Die Document Foundation hat in einem offenen Brief die Europäische Kommission aufgefordert, bei der laufenden Konsultation zum Cyber Resilience Act (CRA) nicht ausschließlich auf Microsofts proprietäres XLSX-Format zu setzen. Die EU-Kommission hatte am 3. März 2026 eine Aufforderung zur Rückmeldung zu den CRA-Leitlinien veröffentlicht. Feedback kann bis zum 31. März 2026 ausschließlich über ein XLSX-Template eingereicht werden.

Die Foundation sieht darin einen Widerspruch zu den eigenen Interoperabilitätszielen der EU. XLSX sei zwar als OOXML nach ISO/IEC 29500 standardisiert, allerdings würden die Implementierungen von Microsoft häufig von den Spezifikationen abweichen. Zudem änderten sich Features oft undokumentiert, was die Kompatibilität mit Open-Source-Software wie LibreOffice erschwere.

In ihrem am 5. März 2026 veröffentlichten Blogpost verweist die Document Foundation auf mehrere EU-Strategien, die eigentlich offene Standards fördern sollten. Dazu zählen das European Interoperability Framework (EIF), die EU Open Source Software Strategy 2020–2023 und deren Nachfolger sowie der Cyber Resilience Act selbst, der systemische Risiken durch Abhängigkeiten von intransparenten Technologien reduzieren soll.

ODF als gleichwertige Alternative gefordert

Die Document Foundation fordert konkret, dass das Template vor Ablauf der Frist am 31. März 2026 zusätzlich im Open Document Format (ODF) bereitgestellt wird. Das .ods-Format ist ein vollständig anbieterneutraler ISO-Standard. Ideal wäre zusätzlich ein webbasiertes Formular oder ein Plain-Text-Format, um die Mitwirkung aller Bürger, Organisationen und Institutionen zu ermöglichen.

Die ausschließliche Verwendung von XLSX schaffe eine strukturelle Voreingenommenheit, argumentiert die Foundation. Nutzer von Open-Source-Software würden benachteiligt, da es beim Öffnen und Bearbeiten des XLSX-Templates in LibreOffice zu Kompatibilitätsproblemen bei fortgeschrittenen Formatierungen oder Makros kommen könne. Betroffen seien auch kleine Organisationen und Behörden, die ODF-basierte Workflows einsetzen.

CRA tritt schrittweise in Kraft

Der Cyber Resilience Act wurde am 20. November 2024 im EU-Amtsblatt veröffentlicht und trat am 10. Dezember 2024 in Kraft. Die Hauptpflichten gelten ab dem 11. Dezember 2027, Meldepflichten bereits ab dem 11. September 2026. Die Verordnung regelt die Cybersicherheit für Produkte mit digitalen Elementen und richtet sich an Hersteller, Importeure und Distributoren.

Die Document Foundation ruft andere FOSS-Foundations, Projekte und Befürworter dazu auf, den offenen Brief zu unterzeichnen. Eine Reaktion der EU-Kommission auf die Kritik liegt bislang nicht vor. Technisch wäre die geforderte Erweiterung des Templates problemlos umsetzbar.

Kritik an der Verwendung proprietärer Formate durch EU-Institutionen ist nicht neu. Erst kürzlich hat sogar das EU-Parlament einen Bericht verabschiedet, der die EU-Kommission zu Reformen auffordert. Das Ziel müsse Unabhängigkeit von US-Infrastrukturen und mehr heimische KI und Open Source sein. Mit ihrer mangelnden Format-Offenheit in der Konsultation steht die EU-Kommission ohnehin im Widerspruch zu den EU-Zielen der digitalen Souveränität.

Weitere Informationen und der offene Brief selbst finden sich im Blogpost der Document Foundation.

(fo)

Das Linux-From-Scratch-Projekt hat Version 13.0 veröffentlicht. Die neue Ausgabe des Build-Systems zum Linux-Selbstbau bringt 36 aktualisierte Pakete mit und setzt künftig ausschließlich auf systemd als Init-System. Die traditionelle System-V-Variante wird nicht mehr weiterentwickelt und bleibt bei Version 12.4 stehen.

Zu den wichtigsten Neuerungen gehört ein Toolchain-Update: LFS 13.0 nutzt binutils 2.46 (zuvor 2.45), glibc blieb bei Version 2.42 (bereits in 12.4 enthalten). Bei binutils wurden Fehlerkorrekturen für das Strip-Tool integriert und die Unterstützung für die LoongArch-Architektur verbessert.

Der mitgelieferte Linux-Kernel wurde auf Version 6.18.10 aktualisiert. Die Hauptversion 6.18 brachte erweiterte Hardware-Unterstützung für x86_64, ARM, RISC-V und MIPS-Systeme. Neu hinzugekommen sind unter anderem Treiber für MediaTek-SoCs wie den Dimensity 9400 und Kompanio Ultra. Zudem enthält der Kernel experimentelle Rust-Treiber für ARM-Mali-GPUs.

