In der vorhergehenden Folge wurde es bereits angedroht versprochen, nun ist es tatsächlich so weit: Eine ganze Folge mit Neuigkeiten über Public-Key-Zertifikate. Los geht es aber nicht mit der Web-PKI, sondern einem Anbieter von VoIP-Telefonen, der die Konfiguration dieser Telefone – verständlicherweise – mit Zertifikaten absichert. Leider enthält jedes Telefon auch gleich eine passende Zertifizierungsstelle samt privatem Schlüssel – was weit weniger verständlich und vor allem sehr unsicher ist. Die Podcast-Hosts Christopher und Sylvester diskutieren, was es damit auf sich hat.

Weiter geht es mit zwei sehr viel erfreulicheren Nachrichten, die beide von der Web-CA Let’s Encrypt ausgehen. Die hat zum einen ihr erstes produktives Zertifikat für eine IP-Adresse ausgestellt. Die Hosts sehen darin zwar eine ziemliche Nischenanwendung und können nur manche der vorgeschlagenen Anwendungsfälle nachvollziehen, aber in diesen Fällen sind IP-Zertifikate eine schöne Option.

Zum anderen macht „Static-CT“ große Fortschritte. Diese neue Spezifikation für Certificate Transparency (CT) ging aus dem Projekt Sunlight hervor, dessen Entwicklung Let’s Encrypt finanziert hat und das die CA nun auch selbst einsetzt. Christopher und Sylvester besprechen, welche Vorteile Sunlight und Static-CT mit sich bringen und warum diese Verbesserungen sehr willkommen sind.

Im weiteren Verlauf der Folge geht es um eine Bibliothek, die sich fatal an der Einführung von Static-CT verschluckt hatte, und um andere Mechanismen in der Web-PKI, die nicht rund laufen: Wieder mal sind große Zertifizierungsstellen bei teilweise groben Fehlern erwischt worden und mussten sich dem Zorn der Browserentwickler stellen. Außerdem schneiden die Hosts „X9 Financial PKI“ an, eine neue Public-Key-Infrastruktur, mit der DigiCert dem Finanzsektor maßgeschneiderte Services bieten will. Kundeninteresse weckt das natürlich besonders dann, wenn die X9-PKI Dinge ermöglicht, die in der Web-PKI nicht erlaubt sind.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(syt)

Erneut muss Google Sicherheitslücken im Webbrowser Chrome abdichten, von denen eine in freier Wildbahn bereits von Angreifern missbraucht wird. Wer Chrome nutzt, sollte sicherstellen, dass der Browser in aktueller Version läuft.

In der Versionsankündigung schreibt Google, dass das Update insgesamt sechs Schwachstellen ausbessert. Lediglich zu dreien davon gibt Google Hinweise auf deren Natur, die wurden offenbar von externen IT-Sicherheitsforschern gemeldet. Die Entwickler stufen alle drei als hohes Risiko ein. „Google ist bekannt, dass ein Exploit für CVE-2025-6558 in freier Wildbahn existiert“, schreiben die Entwickler dort förmlich. Zuletzt hatte Google vor rund zwei Wochen eine bereits von bösartigen Akteuren missbrauchte Schwachstelle im Chrome-Browser stopfen müssen.

Google Chrome: Attackierte Sicherheitslücke

„Inkorrekte Prüfung von nicht vertrauenswürdigen Eingaben in ANGLE und GPU“ beschreibt Google die angegriffene Sicherheitslücke knapp (CVE-2025-6558 / EUVD-2025-21546, CVSS 8.8, Risiko „hoch„). Hinter ANGLE verbirgt sich die von Google entwickelte „Almost Native Graphics Layer Engine“, die standardmäßig als WebGL-Backend in Chrome (und in Firefox) zum Einsatz kommt und Grafik-Funktionsaufrufe etwa in DirectX, OpenGL oder ähnliche Abstraktionsschichten übersetzt. GPU ist hingegen der beschleunigte Compositor im Browser.

