Personalausweis, Führerschein, Gesundheitskarte – diese Plastikkarten haben viele Menschen in ihrem Portemonnaie. Doch spätestens bis Anfang 2027 müssen EU-Länder eine EUDI-Wallet anbieten. Und dann sollen alle Bürger:innen statt der vielen Plastikkarten ihr Smartphone nutzen können.

Diese Möglichkeit habe das Potenzial, „unsere digitale Gesellschaft maßgeblich zu prägen“, heißt es einleitend in einem Positionspapier, das Verbände der Wirtschaft und der Zivilgesellschaft gemeinsam veröffentlicht haben. Unterzeichnet haben das Papier die Branchenverbände Bitkom, Deutsche Kreditwirtschaft und Gesamtverband der Versicherer. Außerdem sind die Interessenvertretungen Initiative D21 und buergerservice.org sowie die zivilgesellschaftliche Organisation epicenter.works mit von der Partie.

Die Verbände mahnen, dass die Ausgestaltung der Wallet kein Selbstläufer sei. Stattdessen müsse die Bundesregierung diese als gesellschaftlichen Auftrag begreifen. Und der könne nur dann erfolgreich sein, wenn die Politik in den kommenden Monaten fünf Weichenstellungen vornimmt.

Kompetenzen und Vertrauen schaffen

So brauche es erstens digitale Kompetenzen sowohl aufseiten der Nutzer:innen als auch in den Ministerien, den Aufsichtsbehörden und in der Verwaltung, „also im gesamten Staatsapparat“.

Andernfalls drohe ein ähnliches Fiasko wie bei der Einführung des elektronischen Personalausweises, der lediglich von gut einem Fünftel der Bürger:innen genutzt werde. „Wir haben in Deutschland erlebt, wie schleppend die Einführung der eID-Funktion des Personalausweises verlaufen ist“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. „Diesen Fehler dürfen wir nicht wiederholen.“

Zweitens brauche es verbindliche Rechtsvorschriften sowie technische Standards, damit sich alle Akteure in dem Identitätsökosystem untereinander vertrauen können. Der Staat müsse klar auf die EUDI-Wallet setzen und Doppelstrukturen oder Insellösungen vermeiden.

„Ein kluges Verbraucherschutzkonzept“

Daneben brauche es drittens „ein kluges Verbraucherschutzkonzept“, damit Nutzer:innen der digitalen Brieftasche selbstbestimmt entscheiden können, wem sie welche Daten übermitteln. Eine zentrale Stelle müsse prüfen, welche Unternehmen und Behörden als „vertrauenswürdige Parteien“ welche Daten aus der Wallet abfragen dürfen. Außerdem sollten Nutzer:innen standardmäßig ein Pseudonym nutzen können, um sich gegenüber diesen ausweisen zu können, wenn der amtliche Name nicht notwendig ist.

Außerdem sei viertens eine kontinuierliche Steuerung und Kontrolle auf ministerieller Ebene erforderlich. So brauche es „einen zentralen Ansprechpartner“ und themenspezifische Expertengremien innerhalb des Bundesministeriums für Digitalisierung und Staatsmodernisierung (BMDS), die das Thema innerhalb des Hauses vorantreiben und effizient weitergestalten.

Und fünftens müsse das BMDS Schlüssel-Anwendungsfälle für die EUDI-Wallet schaffen. Als Beispiele nennt das Bündnis hier – neben der digitalen Identifizierung und Authentifizierung – den digitalen Führerschein, digitale Reiseunterlagen und eine Lösung zur anonymen oder pseudonymen Altersverifikation.

Eine digitale Brieftasche für alle

Die EUDI-Wallet basiert auf einem EU-Gesetz, das im Mai 2024 in Kraft trat. Die novellierte eIDAS-Verordnung sieht vor, dass die Wallet freiwillig und kostenlos sowie interoperabel sein soll. Außerdem sollen die Nutzer:innen transparent darüber bestimmen können, welche Daten sie an wen weitergeben. Derzeit werden in Brüssel die technischen Anforderungen an die europäische digitale Brieftasche verhandelt.

