Connect with us

Datenschutz & Sicherheit

Neues aus dem Fernsehrat (115): Sanktionierte Freiheit



Neues aus dem Fernsehrat (115): Sanktionierte Freiheit

Diktiert Donald Trump dem ZDF die Interviewpartner:innen? Diese Sorge hat mehr als 340.000 Menschen bewegt, eine Petition an den Intendanten des ZDF zu unterschreiben und ihn aufzufordern, die journalistische Unabhängigkeit des Senders zu sichern.

Es ist eine in vielerlei Hinsicht bemerkenswerte Petition: Nicht nur die schiere Anzahl an Unterschriften ist außergewöhnlich – mir wäre keine andere Unterschriftensammlung dieser Größenordnung bekannt, die den ÖRR betrifft –, sondern auch die Stoßrichtung der öffentlichen Debatte. Es sind nicht wie sonst so oft die Pauschalkritiker:innen, die laut ins Horn blasen und erklären, warum es den ÖRR im Allgemeinen und das ZDF im Besonderen nicht braucht. Sondern es ist eine breite Masse an Menschen, die ihrem Wunsch nach einem starken, unabhängigen öffentlich-rechtlichen Rundfunk Ausdruck verleihen.

Ihre Sorge ist berechtigt, die Antwort darauf komplex: Nein, es gibt keine Anzeichen für einen Einfluss der US-Sanktionslisten auf die Berichterstattung des ZDF. Ja, wir müssen die Auswirkungen von Sanktionsregimes auf die Meinungs‑, Presse- und Rundfunkfreiheit kritisch diskutieren.

Journalistische Geschäftsbeziehungen

Grundsätzlich sind Sanktionen ein Mittel, um auf Verstöße gegen das Völkerrecht und Menschenrechtsverletzungen zu reagieren und damit die Stabilität der internationalen Ordnung zu fördern. In Deutschland drohen für Verstöße gegen das Sanktionsregime der EU – beispielsweise gegen Russland – oder der Vereinten Nationen empfindliche Freiheitsstrafen. Diese Sanktionen adressieren zum einen direkt (primär) bestimmte Unternehmen oder Einzelpersonen, indem sie beispielsweise Vermögenswerte beschlagnahmen oder einfrieren. Sie entfalten aber auch eine sekundäre Wirkung, indem sie (auch im Ausland ansässigen) Dritten wirtschaftliche Tätigkeiten unterschiedlicher Art mit den sanktionierten Personen unter Strafe verbieten. Das betrifft zum Beispiel den Im- und Export von Gütern oder auch andere Geschäftsbeziehungen.

Doch wie könnte das überhaupt die Berichterstattung des ZDF betreffen? Die journalistische Berichterstattung über ein Thema oder Interviews mit einer Person sind zunächst, ganz ohne Austausch von Waren und Dienstleistungen, keine wirtschaftlichen Beziehungen. Es gibt jedoch „Mitwirkendenverträge“, die beispielsweise mit den Teilnehmenden von Talkshows abgeschlossen werden und die die Grundlage für die Auszahlung von Reisekosten und Aufwandsentschädigungen bilden.

In diesem Rahmen fließt Geld – wenn auch nicht als Entlohnung, sondern lediglich zum Ausgleich des entstandenen Aufwands. Dabei ist es – soweit mir berichtet wurde – bei weitem nicht so, dass jeder Interviewpartner oder jede Talkshow-Gästin eine solche Entschädigung erhält. Bei Interviews sei es beispielsweise eher eine Ausnahme, während es bei Talkshows oft, aber auch nicht immer eine Aufwandsentschädigung gebe.

Schwarz-Rot will die Informationsfreiheit beschneiden.

Wir kämpfen für Transparenz. Mit deiner Unterstützung.

In diese Mitwirkendenverträge hat das ZDF eine Klausel aufgenommen, in der die Vertragspartner:innen bestätigen müssen, „weder direkt noch indirekt mit natürlichen oder juristischen Personen zusammenzuarbeiten, die auf einer nationalen oder internationalen Sanktionsliste oder sog. Terrorliste stehen, insbesondere solchen der EU, der UN, der OFAC [der zuständigen US-Behörde] oder anderer zuständiger Behörden“.

