Connect with us

Datenschutz & Sicherheit

Open Source vor verschlossenen Türen


Der Deutschland-Stack ist eines der größten Digitalisierungsvorhaben im schwarz-roten Koalitionsvertrag. Auch in ihrer Modernisierungsagenda beschreibt die Bundesregierung den D-Stack als entscheidende Technologie-Plattform, um die öffentliche Verwaltung zu digitalisieren.

Ein Technologie-Stack enthält in der Regel mehrere Komponenten, um Software zu entwickeln, zu betreiben und zu warten. Dazu gehören unter anderem Werkzeuge für die Entwicklung: Programmiersprachen, Datenbanken und Schnittstellen. Laut Agenda soll der Deutschland-Stack eine einheitliche IT-Infrastruktur bereitstellen, auf der die Verwaltung zum Beispiel Basisdienste betreibt, etwa Systeme, über die Wohngeld verrechnet wird oder das Begleichen von anfallenden Gebühren.

Allerdings ist weiterhin unklar, was den Stack im Detail ausmachen soll. Fest steht bislang nur: Die Zivilgesellschaft soll bei dem Thema offenbar nicht groß mitreden. Und auch das Thema Open Source kommt allenfalls am Rande vor. Profitieren könnten davon ausgerechnet die Tech-Konzerne, auch wenn deren Angebote die Anforderungen an die digitale Souveränität kaum erfüllen können.

Intransparenz und geringes Interesse an der Zivilgesellschaft

Dass viele Fragen noch offen sind, zeigt auch der Konsultationsprozess zum Stack, den das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) organisierte. Bei dem Beteiligungsverfahren konnten Verbände, Organisationen, Unternehmen und Privatpersonen ihre Vorschläge und Anforderungen zu bestimmten Vorhaben einreichen. Die einzelnen Stellungnahmen und Rückmeldungen sind über die Plattform openCode öffentlich einsehbar – als ganze Konsultationsbeiträge von öffentlichen IT-Dienstleistern, Nicht-Regierungs-Organisationen und privaten Herstellern oder als Anregungen zu einzelnen Fragen. So wies der Verband Green Software auf die Umweltbelastung durch Software hin und Dirk Gernhardt vom IT-Referat München fragt: Sollten konkrete Produkte und Technologien in Vergabeverfahren verbindlich gefordert werden können, „liefert der Deutschland-Stack dafür den rechtlichen Rahmen“?

Parallel zu dem Verfahren fanden geschlossene Workshops mit ausgewählten Beteiligten statt. Thilak Mahendran von der Agora Digitale Transformation kritisiert (PDF), dass das BMDS weder die Teilnehmenden noch die Ergebnisse dieser Workshops bislang transparent gemacht hat. „Dies widerspricht dem Anspruch eines offenen Verfahrens.“ Auch habe das Ministerium die Zivilgesellschaft nicht aktiv in den Beteiligungsprozess einbezogen, so Mahendran gegenüber netzpolitik.org. Über Wochen habe das Stichwort „Zivilgesellschaft“ auf der Website zum D-Stack gefehlt.

Neben Mahendran war auch die ehemalige Bundestagsabgeordnete und Digitalaktivistin Anke Domscheit-Berg zu einem Workshop zum Thema Open Source eingeladen, den die Open Source Business Alliance (OSBA) auf eigene Initiative am 5. Dezember in den Räumlichkeiten des BMDS veranstaltete. Unter den Teilnehmenden waren Open-Source-Unternehmer*innen sowie Vertreter*innen aus Zivilgesellschaft, von Open-Source-Stiftungen, aus der Politik und von Behörden sowie zwei Vertreter*innen aus dem Digitalministerium.

Allerdings scheint das Ministerium diesem Workshop nicht allzu große Bedeutung beizumessen. Auf einer Konferenz des Hasso-Plattner-Instituts Anfang Dezember habe Staatssekretär Markus Richter davon gesprochen, dass der Beteiligungsprozess zum Deutschland-Stack abgeschlossen sei, erinnert sich Anke Domscheit-Berg gegenüber netzpolitik.org. „Da hatte der Workshop der OSBA noch gar nicht stattgefunden.“

Schwammige und unverbindliche Kriterien

Außerdem ist weiterhin offen, welche Dienste und Cloud-Angebote in den Stack aufgenommen werden und welche nicht. Dafür brauche es klare Vorgaben, einschließlich roter Linien, de Mindeststandards definieren müssen, so Domscheit-Berg. Bislang seien die vorgegebenen Kriterien aber nicht nur schwammig, unambitioniert und teils sogar kontraproduktiv für das Ziel digitaler Unabhängigkeit, sondern außerdem auch noch unverbindlich formuliert: „Durch das Fehlen einer Bewertung entlang der Kriterien ist kein Ausschluss vom Tech-Stack gegeben“, heißt es im entsprechenden Dokument.

