Strafverfolgungsbehörden aus den USA, Kanada und Deutschland haben in einer gemeinsamen Aktion die Infrastruktur von vier großen Botnets „gestört“, die für massive DDoS-Attacken genutzt wurden. Das hat die Staatsanwaltschaft von Alaska publik gemacht. Demnach waren an der Aktion unter anderem das Bundeskriminalamt BKA und die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) beteiligt. Vorgegangen sind die Behörden demnach gegen Internet-Domains, virtuelle Server und andere Infrastruktur, die für die Angriffe genutzt worden sein sollen. Von festgenommenen Personen ist in der Mitteilung keine Rede und die Strafverfolger behaupten nicht, dass die Botnets zerschlagen wurden.

Angriffe gegen Geld

Bei den betroffenen Botnets handelt es sich demnach um Aisuru, KimWolf, JackSkid und Mossad. Zusammen sollen die zuletzt mehr als drei Millionen IT-Geräte in aller Welt gekapert haben, hunderttausende davon in den USA. Es handelt sich demnach um verschiedene IoT-Anlagen, darunter Videorekorder, Internetkameras und Router. Teilweise soll es sich auch um Geräte gehandelt haben, die durch eine Firewall eigentlich vom Internet abgeschirmt sein sollen. Der Zugriff auf die Geräte wurde dann im bekannten Modell „Cybercrime as a Service“ vermietet. Für Geld konnte man sie also auf Netze der Opfer loslassen, die sie mit zahllosen gleichzeitigen Anfragen in die Knie gezwungen haben. Typischerweise wird dann Geld dafür verlangt, dass die Angriffe aufhören.

Laut der Staatsanwaltschaft von Alaska haben einige der Angriffe Rekordzugriffsraten von 30 Terabits pro Sekunde erreicht, vor allem Aisuru wurde für viele Attacken genutzt. Mit großem Abstand folgten JackSkid und KimWolf, Mossad war demnach deutlich seltener im Einsatz. Von den deutschen Behörden gibt es bislang keine Stellungnahmen zu dem Einsatz. Der IT-Sicherheitsforscher Brian Krebs hat aber nach eigener Aussage ermittelt, dass das KimWolf-Botnet hauptsächlich von einem 22-jährigen Kanadier betrieben wurde. Bei den Ermittlungen habe sich dann herausgestellt, dass ein zweiter Hauptverdächtiger 15 Jahre alt sei und in Deutschland lebt. Ob die Behörden diese Einschätzung teilen und gegen die beiden vorgegangen sind, ist bislang nicht bekannt.

(mho)

Oracle hat ein Notfall-Update abseits des sonst üblichen vierteljährlichen Critical-Patch-Update (CPU) genannten Patchdays veröffentlicht. Es schließt eine Sicherheitslücke in Oracle Identity Manager und Web Services Manager, die Angreifern aus dem Netz ohne vorherige Anmeldung das vollständige Kompromittieren verwundbarer Instanzen ermöglicht.

Die CVE-Schwachstellenbeschreibung präzisiert, dass beide betroffenen Produkte Teile der Oracle Fusion Middleware sind. Im Identity Manager ist ein API-Endpunkt „REST WebServices“ anfällig, im Web Services Manager hingegen die Komponente Web Services Security. Die Schwachstelle sei einfach zu missbrauchen, durch bösartige Akteure mit HTTP-Zugriff, schreibt Oracle dort. Damit können sie Oracle Identity Manager und Web Services Manager übernehmen (CVE-2026-21992, CVSS 9.8, Risiko „kritisch“).

In der Sicherheitsmitteilung schreibt Oracle, dass die Lücke sich ohne Authentifizierung aus der Ferne missbrauchen lässt und dann in der Ausführung von eingeschleustem Schadcode münden kann. Betroffen sind Oracle Identity Manager und Oracle Web Services Manager jeweils in den Versionen 12.2.1.4.0 und 14.1.2.1.0. Die Informationen zur Patch-Verfügbarkeit sind hinter einem Login versteckt, sie sind somit nicht öffentlich zugänglich.

Jetzt aktualisieren

Wenn Oracle Updates abseits der gewohnten Patchdays veröffentlicht, deutet das darauf hin, dass es sich um wirklich zügig zu stopfende Sicherheitslücken handelt. Das Unternehmen schreibt dazu auch: „Oracle empfiehlt seinen Kunden dringend, die in diesem Sicherheitshinweis bereitgestellten Updates oder Abhilfemaßnahmen so schnell wie möglich zu installieren.“ Immerhin wird die Lücke noch nicht in freier Wildbahn angegriffen, davon schreibt der Hersteller zumindest nichts.

IT-Verantwortliche sollten die Schwachstelle nicht auf die leichte Schulter nehmen. Im vergangenen Herbst wurde eine Sicherheitslücke in Oracles E-Business-Suite bekannt, die die Cybergang Cl0p in einer Angriffswelle missbraucht hat. Daten von hunderten Unternehmen waren davon betroffen. Die Kriminellen haben die Unternehmen unter Androhung der Veröffentlichung der Daten um Lösegeld erpresst.

