Connect with us

Datenschutz & Sicherheit

Konservative scheitern mit Verfahrenstrick bei freiwilliger Chatkontrolle


Das EU-Parlament hat mit breiter Mehrheit eine Vorlage der EU-Kommission für die Verlängerung der freiwilligen Chatkontrolle abgelehnt. Die konservative EVP-Fraktion hatte in einem ungewöhnlichen parlamentarischen Verfahren eine erneute Abstimmung über das Thema erzwungen – und ist damit nun gescheitert.

Das ganze Verfahren war umstritten. Die Konservativen im Europa-Parlament hatten nach einem grundrechtsfreundlichen Abstimmungsergebnis eine neuerliche Abstimmung angesetzt und dabei die Regeln des Europaparlaments aufs Äußerste ausgereizt. Zuvor hatte das Parlament am 11. März eine Abkehr von der anlasslosen Massenüberwachung bei der Chatkontrolle 1.0 beschlossen und Maßnahmen nur noch auf Verdacht erlaubt. Daraufhin hatte der Rat der EU die Trilog-Verhandlungen zum Thema sehenden Augen scheitern lassen, wie eingestufte Protokolle, die netzpolitik.org veröffentlicht hat, belegen.

In der heutigen Abstimmung wurden die Änderungsanträge 29 (Ratsposition, eingereicht durch EVP), 34 (Beschränkung auf bekanntes Material) und 36 (Schutz von Ende-zu-Ende-Verschlüsselung) vom Parlament angenommen, der Vorschlag der EU-Kommission scheiterte jedoch deutlich.

Da eine erneute Abstimmung ein sehr seltenes Phänomen ist, ist nun unklar, ob es in dieser Sache zu erneuten Trilog-Verhandlungen zwischen Parlament, Rat und Kommission kommt. Sicher ist in jedem Fall, dass die erste Lesung damit abgeschlossen ist und die freiwillige Chatkontrolle 1.0 Anfang April ausläuft, weil sie ohne gesetzliche Grundlage nicht weitergeführt werden kann.

„Druck, Schmutz und Fake-Behauptungen“

Vor der Abstimmung hatte sich die verantwortliche sozialdemokratische Abgeordnete Birgit Sippel mit deutlichen Worten an das Parlament gewendet. Das Parlament habe vor zwei Wochen mit breiter Mehrheit eine Position abgestimmt, die Verantwortung für Kinder und Grundrechte gleichermaßen annehme.

Mit dieser Position sei das Parlament in die Trilog-Verhandlungen gegangen, wo der Rat sich einer Auseinandersetzung entzogen habe, ja „nicht am Verhandlungstisch angekommen“ sei. Sie kritisierte auch, wie im Vorfeld der Neu-Abstimmung Druck aufgebaut und mit Schmutz und Fake-Behauptungen“ geworfen worden sei.

Im Vorfeld der heutigen Abstimmung hatte sich sogar Bundeskanzler Merz im Bundestag für eine anlasslose Chatkontrolle stark gemacht, der EU-Justizkommissar mahnte in einem Schreiben an die EU-Abgeordneten, das Politico zuerst im Original veröffentlichte, für anlasslose Überwachung zu stimmen.

In einer Pressemitteilung kurz vor der Abstimmung hatte die EVP die Sozialdemokratische Fraktion aufgefordert, für ihren Vorschlag zu stimmen, weil sonst die EU angeblich ihre Fähigkeit zur wirksamen Bekämpfung von Kindesmissbrauch im Internet verlieren würde.

Grüne kritisieren Verfahrenstricks

Markéta Gregorová, die Schattenberichterstatterin der Fraktion der Grünen/EFA kommentierte in einer Pressemitteilung die Neu-Abstimmung kritisch, sie schade der Glaubwürdigkeit des Parlaments. „Die EVP nutzt Verfahrenstricks, um einen Standpunkt wieder aufzugreifen, auf den sich das Parlament bereits geeinigt hatte.“ Nachdem die Gespräche mit dem Rat gescheitert waren, hätte das Dossier von der Tagesordnung gestrichen werden müssen, so Gregorová weiter. Dieser Antrag war aber abgelehnt worden.

