Facebook und Instagram tun zu wenig, um Kinder unter 13 Jahren von ihren Plattformen fernzuhalten. Das hat die Europäische Kommission heute nach zwei Jahren Untersuchung vorläufig festgestellt. Die beiden Plattformen des Mutterkonzerns Meta hätten Risiken für Minderjährige nicht sorgfältig genug identifiziert und damit gegen Auflagen des Gesetzes über Digitale Dienste (DSA) verstoßen.

Die Ansage fällt in eine Zeit, in der die EU-Kommission unter großem Druck steht, EU-weit wirksame Alterskontrollen durchzusetzen. Unter anderem Frankreich, Dänemark und Griechenland haben Social-Media-Verbote für Kinder und Jugendliche angekündigt. Sie fordern von der EU, die Plattformen zu harten Alterskontrollen zu zwingen. Auch Bundeskanzler Friedrich Merz (CDU) und mehrere deutsche Minister*innen haben Sympathien für ein solches Verbot bekundet. Die Entwicklung hat Fahrt aufgenommen, nachdem Australien als erster Staat weltweit Kindern und Jugendlichen unter 16 Jahren den Zugang zu Social Media verwehrt hatte.

Parallel zu der Ankündigung stellte die EU heute Vormittag neue Leitlinien für den Einsatz ihrer Altersverifikations-App vor. “Unsere Lösung zur Altersverifikation muss Hand in Hand mit der starken Durchsetzung des DSA gehen”, sagte Digitalkommissarin Henna Virkkunen in einem Pressestatement, bevor sie zu den Untersuchungsergebnissen zu Meta überleitete.

Die App soll laut Kommissionspräsidentin Ursula von der Leyen “fertig” sein, wird allerdings von Sicherheitsexpert*innen massiv kritisiert, weil sie unsicher und leicht manipulierbar sei. Fachleute warnen zudem seit Monaten vor den Konsequenzen harter Alterskontrollen im Internet. Die damit geschaffene Infrastruktur sei unsicher und gefährde die Anonymität im Internet.

Vorbeugen, identifizieren, entfernen

Das Gesetz über digitale Dienste sieht keine Pflicht zu Alterskontrollen vor, sondern empfiehlt diese als eine mögliche Maßnahme, mit der Plattformen das Risiko für Kinder und Jugendliche mindern und sich an die Auflagen halten können.

Konkret wirft die Kommission Meta vor, entgegen der eigenen Geschäftsbedingungen, die ein Mindestalter von 13 Jahren vorsehen, Konten zu lax zu prüfen. Kinder unter 13 Jahren könnten bei der Registrierung einfach ein falsches Geburtsdatum angeben und sich so Zugang verschaffen. Auch seien die Möglichkeiten, Konten von Minderjährigen zu melden, zu kompliziert und die Meldungen würden nicht konsequent verfolgt.

Die Kommission zweifelt auch an der Risikobewertung, die Meta wie alle großen Plattformen im Rahmen des DSA abgeben musste. Die Bewertung widerspreche Erhebungen, die darauf hindeuteten, dass etwa 10 bis 12 Prozent der Kinder unter 13 Jahren auf Instagram oder Facebook zugreifen. Meta müssen seine Maßnahmen “stärken”, um solchen Registrierungen vorzubeugen, entsprechende Konten zu identifizieren und zu entfernen. Die Untersuchungsergebnisse seien vorläufig und keine finale Bewertung, sagte die Kommission.

Meta widerspricht

Meta widerspricht den Feststellungen: „Wir stellen klar, dass Instagram und Facebook für Personen ab 13 Jahren bestimmt sind, und wir haben Maßnahmen getroffen, um Konten von Personen unter diesem Alter zu erkennen und zu löschen“, erklärte ein Sprecher. Das Unternehmen werde weiterhin mit der EU zusammenarbeiten.

Der Konzern kann nun schriftlich auf die Vorwürfe reagieren und Einwände vorbringen. Gelangt die Kommission im nächsten Schritt dennoch zu dem Schluss, dass die Maßnahmen nicht ausreichen, droht eine Geldbuße von maximal 6 Prozent des weltweiten Jahresumsatzes. Meta verzeichnete für das Jahr 2025 einen Umsatz von 201 Milliarden US-Dollar.

Die Kommission hat die Untersuchung gegen Meta bereits im Jahr 2024 angestoßen. Parallel zum aktuellen Verfahren zum Schutz von Minderjährigen laufen weitere Untersuchungen, unter anderem zu süchtigmachenden Mustern auf Facebook und Instagram sowie Melde- und Beschwerdesysteme für illegale Inhalte.

Wer weitverbreitete Webbrowser wie Googles Chrome oder Mozillas Firefox einsetzt, sollte zügig die bereitstehenden Aktualisierungen anwenden. Sie schließen als kritisches Risiko eingestufte Sicherheitslücken, die Angreifern unter anderem Codeschmuggel ermöglichen.

Webbrowser Google Chrome

Google-Entwickler arbeiten inzwischen offenbar auch mit KI zur Schwachstellensuche, die aktualisierten Versionen 147.0.7727.137 (Android, Linux) und 147.0.7727.137/138 (macOS, Windows) stopfen 30 Sicherheitslücken auf einen Schlag – seit einigen Wochen ist hier eine deutliche Erhöhung der gefundenen und korrigierten Sicherheitslecks zu beobachten. In der Versionsankündigung deuten sie knapp an, in welchen Komponenten des Browsers welcher Schwachstellentyp mit welchem Schweregrad gefunden wurde. Demnach können Angreifer etwa mit manipulierten Webseiten eine Use-after-free-Lücke in der Canvas-Komponente von Chrome unter Linux oder ChromeOS zum Ausführen von beliebigem Code in einer Sandbox missbrauchen (CVE-2026-7363, kein CVSS, Risiko laut Google „kritisch“). Unter iOS hat Chrome ebenfalls eine Use-after-free-Schwachstelle, die beim Verarbeiten von manipulierten Webseiten Speicher auf dem Heap durcheinander bringt (CVE-2026-7361, kein CVSS, Risiko laut Google „kritisch“).

