Microsoft hat zwei neue Sicherheitsinitiativen für Windows angekündigt. Konkret sollen „Windows Baseline Security Mode“ und „User Transparency and Consent“ das Betriebssystem künftig besser vor unerwünschten Änderungen durch Anwendungen – also Schadsoftware – schützen.

Die Neuerungen sind Teil der unternehmensweiten Secure Future Initiative (SFI) und der Windows Resiliency Initiative. Laut Microsoft sollen Anwendungen nicht mehr ohne Wissen der Nutzer deren Einstellungen überschreiben, zusätzliche Software installieren oder Kernfunktionen des Betriebssystems ändern.

Runtime-Integritätsschutz standardmäßig aktiv

Der Windows Baseline Security Mode aktiviert Runtime-Integritäts-Safeguards standardmäßig. Das System lässt dann nur noch signierte Anwendungen, Dienste und Treiber zu. Das soll vor Manipulationen oder unbefugten Änderungen schützen. Nutzer und IT-Administratoren können bei Bedarf Ausnahmen definieren. Entwickler sollen APIs erhalten, um den Status der Schutzfunktionen abzufragen und auf Exceptions zu prüfen.

Die zweite Initiative, User Transparency and Consent, führt Zustimmungsabfragen ein – ähnlich wie man sie von Smartphones kennt. Windows fragt künftig also nach, wenn Apps auf sensible Ressourcen wie das Dateisystem, die Kamera oder das Mikrofon zugreifen wollen. Auch die Installation unerwünschter Software soll nicht mehr ohne explizite Zustimmung möglich sein. Nutzer können ihre Entscheidungen jederzeit überprüfen und ändern.

Stufenweise Einführung geplant

Microsoft plant eine schrittweise Einführung der neuen Security-Maßnahmen – laut Ankündigung in Partnerschaft mit Entwicklern, Unternehmen und Partnern. Zunächst sollen Nutzer und IT-Abteilungen bessere Einblicke in App-Zugriffe erhalten. Parallel werden Tools und APIs für Entwickler bereitgestellt. Wie genau der Zeitplan aussieht, ist aktuell noch nicht bekannt.

(fo)

Bis zu ihrem 16. Geburtstag dürfen Kinder und Jugendliche in Australien keine Accounts auf Instagram, TikTok, YouTube oder Reddit haben. Seit dem 10. Dezember 2025 dürfen sie dort nichts liken, kommentieren oder gar selbst hochladen. Inhalte hinter einer Log-in-Schranke können sie sich nicht anschauen. Außer natürlich sie umgehen das Verbot mit simplen Werkzeugen wie VPN-Diensten.

Dieses australische Modell fordern inzwischen auch führende Politiker*innen in Deutschland und Europa. Zu den prominenteren Befürwortern gehört der französische Präsident Emmanuel Macron. Ende Januar hat ein französisches Gesetz die erste Hürde in der Nationalversammlung genommen, dem Unterhaus des Parlaments. Ähnliche Vorstöße gibt es auch in Spanien, Griechenland und Österreich.

In Deutschland hat die Bundesregierung zunächst eine Expert*innen-Kommission eingerichtet. Sie soll „Schritte für einen effektiven Kinder- und Jugendmedienschutz prüfen“. Dennoch ist die Debatte um ein Verbot bereits heißgelaufen. Sobald einzelne deutsche Politiker*innen das Social-Media-Verbot befürworten, machen Nachrichtenmedien daraus eine Schlagzeile.

Währenddessen setzt die EU-Kommission bereits bestehende Jugendschutz-Regeln weiter um. Jüngst hat sie deshalb ein Verfahren gegen TikTok gestartet. Im Visier: Das süchtig machende Design der Plattform, deren algorithmisch sortierte Feeds für ihre Sogwirkung bekannt sind. Grundlage ist das Gesetz über digitale Dienste (DSA), das darauf abzielt, Plattformen so zu gestalten, dass Kinder und Jugendliche dort sicherer unterwegs sind.

