Die IT-Sicherheitsfirma Octagon Networks hat mit ihrem Tool pwn.ai kritische Sicherheitslücken in der Grafikverarbeitungssoftware ImageMagick aufgespürt. Die Schwachstellen treten in Standardkonfigurationen unter mehreren weitverbreiteten Linux-Distributionen auf und können Angreifern das Einschleusen und Ausführen von Schadcode aus dem Netz oder das Schreiben und Lesen von Dateien sowie das Umgehen von Sicherheitsrichtlinien ermöglichen.

Wie das Unternehmen in seiner Analyse schreibt, sind Millionen Server in mehreren Konfigurationen anfällig. Das Tool hat mehrere Zero-Day-Lücken entdeckt, die mit der Sicherheitsrichtlinien-Architektur in ImageMagick unter jeder größeren Linux-Distribution sowie WordPress-Installationen auftreten können. Die IT-Sicherheitsforscher erklären, dass das Hochladen von manipulierten .pdf- oder .jpg-Dateien ausreicht, um dort Remote-Code-Ausführung zu erreichen.

Eingeschränkte Testumgebung

Die Testumgebung bestand aus einer Web-App mit minimaler Angriffsoberfläche. Sie stellt keine API oder interessante Felder bereit, sondern verarbeitet lediglich Rechnungen; sie hat auch kein clientseitiges JavaScript. Das Upload-Feld sei am interessantesten daran. Die hochgeladenen Dateien verarbeitet ImageMagick. Die Software ist laut Analyse auf Millionen Servern installiert, auf dem ersten Testsystem unter Ubuntu 22.04 ohne bekannte, ungepatchte Schwachstellen. Das KI-Tool hat daher ImageMagick als Angriffsvektor ausgemacht und es in seiner eigenen Sandbox installiert und analysiert.

Dabei fand es eine Schwachstellenverkettung, bei der sich Filterung mit Magic-Bytes von .svg-Dateien und eine PostScript-Filter-Richtlinie durch Nutzung des EPSI-Formats umgehen ließen. ImageMagick reagierte auf die Meldung mit einer angepassten Richtlinie, da die Standard-Richtlinien nur als Baseline-Template gedacht seien. Diese Standard-Richtlinien seien jedoch weitverbreitet im Einsatz, führen die IT-Forscher weiter aus. Sie kommen etwa in Ubuntu 22.04, Debian 11 und 12, Fedora/RHEL/CentOS, Arch Linux / Alpine Linux / OpenSUSE, Amazon Linux, Google Cloud Shell, macOS Homebrew und in den meisten Docker-Images zum Einsatz. Diese sind damit alle anfällig für die gefundenen Schwachstellen.

Auch mit der angepassten Richtlinie fand das KI-Tool weitere Sicherheitslücken, die die Filterung umgehen und Dateien auf die verwundbaren Systeme schreiben. Mit manipulierten Dateien im PDF-Format etwa ließ sich Schadcode-Schmuggel und -Ausführung aus dem Netz erreichen. In der als „Secure Policy“ genannten Richtlinie war es zudem noch möglich, Dateien etwa im /tmp-Verzeichnis zu lesen und zu schreiben. Damit ließen sich Denial-of-Service-Angriffe durch RAM-Verbrauch oder PHP-Session-Poisoning auslösen. Aber auch Codeschmuggel ist möglich, da die Skriptsprache von ImageMagick Dateien in jedem Pfad auf dem Laufwerk lesen und schreiben kann.

Tatsächliche Bedrohungslage

Die IT-Forscher schreiben, dass WordPress standardmäßig ImageMagick mittels PHP-ImageMagick-Erweiterung etwa zur Erstellung von Thumbnails, zur Änderung von Bildgrößen sowie zur Anzeige von PDF-Vorschauen nutzt. Es setzt dabei keine Sicherheitsrichtlinie für ImageMagick, sondern verlässt sich auf die Server-Standards. Die Standard-WordPress-Installationen sind somit sehr wahrscheinlich verwundbar. Das Gravity-Forms-Plug-in für WordPress mit mehr als zwei Millionen Installationen ermöglicht dadurch nicht authentifizierten Angreifern, Schadcode aus dem Netz einzuschmuggeln. Dafür sei die Payload jedoch komplex.