Zudem können Angreifer einen Integer-Überlauf in der Javascript-Engine V8 missbrauchen (CVE-2025-7656 / EUVD-2025-21547, CVSS 8.8, Risiko „hoch„) sowie eine Use-after-free-Lücke in WebRTC (CVE-2025-7657 / EUVD-2025-21545, CVSS 8.8, Risiko „hoch„). Details nennt Google nicht, aber in der Regel können Angreifer derart eingestufte Sicherheitslücken etwa mit manipulierten Webseiten angreifen und dabei eingeschleusten Schadcode ausführen.

Die fehlerbereinigten Browser-Versionen sind Chrome 138.0.7204.157 für Android, 138.0.7204.156 für iOS, 138.0.7204.157 für Linux und 38.0.7204.157/.158 für macOS und Windows.

Versionsprüfung

Der Versionsdialog vom Webbrowser verrät, welcher Softwarestand derzeit aktiv ist. Er lässt sich über das Browser-Menü erreichen, das sich hinter dem Symbol mit drei aufeinandergestapelten Punkten rechts von der Adressleiste befindet. Dort geht es weiter über „Hilfe“ – „Über Google Chrome“.

Unter Linux müssen Nutzerinnen und Nutzer dafür in der Regel die Softwareverwaltung der eingesetzten Distribution starten. Auf Smartphones kommen die Aktualisierungen in die jeweiligen App-Stores, teils jedoch mit Verzögerung.

Da auch andere Webbrowser auf dem Chromium-Code basieren, dürften auch die verwundbar sein. Deren Hersteller dürften in Kürze ebenfalls Aktualisierungen zum Stopfen des Sicherheitslecks verteilen, etwa Microsoft für den Edge-Webbrowser.

(dmk)

Reine Bürokratie, zwingend erforderlich, hier gibt es nichts zu sehen – so in etwa lässt sich die Begründung zusammenfassen, die das Bundesinnenministerium für seinen Vorstoß zur bürokratischen Umsetzung des neuen Selbstbestimmungsgesetzes liefert. Bei der queerpolitischen Sprecherin der Grünen, Nyke Slawik, klingt das anders: „Die Angst in der Community ist wirklich groß“, sagt sie.

Was ist passiert? Das Bundesinnenministerium hat vergangene Woche seine Pläne für eine Verordnung veröffentlicht. Sie soll festlegen, wie das neue Selbstbestimmungsgesetz von den Meldebehörden praktisch umgesetzt wird. Also: Wie und wo wird in den Registern festgehalten, wenn eine Person ihren Vornamen und ihren Geschlechtseintrag künftig ändert, wie sie es laut Gesetz darf. Und welche Behörden müssen in so einem Fall davon erfahren.

Konkret: Mehrere neue Datenfelder sollen dafür im Datensatz für das Meldewesen eingerichtet werden – für den früheren Geschlechtseintrag, den früheren Vornamen, das jeweilige Datum der Änderung und die zuständige Behörde.

Diese Daten sollen künftig nicht nur im Melderegister gespeichert werden, sondern auch automatisch auf die Reise gehen. Ändert eine Person ihren Geschlechtseintrag, dann sollen etwa die Rentenversicherung und das Bundeszentralamt für Steuern automatisch davon erfahren – sie bekommen dann nicht nur den neuen, sondern auch den früheren Geschlechtseintrag übermittelt. Und zieht die Person später mal um, soll auch der frühere Vorname und Geschlechtseintrag mit zur neuen Meldebehörde ziehen.

„Nicht verhältnismäßig“: Kritik von allen Seiten

Das Bundesinnenministerium begründet seine Pläne damit, dass Personen in verschiedenen amtlichen Registern weiterhin identifizierbar sein müssen. Dazu sei es erforderlich, auch die früheren Namen und Geschlechtseinträge an andere Behörden weiterzugeben.

