Connect with us

Datenschutz & Sicherheit

Kein Nachweis, dass Massen-Scans verhältnismäßig sind


Heimlich, still und leise hat die EU-Kommission nun doch ihren Bericht zur freiwilligen Chatkontrolle veröffentlicht. Dazu ist sie gesetzlich verpflichtet, um die Verhältnismäßigkeit der freiwilligen Massen-Scans zu untersuchen.

Seit Anfang September stand der Bericht bereits aus. Die EU-Kommission zögerte ihn monatelang hinaus und veröffentlichte ihn dann genau am Tag nach der Einigung zur Chatkontrolle im EU-Rat.

Der Kommissionsbericht kann auch nach mehreren Monaten Verzögerung wieder keine ausreichenden Fakten und Statistiken liefern, um ein Urteil über die Verhältnismäßigkeit der freiwilligen Chatkontrolle zu treffen. Die aufgelisteten Zahlen von Dienste-Anbietern und Mitgliedstaaten sind nach wie vor unvollständig und nicht hinreichend. Die EU-Kommission schlussfolgert daher zur Verhältnismäßigkeit: „Die verfügbaren Daten reichen nicht aus, um diese Frage eindeutig zu beantworten.“

Konstantin Macher von der Digitalen Gesellschaft kommt in der Frage die Verhältnismäßigkeit zu dem Ergebnis: „Es gibt auch über vier Jahre nach dem ersten Beschluss zur freiwilligen Chatkontrolle keine Evidenz, dass diese Form der Massenüberwachung funktionieren würde. Die freiwillige Chatkontrolle ist ein massiver Grundrechtseingriff, dessen Verhältnismäßigkeit nicht nachgewiesen werden kann. Sie ist unverhältnismäßig.“

Kommentieren oder Einordnen will die EU-Kommission selbst ihren Bericht offenbar nicht. Auf Nachfrage von netzpolitik.org sagte eine Sprecherin, dass „keine weitere Kommunikation“ zu dem Bericht geplant sei. Angesichts der Tatsache, dass die Chatkontrolle zumindest in einigen EU-Ländern ein breit diskutiertes Thema ist und von Experten und aus der Wissenschaft jahrelang sehr kritisch bewertet wurde, überrascht die Funkstille.

Freiwillige Chatkontrolle nur als Ausnahme erlaubt

Die freiwillige Chatkontrolle ist kaum weniger umstritten als der verpflichtende anlasslose Zwang zum Scannen, über den drei Jahre verhandelt wurde. Denn in Europa muss die Vertraulichkeit der Kommunikation von den Mitgliedstaaten sichergestellt werden. So schreibt es die EU-Datenschutzrichtlinie für elektronische Kommunikation schon seit 2002 vor.

Es ist also in Europa grundsätzlich nicht erlaubt, massenhaft Inhalte von Nachrichten freiwillig zu durchleuchten. Denn derartige Grundrechtseingriffe müssten gesetzlich geregelt werden. Doch das bisherige freiwillige Scannen beruht auf keiner expliziten Rechtsgrundlage und wäre damit schlicht rechtswidrig. Allerdings besteht seit 2021 eine vorübergehende Ausnahme, die nochmal verlängert wurde. Diese temporäre Ausnahme endet im April 2026.

Weil auch nach Jahren des Bestehens dieser Ausnahmeregelung keine wirksamen Schutzmaßnahmen oder einschränkende Regeln vorgesehen wurden, hat der Europäische Datenschutzbeauftragte, Wojciech Wiewiórowski, die Verlängerung kritisiert. Sie dürfe nicht einfach durchgewunken werden. Wiewiórowski hatte schon zu Beginn der Ausnahme im Jahr 2021 gewarnt, dass man keinen „Präzedenzfall“ schaffen dürfe.