Die Analyse liefert einige Proof-of-Concepts (PoC) mit. ImageMagick hat ein betroffenes Modul (EPT) den Autoren des Berichts zufolge stillschweigend ausgebessert. Es fehle ein CVE-Eintrag, die Korrektur sei nicht als Sicherheitsfix deklariert und auf Ubuntu 22.04 mit ImageMagick 6.9.11-60 nicht zurückportiert worden, beschweren sie sich.

IT-Verantwortliche finden in der Analyse Gegenmaßnahmen, die sie ergreifen sollten. Dazu zählt das Entfernen von Ghostscript oder die Verarbeitung von PDFs in einer isolierten Sandbox ohne Netzwerkzugriff und mit Read-Only-Dateisystem. Wer WordPress nutzt, sollte sicherstellen, dass die Datei „policy.xml“ des Servers keine Uploads gestattet. Der XML-RPC von WordPress nimmt keine Prüfungen vor und sollte deaktiviert werden. Wenn Gravity Forms mit „Post Image“-Feld zum Einsatz kommt, sollten Admins in der ImageMagick-Richtlinie die Verarbeitung von PostScript unterbinden.

ImageMagick werkelt vielerorts oft unbemerkt im Hintergrund. Dabei werden in der Software öfter teils auch gravierende Sicherheitslücken geschlossen. Updates von Ende Februar haben etwa 40 Schwachstellen ausgebessert, von denen acht als hochriskant eingestuft waren. Die Bedrohung ist nicht nur akademischer Natur – Sicherheitslecks in ImageMagick werden auch in freier Wildbahn attackiert.

(dmk)

Mindestens 313 Mal wurde in 52 Ländern im Vorjahr das Internet teilweise oder vollständig abgeklemmt. 75 dieser Netzsperren in 33 Ländern hielten zudem das gesamte Jahr über an, wie der jährliche Bericht der Nichtregierungsorganisation Access Now und der KeepItOn-Koalition aufzeigt.

Demnach waren zum dritten Mal in Folge Konflikte in Ländern wie Kambodscha, der Demokratischen Republik Kongo oder Äthiopien der Hauptauslöser für Netzsperren. Das ist eine bemerkenswerte Entwicklung: Vor grob einem Jahrzehnt lagen solche Netzsperren im niedrigen einstelligen Bereich, im Vorjahr haben sie den Höchststand von 125 Blockaden in insgesamt 14 Ländern erreicht. Damit machten sie in der Statistik von KeepItOn rund 40 Prozent aller weltweiten Netzsperren aus.

Sperren gegen Unruhen

An zweiter Stelle folgten 64 Sperren aufgrund von Protesten oder politischer Instabilität. Im afrikanischen Togo kam es beispielsweise im Sommer 2025 zu Massenprotesten, getrieben vorrangig von Jugendlichen. Nach einer Repressionswelle der Regierung, die mindestens sieben Todesopfer forderte, blockierte sie teils monatelang den Zugang zu Online-Diensten wie Signal, Facebook und DuckDuckGo. Zudem drosselte sie tagsüber den allgemeinen Zugang zum Netz.

„ Jahr für Jahr streben Machthaber danach, Wahlen zu beeinflussen, Menschen zum Schweigen zu bringen und zu isolieren und unsere Rechte mit der gezielten Abschaltung des Internets ungestraft anzugreifen“, sagt Felicia Anthonio, die für Access Now die KeepItOn-Kampagne koordiniert.

