Datenschutz & Sicherheit
Schwachstellen in Synology MailPlus Server lassen Angreifer passieren
Setzen Angreifer erfolgreich an Sicherheitslücken in Synology MailPlus Server an, können sie unter anderem auf Dateien zugreifen oder über DoS-Attacken Abstürze auslösen. Seitens des Herstellers gibt es derzeit keine Warnungen zu laufenden Attacken.
Weiterlesen nach der Anzeige
Verschiedene Gefahren
In einer Warnmeldung listen die Entwickler insgesamt drei Schwachstellen auf. Zwei davon sind als „kritisch“ eingestuft (CVE-2025-15660), eine (CVE-2026-13136) weist den maximalen CVSS Score 10 von 10 auf. In beiden Fällen sind unbefugte Dateizugriffe und DoS-Angriffe möglich.
Die dritte Lücke (CVE-2026-13135) ist mit „mittel“ eingestuft. Hier können Angreifer auf interne, nicht näher beschriebene Services zugreifen.
Die Entwickler versichern, die Sicherheitsprobleme in MailPlus Server 4.0.1-21663 für DSM 7.2.1, 7.2.2 und 7.3 gelöst zu haben.
(des)
Datenschutz & Sicherheit
Gefahren von Alterskontrollen: Die Expert*innen verheddern sich
Kein Aspekt der aktuellen Jugendschutz-Debatte ist brisanter als Alterskontrollen für alle. Es droht ein Kontroll-Apparat, dem sich Menschen im Netz flächendeckend fügen sollen. Einmal eingerichtet ließe er sich mühelos in einen Apparat zur Massenüberwachung ausbauen: Tracking statt Datenschutz, Klarnamen statt Anonymität.
Der Deutsche Ethikrat hat die Probleme erkannt, als er Mitte Juni ausführlich vor den Gefahren von Alterskontrollen gewarnt hat. Dennoch hat der Ethikrat einen Spielraum für „verpflichtende“ Alterskontrollen gesehen. Bekräftigt hat das inzwischen eine weitere Gruppe aus Fachleuten: die vom Familienministerium einberufene Expert*innen-Kommission.
Sie hat am am 24. Juni ihre 56 Empfehlungen für Kinder- und Jugendschutz im Netz vorgelegt. Ähnlich wie der Ethikrat erkennen die Expert*innen zumindest einige Gefahren von Alterskontrollen an, raten von manchen Methoden ab. Andererseits sind Alterskontrollen eine zentrale Säule ihrer Empfehlungen. Wie geht das zusammen?
Zwar konnten sich die Expert*innen nicht darauf einigen, ob es wie in Australien ein einheitliches Mindestalter für soziale Medien geben soll – oder eher flexible Altersgrenzen je nach Dienst und Risiko. In beiden Fällen jedoch müssten Menschen im Netz nach Altersgruppen sortiert werden. Ohne Alterskontrollen scheint es den Expert*innen zufolge also nicht zu gehen. Aber mit ihnen geht es auch nicht, wie die Analyse zeigt.
Das sind die Lücken in der Argumentation
Aus den Warnungen und Empfehlungen der Expert*innen rund um Alterskontrollen entsteht kein schlüssiges Bild. Zentral ist folgende Passage:
Besonders problematisch sind Verfahren, die biometrische Merkmale auswerten oder anhand umfangreicher Verhaltens- und Nutzungsdaten auf das Alter schließen. Sie bergen Risiken für die Privatsphäre, die informationelle Selbstbestimmung und den Schutz vor Diskriminierung. Gleichzeitig droht eine weitere Machtkonzentration bei großen Plattform- und Betriebssystemanbietern, wenn diese zu zentralen Vermittlern digitaler Altersnachweise werden.
Damit fassen die Expert*innen mehrere Gefahren von Alterskontrollen treffend zusammen. Der Clou: Kurz darauf empfehlen die Expert*innen Methoden der Alterskontrolle, die zumindest manche dieser Gefahren ebenso mit sich bringen.
Zwar sollten primär Eltern prüfen, worauf ihre Kinder zugreifen; zwar sollten Daten zum Schutz der Privatsphäre auf dem Endgerät bleiben. Trotzdem könne es den Expert*innen zufolge als Ergänzung eine „verpflichtende“ Alterskontrolle geben, und zwar „durch Altersschätzung per Kamera oder Verifikation mit offiziellen Dokumenten“. Das wirft mindestens zwei Probleme auf.
Erstens: Diskriminierung. Altersschätzung per Kamera benachteiligt strukturell Menschen, deren Gesicht eine Software nicht korrekt einschätzen kann. Denkbare Gründe sind etwa sichtbare Verletzungen oder Behinderungen. Auch offizielle Dokumente sind eine Hürde, die vulnerable gesellschaftliche Gruppen weiter benachteiligen kann. Allein in Deutschland gibt es Schätzungen zufolge Hunderttausende Menschen ohne Aufenthaltstitel. Viele von ihnen dürften keine Papiere haben, die mit einer Alterskontroll-App kompatibel wären. Wie ist das mit dem Anspruch auf „Schutz vor Diskriminierung“ vereinbar?
