Europäische Netzbetreiber kritisieren die Pläne der EU-Kommission, bestimmte Hersteller vollständig aus den Netzen herauszuhalten. Der Entwurf des zweiten Cybersecurity Acts (CSA) sieht vor, dass risikoreiche Zulieferer auch vollständig vom Markt und aus den Netzen verbannt werden sollten. Namen nennt die Kommission nicht, doch richtet sich der Vorstoß offensichtlich gegen chinesische Anbieter wie Huawei oder ZTE.

Damit würde die EU die Lage für europäische Netzbetreiber deutlich verschärfen. Und nicht nur für die: Die Mobilfunker sind bei weitem nicht die einzigen, die Produkte dieser chinesischen Hersteller nutzen. Auch in anderen kritischen Bereichen wie bei der Bahn, im Energiesektor oder in städtischen Netzen sind Produkte dieser Firmen im Einsatz. Darüber hinaus ist Huawei Weltmarktführer bei Wechselrichtern für Solaranlagen.

Deutscher Kompromiss

Für die deutschen Mobilfunknetze gibt es einen Kompromiss zwischen Politik und Wirtschaft: Die Chinesen fliegen aus den Kernnetzen raus und werden auf der Funkseite in absehbarer Zeit dort ersetzt, wo es kritisch werden kann – etwa bei der Software für das Netzwerkmanagement. Antennen und andere Hardware von Huawei & Co. bleiben im Einsatz. Geht es nach den Vorstellungen der EU-Kommission, wäre damit Schluss: Sobald die EU einen Ausrüster wie Huawei als Hochrisiko einstuft, müssten bereits aktive Komponenten zurückgebaut werden.

Noch ist das EU-Gesetz ein Entwurf, doch die betroffenen Branchen bringen sich in Brüssel bereits in Stellung. „Wir warnen vor Maßnahmen, die genau den Sektor erheblich schwächen würden, den sie eigentlich schützen sollen”, heißt es in einer Stellungnahme des Verbands Connect Europe, in dem vor allem die ehemals staatlichen Netzbetreiber wie Telekom, Orange und Telefónica vertreten sind.

Pauschale Eingriffe in die Lieferkette würden sich „erheblich und nachteilig auf den Netzausbau, die Betriebskontinuität und die Investitionsplanung auswirken“, mahnt der Verband und fordert vorausschauend schon einmal „mildernde Maßnahmen wie Kostenerstattungsmechanismen“. Grundsätzlich müssten Maßnahmen „risikobasiert, verhältnismäßig und praktikabel sein“.

„Unnötig und unverhältnismäßig“

Auch der Dachverband der Mobilfunkbranche meldet sich scharf zu Wort und wehrt sich gegen eine pauschale Regulierung auf EU-Ebene. „Nicht alle Ausrüstungskomponenten sind gleichermaßen sensibel, sodass pauschale Ansätze unnötig und unverhältnismäßig sind”, warnt die GSMA und betont, für Fragen der nationalen Sicherheit müssten die Mitgliedstaaten zuständig bleiben.

Zwar hätten Sicherheit und Resilienz oberste Priorität, doch könnte der Plan der EU-Kommission die für den weiteren Netzausbau zur Verfügung stehenden Ressourcen verknappen, warnt die GSMA. Gesetzgeberische Maßnahmen müssten „zielgerichtet und risikobasiert“ sein sowie den betroffenen Unternehmen „langfristige Vorhersehbarkeit“ bieten. Dem EU-Vorschlag mangele es an Verhältnismäßigkeit und er berge die Gefahr erheblicher Störungen und Kosten.

Auch Huawei selbst kritisiert den EU-Plan als undifferenziert. „Ein Gesetzesvorschlag, der Nicht-EU-Lieferanten aufgrund ihres Herkunftslandes und nicht aufgrund von Fakten und technischen Standards einschränkt oder ausschließt, verstößt gegen die grundlegenden Rechtsprinzipien der EU in Bezug auf Fairness, Nichtdiskriminierung und Verhältnismäßigkeit sowie gegen ihre Verpflichtungen gegenüber der Welthandelsorganisation WTO“, sagte ein Sprecher gegenüber der Nachrichtenagentur Reuters.

