Mit dem gestern vorgestellten Entwurf des Digital Networks Acts (DNA) will es die EU-Kommission, wenn schon nicht allen, dann doch vielen recht machen. Weder schafft sie pauschal die Netzneutralität ab, noch die strenge Vorab-Regulierung marktmächtiger Unternehmen, noch wird sie EU-Länder dazu zwingen, vorschnell alternde Kupferleitungen abzuschalten.

Ziel des lange erwarteten Gesetzentwurfs ist ein großflächiger Umbau der EU-Regulierung im Telekommunikationsbereich. Davon erwartet sich die EU-Kommission mehr Investitionen der Netzbetreiber in Infrastruktur. Flächendeckend verfügbare, moderne Internetanschlüsse sollen „die Grundlage für Europas Wettbewerbsfähigkeit“ bilden sowie „innovative Technologien wie Künstliche Intelligenz und Cloud Computing“ ermöglichen, so die Kommission.

In der geplanten Verordnung sollen gleich mehrere EU-Gesetze aufgehen. Allen voran der European Electronic Communications Code (EECC); die Regeln zur Netzneutralität; die Verordnung über das Gremium der europäischen Regulierungsbehörden (GEREK) sowie das Radio Spectrum Policy Programme (RSPP), mit dem künftig die Nutzung von Funkfrequenzen EU-weit geregelt werden soll. Begleitend zum rund 260 Seiten starken Gesetzentwurf hat die Kommission mehrere ausführliche Folgeabschätzungen veröffentlicht.

Nutzungsrechte ohne Ablaufdatum

Einer der größte Änderungsvorschläge: Die Kommission will die zeitliche Befristung der Nutzungsrechte für Mobilfunkfrequenzen abschaffen. Künftig soll die Laufzeit unbegrenzt sein, regelmäßige Versteigerungen von Frequenzblöcken sollen demnach der Vergangenheit angehören. Allerdings soll die Zuweisung künftig nach dem Motto „use it or share it“ ablaufen. Netzbetreiber, die ihnen zugeteilte Frequenzen nicht nutzen, können sie also wieder verlieren. Neben Mobilfunkbetreibern sind etwa auch Satellitenanbieter erfasst.

Diese Vorschläge der Kommission dürften auf Widerstand mancher EU-Länder stoßen, die sich etwa die Einnahmen aus den Frequenzauktionen nicht entgehen lassen wollen. Auch Teile der Branche sind nicht begeistert. Als „sehr problematisch“ bezeichnet etwa der deutsche Betreiberverband Breko diesen Ansatz. Solche Regeln „würden das Oligopol der Mobilfunknetzbetreiber zementieren“ und den Wettbewerb beschädigen, warnt der Verband.

Umstieg auf Glasfaser

Für hitzige Debatten wird wohl auch der Plan sorgen, ab Ende des Jahrzehnts mit der Abschaltung veralteter Infrastruktur wie Kupferleitungen zu beginnen. Bis zum Jahr 2036 soll schließlich EU-weit der Umstieg auf moderne Glasfaser-, aber auch auf Gigabit-fähige Kabelanschlüsse vollzogen sein. Dazu hat die Bundesnetzagentur letzte Woche ein Regulierungskonzept vorgelegt, zugleich aber betont, dass es sich in erster Linie um einen „Debattenbeitrag“ handelt.

Betreiberverbände wie VATM oder ANGA begrüßen das „klare Ablaufdatum“, das allen Beteiligten „ausreichend Planungsperspektive“ geben würde, so VATM-Präsidentin Valentina Daiber. Dabei dürfe es jedoch nicht zu Marktverwerfungen kommen, wenn marktmächtige Unternehmen ihre Dominanz auf die neue Infrastruktur übertragen und dabei gar ausbauen würden. „Entscheidend ist dabei, dass der Übergang diskriminierungsfrei ausgestaltet wird. Die Regeln dürfen Wettbewerbsunternehmen im Prozess nicht schlechter stellen als etablierte Marktakteure“, schreibt ANGA in einer ersten Einschätzung.

