Das vor knapp fünf Monaten in Australien eingeführte Social-Media-Verbot für unter 16-Jährige erweist sich offenbar in der Praxis als weitgehend ineffektiv. Nach einer ersten groß angelegten Umfrage der Molly Rose Foundation haben 61 Prozent der befragten 12- bis 15-Jährigen, die bereits vorher Konten besaßen, weiterhin Zugriff auf mindestens eines davon. Plattformen wie TikTok, YouTube und Instagram ergreifen demnach oftmals keine Maßnahmen, um Minderjährige zu identifizieren und auszuschließen.

Für die Erhebung wurden im März 1.050 australische Jugendliche befragt. Die Daten zeigen, dass die Social-Media-Anbieter bisherige Accounts zum großen Teil unangetastet lassen: Bei YouTube gaben 64 Prozent der verbliebenen jungen Nutzer an, der Betreiber habe nichts unternommen, um ihre Konten zu deaktivieren. Bei Instagram und TikTok äußerten dies jeweils rund 60 Prozent. Knapp ein Viertel der Teenager hat Alterskontrollen bei bestehenden Konten zudem aktiv umgangen.

Technische Hilfsmittel wie VPNs kamen dabei lediglich bei vier bis fünf Prozent zum Einsatz. Stattdessen griffen einige Jugendliche Berichten zufolge auf Ausweise ihrer Eltern oder auf bedruckte Masken zurück, um die Gesichtserkennungssysteme zu umgehen.

Jugendschutzziele bisher nicht erreicht

Das politische Kernziel, die Sicherheit von Kindern im Netz zu erhöhen, wird der Umfrage zufolge verfehlt. Über die Hälfte der betroffenen Jugendlichen (51 Prozent) gab an, sich online nicht sicherer zu fühlen als vor dem Verbot. Gleichzeitig weichen die Jugendlichen auf andere digitale Dienste aus: 43 Prozent nutzen verstärkt Gaming-Plattformen, 39 Prozent verbringen mehr Zeit mit Messengern.

Allerdings verzeichnet die Studie auch erste Teilerfolge: Immerhin 31 Prozent der betroffenen Jugendlichen gaben an, sich nun sicherer zu fühlen, und die Hälfte bemerkten, nun weniger Zeit online zu verbringen. Die Stiftung warnt jedoch, dass dieser Effekt mit der Zeit wieder verschwinden könnte.

Die Molly Rose Foundation rät anderen Ländern wie Großbritannien vor diesem Hintergrund davon ab, das australische Gesetz zu kopieren. Ein pauschales Verbot entbinde Tech-Konzerne von ihrer Verantwortung für sicheres Produktdesign und erzeuge lediglich Scheinsicherheit. Die Organisation fordert stattdessen schärfere Regulierungen, um die Plattformbetreiber rechtlich in die Pflicht zu nehmen und gefährliche Algorithmen direkt zu verändern.

Die australische Regierung hatte den Tech-Konzernen bei Gesetzesverstößen bereits mit Klagen vor dem Bundesgericht gedroht. Sie habe demnach Untersuchungen wegen systematischer Verstöße gegen die Altersprüfung eingeleitet. Den Unternehmen sollen bei nachgewiesener Missachtung der Gesetze Bußgelder von bis zu 49,5 Millionen Australischen Dollar (rund 30 Millionen Euro) pro Verstoß drohen.

Weitere Länder könnten Australien folgen

Ab Dezember 2025 hatte Australien als erstes Land ein weitreichendes Social-Media-Verbot für unter 16-Jährige verhängt. Die Regierung wolle damit die psychische Gesundheit der Kinder vor schädlichen Einflüssen aus dem Netz schützen. So sollen Gefahren wie Cybermobbing und suchtfördernde Algorithmen aktiv eingedämmt werden. 4,7 Millionen Konten sind nach Angaben der australischen Behörden anschließend gesperrt worden.

