Der Deutsche Ethikrat hat Empfehlungen zum Schutz von Kindern und Jugendlichen im Netz vorgelegt. Die Expert*innen sprechen sich ausdrücklich gegen ein Social-Media-Verbot für Minderjährige nach australischem Vorbild aus. Stattdessen sollen Plattformen digitale Räume sicherer gestalten. Bei Alterskontrollen zieht der Ethikrat strenge Linien: Er lehnt Verfahren ab, bei denen Daten das Gerät von Nutzer*innen verlassen.

Hintergrund ist die internationale Debatte um Kinder- und Jugendschutz im Netz. Spitzenpolitiker*innen in Bund, Ländern und der EU fordern ein Social-Media-Verbot für Minderjährige, darunter EU-Kommissionspräsidentin Ursula von der Leyen (CDU). Bundestagspräsidentin Julia Klöckner (CDU) hatte den Ethikrat um Stellungnahme gebeten.

Der Ethikrat ist laut Gesetz unabhängig. Die 26 Mitglieder sollen demnach „naturwissenschaftliche, medizinische, theologische, philosophische, ethische, soziale, ökonomische und rechtliche Belange in besonderer Weise repräsentieren“ und ein „plurales Meinungsspektrum“ vertreten. Berufen werden sie nach Vorschlägen von Bundesregierung und Bundestag für vier Jahre. Mitautorin und Sprecherin der neuen Stellungnahme ist Judith Simon, Professorin an der Universität Hamburg zur Ethik in der Informationstechnologie.

Das 50-seitige Papier des Ethikrats ist der bisher sorgfältigste und ausführlichste Beitrag zur Debatte in Deutschland. Maßstab sei das Kindeswohl im Sinne der UN-Kinderrechtskonvention, schreiben die Expert*innen. Differenziert gehen sie auf die Grundrechte junger Menschen ein und warnen vor den Folgen von Alterskontrollen. Am Ende geben sie politische Empfehlungen. Der Überblick.

Klares „Nein“ zum Social-Media-Verbot

Soll für Social Media ein gesetzliches Mindestalter eingeführt werden? Um diese Frage kreist die Debatte seit Monaten. „Der Ethikrat beantwortet sie mit nein“, sagt der Vorsitzende des Ethikrats Helmut Frister. Dafür nennt der Ethikrat vier Gründe.

• Erstens: Das Problem liegt nicht pauschal bei sozialen Medien, wie aus dem Papier hervorgeht, sondern bei konkreten Merkmalen „wie zum Beispiel Endlos-Feeds“. Statt junge Menschen auszusperren sollen unter anderem schädliche Funktionen verboten werden.
• Zweitens: Das Alter allein sagt zu wenig aus. Kinder gleicher Altersgruppen würden sich „in ihrem Reifegrad“ mitunter deutlich voneinander unterscheiden, schreiben die Expert*innen.
• Drittens: Nicht nur auf sozialen Medien gibt es Risiken, sondern auch bei vielen anderen digitalen Diensten. Konkret nennt der Ethikrat etwa Messenger, Spiele, Streaming-Plattformen, Chatbots und Bildgeneratoren. Zudem könnten junge Menschen ein Verbot einfach umgehen, wie erste Erfahrungen aus Australien zeigen würden.
• Viertens: Ein Mindestalter würde Teilhabe, Entwicklung und Medienkompetenz junger Menschen beeinträchtigen. Mit sozialen Medien würden sie unter anderem Freundschaften pflegen, „emotionale Unterstützung und Zugehörigkeit erleben“. Hinzu kommt, dass Eltern laut Grundgesetz das Recht haben, selbst über die Erziehung zu entscheiden – also auch darüber, wann sie ihrem Kind welche digitalen Angebote zutrauen. Ein Mindestalter würde „auf unverhältnismäßige Art und Weise in das Recht der Eltern eingreifen“.

Besser regeln, besser durchsetzen

Der Ethikrat belässt es nicht beim Nein zum Social-Media-Verbot, sondern beschreibt Alternativen. Eine zentrale Rolle spielen strenge Regeln für Online-Dienste. „Anbieter müssen für Minderjährige zugängliche digitale Räume so gestalten, dass Kinder und Jugendliche effektiver geschützt werden als bisher“, schreibt der Ethikrat. Konkreter Vorschlag:

Zu exzessiver Nutzung anreizende Funktionen digitaler Angebote sollten generell verboten werden.