Der überschaubare Kriterien-Katalog soll demnach nur einen Eindruck darüber vermitteln, ob und inwiefern die fragliche Technologie für den Stack etwa digital souverän, interoperabel und vertrauenswürdig ist.

Ob eine Software oder Cloud-Lösung digital souverän ist, lässt sich laut Katalog entlang von sechs Stufen kategorisieren. Die Mindestestufe 0 erfüllt ein Angebot nur dann, wenn es Nutzenden ermöglicht, „mit überschaubarem Aufwand“ zu einer „vergleichbaren Alternative“ zu wechseln. Können die Nutzenden Einfluss darauf nehmen, wo Daten gespeichert werden, sei die Lösung zu 20 Prozent digital souverän (Stufe 1). Erlaubt das Angebot es darüber hinaus, Einfluss „auf den Anbieter oder zur aktiven Teilnahme an der Community“ zu nehmen, sei sie zu 40 Prozent digital souverän. Die höchste Stufe 5 erreicht eine Lösung, wenn sie „die Möglichkeiten zum vollumfänglichen Einfluss“ beinhaltet. Der Kriterien-Katalog schweigt sich darüber aus, worin diese Möglichkeiten bestehen.

Ohne eine klare Zielvorstellung davon, was digitale Souveränität „im Kontext des Deutschland-Stacks konkret bedeutet“, könne das Kriterium jedoch nicht „zweckdienlich“ umgesetzt werden, hält eco, der Verband für Internetwirtschaft, in seiner Stellungnahme zum Deutschland-Stack (PDF) fest. Dabei sei grundsätzlich fraglich, ob digitale Souveränität den anderen Kriterien gleichgestellt sein sollte.



Uns fehlen dieses
Jahr noch 98.147 Euro.


Bist Du auch Feuer und Flamme für Grundrechte?
Dann unterstütze jetzt unsere Arbeit mit einer Spende.


Bist Du auch Feuer und Flamme für Grundrechte?
Dann unterstütze jetzt unsere Arbeit mit einer Spende.

Vorrang von Open Source ist gesetzlich vorgeschrieben

Die öffentliche Vergabe an sogenannte Hyperscaler, die große Rechenzentren und eine flexible Skalierung etwa von Cloud-Diensten anbieten. reguliert der Katalog nicht. Dabei wird digitale Souveränität in der Regel auch als technologische Unabhängigkeit von Big Tech verstanden. Ebensowenig räumt Stack offener Software verbindlich Vorrang ein, wie es etwa das E-Government-Gesetz des Bundes (EGovG) tut.

Das EGovG regelt die rechtlichen Rahmenbedingungen für die Digitalisierung der Bundesverwaltung. Dort heißt es konkret: „Die Behörden des Bundes sollen offene Standards nutzen und bei neu anzuschaffender Software Open-Source-Software vorrangig vor solcher Software beschaffen, deren Quellcode nicht öffentlich zugänglich ist oder deren Lizenz die Verwendung, Weitergabe und Veränderung einschränkt.“

Dennoch gebe es immer wieder Ausschreibungen explizit für Hyperscaler, so Domscheit-Berg. Ein Beispiel dafür sei die aktuelle Ausschreibung des Bundesministeriums für Wirtschaft und Energie für Clouddienste von Amazon, die beim Betrieb der deutschen Forschungszentrale zum Einsatz kommen sollen. Der Deutschland-Stack müsse so etwas künftig verhindern. Andernfalls riskiere man, dass sich Konzerne wie Microsoft, Amazon und Google im Stack fest einrichten und sich so die technologische Abhängigkeit von ihnen verfestigt. „Wenn man den Deutschland-Stack abschalten kann, zwingt man die öffentliche Verwaltung in die Knie“, warnt Domscheit-Berg.

Marktrelevanz ist dem Digitalministerium wichtig

Das Digitalministerium will die Angebote der Tech-Konzerne für den Deutschland-Stack aber offenbar nutzen. Heiko Hartenstein, Referent und Leiter Architekturmanagement Dienstekonsolidierung im Digitalministerium, räumt dem Kriterium der Marktrelevanz klar Vorrang ein. Das Ministerium verfolge das Ziel, „möglichst schnell und einfach digitale Angebote zu schaffen“. Dabei gehe es darum, „das abzuholen, was schnell verfügbar ist“, so Hartenstein beim Workshop der OSBA. Gerade Hyperscaler könnten hier punkten.

