Der Fotoanbieter Portraitbox wird nach einem Cyberangriff offenbar erpresst. Das berichten verschiedene Quellen unter Berufung auf Betroffene. Das Paderborner Unternehmen bietet professionellen Fotografen ein Shop- und Galeriesystem, mit dem sie ihren Kunden digitale Kontaktabzüge etwa für Fotobestellungen schicken können. Die Galerien sind derzeit offline, verschiedene Fotostudios haben bereits ihre Kunden unterrichtet.

Am Wochenende des 16. und 17. Mai 2026 verschafften sich Angreifer offenbar Zugriff auf die AWS-Konten von Portraitbox, luden sämtliche dort gespeicherten Fotos und Kundendaten herunter und löschten sie dann. Sie drohen mit einer Veröffentlichung der Daten, will das Portal anwalt.de erfahren haben. Wer der oder die Erpresser sind und welches Lösegeld sie fordern, ist zur Stunde unklar. Auf den üblichen Leakseiten und -portalen taucht Portraitbox nicht auf, womöglich um laufende Lösegeldverhandlungen nicht zu gefährden.

Betroffen sind alle Galerien, die Fotostudios und freie Fotografen für ihre Kundenbilder anlegt haben. Solche Galerien dienen nach einem Fototermin dazu, Fotos als Abzüge zu bestellen und später Nachbestellungen zu vereinfachen. Portraitbox übernimmt auch die Bestellabwicklung und den Versand von Benachrichtigungs-E-Mails für seine Kunden. Die Namen, Mail- und Lieferadressen der Fotografierten zählen auch zu den erbeuteten Daten. Die Zugangsdaten, meist automatisch generierte und per E-Mail versandte Zugangscodes, sind Berichten zufolge ebenfalls abhandengekommen.

Portraitbox hat etwa 2000 Kunden aus der Fotobranche. Wenn jedes dieser Fotostudios nur 100 Personen abgelichtet hat, sind 200.000 Betroffene zu verzeichnen. Heikel: Nicht nur für normale Familienfotos bietet sich Portraitbox an, sondern auch für Schul- oder Kindergartenfotos – viele Betroffene waren also zum Zeitpunkt der Aufnahme minderjährig.

Fotografen sollten den Vorfall zügig melden

Das Unternehmen hat seine Kunden, die Fotostudios, informiert – nicht aber die Endkunden. Das ist datenschutzrechtlich zulässig, denn: Portraitbox tritt datenschutzrechtlich als sogenannter Auftragsverarbeiter auf. Verantwortlich für die Verarbeitung der Daten bleibt der Fotograf selbst. Das heißt: Alle Fotografen, die Portraitbox nutzen, müssen die zuständige Aufsichtsbehörde von dem Datenschutzvorfall in Kenntnis setzen und die Betroffenen – also alle Fotografierten – informieren. Denn: Da die Angreifer angeblich mit einer Veröffentlichung der Daten drohen und mitunter besonders sensible Aufnahmen gemacht wurden (von Kindern, aber auch Erotikfotos), handelt es sich um einen Datenschutzvorfall mit hohem Risiko.

Die 72-Stunden-Frist für eine Meldung bei der Aufsichtsbehörde, also den Landesdatenschutzbeauftragten für das Bundesland, in dem der Fotograf ansässig ist, läuft bald ab. Da Portraitbox bereits am 20. Mai eine Informationsmail verschickte, bleiben nur noch wenige Stunden bis Samstag für eine fristgerechte Meldung. Dass die Cyberkriminellen bei Nichtzahlung des Lösegelds Ernst machen, ist wahrscheinlich: Vor mehreren Jahren veröffentlichten Ransomware-Gangster sogar Fotos von Brustkrebspatientinnen.

(cku)

Der verschlüsselte Messenger Signal nimmt es mit dem Entfernen gelöschter Nachrichten nicht so genau wie erwartet, hat der Sicherheitsforscher Harry Sintonen herausgefunden. Er meldete das Problem an die zuständigen Ansprechpartner und erhielt ein halbes Jahr lang keine Rückmeldung. Nun geht er an die Öffentlichkeit.

Die Signal-App nutzt eine verschlüsselte SQLite-Datenbank zur Speicherung aller Nachrichten. Die speichert Transaktionen, also auch geplante Löschungen, in einem sogenannten Write-Ahead Log zwischen, das zu bestimmten Gelegenheiten abgearbeitet wird. Löscht ein Nutzer eine Nachricht in der Signal-App (oder nutzt deren „verschwindende Nachrichten“), wird der entsprechende Datenbankeintrag aus der App ausgeblendet und im Write-Ahead Log zur Löschung markiert. Bis diese Löschung ausgeführt wird und somit die Nachricht vom Gerät verschwindet, können nach Sintonens Aussage Tage, bei wenig genutzten Signal-Instanzen gar Wochen vergehen.

