Vergangene Woche einigte sich das Europaparlament als letzte der drei großen EU-Institutionen auf ein Gesetzespaket zum Digitalen Euro. Zusätzlich zur digitalen Zentralbankwährung sollen die geplanten Verordnungen aber auch das Bargeld stärken. Doch wie sieht diese Stärkung genau aus? Und worin unterscheiden sich die Pläne von EU-Kommission, Mitgliedstaaten und Europaparlament?
Konkret geht es um das „Single-Currency-Package“: Dieses enthält neben den Vorschlägen zum Digitalen Euro auch ein EU-Gesetz, das Bargeld als gesetzliches Zahlungsmittel („Legal Tender“) definiert.

Was bedeutet „gesetzliches Zahlungsmittel“?

Fragt man den Juristen Sebastian Omlor, ist das bitter nötig: „Die rechtliche Situation des Bargelds im Euroraum ist aktuell einigermaßen defizitär.“ Die Euro-Einführungsverordnung von 1998 stelle lediglich im Wortlaut knapp fest, dass sowohl Euro-Scheine als auch Euro-Münzen gesetzliches Zahlungsmittel seien. „In den Verordnungen der Europäischen Union oder auch mit dem staatlichen Recht etwa der Bundesrepublik Deutschland ist aber nirgends genauer niedergelegt, was wir denn unter einem gesetzlichen Zahlungsmittel verstehen“, erklärt Omlor, der Professor für Wirtschaftsrecht an der Uni Marburg ist und das Institut für das Recht der Digitalisierung leitet.

Omlor geht es vor allem um Rechtsklarheit und Rechtssicherheit. Doch hinter dem juristischen Konzept des „gesetzlichen Zahlungsmittels“ stecken auch Fragen, die ganz konkret den Alltag betreffen. „Wann darf man denn sagen: ‚Ich als Händler nehme kein Bargeld‘? Oder: ‚Wir wollen nur Kreditkartenzahlungen’? Das sind die Details, die im Moment nicht konkret im Gesetz stehen“, erklärt Omlor. In anderen Worten: Es geht um eine gesetzliche Annahmepflicht und ihre Grenzen.

Ungleichbehandlung beim Digitalen Euro

Eine solche Annahmepflicht schreibt die Kommission in ihrem Vorschlag für eine Verordnung für das Bargeld vor. Doch sie will auch Ausnahmen verankern. Explizit nennt der Entwurf den Fall, dass jemand einen kleinen Geldbetrag mit einem großen Geldschein zahlt. Auch wenn ein Geschäft „ausnahmsweise“ kein Wechselgeld hat, soll die Pflicht zur Bargeldannahme wegfallen. Außerdem behält sich die Kommission das Recht vor, weitere Ausnahmen zu erlassen.

Aus Sicht von Professor Omlor ändert die Verordnung, so wie die EU-Kommission sie vorgelegt hat, fast nichts in der Geschäftsbeziehung zwischen Verkäuferin und Kunde. Das kritisieren Bargeld-Befürworter:innen. Denn anders als beim Bargeld will die EU-Kommission es beim Digitalen Euro deutlich schwerer machen, dass Geschäfte die Zahlung damit verweigern. „Das Schild ‚No Cash‘ wäre zulässig, das Schild ‚No Digital Euro’ wäre nicht zulässig“, bricht Omlor den Unterschied in der Annahmepflicht vereinfacht herunter.

Sebastian Omlor sieht das vor allem darin begründet, dass der Digitale Euro neu ist, während das Bargeld etabliert ist. „Das heißt, der Digitale Euro müsste jetzt den Markteintritt schaffen und jedenfalls so weit ausgerollt werden, dass es für mich als privaten Zahler attraktiv wird, damit zu zahlen.“ Um eine dafür notwendige breite Akzeptanzstruktur zu schaffen, hätte sich die EU-Kommission dazu entschlossen, die Annahmepflicht beim digitalen Euro strikter auszugestalten als das beim Bargeld der Fall ist.

Gegenwind von Bürger:innen, Parlament und Mitgliedstaaten

Die Bargeld-Branche sowie eine Initiative, die dem Namen nach ein angebliches „Bargeldverbot“ bekämpft, laufen gegen diese Ungleichbehandlung Sturm. Ihre Forderung: Die EU-Verordnung zum Bargeld müsse auch „No Cash“-Schilder verbieten. Eine entsprechende Petition, die unter anderem das zum Ziel hat, wurde Ende Mai in Straßburg übergeben.

Das Lobbyieren fürs Bargeld hatte offenbar Erfolg: Die EU-Mitgliedstaaten sehen in ihrem Vorschlag zum Gesetzentwurf der Kommission ein Verbot von „No Cash“-Schildern vor, zumindest wenn Kund:innen und Verkäufer:innen beide vor Ort sind. Gleiches gilt für das Europaparlament, das sich ebenfalls dazu entschied, No-Cash-Schilder auszuschließen.