(vbr)

Über drei Schwachstellen kann Schadcode auf bestimmte Lexmark-Drucker schlüpfen und diese kompromittieren. Nun haben die Entwickler die Sicherheitsprobleme mit Updates gelöst.

Lexmark hat zu den Sicherheitslücken (CVE-2025-65083 „kritisch“, CVE-2025-65079 „mittel“, CVE-2025-65081 „mittel“) jeweils Warnmeldungen veröffentlicht. Die Auflistung der konkret bedrohten Modelle sprengt den Rahmen dieser Meldung. Darunter fallen etwa Laserdrucker wie MX432 und C4342. Die vollständige Liste finden Admins in den Warnmeldungen.

In allen Fällen können Angreifer aus der Ferne Schadcode ausführen. Ansatzpunkte sind das Embedded Solutions Framework und der Postscript-Interpreter. Genauere Informationen zum Ablauf möglicher Attacken sind derzeit nicht verfügbar. Bislang gibt es seitens Lexmark keine Hinweise auf laufende Attacken.

Um möglichen Angriffen vorzubeugen, müssen Admins die in den oben verlinkten Warnmeldungen aufgelisteten Sicherheitspatches installieren.

(des)

Es war ein merkliches Aufatmen Ende vergangenen Jahres. Nach mehr als drei Jahren Verhandlungen hatten sich Vertreter*innen der EU-Staaten im Rat auf eine gemeinsame Position zur sogenannten Chatkontrolle geeinigt, einem der weitreichendsten Überwachungsprojekte der EU.

Hinter der Chatkontrolle stecken Pläne der EU-Kommission, Anbieter von Messengern wie Signal oder WhatsApp auf Anordnung dazu verpflichten zu können, die Kommunikation von Nutzer*innen zu durchleuchten. Vertrauliche Nachrichten müssten sie dann in großem Stil nach sogenannten Missbrauchsdarstellungen durchsuchen – ein fundamentaler Angriff auf sicher verschlüsselte Kommunikation. Anlass ist der Vorschlag für eine Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern, kurz: CSA-VO.

Fachleute aus unter anderem Kinderschutz, Wissenschaft, Zivilgesellschaft sind gegen das Vorhaben Sturm gelaufen. Mit dem Nein von Rat und EU-Parlament dürfte die Chatkontrolle vom Tisch sein. Kaum beachtet geblieben ist dabei jedoch ein weiteres Überwachungsvorhaben im Vorschlag der Kommission, und zwar die Einführung von Alterskontrollen.

Die EU-Kommission möchte Anbieter nämlich auch dazu verpflichten dürfen, das Alter ihrer Nutzer*innen zu überprüfen. Betroffen sind Dienste, die Erwachsene nutzen können, um sexuelle Kontakte zu Minderjährigen anzubahnen. Das nennt sich Grooming.

Alterskontrollen laufen oftmals auf invasive Maßnahmen heraus. Nutzer*innen müssten dann zum Beispiel ihr Gesicht biometrisch vermessen lassen, damit eine Software ihr Alter schätzt, oder mithilfe von Dokumenten wie dem Ausweis belegen, dass sie erwachsen sind. Mindestens würde es damit für Millionen Nutzer*innen schwerer, sich frei im Netz zu bewegen. Wenn es nicht gelingt, solche Kontrollen sicher zu gestalten, drohen Datenschutz-Verletzungen und massenhafte Überwachung.

Kommission, Rat und Parlament haben teils widersprüchliche Positionen zu den Alterskontrollen. Aktuell verhandeln sie im sogenannten Trilog über die Verordnung – und damit auch über die Zukunft von Alterskontrollen in der EU. Wir liefern die Übersicht über die zentralen Positionen und die Risiken dahinter.

Das will die EU-Kommission

Der Vorschlag der EU-Kommission sieht eine Verpflichtung zu Alterskontrollen bei „interpersonellen Kommunikationsdiensten“ vor, einfach ausgedrückt: Anbietern mit Chatfunktion.

