Connect with us

Datenschutz & Sicherheit

Neues aus dem Fernsehrat (115): Sanktionierte Freiheit



Neues aus dem Fernsehrat (115): Sanktionierte Freiheit

Diktiert Donald Trump dem ZDF die Interviewpartner:innen? Diese Sorge hat mehr als 340.000 Menschen bewegt, eine Petition an den Intendanten des ZDF zu unterschreiben und ihn aufzufordern, die journalistische Unabhängigkeit des Senders zu sichern.

Es ist eine in vielerlei Hinsicht bemerkenswerte Petition: Nicht nur die schiere Anzahl an Unterschriften ist außergewöhnlich – mir wäre keine andere Unterschriftensammlung dieser Größenordnung bekannt, die den ÖRR betrifft –, sondern auch die Stoßrichtung der öffentlichen Debatte. Es sind nicht wie sonst so oft die Pauschalkritiker:innen, die laut ins Horn blasen und erklären, warum es den ÖRR im Allgemeinen und das ZDF im Besonderen nicht braucht. Sondern es ist eine breite Masse an Menschen, die ihrem Wunsch nach einem starken, unabhängigen öffentlich-rechtlichen Rundfunk Ausdruck verleihen.

Ihre Sorge ist berechtigt, die Antwort darauf komplex: Nein, es gibt keine Anzeichen für einen Einfluss der US-Sanktionslisten auf die Berichterstattung des ZDF. Ja, wir müssen die Auswirkungen von Sanktionsregimes auf die Meinungs‑, Presse- und Rundfunkfreiheit kritisch diskutieren.

Journalistische Geschäftsbeziehungen

Grundsätzlich sind Sanktionen ein Mittel, um auf Verstöße gegen das Völkerrecht und Menschenrechtsverletzungen zu reagieren und damit die Stabilität der internationalen Ordnung zu fördern. In Deutschland drohen für Verstöße gegen das Sanktionsregime der EU – beispielsweise gegen Russland – oder der Vereinten Nationen empfindliche Freiheitsstrafen. Diese Sanktionen adressieren zum einen direkt (primär) bestimmte Unternehmen oder Einzelpersonen, indem sie beispielsweise Vermögenswerte beschlagnahmen oder einfrieren. Sie entfalten aber auch eine sekundäre Wirkung, indem sie (auch im Ausland ansässigen) Dritten wirtschaftliche Tätigkeiten unterschiedlicher Art mit den sanktionierten Personen unter Strafe verbieten. Das betrifft zum Beispiel den Im- und Export von Gütern oder auch andere Geschäftsbeziehungen.

Doch wie könnte das überhaupt die Berichterstattung des ZDF betreffen? Die journalistische Berichterstattung über ein Thema oder Interviews mit einer Person sind zunächst, ganz ohne Austausch von Waren und Dienstleistungen, keine wirtschaftlichen Beziehungen. Es gibt jedoch „Mitwirkendenverträge“, die beispielsweise mit den Teilnehmenden von Talkshows abgeschlossen werden und die die Grundlage für die Auszahlung von Reisekosten und Aufwandsentschädigungen bilden.

In diesem Rahmen fließt Geld – wenn auch nicht als Entlohnung, sondern lediglich zum Ausgleich des entstandenen Aufwands. Dabei ist es – soweit mir berichtet wurde – bei weitem nicht so, dass jeder Interviewpartner oder jede Talkshow-Gästin eine solche Entschädigung erhält. Bei Interviews sei es beispielsweise eher eine Ausnahme, während es bei Talkshows oft, aber auch nicht immer eine Aufwandsentschädigung gebe.

Schwarz-Rot will die Informationsfreiheit beschneiden.

Wir kämpfen für Transparenz. Mit deiner Unterstützung.