Kritiker bezweifeln jedoch die Wirksamkeit des Verbots, da Jugendliche solche Sperren leicht umgehen könnten. Zudem warnen Experten davor, dass ein Pauschalverbot junge Menschen von wichtigen digitalen Netzwerken und Hilfsangeboten isoliert. Als Alternative fordern Medienpädagogen stattdessen etwa eine gezielte Förderung der digitalen Medienkompetenz und die stärkere Regulierung der Plattformalgorithmen.

Auch in Europa werden ähnliche Social-Media-Verbote diskutiert. Eingesetzt werden könnte etwa eine kürzlich vorgestellte Wallet-App der EU zur Altersverifikation. Bisherige Verbotspläne der deutschen Regierungsparteien CDU und SPD stoßen dabei allerdings auf erhebliche rechtliche Hürden.

(hag)

Im vergangenen Jahr erbeuteten Betrüger in sozialen Netzwerken rund 2,1 Milliarden Dollar von US-Bürgern. Das geht aus einem Bericht der Federal Trade Commission (FTC) hervor, die unter anderem Betrugsmeldungen aus den USA sammelt und auswertet.

Laut der FTC verursachte Betrug über Social Media höhere Verluste als jeder andere Kontaktweg. Knapp 30 Prozent der durch Betrug Geschädigten gaben an, dass dieser auf sozialen Netzwerken begann. Die daraus entstehenden Verluste haben sich seit 2020 verachtfacht, schreibt die Behörde.

Soziale Netzwerke seien die erste Wahl für Betrüger, da sie von überall aus einen einfachen Zugang zu Milliarden von Menschen bieten und Betrug so mit minimalem Aufwand möglich machen. Die FTC schätzt, dass die tatsächlichen Verluste durch Betrug weit höher liegen, da längst nicht alle Betrugsfälle bei der Behörde gemeldet werden.

Die höchsten Verluste würden auf Kontakte entfallen, die über Facebook angebahnt wurden (siehe Diagramm unten). Die weiteren Meta-Plattformen wie WhatsApp und Instagram folgen mit großem Abstand auf den Plätzen zwei und drei. Auf anderen Plattformen wie Telegram, TikTok, LinkedIn und X findet laut Diagramm ebenfalls Betrug statt, aber in geringerem Ausmaß. Laut der FTC entstand allein auf Facebook ein größerer Betrugsschaden als durch Betrug per SMS oder E-Mail.

Drei typische Betrugsmaschen auf Social Media

Die FTC nennt drei verbreitete Betrugsmuster in sozialen Netzwerken. Den größten finanziellen Schaden (1,1 Milliarden Dollar) verursachten Anlagebetrugsfälle. Solche Maschen beginnen oft mit Anzeigen oder Beiträgen, die beim Investieren helfen sollen, oder mit fingierten Beratern und manipulierten WhatsApp-Gruppen, die Erfolg vortäuschen.

Am weitesten verbreitet sind Fake-Shops und Kaufbetrug. Mehr als 40 Prozent derjenigen, die durch Betrug auf sozialen Netzwerken Geld verloren, gaben an, Produkte aus Social-Media-Anzeigen bestellt zu haben. Diese werden oft nicht geliefert oder stammen von gefälschten Shops, die bekannte Marken imitieren.

Eine andere beliebte Masche ist der Liebesbetrug – und soziale Netzwerke spielen dabei eine zentrale Rolle: Fast 60 Prozent der Menschen, die 2025 durch Liebesbetrug Geld verloren, gaben an, der Kontakt habe auf einer Social-Media-Plattform begonnen. Täter sprechen hier gezielt Personen über deren Profile an, bauen Vertrauen auf und nutzen anschließend erfundene Notlagen oder vermeintliche Investmentchancen, um an Geld zu kommen. Andere Betrüger wiederum bringen Menschen dazu, intime Fotos zu senden, und drohen anschließend, diese an deren Social-Media-Kontakte zu senden, falls sie nicht zahlen.

