Bei Infoniqa, einem Software- und Dienstanbieter für den HR-Bereich, kam es Anfang des Monats zu einem IT-Vorfall. Jetzt meldet sich die Cybergang „Warlock“ im Darknet und reklamiert den Einbruch für sich. Sie will große Mengen teils sensibler Daten entwendet haben.

Ein Countdown auf der Untergrund-Webseite der kriminellen Vereinigung zeigt eine Laufzeit von etwas mehr als zwei Tagen an. Eine Schaltfläche „View Data“ ist derzeit (noch) funktionslos.

Der Info-Kachel zufolge haben die Mitglieder der Bande bei Infoniqa 165 GByte an Daten kopiert. Darunter sollen sich interne Dokumente, Finanzdokumente, Mitarbeiter-Informationen, die CRM-Datenbank, die HR-Datenbank sowie eine SaaS-Datenbank befinden.

Umfangreiche Daten abgeflossen?

Letzteres wäre vermutlich die Datenbank mit den Daten, die die Kunden bei Infoniqa verwalten. Belege liefert die Cyberbande nicht. Es finden sich keine Samples oder Auszüge oder Verzeichnisstrukturen, die eine Evaluierung erlauben würden.

Eine Antwort auf unsere Anfrage hierzu bei Infoniqa steht derzeit noch aus, ob etwa eine Lösegeldforderung vorliegt oder ob das Unternehmen den behaupteten Datenabfluss bestätigen kann. Wir reichen eine Antwort bei Verfügbarkeit an dieser Stelle nach.

Bisher hat Infoniqa lediglich bestätigt, dass in der Nacht zum Montag, dem 4. August 2025, ein Cyberangriff auf die IT des Unternehmens stattfand. Danach habe das Unternehmen umgehend Schutzmaßnahmen ergriffen und betroffene Systeme getrennt und heruntergefahren. Dennoch hätten die meisten Produkte den Kunden zur Verfügung gestanden, lediglich für „ONE Start Cloud“ ist eine Alternative zu nutzen. Vergangene Woche, am 12. August, sollen alle technischen Einschränkungen bereits gelöst worden sein, gab Infoniqa gegenüber heise online an.

Die Untersuchungen liefen vergangene Woche noch. Das Unternehmen wollte deshalb keine Angaben dazu machen, ob und welche Daten abgeflossen seien. Jedoch seien „Externe Cyber Security Experten und Forensiker“ mit der Analyse des Vorfalls betraut. Infoniqa setzt dabei den Angaben zufolge auf „Gründlichkeit vor Geschwindigkeit“.

(dmk)

Wie kann man Kinder und Jugendliche vor den schädlichen Seiten sozialer Medien schützen? Darüber diskutieren derzeit Fachleute aus Politik, Wissenschaft und Zivilgesellschaft. Ob in Deutschland oder der EU, in Großbritannien oder Australien – im Zentrum der Aufmerksamkeit steht vor allem eine Maßnahme: harte Altersgrenzen.

Soziale Medien sollen demnach ein Mindestalter bekommen, durchgesetzt durch harte Altersschranken für alle, die im Internet unterwegs sind. Ein Internet voller Kontrollen: Die Gefahren für Grundrechte sind enorm.

Jüngst hat ein Team aus neun Forscher*innen für den Verein Leopoldina ein Diskussionspapier vorgelegt. Es beschreibt die möglichen Gefahren sozialer Medien für Minderjährige und gibt konkrete politische Empfehlungen. Die Leopoldina ist eine vom Bund und dem Land Sachsen-Anhalt finanzierte Gelehrtengesellschaft. Sie hat es sich unter anderem zur Aufgabe gemacht, Politik und Öffentlichkeit zu beraten.

Große Nachrichtenmedien haben auf das Papier schnell und vor allem einseitig reagiert. „Keine Social-Media-Accounts für unter 13-Jährige“, titelte etwa tagesschau.de. Auch in der Spiegel-Schlagzeile stand: „Leopoldina empfiehlt Verbot“.