In diese Mitwirkendenverträge hat das ZDF eine Klausel aufgenommen, in der die Vertragspartner:innen bestätigen müssen, „weder direkt noch indirekt mit natürlichen oder juristischen Personen zusammenzuarbeiten, die auf einer nationalen oder internationalen Sanktionsliste oder sog. Terrorliste stehen, insbesondere solchen der EU, der UN, der OFAC [der zuständigen US-Behörde] oder anderer zuständiger Behörden“.

Das entspricht zum einen der oben skizzierten, aber nicht unproblematischen, unmittelbaren Verpflichtung, europäische und UN-Sanktionen umzusetzen. Zum anderen beinhaltet die Klausel auch einen Verweis auf die Sanktionslisten der USA, eine Folge der beschriebenen sekundären Wirkung: Das ZDF beschäftigt in den USA Journalist:innen und andere Arbeitnehmer:innen, außerdem hat der Sender dort Immobilien wie beispielsweise Studios. Mit dieser Klausel versucht der Sender, diese Menschen und Vermögenswerte vor dem Zugriff der US-Behörden zu schützen.

Zum Gebrauch und Missbrauch von Sanktionslisten

Die Kritik an Sanktionen ist so alt wie die Existenz der Sanktionsregime selbst. Sanktionen gegen einzelne Staaten können, je nach konkreter Ausgestaltung, auch die Zivilbevölkerung ganz empfindlich treffen und erhebliche humanitäre Auswirkungen haben. Auch ihre Wirksamkeit ist stark umstritten.

Sanktionen gegen Individuen schränken deren Grundrechte massiv ein – ohne Zugriff auf Bankkonten und Kreditkarten wird es zur Herausforderung, durch den Alltag zu navigieren. Das gilt aber nicht für alle Betroffenen gleichermaßen: Während russische Oligarchen wohl auch ohne Zugriff auf ihre Vermögenswerte in den USA oder Europa noch ein gutes Leben führen können, sind Journalist:innen oder Aktivist:innen ungleich härter betroffen.

Nun könnte man das als unkritisch(er) bewerten, wenn die Sanktionslisten tatsächlich reine „Schurkenlisten“ wären und jeder dort genannte Journalist in Wahrheit ein Propagandist und jede Aktivistin eine Terroristin wäre. Dem ist jedoch nicht so.

Insbesondere die Trump-Regierung nutzt Sanktionslisten gezielt, um Menschenrechtsverteidiger:innen und Vertreter:innen internationaler Organisationen zu bestrafen. So verhängten die USA im Dezember letzten Jahres Einreisesperren gegen die beiden Geschäftsführerinnen von HateAid, Anna-Lena von Hodenberg und Josephine Ballon, sowie den ehemaligen EU-Kommissar Thierry Breton. Noch umfangreicher sind die Sanktionen gegen die Richter:innen des Internationalen Strafgerichtshofs: US-amerikanische Unternehmen dürfen keine Geschäftsbeziehungen mehr mit ihnen eingehen, sodass Kreditkarten nicht mehr funktionieren, Bestellungen bei Amazon nicht mehr möglich sind und Zugänge zu E‑Mail-Konten gesperrt wurden. Diese Maßnahmen brachten die Staatengemeinschaft so sehr auf, dass unter anderem eine internationale Allianz von 79 Ländern sowie die EU und die UN die Rücknahme der Sanktionen forderten.