Marktmacht bleibt relevant

Aufatmen können kleinere Netzbetreiber in einem zentralen Punkt: Marktmächtige Unternehmen, hierzulande die Telekom Deutschland, müssen sich auch künftig strengerer Vorab-Regulierung unterwerfen, wenn ein Marktversagen zu erkennen ist. Zugleich soll es aber nationalen Regulierungsbehörden wie der Bundesnetzagentur möglich sein, mehr auf sogenannte symmetrische Regulierung zu setzen. Dabei werden Marktakteure gleich behandelt und müssten gegebenenfalls ihrer Konkurrenz den Zugang zu ihren Netzen zu regulierten Bedingungen gestatten.

Vom ambitionierten Plan, einen vollharmonisierten Markt für Telekommunikation zu schaffen, ist die EU-Kommission abgerückt. Dazu seien die Ausgangsbedingungen in den 27 EU-Mitgliedsländern einfach zu unterschiedlich, sagte eine Kommissionssprecherin im Zusammenhang mit der Kupfer-Glas-Migration. Übrig geblieben ist jedoch der Vorschlag einer zentralen Autorisierung für Netzbetreiber. Diese könnten sich künftig in einem EU-Land registrieren, um ihre Dienstleistungen anschließend EU-weit anbieten zu können.

Netzneutralität und Netzzusammenschaltung

Die Regeln zur Netzneutralität hat die Kommission praktisch wortgleich aus der bislang geltenden Verordnung übernommen. Datenverkehr darf demnach in Zukunft weiterhin nicht unterschiedlich behandelt oder diskriminiert werden, auch die Endgerätefreiheit soll unberührt bleiben.

Allerdings behält sich die EU-Kommission das Recht vor, in einem eigenen Durchführungsgesetz („Implementing Act“) detaillierte Leitlinien zu sogenannten Spezialdiensten zu erlassen. Das sind besondere Zugangsprodukte, die über das normale Internet nicht funktionieren würden, beispielsweise das Gaming-Paket der Telekom Deutschland. Damit will die Kommission potenzielle Rechtsunsicherheiten beseitigen, über die manche Netzbetreiber klagen.

Mittelbar mit der Netzneutralität haben Konflikte rund um sogenanntes Peering zu tun. Ursprünglich hatten Ex-Monopolisten die Debatte unter dem Schlagwort „Fair Share“ losgetreten, um von großen Inhalte-Lieferanten wie YouTube oder Netflix eine Datenmaut erheben zu können. Das Konzept war jedoch auf großen Widerstand gestoßen, den offenkundig auch die Kommission nachvollziehen konnte. Der Markt für die Zusammenschaltung von Netzen funktioniere gut, sagte Digitalkommissarin Henna Virkkunen bei der Vorstellung des DNA.

Von der Debatte übrig geblieben ist jedoch eine freiwillige Schlichtungsstelle, die etwaige Konflikte rasch auflösen soll. Virkkunen verwies auf Rechtsstreitigkeiten vor nationalen Gerichten, die sich über viele Jahre hinziehen könnten. „Wir sind überzeugt, dass der von uns im DNA vorgeschlagene freiwillige Schlichtungsmechanismus den Parteien helfen wird, Streitigkeiten leichter beizulegen und eine effiziente, wirtschaftlich nachhaltige und zuverlässige durchgängige Datenübermittlung zu gewährleisten“, sagte die EU-Kommissarin.

Der Vorschlag geht jedoch manchen zu weit, etwa der Interessenvertretung CCIA (Computer & Communications Industry Association), die im Namen von Amazon, Google, Meta und anderen Tech-Konzernen spricht. Anstatt auf bewährte Marktmechanismen zu setzen, würde hier eine Regulierung nur um der Regulierung willen eingeführt, so der Verband. In der Praxis könnte sich der freiwillige Ansatz womöglich „in ein verbindliches System zur Beilegung von IP-Streitigkeiten verwandeln und damit die weithin abgelehnten Netzwerkgebühren wieder einführen“, warnt der Verband vor einer Datenmaut durch die Hintertür.

Der Vorschlag der Kommission geht nun an das EU-Parlament und an den EU-Rat, in dem sich die EU-Länder beraten. Beide Institutionen müssen zunächst eine eigene Position zu dem Vorhaben finden. Anschließend laufen die gemeinsamen Verhandlungen im sogenannten Trilog-Verfahren. Insgesamt dürfte sich das Verfahren über mehrere Jahre hinziehen.

