Datenschutz & Sicherheit
Jugendschutz-Empfehlungen: „Ein Blumenstrauß von Vorschlägen und Ideen“
Schutz, Befähigung und Teilhabe – auf diesen drei Säulen sollen die Empfehlungen der Expert*innen-Kommission „Kinder- und Jugendschutz in der digitalen Welt“ fußen. Das haben die Co-Vorsitzenden des vom Familienministerium einberufenen Gremiums am heutigen Dienstag auf der Tincon erklärt. Die Jugendkonferenz läuft parallel zur Digitalkonferenz re:publica.
Manche würden behaupten, sie seien die „Social-Media-Verbots-Kommission“, erklärt Nadine Schön (CDU) den aufmerksam lauschenden Jugendlichen in Berlin. Aber: „Das sind wir überhaupt nicht“. Die Arbeit der Expert*innen sei deutlich breiter und beginne schon damit, wie die digitale Welt auf Babys wirkt. Schön ist ehemalige Bundestagsabgeordnete.
Das Ziel seien „evidenzbasierte Empfehlungen“, erklärt sie. „Handlungsempfehlungen machen, die wirklich funktionieren.“ Dabei gehe es nicht nur um Gesetze, sondern auch um die Rolle von etwa Eltern, Kitas, Schulen, Jugendarbeit und Ärzt*innen.
Dem Vernehmen nach sollen die Expert*innen ihre Empfehlungen am 24. Juni vorlegen. Bereits Ende April gab ein Zwischenbericht zum Forschungsstand und Hinweise, in welche Richtung das gehen könnte. Aus dem Bericht geht hervor: Mit einem pauschalen Social-Media-Verbot nach australischem Vorbild ist Kindern und Jugendlichen eher nicht geholfen. Dafür sind die Gefahren und Vorteile des Internets zu komplex.
Köller bei Altersgrenzen „hin- und hergerissen“
Dennoch hat der Zwischenbericht ein Social-Media-Verbot nicht ausdrücklich ausgeschlossen. Das vermeiden auch Nadine Schön und Olaf Köller auf der Tincon-Bühne. Köller, Professor für Erziehungswissenschaft und Pädagogische Psychologie in Kiel, sagt mit Blick auf feste Altersgrenzen, er sei „hin- und hergerissen“. Eine abschließende Antwort gibt er nicht. Es sei ein „ja, aber“ oder ein „nein, aber“. Kurzum: Die beiden Co-Vorsitzenden wollen nichts vorwegnehmen.
Was Schön jedoch schon verrät: „Es wird ein Blumenstrauß von Vorschlägen und Ideen sein.“ Weiter sagt sie, dass sich das Gremium viel mit dem Design der Plattformen befasse, das „dazu führt, dass man länger, als man vielleicht will, Social Media nutzt“.
Wir sind ein spendenfinanziertes Medium.
Unterstütze auch Du unsere Arbeit mit einer Spende.
Der Kontext sind sogenannte manipulative und suchtfördernde Designs wie endloses Scrollen oder Push-Benachrichtigungen, die Apps wie TikTok oder Instagram ihre schier unwiderstehliche Sogwirkung geben. Regulieren lässt sich das bereits heute auf Grundlage des Gesetzes über digitale Dienste (DSA); nachschärfen könnte das geplante Gesetz über digitale Fairness (DFA).
Kaum eine netzpolitische Forderung erzeugt gerade so viele Schlagzeilen wie ein Social-Media-Verbot nach australischem Vorbild. Seit mehreren Monaten machen Politiker*innen in der EU auf höchster Ebene Druck. Von den deutschen Ministerinnen für Justiz oder Familie über die SPD-Fraktion bis hin zu EU-Kommissionspräsidentin Ursula von der Leyen (CDU) fordern sie feste Altersgrenzen, begleitet von strengen Alterskontrollen für alle. Fachleute aus unter anderem Kinderschutz, Medienpädagogik, Datenschutz und IT-Sicherheit warnen eindringlich davor.
Schön betont Unabhängigkeit ihres Gremiums
Bedeutet das nicht viel Druck für die Expert*innen Schön und Köller? Falls ja, lassen sie es sich jedenfalls nicht anmerken. „Wir sind eine unabhängige Kommission“, erklärt Schön den jungen Menschen auf der Tincon. „Das heißt, niemand darf uns irgendwas sagen.“ Es dürfe zwar jeder anrufen und seine Meinung teilen. „Aber uns hat niemand was zu sagen“.