Die jeweiligen EU-Mitgliedstaaten müssen die Verordnung in nationale Gesetze gießen. In Deutschland liegt diese Aufgabe auf dem Tisch der amtierenden Bundesregierung.

Die Sicherheitslücke mit dem Spitznamen „Citrix Bleed 2“ ist Angreifern offenbar schon länger bekannt als zunächst angenommen. Das hat ein Anbieter von Lösungen zur Angriffserkennung herausgefunden. Mittels historischer Daten, die sie mit den Signaturen des Exploits verglichen, fanden sie am 23. Juni 2025 einen Angriffsversuch auf einen ihrer Honeypots, also einen nur zum Schein verwundbaren Server.

Das ist fast genau eine Woche nach den durch Citrix veröffentlichten Patches für CVE-2025-6543 und CVE-2025-5777, den später von Sicherheitsforscher als „Citrix Bleed 2“ getauften kritischen Fehler. Das Sicherheitsunternehmen ReliaQuest hatte ebenfalls bereits Ende Juni gemutmaßt, es gebe einen aktiv ausgenutzten Exploit, fand jedoch nur Indizien und keine harten Beweise.

Wer hatte den ersten Exploit?

Diese Beweise sind nun da, schreibt Greynoise. Und offenbar handelt es sich nicht um ungerichtete Scans, sondern um gezielte Angriffsversuche, die einen als veralteter Netscaler verkleideten Honeypot angingen. Diese frühen Angriffsversuche kamen von IP-Adressen aus China, berichtet Greynoise.

Auch der Sicherheitsforscher Kevin Beaumont wies bereits vor einigen Tagen auf die frühen Versuche hin, die Lücke auszunutzen. Citrix hatte zu diesem Zeitpunkt noch abgestritten, dass „Citrix Bleed 2“ im Arsenal von Cyberkriminellen oder staatlichen Hackern gelandet sei. Spätestens am 10. Juli war es mit den Dementis hingegen vorbei: Da nahm die US-Cybersicherheitsbehörde CISA die Lücke in ihren „Known Exploited Vulnerabilities Catalog“ auf. Einen Tag später berichtete Imperva, ein weiteres Unternehmen aus dem Bereich der „Threat Intelligence“, von über 11,5 Millionen Angriffsversuchen, überwiegend auf Ziele in den USA, Spanien und Japan.

Noch fast 4.000 Netscaler angreifbar

Mittlerweile ist das Angriffsvolumen stabil. Das Shadowserver-Projekt verzeichnete am zwischen dem 14. und 16. Juli täglich etwa 3000 Angriffsversuche auf dreißig bis vierzig Ziele, Greynoise hat im Tagesverlauf des 17. Juli lediglich drei Angreifer-IPs verzeichnet. Die Anzahl verwundbarer Geräte machte jedoch Mitte Juli einen überraschend großen Sprung und steht den Shadowserver-Statistiken zufolge nun bei über 4.500. Admins von Netscaler-Installationen sollten also tunlichst ihre Geräte überprüfen und schnellstmöglich aktualisieren.

Kevin Beaumont stellt auf Github eine Liste mit über 25.000 aus dem Internet erreichbaren Netscaler-Instanzen bereit, von denen am Vormittag des 18. Juli noch 3.829 verwundbar waren. Knapp fünfhundert dieser angreifbaren Netscaler melden sich mit einer Domain, die mit der deutschen Landeskennung „.de“ endet.

Scheibchenweise neue Informationen

Und Citrix? Die hatten immerhin Patches veröffentlicht, sich aber ansonsten einer Salami-Taktik bedient und wichtige Informationen zur Schwere der Lücke und ihrer Behandlung ausgelassen. Sicherheitsforscher Beaumont hielt mit seiner Kritik am seiner Ansicht nach zu zögerlichen Vorgehen von Citrix dann auch nicht hinterm Berg. Er kritisiert in einem Blogbeitrag, dass ausgerechnet die Netscaler-eigene Web Application Firewall (WAF) Angriffsversuche nicht abfangen könne, die anderer Hersteller hingegen schon. Citrix versteigt sich in den „Frequently Asked Questions“ zu Citrix Bleed 2 zudem gar zu der Aussage, WAFs könnten den Angriff überhaupt nicht verhindern – angesichts der Tatsache, dass der Exploit mittels mehrerer HTTP-Anfragen funktioniert, ein gewagtes Statement.