„Stattdessen haben die Konservativen es in seiner ursprünglichen Form wieder auf die Tagesordnung gesetzt, um die Änderungsanträge des Parlaments zu umgehen und die wahllose Massenüberwachung im Spiel zu halten.“ Gregorová sieht den Vorgang als „gefährliches Signal“, dass demokratische Entscheidungen rückgängig gemacht werden können, wenn Regierungen einfach lange genug warten.

Vorbote für die permanente Chatkontrolle?

Die Chatkontrolle 1.0 ist eine Übergangsregelung, die seit 2021 in Kraft ist und Anfang April ausläuft. Sie regelt, dass Plattformen und Internet-Anbieter auf freiwilliger Basis entgegen der EU-Privacy-Richtlinie Inhalte und Kommunikation nach Bildern von sogenanntem Kindesmissbrauch (CSAM) scannen dürfen.

Ungleich wichtiger ist die CSA-Verordnung, welche auch die verpflichtende Chatkontrolle 2.0 enthalten könnte, über die seit vier Jahren gestritten wird. Durch ein eingestuftes Ratsprotokoll vom 13. März, das wir im Volltext veröffentlicht haben, wurde deutlich, dass die EU-Mitgliedstaaten Kompromisse bei der temporären freiwilligen Chatkontrolle 1.0 offenbar als eine Art Vorentscheidung für die weitaus wichtigeren Verhandlungen zur CSA-Verordnung und damit für eine permanente Regelung (Chatkontrolle 2.0) sehen.

Wir sind communityfinanziert

Unterstütze auch Du unsere Arbeit mit einer Spende.

Knackpunkt bei der CSA-Verordnung ist die verpflichtende Chatkontrolle. Der EU-Kommission möchte, dass dabei auch verschlüsselte Kommunikationen durchleuchtet werden. Das Parlament hat dies bisher abgelehnt und Maßnahmen nur auf Verdacht gefordert. Auch im EU-Rat hat die anlasslose Chatkontrolle bislang keine qualifizierte Mehrheit gefunden. Die drei Institutionen sind derzeit im Trilog und verhandeln über die Verordnung.

Für die Chatkontrolle nach Wunsch der EU-Kommission wäre Technologie namens Client-Side-Scanning nötig, welche vor der Verschlüsselung Inhalte auf dem Handy oder Computer scannt. Wäre diese Technologie einmal eingeführt, ist verschlüsselte Kommunikation wertlos, weil die Inhalte schon vor dieser angeschaut werden könnten. Es wäre das Ende der privaten und vertraulichen Kommunikation. Wir haben zusammengestellt, warum dies für uns alle gefährlich ist.

„Gier nach anlassloser Massenüberwachung war zu groß“

Konstantin Macher vom Verein Digitale Gesellschaft kommentiert die Abstimmung gegenüber netzpolitik.org: „Rat und Konservative haben mit ihren politischen Tricksereien das Scheitern der Verhandlungen zu verantworten. Damit haben sie unabsichtlich die Chatkontrolle-Massenüberwachung beendet. Zielgerichtete Maßnahmen wären möglich gewesen – aber ihre Gier nach anlassloser Massenüberwachung war zu groß.“

Das Ergebnis sei „eine Klatsche“ für die Europäische Kommission. Diese habe die Abgeordneten von Anfang an nicht ernst genommen und ihre gesetzlichen Pflichten zur Evaluation der Ausnahmeregelung nicht erfüllt.

„Mitgliedstaaten zeigten keinerlei Flexibilität“

Die Konservativen (EVP) werfen in einer Pressemitteilung nun den Sozialdemokraten vor, sie seien schuld daran, dass Kinder nun ungeschützt seien. Die Sozialdemokratin Birgit Sippel hingegen schreibt in einer Pressemitteilung, dass die Verhandlungen zwischen den Institutionen zuletzt „aufgrund der mangelnden Flexibilität der Mitgliedstaaten“ gescheitert seien. Das Parlament lasse sich nicht vom Co-Gesetzgeber zum Ja-Sager degradieren. Die Konservativen seien in ihrer Rolle als fügiger Erfüllungsgehilfe des Rates gescheitert.

