Google hat in der Nacht zum Samstag erneut ein Notfall-Update für den Webbrowser Chrome herausgegeben. Es bessert eine im Netz bereits attackierte Sicherheitslücke aus, die das Update vom Vortag offenbar nicht oder nicht korrekt geschlossen hat.

Bereits am Freitag dieser Woche hatte Google angekündigt, dass das außerplanmäßige Update zwei in freier Wildbahn attackierte Sicherheitslücken stopft. Jetzt haben die Entwickler jedoch eine weitere Aktualisierung außer der Reihe eingeschoben, die eine der vermeintlich bereits geschlossenen Sicherheitslücken (abermals) korrigiert. Es handelt sich dabei um die Schwachstelle in der Grafikbibliothek Skia. Durch das Verarbeiten und Rendern sorgsam präparierter Webseiten können Angreifer auf Speicherbereiche außerhalb der vorgesehenen Grenzen zugreifen und so fälschlicherweise Speicherinhalte schreiben (CVE-2026-3909, kein CVSS-Wert, Risiko laut Google „hoch“). Das ermöglicht oftmals, Schadcode einzuschleusen und auszuführen.

Google hat die ursprüngliche Versionsankündigung aus der Nacht zum Freitag inzwischen aktualisiert. Demnach listete die vorherige Version der Notiz die Schwachstelle CVE-2026-3909 auf, deren Korrektur jedoch erst in einem künftigen Update enthalten sein wird, führen die Entwickler dort nun aus. Zu den Gründen nennen sie keine weiteren Details. Auch zu den bereits laufenden Angriffen auf die Schwachstellen gibt es keine weitergehenden Informationen.

Aktualisierte Versionen jetzt installieren

Chrome-Nutzer und -Nutzerinnen sollten sicherstellen, dass sie die aktuelle Fassung des Webbrowsers einsetzen. Chrome 146.0.7680.119 für Android sowie 146.0.7680.80 für Linux, macOS und Windows stopfen nun auch das zweite attackierte Sicherheitsleck.

Der Versionsdialog findet die Updates und startet auch gleich deren Installation. Der öffnet sich nach Klick auf das Icon mit den drei übereinanderliegenden Punkten rechts von der Adressleiste und dem weiteren Klickpfad „Hilfe“ – „Über Google Chrome“. Unter Linux ist in der Regel die Softwareverwaltung der Distribution dafür zuständig. Der Play-Store von Google sollte das Update ebenfalls anbieten, auf zahlreichen Handy-Modellen kommen die Chrome-Updates jedoch mit deutlicher Verzögerung an; die Aktualisierung lässt sich dort auch nicht erzwingen.

Da andere auf dem Chromium-Code basierende Webbrowser wie Microsoft Edge die Schwachstelle mit hoher Wahrscheinlichkeit ebenfalls aufweisen, sollten Nutzerinnen und Nutzer dieser Alternativen ebenfalls prüfen, ob dafür Aktualisierungen verfügbar sind, und diese zeitnah anwenden.

(dmk)

Liebe Leser*innen,

seit 2019 begleite ich für netzpolitik.org die Pläne für die Verordnung der EU zu sogenannter „Künstlicher Intelligenz“. Es ist das erste europäische Gesetz, bei dessen Entstehung ich von Anfang an mit dabei war. Wie bei einem Gebäude, für das man schon die ersten Ideen und Entwürfe am Reißbrett mitverfolgt hat. Dann jeden Tag an der Baustelle vorgefahren ist, erst beim Aushub und dann Stockwerk um Stockwerk zuschaute, wie es nach oben wächst.

2024 waren die Pläne fertig verhandelt. Doch im Nachhinein muss ich sagen: Wenn die KI-Verordnung ein Gebäude ist, dann kommt mir das Ergebnis zunehmend vor wie Pfusch am Bau.