Die EU-Kommission konnte bisher keinen Nachweis erbringen, dass die „freiwillige“ Massenüberwachung der privaten Kommunikation verhältnismäßig oder auch nur signifikant wirksam wäre. Auch der aktuelle Bericht kann das nicht leisten, wie die Kommission selbst einräumt.

In welchen Größenordnungen wird gescannt?

Dienste-Anbieter haben zwar keine Verpflichtung, massenhaft Inhalte zu scannen. Dennoch führen Konzerne wie Google, Microsoft oder Meta, beispielsweise bei Facebook oder WhatsApp, diese sogenannten CSAM-Scans seit Jahren durch. Sie sollen aufdecken, wenn Nutzer Inhalte verschicken, die sexuellen Kindesmissbrauch (child sexual abuse material, CSAM) zeigen. Genaue Vorschriften, welche Nutzernachrichten wie und wann durchleuchtet werden, macht ihnen dabei niemand.

CSAM

Wir berichten seit Jahren unter dem Stichwort CSAM (Child Sexual Abuse Material) über politische Vorhaben im Kampf gegen Missbrauchsdarstellungen von Kindern. Unterstütze unsere Arbeit!

Nur zwei Dienste-Anbieter übermittelten der EU-Kommission Angaben zur Größenordnung der freiwillig gescannten Bilder und Filme. Microsoft wertete im Jahr 2023 weltweit über 11,7 Milliarden Inhalte und im Jahr 2024 etwas unter 10 Milliarden Inhalte aus. Wie viele dieser gescannten Bilder oder Filme in der EU anfielen, ist dabei nicht spezifiziert.

Im Jahr 2023 wurden im Fall von Microsoft weltweit über 32.000 Inhalte als möglicher CSAM identifiziert, davon über 9.000 aus der EU. Berechnet man aus den milliardenfachen weltweiten Scans den Prozentsatz, kommt man bei 32.000 Inhalten auf 0,0002735 Prozent. Anders ausgedrückt schlagen die Scans bei einem von 365.000 Inhalten an. Für das Jahr 2024 sind weltweit 26.000 CSAM-Inhalte angegeben, davon 5.800 Inhalte in der EU. Das ergibt für 26.000 Inhalte 0,00027083 Prozent.

Bei LinkedIn sind die Zahlen deutlich geringer: Das Unternehmen gab für 2023 den Scan von über 24 Millionen Bildern und über einer Million Filme und für 2024 von über 22 Millionen Bildern und über zwei Millionen Filmen an. In beiden Jahren stammten diese Inhalte aus der EU. Für das Jahr 2023 meldete LinkedIn zwei Bilder (und keinerlei Filme), die Kindesmissbrauch darstellen könnten, und für 2024 dann ein Bild. Berechnet man aus den millionenfachen Scans den Prozentsatz, kommt man im Jahr 2023 auf 0,00000833 Prozent. Die massenhaften Scans brachten sowohl bei Microsoft als auch bei LinkedIn also nur minimale Ergebnisse.

Bei Google hingegen fehlte die Datenbasis, nur die Ergebnisse sind im Bericht hinterlegt: Demnach wurden im Jahr 2023 1.558 Inhalte als möglicher CSAM identifiziert, im Jahr 2024 dann 1.824 Inhalte. Der Konzern dürfte aufgrund seiner populären Dienste bei der Anzahl der Scans in eine ähnliche Größenordnung fallen wie Microsoft. Entsprechend dürften auch hier die Ergebnisse nicht einmal im Promillebereich liegen.

Anders sieht es bei Meta aus, die völlig andere Zahlen melden: Im Jahr 2023 gibt der Konzern 3,6 Millionen Inhalte an, die als möglicher CSAM identifiziert worden sind, die alle in der EU anfielen. Die Millionenzahlen setzen sich im Jahr 2024 fort: 1,5 Millionen Inhalte in der EU sind als möglicher CSAM gemeldet worden.