Aber in diesem Fall verstecken sich hinter der kühlen bürokratischen Formulierung Daten, die Menschen in Gefahr bringen können. Daten, deren Bekanntwerden geeignet ist, bei den Betroffenen Angst auszulösen. Die Angriffe auf trans*, inter und nicht-binäre Menschen haben in den vergangenen Jahren zugenommen, sie sind besonders stark von Diskriminierung und Gewalt betroffen. Und sie sind bevorzugtes Ziel der immer stärker werdenden rechtsradikalen Bewegungen weltweit, auch in Deutschland.

Die Erforderlichkeit scheint das Ministerium zudem erst jetzt entdeckt zu haben. Denn in all den Jahren seit 1981, in denen Menschen in Deutschland bereits nach dem alten Transsexuellengesetz ihren Geschlechtseintrag ändern konnten, galt: Bei einer Änderung legt die Meldebehörde eine neuen Datensatz mit dem neuen Namen und Geschlechtseintrag an. Der alte Datensatz bekommt eine Auskunftssperre – er steht also für die Datenabrufe aus anderen Behörden nicht bereit. Nur bei einem „berechtigten Interesse“, etwa für die Strafverfolgung, darf die Verbindung von der Behörde wieder hergestellt werden.

Entsprechend hart fällt die Kritik der Verbände aus, die in Deutschland die Rechte von Betroffenen vertreten. „Nicht verhältnismäßig“ nennt der Paritätische Gesamtverband die geplante Regelung und sieht die grundrechtlich geschützte Intimsphäre betroffen. Und der Bundesverband Trans* warnt vor „Zwangsoutings im Kontakt mit Behörden“. Die Regelungen führe dazu, dass trans*, nicht-binäre und intergeschlechtliche Personen als solche erkannt werden könnten, mit allen Folgen für Diskriminierung.

Warum nochmal?

Die Kritik zielt vor allem auf die Begründung – oder eher das Fehlen einer solchen. Warum etwa, fragen die Verbände, braucht das Bundeszentralamt für Steuern Daten zum früheren Geschlechtseintrag um jemanden zu identifizieren – während Menschen in Deutschland eine lebenslang gültige steuerliche Identifikationsnummer haben, die sich auch bei neuem Namen oder Personenstand nicht ändert?

Bislang bekam das Bundesamt nach einem Wechsel lediglich den aktuellen Namen und das Geschlecht zu sehen. Wer auf diese Daten schaut, konnte daraus nicht ableiten, ob und wann jemand im Laufe seines Lebens den Vornamen oder Geschlechtseintrag geändert hatte. Jetzt sollen aber sowohl die früheren als auch die neuen Einträge in der Datenbank gespeichert bleiben. Wie lange, das lässt der Entwurf offen.

Die Rentenversicherung hingegen haben Betroffene früher einfach selbst informiert, ebenso die Krankenkasse, erklärt Jenny Wilken, Referentin der Deutschen Gesellschaft für Trans*- und Inter*geschlechtlichkeit (dgti). „Die letzten 40 Jahre gab es keinen Grund für die Erweiterung der Datenblätter, trotz über 20.000 Personenstandsänderungen“, sagt Wilken. Warum also jetzt?

Daten weitergeben, um Daten nicht weiterzugeben

Eine Antwort könnte das Bundesinnenministerium von Alexander Dobrindt (CSU) geben. Doch zu den genannten Fragen schweigt man sich dort aus, auch auf Nachfrage von netzpolitik.org.

Irritation löst auch eine weitere Aussage aus dem Entwurf aus: Eine Weitergabe des früheren Vornamens bei einem Umzug sei auch deswegen notwendig, um das Offenbarungsverbot umzusetzen. Das Verbot soll Menschen nach einer Änderung von Vornamen und Geschlechtseintrag davor schützen, dass andere etwa gegen ihren Willen ihren früheren Namen ausforschen und ihn gegen sie verwenden. Als Teil des Selbstbestimmungsgesetzes steht auf so ein „Deadnaming“ mit Schädigungsabsicht sogar ein Bußgeld.