Ein aufmerksamer Beobachter der Politik rund um Jugendschutz im Netz ist der Medienrechtler Stephan Dreyer. Am Leibniz-Institut für Medienforschung beschäftigt er sich damit, was es heißt, mit digitalen Medien aufzuwachsen. Im Interview erklärt er, warum nationale Social-Media-Verbote in der EU auf tönernen Füßen stehen – und warum er ein Verbot für Minderjährige trotzdem kommen sieht.

„Es geht um die mentale Krise der Jugend“

netzpolitik.org: Stephan Dreyer, warum wollen alle Social Media für Minderjährige verbieten?

Stephan Dreyer: Das Thema kocht gerade global hoch. Zumindest medial wird kolportiert, dass wir eine mentale Krise der Jugend hätten. Demnach sind soziale Medien im schlimmsten Fall an dieser Krise schuld, im besten Fall sollen sie eine Mitschuld tragen. Als erstes ist Australien vorgeprescht. Seit dem 10. Dezember gibt es dort ein Social-Media-Verbot für unter 16-Jährige. Seitdem gibt es viele ähnliche Vorstöße, auch in Europa. Was mich daran überrascht, ist, wie entkoppelt der politische Diskurs von Rechtslage und Forschungslage stattfindet.

netzpolitik.org: Wie ist denn die Forschungslage?

Stephan Dreyer: Komplex. Es ist unglaublich schwer, Mediennutzung als kausale Ursache psychischer Erkrankungen nachzuweisen. Es verdichten sich allerdings Hinweise, dass bestimmte Nutzungsformen mit bestimmten Erkrankungen zusammenhängen. Zum Beispiel hängt negatives Körperbefinden stark zusammen mit dem sozialen Vergleich auf Social Media. Ein anderes Beispiel sind körperliche Beeinträchtigungen durch Schlafmangel, wenn Kinder und Jugendliche spät abends soziale Medien nutzen. Studien zeigen zwar die Zusammenhänge, aber wir wissen nicht, ob sie kausal sind. Andererseits hat der Staat auch eine Vorsorgeaufgabe, was das gute Aufwachsen von Kindern angeht.

netzpolitik.org: Ist das australische Modell eine gute Vorsorge?

Stephan Dreyer: Das wissen wir nicht. Es ist bisher nichts weiter passiert, als dass sich Plattform-Anbieter an das neue Gesetz gehalten und mehrere Millionen Accounts gelöscht und deaktiviert haben. Von einem Erfolg des Gesetzes lässt sich deshalb nicht sprechen. Denn es geht ja um die mentale Krise der Jugend. Bis wir hierzu Ergebnisse sehen, brauchen wir jede Menge gute Forschung und auch ein bisschen Zeit.

Nationales Social-Media-Verbot „nicht anwendbar“

netzpolitik.org: EU-Staaten wie Frankreich, Österreich, Spanien und Griechenland wollen nicht warten. Sie wollen das australische Modell. Und zwar sofort. Geht das?

Stephan Dreyer: Es gibt drei Hürden. Die erste ist die Frage, ob Mitgliedstaaten überhaupt ein tatsächlich anwendbares Social-Media-Verbot für Minderjährige einführen können. Das hängt mit dem bestehenden Europarecht zusammen. Dafür muss man in den Digital Services Act (DSA) schauen, der als Verordnung unmittelbar in allen Mitgliedstaaten gilt. Er ist vollharmonisierend, das heißt, er soll den unmittelbaren und abschließenden Rechtsrahmen für Plattform-Governance in der ganzen EU darstellen. Mitgliedstaaten haben also keine Spielräume, nationale Vorschriften für Online-Plattformen zu erlassen, die die gleichen Ziele wie der DSA verfolgen.

netzpolitik.org: Bevor wir über die anderen beiden Hürden sprechen – habe ich das richtig verstanden, ein einzelner EU-Staat darf gar kein nationales Social-Media-Verbot einführen?

Stephan Dreyer: Doch. Das Gesetz darf beschlossen werden. Aber es ist nicht anwendbar.

netzpolitik.org: Man darf das Gesetz haben, aber nichts damit machen?!