(dmk)

Die EU-Verordnung über die Transparenz und das Targeting politischer Online-Werbung (TTPW-VO) hat derzeit keinen leichten Stand. Eigentlich soll sie Wahlen und die demokratische Öffentlichkeit vor Manipulation schützen. Dabei setzt sie nicht auf Verbote, sondern vor allem auf Transparenzvorgaben. Doch Meta und Google haben politische Werbung als Reaktion auf die neuen Regeln gleich ganz verboten. Seitdem herrscht in der Welt der politischen Kommunikation Panik.

Als der Digitalausschuss des Bundestages diese Woche zur Sachverständigenanhörung über das deutsche Umsetzungsgesetz zu der EU-Verordnung geladen hatte, war die Situation deshalb gleich doppelt paradox. Zum einen gibt es derzeit einfach kaum noch politische Online-Werbung (wobei die Plattformen ihre Verbote offenbar nicht konsequent durchsetzen). Zum anderen hat der deutsche Gesetzgeber bei seinem Politische-Werbung-Transparenz-Gesetz (PWTG) kaum Spielräume, um eigene Regeln zu setzen.

Die EU-Verordnung gilt bereits seit Oktober 2025 unmittelbar, das Umsetzungsgesetz soll vor allem die komplexe Aufsichtsstruktur im föderalen System Deutschlands regeln. Hierbei spielen nach Ansicht der Sachverständigen nicht nur die Bundesdatenschutzbeauftragte und die Koordinierungsstelle für digitale Dienste in der Bundesnetzagentur eine Rolle, sondern auch Landesmedienanstalten und Landesdatenschutzbehörden.

Deutschland ist spät dran

Die Probleme, die man bei der Anhörung besprechen werde, seien nicht in erster Linie auf das deutsche Umsetzungsgesetz zurückzuführen, sondern vor allem auf die zugrundeliegende EU-Verordnung, so leitete entsprechend Professor Matthias Cornils von der Johannes-Gutenberg-Universität Mainz seine Stellungnahme ein. Diskutiert wurden diese Probleme im Ausschuss natürlich trotzdem, wobei die Positionen von grundsätzlicher Zustimmung zur Verordnung mit Vorschlägen für Nachbesserungen bis zur kompletten Abschaffung der EU-Verordnung reichten.

Jene TTPW-Verordnung wurde bereits Anfang 2024 verabschiedet, ihre Umsetzung in Deutschland erfolgt aufgrund des Bruchs der Ampel-Koalition verspätet. Anlass für die Verordnung waren Sorgen vor Manipulation wie im Fall des Cambridge-Analytica-Skandals, zahlreiche digitale Desinformationskampagnen von in- und ausländischen Akteuren sowie zuletzt die mutmaßliche Einflussnahme-Operation bei der Präsidentschaftswahl in Rumänien.

Unter anderem müssen Werbetreibende und Werbedienstleister künftig mehr über die Finanzierung und das Targeting von zielgerichteter politischer Werbung offenlegen. Bei der EU-Kommission soll ein Transparenzregister aller politischen Online-Anzeigen entstehen. Verboten ist das Targeting mit sensiblen Daten wie jenen zu sexueller Orientierung, politischen Meinungen oder Religion. Außerdem schränkt die Verordnung Wahlwerbung ein, die aus dem Ausland bezahlt wird.

Trifft die Verordnung die Falschen?

Bei der Anhörung standen zwei Fragen im Mittelpunkt, die sehr typisch für Versuche der Digitalregulierung sind: Werden mit den Regeln überhaupt die beabsichtigten Akteur:innen getroffen? Und schießen die Regeln womöglich über das Ziel hinaus oder haben sie vielleicht andere unerwünschte Effekte? Bei beiden Fragen fiel das Echo der Sachverständigen überwiegend kritisch aus.

Es steht bereits fest, dass die eigentlich primär gemeinten großen Werbeplattformen von Meta und Google sich der Verordnung entziehen wollen, indem sie politische Werbung verbieten. Allerdings sind sie beileibe nicht die einzigen Werbedienstleister im Internet. So können beispielsweise auch journalistische Online-Medien unter die Verordnung fallen, wenn auf ihren Seiten politische Werbung geschaltet wird.

Das führte bei mehreren Sachverständigen zu Sorgen um die Pressefreiheit, denn das PWTG sieht weitreichende Befugnisse für die Aufsichtsbehörden vor, sollten Werbedienstleister nicht mit ihnen kooperieren. Das Gesetz erlaubt es ihnen, Geschäftsräume zu durchsuchen und Dokumente zu beschlagnahmen. Bei Gefahr im Verzug soll dies sogar ohne vorherige richterliche Genehmigung der Fall sein. Bei Medien, so die Befürchtung, könne das auch Redaktionen betreffen.