Das entspricht zum einen der oben skizzierten, aber nicht unproblematischen, unmittelbaren Verpflichtung, europäische und UN-Sanktionen umzusetzen. Zum anderen beinhaltet die Klausel auch einen Verweis auf die Sanktionslisten der USA, eine Folge der beschriebenen sekundären Wirkung: Das ZDF beschäftigt in den USA Journalist:innen und andere Arbeitnehmer:innen, außerdem hat der Sender dort Immobilien wie beispielsweise Studios. Mit dieser Klausel versucht der Sender, diese Menschen und Vermögenswerte vor dem Zugriff der US-Behörden zu schützen.

Zum Gebrauch und Missbrauch von Sanktionslisten

Die Kritik an Sanktionen ist so alt wie die Existenz der Sanktionsregime selbst. Sanktionen gegen einzelne Staaten können, je nach konkreter Ausgestaltung, auch die Zivilbevölkerung ganz empfindlich treffen und erhebliche humanitäre Auswirkungen haben. Auch ihre Wirksamkeit ist stark umstritten.

Sanktionen gegen Individuen schränken deren Grundrechte massiv ein – ohne Zugriff auf Bankkonten und Kreditkarten wird es zur Herausforderung, durch den Alltag zu navigieren. Das gilt aber nicht für alle Betroffenen gleichermaßen: Während russische Oligarchen wohl auch ohne Zugriff auf ihre Vermögenswerte in den USA oder Europa noch ein gutes Leben führen können, sind Journalist:innen oder Aktivist:innen ungleich härter betroffen.

Nun könnte man das als unkritisch(er) bewerten, wenn die Sanktionslisten tatsächlich reine „Schurkenlisten“ wären und jeder dort genannte Journalist in Wahrheit ein Propagandist und jede Aktivistin eine Terroristin wäre. Dem ist jedoch nicht so.

Insbesondere die Trump-Regierung nutzt Sanktionslisten gezielt, um Menschenrechtsverteidiger:innen und Vertreter:innen internationaler Organisationen zu bestrafen. So verhängten die USA im Dezember letzten Jahres Einreisesperren gegen die beiden Geschäftsführerinnen von HateAid, Anna-Lena von Hodenberg und Josephine Ballon, sowie den ehemaligen EU-Kommissar Thierry Breton. Noch umfangreicher sind die Sanktionen gegen die Richter:innen des Internationalen Strafgerichtshofs: US-amerikanische Unternehmen dürfen keine Geschäftsbeziehungen mehr mit ihnen eingehen, sodass Kreditkarten nicht mehr funktionieren, Bestellungen bei Amazon nicht mehr möglich sind und Zugänge zu E‑Mail-Konten gesperrt wurden. Diese Maßnahmen brachten die Staatengemeinschaft so sehr auf, dass unter anderem eine internationale Allianz von 79 Ländern sowie die EU und die UN die Rücknahme der Sanktionen forderten.

Auch EU- oder UN-Sanktionslisten sind nicht unproblematisch. So führte die mangelnde Transparenz über Vorwürfe und der fehlende Rechtsschutz für Betroffene zu zwei Grundsatzurteilen des Europäischen Gerichtshofs (Kadi I und Kadi II). Das Gericht stellte fest, dass auch bei Durchführung völkerrechtlicher Verpflichtungen die Verfassungsprinzipien der EU, etwa der Anspruch auf ein rechtsstaatliches Verfahren, nicht außer Acht gelassen werden dürfen.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Aktuell werden zudem intensiv die Sanktionen gegen Jacques Baud und Hüseyin Doğru diskutiert, die sich im EU-Gebiet aufhalten und denen die Verbreitung russischer Propaganda vorgeworfen wird, allerdings ohne dass ihnen strafrechtlich relevante Vorwürfe gemacht werden. Dies hat zur Folge, dass ihr Vermögen – abgesehen von einer finanziellen Ausstattung auf Höhe des Existenzminimums – eingefroren ist und sie das EU-Gebiet weder betreten noch verlassen dürfen. Diverse Unionsrechtler:innen wie die ehemalige deutsche EuGH-Richterin Ninon Colneric halten das Sanktionsregime in der aktuellen Form für unverhältnismäßig und grundrechtswidrig.