Auch EU- oder UN-Sanktionslisten sind nicht unproblematisch. So führte die mangelnde Transparenz über Vorwürfe und der fehlende Rechtsschutz für Betroffene zu zwei Grundsatzurteilen des Europäischen Gerichtshofs (Kadi I und Kadi II). Das Gericht stellte fest, dass auch bei Durchführung völkerrechtlicher Verpflichtungen die Verfassungsprinzipien der EU, etwa der Anspruch auf ein rechtsstaatliches Verfahren, nicht außer Acht gelassen werden dürfen.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Aktuell werden zudem intensiv die Sanktionen gegen Jacques Baud und Hüseyin Doğru diskutiert, die sich im EU-Gebiet aufhalten und denen die Verbreitung russischer Propaganda vorgeworfen wird, allerdings ohne dass ihnen strafrechtlich relevante Vorwürfe gemacht werden. Dies hat zur Folge, dass ihr Vermögen – abgesehen von einer finanziellen Ausstattung auf Höhe des Existenzminimums – eingefroren ist und sie das EU-Gebiet weder betreten noch verlassen dürfen. Diverse Unionsrechtler:innen wie die ehemalige deutsche EuGH-Richterin Ninon Colneric halten das Sanktionsregime in der aktuellen Form für unverhältnismäßig und grundrechtswidrig.

Freie Berichterstattung sichern

Die Sanktionsklauseln des ZDF bereiten zu Recht vielen Menschen, auch mir, Sorgen. Im ZDF-Fernsehrat haben wir sie in der letzten Sitzung Mitte Juni deshalb auch intensiv diskutiert. Da hilft es zwar etwas, wenn der ZDF-Intendant Himmler betont, dass der „freie und unabhängige Journalismus des ZDF von diesem Sanktionsregime nicht betroffen“ sei und bisher Mitwirkende noch nie wegen einer Unvereinbarkeit mit den Sanktionsregimen abgelehnt worden seien. Aber der fade Beigeschmack und kaum messbare Abschreckungseffekte in Redaktionen bleiben.

Das ZDF muss den Anwendungsbereich der besonders problematischen US-amerikanischen Sanktionslisten deshalb im Rahmen der angekündigten Überprüfung der Praxis auf ein absolutes Minimum reduzieren. Nur wenn es einen konkreten territorialen US-Bezug gibt, beispielsweise bei Formaten der in den USA ansässigen Journalist:innen, darf die Klausel überhaupt in Betracht gezogen werden, um offensichtliche Verstöße gegen das US-Recht zu vermeiden, die tatsächlich mit erheblichen Gefahren für die dort lebenden Personen verbunden wären.

Gleichzeitig muss der Sender uneingeschränkt die kritische Berichterstattung gewährleisten, beispielsweise in dem er auf Mitwirkendenverträge verzichtet oder die Formate von in Deutschland ansässigen Kolleg:innen übernommen werden. Zudem sollte die EU ihre „Blocking-Verordnung“ schärfen. Sie verbietet es Unternehmen in der EU unter Strafe, sich an bestimmten US-Sanktionen zu beteiligen. Zukünftig sollten hiervon alle Fälle erfasst werden, in denen Engagement für Demokratie, Menschenrechte und die internationale Ordnung sanktioniert werden.

Die Bindung an europäische (und damit auch UN-Sanktionslisten) kann ein deutsches Medienunternehmen nicht umgehen. Hier muss der Sender in Zweifelsfällen auf „Mitwirkendenverträge“ mit Interviewpartner:innen und Talkshowgästen, nicht allerdings auf die Mitwirkung selbst, verzichten, falls andernfalls Einschränkungen der journalistischen Freiheit drohen.

Gesamtgesellschaftlich brauchen wir darüber hinaus eine kritische Debatte über Nebenwirkungen von Sanktionslisten. Jedenfalls für den Bereich der journalistischen Berichterstattung braucht es umfangreiche Bereichsausnahmen, wie sie beispielsweise auch für anwaltliche Tätigkeiten bestehen. Die Angst vor möglichen Sanktionsverstößen darf nie dazu führen, dass die freie Auseinandersetzung über diese einschneidende Instrumente, auch mit den von ihnen Betroffenen, unterbunden wird.



