Unternehmen sind heute stärker denn je in digitale Lieferketten eingebunden. Software, Cloud-Dienste, externe Dienstleister oder Logistikpartner greifen ineinander und eröffnen damit auch neue Angriffsflächen. Genau hier setzt der IT-Sicherheitstag Mainz am 6. Mai an. Die Konferenz wird gemeinsam von heise und der Hochschule Mainz ausgerichtet und widmet sich in diesem Jahr dem Leitthema „Supply Chain Security – Sicherheit in vernetzten Wertschöpfungsketten“.

Angriffe auf Lieferketten gehören seit einigen Jahren zu den besonders kritischen Bedrohungsszenarien in der IT-Sicherheit. Kompromittierte Software-Updates, manipulierte Komponenten oder unzureichend gesicherte Dienstleister können weitreichende Auswirkungen haben – oft über viele Organisationen hinweg. Entsprechend rücken auch regulatorische Anforderungen und neue Sicherheitsstrategien stärker in den Fokus.

Der IT-Sicherheitstag Mainz greift diese Entwicklungen auf und bietet eine Plattform für den Austausch zwischen Wissenschaft und Praxis. Expertinnen und Experten diskutieren, wie Unternehmen Risiken entlang der Lieferkette besser erkennen, bewerten und kontrollieren können. Das detaillierte Programm der eintägigen Konferenz wird derzeit vorbereitet und soll in Kürze veröffentlicht werden.

Blind-Bird-Ticket ab sofort hier verfügbar.

Tickets für den IT-Sicherheitstag sind bereits erhältlich. Aktuell gibt es ein vergünstigtes Blind-Bird-Ticket für 180 Euro (inkl. 19 % MwSt.), der reguläre Preis beträgt 279 Euro. Eine Tagesverpflegung ist im Ticketpreis enthalten.

Die Veranstaltung findet am 6. Mai 2026 auf dem Campus der Hochschule Mainz statt und bietet neben dem Fachprogramm Gelegenheit zum Austausch mit Referierenden, Partnern und anderen IT-Sicherheitsverantwortlichen.

(kaku)

Die Islamische Republik Iran hat die Rechenzentren von AWS in den Vereinigten Arabischen Emiraten und Bahrain absichtlich mit Drohnen angegriffen. Das behauptet zumindest die staatliche iranische Nachrichtenagentur FARS in einem Beitrag auf Telegram. Es habe sich um strategische Ziele gehandelt, die attackiert wurden, weil darüber militärische und nachrichtendienstliche Aktivitäten des Feindes unterstützt wurden, behauptet die Nachrichtenagentur weiter. Diese Angaben können nicht überprüft werden, es könnte sich auch um nachträgliche Rechtfertigungen versehentlicher Treffer handeln. Die Cloud-Infrastruktur bleibt derweil weiter gestört, die Amazon-Tochter hat aber angekündigt, nicht mehr alle Informationen zur Wiederherstellung öffentlich machen zu wollen. Betroffene sollen direkt informiert werden.

Angeblich auch Microsoft getroffen

Die Rechenzentren wurden am Wochenende beschädigt, anfangs hieß es von AWS aber lediglich, dass sie von „Objekten“ getroffen wurden. Erst merklich später hat das Cloud-Unternehmen bestätigt, dass die anhaltenden Störungen auf Drohneneinschläge zurückgehen und damit ein direkter Zusammenhang zu den Kämpfen in der Region besteht. In den Vereinigten Arabischen Emiraten wurden demnach gleich zwei Einrichtungen direkt getroffen, in Bahrain war eine Drohne dagegen in der Nähe niedergegangen. Die Treffer hätten „strukturelle Schäden“ zur Folge, zudem sei die Stromversorgung beeinträchtigt. Wann die Einrichtungen wieder voll funktionsfähig sind, kann AWS weiterhin nicht mitteilen. Es hat zum Wechsel der AWS-Region geraten.

Vergangenen Samstag haben Israel und die USA begonnen, die Islamische Republik anzugreifen, und dabei auch direkt den bisherigen Obersten Führer Ajatollah Ali Chamenei getötet. Teheran hat darauf mit Luftangriffen auf verschiedene Staaten in der Region reagiert. Aus den Golfstaaten gibt es seitdem zahlreiche Berichte über Raketen- und Drohnenschläge, zehntausende Menschen, die dort Urlaub gemacht haben oder lediglich auf einer Reise umsteigen wollten, sitzen noch immer fest. FARS spricht jetzt von „gezielten Angriffen“ auf Amazon und Microsoft, die dem Feind einen „schweren Schlag“ versetzt hätten. Es gibt aber keine Berichte über Störungen bei Microsoft, auch im Nahen Osten funktionieren gegenwärtig alle Azure-Dienste. Anders sieht es bei AWS aus.