Das kann sich auch auf weniger dramatischen Ebenen abspielen. In 48 Fällen wurde das Internet wegen „Informationskontrolle“ gesperrt, etwa begleitend zu schulischen Abschlussprüfungen in elf Fällen, um Schummeln zu verhindern, so der KeepItOn-Bericht.

Langzeitbeobachtung zeigt Trends auf

Die Initiative besteht seit dem Jahr 2017 und sammelt Datenmaterial, das bis ins Jahr 2016 zurückreicht. Erhoben werden die Daten mit der sogenannten STOP-Methode, die technische Ansätze mit qualitativen mischt. Die Rohdaten stehen frei verfügbar im Netz, zudem bietet Access Now ein eigenes Dashboard an.

Der Trend, bei Bedarf das Internet abzuklemmen, dürfte insbesondere bei autoritären Regierungen anhalten. So ordnete Iran nach Massenprotesten Anfang des Jahres ein nahezu vollständiges Internet-Blackout des Landes an. Die Proteste wurden zwar inzwischen vom Krieg der USA auf Iran abgelöst, die Blockade besteht jedoch bis zum heutigen Tag fort. Eine Kommunikation mit der Außenwelt ist seitdem fast unmöglich.

Darf Deutschland soziale Medien für Minderjährige verbieten? Damit haben sich die Wissenschaftlichen Dienste des Bundestags nun ein zweites Mal befasst. Nach wie vor sehen sie dafür keinen Spielraum. Vor allem das EU-Recht stellt Deutschland – und anderen EU-Mitgliedstaaten – hohe Hürden in den Weg. Das geht aus dem 27-seitigen Bericht hervor, den wir hier veröffentlichen.

Bereits im August 2025 sind die Wissenschaftlichen Dienste in eine Analyse zu diesem Ergebnis gekommen. Seitdem sind die Forderungen nach einem Social-Media-Verbot in Deutschland nur noch lauter geworden. Die CDU hat sich dem Vorhaben per Parteitagsbeschluss verschrieben, auch wichtige SPD-Politiker*innen fordern es. Zuspruch gibt es vom Kanzler und vom Vize-Kanzler. Deutschland ist damit in der EU nicht allein. Unter anderem Frankreich, Spanien und Österreich verfolgen ähnliche Pläne.

Eingriff ins Elternrecht

Die Expert*innen der Wissenschaftliche Dienste arbeiten laut Selbstbeschreibung parteipolitisch neutral und sachlich objektiv. Gegen ein deutsches Social-Media-Verbot für Minderjährige sprechen ihrem Bericht zufolge vor allem vier rechtliche Gründe.

Erstens: Der Anwendungsvorrang. Er bedeutet, dass im Zweifel EU-Recht vor nationalem Recht gilt. Und die EU hat bereits einen Rechtsrahmen für soziale Medien. Das Gesetz über digitale Dienste (DSA) sieht je nach Risiko und je nach Online-Dienst spezifische Maßnahmen vor, auch zum Schutz von Minderjährigen. Das kann zum Beispiel bedeuten, dass ein Social-Media-Dienst suchtfördernde Funktionen abmildern muss. Auch Altersgrenzen und Kontrollen sind im DSA eine Option, aber keine Pflicht.

Nationale Regelungen wie ein Social-Media-Verbot könnten sich mit dem DSA beißen. Mitgliedstaaten dürften sie zwar beschließen, aber nicht anwenden. Die Expert*innen schreiben dazu: Der Anwendungsvorrang wirke dann, wenn „eine nationale Regelung den Anwendungsbereich der jeweiligen EU-Verordnung tangiert oder eine ähnliche Zielsetzung verfolgt“.

Zweitens: Die „vollständige Harmonisierung“ des Binnenmarkts. Hier geht es um Unternehmen. Zerstückelte Regelwerke in 27 Mitgliedstaaten sollen sie nicht abschrecken, in der EU Geschäfte zu machen. Stattdessen sollen die einheitlichen Vorschriften im DSA „eine Fragmentierung des Binnenmarkts verhindern bzw. beenden“, fassen die Wissenschaftlichen Dienste zusammen.