Die verschlüsselte SQLite-Datenbank ist eine simple Datei. Sichert der Nutzer die Daten seiner Signal-App regelmäßig, etwa über die stündliche Sicherung bei Apples Time Machine, so können es Datenbankdateien mit eigentlich gelöschten Nachrichten in ein Backup schaffen und dort auf unbestimmte Zeit verweilen. Zumindest liegen sie dort nicht im Klartext: Die SQLcipher-Datenbank der Signal-App ist verschlüsselt. Ein Angreifer, der Nachrichten lesen möchte, müsste diese Verschlüsselung knacken oder die Schlüssel beim Nutzer abziehen. Das ist etwa über einen Infostealer denkbar, denn Signal bietet Desktop-Apps für Linux, Windows und macOS an.

Risiko meist nicht sehr hoch

Für Nutzer, die Signal recht intensiv verwenden, ist das Risiko gering, dass gelöschte Nachrichten lange auf dem Gerät verweilen. Denn das Write Ahead Log wird nach Erreichen einer bestimmten Größe abgearbeitet und geleert. Wer sicher gehen will, dass die gelöschte Nachricht sofort weg ist, startet einfach die App neu – auch das arbeitet das Write Ahead Log ab.

Mögliche Angriffe und Datenlecks dürften sich auf die offeneren Desktop-Betriebssysteme beschränken – deren Nutzer sollten sichergehen, dass sensible Nachrichten nicht versehentlich in einem Time-Machine-Backup landen. Wer ganz auf Nummer Sicher geht, verbannt die Signal-App vom Schreibtischrechner und nutzt sie nur auf dem Smartphone.

Signal-Team ignoriert Forscher

Der Veröffentlichung ging eine halbjährige Wartezeit voraus. Bereits im November 2025 wandte sich Sintonen an Signals Sicherheitsteam, erhielt aber keine Antwort. Auch Kontaktversuche im April blieben ohne Erfolg. Nachdem Signal 180 Tage lang untätig geblieben war, entschied der Sicherheitsforscher sich, die Lücke in einem Advisory zu veröffentlichen. Es enthält auch einen „Proof of Concept“, mit dem man das Problem selbst nachvollziehen kann. Putziges Detail: Die Beispielnachricht „KENSENTME“ dürfte Liebhabern der Sierra-Grafikadventures der Achtziger bekannt vorkommen.

Der Messenger Signal ist derzeit Ziel großangelegter Phishing-Kampagnen, denen unter anderem Bundespolitiker zum Opfer fielen. Die „Signal-Affäre“ wurde jedoch nicht durch Sicherheitslücken in der App, sondern geschickten Betrug an den Opfern ausgelöst. Signal kümmert sich nun um Gegenmaßnahmen.

(cku)

Für sie ist digitale Souveränität das Thema der re:publica 2026, sagte Astrid Maier, stellvertretende Chefredakteurin der Nachrichtenagentur dpa. Auf der Digitalkonferenz moderierte sie am Mittwoch eine Podiumsdiskussion dazu, wie deutsche Medienhäuser Software großer US-Konzerne einsetzen.

Maiers Eindruck verwundert wenig angesichts der Fülle an Talks, Podiumsdiskussionen und Workshops zu diesem Schlagwort – ganz gleich, ob es um sogenannte Künstliche Intelligenz, Cloud-Speicher, Rechenzentren oder Bezahlsysteme ging.

Allerdings verstanden die beteiligten Panel-Teilnehmer:innen unter digitaler Souveränität durchaus Unterschiedliches. Über Grundrechte sprach etwa re:publica-Mitgründer Markus Beckedahl. Thomas Jarzombek, Staatssekretär im Bundesdigitalministerium, will hingegen die europäische KI-Start-up-Szene stärken. Und auf dem Panel „Cut me loose: Wie der EU der digitale Befreiungsschlag gelingt“ plädierte die EU-Abgeordnete Alexandra Geese (Grüne) gemeinsam mit nextcloud-CEO Frank Karlitschek dafür, Open-Source bei IT-Unternehmen aus der EU einzukaufen. Ihr Gegenüber Axel Voss (CDU) sprach sich derweil für möglichst rasche Deregulierung aus.

Versäumte Fragen

Das breite Spektrum an Meinungen zum Thema lasse sich unter anderem damit erklären, dass die Debattierenden unterschiedliche oder sogar gegenläufige Verständnisse des Begriffs haben, lautet die Beobachtung von Julia Pohle und Marielle-Sophie Düh vom Wissenschaftszentrum Berlin für Sozialforschung (WZB). Aus ihrer Sicht versäumen wir es, in der Debatte zunächst drei Fragen zu stellen: Für wen soll digitale Souveränität erreicht werden? Von wem? Und zu welchem Ziel?