Zwar steht das Verbot durchaus in dem 76-seitigen Papier. Doch gerade bei den Altersschranken argumentieren die Forschenden unsauber, wie die folgende Analyse in sieben Schritten zeigt. Jenseits von Alterskontrollen haben die Forschenden der Leopoldina dagegen Spannendes zu sagen, darunter radikale Kritik am Geschäftsmodell von Big Tech.

1) Die Wissenschaft weiß, dass sie nichts weiß

Aus dem Leopoldina-Papier geht hervor: Die Debatte um ein Social-Media-Verbot steht wissenschaftlich auf schwachem Fundament. Schaden soziale Medien überhaupt der Gesundheit von Kindern und Jugendlichen? „Der Großteil der verfügbaren Evidenz ist korrelativer, nicht kausaler Natur“, stellen die Forschenden fest.

Das bedeutet: Man konnte noch nicht sicher nachweisen, was soziale Medien genau bei Minderjährigen anrichten können. Die Expert*innen der Leopoldina bezeichnen die Forschungslage als „unbefriedigend“. Auch die Frage, wie soziale Medien auf das Gehirn einwirken, sei „bislang noch kaum neurowissenschaftlich untersucht“.

Allerdings lassen sich psychische Schäden möglicherweise nicht rückgängig machen, warnen die Forschenden. Deshalb treffen sie eine Entscheidung: Sie plädieren für Vorsicht statt Nachsicht. Dieses Vorsorgeprinzip sei ein „ethischer Standard zum Umgang mit Unsicherheit“. Darauf basieren die Empfehlungen der Leopoldina.

2) Leopoldina sieht Vor- und Nachteile sozialer Medien

Bevor sie konkrete Tipps auf den Tisch legen, zeichnen die Forschenden zunächst ein ambivalentes Bild. Soziale Medien können demnach auch gut für das Wohlbefinden sein. Jugendliche pflegen über Social Media etwa Kontakte, finden Unterstützung und erleben soziale Verbundenheit. „Dies ist insbesondere für Minderheiten und vulnerable Gruppen wie LGBTQ+ wichtig“, schreiben die Forschenden.

Zudem würden viele junge Menschen soziale Medien als Informationsquelle nutzen. Dabei gehe es um Trends und um das Weltgeschehen. Den eigenen Interessen nachzugehen könne junge Nutzer*innen „inspirieren und ihren Horizont erweitern“. Sie können zudem untereinander Wissen austauschen.

Als negative Seiten sozialer Medien nennen die Forschenden etwa Bedrohungen und Belästigungen oder Unzufriedenheit mit dem eigenen Körper und Selbstbild. Gerade bei Mädchen gebe es ein erhöhtes Risiko für sexuelle Übergriffe. Jugendliche, die Social Media suchtartig nutzen, können unter anderem Schlafprobleme bekommen, gestresst und nervös sein, Symptome von Depressionen entwickeln. Die Aufmerksamkeit könne sinken, die Leistungen in der Schule könnten schlechter werden.

Zudem gebe es Hinweise, dass sich Menschen besser fühlen, wenn sie Social-Media-Zeit reduzieren: „Erste Studien mit jungen Erwachsenen in Deutschland und den USA zeigen, dass eine bewusste Reduktion der täglichen Nutzungsdauer um 20 bis 30 Minuten bereits zu deutlichen Verbesserungen der psychischen Gesundheit führt.“

3) Radikale Kritik am Geschäftsmodell sozialer Medien

Stellenweise ist das Leopoldina-Papier visionär, etwa wenn die Forschenden das schiere Geschäftsmodell sozialer Medien ins Visier nehmen.

Es ließe sich zweifellos argumentieren, dass wirksame Maßnahmen grundsätzlicher am Geschäftsmodell der Aufmerksamkeitsökonomie ansetzen müssten – schließlich betreffen dessen negative Folgen nicht nur Kinder und Jugendliche, sondern auch Erwachsene.

Konkret kritisieren die Forschenden „die Extraktion und Monetarisierung von Aufmerksamkeit“ durch Digitalkonzerne. Das fördere „technologische Strategien zur Maximierung der Nutzerbindung“ und schaffe „gezielt suchtfördernde Strukturen“.