Verkaufsautomaten dürfen Bargeld laut Parlaments-Mandat zwar ablehnen, allerdings muss der Zugang der Bevölkerung zu „essenziellen Dienstleistungen“ beachtet werden. Der Volt-Abgeordnete Damian Boeselager erklärt diesen Punkt so: „Sei es jetzt am Bahngleis oder auch im Supermarkt, es soll auch weiterhin die Möglichkeit geben, mit Bargeld zu zahlen, sodass sozusagen essenzielle Dienstleistungen auch weiter angeboten werden.“

Gegen das Geldautomaten-Sterben

Die Verordnung zum Digitalen Euro greift auch ein zweites Problem der Euro-Münzen und ‑Scheine auf: Es wird schwerer, sie zu bekommen. Laut Zahlen der Bundesbank sank in Deutschland die Zahl der Geldautomaten von 2018 bis 2023 um fast 14 Prozent. Das sind in absoluten Zahlen 8.000 Automaten. Zudem gibt es seit über 20 Jahren Jahr für Jahr weniger Bankfilialen, seit 2018 fielen alleine 9.000 Standorte weg.

Der Gesetzesvorschlag der Kommission begegnet dem Problem nicht direkt, verpflichtet aber die Staaten, in städtischen und ländlichen Gebieten „für einen hinreichenden und wirksamen Zugang zu Bargeld“ zu sorgen. Dafür müssen diese einen jährlichen Bericht erstellen und gegebenenfalls gegensteuern.

Rechtsprofessor Omlor sieht darin eine Stärkung des Bargelds. „Wir haben jetzt erstmals eine europarechtliche Vorgabe, die die Bargeldversorgung in der gesamten Union sichert“, sagt Omlor im Gespräch mit netzpolitik.org.

Die Mitgliedstaaten der EU wollen sich sogar selbst eine Pflicht auferlegen, Resilienzpläne für Bargeld zu erstellen. Auch das EU-Parlament ist für eine solche Pflicht. Hintergrund sind Sorgen vor Angriffen auf die Stromversorgung. In solchen Situationen wäre das bargeldlose Zahlen so gut wie unmöglich und die Nachfrage nach Münzen und Scheinen stiege stark an.

Nutzung des Bargelds geht in Deutschland zurück

Am Ende bleibt die Rolle des Bargelds auch eine Frage der Praxis. Denn je stärker Menschen Bargeld nutzen, desto mehr Anreize haben Politik und Unternehmen, eine breite Akzeptanz und Versorgung sicherzustellen. Der Trend geht in Deutschland allerdings in die andere Richtung: Die Bargeldnutzung gehe kontinuierlich zurück, schreibt die Bundesbank in einer kürzlich veröffentlichten Studie. Zum ersten Mal wurde die Mehrheit der erfassten Zahlungen unbar durchgeführt.

Gleichzeitig ist der gesellschaftliche Wert der Münzen und Scheine vielen klar. So gaben 80 Prozent der Befragten an, dass es „für Deutschland“ wichtig sei, bar zahlen zu können. Ob die Politik diesem gesellschaftlichen Anspruch gerecht werden kann, zeigt sich wohl auch dann, wenn Kommission, Parlament und Rat im Trilog über die finale Version der EU-Bargeld-Verordnung verhandeln. Die Verhandlungen könnten schon im Juli starten, sofern es im Europaparlament keinen Einspruch über das Mandat des Währungssausschusses gibt.

Admins und Nutzer sollten Ausschau nach Aktualisierungen für diverse Softwarepakete halten. Die libssh2-Bibliothek, die weit verbreitet zum Einsatz kommt, enthält eine kritische Sicherheitslücke. Ein veröffentlichter Proof-of-Concept-Exploit vereinfacht deren Ausnutzung durch bösartige Akteure deutlich.

Im Schwachstelleneintrag hat die US-amerikanische IT-Sicherheitsbehörde CISA inzwischen die freie Verfügbarkeit des Proof-of-Concept-Exploits ergänzt. Die Sicherheitslücke basiert auf einer nicht erfolgten Begrenzung des „packet_length“-Feldes bei der Verarbeitung in der Funktion ssh2_transport_read(). Angreifer aus dem Netz können das missbrauchen, um mit übermäßig großen „packet_length“-Werten in manipulierten SSH-Paketen den Speicher auf dem Heap durcheinander zu bringen und dabei das Ausführen von eingeschleustem Code zu provozieren (CVE-2026-55200, CVSS 9.8, Risiko „kritisch“).

Wenn Angreifer Opfer dazu bringen, sich mit ihrer Client-Software mit manipulierten Servern zu verbinden, können sie ihnen damit Schadcode unterjubeln. Projekte wie curl, PHP, libgit2 und diverse weitere setzen libssh2 ein. libssh2 ist bis einschließlich Version 1.11.1 anfällig. Noch immer ist das die letzte verfügbare offizielle Version, der Patch ist derzeit lediglich als Quellcode-Commit verfügbar. Diverse Linux-Distributionen stellen jedoch aktualisierte Pakete mit eigenen Backports bereit.