Unter Windows gibt es bei den Barrierefreiheitsroutinen in Chrome eine Use-after-free-Lücke, die den Ausbruch aus der Sandbox ermöglichen kann (CVE-2026-7344, kein CVSS, Risiko „kritisch“). Im User-Interface-Framework Views klafft ebenfalls eine Use-after-free-Sicherheitslücke, die den Ausbruch aus der Sandbox ermöglichen kann (CVE-2026-7343, kein CVSS, Risiko „kritisch“). Bei Use-after-free-Schwachstellen nutzt der Programmcode bereits freigegebene Ressourcen, wodurch dort undefinierte Inhalte liegen – was sich oftmals etwa zum Ausführen von eingeschleustem Schadcode missbrauchen lässt. 23 weitere Sicherheitslücken stuft Google als hohes Risiko ein.

Firefox-Webbrowser

Die Mozilla-Foundation hat derweil die Versionen Firefox 150.0.1, Firefox ESR 140.10.1 und Firefox ESR 115.35.1 herausgegeben. Sie eint gemeinsame Sicherheitslücken, die die Speichersicherheit betreffen, also etwa Zugriffe außerhalb vorgesehener Speicherbereiche ermöglichen. Die Entwickler gehen jedoch nicht in die Details (CVE-2026-7322, CVSS 7.3 (laut CISA), Risiko nach Mozilla aber „kritisch“).

Bei keiner der Schwachstellen geben die Entwickler an, dass es Hinweise auf Missbrauch im Internet gibt. Dennoch sollten Nutzerinnen und Nutzer zügig sicherstellen, mit abgesicherten Versionen im Netz unterwegs zu sein.

Den aktuell laufenden Softwarestand zeigen bei allen Webbrowsern die Versionsdialoge an, die sich durch Klick auf das Einstellungsmenü und dort unter „Hilfe“ – „Über “ öffnen. Steht ein Update zur Verfügung, meldet der Dialog das und bietet die Installation an. Unter Linux ist dafür in der Regel die Softwareverwaltung der Distribution zuständig. Auf Mobilgeräten zeichnen sich hingegen die App-Stores für die Updateverwaltung verantwortlich. Allerdings stehen die Aktualisierungen dort oft erst mit Verzögerung bereit.

Auf diesen Projekten aufsetzende Browser wie der Chromium-basierte Microsoft Edge dürften in Kürze ebenfalls Aktualisierungen anbieten, die die Sicherheitslecks ausbessern. Ebenso ist für das Mailprogramm Thunderbird in Kürze mit Updates zu rechnen, da es auf dem verwundbaren Firefox-Code basiert.

(dmk)

Angreifer haben es auf Schwachstellen in ConnectWise ScreenConnect und der Windows Shell abgesehen. Vor Angriffen darauf warnt jetzt die US-amerikanische IT-Sicherheitsbehörde CISA.

In der Mitteilung der CISA, dass sie zwei attackierte Schwachstellen in den Known-Exploited-Vulnerabilities-Katalog aufgenommen hat, nennt die Behörde jedoch keine weiteren Details. Umfang, Art und Folgen der Angriffe sind dadurch unklar. Allerdings lassen sich aufgrund der CVE-Schwachstelleneinträge manchmal anderweitig Rückschlüsse ziehen. So wurden Angriffe auf die Windows Shell am gestrigen Dienstag bekannt (CVE-2026-32202, CVSS 4.3, Risiko „mittel“). Etwa Akamai hat tiefergehende Hintergründe veröffentlicht, das Leck als Zero-Click-Lücke eingeordnet und erörtert, dass Angreifer dadurch Net-NTLM-v2-Hashes abgreifen und diese in NTLM-Relay-Angriffe missbrauchen können – und das auch inzwischen in der Praxis machen.

Die Sicherheitslücke in ConnectWise ScreenConnect, die bösartige Akteure im Netz angreifen, ist hingegen bereits seit Februar 2024 bekannt (CVE-2024-1708, CVSS 8.4, Risiko „hoch“). Seitdem gibt es auch Aktualisierungen der Remote-Monitoring-and-Management-Software (RMM). Hier liefern die IT-Sicherheitsforscher von Huntress hilfreiche Hinweise – die bereits aus Mitte Februar stammen, sind aber offenbar noch immer relevant.

Missbrauchte ScreenConnect-Lücke

Die Schwachstelle CVE-2024-1708 ist eine sogenannte Path-Traversal-Sicherheitslücke, durch die Angreifer Schadcode auf verwundbare Systeme verfrachten können. Laut Huntress nutzen das bösartige Akteure zusammen mit der Sicherheitslücke CVE-2024-1709 (CVSS 10.0, Risiko „kritisch“), die das Umgehen der Authentifizierung ermöglicht. Der Angriff mit kombinierten Schwachstellen hat den Namen „SlashAndGrab“ erhalten. Betroffen ist ConnectWise ScreenConnect 23.9.7 und vorherige Versionen, der Fix kam mit ScreenConnect 23.9.8 und neueren.

IT-Verantwortliche sollten die Sicherheitslücken schließen, indem sie die verfügbaren Patches anwenden. Wer ConnectWise ScreenConnect einsetzt, findet in der Huntress-Analyse zudem einige Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC), auf die die Systeme untersucht werden können.

(dmk)