Die formelle Unabhängigkeit gilt jedoch in beide Richtungen – auch die Bundesregierung kann sich von den Expert*innen nichts vorschreiben lassen. Mehr zu sagen hat ohnehin die EU-Kommission, denn der Großteil der Digitalregulierung ist europäisch. Parallel zu den Expert*innen auf Deutschland-Ebene arbeitet deshalb ein weiteres unabhängiges Gremium auf EU-Ebene. Teils gibt es personelle Überschneidungen.
Am 12. Mai scharrte EU-Kommissionspräsidentin von der Leyen bereits hörbar mit den Hufen, als sie sagte: „Ohne Ergebnisse des Gremiums vorwegzunehmen: Es ist meine Überzeugung, dass wir einen zeitlichen Aufschub für soziale Medien in Betracht ziehen müssen.“ Mit „Aufschub“ meint sie an dieser Stelle beschönigend ein Social-Media-Verbot für Minderjährige. Ein passendes Gesetz, so von der Leyen, könnte die EU-Kommission noch diesen Sommer vorlegen.
Datenschutz & Sicherheit
Frühere Staatstrojaner-Untersuchungen der EU: Ausschussmitglied mehrfach mit Pegasus-Software infiziert

Nicht mal einen irreführenden Link habe Stelios Kouloglou angeklickt. Dennoch wurde das Mitglied des EU-Sonderausschusses, das in den Jahren 2022 und 2023 den Einsatz kommerzieller Staatstrojaner-Software und mögliche Verstöße gegen EU-Recht untersuchte, selbst Opfer mehrerer Angriffe. Das kanadische Citizen Lab hat heute einen Bericht veröffentlicht, demzufolge auch geheime Dokumente und Besprechungen ausgespäht worden sein könnten.
Stelios Kouloglou ist investigativer Journalist und war zwischen 2015 und 2024 Mitglied des EU-Parlaments. Im Jahr 2022 wurde er stellvertretendes Mitglied des PEGA-Komitees der EU, das als Reaktion auf das Pegasus Project gegründet wurde: Dieses hatte offengelegt, dass Menschen aus dem Journalismus, Aktivismus und der Politik sowie andere Bürger:innen weltweit mit der Software Pegasus ins Visier genommen worden waren. Der Ausschuss sollte die europäische Dimension des Skandals untersuchen und Konsequenzen erarbeiten.
Während der Spionage-Ermittlung ausspioniert
Pegasus ist ein Staatstrojaner des israelischen Unternehmens NSO Group, mit der sich iOS- und Android-Geräte ausspähen lassen. Als Staatstrojaner gelten Programme, mit denen Ermittlungsbehörden heimlich in IT-Systeme eindringen und diese überwachen.
Dem Citizen Lab der Universität Toronto zufolge ist dies der erste Nachweis, dass ein Mitglied des PEGA-Ausschusses Ziel eines Angriffs geworden war. Angestoßen wurde die Analyse durch das Opfer selbst: Im Mai dieses Jahres wandte sich Kouloglou an das Citizen Lab, das eine forensische Analyse seines iPhones durchführte. Das Ergebnis: Sein Gerät wurde gleich zwei Mal, am 21. Oktober 2022 und am 6. und 7. März 2023 mit Pegasus infiziert. Der erste Angriff lag in einer „besonders intensiven“ Arbeitsphase des Komitees zu einem vorläufigen Bericht über Überwachungsfälle. Zum Zeitpunkt des zweiten Angriffs trug Kouloglou zu Diskussionen um den finalen Ausschussbericht bei.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Das Citizen Lab schreibt die Angriffe keinem konkreten Klienten der NSO Group zu. Die Analyse würde aber darauf hinweisen, dass dieselben Angreifenden hinter den Attacken auf sieben russische und belarussische Journalist:innen und Aktivist:innen stecken könnten. Die Infektionen lassen sich mit derselben Apple-ID verbinden. Auf Kouloglous Smartphone kamen offenbar Infektionen in Belgien und Griechenland vor: Die Angreifenden könnten also über eine NSO-Group-Lizenz verfügt haben, die mehrere europäische Länder einschloss.
Alle Arbeit umsonst?
Das Citizen Lab ruft dazu auf, dass frühere Mitglieder des PEGA-Ausschusses und ihre Mitarbeitenden ihre Geräte analysieren lassen sollten. Es liege an der EU und auch nationalen Parlamenten, Angriffe auf ihre Parlamentsmitglieder und parlamentarische Prozesse zu untersuchen.