So sollen Anbieter auf „süchtig machende Funktionen“ verzichten, auf „algorithmisch gesteuerte Feeds oder Empfehlungssysteme“; auf Profiling und Tracking. Es brauche zudem Blockier- und Meldefunktionen sowie sichere Voreinstellungen, etwa wer wen kontaktieren kann. Einen Rechtsrahmen dafür gibt es schon, vor allem das EU-Gesetz über digitale Dienste (DSA). Erste DSA-Verfahren, etwa gegen TikTok, laufen gerade an. Der Ethikrat rät, unter anderem den DSA „konsequent“ auszuschöpfen.

Jenseits des DSA sieht der Ethikrat Schutzlücken, und zwar bei Angeboten, die nicht unter die im Gesetz definierten digitalen Dienste fallen. Als Beispiel nennt der Ethikrat generative KI, dazu gehören etwa Chatbots wie ChatGPT, Bild- und Videogeneratoren. Zwar gebe es dafür die KI-Verordnung, dort würden aber Vorgaben zum Jugendschutz fehlen.

Schließen lassen sich solche Lücken etwa mit dem von der EU-Kommission geplanten Gesetz über digitale Fairness (Digital Fairness Act, DFA). Mehrfach verweist auch der Ethikrat darauf. Das Besondere am DFA: Er nimmt nicht Minderjährige in den Blick, sondern alle. Passend dazu halten die Expert*innen fest: Digitale Angebote sollten „für alle Menschen so gestaltet werden, dass sie systemische Risiken minimieren“. Denn die zugrunde liegenden Geschäftsmodelle könnten nicht nur Kindern und Jugendlichen schaden.

Eltern stärken

Eine zentrale Rolle in den Empfehlungen des Ethikrats spielen Eltern. Einfach ausgedrückt sollen nicht etwa flächendeckende Alterskontrollen verhindern, dass junge Menschen eine potenziell schädliche Plattformen nutzen, sondern: Mama und Papa oder andere Erziehungsberechtigte. Der Ethikrat verschiebt damit den Fokus von technischer Kontrollinfrastruktur zu menschlicher Fürsorge.

„Der Zugang zu digitalen Angeboten sollte auf einer ersten Stufe durch die Eltern geregelt werden“, schreiben die Expert*innen. Sie seien zuständig für das „Ausbalancieren“ von Schutz, Teilhabe und Befähigung. „Die Eltern haben dabei einen Gestaltungsspielraum, der erst überschritten ist, wenn das Kindeswohl konkret gefährdet wird.“

Der Ethikrat erkennt an, dass Eltern damit keine leichte Aufgabe haben. „Selbst bei vorhandenen Ressourcen gibt es sicherlich Eltern, die – um Zeit und vor allem Nerven zu sparen – den Weg des geringsten Widerstands gehen und die digitalen Aktivitäten ihrer Kinder nicht oder nur unzureichend kontrollieren.“ Mehrere Maßnahmen sollen Eltern deshalb stärken:

• Bessere digitale Werkzeuge. Eltern sollen mit passenden Kontroll-Werkzeugen „den Zugang zu Apps, Funktionen und Inhalten sowie die Gesamtnutzungszeit einfach, sicher und passgenau beschränken können“, und zwar „mit überschaubarem Aufwand“.
• Mehr Unterstützung. Es brauche „eindringliche Aufklärung“, auch für „technisch wenig versierte Eltern“. Und wenn Eltern es nicht selbst schaffen, könne etwa die Familienhilfe „Digitalpat*innen“ vermitteln.
• Bessere Altersempfehlungen. Welches digitale Angebot ist für Kinder geeignet? Eltern sollten sich hier nicht auf die Altersangaben der Anbieter verlassen müssen. Anerkannte Organisationen wie die Freiwillige Selbstkontrolle könnten vermehrt Angebote bewerten.

Strenge Linien für Alterskontrollen

Ausführlich geht der Ethikrat auf Probleme und Gefahren von Alterskontrollen ein. Sie sind ein zentraler Aspekt der Debatte, denn wer ein Social-Media-Verbot fordert, will das in der Regel mit strengen Alterskontrollen durchsetzen. Die EU-Kommission schafft mit der geplanten Alterskontroll-App („Mini-Wallet“) gerade die Infrastruktur für EU-weite Alterskontrollen im Netz.