Sicherheitsupdates enthalten

Die Version 13.0 schließt mehrere Sicherheitslücken in den enthaltenen Komponenten. Expat erhielt Korrekturen für Heap-Buffer-Overflows, OpenSSL für einen Timing-Seitenkanalangriff auf ECDSA-Signaturen, der private Schlüssel gefährden könnte. Bei Python wurden Schwachstellen behoben, die unbefugte Codeausführung im venv-Modul ermöglichten. Die LFS-Entwickler empfehlen Nutzern älterer Versionen, die Security Advisories auf der Projektwebsite zu beachten.

Seit der letzten stabilen Version 12.4 vom September 2025 sind 100 Commits in das Projekt eingeflossen. Die Entwicklung durchlief zunächst eine Release-Candidate-Phase, bevor Bruce Dubbs die finale Version am 5. März 2026 freigab.

System-V-Ära endet

Mit der Fokussierung auf systemd vollzieht das Projekt eine bedeutende Richtungsänderung. Schon länger bot LFS parallel eine systemd-Variante an, die nun zum alleinigen Standard wird. Die Entscheidung dürfte die Wartung vereinfachen, bricht aber mit der Tradition des Projekts, verschiedene Init-Systeme zu unterstützen. Die LFS-Community plant, systemd auch für künftige Versionen als Standard beizubehalten.

Linux From Scratch 13.0 kann von der Projektwebsite heruntergeladen werden: Dort steht das vollständige Handbuch als PDF bereit.

Siehe auch:

(fo)

Sowohl in Großbritannien als auch den USA gibt es Untersuchungen, ob Meta mit der Weitergabe von Videos aus smarten Brillen gegen Verbraucherschutzgesetze verstoßen hat. Das schwedische Dagebladet hatte mit Clickworkern in Kenia gesprochen, die von intimen Aufnahmen berichteten, die sie zu sehen bekommen. Meta beruft sich auf seine Nutzungsbedingungen, in denen steht, dass Aufnahmen weitergereicht werden können.

Der britischen Datenschutzbehörde, dem Information Commissioner’s Office (ICO), reicht diese Erklärung nicht. Sie kritisieren, dass Meta damit wirbt, die smarten Brillen würden „Nutzern die Kontrolle über ihre Daten geben“. Das sei offenbar nicht der Fall. Es mangele an angemessener Transparenz. Anbieter müssten sehr klar kommunizieren, welche Daten gesammelt und wie ausgewertet und genutzt werden, zitiert die BBC ein Statement des ICO. Demnach soll Meta zunächst Fragen zu den Vorwürfen aus dem Artikel beantworten.

In den USA haben zwei Vertreter einer Bürgerrechts-orientierten Anwaltskanzlei sogar eine Klage eingereicht. Sie werfen Meta vor, Datenschutzrichtlinien gebrochen und falsche Werbeversprechen gemacht zu haben. Denn Meta schreibt, die Brillen seien „gebaut für deine Privatsphäre“ sowie „kontrolliert von dir selbst“. Das führe Verbraucher in die Irre, da man daraus nicht schließen könne, dass Daten, konkret Videos, an menschliche Daten-Annotatoren in Kenia geschickt würden. Die Vorwürfe richten sich auch gegen EssilorLuxottica, den Hersteller der Ray-Ban- und Oakley-Brillen.

Meta AI läuft über Metas Server

Daten-Annotatoren bearbeiten Daten wie am Fließband. Sie sortieren und beschriften Inhalte so, dass diese für das Training von KI-Modellen nutzbar sind. In Metas Nutzungsrichtlinien und der Datenschutzerklärung steht, dass Videos, die mit den Brillen aufgenommen werden, an Subunternehmen und menschliche Begutachter geschickt werden können. Um das zu wissen, muss man aber beides aber sehr genau lesen. Beide Untersuchungen zielen auf die Frage nach der Kommunikation von Meta ab. Es geht nicht darum, dass Meta die Weitergabe verboten werden könnte.

Grundsätzlich werden Videos an Metas Server geschickt, sobald Meta AI involviert ist. Die meisten KI-Funktionen sind nur so nutzbar. Ausnahme ist beispielsweise die Übersetzungsfunktion, die kann für einzelne Sprachen heruntergeladen werden, sodass lokal auf dem Gerät übersetzt wird. Das geht aber beispielsweise nicht, wenn man Fragen zu den Inhalten stellt, die eine smarte Brille sieht – etwa zu einem Gebäude oder anderen Dingen.

Nicht jedes Video, das über Metas Server geht, landet auch automatisch bei den Clickworkern. Welche Inhalte weitergeleitet werden, ist jedoch unklar.

(emw)