Source link

Datenschutz & Sicherheit

OpenSSH bringt erstmals hybride Post-Quantum-Signaturen


Mit OpenSSH 10.4 ist eine neue Version der weitverbreiteten SSH-Implementierung erschienen. Im Mittelpunkt stehen mehrere Sicherheitskorrekturen für SSH-, SCP- und SFTP-Komponenten sowie Protokollverschärfungen, die Angriffsflächen verkleinern sollen. Ferner führt das Projekt erstmals experimentelle Unterstützung für ein hybrides Post-Quantum-Signaturverfahren ein.

Weiterlesen nach der Anzeige

OpenSSH ist die Referenzimplementierung des SSH-Protokolls. Sie gehört auf Linux- und BSD-Systemen sowie vielen weiteren Unix-ähnlichen Plattformen zur Standardausstattung.

Ein Schwerpunkt der neuen Version liegt auf der Behebung mehrerer sicherheitsrelevanter Fehler. So konnte ein bösartiger SFTP-Server Downloads unter bestimmten Umständen an einen anderen Speicherort als den vorgesehenen umleiten. Auch beim Kopieren von Dateien zwischen zwei entfernten Systemen mit scp verhindert OpenSSH 10.4 nun, dass ein manipulierter Server Dateien außerhalb des vorgesehenen Zielverzeichnisses ablegt. Zudem behebt OpenSSH 10.4 einen Fehler im internen SFTP-Server (internal-sftp, nicht der Standard): Bei langen Kommandozeilen wurden Argumente ab der zehnten Position still verworfen – sicherheitsrelevante Optionen an diesen Stellen wurden damit ignoriert.

Weitere Korrekturen betreffen den SSH-Server sshd. Die Entwickler schließen unter anderem eine potenzielle Denial-of-Service-Schwachstelle vor der Authentifizierung, sofern GSSAPI-Authentifizierung aktiviert ist (sie ist standardmäßig deaktiviert). Außerdem beseitigt die Version Fehler bei der Durchsetzung von Authentifizierungsverzögerungen und korrigiert eine Konstellation, in der DisableForwarding=yes Tunnelverbindungen entgegen der Dokumentation nicht zuverlässig unterband.

Auch der SSH-Client erhält Sicherheitskorrekturen. Unter anderem wurde ein möglicher Use-after-free-Fehler während eines Schlüsselaustauschs beseitigt, falls ein Server seinen Hostschlüssel während einer erneuten Schlüsselvereinbarung wechselt.

OpenSSH 10.4 verschärft außerdem das Verhalten während eines sogenannten Key-Reexchange. Dabei handeln Client und Server während einer bestehenden Verbindung neue Sitzungsschlüssel aus, etwa um kryptografisches Material regelmäßig zu erneuern. Sendet eine Gegenstelle während dieses Vorgangs unerlaubte Protokollnachrichten, trennt OpenSSH die Verbindung künftig sofort. Bislang wurden solche Nachrichten gepuffert, was zu sinnlos belegtem Speicher führen konnte.

Weiterlesen nach der Anzeige

Diese strengere Umsetzung orientiert sich an den Vorgaben des SSH-Protokolls. Allerdings weisen die Entwickler darauf hin, dass ältere oder nicht RFC-konforme Implementierungen dadurch unter Umständen die Verbindung verlieren.

Darüber hinaus ersetzt OpenSSH den bisherigen Wildcard-Matcher durch eine Implementierung auf Basis eines nicht deterministischen endlichen Automaten (NFA). Damit vermeiden die Entwickler exponentielle Laufzeiten bei bestimmten Suchmustern und verbessern die Robustheit gegenüber ungünstigen Eingaben.

Als wichtigste funktionale Neuerung führt OpenSSH die experimentelle Unterstützung für ein kombiniertes Signaturverfahren aus ML-DSA-44 und Ed25519 ein. Der hybride Ansatz soll sowohl gegen klassische als auch gegen zukünftige Angriffe durch Quantencomputer absichern. Solche Kombinationen sind eine Übergangslösung, solange Post-Quantum-Verfahren noch schrittweise eingeführt und standardisiert werden.