Der Deutsche Ethikrat tritt hier auf die Bremse. Die Mini-Wallet habe „Schwächen in Bezug auf Sicherheit, Datenschutz und Effektivität“, schreiben die Expert*innen. Sie sei „abzulehnen“. Das ist eine Klatsche für die EU-Kommission, die mit der Mini-Wallet einen „Goldstandard“ für sichere und datensparsame Alterskontrollen setzen wollte.

Die Kritik der Expert*innen an Alterskontrollen ist jedoch grundlegender. „Einer Forderung nach perfekter Wirksamkeit würde kein System genügen“, schreiben sie. Zugleich könne es „ein falsches Gefühl der Sicherheit erzeugen“, wenn man ignoriert, wie leicht sich Alterskontrollen umgehen lassen. Genau das tun Befürworter*innen von Alterskontrollen jedoch immer wieder, wenn sie die Systeme als wirksam und robust beschreiben.

„Mit der verpflichtenden Nutzung von Altersbestimmungstechnologien ist zudem die Sorge verbunden, dass dies ein weiterer Schritt auf dem Weg zum Ende eines frei zugänglichen, offenen Internets wäre“, schreibt der Ethikrat weiter. Die Expert*innen warnen ausdrücklich vor „Missbrauch und Zensur“:

Die Technologien sind Instrumente zur Unterscheidung und unterschiedlichen Behandlung von Nutzergruppen. Als solche können sie auch zweckentfremdet werden, und zwar sowohl zur Beschränkung des Zugangs für weitere Gruppen als auch des Zugangs zu anderen Inhalten, zum Beispiel zu Materialien zur sexuellen Aufklärung oder gar zu solchen, die politisch unerwünscht sind. Aufgrund dieser breiten Einsatzmöglichkeiten kann nicht ausgeschlossen werden, dass die Altersbestimmungstechnologien als Zensurinstrument missbraucht werden.

Eine der wichtigsten Methoden für Alterskontrollen basiert auf Papieren, die das Alter belegen, etwa ein Ausweis. Das setzt jedoch Dokumente voraus „über die bestimmte Gruppen gegebenenfalls nicht verfügen“, mahnt der Ethikrat. Eine weitere wichtige Methode sind Schätzungen. Hierfür scannt eine Software etwa das Gesicht oder das Verhalten einer Person auf einer Plattform. Dabei warnt der Ethikrat vor „systematischen Verzerrungen in zwei Richtungen“. Einfach ausgedrückt kann eine solche Software Erwachsene zu Unrecht aussperren – oder junge Menschen zu Unrecht durchlassen.

Nicht zuletzt würden viele Methoden der Alterskontrolle die Privatsphäre gefährden. „Viele Ansätze erfordern die Preisgabe sensibler Daten und/oder das Auslesen von Nutzungsdaten und Inhalten durch die Anbieter. Von besonderer Sensibilität sind hier biometrische Daten“, schreibt der Ethikrat.

Der Pudding wird uns auf die Füße fallen

Das Fazit: Der Ethikrat spricht sich „gegen den Einsatz von Technologien zur Altersableitung oder Altersschätzung aus, bei denen Daten das Endgerät der Nutzerinnen und Nutzer verlassen“.

Diese Empfehlung beißt sich mit der aktuellen Praxis in Deutschland. Regelmäßig bewertet die Kommission für Jugendmedienschutz (KJM) Systeme zur Alterskontrolle als „positiv“, bei denen Nutzer*innen ihre Daten einem externen Anbieter anvertrauen müssen. Das heißt: Anbieter in Deutschland nutzen derzeit Alterskontrollen, von denen der Ethikrat abrät.

„Verpflichtende“ Alterskontrollen dennoch möglich

Spielraum für Alterskontrollen im Netz sieht der Ethikrat dennoch. Zwar sollten Kontrollen durch Eltern der Standard sein. Aber: „Alterskontrollverfahren auf Geräteebene können ergänzend eingesetzt werden.“ Diese Kontrollen könnten „je nach Einsatzgebiet“ sogar „verpflichtend“ sein.

Der Ethikrat zählt nicht genau auf, wovor solche Alterskontrollen schützen sollen. Mindestens geht es um Inhalte, die Minderjährigen „bereits nach dem Strafgesetzbuch“ nicht zugänglich gemacht werden dürfen, also unter anderem Pornos.