Freie Berichterstattung sichern

Die Sanktionsklauseln des ZDF bereiten zu Recht vielen Menschen, auch mir, Sorgen. Im ZDF-Fernsehrat haben wir sie in der letzten Sitzung Mitte Juni deshalb auch intensiv diskutiert. Da hilft es zwar etwas, wenn der ZDF-Intendant Himmler betont, dass der „freie und unabhängige Journalismus des ZDF von diesem Sanktionsregime nicht betroffen“ sei und bisher Mitwirkende noch nie wegen einer Unvereinbarkeit mit den Sanktionsregimen abgelehnt worden seien. Aber der fade Beigeschmack und kaum messbare Abschreckungseffekte in Redaktionen bleiben.

Das ZDF muss den Anwendungsbereich der besonders problematischen US-amerikanischen Sanktionslisten deshalb im Rahmen der angekündigten Überprüfung der Praxis auf ein absolutes Minimum reduzieren. Nur wenn es einen konkreten territorialen US-Bezug gibt, beispielsweise bei Formaten der in den USA ansässigen Journalist:innen, darf die Klausel überhaupt in Betracht gezogen werden, um offensichtliche Verstöße gegen das US-Recht zu vermeiden, die tatsächlich mit erheblichen Gefahren für die dort lebenden Personen verbunden wären.

Gleichzeitig muss der Sender uneingeschränkt die kritische Berichterstattung gewährleisten, beispielsweise in dem er auf Mitwirkendenverträge verzichtet oder die Formate von in Deutschland ansässigen Kolleg:innen übernommen werden. Zudem sollte die EU ihre „Blocking-Verordnung“ schärfen. Sie verbietet es Unternehmen in der EU unter Strafe, sich an bestimmten US-Sanktionen zu beteiligen. Zukünftig sollten hiervon alle Fälle erfasst werden, in denen Engagement für Demokratie, Menschenrechte und die internationale Ordnung sanktioniert werden.

Die Bindung an europäische (und damit auch UN-Sanktionslisten) kann ein deutsches Medienunternehmen nicht umgehen. Hier muss der Sender in Zweifelsfällen auf „Mitwirkendenverträge“ mit Interviewpartner:innen und Talkshowgästen, nicht allerdings auf die Mitwirkung selbst, verzichten, falls andernfalls Einschränkungen der journalistischen Freiheit drohen.

Gesamtgesellschaftlich brauchen wir darüber hinaus eine kritische Debatte über Nebenwirkungen von Sanktionslisten. Jedenfalls für den Bereich der journalistischen Berichterstattung braucht es umfangreiche Bereichsausnahmen, wie sie beispielsweise auch für anwaltliche Tätigkeiten bestehen. Die Angst vor möglichen Sanktionsverstößen darf nie dazu führen, dass die freie Auseinandersetzung über diese einschneidende Instrumente, auch mit den von ihnen Betroffenen, unterbunden wird.



Source link

Datenschutz & Sicherheit

Zimbra Collaboration Suite: Kritische Lücke macht Classic Web Client angreifbar


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Die Zimbra-Entwickler haben im Zuge eines Patch Release Updates auf Version 10.1.19 der Zimbra Collaboration Suite (ZCS) auf ein mögliches Sicherheitsrisiko aufmerksam gemacht. Laut Patch Release Notes kann die zugrundeliegende Schwachstelle ausschließlich über die Komponente Classic Web Client missbraucht werden, wird in diesem Kontext allerdings als „kritisch“ bezeichnet.

Weiterlesen nach der Anzeige

Die betreffende, bislang nicht mit einer CVE-ID bezeichnete Lücke könnte demnach von Angreifern missbraucht werden, um speziell präparierte E-Mails zu verschicken. In ZCS-Versionen vor 10.1.19 könnte darin enthaltener, schädlicher Programmcode möglicherweise bereits beim Öffnen der betreffenden Mail zur Ausführung kommen.