Standardmäßig bleibt die Funktion deaktiviert. Administratoren müssen sie explizit über die Konfiguration aktivieren, etwa für HostKeyAlgorithms oder PubkeyAcceptedAlgorithms. Neue Schlüssel lassen sich mit ssh-keygen -t mldsa44-ed25519 erzeugen.

Die Entwickler weisen zudem auf einige potenziell inkompatible Änderungen hin. So gibt sshd -G Konfigurationsdirektiven künftig wieder mit gemischter Groß- und Kleinschreibung aus, etwa PubkeyAuthentication statt ausschließlich Kleinbuchstaben. Skripte, die die bisherige Ausgabe auswerten, müssen Nutzer gegebenenfalls anpassen.

Unter Linux behandelt OpenSSH Fehler beim Aktivieren der Sicherheitsmechanismen SECCOMP und NO_NEW_PRIVS nun als schwerwiegend. Der Server startet in diesem Fall nicht mehr, sondern bricht ab. Systeme ohne diese Funktionen sollen stattdessen bereits beim Kompilieren ohne Sandbox-Unterstützung gebaut werden.

Daneben enthält OpenSSH 10.4 zahlreiche Fehlerkorrekturen und interne Verbesserungen, unter anderem für FIDO-Token, ssh-agent, die Konfigurationsverarbeitung des SSH-Servers sowie verschiedene kryptografische Routinen. Laut Release Notes sollen diese Änderungen vor allem Stabilität und Wartbarkeit verbessern.

Lesen Sie auch


(fo)



Source link

Weiterlesen

Datenschutz & Sicherheit

Samsung-Sicherheitsupdate: Juli-Patches für Galaxy-Geräte | heise online


Samsung hat das Security-Bulletin für Juli 2026 veröffentlicht und detailliert darin Sicherheitslücken, die mit einem Sicherheitspatch behoben werden. Der Hersteller ist damit in diesem Monat früher dran als Google, dessen Security-Bulletin noch weitgehend leer ist. Samsungs Sicherheitsupdate behebt neben eigenen Lücken auch jene, die Google in Android gefunden hat. Fünf der gestopften Sicherheitslücken stuft Samsung als „kritisch“ und 42 (inklusive der Samsung-Lücken) als „hoch“ ein.

Weiterlesen nach der Anzeige

Wie Samsung in seinem Security-Bulletin erklärt, betreffen die meisten der durch diesen Sicherheitspatch behobenen Sicherheitslücken Geräte, auf denen Android 14, Android 15 oder Android 16 läuft. Insgesamt stopft das Update 57 Sicherheitslücken, von denen Google 41 und Samsung 16 beisteuert.

Zu den als kritisch eingestuften Lücken gehören CVE-2026-27280, CVE-2026-28590, CVE-2026-28618, CVE-2026-28639 und CVE-2026-33636. Dabei handelt es sich bei der CVE-2026-27280 um eine kritische Speicherfehler-Schwachstelle (Out-of-Bounds Write) in Adobes DNG-Software-Development-Kit (Version 1.7.1 2471 und älter). Falls ein Nutzer ein manipuliertes Bild im DNG-Format öffnet, kann ein Angreifer Schadcode ausführen (Remote Code Execution). CVE-2026-33636 ist eine Out-of-Bounds-Schwachstelle (Lese- und Schreibzugriff außerhalb der Grenzen) in der Bibliothek libpng in den Versionen 1.6.36 bis 1.6.55. Sie tritt laut NVD-Eintrag auf Systemen mit ARM/AArch64-Prozessoren auf, wenn die Hardwarebeschleunigung (Neon-Optimierung) für die Farbpaletten-Erweiterung aktiviert ist. Damit können Angreifer über präparierte PNG-Bilder ein System zum Absturz bringen (Denial of Service) oder unter Umständen vertrauliche Informationen auslesen.