Stephan Dreyer: Genau. Der DSA hat als vollharmonisierendes EU-Recht sogenannten Anwendungsvorrang. Die Frage ist aber, was geschieht, wenn ein nationaler Gesetzgeber dennoch behauptet, das eigene Gesetz sei anwendbar. Und wenn Behörden dennoch anfangen, das Gesetz zu vollziehen. Dann müssten sich die Betroffenen – zum Beispiel Online-Plattformen – erst einmal wehren, und sagen: Das Gesetz ist doch nicht anwendbar. Oder aber sie fügen sich.

Es wäre nicht das erste Mal, dass so etwas passiert. Auch das NetzDG in Deutschland war eklatant europarechtswidrig. Es wurde dennoch beschlossen, in Teilen umgesetzt und später durch einen neuen Gesetzsakt abgeschafft. Es hat den ganzen Lebenszyklus eines Gesetzes durchlaufen.

„Schwere Eingriffe in die Teilhabe- und Kommunikationsrechte“

netzpolitik.org: Als Nicht-Jurist kann ich sagen, das ist verwirrend.

Stephan Dreyer: Es kann noch verwirrender werden. Denkbar sind Regulierungen, die Plattformen nicht direkt adressieren, aber dennoch praktisch dazu führen, dass Minderjährige bis zu einer Altersgrenze keine Social-Media-Accounts haben dürfen. Das schafft noch mehr Unklarheit, ob der Anwendungsvorrang des DSA eigentlich umgangen wird oder nicht. Ich weiß aber nicht, ob wir in diese Verästelungen hineingehen wollen.

netzpolitik.org: Lieber nicht. Ich bin noch am verarbeiten, dass sich Mitgliedstaaten sehenden Auges über EU-Recht hinwegsetzen könnten. Was ist das EU-Recht wert, wenn Staaten am Ende tun und lassen, was sie wollen?

Stephan Dreyer: Das ist, was mir Sorgen macht. Wenn Mitgliedstaaten sagen: Es gibt einen Rechtsrahmen, aber der ist uns egal, dann wirft das die Frage auf, ob man sich überhaupt noch an das Recht halten muss. Ich frage mich, welches Signal das senden soll.

netzpolitik.org: Wie lautet denn die zweite Hürde für nationale Social-Media-Verbote in der EU?

Stephan Dreyer: Die zweite große Hürde ist das Herkunftslandsprinzip. Selbst, wenn man um den Anwendungsvorrang herumkommt oder ihn ignoriert, muss sich ein Anbieter nur an die nationalen Vorgaben des EU-Landes halten, in dem er seine Niederlassung hat. Bei den meisten Social-Media-Anbietern ist das Irland. Das heißt, sie müssen sich an irisches Recht halten.

netzpolitik.org: Also solange Irland kein Social-Media-Verbot einführt, könnten Plattformen die Aufsichtsbehörden anderer Länder einfach abblitzen lassen. Verstanden. Und die dritte Hürde?

Stephan Dreyer: Das ist das Verhältnismäßigkeitsprinzip, dem jedes Gesetz genügen muss. Hier sind mehrere Fragen zu klären. Erfüllt das Gesetz einen legitimen Zweck? Klar ist Jugendschutz ein legitimer Zweck. Aber ist ein Social-Media-Verbot bis zu einer bestimmten Altersgrenze wirklich erforderlich, um diesen Zweck zu erreichen?

netzpolitik.org: … ist es das?

Stephan Dreyer: Hier ist die empirische Evidenz widersprüchlich. Einerseits gibt es die beschriebenen Zusammenhänge zwischen Social-Media-Nutzung und Beeinträchigungen der psychischen Gesundheit. Andererseits bringen soziale Medien für Minderjährige gewichtige Vorteile mit sich: Kommunikation, Information, Austausch mit Peer Groups.

Das wirft auch die Frage nach der Zumutbarkeit eines Social-Media-Verbot auf. Wir sprechen von schweren Eingriffen in die Teilhabe- und Kommunikationsrechte von Minderjährigen. Wenn es ein für den Zweck ebenso effizientes, milderes Mittel gibt, dann muss man das mildere Mittel wählen.