Sie sollen zunächst selbst das Risiko für Grooming einschätzen, also ob ihre Dienste zum Zweck des „sexuellen Kindesmissbrauchs“ eingesetzt werden könnten. Dabei spielt etwa eine Rolle, wie viele Kinder den Dienst überhaupt verwenden, wie leicht sie von Erwachsenen auf der Plattform kontaktiert werden können und welche Möglichkeiten es gibt, solche Kontakte zu melden.

Potenziell von Grooming betroffene Anbieter sollen dann das Alter ihrer Nutzer*innen überprüfen, um Minderjährige „zuverlässig“ zu identifizieren. Die Konsequenz sollen Maßnahmen zur Risikominderung sein. Zwar nennt der entsprechende Artikel im Entwurf kein konkretes Beispiel – denkbar wären aber zum Beispiel eingeschränkte Chat-Funktionen, die keine Gespräche mit Fremden erlauben.

Vergangene Recherchen über Grooming legen nahe: Diese Regelung könnte viele populäre Plattformen treffen, etwa TikTok, Instagram und Roblox oder das unter Gamer*innen beliebte Discord. Auch Messenger wie WhatsApp oder Signal könnten dazu verpflichtet werden, das Alter ihrer Nutzer*innen zu prüfen.

Entscheidend sind hier die Worte „zuverlässig identifizieren“. Eine schlichte Altersabfrage dürfte kaum genügen. Es geht auch nicht bloß darum, dass Anbieter Schutzfunktionen für Minderjährige bereithalten müssen, damit betroffene Minderjährige (oder ihre Aufsichtspersonen) sie einsetzen können. Stattdessen könnte es sein, dass Nutzer*innen in großem Stil beweisen sollen, dass sie schon erwachsen sind.

Zusätzlich sieht die Kommission eine weitere Altersschranke vor, die noch einen Schritt früher ansetzt, und zwar bei „Stores für Software-Anwendungen“. Darunter dürften mindestens der Google Play Store und Apples App Store fallen, je nach Auslegung auch Spiele-Marktplätze wie Steam. Auch dort müssten Nutzer*innen demnach ihr Alter nachweisen, bevor sie Zugang bekommen.

Das will der Rat der EU

Der Rat der EU vertritt die Regierungen der Mitgliedstaaten. Geht es um Alterskontrollen, deckt sich die Ratsposition weitgehend mit dem Vorschlag der Kommission. Auch der Rat will, dass Anbieter, die ein Risiko zur Kontaktaufnahme mit Kindern bei sich feststellen, das Alter ihrer Nutzer*innen kontrollieren. Das Gleiche will der Rat für App Stores.

Für die Ausgestaltung dieser Kontrollen stellt der Rat weitere Anforderungen auf. Demnach sollen die Maßnahmen Privatsphäre und Datenschutz wahren, transparent, akkurat und dabei auch zugänglich und diskriminierungsfrei sein. Der Rat spricht damit Aspekte an, die sich auch an anderer Stelle in EU-Regeln finden, etwa in den Leitlinien zum Jugendschutz im Netz auf Grundlage des Gesetzes über digitale Dienste (DSA).

Der Knackpunkt: Keine Technologie wird all diesen Anforderungen gerecht. Um den Anspruch zu erfüllen, akkurat zu sein, müssten Prüfungen wohl invasiv sein – sonst lassen sie sich täuschen. Typisch sind Kontrollen mit biometrischen Daten oder auf Basis von Dokumenten wie Ausweispapieren. Erstere können Menschen diskriminieren, die nicht ausreichend in den Trainingsdaten eines KI-Systems repräsentiert sind, etwa Women of Color. Letztere können Menschen ausschließen, die keine Papiere haben.

Das will das EU-Parlament

Das EU-Parlament will bei Alterskontrollen einen anderen Weg einschlagen, wie dessen Position zeigt. Streichen will das Parlament demnach die Pflichten für Alterskontrollen auf der Ebene von App-Stores.