Zügig aktualisieren

Unter Linux sollte also das Aufrufen der Softwareverwaltung und die Installation der angebotenen Aktualisierungen zum Ziel führen. Etwa unter Windows wird das jedoch schwieriger. Die offiziellen curl-Binaries für Windows 8.21.0_2 vom 24. Juni 2026 sind etwa noch statisch mit libssh2 1.11.1 verlinkt, die die Sicherheitslücke aufweist. Zwar macht das curl-Team im „Sommer der Glückseligkeit“ Urlaub – allerdings dürfte der Bedarf nach einer Aktualisierung seitens der zahlenden Supportkunden nun wachsen und in Kürze eine Aktualisierung bereitstehen.

Die Sicherheitslücke und eine weitere in libssh2 wurden in der vergangenen Woche bekannt. Seitdem steht lediglich der Commit im Quellcode bereit, ein offizielles neues Paket mit dem Update steht seitdem noch aus.

(dmk)

Die Linux Foundation hat gemeinsam mit zahlreichen Tech-Unternehmen und Finanzinstituten die Initiative Akrites gestartet. Ziel ist es, den Umgang mit Sicherheitslücken in wichtiger Open-Source-Software zentral zu koordinieren, sie vertraulich mit den jeweiligen Projektverantwortlichen zu beheben und erst anschließend offenzulegen. Hintergrund ist die wachsende Sorge, dass moderne KI-Modelle Schwachstellen deutlich schneller finden als bisher und damit den Zeitdruck für Verteidiger erheblich erhöhen.

Zu den Gründungsmitgliedern gehören unter anderem Amazon Web Services, Anthropic, Cisco, Google, IBM, Microsoft, GitHub, Nvidia, OpenAI, Red Hat sowie JPMorganChase, Citi und Vodafone. Die beteiligten Unternehmen wollen Personal, Sicherheitswissen und finanzielle Mittel bereitstellen.

Reaktion auf KI-gestützte Schwachstellenanalyse

Nach Angaben in der Ankündigung der Linux Foundation verändert generative KI die Sicherheitslandschaft grundlegend. Während die Suche nach schwerwiegenden Sicherheitslücken bislang viel Fachwissen und oft Wochen an Analyse erforderte, könnten leistungsfähige KI-Modelle große Open-Source-Projekte inzwischen innerhalb weniger Minuten auf potenzielle Schwachstellen untersuchen. Dadurch verkürze sich die Zeit zwischen dem Auffinden einer Lücke und ihrer möglichen Ausnutzung erheblich.

Akrites soll diese Entwicklung mit einem gemeinsamen Sicherheitsprozess beantworten. Statt dass mehrere Unternehmen dieselbe Schwachstelle unabhängig voneinander melden oder unterschiedliche Patches entwickeln, bündelt die Initiative die Koordination. Kern des Projekts sind ein gemeinsames Security Incident Response Team (SIRT) sowie ein einheitlicher Prozess zur koordinierten Offenlegung von Sicherheitslücken (Coordinated Vulnerability Disclosure, CVD). Die beteiligten Organisationen wollen bestätigte Schwachstellen gemeinsam mit den Upstream-Maintainern beheben, bevor Details veröffentlicht werden.

Maintainer sollen entlastet werden

Ein Schwerpunkt liegt auf der Zusammenarbeit mit den Entwicklern der betroffenen Open-Source-Projekte. Laut Linux Foundation sollen Fehlerbehebungen grundsätzlich in die Originalprojekte zurückfließen. Maintainer behalten die Kontrolle über ihre Projekte und sollen nicht mit mehrfachen oder widersprüchlichen Sicherheitsmeldungen belastet werden.

Für Pakete, die nicht mehr aktiv gepflegt werden, sieht Akrites zudem eine Rolle als „Maintainer of Last Resort“ vor. In solchen Fällen soll die Initiative Korrekturen für aktuelle Versionen bereitstellen, damit kritische Sicherheitslücken auch dann geschlossen werden können, wenn ursprüngliche Entwickler nicht mehr verfügbar sind.

Aufbau auf bestehenden Sicherheitsstandards

Technisch setzt Akrites auf etablierte Verfahren und Standards der IT-Sicherheitsbranche. Dazu zählen unter anderem CVE zur Identifikation von Schwachstellen, CVSS zur Bewertung ihrer Schwere sowie CWE zur Klassifizierung von Schwachstellentypen. Dadurch soll sich die Initiative in bestehende Prozesse von Softwareherstellern, Sicherheitsforschern und Betreibern kritischer Infrastruktur einfügen.

Die Anschubfinanzierung übernimmt Alpha-Omega, ein Förderfonds der Linux Foundation für Open-Source-Sicherheit. Weitere Unternehmen und Organisationen können sich beteiligen, indem sie Entwicklerkapazitäten oder finanzielle Mittel bereitstellen. Parallel zum Start hat die Initiative einen offenen Brief veröffentlicht, in dem die Gründungsmitglieder zu einer gemeinsamen Absicherung der Open-Source-Infrastruktur aufrufen.

(fo)