Einfacher ausgedrückt: Weil die Konzerne vor allem durch personalisierte Werbung Geld verdienen, nutzen sie allerlei Psychotricks, damit Menschen möglichst lange am Bildschirm kleben bleiben. Es geht etwa um manipulative Designs oder um die die Sogwirkung algorithmisch optimierter Feeds. Und das ist nicht nur eine Gefahr für Minderjährige, sondern für alle, wie die Forschenden herausstellen.

Das „Prinzip der Aufmerksamkeitsökonomie“ ist nicht nur eine Nebensache, sondern steht laut Papier „im Zentrum vieler digitaler Geschäftsmodelle“. Warum also nicht ran an diese gesellschaftlich schädlichen Geschäftsmodelle? Konkrete Ideen gibt es dafür längst. So ließen sich etwa die Macht der Plattformen begrenzen, Tracking und Profilbildung zu Werbezwecken untersagen sowie süchtigmachende und manipulative Designs bekämpfen.

Zumindest kurz darüber nachgedacht haben die Leopoldina-Expert*innen offenbar. Sie schreiben, ein „solcher Ansatz wäre ein langfristiges politisches Vorhaben, während die akute Gefährdung von Kindern und Jugendlichen rasches Handeln erfordert.“

4) Mehr als Alterskontrollen: Das empfiehlt die Leopoldina

Um Kinder und Jugendliche kurzfristig vor den Gefahren sozialer Medien zu schützen, empfiehlt die Leopoldina ein Bündel an Maßnahmen. Ausdrücklich raten die Forschenden davon ab, allein auf Alterskontrollen zu setzen.

Heranwachsende sollten vor den Risiken sozialer Medien geschützt werden – und zugleich die Chance erhalten, einen reflektierten und selbstbestimmten Umgang mit ihnen zu entwickeln, ohne überfordert zu werden. Strategien, die vorrangig auf Altersbeschränkungen setzen, greifen dabei aus unserer Sicht zu kurz. Wir schlagen stattdessen eine kombinierte, altersdifferenzierte Schutzstrategie vor.

Zunächst gehen die Forschenden auf Dinge ein, die teils schon auf der To-do-Liste der EU-Kommission stehen. Grundlage dafür ist das relativ neue Gesetz über digitale Dienste (DSA). Konkret nennen die Forschenden etwa:

• Schutz vor Fremden: Dienste können Accounts von Minderjährigen so einstellen, dass „nur Interaktionen mit bereits bestätigten Kontakten möglich ist“.
• Weniger Sogwirkung: Dienste können „suchterzeugende Funktionen wie Autoplay, Push-Nachrichten oder unendliches Scrollen standardmäßig“ deaktivieren.
• Empfehlungssysteme entschärfen: Algorithmisch sortierte Feeds können demnach weniger auf Klickverhalten reagieren, sondern altersgerechte Inhalte bevorzugen.
• Medienkompetenz fördern: Hierfür gebe es in Deutschland schon genug Materialien. Aber in Schulen fehle es an Fachpersonal, Zeit und Fortbildungsmöglichkeiten, so die Leopoldina.

Die Handlungsempfehlungen der Forschenden greifen diese Punkte auf und vertiefen sie teilweise.

• Messenger-Dienste sollten demnach ebenso Maßnahmen zum Jugendschutz ergreifen, wenn die „Grenzen zwischen sozialen Netzwerken und Messengerdiensten zunehmend verschwimmen“. So gibt es auf WhatsApp inzwischen Stories, wie manche sie von Instagram kennen, sowie Gruppen und Channels, wie manche sie von Facebook kennen.
• Features für Eltern sollten die Möglichkeit schaffen, die Social-Media-Nutzung ihrer Kinder altersgemäß zu gestalten.
• Öffentliche Aufklärung solle als breit angelegte Kampagne geschehen und Kinderärzt*inen einbeziehen. „Die Kampagne sollte Empfehlungen geben, wie soziale Medien sinnvoll genutzt werden können und worauf besser verzichtet werden sollte“.
• Unabhängige Forschung solle die „positiven und negativen Auswirkungen“ sozialer Medien beleuchten. Dabei sollten Plattformanbieter „verpflichtet sein, ihre Daten zügig bereitzustellen“.