Deine Daten landen bei der Polizei.
Wir decken es auf. Mit deiner Unterstützung.
Insbesondere für junge Menschen ist Altersschätzung schlecht geeignet. Wenn ein Mensch nicht sicher sagen kann, ob ein Teenager wie 16 oder wie 17 Jahre aussieht, dann kann das auch keine Software. In Deutschland hat die Kommission für Jugendmedienschutz deshalb mal einen Puffer festgelegt: „Personen müssen von dem System als mindestens 23 erkannt werden, um Zugang zu den ab 18 Jahren bewerteten Inhalten zu bekommen.“ Die Expert*innen-Kommission empfiehlt jedoch abgestufte Jugendschutz-Funktionen, je nachdem, ob jemand etwa 13, 16 oder 18 Jahre alt ist. Für diese feinen Altersstufen ist Software zur Alterseinschätzung zu grob.
Zweitens: Machtkonzentration. Ohne die mächtigen US-Konzerne Apple und Google scheint es derzeit nicht zu laufen. In der EU entstehen gerade zwei Lösungen, die das Alter datensparsam anhand offizieller Dokumente prüfen sollen, und beide sind von deren mobilen Betriebssystemen abhängig.
Zum einen ist da der im April vorgelegte Prototyp einer „Mini-Wallet“ für iOS und Google-basiertes Android. Der ist bei Fachleuten bereits durchgefallen. Unter anderem der Ethikrat und die Expert*innen des Familienministeriums lehnen die Mini-Wallet ab. Zum anderen ist da die geplante digitale Brieftasche, „EUDI-Wallet“. Die deutsche Version dieser Wallet wird zunächst auch nur für iOS und Google-basiertes Android entwickelt. Wie ist das mit dem Anspruch vereinbar, keine Macht bei großen Plattform- und Betriebssystemanbietern zu konzentrieren?
EUDI-Wallet: Alles auf eine Karte
Ausdrücklich empfehlen die Expert*innen die EUDI-Wallet als Methode der Alterskontrolle für „erhöhte rechtliche Anforderungen“ sowie für eine feste Altersgrenze nach australischem Vorbild. Hier zeigen sich zwei weitere Probleme.
Erstens: Ein empfindlicher Vorbehalt. Die Expert*innen knüpfen ihre Empfehlung der EUDI-Wallet an bestimmte Anforderungen. Das ihr zugrunde liegende Gesetz, die eIDAS‑2.0‑Verordnung, soll demnach „vollständig erfüllt“ sein. Genau das droht gerade zu scheitern. In der Umsetzung höhlt die EU-Kommission die Schutzrechte der digitalen Brieftasche aus. Einbußen in Datenschutz und Privatsphäre zeichnen sich ab. Wenn die EUDI-Wallet ihre eigenen Ansprüche nicht erfüllt, womit sollen Menschen dann ihr Alter nachweisen?
Zweitens: Keine Alternative. Selbst wenn doch alles klappt mit der EUDI-Wallet, ihre Nutzung muss „freiwillig“ sein. Wer sie nicht haben will, darf nicht eingeschränkt oder benachteiligt werden. Auch das steht in der eIDAS-Verordnung. Bloß, welche Methode der Alterskontrolle käme anstelle der EUDI-Wallet in Frage? Die Expert*innen nennen keine konkrete Lösung. Stattdessen betonen sie, was sie nicht wollen: keine Mini-Wallet, kein Vorzeigen von Pass und Gesicht vor der Kamera.
Was bei den Ausführungen der Expert*innen völlig unter den Tisch fällt: Alterskontrollen lassen sich mühelos umgehen, etwa mit VPN-Diensten. Genau das passiert gerade in Australien. An dieser Stelle kippt das Vorhaben ins Absurde. Wovor sollen die Kontrollen schützen, wenn junge Menschen auf der Suche nach Verbotenem einfach einen kleinen Umweg machen?
Wann sollen Alterskontrollen Grundrechte einschränken?
Das Ergebnis ist ernüchternd. Keine Methode der Alterskontrolle kann den von den Expert*innen selbst ins Feld geführten Ansprüchen voll gerecht werden. Es fehlt eine fundierte Abwägung: Unter welchen Umständen sollen Alterskontrollen Grundrechte einschränken? Sollte die Gesellschaft ein Stück weit Diskriminerung und Machtkonzentration in Kauf nehmen – und warum?
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Diese undankbare Diskussion vermeiden die Fachleute. Stattdessen servieren sie ein unschlüssiges Nebeneinander von Empfehlungen und Warnungen.