Der Gesetzgeber müsse deshalb sicherstellen, dass Pressefreiheit und Quellenschutz nicht gefährdet werden, so die Forderung mehrerer Sachverständiger wie etwa Alina Clasen von Reporter ohne Grenzen. Das könnte etwa durch einen expliziten Hinweis auf den Schutz von Berufsgeheimnisträger:innen in der Strafprozessordnung geschehen oder durch eine explizite Ausnahme der Presse für Beschlagnahmeregeln.

Ringen um Definitionen und Sanktionen

Sorgen gibt es auch, dass die Regel unbeabsichtigte Konsequenzen haben könnten. Das liegt vor allem am recht breit gefassten Begriff der politischen Werbung. Die EU-Verordnung versteht darunter bezahlte Online-Kommunikation von politischen Akteuren und solche, die „geeignet und darauf ausgerichtet ist, das Ergebnis einer Wahl oder eines Referendums, ein Abstimmungsverhalten oder einen Rechtsetzungs- oder Regulierungsprozess“ zu beeinflussen.

Sachverständige wie der Werber Jochen König, der die Verordnung grundsätzlich begrüßt, oder Rechtsanwalt Jörg Frederik Ferreau kritisierten, dass durch diesen sehr weit gefassten Begriff Rechtsunsicherheiten entstünden. Sie regten eine Präzisierung an, entweder im Rahmen des PWTG oder auf EU-Ebene. Aus Sorge, gegen Regeln zu verstoßen, könnten Medien, Werbeagenturen, NGOs oder Lokalpolitiker:innen lieber ganz auf politische Werbung verzichten.

Dass gerade mit Blick auf möglichen Sanktionen, die bei größeren Unternehmen bis zu sechs Prozent des Umsatzes betragen könnten, Abschreckungseffekte eintreten könnten, befürchtet auch Juristin Tahireh Audrey Panahi von der Universität Kassel. Sie empfahl deshalb, dass Sanktionen gegen bestimmte Akteursgruppen erst nach zweimaligem Verstoß verhängt werden sollten. Außerdem schlug sie Leitlinien zur Auslegung des Gesetzes vor, die die Koordinierungsstelle für digitale Dienste bei der Bundesnetzagentur unter Einbindung des DSC-Beirats erarbeiten solle.

Zeitungsverleger auf Linie mit Tech-Konzernen und AfD

Während also die meisten Sachverständigen nicht mit Kritik hinter dem Berg hielten und konkrete Verbesserungsvorschläge machten, fielen die beiden geladenen Vertreter der Verlagsbranche vor allem durch Polemik auf.

Christoph Fiedler vom Medienverband der freien Presse etwa bemühte die omnipräsente Floskel vom „Bürokratie-Monster“ und kündigte an, dass Medien die Preise für politische Werbung erhöhen müssten, um den Anforderungen der Verordnung gerecht zu werden. Während er noch konkrete Vorschläge zum Schutz der Pressefreiheit machte, forderte Helmut Verdenhalven vom Bundesverband Digitalpublisher und Zeitungsverleger (BDZV) hingegen, die EU-Verordnung komplett abzuschaffen.

Um seine Forderung zu untermauern, hatte Verdenhalven ein vermeintlich klares Beispiel im Gepäck: Ein norddeutscher Zeitungsverlag habe kürzlich auf Instagram einen Podcast bewerben wollen, in dem Politiker:innen mit unterschiedlichen Positionen ins Gespräch kommen sollten, in diesem Fall von FDP und Linken. Die Plattform habe die Anzeige jedoch abgelehnt. Verantwortlich für diese „Verarmung der politischen Debatte“ macht der BDZV-Vertreter nicht etwa den Social-Media-Konzern, der politische Werbung verbot und dies auch auf Werbung für journalistische Inhalte bezieht, sondern die EU.

Gegen diese führte der BDZV-Vertreter auch eine mehrere Jahre alte und längst verworfene Idee der EU-Kommission ins Feld, unter Umständen auch journalistische Inhalte als politische Werbung einzustufen. Dass das überhaupt diskutiert worden sei, reichte ihm schon als Beleg dafür, „wie schmal in Brüssel der Grat ist zwischen gut gemeint, und (…) sehr schlecht gemacht“.

Diese pauschale Breitseite gegen einen Versuch der EU, die demokratische Öffentlichkeit zu schützen, ist einerseits nicht verwunderlich, kämpfen Zeitungsunternehmen und ihre Branchenverbände doch seit Jahren Seite an Seite mit Tech-Konzernen gegen jegliche Form der Regulierung von Werbung im Internet. Andererseits ist es bemerkenswert, wie bräsig ein von der SPD vorgeschlagener Sachverständiger ausgerechnet den Feinden der Presse nach dem Mund reden kann. Genüsslich aufgegriffen wurden Verdenhalvens Einlassungen vor allem von den Abgeordneten der AfD, die wie er eine Abschaffung der EU-Verordnung wollen.