Dass die Analyse politisches Gehör findet, ist unwahrscheinlich: Die Empfehlungen des Komitees stauben ein. Seitdem haben abermalige Untersuchungen den Einsatz weiterer Staatstrojaner aufgedeckt. In Deutschland wurde noch in diesem Jahr ein Gesetzentwurf diskutiert, der der Bundespolizei erlauben würde, Geräte mit Schadsoftware zu infiltrieren.
Datenschutz & Sicherheit
Kommentar: CISA-Übereifer macht CVSS-Scores wertlos
Wer als Admin für das Beseitigen von Sicherheitslücken zuständig ist – oder als Journalist über ebensolche berichten will, um Verantwortlichen die Arbeit zu erleichtern –, ist auf zuverlässige Informationsquellen angewiesen. Die müssen im allerersten Schritt beim Priorisieren helfen: Welche Updates sollten möglichst zeitnah durchgeführt werden, um Gefahren abzuwenden, und welche können warten?
Weiterlesen nach der Anzeige
Das Common Vulnerability Scoring System (CVSS) soll als De-facto-Standard diese erste Einschätzung erleichtern: Scores von 1.0 („low“) über „medium“ bis hin zum Maximum von 10.0 („critical“) bewerten den Schweregrad. Das klingt wunderbar einfach – doch in der Praxis klaffen die Einschätzungen je nach Quelle oft weit auseinander.
„Jetzt patch…“ – Kommando zurück?
Ursprünglich sollte der Titel dieses Beitrags in etwa so lauten: „Jetzt aktualisieren: Wichtige Sicherheitsupdates für Tomcat und ActiveMQ verfügbar“.
Die Headline eines typischen heise-security-Alerts also, basierend auf einer Warnmeldung des CERT-Bund mit Verweis auf Einträge in der GitHub Advisory Database. Ein Alert deshalb, weil sich unter den gesammelten Sicherheitshinweisen auch zwei als kritisch gekennzeichnete Sicherheitslücken in Apache Tomcat befanden: CVE-2026-53434 und CVE-2026-55276.
Was auf den ersten Blick eindeutig meldenswert schien, verwirrte auf den zweiten. Denn in den Diskussionsbeiträgen auf der Apache-Mailingliste zu CVE-2026-53434 beziehungsweise CVE-2026-55276 schätzt ein Entwickler aus dem Apache-Team die Bedrohung in beiden Fällen als niedrig („low“) ein.
Die Beschreibungen sind jeweils eher knapp. Deutlich wird: CVE-2026-53434 ist nur unter sehr eng gesteckten Bedingungen ausnutzbar, nämlich wenn Admins den sogenannten FFM-Konnektor in Verbindung mit Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) konfiguriert haben. CVE-2026-55276 wiederum ist ein eher vage beschriebener Autorisierungsbug, zu dem ein separates Red-Hat-Advisory anmerkt: „This is a logging-only issue with no runtime security impact[…]“.
Weiterlesen nach der Anzeige
Im Score vergriffen
Wie kommen nun die in der National Vulnerability Database (NVD) hinterlegten Scores von 9.1 für CVE-2026-55276 beziehungsweise CVE-2026-53434 zustande?
Ein Blick in die NVD-Einträge mit dem Vermerk „CISA-ADP“ offenbart ein Eingreifen der US-Cybersicherheitsbehörde CISA in den Scoring-Prozess. Die hat seit 2024 die Erlaubnis, in ihrer Rolle als Authorized Data Publisher (ADP) Einträge in der CVE-Datenbank eigenmächtig zu vervollständigen. Zwar nur innerhalb eines vordefinierten Daten-Containers, dafür aber ohne Rücksprache mit den CNAs (CVE Numbering Authorities), die die Einträge angelegt haben. Haben diese keinen CVSS-Punktwert hinterlegt, kann die CISA im Rahmen ihres sogenannten Vulnrichment-Prozesses „nachbessern“.
Entwickler haben diese Praxis in der Vergangenheit immer wieder kritisiert. So äußerte etwa Daniel Stenberg, Erfinder und Hauptentwickler des Open Source-Kommandozeilentools cURL, dass der Prozess des CVSS-Scorings schon per se ein hohes Risiko für Fehleinschätzungen berge. Diese Gefahr werde durch eigene Punkteberechnungen autorisierter Instanzen wie der CISA noch verschärft.