Auch an weiteren Hinweisen für Citrix-Administratoren lässt Beaumont kein gutes Haar. Aufräum-Systemkommandos zum Löschen der von Angreifern kontrollierten Verbindungen seien unvollständig, weil sie Sitzungsdaten nicht aufräumten, so der Sicherheitsforscher.

Gegenüber heise security ordnete Beaumont die Reaktion von Citrix als nicht akzeptabel ein. „Sie haben Informationen über Angriffsaktivitäten und Hinweise zur Betroffenheitsprüfung viel zu spät abgeliefert“, so Beaumont.

Hinter dem Spitznamen „Citrix Bleed 2“ verbirgt sich ein Fehler in der Speicherverwaltung der Netscaler-Geräte, den Angreifer über das Web aus der Ferne ausnutzen können. Stellen sie eine HTTP-Anfrage mit einem bestimmten, fehlerhaften Parameter, antwortet das Gerät mit einigen Bytes seines Hauptspeichers, es „blutet Speicher aus“. Diese Speicherauszüge können nutzlose Daten, aber auch Session- und andere sensible Informationen enthalten.

(cku)

Bildbasierte, sexualisierte Gewalt ist auf der politischen Agenda in Deutschland weiter nach oben gerückt. Anfang Juni forderten die Justizminister*innen der Bundesländer, Betroffene besser zu schützen – passend zu einer Passage aus dem Koalitionsvertrag der Bundesregierung. Damit greifen die Länder auf, was Verbände und Betroffene schon seit Jahren verlangen.

Die Forderungen lassen sich auf vier Worte herunterbrechen: Meine Nacktfotos gehören mir. Das heißt, Menschen sollten selbst darüber entscheiden dürfen, ob es sexualisierte Aufnahmen von ihnen gibt und wer sie sehen darf.

Immer wieder teilen Täter*innen solche intimen Bilder ohne das Einverständnis der abgebildeten Personen. Ein bekannter, aber problematischer Begriff dafür ist „Racheporno“. Das Phänomen ist jedoch viel größer. Es geht etwa um heimliche Videos aus der Gruppendusche, um künstlich generierte Aufnahmen (sogenannte Deepfakes) oder um gehackte oder geleakte Bilder aus einer alten Beziehung.

In ihrem Beschluss verweisen die Justizminister*innen mit „Besorgnis“ auf die „unterschiedlichen Erscheinungsformen“ bildbasierter Gewalt. Das Phänomen hätte massiv an Bedeutung gewonnen und sei zunehmend relevant geworden.

Das Problem: Das derzeit geltende Recht kenne keinen Straftatbestand, der bildbasierte Gewalt ohne weitere Voraussetzungen unter Strafe stellt. Deshalb solle die Bundesregierung handeln und „adäquate Regelungen zur Schließung der Strafbarkeitslücken“ vorschlagen, so die Justizminister*innen.

Forscherin: Regelung „aus einem Guss“ fehlt

Über die Strafbarkeitslücken für Betroffene bildbasierter Gewalt haben wir bereits mehrfach berichtet. Für sie ist es oftmals verletzend und traumatisierend, wenn Nacktfotos gegen ihren Willen kursieren, beispielweise auf Internetseiten, in WhatsApp-Chats oder auf sozialen Medien. Es geht dabei unter anderem um das Recht auf sexuelle Selbstbestimmung und ums Recht am eigenen Bild. Häufig ist es geschlechtsspezifische Gewalt gegen Frauen.