Die Marktplätze sollen demnach bloß deutlich ausweisen, wenn Apps erst ab einem bestimmten Alter vorgesehen sind. Zudem sollen sie bei Apps, die das verlangen, die Zustimmung von Erziehungsberechtigten sicherstellen. Diese Maßnahmen könnten etwa Apple und Google bereits umgesetzt haben: Dort gibt es entsprechende Vorkehrungen für Accounts von Minderjährigen, die an Eltern-Accounts gekoppelt sind.

Für die Anbieter von Kommunikationsdiensten will das Parlament im Gegensatz zu Rat und Kommission keine verpflichtenden Alterskontrollen, sondern optionale. Risiken mindern müssen betroffene Anbieter dennoch; sie hätten allerdings die Wahl, auf welche Weise sie das tun.

Weniger invasive Methoden zur Altersprüfung haben einige Plattformen bereits heute im Einsatz. So will TikTok das Verhalten von Nutzer*innen auf Signale untersuchen, die auf ein zu geringes Alter hindeuten, etwa, mit welchen Accounts sie interagieren.

Das Parlament fordert zudem eine Reihe von Auflagen für Alterskontrollsysteme und wird dabei konkreter als der Rat. Demnach soll es für Nutzer*innen weiterhin möglich sein, anonyme Accounts einzurichten, und es sollen keine biometrischen Daten verarbeitet werden dürfen. Zudem sollen Kontrollen nach dem Zero-Knowledge-Prinzip erfolgen. Praktisch heißt das: Anbieter, bei denen man das eigene Alter nachweist, sollen nichts weiter erfahren, außer ob man die nötige Altersschwelle überschreitet. Ein mögliches Werkzeug dafür ist die von der EU in Auftrag gegebene Alterskontroll-App, die künftig Teil der digitalen Brieftasche (EUDI-Wallet) werden soll.

Für Dienste, die sich an Kinder unter 13 Jahren richten, fordert das Parlament zusätzlich, dass sie standardmäßig in ihren Funktionen hohe Sicherheitsstandards wählen. Sie sollen etwa verhindern, dass Nutzer*innen persönliche Daten teilen oder Screenshots machen können.

Gesondert verlangt das Parlament außerdem Regeln für Pornoplattformen. Diese besondere Gruppe von Anbietern soll verpflichtend das Alter von Nutzer*innen kontrollieren. Das entspräche jedoch im Tenor den Anforderungen aus bereits bestehenden EU-Gesetzen wie der Richtlinie über audiovisuelle Mediendienste und dem DSA.

Das steht auf dem Spiel

Alterskontrollen sind nicht nur ein Thema für Kinder und Jugendliche – es geht nämlich darum, alle Nutzer*innen zu kontrollieren, um Minderjährige herauszufiltern. Die deutsche Europa-Abgeordnete Birgit Sippel (SPD) warnt: „Eine verpflichtende Altersverifikation würde eine Ausweispflicht für weite Teile des Internets bedeuten, und zwar vor allem auch für Erwachsene.“ Diese Warnung würde jedoch voraussetzen, dass die EU eine Pflicht zu Alterskontrollen sehr streng auslegt.

Wenn bei Alterskontrollen die Plattformen zum Türsteher werden und Daten auch für andere Zwecken nutzen können, wäre das „höchst problematisch“, so Sippel weiter. Deshalb brauche es Safeguards wie das Zero-Knowledge-Prinzip. „Schließlich darf die Anonymität und Nutzung von Pseudonymen nicht gefährdet werden.“ Außerdem warnt die Abgeordnete davor, Alterskontrollen als Allheilmittel zu betrachten. „Um Kinder effektiv zu schützen, braucht es eine strukturelle Reform der Plattformen, damit Profit nicht mehr aus dem Geschäft mit missbräuchlichen Inhalten geschlagen werden kann.“ Abgeordnete aus anderen Fraktionen haben sich auf Anfrage von netzpolitik.org nicht geäußert.