Ein Baustein dieser Empfehlungen ist schließlich, was gerade unverhältnismäßig viel politische Aufmerksamkeit bekommt: die Empfehlung für harte Altersgrenzen.

5) Social-Media-Verbot ab 13: Darauf stürzen sich die Medien

Zwar warnen die Forschenden der Leopoldina selbst davor, vorrangig auf Alterskontrollen zu setzen. Dennoch widmen sie diesem Thema mehrere Seiten und werden dabei konkret.

• 13 Jahre soll demnach das verbindliche Mindestalter für die Einrichtung eines Social-Media-Accounts sein.
• 13- bis 15-Jährige sollten soziale Medien nur mit Zustimmung der Eltern und nach einer Altersbestätigung nutzen dürfen.
• Ab der 11. Klasse erst sollen Jugendliche Smartphones in der Schule nutzen dürfen. Auch zur Organisation und Kommunikation im Klassenverband sollte die Nutzung sozialer Medien „kritisch hinterfragt und auf das Mindestmaß beschränkt werden“.
• 16- bis 17-Jährige sollen soziale Medien nur mit Einschränkungen nutzen. So sollen etwa Inhalte verboten sein, die „die psychische und physische Gesundheit gefährden können“.

Zur Erinnerung: Die Forschenden argumentieren hier auf Basis des Vorsorgeprinzips; die Empfehlungen fußen nicht auf wissenschaftlicher Evidenz.

Einige deutsche Spitzenpolitiker*innen dürften diese Empfehlungen gerne hören, immerhin fordern sie ein Social-Media-Verbot für Minderjährige. Dazu gehören etwa die Bundesministerinnen für Justiz (SPD) und für Familie (CDU).

Doch den Ambitionen für ein deutsches Social-Media-Verbot verpasst die Leopoldina direkt einen Dämpfer: Für nationale Alleingänge sieht sie kaum juristischen Spielraum, ähnlich wie jüngst die Wissenschaftlichen Dienste des Bundestags. Der Grund ist, dass anderslautende EU-Gesetze Vorrang haben.

Auch auf EU-Ebene sehen die Wissenschaftlichen Dienste wenig Spielraum für ein Social-Media-Verbot für Minderjährige. Die Forschenden der Leopoldina finden, Deutschland solle sich für eine Lösung auf EU-Ebene einsetzen.

6) Alterskontrollen: Hier argumentiert die Leopoldina unsauber

Nicht nur juristisch wird es eng für ein pauschales Social-Media-Verbot für Minderjährige. Die Empfehlung der Leopoldina hat einen weiteren Haken.

Wer das Alter von Menschen im Netz kontrollieren möchte, kann dafür mehrere Systeme verwenden. Die wichtigsten davon fasst die Leopoldina im Diskussionspapier zusammen. Solche Kontrollsysteme basieren etwa auf biometrischen Gesichtscans oder Ausweispapieren. Die EU arbeitet an einer App-Lösung für Angebote ab 18 Jahren. Sie soll später Teil der für 2026 geplanten digitalen Brieftasche werden, der EUDI-Wallet.

Genau hier ist der Haken in der Argumentation der Leopoldina. Die Forschenden gehen davon aus, dass solche technischen Lösungen funktionieren und den Ansprüchen gerecht werden. Sie sollen etwa „zuverlässig, sicher und datenschutzfreundlich“ sein, schreiben sie. Mehrfach betonen sie im Papier, dass Maßnahmen nicht die digitale Teilhabe von Kindern gefährden sollen.

Aber Alterskontrollsysteme werden diesen Ansprüchen nicht gerecht.