Paradox sei diese Begründung, schreibt etwa der Verband für queere Vielfalt LSVD in seiner Stellungnahme: Das Selbstbestimmungsgesetz ziele ja gerade darauf ab, dass Menschen nicht mehr an ihre früheren Geschlechtseinträge gebunden seien. Jetzt sollen diese alten Daten hingegen dauerhaft im Melderegister mitgeführt werden.

Unter Generalverdacht

Alter Streitpunkt, neue Verordnung

Die Grüne Nyke Slawik war eine der Abgeordneten, die das Selbstbestimmungsgesetz mit ausgehandelt hat. Die Pläne aus dem Innenministerium nennt sie unverschämt. „Wir haben uns mit dem gleichen Thema ja schon beschäftigt als wir das Gesetz verhandelten“, sagt sie. Bei den Verhandlungen hätten sich alle Abgeordneten dafür ausgesprochen, dass es keine Sonderkartei für Menschen geben soll, die das Gesetz in Anspruch nehmen.

Das Justizministerium hatte im Juni 2023 kurz vor der Veröffentlichung in den Entwurf für das Selbstbestimmungsgesetz noch eine Regelung eingefügt. Sie hätte die Informationen zum neuen Geschlechtseintrag automatisch an eine lange Liste von Sicherheitsbehörden weitergeleitet, darunter Bundespolizei, Bundeskriminalamt und Verfassungsschutz.

Auch damals geschah das auf Drängen des Bundesinnenministeriums, noch unter der Leitung von Nancy Faeser (SPD). Zur Begründung schwadronierte die Bundesregierung damals, Kriminelle könnten das Gesetz missbrauchen, um abzutauchen.

„Auf dem Rücken einer marginalisierten Gruppe“

Der Bundestag hat den Passus am Ende aus dem Gesetz gestrichen. „Wir haben damals schon kritisiert, dass es nicht geht, eine Sonderregelung auf dem Rücken einer marginalisierten Gruppe zu machen, die so sehr von Hasskriminialität betroffen ist“, sagt Slawik. Seinen Namen ändern könne man schließlich auch auf anderen Wegen, etwa durch eine Adoption, Heirat oder in Ausnahmefällen, um einen ungeliebten Nachnamen abzulegen. Wenn es berechtigte Sicherheitsinteressen gebe, dann möge man eine Regelungen finden, die nicht eine Personengruppe besonders outet.

Dass auch die neu gewählte schwarz-rote Koalition von dem Thema nicht ablassen würde, deutete sich allerdings schon im Koalitionsvertrag an. Die Befürchtungen, die Union könne das gesamte Selbstbestimmungsgesetz wieder kassieren, bewahrheiteten sich zwar nicht. Es soll allerdings evaluiert werden. Und schon dort kündigte Schwarz-Rot außerdem an: „Im Rahmen der Namensrechtsreform nehmen wir die bessere Nachverfolgbarkeit aller Personen bei berechtigtem öffentlichem Interesse bei Namensänderungen in den Blick.“

Auch Maik Brückner, der queerpolitische Sprecher der Linken kritisiert, das BMI habe bei seinem Entwurf das Maß für Verhältnismäßigkeit verloren. Die Regelung sei unnötig, weil es auch mildere Mittel gegeben hätte. Für die Identifikation einer Person nach einer Personenstandsänderung reiche auch die Kombination von Nachname, Geburtsdatum und Geburtsort mit der Steuer-ID. Er fordert, wie auch die Verbände, den Entwurf nochmal zu prüfen: „Bei etwaigen Veränderungen muss der Schutz der Grundrechte an erster Stelle stehen – sowas ist Sache des Parlaments und nicht einer Verordnung.“