Für European Digital Rights (EDRi), dem Dachverband von Organisationen für digitale Freiheitsrechte, beobachtet Politikberater Simeon de Brouwer das Gesetzesvorhaben. „Verpflichtende Altersverifikation bei Diensten für zwischenmenschliche Kommunikation ist gefährlich, weil sie die freie Rede unterdrückt“, warnt er. Je nach Art der Kontrollen könnten ganze Gesellschaftsgruppen ausgeschlossen werden – etwa Menschen ohne Papiere. Außerdem warnt er vor Einschüchterung („chilling effects“), wenn der Zugang zu sicherer Kommunikation hinter verpflichtenden Kontrollen steht.

Auch Alterskontrollen auf App-Marktplätzen lehnt de Brouwer ab. „Ein derartiges Maß an Kontrolle und aufdringlicher Datenverarbeitung sollte nicht normalisiert werden – besonders nicht an einem solchen Nadelöhr.“ Es entstehe keine Sicherheit, sondern Kontrolle, wenn der Zugang zu digitalen Werkzeugen vom Überwinden zentraler Prüfsysteme abhängig gemacht wird.

Svea Windwehr ist Co-Vorsitzende des Vereins für progressive Digitalpolitik D64. „Alle bekannten Technologien zur Altersbestimmung im Netz weisen signifikante Schwächen auf“, schreibt sie auf Anfrage. So seien etwa KI-gestützte Altersschätzungen häufig ungenau und „bergen massive Diskriminierungspotenziale, da ihre Leistung stark von Geschlecht, Alter, Hautfarbe und anderen Merkmalen abhängt“. Verifikation anhand von Ausweisdokumenten wiederum könne „eine signifikante Barriere für gesellschaftliche Teilhabe darstellen“.

Unterm Strich würden neue Pflichten zur Altersverifikation „einen Bärendienst für die Privatsphäre von jungen Menschen im Netz“ darstellen, warnt Windwehr. Vor allem würden sie nichts an den strukturellen Problemen ändern, die Plattformen zu unsicheren Räumen für Kinder machen können. „Der politische Anspruch sollte darin bestehen, an der Wurzel des Problems anzusetzen und Plattformen für ihre Produkte zur Verantwortung zu ziehen, statt vulnerable Nutzende auszuschließen.“

So geht es jetzt weiter

Beim Gesetz steht die EU unter gewissem Zeitdruck. Obwohl viele Dienstleister wie etwa Meta bereits jetzt eine freiwillige Chatkontrolle durchführen, fehlt dafür eine dauerhafte Rechtsgrundlage. Möglich ist die Maßnahme nur durch eine vorübergehende Ausnahmeregelung mit Blick auf die Datenschutz-Richtlinie für elektronische Kommunikation. Die Frist dafür endet jedoch im April 2026. Zumindest Kommission und Rat wollen sie um zwei Jahre verlängern; das Parlament müsste dem noch zustimmen.

Weil der Rat sich jahrelang nicht auf eine Position zur Chatkontrolle einigen konnte, war das ganze Gesetzesvorhaben für lange Zeit blockiert. Erst mit der Einigung auf die Ratsposition Ende November wurde der Weg frei für die informellen Trilog-Verhandlungen zwischen Kommission, Rat und Parlament. Beim Trilog versuchen die drei EU-Organe einen Kompromiss zu finden. Verhandelt wird hinter verschlossenen Türen. Dauer: ungewiss; ein Ergebnis ist nicht garantiert.

„Trotz der Differenzen zeigen das Europäische Parlament und der Rat die feste Absicht, intensiv an dem Vorschlag zu arbeiten und so schnell wie möglich eine Einigung zu erzielen“, sagte jüngst der spanische Abgeordnete Javier Zarzalejos (EVP) während einer Ausschuss-Sitzung am 27. Januar. Er ist der zuständige Berichterstatter der konservativen Fraktion im Parlament.

Nach dem ersten Verhandlungstermin am 9. Dezember sollen Verhandlungen auf technischer Ebene am 15. Januar begonnen haben. Aus diesen bis dato zwei Terminen könne Zarzalejos von „guter Atmosphäre und beachtlichem Fortschritt“ berichten. Diskutiert habe man bisher insbesondere das neue EU-Zentrum – das ist die geplante zentrale Anlaufstelle zur Umsetzung der Verordnung. Der nächste Trilog-Termin soll der 26. Februar sein.