• Zuverlässigkeit: Mit Alterskontrollen versehene Angebote lassen sich mit simplen Mitteln umgehen. Je nach Kontext sind das etwa VPN-Dienste, alternative DNS-Server oder der Tor-Browser. Als Grundwerkzeuge digitaler Selbstverteidigung lassen sich solche Werkzeuge auch nicht ohne fatale Grundrechtseingriffe verbieten.
• Unzuverlässig ist der Schutz auch, wenn sich die Empfehlungen nur auf soziale Medien und funktional ähnliche Messenger beziehen. Die Sogwirkung von Gaming ist für Minderjährige ebenso verlockend. Mit Spielen wie Roblox, Fortnite oder Brawl Stars schlagen sie sich die Nächte um die Ohren. Die Leopoldina lässt das unerwähnt.
• Sicherheit: Alterskontrollsysteme lassen sich sicher oder weniger sicher gestalten. Nutzer*innen können das oftmals nicht beurteilen. Sie müssen sich darauf verlassen, dass ein Anbieter ihre Daten nicht missbraucht, wenn er ihr Gesicht oder ihren Ausweis scannen will. Die EU will mit ihrer Alterskontroll-App zumindest eine sichere Musterlösung vorlegen. Phishing-Versuche durch unseriöse Anbieter werden sich kaum vermeiden lassen.
• Datenschutz: Der von der EU-Kommission vorgestellte Prototyp einer Alterskontroll-App arbeitet zunächst nicht anonym, sondern pseudonym. Dabei hat die Kommission in ihren eigenen Leitlinien festgehalten, dass auf Ausweisen basierende Alterskontrollen anonym sein sollten. Zumindest hier ließe sich nachbessern.
• Teilhabe: Auf Dokumenten basierende Alterskontrollen schließen Menschen ohne Papiere aus; allein in Deutschland sind das Hunderttausende. Auch biometrische Kontrollen als Alternative erschweren vulnerablen Gruppen der Gesellschaft die Teilhabe; gerade bei jungen Altersgruppen funktionieren sie nicht zuverlässig. Die Fehlerraten der Systeme sind auch bei People of Color und Frauen besonders hoch. Das heißt, Altersschranken werden Menschen ungerechtfertigt aussperren.
• Overblocking lässt sich schon jetzt bei bestehenden Altersschranken beobachten. Inhalte, die frei zugänglich sein sollten, landen durch oftmals automatische Filter irrtümlich hinter Altersschranken. Auch das beschneidet Teilhabe und Informationsfreiheit von Nutzer*innen.

Die EU-Kommission hat manche dieser systematischen Schwächen von Alterskontrollsystemen in ihren DSA-Leitlinien zum Jugendschutz bereits benannt – zieht daraus bislang allerdings keine klare Konsequenz. Die Leopoldina scheint die systematischen Schwächen von Alterskontrollsystemen auszublenden.

7) Jenseits von Alterskontrollen

Es gibt eine Gemeinsamkeit zwischen dem Diskussionspapier der Leopoldina und den Leitlinien der EU-Kommission zum Jugendschutz. Beide Dokumente stellen klar, dass Alterskontrollen gewisse Ansprüche erfüllen müssen. Und beide empfehlen Alterskontrollen, obwohl sie diesen Ansprüchen nicht gerecht werden. Das ist nicht schlüssig argumentiert. Zur Beschwichtigung wird gerne darauf verwiesen, dass die passenden Werkzeuge noch entwickelt werden.

Damit wird das Social-Media-Verbot – und die damit verbundenen Alterskontrollen – zu einem Beispiel für sogenannten Tech-Solutionismus. So nennt man die irrtümliche Hoffnung darauf, dass sich ein gesellschaftliches Problem mit der passenden Technologie lösen lasse.

Viele Nachrichtenmedien rücken die Verbotsforderung unkritisch in den Fokus. Auf diese Weise verfestigt sich die Erzählung von einem vermeintlich fundierten Konsens. Zugleich hemmt das die Debatte über alternative Maßnahmen, für die das Leopoldina-Papier genug Anlass bietet.

„Leopoldina schießt gegen Geschäftsmodell von Big Tech“ – auch diese Schlagzeile würde das Papier hergeben. Immerhin übt die Leopoldina radikale Kritik an der digitalen Aufmerksamkeitsökonomie. Genau hier ließe sich konstruktiv anknüpfen. Die EU-Kommission plant gerade einen „Digital Fairness Act“. Bis 24. Oktober können Interessierte unter anderem Fälle von manipulativen oder süchtigmachenden Designs melden. Für die Regulierung der Aufmerksamkeitsökonomie gibt es also ein reales Handlungsfenster.