Drittens: Das Herkunftslandprinzip. Hier geht es darum, dass internationale Konzerne nur in dem EU-Mitgliedstaat reguliert werden sollen, wo sie auch ihren Sitz haben. Im Fall sozialer Medien wie TikTok, Instagram oder YouTube ist das Irland. Die Jurist*innen der Wissenschaftlichen Dienste halten deshalb fest:

Nationale Regelungen bzgl. einer Sperrung bzw. Beschränkung von Social-Media-Plattformen (z.B. Meta, Google, X, TikTok etc.) hätten danach weitgehend keine Auswirkungen.

Viertens: Das Elternrecht. Hier geht es mal nicht um EU-Recht, sondern ums Grundgesetz, und zwar ums „grundrechtlich gewährleistete Erziehungsrecht der Eltern“. Dieses Elternrecht schützt Eltern „vor Eingriffen in Fragen der Kindererziehung“, wie die Jurist*innen erklären. „Es umfasst dabei gegebenenfalls auch ihre Entscheidung, Medieninhalte ihren Kindern zugänglich zu machen, die sich potenziell schädlich auswirken können“.

Das bedeutet: Selbst wenn manche Eltern gerne ein staatliches Social-Media-Verbot für ihre Kinder hätten – möglicherweise darf sich der Staat in dieser Form schlicht nicht in die Erziehung einmischen.

„Populistische Verbote“

Unterm Strich beschreiben die Jurist*innen vor allem Hürden für ein deutsches Social-Media-Verbot; Spielräume dagegen nicht. Das letzte Wort ist damit aber nicht gesprochen – das wäre auch nicht die Aufgabe der Wissenschaftlichen Dienste. Hierfür verweisen die Expert*innen auf den Europäischen Gerichtshof: „Abschließend könnte über die Frage verbleibender Regelungsspielräume der Mitgliedstaaten im Bereich des Verbots bzw. der Beschränkung von Social-Media-Plattformen nur der EuGH entscheiden.“

Der Bundestagsabgeordnete David Schliesing (Die Linke) kommentiert mit Blick auf das Gutachten: „Obwohl die Regierungsparteien populistisch Verbote als schnelle Lösung fordern, würden diese sowohl im EU-Recht als auch durch das Grundgesetz auf erhebliche Hürden stoßen.“ Die Debatte solle schnellstmöglich versachlicht werden. „Erstens müssen die bereits bestehenden rechtlichen Instrumente endlich konsequent genutzt werden“, so Schliesing, „zweitens müssen wir die Medienpädagogik stärken. Schulen, Familien und die Jugendhilfe benötigen dafür mehr Zeit, Personal und bessere Rahmenbedingungen.“

„Ein Social-Media-Verbot macht den Jugendschutz schlechter“

Die dünne Rechtslage dürfte den Befürworter*innen nationaler Social-Media-Verbote in Deutschland und anderen EU-Mitgliedstaaten bekannt sein. Wohl auch deshalb verbinden viele ihre Vorstöße mit Forderungen nach einer EU-weiten Lösung, so auch die Unterzeichner*innen des SPD-Papiers. Auf diese Weise gerät die EU-Kommission unter Druck, möglicherweise doch noch einen eigenen Entwurf für ein EU-weites Verbot vorzulegen.

Viele Organisationen haben Kritik an einem Social-Media-Verbot und den zur Durchsetzung geforderten Alterskontrollen. Warnungen und Ablehnung kommen etwa von Kinderschützer*innen und Lehrer*innen, von IT-Sicherheitsforschenden, aus kirchlichen Organisationen und Elternverbänden. Bis Sommer sollen Expert*innen-Kommissionen auf EU-Ebene und Deutschland-Ebene Lösungen für Kinder- und Jugendschutz im Netz entwickeln.