Diese enorm große Diskrepanz setzt sich bei den Nutzermeldungen an die Dienste-Anbieter fort: Google meldet 297 und 216 Nutzerbeschwerden für die Jahre 2023 und 2024, Meta hingegen 254.500 und 76.900. Wie diese erheblichen Unterschiede in den Größenordnungen zustandekommen, wird nicht erklärt.

Technisch sind die Massen-Scans als fehleranfällig bekannt. Das wird dann gefährlich für Nutzer, wenn Bilder oder Filme einen falschen Verdacht auslösen. Wie häufig das vorkommt, bleibt jedoch unklar. Denn miteinander vergleichbare Falsch-Positiv-Fehlerraten kann der Bericht nicht liefern, so dass die Anzahl von Falschmeldungen und Fehlerquoten vage bleibt. Laut Bundeskriminalamt ist fast die Hälfte der Verdachtsmeldungen aus den Vereinigten Staaten nach deutschem Recht strafrechtlich nicht relevant.

Wie geht es weiter mit der Chatkontrolle?

Datenmaterial weiter zu dünn

Schon im Dezember 2023 hatte die EU-Kommission eine Evaluierung der freiwilligen Chatkontrolle versucht. Die Verhältnismäßigkeit zu belegen, gelang ihr damals nicht, weil das Datenmaterial zu dünn war: Man könne keine „endgültigen Schlussfolgerungen ziehen“. Gleichwohl blieb die Ausnahme für die freiwillige Chatkontrolle weiter bestehen.

Die EU-Kommission verweist nun in ihrem Fazit wieder auf die Unzulänglichkeiten des Zahlenmaterials: Die Berichte aus den Mitgliedstaaten würden „nach wie vor ähnliche Probleme wie im ersten Bericht“ zur Chatkontrolle-Ausnahmeregelung aufweisen, nämlich auf nur „unvollständigen und fragmentierten“ Daten beruhen. Es sei daher weiter „nicht möglich, einen umfassenden und zuverlässigen Überblick“ zur Anzahl der gemeldeten Fälle von aufgedeckter sexueller Ausbeutung von Kindern oder zur die Anzahl identifizierter Kinder oder zur Anzahl von verurteilten Tätern zu geben. Die Datenerhebung und Berichterstattung der Mitgliedstaaten habe „nach wie vor erhebliche Mängel“.

Dennoch will die EU-Kommission an der freiwilligen Chatkontrolle festhalten, weil ein „numerischer Maßstab“ angesichts der „Anzahl der geretteten Kinder“ nicht der einzige Anhaltspunkt sein könne. In der Anhörung im EU-Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) hatte eine Abgeordnete wissen wollen, wie viele Kinder denn durch freiwillige Massen-Scans gerettet worden wären. Eine Antwort blieb die Kommission schuldig.

Obwohl auch der Bericht wieder keine handfesten Aussagen über tatsächlich gerettete Kinder machen kann, bleibt die Kommission bei der fast wortgleichen Schlussfolgerung wie schon in der ersten Evaluation: Es gebe „keine Anhaltspunkte dafür, dass die Ausnahmeregelung nicht verhältnismäßig ist“. Sie versucht also, den Spieß umzudrehen und damit den Verhältnismäßigkeitsgrundsatz auf den Kopf zu stellen.

Es ist keine Kleinigkeit, die Verhältnismäßigkeit einer Maßnahme zu zeigen. Denn Grundrechtseingriffe – erst recht massenhafte – müssen notwendig und verhältnismäßig sein. Das hat die Kommission zu beweisen. Das misslang jedoch anhand der Zahlen.

Stattdessen versucht sie es mit einer Verdrehung der Tatsachen: Die Kommission hat zwar keine ausreichenden Daten, um zu belegen, dass die Chatkontrolle verhältnismäßig ist, aber auch keine Hinweise, dass sie unverhältnismäßig ist. Als würde das als Nachweis genügen. Patrick Breyer, ehemaliger EU-Abgeordneter und Jurist, der sich seit Jahren dem Thema widmet, bezeichnet diese Beweislastumkehr als „juristischen Unsinn“.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

CISA warnt vor Angriffen auf Wing FTP


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

IT-Verantwortliche, die zum Übertragen von Daten auf Wing FTP setzen, sollten sicherstellen, einen aktuellen Stand der Software einzusetzen. Auf eine Sicherheitslücke in veralteten Versionen laufen derzeit Angriffe im Internet.