Ich fühle mich verschaukelt von diesem Gesetz, das doch eigentlich zumindest in Teilen den Zweck haben soll, die Grundrechte der Menschen in der EU zu schützen. Dafür zu sorgen, dass sie nicht zu Unrecht im Gefängnis landen, von Sozialleistungen ausgeschlossen werden, an den EU-Grenzen von Maschinen schikaniert oder bei jedem Schritt im öffentlichen Raum verfolgt werden können – weil ein „KI-System“ das nun einmal möglich macht.

Auf die vielen Schwachstellen im fertig verhandelten Bauplan hatten wir damals schon hingewiesen. Artikel 5 der Verordnung regelt all die grundrechtsrelevanten Schweinereien, die mit “KI” technisch möglich, in der Union aber tabu sind. Darunter etwa Systeme, die Gefühle erkennen sollen oder Vorhersagen dazu treffen, ob jemand wohl kriminell wird. (Minority Report lässt grüßen.)

Verboten sind in der EU demnach auch Systeme, mit denen man im Internet gezielt nach einem Gesicht suchen kann und dann weitere Treffer zu der Person angezeigt bekommt. Man kennt das von umstrittenen Suchmaschinen wie PimEyes oder Clearview. Denn Menschen aus dem Team Bürgerrechte sind sich schon lange einig: Solche Systeme stellen eine besonders große Gefahr für unsere Gesellschaft dar. Diese kommerziellen Anbieter scannen das öffentliche Internet nach auffindbaren Gesichtern und erstellen daraus gigantische Datenbanken. Der Upload eines Fotos in die Suchmaschine reicht aus, schon werden Treffer zu dem gesuchten Gesicht im Netz angezeigt. Und damit sehr wahrscheinlich auch der Name, der Job oder dieses eine peinliche Video, das man mit 20 irgendwo hochgeladen und dann vergessen hat.

Ich dachte, dass solche Suchmaschinen in der EU verboten sind. Doch damit liege ich wohl falsch.

Denn die Bundesregierung möchte solche Systeme schon seit einer Weile haben. Sie möchte es der Polizei erlauben, die Gesichtersuche einzusetzen, um in Strafverfahren nach Verdächtigen und auch Zeug*innen suchen zu können. Am Donnerstag haben die Bundesjustizministerin und der Bundesinnenminister dafür eine Reihe von neuen Gesetzentwürfen vorgestellt.

Eines davon ändert die Strafprozessordnung und schafft damit die Rechtsgrundlage für den “automatisierten biometrischen Abgleich mit öffentlich zugänglichen Daten aus dem Internet”. Und der Begründung zu diesem Gesetz ist zu entnehmen: Das vermeintliche Verbot der biometrischen Gesichtersuche in der KI-Verordnung war womöglich nur ein großes Missverständnis.

Dort steht: „Dieses Verbot gilt nicht, sofern für das Auslesen der Daten keine KI-Systeme eingesetzt werden.“ Dann folgt ein Verweis auf die Leitlinien der EU-Kommission, die das Verbot tatsächlich so auslegen. Und daraufhin erläutert das Ministerium weiter, warum es also unproblematisch und mit der KI-Verordnung im Einklang sei, wenn die Polizei künftig all unsere Urlaubsfotos, Demovideos und sonstigen Bilder im Netz einsammeln, auswerten und in eine große Datenbank kippen darf, um darin per biometrischem Abgleich nach bestimmten Gesichtern zu suchen.

Ohne allzu tief in die Funktionsweise von biometrischen Gesichtersuchmaschinen einzusteigen, kann man wohl zurecht behaupten: Wenn die Bundesregierung mit dieser Interpretation durchkommt, dann ist im Grunde das ganze Verbot den Baustoff nicht wert gewesen, mit dem es errichtet wurde. Dann wären nämlich auch kommerzielle Gesichtersuchmaschinen wie PimEyes – um deren Verbot es dem EU-Parlament gerade ging – in der EU legal.