Für eine vertrauensvolle Zusammenarbeit seien Kompromisse nötig, so Sippel: „Wir waren dazu bereit, die Verhandler von Seiten der Mitgliedstaaten zeigten jedoch keinerlei Flexibilität. Sie sind es, die die Gespräche ohne Ergebnis beendet haben und nun in Kauf nehmen, dass die Interim-Verordnung nicht verlängert wird.“



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Trellix-Einbruch: Cybergang RansomHouse behauptet Datenklau


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Vergangene Woche hat Trellix, das IT-Sicherheitsunternehmen, das aus dem Zusammenschluss von FireEye und McAfee hervorging, einen IT-Vorfall gemeldet: Angreifer haben Zugriff auf Quellcode-Repositories erlangt. Da war noch unklar, wer dafür verantwortlich zeichnet. Nun hat sich die kriminelle Vereinigung RansomHouse auf ihrer Darknet-Webseite zu dem Datenklau bekannt.

Weiterlesen nach der Anzeige


Informationen über das Cybersicherheitsunternehmen Trellix mit Website, Umsatz und Mitarbeiterzahl.

Informationen über das Cybersicherheitsunternehmen Trellix mit Website, Umsatz und Mitarbeiterzahl.

Der Eintrag auf der Darknet-Seite von RansomHouse zur Trellix-Einbruch liefert keine Details zu den erbeuteten Daten.

(Bild: heise medien)

Der konkrete Darknet-Eintrag hält einen Download-Link auf ein Sample vor. Angeblich hat die Bande die Daten von McAfee am 17. April 2026 „encrypted“, also verschlüsselt. Davon schreibt Trellix jedoch nichts. Die fein geschliffenen Formulierungen von Trellix schließen konkret eine Verschlüsselung der Repositories jedoch nicht aus. Das Unternehmen schreibt lediglich, dass es keine Belege dafür gebe, dass Quellcode-Releases oder der Verteilungsprozess betroffen sind oder dass der Quellcode missbraucht wurde.

Immerhin kommt mit dem Bekenntnis von RansomHouse etwas Licht ins Dunkel, wer bei dem IT-Sicherheitsunternehmen eingebrochen ist und sich den Quellcode von Software beschafft hat. Der Umfang der kopierten Daten bleibt jedoch weiter unklar, ebenso, welche Repositories und damit Informationen nun genau offenliegen.

Zumindest Klarheit über Täter

In der vergangenen Woche schrieb Trellix, dass das Unternehmen unbefugte Zugriffe auf einen Teil der Quellcode-Repositories bemerkt hatte. Es zog daraufhin den eigenen Angaben nach führende Forensikexperten zur Klärung hinzu. Auch die Strafverfolgungsbehörden hat Trellix demnach informiert. Es blieb zu dem Zeitpunkt unklar, wer für den IT-Einbruch verantwortlich war.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Schadcode-Lücke bedroht IBM App Connect Enterprise und IBM Integration Bus


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die Integrationssoftware für unter anderem Geschäftsinformationen IBM App Connect Enterprise und IBM Integration Bus for z/OS sind über eine Softwareschwachstelle angreifbar. Schadcode kann Systeme kompromittieren.

Weiterlesen nach der Anzeige

Schadcode-Sicherheitslücke

Davor warnen die Entwickler in einem Beitrag. Im Zuge einer Directory-Traversal-Attacke (CVE-2026-67030 „hoch“) können Angreifer auf eigentlich abgeschottete Daten und Verzeichnisse zugreifen, um Schadcode abzuladen und auszuführen. Bislang gibt es keine Berichte, dass Angreifer die Sicherheitslücke schon ausnutzen.