„Man steht vor einer Weggabelung“

netzpolitik.org: Mildere Mittel hat die EU mit dem DSA geschaffen. Betroffene Anbieter müssen demnach prüfen, welche Risiken ihre Dienste für Minderjährige haben und diese Risiken mindern. Aber das scheint die Fürsprecher*innen des Social-Media-Verbots überhaupt nicht zu interessieren. Ist mit dem DSA etwas nicht in Ordnung?

Stephan Dreyer: Aus Governance-Sicht bietet der DSA einen schönen Rechtsrahmen. Minderjährige werden nicht ausgeschlossen, aber Plattformanbieter sind laut Artikel 28 DSA dazu verpflichtet, altersangemessene Angebote zu gestalten. Sie müssen Funktionen und Inhalte altersgerecht anbieten. Mit Blick auf die Grundrechte von Kindern und Jugendliche ist das genau, was wir wollen.

netzpolitik.org: Also kann der DSA alle Sorgen lösen?

Stephan Dreyer: Das wissen wir noch nicht. Der DSA greift erst seit Feburar 2024. Es hat nochmal ein halbes Jahr gedauert, bis die EU-Kommission handlungsfähig geworden ist. Erst seit September 2024 gibt es Verfahren gegen Plattformen. Aber was dabei genau passiert, wissen wir nicht. Die EU-Kommission liefert hier leider kaum Transparenz. Ich kann verstehen, wenn Menschen sagen: Sie sehen nicht, dass etwas passiert. Es ist noch viel Luft nach Oben bei der Umsetzung von Artikel 28.

Das heißt, man steht vor einer Weggabelung. Entweder man sagt, wir müssen den Vollzug des geltenden Rechts stärker machen. Hier gab es nun gerade letzten Freitag die Mitteilung der EU-Kommission, dass sie in Bezug auf TikTok Verstöße gegen den DSA festgestellt hat. Oder man sagt: Wir müssen jetzt verbieten.

netzpolitik.org: Wer den Weg des Social-Media-Verbots wählt, hat diese großen Hürden vor sich. Warum tun Verbots-Befürworter wie Emmanual Macron oder Spaniens Ministerpräsident Pedro Sánchez so, als würden diese Hürden nicht existieren?

Stephan Dreyer: Ich kenne die Beweggründe im Einzelnen nicht. Es kann sein, dass Regierungen mit ihren Forderungen Handlungsfähigkeit und Handlungswillen beweisen wollen. Sie könnten den Eindruck erwecken wollen, Probleme anzupacken. Die Vorstöße könnten auch Probebohrungen sein, um zu prüfen, wie die Außenwelt reagiert. Es ist aber auch möglich, dass die Mitgliedsaaten vorpreschen, um die EU-Kommission und den EU-Gesetzgeber unter Zugzwang zu setzen.

„Mögliche Mehrheiten“ für EU-weites Verbot

netzpolitik.org: Könnte denn die EU selbst ein Social-Media-Verbot für Minderjährige einführen?

Stephan Dreyer: Ja. Sie könnte mit einer neuen Verordnung ältere Vorgaben überschreiben. Das hätte auch Folgen für den DSA. Anbieter könnten ihre bisherigen Vorsorgemaßnahmen für unter 16-Jährige einstellen. Sie müssten sich um die Jüngeren keine Gedanken mehr machen – denn die dürften laut neuem Gesetz nicht mehr auf ihren Plattformen sein. Ein Social-Media-Verbot macht den Jugendschutz auf Plattformen schlechter.

netzpolitik.org: Will die EU das?

Stephan Dreyer: Spätestens seit November 2025 zeichnet sich ab, dass alle drei Akteure der EU zu einem Social-Media-Verobt für Minderjährige bereit wären. Wir sehen, dass es im Rat und im EU-Parlament mögliche Mehrheiten dafür gibt. Kommissionspräsidentin Ursula von der Leyen hat im Herbst gesagt, dass sie Alterskontrollen zumindest prüfen will .

netzpolitik.org: Wie wahrscheinlich ist ein Social-Media-Verbot für Minderjährige in der EU?