Die FTC gibt basierend darauf naheliegende Tipps zur Vermeidung von Betrug: Nutzer sollten ihre Privatsphäre-Einstellungen einschränken, keine Anlageentscheidungen auf Basis reiner Online-Kontakte treffen und Anbieter vor dem Kauf online gezielt auf Betrugshinweise oder Beschwerden prüfen.

(tobe)

Microsoft hat eine Sicherheitslücke in der Windows Shell zum Februar-Patchday ausgebessert – CVE-2026-21510, die von der Cybergang APT28 – besser unter dem Namen Fancy Bear bekannt – in freier Wildbahn angegriffen wurde. Der Patch war unzureichend und hinterließ eine weitere Sicherheitslücke. Und die wird nun ebenfalls im Internet attackiert.

Microsoft hat die neue Schwachstelle CVE-2026-32202 (CVSS 4.3, Risiko „mittel“) am April-Patchday mit Softwareflicken ausgebessert. Im Laufe des Montags haben die Entwickler den Schwachstelleneintrag jedoch aktualisiert: Die Spoofing-Lücke in der Windows Shell wird demzufolge inzwischen ebenfalls von bösartigen Akteuren in freier Wildbahn missbraucht. Die Auswirkungen scheinen nicht so gravierend wie vor dem unzureichenden Patch aus dem Februar.

Angreifer können einige sensible Informationen abgreifen, jedoch keine Informationen verändern oder Ressourcen blockieren. Microsoft erklärt weiter, dass ein Schutzmechanismus nicht korrekt greift, sodass bösartige Akteure Spoofing-Angriffe über das Netz ausführen können. Laut Microsoft müssen Opfer jedoch dazu eine bösartige Datei ausführen, die Angreifer ihnen zusenden. Die Installation des Updates vom Patchday schützt vor dem Missbrauch der Lücke.

Hintergründe zur Schwachstelle

Akamai hat im Blog jedoch eine weitergehende Analyse veröffentlicht. Die IT-Analysten stufen die neue Schwachstelle anders als Microsoft als Zero-Click-Schwachstelle ein. Rechner der Opfer authentifizieren sich dadurch am Server der Angreifer ohne Nutzerinteraktion. Der ursprüngliche Angriff ermöglichte die Ausführung von Schadcode aus dem Netz (RCE, Remote Code Execution). Der erste Patch blockierte unsignierte oder nicht vertrauenswürdige LNK-Dateien, die etwa auf CPL-Dateien verweisen, mittels SmartScreen. Allerdings haben die Programmierer eine Stelle im Codepfad übersehen: Der Windows Explorer versucht, aus Dateien wie .lnk für die Zieldatei – .cpl – ein Icon zu extrahieren. Und hier findet eine Pfadprüfung statt, mitsamt der Verbindung zu fremden SMB-Servern. Das passiert beim Anzeigen des Verzeichnisses, ohne weitere Klicks durch Nutzer.

Beispielhaft enthält die LNK-Datei eine Verknüpfung auf „\\attacker.com\share\payload.cpl“, wodurch der Rechner beim Auflisten des Verzeichnisses eine Verbindung zum SMB-Server „\\attacker.com\“ aufbaut und dabei eine automatische NTLM-Authentifizierung startet, wodurch der Net-NTLMv2-Hash des Opferrechners an die Angreifer gesendet wird. Der lasse sich dann in NTLM-Relay-Attacken und für Offline-Cracking missbrauchen, erklärt Akamai weiter.

Das heise-security-Pro-Webinar „Authentifizierung im Active Directory absichern: Mit Microsofts veralteten Konzepten (über)leben“ liefert Admins Handreichungen zur Absicherung mit vertiefenden Erklärungen und Hintergründen zu Net-NTLM.

(dmk)