Die Entwickler geben an, dass davon die folgenden Versionen bedroht sind: IBM App Connect Enterprise 12.0.1.0 bis 12.0.12.24 und 13.0.1.0 bis 13.0.7.0 und IBM Integration Bus for z/OS 0.1.0.0 bis 10.1.0.6. Die Lücken seien in den folgenden Ausgaben geschlossen:

  • IBM App Connect Enterprise v12- Fix Pack Release 12.0.12.25
  • IBM App Connect Enterprise v13- Fix Pack Release 13.0.7.1
  • IBM Integration Bus for z/OS v10.1 – Fix Pack Release 10.1.0.7


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Debian macht ernst: Nur noch reproduzierbare Pakete in „testing“


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Debian verschärft für die kommende Version 14 („Forky“) seine Qualitätsanforderungen deutlich: Pakete dürfen nur noch dann nach „testing“ wandern, wenn sie sich reproduzierbar bauen lassen. Das hat das Debian-Release-Team angekündigt. Die entsprechende Migrationslogik ist bereits aktiv. Sie betrifft sowohl neue Pakete, die sich nicht reproduzieren lassen, als auch bestehende Pakete, deren Reproduzierbarkeit sich verschlechtert hat.

Weiterlesen nach der Anzeige

Was reproduzierbare Builds leisten

Reproduzierbare Pakete („reproducible builds“) erzeugen aus identischem Quellcode und in gleicher Build-Umgebung bit-identische Binärpakete. Damit werden Build-Prozesse nachvollziehbar und manipulationssicher. Unterschiede zwischen zwei Builds lassen sich so eindeutig auf echte Änderungen oder mögliche Manipulationen zurückführen.

Nicht reproduzierbare Builds entstehen oft durch banale Faktoren: Zeitstempel, zufällige Build-IDs oder eine nichtdeterministische Reihenfolge von Dateien. Zwei Builds desselben Quellcodes können dadurch unterschiedliche Binärdateien erzeugen, obwohl sich funktional nichts geändert hat. Reproducible Builds eliminieren solche Unterschiede systematisch, etwa durch normierte Zeitstempel oder ein deterministisches Packaging.

Vom Qualitätsziel zur Release-Voraussetzung

Debian arbeitet bereits seit Jahren mit dem Reproducible-Builds-Projekt an entsprechenden Mechanismen. Neu ist, dass Reproduzierbarkeit nicht mehr nur als Qualitätsziel gilt, sondern direkt über die Paketmigration nach „testing“ entscheidet. Damit macht die Distribution reproduzierbare Builds faktisch zur Voraussetzung für den regulären Release-Prozess. Den aktuellen Reproduzierbarkeitsstatus aller Pakete listet reproduce.debian.net auf.

Parallel baut Debian seine automatisierten Tests aus. Laut Release Team prüft die CI-Infrastruktur inzwischen auch sogenannte binNMUs automatisch mit autopkgtests. Dabei handelt es sich um reine Neuübersetzungen von Binärpaketen ohne Änderungen am Quellcode, etwa nach ABI-Übergängen oder neuen Bibliotheksversionen. Bislang lag der Fokus der Tests vor allem auf klassischen Source-Uploads.

Weiterlesen nach der Anzeige

Längere Warteschlangen durch loong64

Die neue Architektur loong64 sorgt derzeit vor allem für längere Warteschlangen in Debians Build- und Testinfrastruktur. Weil viele Pakete auf allen Architekturen neu gebaut werden mussten und Debian nun auch binNMUs per autopkgtest prüft, dauert die Migration nach „testing“ derzeit länger.

Zugleich erinnert Debian die Maintainer daran, dass sie selbst für die erfolgreiche Migration ihrer Pakete nach „testing“ verantwortlich bleiben. Blockieren fehlgeschlagene autopkgtests in Reverse-Dependencies die Migration, sollen die Maintainer entsprechende Release-Critical-Bugs melden.

Lesen Sie auch


(fo)



Source link

Weiterlesen

Beliebt