Ablaufen könnten die Alterskontrollen nach Auffassung des Ethikrats per „Altersschätzung durch die Kamera“ oder per „Verifikation mit offiziellen Dokumenten“. An dieser Stelle wirken die Empfehlungen allerdings nicht schlüssig: Beide Verfahren hatte der Ethikrat zuvor kritisiert. Bei Altersschätzung drohen „systematische Verzerrungen in zwei Richtungen“; Verifikation mit Dokumenten schließt Menschen aus, die solche Dokumente nicht haben. Es fehlt die Abwägung, warum die Expert*innen solche Nachteile dennoch in Kauf nehmen würden. Auch auf die Gefahr von „Missbrauch und Zensur“ gehen sie hier nicht näher ein.

Jedenfalls müssten sensible Daten auf dem Gerät bleiben. Das Gerät dürfe nur das relevante Alterssignal übermitteln. Der Ethikrat fordert hierfür „konkrete technische Anforderungen“ per Gesetz. Der Verweis auf Prinzipien wie Datenschutz sei „zu abstrakt“.

Eine Empfehlung unter Vorbehalt spricht der Ethikrat für die geplante digitale Brieftasche der EU („EUDI-Wallet“) aus, mit der Menschen in der EU künftig unter anderem ihr Alter nachweisen sollen. Die Bedingung: Die Brieftasche müsse die Vorgaben der eIDAS‑2.0‑Verordnung „vollständig“ erfüllen. Hinter der Abkürzung steckt das Gesetz, das der Brieftasche zugrunde liegt.

Mehr Kontext zu dem Vorbehalt liefert der Ethikrat nicht, allerdings rüttelt die EU-Kommission derzeit am Schutzniveau der EUDI-Wallet. Kritiker*innen fürchten um die Privatsphäre. Ein weiterer Fallstrick: Die digitale Brieftasche darf laut Gesetz nur „freiwillig“ sein, es muss also Alternativen geben. Bloß, welche? Der vom Ethikrat gesteckte Spielraum ist eng.

Wendet sich das Blatt?

Die Bundesregierung hatte im April mitgeteilt, noch keine gemeinsame Position zum Social-Media-Verbot zu haben. Die Empfehlungen des Ethikrats fallen in eine Zeit, in der die breite Kritik an Social-Media-Verbot und Alterskontrollen anscheinend auch bei der Bundesregierung verfängt:

• Mitte Mai hatte Bundeskanzler Friedrich Merz (CDU) nach anfänglichen Sympathien für das Konzept ausdrücklich „Nein“ zu einem Social-Media-Verbot gesagt.
• Wenig später hatte sich Innenminister Alexander Dobrindt (CSU) kritisch geäußert, und damit die Position seines Parteichefs Markus Söder gestützt.
• Familienministerin Karin Prien (CDU) wollte im Mai nicht von einem „Verbot“ sprechen und hielt sich im Gespräch mit Interessierten alle Optionen offen.
• Digitalminister Karsten Wildberger (CDU) konnte dem australischen Modell im Dezember noch „eine Menge abgewinnen“ – sagte jedoch vor wenigen Tagen, ein Social-Media-Verbot für Minderjährige sei „besser als nichts“, während Schutz „innerhalb“ des Designs von Plattformen „am nachhaltigsten“ sei.

All das heißt jedoch nicht, dass sich das Blatt wendet. Denn Forderungen nach einem Social-Media-Verbot für Minderjährige gibt es EU-weit. Die jüngsten Äußerungen von Unions-Politiker*innen zeigen: Zumindest in Deutschland wachsen die Bedenken.

Der Ethikrat hat dafür Argumente geliefert. In Kürze sollen zwei weitere Expert*innen-Gremien auf Deutschland- und EU-Ebene wissenschaftlich fundierte Empfehlungen vorlegen, zuerst das deutsche Gremium am 24. Juni.

Eine kritische Sicherheitslücke betrifft Oracles PeopleSoft Enterprise PeopleTools. Angreifer können sie ohne vorherige Anmeldung missbrauchen und am Ende eingeschleusten Schadcode ausführen. Admins sollten die Software zügig aktualisieren.