Weiterlesen nach der Anzeige

Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA. Sie hat die Schwachstelle in den „Known Exploited Vulnerabilities“-Katalog aufgenommen. Es handelt sich um eine Sicherheitslücke, die den lokalen Installationspfad der App offenbart, wenn Angreifer einen sehr langen Wert im UID-Cookie verwenden (CVE-2025-47813, CVSS4 5.3, Risiko „mittel“). Es ist unklar, wie Angreifer das konkret missbrauchen und in welchem Umfang. Derartige Informationen verrät die CISA nicht. Die Lücke liefert bösartigen Akteuren jedoch Informationen, mit denen sich der Missbrauch weiterer Schwachstellen bewerkstelligen lässt.

Die Sicherheitslücke wurde bereits Mitte vergangenen Jahres bekannt, zusammen mit einer Schwachstelle, die das Einschleusen von Schadcode aus dem Netz ermöglichte. Dazu war nicht einmal eine Anmeldung nötig (CVE-2025-47812, CVSS 10, Risiko „kritisch“). Im Juli vergangenen Jahres berichteten die IT-Forscher von Huntress, dass sie Angriffe auf diese Sicherheitslücke beobachtet haben.

Aktualisierte Software-Version

Die Schwachstellen betreffen Wing FTP vor der korrigierten Fassung 7.4.4, die seit vergangenem Mai verfügbar ist. Inzwischen ist sogar Version 8.1.2 von Wing FTP aktuell und steht auf der Download-Seite für Linux, macOS und Windows zum Herunterladen bereit. IT-Verantwortliche sollten auf diese Version migrieren, um gegebenenfalls weitere Sicherheitslücken zu stopfen und die Angriffsfläche zu reduzieren.

Datentransfer-Software steht derzeit bei Cyberkriminellen hoch im Kurs als Angriffsziel. Sie versuchen, über Schwachstellen in die IT von Unternehmen einzubrechen und Daten abzugreifen. In der Folge erpressen sie die Unternehmen dann: Bei Zahlung eines Lösegelds würden sie die Daten löschen; ohne Zahlung drohen sie, die Daten zu veröffentlichen. Die Cybergang Cl0p wurde etwa dadurch bekannt, dass sie eine Sicherheitslücke in der Datentransfer-Software MOVEit missbraucht hat, um in die IT hunderter Unternehmen einzubrechen und dort Daten zu kopieren.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

DoS-Attacken auf IBM SPSS Collaboration and Deployment Services möglich


Angreifer können Systeme mit IBM SPSS Collaboration and Deployment Services attackieren und unter anderem DoS-Zustände auslösen. Ansatzpunkte sind mehrere Sicherheitslücken in diversen Komponenten, die die Analyse- und Automationssoftware nutzt.

Weiterlesen nach der Anzeige

Sicherheitsupdate installieren

Wie aus einer Warnmeldung hervorgeht, können Angreifer insgesamt neun Schwachstellen in js-yaml, minimatch und React Router ausnutzen. Davon sind fünf Lücken mit dem Bedrohungsgrad „hoch“ eingestuft. Daran können Angreifer etwa für DoS- (CVE-2026-26996) und XSS-Attacken (CVE-2026-21884) ansetzen. Bislang gibt es keine Berichte, dass die Lücken bereits ausgenutzt werden.