In ihrem Talk „Digitale Souveränität: Das Bullshit Bingo“ erklärten die beiden Politikwissenschaftlicherinnen, welche Mythen die Debatte hemmen. So sei das zugrundeliegende Konzept, auch wenn der aktuelle Hype etwas anderes suggeriere, keineswegs neu. Spätestens der Bericht „Die Informatisierung der Gesellschaft“ der hochrangigen französischen Beamten Simon Nora und Alain Minc habe 1978 den Startschuss für die Debatte gegeben.

Darin richteten Nora und Minc vor knapp 50 Jahren einen dringlichen Appell an den französischen Präsidenten: „Es ist eine Frage der Souveränität. Der Kampf gegen die Übermacht der amerikanischen Industrie im Bereich der Computer-Technologie ist bereits verloren.“

Kein primär demokratisches Konzept

Auch den Mythos, dass „digitale Souveränität“ ein europäisches oder primär demokratisches Konzept sei, entzaubern Düh und Pohle.

Denn auch Länder in anderen Teilen der Welt streben nach digitaler Souveränität. So zielten etwa der IndiaStack in Indien oder die Initiative African Digital Compact der Afrikanischen Union darauf ab, ihre Wirtschaften mittels digitaler Technologien zu fördern.

Zugleich nutzen autokratische Länder das Konzept, um staatliche Kontrolle zu stärken. So hievte Russland das „souveräne Internet“ bereits im Jahr 2012 auf die staatliche Agenda; China tat Ähnliches schon 1994.

Damals schrieb das Informationsbüro des Staatsrats der Volksrepublik: „Das Internet ist eine Frage des wirtschaftlichen Wohlstands und Entwicklung, der staatlichen Sicherheit und gesellschaftlichen Stabilität, der staatlichen Souveränität.“ Der Staat müsse demnach im Netz die Hoheit haben und Regeln setzen. Das zentrale Ziel lautete: Informationskontrolle.

Um wen geht’s?

Dass der Begriff in der europäischen Debatte zugleich vielfältig genutzt wird, verdankt sich laut Pohle und Düh den drei Dimensionen, die er umfasst: Nutzer:innen, Staat und Wirtschaft.

Auf EU-Ebene stehe „digitale Souveränität“ quasi für eine allumfassende Heilsstrategie, die etwa die Kommission gerne ins Zentrum europäischer Digitalpolitik stellen würde, so Pohle. Doch das gebe der Begriff nicht her, da mit ihm unterschiedliche Ziele verknüpft seien, wie etwa der Schutz von Nutzerrechten, die Sicherheit von Infrastrukturen, die Unabhängigkeit der öffentlichen Verwaltung sowie – nicht zuletzt – die Wettbewerbs- und Innovationsfähigkeit.

Der Schutz demokratischer Öffentlichkeiten habe im europäischen Diskurs lange Zeit im Vordergrund gestanden, sagte Pohle, die bereits seit 15 Jahren zum Thema forscht. Inzwischen dominiere aber die wirtschaftliche Dimension die Debatte.

Dass die einzelnen Stakeholder jeweils einen anderen Fokus haben, mache es schwer, das Konzept umzusetzen. „Wenn unklar ist, wie diese Dimensionen ineinander spielen und welche Ziele angestrebt werden sollen, ist auch unklar, was für Maßnahmen es braucht, um die zu erreichen“, so Pohle.

Mehr Rechenzentren sorgen nicht für mehr Datensouveränität

Diese Unklarheit erkläre wohl auch, warum insbesondere vermeintlich souveräne Cloud-Produkte von Amazon, Google und Microsoft derzeit stark nachgefragt seien.

Deren Versprechen seien jedoch überaus zweifelhaft, sagt Düh. Wenn eigene Rechenzentren tatsächlich zu digitaler Souveränität führen würden, müsste Deutschland bereits Cloud-Souveränität erreicht haben. Die Bundesrepublik ist nach den USA das Land mit den meisten Rechenzentren weltweit und rangiert damit noch vor China. Gleichzeitig aber seien „wir zu 80 Prozent von den US-amerikanischen Cloud-Anbietern abhängig“.

Allerdings sei das Versprechen der Tech-Konzerne aus den USA, wonach die in der EU gehosteten Daten sicher seien, hohl. Denn der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, verpflichtet sie unter bestimmten Bedingungen dazu, Daten gegenüber US-Behörden offenzulegen – auch wenn sich diese außerhalb der Vereinigten Staaten befinden.

Klar sagen, worum es geht

Wenn wir in der Debatte um digitale Souveränität weiterkommen wollen, so Pohles und Dühs Fazit, müssen wir auf den Begriff möglichst verzichten. Stattdessen sollten wir klar benennen, um was es uns konkret geht – um Wettbewerbsfähigkeit, um öffentliche Beschaffung, um Grundrechte, um Sicherheitspolitik.

Andernfalls laufen alle Beteiligten an der Debatte Gefahr, Forderungen stark zu machen, hinter denen sie eigentlich nicht stehen. Und das dürfte weder in unserem Interesse liegen noch einer konstruktiven Debatte zuträglich sein.