Wer sich juristisch dagegen wehren will, muss sich durch gleich mehrere Gesetze wühlen, die in vielen Fällen nicht optimal passen. Zum Beispiel schützt Paragraf 201a aus dem Strafgesetzbuch nur Aufnahmen aus einem „gegen Einblick besonders geschützten Raum“, etwa dem Wohnzimmer. Übergriffige Fotos vom Strand fallen also nicht darunter. Im Zivilrecht wiederum bieten sich Urheberrecht oder Datenschutzrecht als dürftige Hilfsmittel an – ohne den Aspekt sexueller Selbstbestimmung zu würdigen.

„Es fehlt an einer Regelung ‚aus einem Guss‘, die spezifisch bildbasierte sexualisierte Gewalt gegenüber Erwachsenen adressiert“, fasst Juristin Anja Schmidt die Rechtslage zusammen. Derzeit forscht sie als Professorin an der Leuphana Universität Lüneburg im Bereich Strafrecht.

Für die Schwere des Problems komme der Beschluss der Justizminister*innen „recht spät“, findet Schmidt, auch wenn er „sehr wichtig“ sei. Außerdem brauche es dringend Ressourcen, um in solchen Fällen überhaupt zu ermitteln.

Bislang ist kaum erforscht, wie viele Menschen zum Ziel bildbasierter Gewalt werden. Erste Hinweise liefern Studien, demnach sind es jede*r Zwölfte bis jede*r Dritte.

bff: „Lage für Betroffene oft katastrophal“

„Die Lage ist für Betroffene oft katastrophal“, schreibt Elizabeth Ávila González auf Anfrage von netzpolitik.org. Sie engagiert sich beim Bundesverband Frauenberatungsstellen und Frauennotrufe (bff) für Betroffene digitaler Gewalt. Viele wüssten nicht einmal, dass strafbar sein könnte, was ihnen passiert, erklärt González.

Unwissen gibt es der Expertin zufolge auch bei denen, die helfen sollten. Häufig wisse die Polizei nicht, nach welchen Paragrafen vorzugehen sei. Auch nicht jede Anwältin kenne sich mit der Gemengelage aus. „Das Resultat: Ein Flickenteppich, der die Täter schützt und die Betroffenen im Regen stehen lässt.“

Die Forderung der Justizminister*innen nach einer Regelung sei deshalb längst überfällig, schreibt González. „Was es braucht, ist kein weiteres Herumdoktern an bestehenden Paragrafen, sondern eine klare, eigenständige Regelung im Sexualstrafrecht, die bildbasierte sexualisierte Gewalt als das behandelt, was sie ist: eine Form geschlechtsspezifischer Gewalt mit tiefgreifenden Folgen für die Betroffenen.“

Eine solche Regelung sei nicht nur symbolisch wichtig, sondern hätte konkrete Vorteile. „Dann müssten Betroffene nicht mehr mühsam erklären, warum intime Bilder ohne ihre Einwilligung sexualisierte Gewalt sind“, sagt González. „Es wäre gesetzlich klar geregelt, was bisher nur mühsam konstruiert werden kann.“

HateAid: Bundesregierung muss „nachsteuern“

Ähnlich sieht das Josephine Ballon, Juristin bei HateAid. Die Organisation unterstützt Betroffene digitaler Gewalt juristisch und setzt sich für strengere Gesetze ein. Sie schreibt auf Anfrage von netzpolitk.org: Es gebe aktuell „keinen Straftatbestand, der eindeutig und unmissverständlich die Erstellung und Verbreitung nicht einvernehmlicher sexualisierter Bilder“ unter Strafe stelle. Stattdessen gebe es „Ausweichtatbestände“ – also einen Flickenteppich.

Ein besonderes Augenmerk legt Ballon auf nicht-einvernehmliche Deepfakes. Das ist eine Erscheinungsform bildbasierter Gewalt, die sich gerade mit der Verbreitung von sogenannter generativer KI besonders ausbreitet. Es genügt ein bekleidetes Alltagsfoto, etwa ein Profilbild aus sozialen Medien, schon können Bildgeneratoren daraus ein realistisches Nacktbild berechnen. Ende 2024 haben wir darüber berichtet, wie Online-Shops mit sexualisierten Deepfakes abkassieren.