Admins sollten sicherstellen, dass die gegen die geschilderten Attacken gerüstete Version 9.0.0.0-IM-ScaDS-REPOSITORYSERVER-PSIRT-IF002 installiert ist.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Rekord an gemeldeten und gelöschten strafbaren Inhalten


Die Beschwerdestelle des eco, bei der man illegale und jugendgefährdende Inhalte im Internet melden kann, feiert dieses Jahr ihr dreißigjähriges Jubiläum. Sie ist fast so alt wie der Internetwirtschaftsverband eco selbst, der 1995 gegründet wurde und heute etwa eintausend Mitgliedsunternehmen hat. Der Verband nennt seine Meldestelle ein „Erfolgsmodell“.

Das beweisen die Zahlen, die heute im Jahresbericht der Meldungen vorgestellt wurden. Die Bilanz der eco-Meldestelle legt den Fokus auf die gemeldeten Missbrauchsdarstellungen von Kindern, die den weit überwiegenden Teil (93 Prozent) aller 51.359 eingegangenen Beschwerden betrafen. Der Betreiber der Beschwerdestelle arbeitet in der Bekämpfung dieser sogenannten CSAM-Inhalte permanent und aktiv mit Strafverfolgungsbehörden zusammen.

Ein neuer Höchststand von mehr als 30.000 rechtswidrigen Internetinhalten konnte aus dem Netz getilgt werden. Bei kinderpornographischen Inhalten berichtet eco von einer sehr hohen Gesamterfolgsquote von 99,51 Prozent. Im Inland wurde eine 100-Prozent-Erfolgsquote erreicht: Sämtliche der gemeldeten Inhalte mit Missbrauchsdarstellungen, die in Deutschland gehostet wurden, konnten entfernt werden.

CSAM

Wir berichten seit Jahren unter dem Stichwort CSAM (Child Sexual Abuse Material) über politische Vorhaben im Kampf gegen Missbrauchsdarstellungen von Kindern. Unterstütze unsere Arbeit!

Jeder einzelne an die Meldestelle in Köln herangetragene Fall werde geprüft, berichtete Alexandra Koch-Skiba, Leiterin der Beschwerdestelle bei eco. Sind die gemeldeten Inhalte, etwa Bilder, Videos oder Texte, nach juristischer Prüfung strafbar, wird zum einen die schnelle Löschung beim Provider oder beim Plattformbetreiber in Angriff genommen und der Fall zum anderen den Strafverfolgungsbehörden zur Kenntnis gebracht.

Diesen doppelten Ansatz bei der Bekämpfung rechtswidriger Inhalte betont Alexander Rabe, Geschäftsführer von eco, bei der Vorstellung des Jahresberichts. Denn „Internetsperren sind immer umgehbar“, daher gelte für eco der Grundsatz „löschen statt sperren“. Statt strafbare Inhalte nur zu blockieren, sollen die Dateien also direkt an ihrer Quelle aus dem Netz entfernt werden. Im Nachgang prüfen Mitarbeiter auch, ob die Inhalte wirklich verschwunden sind.

30.035 strafbare Inhalte

Nicht alle Meldungen, die bei eco zum Jugendmedienschutz eingingen, waren rechtswidrig. Nach rechtlicher Prüfung blieben insgesamt 30.035 Fälle als „berechtigte Beschwerden“, also betrafen strafbare Inhalte.

Das Jahr 2025 markiert für die eco-Beschwerdestelle einen neuen Höchststand an berechtigten Fällen: 30.035.
Jahresvergleich: Berechtigte Beschwerden, die einen Rechtsverstoß darstellen. – Alle Rechte vorbehalten eco-Beschwerdestelle

Das ist ein neuer Rekord an berechtigten Fällen. Zugleich wurden aber auch fast 42 Prozent der eingegangenen Meldungen nach der Prüfung als unberechtigt bewertet. Das ist dann der Fall, wenn der Inhalt rechtlich nicht relevant oder nicht prüfbar oder aber ein Duplikat ist, also bereits bekannt und zum Zeitpunkt der Meldung schon in Bearbeitung ist. Auch Meldungen außerhalb des Zuständigkeitsbereiches der eco-Beschwerdestelle fallen darunter.