Stephan Dreyer: Ich bin der Meinung, dass wir nicht mehr über das Ob sprechen, sondern nur noch über das Wie.

netzpolitik.org: Gerade sind Kommission, Parlament und Rat in den finalen Verhandlungen zur CSA-VO, der „Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“, bekannt als Chatkontrolle. Darin vorgesehen sind – je nach Ausgestaltung – auch strenge und verpflichtende Alterskontrollen für App-Stores und „interpersonelle Kommunikationsdienste“. Also Plattformen mit Chatfunktion. Kurzum, es kann auf Alterskontrollen für die meisten sozialen Medien hinauslaufen. Wo rutschen wir da gerade hinein?

Stephan Dreyer: Die Alterskontrollen stehen seit 2022 im Entwurf der EU-Kommission, doch die politische Diskussion hat sich allein an der Chatkontrolle entzündet. Jetzt ist die Zeit knapp, um noch viel dagegen zu tun. Es ist möglich, dass die Verhandlungen schon im Herbst abgeschlossen sind. Es kann also gut sein, dass wir schon sehr bald ein Gesetz haben, das strenge Alterskontrollen für viele Anbieter in der EU vorschreibt.

„Wir reden von einer Diskriminierungs-Technologie“

netzpolitik.org: Dann würde nur noch eine feste Altersgrenze für soziale Medien fehlen, und das australische Modell wäre komplett. Welche Folgen hätten solche Alterskontrollen für Europa?

Stephan Dreyer: Ein Gesetz für umfassende Altersüberprüfungen wäre erst der Anfang der Probleme. So eine Vorschrift ist vergleichsweise schnell geschrieben. Dann kommt die Umsetzung. Australien hat einen mehr als 1.000-seitigen Bericht darüber vorgelegt, wie unterschiedlich intrusiv verschiedene Technologien zur Altersüberprüfung sind, welche auch negativen Effekte sie haben können, welche Akzeptanzprobleme in der Bevölkerung sie mit sich bringen.

netzpolitik.org: Was bedeutet das für uns?

Stephan Dreyer: Wenn die Altersüberprüfungen kommen, werden wir uns noch umschauen. Und das meine ich nicht als Drohung. Wir reden von einer Diskriminierungs-Technologie, denn sie soll Menschen nach ihrem Alter diskriminieren. Und immer, wenn man so etwas tut, gibt es einen Fallout, also Fehler in beide Richtungen.

Es wird Menschen geben, die zu jung sind, aber die Altersprüfungen umgehen, und Menschen, die alt genug sind, aber keine Möglichkeit haben, das dem System zu beweisen. Das ist eine Standardsituation der Technikfolgenabschätzung. Je flächendeckener eine Technologie eingeführt wird, desto größer der Fallout.

Diverse Businesssoftware von SAP ist verwundbar. Angreifer können unter anderem an „kritischen“ Lücken in CRM and SAP S/4HANA (Scripting Editor) und NetWeaver Application Server ABAP and ABAP Platform ansetzen.

Besonders gefährliche Schwachstellen

Aufgrund eines Fehlers können authentifizierte Angreifer im Kontext von CRM and SAP S/4HANA (Scripting Editor) SQL-Anweisungen ausführen und so Datenbanken vollständig kompromittieren (CVE-2026-0488 „kritisch“).

Bei NetWeaver Application Server ABAP and ABAP Platform spinnt die Rechtevergabe. Verfügen Angreifer über niedrige Nutzerrechte, können sie Funktionen ausführen, die eigentlich nur für höher privilegierte Nutzer nutzbar sind. Das kann die Verfügbarkeit der Anwendung einschränken (CVE-2026-0509 „kritisch“).

Noch mehr Sicherheitsprobleme

Sicherheitslücken mit dem Bedrohungsgrad „hoch“ bedrohen unter anderem Supply Chain Management (DoS CVE-2026-23689) und Commerce Cloud (DoS CVE-2025-0508). Der Großteil der verbleibenden Schwachstellen ist mit „mittel“ eingestuft und bedroht unter anderem Document Management System und Business One.

Die an diesem Patchday geschlossenen Sicherheitslücken listet der Softwarehersteller in seinem Portal auf. Weiterführende Informationen zu den Lücken und abgesicherten Versionen sind nur im Kundenportal einsehbar.

(des)