Sprengstoff bietet auch eine weitere Passage der Leopoldina, die sich an Eltern richtet:

Eltern scheinen bei der Mediennutzung der Kinder allerdings Vorbild und Verhaltensmodell zu sein, denn die Mediennutzung der Kinder und Jugendlichen steht in einem signifikant positiven Zusammenhang mit der Mediennutzung ihrer Eltern. Eltern, die selbst ein suchtartiges Nutzungsverhalten bei sozialen Medien zeigen, dienen daher als negatives Vorbild und erhöhen somit das Risiko, dass auch ihre Kinder ein suchtartiges Nutzungsverhalten entwickeln.

Dieser Aspekt hat es ebenso wenig in Schlagzeilen großer Nachrichtenmedien geschafft. Auch Spitzenpolitiker*innen appellieren nicht an Eltern, ihr Handy doch mal selbst wegzulegen. Kein Wunder: Mit solchen Appellen würde man sich nicht gerade beliebt machen.

Ob Big Tech entmachten oder Eltern in die Pflicht nehmen: Gerade der Vergleich mit diesen alternativen Ansätzen erklärt die magische Anziehungskraft von Verboten und Alterskontrollen. Sie versprechen zwar trügerische Sicherheit und werden ihren Ansprüchen nicht gerecht – aber für Politik und Eltern sind sie immerhin bequem.

Ein 22-Jähriger aus dem US-Bundesstaat Oregon wird beschuldigt, eines der bislang stärksten Botnets entwickelt und betrieben zu haben. Das hat die Staatsanwaltschaft von Alkas jetzt mitgeteilt, wo der Fall gelandet ist. Die erklärt, dass der Beschuldigte die Dienste von „Rapper Bot“ gegen Geld angeboten habe. Mithilfe von 65.000 bis 95.000 infizierten Geräten habe das Botnet seit 2021 regelmäßig DDoS-Attacken mit 2 bis 3 Terabit pro Sekunden (TBit/s) ausgeführt. Der stärkste Angriff des Botnets könnte demnach sogar 6 TBit/s übertroffen haben. So angegriffene Seiten gehen offline, der unerwünschte Traffic kann für die Betreiber teuer werden. Auch Schutzmaßnahmen gegen solche Angriffe kosten viel Geld. Die Wohnung des Beschuldigten wurde am 6. August durchsucht, das Botnet sei aus dem Verkehr gezogen worden.

Angriffsziele in dutzenden Staaten

Während die Staatsanwaltschaft lediglich auflistet, dass das Botnet gegen Ziele in mehr als 80 Staaten, ein Netz der US-Regierung, ein populäres soziales Netzwerk und viele Tech-Firmen gerichtet wurde, werden andere genauer. Der Sicherheitsforscher Brian Krebs schreibt, dass „Rapper Bot“ für massive Ausfälle beim Kurznachrichtendienst X Anfang März verantwortlich gewesen sein soll. Hauptsächlich soll das Botnet aber gegen Internetportale gerichtet worden sein, die dafür bezahlen sollten, nicht mehr ins Visier zu gelangen. Unter anderem Wettportale aus China seien so angegriffen worden. Krebs selbst sei von „Rapper Bot“ nicht attackiert worden, die Verantwortlichen hätten die Strafverfolgungsbehörden nicht auf den Plan rufen wollen.

Das Botnet des jetzt 22-Jährigen setze sich laut der Staatsanwaltschaft aus digitalen Videorekordern, WLAN-Routern und ähnlichen Geräten zusammen, die mit spezialisierter Malware übernommen wurden – also ein IoT-Botnet. Es habe sich um das leistungsfähigste und ausgeklügelteste Botnet gehandelt, dessen Dienste man habe kaufen können. Ein nur 30 Sekunden dauernder Angriff damit könnte die jeweiligen Opfer zwischen 500 und 10.000 US-Dollar kosten, heißt es noch. Laut Krebs hat der jetzt Beschuldigte mit einer weiteren Person zusammengearbeitet. Beide hätten die Einnahmen zu gleichen Teilen zwischen sich aufgeteilt. Sollte der Beschuldigte aus Oregon schuldig gesprochen werden, droht ihm eine Höchststrafe von 10 Jahren, schreibt die Staatsanwaltschaft weiter. Krebs hält so viel aber für unwahrscheinlich.

(mho)