Das Digitalministerium will nun bis Mitte Februar die Ergebnisse der Konsultation und der Workshops auswerten und das Konzept des Deutschland-Stacks überarbeiten. Spätestens dann wird sich wohl zeigen, ob sich das Ministerium die Kritikpunkte aus dem Workshop zu Open Source zu Herzen nimmt oder nicht.



Source link

Datenschutz & Sicherheit

Patchday bei Adobe: After Effects & Co. für Schadcode-Attacken anfällig


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Adobe hat seine Anwendungen Bridge, After Effects, Audition, DNG Software Development Kit (SDK), InDesign, Lightroom Classic, Substance 3D Designer, Substance 3D Modeler und Substance 3D Stager repariert. Wer die Sicherheitsupdates nicht installiert, riskiert, dass Angreifer Schadcode auf Computern ausführen. Adobe gibt an, dass ihnen derzeit keine Hinweise auf Angriffe vorliegen.

Weiterlesen nach der Anzeige

Der Softwarehersteller stuft den Großteil der Sicherheitslücken als „kritisch“ ein. In den meisten Fällen sind die Versionen für macOS und Windows verwundbar, und Angreifer können Schadcode ausführen. Das führt in der Regel zur vollständigen Kompromittierung von Systemen.

Beispiele dafür sind etwa Schwachstellen in Substance 3D Stager (CVE-2026-21341hoch“) und After Effects (CVE-2026-21318hoch“). Damit Schadcode auf Systeme gelangen kann, müssen Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler auslösen (etwa Use After Free).

Adobes Entwickler versichern, die Sicherheitsprobleme in den folgenden Versionen gelöst zu haben:

  • Bridge 15.1.4 (LTS, 16.0.2 (macOS, Windows)
  • After Effects 25.6.4, 26.0 (macOS, Windows)
  • Audition 25.6, 26.0 (macOS, Windows)
  • DNG Software Development Kit (SDK) DNG SDK 1.7.2 build 2410 (alle Plattformen)
  • InDesign ID20.5.2, ID21.2 (macOS, Windows)
  • Lightroom Classic 14.5.2 LTS, 15.11 (alle Plattformen)
  • Substance 3D Designer 15.1.2 (alle Plattformen)
  • Substance 3D Modeler 1.22.6 (alle Plattformen)
  • Substance 3D Stager 3.1.7 (macOS, Windows)


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Patchday Microsoft: Angreifer nutzen Windows- und Word-Lücken aus


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Derzeit nutzen Angreifer insgesamt sechs Sicherheitslücken in Internet Explorer, Windows und Word aus. Im schlimmsten Fall gelangt Schadcode auf PCs und Angreifer erlangen die volle Kontrolle. Um Systeme vor Attacken zu schützen, müssen Admins sicherstellen, dass Windows Update aktiv ist und die aktuellen Sicherheitspatches installiert sind. In welchem Umfang die Attacken ablaufen, führt Microsoft derzeit nicht aus.

Weiterlesen nach der Anzeige

Angreifer umgehen etwa im Kontext von Windows Shell den Schutzmechanismus SmartScreen (CVE-2026-21510hoch“). Dieser Ansatz warnt etwa vor dem Öffnen potenziell gefährlicher Anwendungen. Ist dieser Filter deaktiviert, könnten mit Schadcode verseuchte Apps ohne Warnung starten. Damit eine solche Attacke klappt, muss ein Opfer aber mitspielen und einen von einem Angreifer präparierten Link öffnen.

Im Fall einer Word-Lücke (CVE-2026-21514hoch“) müssen Opfer ebenfalls ein manipuliertes Dokument öffnen. Im Anschluss kommt es zur Ausführung von Schadcode. Die verbleibenden attackierten Lücken betreffen Desktop Windows Manager (CVE-2026-21519hoch“), Windows Remote Desktop (CVE-2026-21533hoch“), Internet Explorer (CVE-2026-21513hoch“) und Windows Remote Access (CVE-2026-21525mittel“). Sind Attacken in diesen Fällen erfolgreich, führt das zu Abstürzen (DoS) oder Angreifer verschaffen sich höhere Nutzerrechte.

Die US-Cybersicherheitsbehörde CISA hat alle sechs Sicherheitslücken in ihren Katalog der „Known Exploited Vulnerabilities“ aufgenommen.

Weiterhin hat Microsoft Schwachstellen in unter anderem Azure, GitHub Copilot, Defender und Windows NTLM geschlossen. Hier kann Schadcode auf Systeme gelangen. Es können aber auch Informationen leaken.