Das alles sind erste Eindrücke. Wir haben eine Menge Fragen und werden uns jetzt auf die Suche nach Antworten machen. Ich gehe aber vor allem mit dieser Frage ins Wochenende: Was bringt ein Bauwerk, wenn es so löchrig ist, dass es schon durchregnet, noch bevor wir überhaupt einziehen konnten?

Erbauliche Grüße

Chris

Die seit Januar 2026 verfügbare AWS European Sovereign Cloud hat einen ersten Compliance-Meilenstein erreicht. Amazon Web Services (AWS) hat für die von regulären AWS-Regionen physisch und logisch getrennte Cloud-Plattform SOC-2- und C5-Type-1-Testat sowie sieben ISO-Zertifizierungen erlangt. Die Nachweise decken insgesamt 69 Services ab.

Wie AWS in einem Beitrag im AWS-Security-Blog erläutert, umfasst der SOC-2-Type-1-Bericht die Kriterien Sicherheit, Verfügbarkeit und Vertraulichkeit. Die Prüfer haben die Kontrollen zudem auf das hauseigene Sovereign Reference Framework (ESC-SRF) abgebildet, das Governance, Betrieb, Datenresidenz und Isolation abdeckt. Der C5-Type-1-Bericht attestiert die Konformität mit dem Cloud Computing Compliance Controls Catalogue des Bundesamts für Sicherheit in der Informationstechnik (BSI) – geprüft wurden Basis- und Zusatzkriterien.

Sieben ISO-Zertifizierungen auf einen Schlag

Neben den Attestierungsberichten hat AWS für die European Sovereign Cloud gleichzeitig sieben ISO-Zertifizierungen erlangt: ISO 27001:2022 (Informationssicherheit), ISO 27017:2015 (Cloud-Sicherheit), ISO 27018:2019 (Datenschutz in der Cloud), ISO 27701:2019 (Privacy-Management), ISO 22301:2019 (Business Continuity), ISO 20000-1:2018 (IT-Service-Management) sowie ISO 9001:2015 (Qualitätsmanagement). Sämtliche Berichte und Zertifikate stehen Kunden über AWS Artifact zur Verfügung.

Die Zertifizierungen sind vor allem für Behörden und regulierte Branchen in Europa relevant, die Cloud-Dienste unter strikten Auflagen zu Datenresidenz und Sicherheit nutzen müssen. Der C5-Katalog des BSI gilt in Deutschland als maßgeblicher Standard für die Bewertung von Cloud-Anbietern.

Separate Infrastruktur mit EU-Personal

Die European Sovereign Cloud ist als eigene Partition (aws-eusc) mit der Region eusc-de-east-1 in Brandenburg aufgesetzt. Sie verfügt über separate IAM-Konten, eigene Abrechnungssysteme in Euro und ein dediziertes Security Operations Center, das ausschließlich mit EU-Residenten besetzt ist. Es gibt keinen regionsübergreifenden Datenverkehr zu anderen AWS-Partitionen; auch Metadaten verbleiben innerhalb der EU-Infrastruktur.

Ob die vollständige Abkopplung der Sovereign Cloud in der Praxis den Anforderungen des BSI standhält, ist allerdings noch nicht unabhängig geprüft. Bei den jetzt vorgelegten Zertifizierungen handelt es sich um Type-1-Berichte, die das Design und die Implementierung der Kontrollen zu einem bestimmten Zeitpunkt bewerten. Die aufwendigeren Type-2-Audits, bei denen die operative Wirksamkeit über einen längeren Zeitraum nachgewiesen wird, stehen noch aus.

AWS bezeichnete die Zertifizierungen als Beleg dafür, dass sich die Firma um das Vertrauen der Kunden bemühe. Das Unternehmen hat angekündigt, das Compliance-Portfolio für die European Sovereign Cloud kontinuierlich auszubauen.

(fo)