Wie das Zimbra-Team etwas vage ausführt, könnten sich Angreifer auf diesem Wege unbefugten Zugriff auf Mailbox-, Session- oder Account-Informationen verschaffen. Wie aus den separat veröffentlichten Release-Notes zu 10.1.19 hervorgeht, handelt es sich technisch wohl um einen Stored-Cross-Site-Scripting-Angriff.

Admins tun auch dann gut daran, die ZCS auf den neuesten Stand zu bringen, wenn der Classic Web Client im Unternehmen nicht zum Einsatz kommt. Erst vor wenigen Monaten hat die US-Sicherheitsbehörde vor aktiven Angriffen auf die Collaboration Suite gewarnt. Auch damals hatten die Übeltäter eine Cross-Site-Scripting-Lücke im Visier. Im Hinblick auf den aktuellen Lückenfund bislang zwar keine Exploitversuche bekannt; dennoch ist es ratsam, zeitnah zu handeln.

Endanwender verwundbarer ZCS-Versionen sollten derweil auf die Nutzung des Classic Client verzichten und alternativ etwa auf den Modern Client umschwenken, bis das Update eingespielt wurde.

Upgrade-Anleitungen, je nach Ausgangsversion, sind den Release Notes zu entnehmen.

//Update 07.07.26, 14:52: Anriss und Text nach Leserfeedback angepasst (Update-Verantwortung liegt bei den Admins).

Weiterlesen nach der Anzeige


(ovw)



Source link

Weiterlesen

Datenschutz & Sicherheit

Widerstand gegen Beseitigung der Informationsfreiheit: „Keine lästige Pflicht, sondern historische Errungenschaft“


Die Idee der Koalition aus CDU, CSU und SPD, den gesetzlichen Anspruch auf Informationsfreiheit in großem Maße zurückzufahren, stößt weiter auf starken Widerstand: Heute taten sich mehr als hundert Organisationen zusammen, um in einem offenen Brief dagegen zu protestieren. Die Informationsfreiheit dürfe nicht in so drastischem Maße beschränkt werden. Sie weisen auf den Umstand hin, dass gerade auch Skandale von Koalitionspolitikern mit Hilfe des Informationsfreiheitsgesetzes (IFG) rausgekommen seien.

Eine Petition mit derzeit 370.000 Unterzeichnern, die sich explizit an die Sozialdemokraten richtet, fordert von der SPD-Fraktion im Bundestag: SPD, stoppt den Frontalangriff auf die Informationsfreiheit! Die Informationsfreiheit müsse bewahrt werden.

Lars Klingbeil, SPD-Chef und Vizekanzler, erklärte auf Nachfrage gestern in der Bundespressekonferenz nur, es gäbe „Schwachpunkte“ beim IFG. Das hätte die Regierung festgestellt. Er halte das Vorhaben aber für „vertretbar“, man wolle das IFG „reformieren und weiterentwickeln“.

Diese Haltung verwundert, denn in der vergangenen Legislaturperiode wollte die SPD in der Ampel-Koalition noch ein Bundestransparenzgesetz einführen. Es sollte die Informationsfreiheit erheblich ausbauen und Behörden dazu verpflichten, von sich aus Informationen freizugeben anstatt bei IFG-Anfragen nur zu reagieren.

„Keine lästige Pflicht der Verwaltung“

Der Begriff Informationsfreiheit beschreibt das Recht auf Zugang zu amtlichen Informationen. Schwarz-Schwarz-Rot preist diese staatliche Transparenz nicht mal mehr in Sonntagsreden, sondern plant unter dem Motto des „Bürokratierückbaus“ die faktische Abschaffung des Informationsfreiheitsgesetzes. An staatliche Informationen zu gelangen, würde dann erheblich erschwert oder gar nicht mehr möglich sein. Auch die Gebühren für die wenigen Anfragen, die noch zugelassen wären, sollen explodieren.

Schwarz-Rot plant Frontalangriff auf Journalismus und Transparenz

Gestern kritisierten auch die Informationsfreiheitsbeauftragten von Bund und Ländern die Pläne: Informationsfreiheit sei „keine lästige Pflicht der Verwaltung, sondern eine historische Errungenschaft in Europa für mehr Transparenz staatlichen Handelns“.