Eigentlich soll Dell IT-Sicherheitslösung Data Protection Advisor Computer schützen, doch mit bestimmten Versionen ist genau das Gegenteil der Fall und Angreifer können an zahllosen Sicherheitslücken ansetzen.

Viele Gefahren

Wie aus einer Warnmeldung hervorgeht, stuft der Computerhersteller die Auswirkungen von erfolgreichen Attacken insgesamt als „kritisch“ ein. Alle Schwachstellen betreffen Komponenten von Drittanbietern wie Apache Ant, libcurl und SQLite. Die Lücken sind zum Teil sechzehn Jahre alt. Warum die Entwickler die Schwachstellen erst jetzt schließen, ist bislang unklar. In der Warnmeldung sind 378 CVE-Einträge aufgelistet.

Darunter sind unter anderem Schadcodelücken in libcurl (CVE-2016-7167 „kritisch“) und Xstream (CVE-2021-39145 „hoch“). Aufgrund des Alters einiger Lücken liegt es nahe, dass einige der nun im Kontext von Data Protection Advisor geschlossenen Schwachstellen ausgenutzt werden. Dazu gibt es aber keinen Hinweis in Dells Warnmeldung.

Die Entwickler geben an, dass davon ausschließlich die Data-Protection-Advisor-Versionen 19.10 bis einschließlich 19.12 SP1 betroffen sind. Die Ausgabe 19.12 SP2 ist mit Sicherheitsupdates ausgerüstet.

Erst kürzlich hat Dell Sicherheitslücken in den Cloudspeicherlösungen ECS und ObjectScale geschlossen.

(des)

In mehreren Unified-Communications-Produkten von Cisco klafft eine Sicherheitslücke, die Angreifern ohne Anmeldung das Einschleusen von Schadcode aus dem Netz und dessen Ausführung mit Root-Rechten ermöglicht. Admins sollten die bereitstehenden Aktualisierungen zügig anwenden, da Cisco bereits Angriffsversuche aus dem Netz auf die Schwachstelle beobachtet hat.

Das teilt Cisco in einer Sicherheitsmeldung mit. Die Schwachstelle resultiert aus einer unzureichenden Prüfung von Nutzer-übergebenen Daten in HTTP-Anfragen. Bösartige Akteure können die Lücke durch das Senden einer Sequenz von sorgsam präparierten HTTP-Anfragen an das webbasierte Management-Interface einer verwundbaren Appliance missbrauchen. „Eine erfolgreiche Attacke erlaubt den Angreifern, Zugriff auf Benutzerebene auf das Betriebssystem zu erlangen und dann die Berechtigungen auf ‚root‘ auszuweiten“, erklärt Cisco (CVE-2026-20045, CVSS 8.2, Risiko abweichend „kritisch“).

Cisco führt weiter aus, dass das Unternehmen das Risiko abweichend von der CVSS-Risikostufe „hoch“ als „kritisch“ einordnet. Als Grund nennt das Security Advisory, dass der Missbrauch der Lücke darin münden kann, dass Angreifer ihre Privilegien zu “root“ erweitern können.

Angriffsversuche: Updates für betroffene Produkte

Cisco hat bereits Angriffsversuche auf die Schwachstelle beobachtet. Betroffen sind Unified CM, Unified CM SME, Unified CM IM&P, Unity Connection sowie Webex Calling Dedicated Instance. Die Software-Versionen 15SU4 (für März 2026 angekündigt) sowie 14SU5 stopfen das Sicherheitsleck. Wer noch auf Stand 12.5 ist, muss auf die neueren Releases migrieren.

Cisco hat am Mittwoch noch drei weitere Sicherheitsmitteilungen veröffentlicht, um die sich Admins beizeiten kümmern sollten.

Zuletzt mussten IT-Verantwortliche mit Cisco-Produkten in der vergangenen Woche Sicherheitslücken mit Updates stopfen. In Ciscos Secure Email Gateway und Secure Email und Web Manager wurde bereits seit Dezember eine Sicherheitslücke angegriffen, die den Tätern Root-Rechte und damit die volle Kontrolle über Instanzen verschaffen konnte. Die Sicherheitsupdates hat Cisco am Freitag herausgegeben.

(dmk)