Für die internationale Debatte um Alterskontrollen im Netz ist das leider symptomatisch. Ähnlich argumentieren auch die EU-Kommission und die G7-Staaten, CDU, SPD und Grüne: Wieder und wieder empfehlen Befürworter*innen von Alterskontrollen Methoden, die den selbst gesteckten Ansprüchen nicht genügen. Das Ergebnis kann nur enttäuschen.
Internationale Warnungen verhallen
Alterskontrollen sind nur eine von insgesamt 56 Empfehlungen der deutschen Expert*innen-Kommission. Es geht unter anderem auch um Aufklärung, Prävention und Bildung, um die Rolle von Eltern, Schulen und Jugendhilfe. Keine dieser Empfehlungen birgt allerdings so weitreichende Gefahren wie Alterskontrollen. Der deutsche Ethikrat schreibt:
Die Technologien sind Instrumente zur Unterscheidung und unterschiedlichen Behandlung von Nutzergruppen. Als solche können sie auch zweckentfremdet werden, und zwar sowohl zur Beschränkung des Zugangs für weitere Gruppen als auch des Zugangs zu anderen Inhalten, zum Beispiel zu Materialien zur sexuellen Aufklärung oder gar zu solchen, die politisch unerwünscht sind. Aufgrund dieser breiten Einsatzmöglichkeiten kann nicht ausgeschlossen werden, dass die Altersbestimmungstechnologien als Zensurinstrument missbraucht werden.
Mehr als 400 internationale Forscher*innen aus IT-Sicherheit und Datenschutz warnten in einem offenen Brief vom März 2026: Die Einführung von Alterskontrollen ohne weitere Forschung sei „gefährlich und gesellschaftlich nicht hinnehmbar“. Es fehle ein klares Verständnis dafür, was diese Kontrollen anrichten können, für „Sicherheit, Privatsphäre, Gleichberechtigung“ und die „Autonomie“ aller Menschen.
Eine drittes Paket an Empfehlungen kommt noch
Derzeit erarbeitet noch ein weiteres – also ein drittes – Gremium Vorschläge zum Schutz junger Menschen im Netz, und zwar auf EU-Ebene. Teils gibt es bei den Gremien personelle Überschneidungen: Judith Simon ist Professorin an der Universität Hamburg zur Ethik in der Informationstechnologie. Sie ist Mitglied im Ethikrat und im deutschen Gremium und war zu Gast im EU-Gremium.
In einer Doppelrolle unterwegs ist der Co-Vorsitzende des EU-Gremiums, Jörg Fegert, Professor an der Uniklinik Ulm für Kinder- und Jugendpsychiatrie, Psychosomatik und Psychotherapie. Er war auch Teil des deutschen Gremiums.
Am 13. Juli soll das EU-Gremium seine Ergebnisse EU-Kommissionspräsidentin Ursula von der Leyen (CDU) vorlegen. Es könnte das netzpolitisch einflussreichste der drei Pakete werden, denn Plattformregulierung wird vor allem auf EU-Ebene verhandelt. Auch Familienministerin Karin Prien (CDU) sagte mit Blick auf die deutschen Fachleute: „Ich setze mich dafür ein, dass uns eine europäische Lösung gelingt.“
Gelingen kann aber nichts, solange sich die Politik und ihre Berater*innen um unangenehme Fragen drücken: Welche Nachteile wollen wir als Gesellschaft wirklich in Kauf nehmen – mit oder ohne Alterskontrollen?
Datenschutz & Sicherheit
„Akute Bedrohung“: Innenminister fordern vollständiges Verbot von Indymedia
Die Innenminister der Länder haben auf ihrer Konferenz in Hamburg Mitte Juni ein Signal gegen den organisierten Linksextremismus gesetzt. Bei dem Treffen einigte sich das Gremium auf eine neue Initiative gegen das als linksextremistisch eingestufte Portal indymedia.org. Sie appellieren in dem nun veröffentlichten Beschluss offiziell an das Bundesinnenministerium, „alle rechtlichen Möglichkeiten für ein vollständiges Verbot“ zu prüfen und sich innerhalb der Bundesregierung dafür einzusetzen. Damit griff die Konferenz ein Anliegen auf, das der hessische Innenminister Roman Poseck (CDU) einbrachte.
Weiterlesen nach der Anzeige
„Netzsperren als ultima ratio“
Die Konferenz weist darauf hin, dass das geltende Straf- und Gefahrenabwehrrecht bereits ausreichende Grundlagen biete, um entschieden gegen die Plattform vorzugehen. Als konkrete Instrumente nennen sie die Beschlagnahme von Webseiten, Löschungsaufforderungen an Host-Provider sowie „Netzsperren als ultima ratio“. Von diesen Optionen soll in der Vollzugspraxis konsequenter Gebrauch gemacht werden.