Deepfakes tauchen ausdrücklich in einer 2024 beschlossenen EU-Richtlinie auf, die Frauen vor Gewalt schützen soll. Der Richtlinie zufolge müssen EU-Mitgliedstaaten eigene Straftatbestände für bildbasierte Gewalt vorweisen, unter anderem für Deepfakes.

Genügt der deutsche Flickenteppich, um dieser EU-Richtlinie gerecht zu werden? Josephine Ballon findet: Nein. „Meiner Meinung nach wird die Bundesregierung nachsteuern müssen.“ Der Verweis auf andere Normen dürfe hier nicht ausreichen.

Bundesregierung verweist auf Koalitionsvertrag

Während sich Justizminister*innen und Fachleute schon eine Meinung gebildet haben, denkt die Bundesregierung noch nach. Auf Anfrage von netzpolitik.org teilt ein Sprecher des Bundesministeriums für Justiz und Verbraucherschutz mit, man nehme die Entwicklungen bei bildbasierter Gewalt „sehr ernst“. Mehr hat er inhaltlich jedoch nicht zu sagen. Der Sprecher verweist stattdessen auf den Koalitionsvertrag zwischen Union und SPD. Dort steht:

Wir reformieren […] Strafbarkeitslücken, zum Beispiel bei bildbasierter sexualisierter Gewalt. Dabei erfassen wir auch Deepfakes und schließen Lücken bei deren Zugänglichmachung gegenüber Dritten.

Wie genau das aussehen soll und was mit Blick auf die EU-Richtlinie geschehen muss, das werde noch geprüft.

Gründe zum Nachdenken gibt es durchaus. In Bezug auf nicht-einvernehmliche, sexualisierte Deepfakes hat die EU-Richtlinie zum Beispiel eine bedeutsame Einschränkung vorgenommen. So ist die Herstellung oder Manipulation des Bildmaterials erst dann strafbar, wenn es auch der Öffentlichkeit zugänglich gemacht wird. Wer also ein nicht-einvernehmliches, sexualisiertes Deepfake erstellt, würde sich zumindest mit Blick auf die EU-Richtlinie noch nicht strafbar machen.

Josephine Ballon geht das nicht weit genug. „Denn Inhalte auf einer Festplatte oder in der Cloud sind immer nur einen Knopfdruck, Hack oder eine Datenpanne von der Veröffentlichung entfernt“, schreibt sie. Allerdings müsse eine entsprechende Regelung verhältnismäßig sein. Klar erkennbare Satire müsse weiterhin möglich sein, so Ballon.

Gesetz müsste verschiedenen Gewaltformen gerecht werden

Erkennbarkeit – das ist ein Knackpunkt bei bildbasierter Gewalt. Denn sowohl sexualisierte Deepfakes als auch unmanipulierte Nacktfotos können mit Einverständnis entstehen. Und die Art des Einverständnisses kann sich mit der Zeit verändern.

Zum Beispiel teilen viele Menschen einvernehmlich Nacktaufnahmen miteinander, möchten aber nicht, dass Dritte das sehen. Vielleicht experimentieren sie auch einvernehmlich mit sexualisierten Deepfakes. Einige entwickeln nach dem Ende der Beziehung den Wunsch, dass Ex-Partner*innen diese Aufnahmen löschen. Wieder andere mögen es, sich nackt im Netz zu zeigen – wollen aber nicht, dass Fremde diese Bilder weiter veröffentlichen.

All das kann Unsicherheit über die mögliche Strafbarkeit von Aufnahmen schaffen. In den USA ist bei einem ähnlichen Gesetzesvorhaben, dem Take It Down Act, eine Debatte zu Overblocking entfacht. So nennt man es, wenn auch legitime Inhalte gelöscht werden.

Ein entsprechendes deutsches Gesetz müsste den verschiedenen Formen und Schattierungen bildbasierter Gewalt also gerecht werden. Sich noch lange damit gedulden wollen Fachleute allerdings nicht. Strafrechtlerin Anja Schmidt findet: „Eigentlich müsste längst ein konkreter Gesetzentwurf diskutiert werden.“