Sie wehrten sich auch gegen die Begründung des Vorhabens: Neben dem „Bürokratierückbau“ war für die Unterminierung der Informationsfreiheitsrechte auch mit der staatlichen Resilienz argumentiert worden. Dem besonderen Schutzbedarf bestimmter Bereiche wie kritischer Infrastrukturen, aber auch „der Spionageabwehr, der Terrorismusbekämpfung oder auch der wissenschaftlichen Forschung“ wolle man stärker Rechnung tragen, schrieben die Koalitionäre.

Dieses Argument sei jedoch nur vorgeschoben, erklärten die Informationsfreiheitsbeauftragten. Das Auskunftsrecht biete nämlich bereits einen umfassenden Schutz für Sicherheitsinteressen.

Pressefreiheit bedroht

Der heute veröffentlichte offene Protestbrief richtet sich an die Bundesregierung, das Bundesinnenministerium und die Bundestagsabgeordneten im Innenausschuss. Die Unterzeichner, darunter Amnesty International, Greenpeace, LobbyControl, Wikimedia Deutschland, der Chaos Computer Club, der Naturschutzbund Deutschland (NABU), abgeordnetenwatch, FragDenStaat, die Deutsche Journalistinnen- und Journalisten-Union (dju), Reporter ohne Grenzen, der Deutsche Journalisten-Verband und Zeitungen wie der Freitag und die taz, kritisieren das rückwärtsgewandte Staatsverständnis der Koalition. Sie bezeichnen die geplanten Änderungen am Informationsfreiheitsgesetz als einen „massiven Rückschritt für die gesellschaftlichen Freiheitsrechte“. Das Vorhaben sei alarmierend.

Besonders hart käme es für Journalisten und die Pressefreiheit, so die Unterzeichner:

Das IFG ermöglicht seit 20 Jahren, dass Korruption und Machtmissbrauch konsequent aufgedeckt werden. Sollten die geplanten Anpassungen von Ihnen umgesetzt werden, so wäre das nicht nur das Aus für einen Großteil der IFG-Anträge, sondern auch ein fataler Einschnitt in die Pressefreiheit in Deutschland.

Die Ideen entsprächen auch nicht dem Willen der Mehrheit der Menschen: „Ein Großteil der Bevölkerung (83 %) wünscht sich […] mehr proaktive Transparenz und Informationsfreiheit der Behörden.“


Offenlegung: Die Autorin ist ehrenamtlich Sprecherin des Chaos Computer Clubs, der zu den Unterzeichnern des offenen Briefes gehört. Als solche, aber auch als langjährige IFG-Nutzerin, als Autorin und Publizistin stehe ich vollumfänglich hinter dem Anliegen des Briefes.



Source link

Weiterlesen

Datenschutz & Sicherheit

OpenSSH bringt erstmals hybride Post-Quantum-Signaturen


Mit OpenSSH 10.4 ist eine neue Version der weitverbreiteten SSH-Implementierung erschienen. Im Mittelpunkt stehen mehrere Sicherheitskorrekturen für SSH-, SCP- und SFTP-Komponenten sowie Protokollverschärfungen, die Angriffsflächen verkleinern sollen. Ferner führt das Projekt erstmals experimentelle Unterstützung für ein hybrides Post-Quantum-Signaturverfahren ein.

Weiterlesen nach der Anzeige

OpenSSH ist die Referenzimplementierung des SSH-Protokolls. Sie gehört auf Linux- und BSD-Systemen sowie vielen weiteren Unix-ähnlichen Plattformen zur Standardausstattung.

Ein Schwerpunkt der neuen Version liegt auf der Behebung mehrerer sicherheitsrelevanter Fehler. So konnte ein bösartiger SFTP-Server Downloads unter bestimmten Umständen an einen anderen Speicherort als den vorgesehenen umleiten. Auch beim Kopieren von Dateien zwischen zwei entfernten Systemen mit scp verhindert OpenSSH 10.4 nun, dass ein manipulierter Server Dateien außerhalb des vorgesehenen Zielverzeichnisses ablegt. Zudem behebt OpenSSH 10.4 einen Fehler im internen SFTP-Server (internal-sftp, nicht der Standard): Bei langen Kommandozeilen wurden Argumente ab der zehnten Position still verworfen – sicherheitsrelevante Optionen an diesen Stellen wurden damit ignoriert.