Die drei von Google als kritisch eingestuften Sicherheitslücken CVE-2026-28590, CVE-2026-28618 und CVE-2026-28639 betreffen Kernkomponenten des Betriebssystems Android respektive des Media-Frameworks. Die mit dem Update verteilten Patches sollen verhindern, dass Angreifer ohne zusätzliche Berechtigungen erweiterten Systemzugriff erlangen oder Remotecode ausführen können.

Die Updates sollen im Laufe der kommenden Tage auf vielen Galaxy-Geräten angeboten werden. Samsung erklärt ferner, dass die Verfügbarkeit von Sicherheitspatches je nach Region und Modell variieren könne. Updates im monatlichen Rhythmus erhalten bei Samsung zudem nur „wichtige Flaggschiff-Modelle“, während weitere Galaxy-Geräte nur quartalsweise versorgt werden – hierfür bietet Samsung eine Übersicht an.

Lesen Sie auch

Die Google-seitigen Patches landen auch im Android Open Source Project (AOSP) und werden für Pixel-Geräte und je nach Hersteller in weiteren Modellen verteilt. Seit Juli 2025 schließt Google monatlich nur noch besonders gefährliche Sicherheitslücken und verteilt weitere Updates quartalsweise.

Weiterlesen nach der Anzeige


(afl)



Source link

Weiterlesen

Datenschutz & Sicherheit

BSI veröffentlicht Prüfkatalogsentwurf zur Vertrauenswürdigkeit von KI-Systemen


Das Bundesamt für Sicherheit in der Informationstechnik arbeitet an einer neuen Prüfmethodik für die technische Vertrauenswürdigkeit von KI-Systemen: Die sogenannte AI Audit and Assurance Assessment Architecture (A5) soll laut einer Pressemitteilung „Akteure entlang der KI-Wertschöpfungskette, von Anbietern über Betreiber bis hin zu den mit Entwicklung, Betrieb und Aufsicht betrauten Personen“ bei der systematischen und standardisierten Bewertung unterstützen.

Weiterlesen nach der Anzeige

Nun wartet ein erster Entwurf des A5 auf das Feedback von Stakeholdern und interessierten Experten. Bis zum 31. August 2026 können diese Anmerkungen und Anregungen über den Kommentierungsbogen oder alternativ per E-Mail an aisecurity@bsi.bund.de schicken.

Die Links zu den bislang verfügbaren A5-Modulen versammelt ein A5-Übersichtsartikel auf der BSI-Website.

Mit dem A5 will das BSI laut Pressemitteilung „im Kontext regulatorischer Anforderungen wie EU AI Act und Cyber Resilience Act sowie weiterer Standards“ einen Rahmen bieten, „um technische Vertrauenswürdigkeit nachvollziehbar zu transportieren“.

Der Prüfkatalog sei im Rahmen des BSI-Projekts „AICRID – Entwicklung von Prüfkriterien und Prüfmethoden für KI-Systeme“ erarbeitet worden, orientiere sich an den strukturellen Konventionen der Stand-der-Technik-Bibliothek des BSI und werde sowohl dokumentenbasiert als auch maschinenlesbar im internationalen Standard für Sicherheitsanforderungen (OSCAL) umgesetzt. Nutzerinnen und Nutzer könnten die A5-Kriterien daher auch in bestehende OSCAL-basierte Werkzeuge zur Compliance-Bearbeitung und Prüfunterstützung einbinden.

Die Prüfmethodik des A5 orientiere sich an der des bereits bestehenden Kriterienkatalogs für Cloud-Computing (C5) und weist über das Betriebsmodul Cloud-Infrastruktur eine „zentrale Querverbindung“ zu diesem auf. Ebenso wie der C5 soll auch der A5 laut BSI in Zukunft stetig neu erprobt, erweitert und aktualisiert werden.

Weiterlesen nach der Anzeige


(ovw)



Source link

Weiterlesen

Beliebt