Weiterführende Informationen zu den Sicherheitslücken und Updates listet Microsoft im Security Update Guide auf.

Weiterlesen nach der Anzeige


Update

11.02.2026,

09:16

Uhr

Hinweis auf CISA KEV ergänzt.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Hälfte der Deutschen will Verbot der Plattform X bei weiteren Rechtsverstößen



Laut einer repräsentativen Umfrage des Instituts YouGov im Auftrag on People vs Big Tech und HateAid fordern knapp 70 Prozent der Deutschen, dass die EU mehr Maßnahmen ergreifen soll, wenn Elon Musks Plattform X weiterhin gegen bestehendes Recht verstößt. Gefragt nach den Maßnahmen unterstützte ein knappes Viertel der Befürworter:innen Geldstrafen, 21 Prozent forderten einen Ausschluss der Plattform vom europäischen Markt und mehr als die Hälfte forderte Geldstrafen sowie einen Ausschluss aus dem Markt. Ein solcher Ausschluss wäre gleichbedeutend mit einem Verbot der Plattform in Europa.

Zusammengerechnet befürwortet also etwa die Hälfte der befragten Deutschen ein Verbot der Plattform, die vor dem Kauf durch Elon Musk einmal das wichtigste Nachrichten- und Informationsnetzwerk der Welt war. In anderen europäischen Ländern wie Frankreich, Spanien, Polen und Italien liegt die Rate nur etwas darunter. Generell befürworten mehr Frauen als Männer harte Maßnahmen gegen X. Befragt wurden jeweils etwa 1.000 Personen aus diesen Ländern.

Würde sich die EU-Kommission tatsächlich für einen Ausschluss von X vom europäischen Markt entscheiden, hätte dies gravierende und umstrittene Folgen: Um so ein Verbot durchzusetzen, müsste die X-App aus europäischen App-Stores verbannt und der Zugang zur Webversion der Plattform mit Zensurmaßnahmen wie Netzsperren erschwert werden. Die Eindämmung der demokratieschädigenden, rassistischen und sexistischen Plattform X würde also mit schwerwiegenden Grundrechtseinschränkungen erkauft.

Niedergang von Twitter zu X

Hintergrund der Umfrage ist der Niedergang der Plattform X und zunehmend auch Rechtsverstöße. Ende Januar hat die EU-Kommission ein weiteres Verfahren gegen den Kurznachrichtendienst X eingeleitet. Dabei will sie prüfen, ob das eng mit dem KI-Chatbot Grok verzahnte soziale Netzwerk gegen den Digital Services Act (DSA) verstoßen hat. Der Kommission zufolge ist unklar, ob der Online-Dienst vor dem Ausrollen des Produkts damit verbundene Risiken untersucht hat. Der Chatbot hatte laut Medienberichten im Zusammenspiel mit X Millionen sexualisierter Deepfakes, hauptsächlich von Frauen, aber auch von Kindern erzeugt.

Wir sind communityfinanziert

Unterstütze auch Du unsere Arbeit mit einer Spende.

Der neuerliche Skandal der Plattform reiht sich ein in eine Kette des Niedergangs, die mit dem Kauf der Plattform durch den rechtsradikalen Milliardär Elon Musk im Jahr 2022 begann. Kurz nach dem Kauf entließ er ganze Moderationsteams und holte im Namen der Meinungsfreiheit zuvor gesperrte Rechtsextremisten, Trolle und professionelle Lügner:innen auf den Dienst zurück. Werbekunden sprangen ab, da sie offenbar ihre Anzeigen ungern neben Nazi-Inhalten sehen wollten. Musk akzeptierte das nicht und überzog die Abtrünnigen mit Klagen.

Der Umbau von X zu einer offen rassistischen und sexistischen Plattform geht Hand in Hand mit Musks Unterstützung für rechtsradikale und antidemokratische Bewegungen, hierzulande die AfD. Der Unternehmer macht kein Geheimnis daraus, sein soziales Netzwerk in den Dienst einer rechtsradikalen Revolution zu stellen.

Im Vorjahr zeigte eine Untersuchung von ZDF Frontal, dass die Empfehlungsalgorithmen von X rechte Parteiinhalte überproportional bevorzugen. Bei rassistisch motivierten Ausschreitungen im Sommer 2024 in England hat laut einer Studie von Amnesty International das Empfehlungssystem von X „eine zentrale Rolle“ gespielt. Auch die EU-Kommission vermutet, dass von den algorithmischen Empfehlungen systemische Risiken ausgehen könnten, hat ihre Untersuchungen aber noch nicht abgeschlossen.



Source link

Weiterlesen

Beliebt