(mho)

In Episode 154 des c’t-Datenschutz-Podcasts verzichten Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich ausnahmsweise auf einen Gast und arbeiten sich zu zweit durch gleich mehrere aktuelle Datenschutzthemen. Den Anfang macht ein Bußgeld aus Großbritannien: Die britische Datenschutzbehörde ICO verhängte gegen Reddit eine Strafe von 14,4 Millionen Pfund (rund 17,3 Millionen Euro), weil die Plattform über Jahre hinweg keine wirksame Altersüberprüfung einsetzte und so Daten von Kindern unter 13 Jahren ohne Rechtsgrundlage verarbeitete. Reddit kündigte Widerspruch an.

Vom Bußgeld leiten die beiden über zum Thema Altersverifikation und sprechen über den Identitätsprüfer Persona. Das US-Unternehmen, an dem unter anderem Palantir-Mitgründer Peter Thiel beteiligt ist, wird von Plattformen wie Reddit, Discord und LinkedIn eingesetzt. Eine Recherche förderte zutage, dass Persona bei der Identitätsprüfung bis zu 269 Prüfschritte durchläuft, Daten mit US-Fahndungslisten und Terrorismus-Datenbanken abgleicht und 17 weitere Unternehmen einbindet. Bleich warnt davor, dass solche Dienste weit mehr Daten sammeln und weitergeben könnten, als Nutzer ahnen – und dass über die Hintertür Altersverifikation eine Art Klarnamenpflicht im Netz entstehen könnte.

Datensparsame Altersprüfungen?

Anschließend widmen sich die beiden dem Jugendschutzkonzept der SPD. Die Partei fordert ein vollständiges Social-Media-Verbot für unter 14-Jährige und eine eingeschränkte „Jugendversion“ für 14- bis 16-Jährige, in der Empfehlungsalgorithmen, personalisierte Werbung und suchtfördernde Elemente wie Endlos-Scrollen abgeschaltet sein sollen. Die Altersüberprüfung soll über das europäische EUDI-Wallet laufen, das im Frühjahr 2027 starten soll.

Bleich erkennt darin zwar den datensparsamsten Ansatz unter den bisherigen Vorschlägen, sieht aber zahlreiche Probleme: Das Wallet existiert noch nicht, steht erst ab 16 Jahren zur Verfügung und schließt Menschen ohne Smartphone und Nicht-EU-Bürger aus. Zudem habe Deutschland nach Einschätzung des Wissenschaftlichen Dienstes des Bundestags durch den Digital Services Act seine Regelungskompetenz im Bereich Jugendschutz auf Plattformen an die EU abgegeben.

Ein weiteres Thema ist ein Urteil des OLG Jena gegen Meta. Das Gericht stellte fest, dass Meta mit seinen Business-Tools eine weitreichende Überwachung der Internetnutzung betreibt, die auch nicht eingeloggte Personen erfasst und sogar sensible Gesundheitsdaten einschließen kann. Das Gericht sprach dem Kläger 3000 Euro Schadenersatz zu und ließ die Revision zum Bundesgerichtshof zu. Beide Podcaster berichten auch von ihren eigenen Erfahrungen als Kläger in Massenverfahren gegen Meta.

Chatkontrolle auf der Kippe

Beim Thema Chatkontrolle berichten sie von einer überraschenden Entwicklung im EU-Parlament: Im LIBE-Ausschuss fand sich bei einer Abstimmung keine Mehrheit für die Verlängerung der sogenannten freiwilligen Chatkontrolle, die Anfang April ausläuft. Ohne Verlängerung dürften Plattformen wie Microsoft oder Facebook nicht mehr automatisiert nach Darstellungen von Kindesmissbrauch scannen. Gleichzeitig stehen die Trilog-Verhandlungen zur eigentlichen Chatkontrolle-Verordnung an, deren Ausgang völlig offen ist.

Zum Schluss werfen Bleich und Heidrich einen Blick auf das Omnibus-Paket zur DSGVO-Reform. Die geplanten Änderungen – darunter eine Neudefinition personenbezogener Daten, Einschränkungen es Auskunftsrechts und Sonderregeln für KI-Training – stoßen auf mehr Widerstand als erwartet. Die zypriotische Ratspräsidentschaft lehnt zentrale Vorschläge ab, auch das Parlament und die Datenschutzbehörden äußern Kritik. Das ehrgeizige Ziel, die Reform noch 2026 abzuschließen, sehen beide damit in Frage gestellt.

Episode 154:

Hier geht es zu allen bisherigen Folgen:

(hob)