Hinweise zumeist aus dem INHOPE-Netzwerk

Ein sehr großer Teil aller Hinweise kam im vergangenen Jahr über INHOPE, die internationale Dachorganisation der Beschwerdestellen von fünfzig Ländern. 24.400 Fälle sind über diese Partnerbeschwerdestellen an eco gemeldet worden.

Vom INHOPE-Netzwerk kamen die meisten Fälle: 24.400 Meldungen
Vom INHOPE-Netzwerk kamen die meisten Fälle: 24.400. – Alle Rechte vorbehalten eco-Beschwerdestelle

Meldungen, die nicht aus dem INHOPE-Netzwerk stammen und nicht bei der Beschwerdebearbeitung selbst aufgedeckt wurden, kamen überwiegend von dem Online-Meldeformular des Internetverbands. Das bietet – auf Wunsch anonym – die Möglichkeit, auf Inhalte hinzuweisen, die der jeweilige Hinweisgeber als rechtswidrig einschätzt.

Auch die Möglichkeit, Meldungen per E-Mail einzureichen, kann genutzt werden. Sogar per Brief gingen in wenigen Fällen tatsächlich Hinweise ein. In 5.727 Fällen sind Beschwerden im vergangenen Jahr anonym eingereicht worden.

Manuelle Prüfung nötig

Seit vielen Jahren betont eco seine erfolgreiche Beschwerdestellenarbeit. Doch schnelle Löscherfolge können nicht durchweg erreicht werden. In Deutschland dauert es im Schnitt viereinhalb Tage, bis ein rechtswidriger Inhalt gelöscht ist. Das ist eine Summe aus der Zeit für Eingang und Prüfung der Meldung an Werktagen und der Reaktionszeit der betroffenen Provider.

Zunehmende Verschleierungsmethoden oder auch Massenhinweise seien herausfordernd, so Koch-Skiba. Das bedeute einen enormen Zeitaufwand. Es könne vorkommen, dass „zeitweise alle mit der Hinweisbearbeitung betrauten Mitarbeitenden der Beschwerdestelle“ Massenmeldungen über mehrere Werktage hinweg vollständig abarbeiten, erklärt eco gegenüber netzpolitik.org.

Im vergangenen Jahr seien diese Massenhinweise aber nicht ganz so umfänglich wie in früheren Jahren gewesen. Es seien diesmal nicht mehr als 2.500 URLs auf einmal gemeldet worden. Es gab jedoch in den Vorjahren auch Massenmeldungen mit URLs im fünfstelligen Bereich.

Eine manuelle Prüfung bei dieser Fülle an Meldungen, die manchmal also Hunderte oder gar Tausende einzelne Hinweise auf URLs enthalten, ist entsprechend zeitaufwendig. Allerdings erklärte eco gegenüber netzpolitik.org, dass eingehende Hinweise schon länger nicht mehr manuell erfasst werden müssen. Auch bei der Bearbeitung der Meldungen greife man auf „Automatisierungen und technische Unterstützung“ zurück.

Allerdings gilt: „Die inhaltliche Prüfung erfolgt jedoch weiterhin einzeln: Jeder gemeldete Inhalt wird […] gesichtet und bewertet.“ Das übernehmen nach wie vor die Menschen in der Meldestelle.

Eine Zunahme von KI-generierten Inhalten ist nicht zu verzeichnen, berichtet eco gegenüber netzpolitik.org. „Im Jahr 2025 lag ihr Anteil bei knapp einem Prozent.“ In Deutschland dürften auch fiktive Darstellungen von sexualisierter Gewalt und Grenzverletzungen gegen Kinder und Jugendliche nicht verbreitet werden. Für die Arbeit der Beschwerdestelle und deren juristische Bewertung machten daher generierte Inhalte keinen entscheidenden Unterschied.



Source link

Weiterlesen

Beliebt