Ein knapper Blog-Eintrag in Oracles Security-Blog weist auf die Lücke hin. Eine Warnmeldung außerhalb der regulären geplanten Patchdays liefert etwas weiter reichende Einsichten. Demnach betrifft die Sicherheitslücke Oracle PeopleSoft PeopleTools und möglicherweise Oracle PeopleSoft Enterprise Applications. Aus der Risiko-Matrix lässt sich ablesen, dass Angreifer aus dem Netz die Schwachstelle ohne vorherige Authentifizierung mit HTTP-Paketen ausnutzen können (CVE-2026-35273, CVSS 9.8, Risiko „kritisch“).

Wie solche Angriffe aussehen könnten, erörtert Oracle nicht. Sie wurde jedoch von Trend Micros Zero-Day-Initiative (ZDI) gemeldet. Oracle empfiehlt IT-Verantwortlichen dringend, die Maßnahmen zum Ausbessern des Problems mit hoher Priorität anzugehen. Ein Dokument, das die Installationsanleitung und möglicherweise temporäre Gegenmaßnahmen enthält, erfordert einen Login mit Oracle-Konto.

IT-Verantwortliche sollten rasch reagieren

Dass Oracle eine Sicherheitswarnung außerhalb der typischen Quartals-Patchdays namens „Critical Patch Update“ (CPU) und den im Mai neu eingeführten monatlichen „Critical Security Patch Update“ (CSPU) herausgibt, liefert einen Hinweis auf die Dringlichkeit, die der Hersteller sieht. Zwar steht in der Sicherheitsmitteilung nichts darüber, dass die Sicherheitslücke bereits angegriffen würde, jedoch sind Angriffe offenbar leicht auszuführen und der potenzielle Schaden groß. Möglicherweise ist das auch das Ergebnis aus den Erkenntnissen zu den Angriffen auf Sicherheitslücken in Oracles E-Business-Suite im vergangenen Herbst. Dabei hatten Cybergangs sensible Daten von Unternehmen kopiert und diese im Anschluss um Lösegeld erpresst.

(dmk)

Bei manchen Themen suchen sich die Hosts des heise-security-Podcasts auswärtige Hilfe, zum Beispiel beim kürzlichen Ausfall weiter Teile der Top-Level-Domain .de. DNSSEC-Experte Carsten Strotmann springt Sylvester und Christopher bei und erklärt, wo das Problem lag. Außerdem befasst sich die Folge mit der Sicherheitslücke YellowKey, dem Drama um dessen Entdecker und ganzen vier weiteren Themen. Um die alle in die Folge zu quetschen, greifen die Hosts zu einem neuen Trick.

Der kurze, aber folgenreiche Ausfall beim DENIC betraf alle Nutzer von DNSSEC-validierenden Resolvern – so viel war schnell klar. Doch was den Ausfall verursachte und was die deutsche Vergabestelle für Domains daraus gelernt hat, erläutert Carsten im ersten Teil des Podcasts. Er ist ausgewiesener DNSSEC-Experte und arbeitet seit 20 Jahren mit dem kryptografischen Protokoll zur Absicherung von DNS-Einträgen.

Nachdem der Experte das virtuelle Studio wieder verlassen hat und die Stammhosts unter sich sind, geht es zunächst um cow.fi. Der DeFI-Anbieter war aufgrund eines Kommunikationslapsus zwischen Domainvergabestelle („Registry“) und Domainanbieter („Registrar“) kurzzeitig seine Domain los – auf dieser erschien eine Phishingseite und Kriminelle erbeuteten damit Kryptoguthaben im Wert von 1,2 Millionen US-Dollar. Außerdem besprechen die Hosts YellowKey, eine Sicherheitslücke, die die Bitlocker-Verschlüsselung angreift. Ob sie eine echte Umgehung der Festplattenverschlüsselung unter Windows erlaubt, ist Gegenstand einer Diskussion (nicht nur) im Passwort-Podcast.

Da es erneut viel mehr Themen in der Security-Welt gab, als den Hosts Aufnahmezeit zur Verfügung steht, haben sie sich ein neues Format ausgedacht: In der „Fünf-Minuten-Challenge“ erzählen sie dieses Mal drei weitere Themen in insgesamt knapp 900 Sekunden. Genug Zeit, um spaßige Details zur Fail-Zwiebel beim Cloud-Hoster Railway, eine Einordnung zu Signals Caching-Problem und eine Fortsetzung zu Googles Zero-Knowledge-Proof in der Quantenforschung unterzubringen.

Die neue Folge von „Passwort – der Podcast von heise security“ steht seit Mittwoch auf den üblichen Podcast-Plattformen bereit.

(cku)