Weitere Korrekturen betreffen den SSH-Server sshd. Die Entwickler schließen unter anderem eine potenzielle Denial-of-Service-Schwachstelle vor der Authentifizierung, sofern GSSAPI-Authentifizierung aktiviert ist (sie ist standardmäßig deaktiviert). Außerdem beseitigt die Version Fehler bei der Durchsetzung von Authentifizierungsverzögerungen und korrigiert eine Konstellation, in der DisableForwarding=yes Tunnelverbindungen entgegen der Dokumentation nicht zuverlässig unterband.

Auch der SSH-Client erhält Sicherheitskorrekturen. Unter anderem wurde ein möglicher Use-after-free-Fehler während eines Schlüsselaustauschs beseitigt, falls ein Server seinen Hostschlüssel während einer erneuten Schlüsselvereinbarung wechselt.

OpenSSH 10.4 verschärft außerdem das Verhalten während eines sogenannten Key-Reexchange. Dabei handeln Client und Server während einer bestehenden Verbindung neue Sitzungsschlüssel aus, etwa um kryptografisches Material regelmäßig zu erneuern. Sendet eine Gegenstelle während dieses Vorgangs unerlaubte Protokollnachrichten, trennt OpenSSH die Verbindung künftig sofort. Bislang wurden solche Nachrichten gepuffert, was zu sinnlos belegtem Speicher führen konnte.

Weiterlesen nach der Anzeige

Diese strengere Umsetzung orientiert sich an den Vorgaben des SSH-Protokolls. Allerdings weisen die Entwickler darauf hin, dass ältere oder nicht RFC-konforme Implementierungen dadurch unter Umständen die Verbindung verlieren.

Darüber hinaus ersetzt OpenSSH den bisherigen Wildcard-Matcher durch eine Implementierung auf Basis eines nicht deterministischen endlichen Automaten (NFA). Damit vermeiden die Entwickler exponentielle Laufzeiten bei bestimmten Suchmustern und verbessern die Robustheit gegenüber ungünstigen Eingaben.

Als wichtigste funktionale Neuerung führt OpenSSH die experimentelle Unterstützung für ein kombiniertes Signaturverfahren aus ML-DSA-44 und Ed25519 ein. Der hybride Ansatz soll sowohl gegen klassische als auch gegen zukünftige Angriffe durch Quantencomputer absichern. Solche Kombinationen sind eine Übergangslösung, solange Post-Quantum-Verfahren noch schrittweise eingeführt und standardisiert werden.

Standardmäßig bleibt die Funktion deaktiviert. Administratoren müssen sie explizit über die Konfiguration aktivieren, etwa für HostKeyAlgorithms oder PubkeyAcceptedAlgorithms. Neue Schlüssel lassen sich mit ssh-keygen -t mldsa44-ed25519 erzeugen.

Die Entwickler weisen zudem auf einige potenziell inkompatible Änderungen hin. So gibt sshd -G Konfigurationsdirektiven künftig wieder mit gemischter Groß- und Kleinschreibung aus, etwa PubkeyAuthentication statt ausschließlich Kleinbuchstaben. Skripte, die die bisherige Ausgabe auswerten, müssen Nutzer gegebenenfalls anpassen.

Unter Linux behandelt OpenSSH Fehler beim Aktivieren der Sicherheitsmechanismen SECCOMP und NO_NEW_PRIVS nun als schwerwiegend. Der Server startet in diesem Fall nicht mehr, sondern bricht ab. Systeme ohne diese Funktionen sollen stattdessen bereits beim Kompilieren ohne Sandbox-Unterstützung gebaut werden.

Daneben enthält OpenSSH 10.4 zahlreiche Fehlerkorrekturen und interne Verbesserungen, unter anderem für FIDO-Token, ssh-agent, die Konfigurationsverarbeitung des SSH-Servers sowie verschiedene kryptografische Routinen. Laut Release Notes sollen diese Änderungen vor allem Stabilität und Wartbarkeit verbessern.

Lesen Sie auch


(fo)



Source link

Weiterlesen

Beliebt