Hessen startete die Initiative, weil das Bundesland laut Poseck eine besorgniserregende Zunahme linksextremer Straftaten verzeichnete. Der Christdemokrat bezeichnete das Portal als das derzeit wichtigste Informations- und Propagandamedium der Szene, das Straftaten und Gewalt aktiv fördere.
In der Begründung zeichnen die Innenminister ein ernstes Bild der Sicherheitslage. Linksextremismus stelle vor allem angesichts von Angriffen auf kritische Infrastrukturen, gewaltsamen Ausschreitungen und einer zunehmenden internationalen Vernetzung eine hohe Bedrohung für die Gesellschaft und die freiheitliche demokratische Grundordnung dar.
Die Szene instrumentalisiere gesellschaftliche Themen wie Klimaschutz, soziale Gerechtigkeit und die Wehrpflicht, heißt es. Ziel sei es, in breitere Schichten vorzudringen und immer jüngere Menschen – darunter insbesondere Schülerinnen und Schüler – zu erreichen. Daher gewinne die Absprache im Koalitionsvertrag auf Bundesebene für das Erarbeiten einer Strategie gegen linksextremistische Strukturen an Bedeutung.
Rechtlich vermintes Terrain
Weiterlesen nach der Anzeige
Das Vorhaben berührt juristisch sensibles Terrain. Bereits im August 2017 hatte das damals von Thomas de Maizière (CDU) geführte Bundesinnenministerium den Indymedia-Ableger „linksunten“ auf Basis des Vereinsgesetzes verboten. Die darauffolgenden Maßnahmen wie Hausdurchsuchungen und Strafverfahren erwiesen sich im Nachgang aber als Hürdenlauf.
Mehrere Gerichte erklärten die Razzien später für teilweise rechtswidrig. Strafverfahren gegen mutmaßliche Administratoren und Unterstützer wurden eingestellt, da sich keine konkrete Betreiberstruktur nachweisen ließ. Es waren sogar Redaktionsräume des Senders Radio Dreyeckland betroffen, was das Bundesverfassungsgericht rügte. Die Einstufung der Webseite als Verein blieb in der Rechtswissenschaft ebenfalls umstritten, auch wenn sie das Bundesverwaltungsgericht 2020 bestätigte.
Während „linksunten“ abgeschaltet blieb, existiert die Plattform „de.indymedia.org“ bis heute. Der neue Anlauf der Innenministerkonferenz zielt darauf ab, dieses rechtliche Vakuum zu beenden. Das Gremium dürfte damit aber wieder eine komplexe Debatte über die Grenzen digitaler Repression und die Verhältnismäßigkeit staatlicher Eingriffe im Internet anstoßen.
(afl)
Datenschutz & Sicherheit
PC-Fernverwaltung: Man-in-the-Middle-Attacken auf HCL BigFix möglich
Aufgrund von Softwareschwachstellen in Ruby-Komponenten, die HCL BigFix nutzt, können Angreifer Systeme attackieren. Erfolgreiche Attacken können unter anderem zu Abstürzen führen.
Weiterlesen nach der Anzeige
Admins, die in Firmen HCK BigFix etwa zum Verteilen von Sicherheitspatches auf Firmen-PCs nutzen, sollten zeitnah die Version 2.0.18 installieren. Wenn das nicht geschieht, sind Systeme verwundbar und Angreifer können an sechs Sicherheitslücken ansetzen.
Mehrere Schwachstellen
Die Lücken stecken Warnmeldungen zufolge in der E-Mail-Bibliothek Ruby Net-imap und dem Dokumentationstool Ruby Yard Gem.
Wie aus einer Warnmeldung hervorgeht, ist eine davon in Ruby Net-imap mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2026-42246). Hier kann sich der Beschreibung zufolge ein Angreifer als Man-in-the-Middle in Verbindungen einklinken und Verbindungen ohne TLS-Verschlüsselung starten. Wie das konkret ablaufen kann, ist bislang unklar.
Durch das erfolgreiche Ausnutzen der verbleibenden Lücken kommt es primär zu DoS-Zuständen. Diese Schwachstellen sind mit „mittel“ und „niedrig“ eingestuft.
Bislang gibt es seitens HCLSoftware keine Hinweise, dass Angreifer die Lücken bereits ausnutzen. Admins sollten die Sicherheitsupdates zeitnah installieren.
Im Mai haben die Entwickler in HCL BigFix SCM Reporting eine Schadcode-Lücke geschlossen.
Weiterlesen nach der Anzeige
(des)
-
Künstliche Intelligenzvor 3 MonateniX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Künstliche Intelligenzvor 2 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Apps & Mobile Entwicklungvor 2 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Künstliche Intelligenzvor 2 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