Im Zweifel genauer hinschauen
Schon die Kritik am CVSS-System selbst reicht von der intransparenten Herleitung von Formeln über die Komplexität im Hinblick auf diverse Zusatzmetriken bis hin zu den Eigeninteressen der jeweils bewertenden Personen, die den Score in eine für sie günstige Richtung von Hype bis Verharmlosung verschieben können.
Wenn dann auch noch eine ADP mit fast zufällig wirkenden Scores dazwischenfunkt, wird aus einer grundsätzlich guten Idee eine reine Zeitverschwendung. Und schlimmstenfalls eine Gefahrenquelle für Admins, die Patches irrtümlich hinten anstellen, weil sie sich zu sehr auf einen Score verlassen haben, statt diesen kritisch zu hinterfragen.
Zurück zu Tomcat und ActiveMQ: Die Updates sollten Sie natürlich trotzdem einspielen. Aber in Ruhe und vielleicht sogar beim Hören des Passwort-Podcasts von heise security, dessen aktuelle Folge sich um Sinn und Unsinn von CVSS und anderen Klassifikationssystemen dreht.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
(ovw)
Datenschutz & Sicherheit
Vereinte Nationen: „Wir können nicht mehr sagen, wir hätten von nichts gewusst“

Das wissenschaftliche KI-Gremium der Vereinten Nationen hat am Mittwoch einen ersten vorläufigen Bericht zu den Chancen, Risiken und Einsatzmöglichkeiten Künstlicher Intelligenz veröffentlicht. KI könne massive Fortschritte in der Medizin, der Landwirtschaft und vielen weiteren Feldern bringen. Doch die Kluft zwischen ihrer rapiden Entwicklung und der aktuellen KI-Regulierung kann dem Bericht zufolge katastrophale Folgen haben, etwa in der Biotechnologie oder Cybersicherheit.
Das Gremium sieht ein großes Dilemma. Auf der einen Seite sollen Regierungen möglichst evidenzbasiert handeln. Auf der anderen Seite entwickeln sich KI-Technologien so schnell, dass Regulierung zu spät komme, wenn wissenschaftliche Befunde feststehen. „Die Fähigkeiten Künstlicher Intelligenz entwickeln sich schneller weiter, als es möglich ist, sie zu messen oder regulieren“, heißt es im Bericht. Zudem könne KI aktiv über ihre Fähigkeiten hinwegtäuschen. Selbst unter den Industrieländern mangele es an technischer Expertise, um Gefahren fortschrittlicher KI-Modelle einzuschätzen.
KI verstärkt globale Ungleichheiten
Ein weiterer Schwerpunkt des Berichts liegt auf dem Digital Divide, der Spaltung im Zugang zu Technologien zwischen reichen und armen Ländern. Folgen der Technologie für die Umwelt würden den Globalen Süden stärker treffen als den Norden, verzerrte KI-Modelle und Deepfakes vor allem marginalisierten Gruppen schaden. Darüber hinaus geht es den Fachleuten um Mitbestimmung: Länder, die KI zwar einsetzen, aber keinen Einfluss auf ihre Entwicklung haben, würden Anschluss und Kontrolle verlieren. Zu investieren sei deshalb lokal: nicht nur in eigene Infrastrukturen, sondern auch in KI-Kompetenz und Regulierungsmaßnahmen.
Das Gremium aus 40 internationalen Forschenden verschiedener Disziplinen soll unabhängig von den Vereinten Nationen arbeiten. Seine Aufgabe ist nicht, direkte politische Maßnahmen vorzuschlagen. Vielmehr sollen die Fachleute den aktuellen Wissensstand aufzeigen, damit daraus entsprechende Schritte abgeleitet werden können. Unter Künstlicher Intelligenz fasst das Gremium alle Maschinensysteme, die „wahrnehmen, lernen und handeln“.
Vom 6. bis 7. Juli findet in Genf der erste Global Dialogue on AI Governance statt: Hier dient der Bericht als Grundlage für die Gespräche der UN-Mitgliedsstaaten. Die Arbeit des Gremius geht unterdessen weiter. Der Bericht soll kontinuierlich erweitert werden, außerdem plant das Gremium Berichte zu inhaltlichen Schwerpunkten wie KI und Umwelt oder KI und Kinderschutz.
„Wir können nicht mehr sagen, wir hätten von nichts gewusst“, sagte UN-Generalsekretär António Guterres auf der Pressekonferenz zum Bericht. „Was wir damit tun, hängt jetzt von uns allen ab.“
-
Künstliche Intelligenzvor 3 MonateniX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 2 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Apps & Mobile Entwicklungvor 2 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Künstliche Intelligenzvor 2 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
