundeswehr hat mit Zendis einen Rahmenvertrag über „souveräne Kommunikations- und Kollaborationslösungen“ wie OpenDesk geschlossen.

Weiterlesen nach der Anzeige


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Sicherheitslücke: MOVEit Transfer ist für Attacken anfällig


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Angreifer können an einer Sicherheitslücke in MOVEit Transfer ansetzen, um Dateiübertragungen zu stören. Ein Update steht zum Download bereit.

Weiterlesen nach der Anzeige

Instanzen vor Attacken schützen

Die Entwickler weisen in einem Beitrag auf die Schwachstelle (CVE-2025-10932 „hoch„) hin. Sie raten zu einem zügigen Update. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Das Sicherheitsproblem betrifft konkret das AS2-Modul. Die Beschreibung der Lücke liest sich so, als können Angreifer Schadcode hochladen und so dafür sorgen, dass die Dateiübertragungssoftware nicht mehr nutzbar ist.

Davon sind die Versionen bis jeweils einschließlich 2023.0, 2023.1.15 (15.1.15), 2024.0, 2024.1.6 (16.1.6) und 2025.0.2 (17.0.2) bedroht. Die Entwickler versichern, die Lücke in den folgenden Ausgaben geschlossen zu haben:

  • MOVEit Transfer 2023.1.16 (15.1.16)
  • MOVEit Transfer 2024.1.7 (16.1.7)
  • MOVEit Transfer 2025.0.3 (17.0.3)

Weil der Support für 2023.0 und 2024.0 ausgelaufen ist und es keine Sicherheitsupdates mehr gibt, müssen Admins auf eine noch unterstützte Version upgraden. Alternativ gibt es eine Übergangslösung: Um Systeme abzusichern, müssen Admins unter C:\MOVEitTransfer\wwwroot die Dateien AS2Rec2.ashx und AS2Receiver.aspx löschen.

Nach der Installation des Sicherheitsupdates ist noch Arbeit vonnöten: Weil der Patch den Zugriff durch eine Liste mit erlaubten IP-Adressen einschränkt, müssen Admins die jeweiligen Adressen manuell in den Einstellungen (Settings->Security Policies->Remote Access->Default Rules) eintragen. Im Onlinedienst MOVEit Cloud soll bereits eine abgesicherte Ausgabe laufen.

Weiterlesen nach der Anzeige

MOVEit sorgte Mitte 2023 für viele Schlagzeilen, weil eine attackierte kritische Lücke weltweite Auswirkungen hatte.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Monitoring-Software Checkmk: Update stopft kritische Cross-Site-Scripting-Lücke


Eine Schwachstelle in der Netzwerk-Monitoring-Software Checkmk kann dazu führen, dass Angreifer Javascript-Code einschleusen – oder sogar unbefugt Befehle ins Betriebssystem durchreichen. Es handelt sich um eine Cross-Site-Scripting-Lücke, die die Entdecker als kritisch einordnen.

Weiterlesen nach der Anzeige

Die Sicherheitslücke beschreibt SBA-Research konkret als Stored-Cross-Site-Scripting-Schwachstelle. Sie kann auftreten, wenn Checkmk in einem verteilten Monitoring-Setup betrieben wird. In dem Fall kann jede verbundene Remote-Site Javascript-Code in das Userinterface der zentralen Site injizieren (CVE-2025-39663, CVSS 9.1, Risiko „kritisch„). Angreifer, die Kontrolle über eine verbundene Remote-Site haben, können demzufolge durch Ansicht des Status der Hosts oder Dienste der Remote-Site die Kontrolle über Web-Sessions übernehmen. Attackieren bösartige Akteure eine Admin-Session, ermöglicht das die Ausführung von Code aus dem Netz (RCE) in der zentralen Site.

Proof-of-Concept verfügbar

Die IT-Forscher zeigen in der Schwachstellenbeschreibung auch einen Proof-of-Concept (PoC), der die Lücke ausnutzt. Sie führen weiter vor, wie es bei attackierten Admin-Sitzungen dadurch zur Ausführung von Befehlen im Betriebssystem kommen kann.

Die vor Kurzem veröffentlichten Versionen 2.4.0p14 sowie 2.3.0p39 von Checkmk schließen die Sicherheitslücke. In der Sicherheitsmitteilung empfehlen die Autoren, zügig auf diese Versionen zu aktualisieren. Admins sollten die Aktualisierungen auch deshalb rasch anwenden, da Angreifer mit dem verfügbaren PoC die Schwachstelle leicht missbrauchen können. Die IT-Forscher von SBA-Research empfehlen zudem, die Option „Trust this site completely“ für alle Remote-Sites zu deaktivieren.

Erst vor kurzem hatte Checkmk aktualisierte Software herausgegeben, die eine Rechteausweitungslücke im Windows-Agent schloss. Mit einem CVSS-Wert von 8.8 galt sie als hochriskant und schrammte nur knapp am kritschen Status vorbei.


(dmk)



Source link

Weiterlesen

Beliebt