Während viele wichtige Politiker*innen auf ein Social-Media-Verbot für Minderjährige drängen, arbeitet die EU-Kommission gerade an einem Gesetz mit einem anderen Ansatz. Der Digital Fairness Act soll Lücken im Verbraucherschutz schließen und ein höheres Schutzlevel für alle bringen.

Bei ihrer Arbeit am Entwurf nehmen die Beamt*innen gleich mehrere der Gefahren ins Visier, die auch Minderjährige betreffen, etwa süchtig machende Funktionen. Sollten sich solche Gefahren durch Regulierung bannen lassen, könnte das Befürworter*innen eines Social-Media-Verbots den Wind aus den Segeln nehmen.

Von der Arbeit am Gesetzentwurf berichtete jüngst Maria-Myrto Kanellopoulou bei einer Podiumsdiskussion in Brüssel. Sie leitet das Referat für Verbraucherrecht in der Generaldirektion Justiz und Verbraucher. Für die gesamte Kommission kann sie deshalb nicht sprechen; ihre Ausführungen liefern vielmehr einen Blick in die Arbeit hinter den Kulissen.

Kanellopoulou zufolge erwäge man, Nutzer*innen die Möglichkeit zu geben, süchtig machende Funktionen an- und auszuschalten. Als Beispiel für solche Funktionen nannte sie etwa unendliches Scrolling, automatisch startende Videos oder Belohnungen, wenn Menschen besonders aktiv sind. Es geht also um jene psychologischen Tricks, die dazu führen, dass viele Menschen täglich stundenlang auf TikTok oder Instagram unterwegs sind.

Auch Videospiele im Visier

Weiter ging Kanellopoulou auf manipulative Designs ein, sogenannte Dark Patterns. Hier geht es um Funktionen, die Menschen etwa dazu bringen können, mehr Geld auszugeben als sie eigentlich wollten. Zu Geschäftspraktiken, die unter allen Umständen unfair sind, werde man „sehr wahrscheinlich ausdrückliche Verbote“ einführen.

Bereits das Gesetz über digitale Dienste (DSA) enthält Vorschriften zum Schutz vor süchtig machenden und manipulativen Designs. Einige Online-Angebote fallen aber nicht unter den DSA, weil sie nicht als digitale Dienste gelten. Hier soll der Digital Fairness Act nachbessern. Es gehe um ein Mindestlevel an Schutz für alle Verbraucher*innen, so Kanellopoulou.

Als Beispiel nennt sie Videospiele mit glücksspielähnlichen Mechanismen. Das bekannteste Beispiel sind Lootboxen, also kostenpflichtige Überraschungskisten, die ähnlichen Nervenkitzel und Suchtgefahr bergen können wie klassisches Glücksspiel. Zu Lootboxen gibt es in der EU bisher nur nationale Regeln.

Beim Gesetz über digitale Dienste ist die Durchsetzung auf die Kommission und die einzelnen Mitgliedstaaten aufgeteilt; lediglich sehr große Plattformen und Suchmaschinen hat die EU-Kommission zentral im Blick. Beim Digital Fairness Act diskutieren die Architekt*innen des Gesetzes laut Kanellopoulou Möglichkeiten für eine „zentralisiertere“ Durchsetzung.

Minderjährige können Vorkehrungen umgehen

Die international heiß gelaufene Debatte um ein mögliches Social-Media-Verbot für Minderjährige ist auch an Kanellopoulou nicht vorbeigegangen. Zwar sei der Digital Fairness Act kein ausschließliches Kinder- und Jugendschutzgesetz, stellt die Referatsleiterin klar. Dennoch erwäge man strengere Regeln für Minderjährige. „Wir prüfen daher, ob bestimmte Funktionen verboten werden sollten, wenn der betreffende Verbraucher minderjährig ist“, sagte sie auf Englisch.

Von einem Zugangsverbot zu bestimmen Social-Media-Plattformen sprach die Referatsleiterin allerdings nicht. Stattdessen betonte sie: „Wir wissen, dass das Risiko einer Umgehung für Minderjährige sehr hoch ist.“ Man könne alle möglichen Vorkehrungen für Minderjährige entwickeln – dennoch würden sich Kinder im Netz an Orten wiederfinden, die nicht für sie gemacht seien.

Die Erläuterungen der Referatsleiterin deuten auf einen breiten Fokus des Digital Fairness Acts hin. Es geht also nicht nur darum, wie angreifbar Minderjährige sind. Im Netz seien alle Verbraucher*innen vulnerabler als offline, wie Kanellopoulou erklärt. Im Lichte technologischer Entwicklungen prüfe man deshalb, ob es ein neues Verständnis dafür brauche, welche Verbraucher*innen als „vulnerabel“ gelten. „Wir möchten sicherstellen, dass Mindestanforderungen bereits ein hohes Maß an Verbraucherschutz garantieren.“

Die Pressestelle der EU-Kommission liefert auf Anfrage keine näheren Informationen zu den von Kanellopoulou beschriebenen Aspekten des geplanten Digital Fairness Acts. „Bei der Ausarbeitung der Initiative wird die Kommission besonderes Augenmerk auf den Schutz Minderjähriger im Internet legen“, teilt eine Sprecherin mit. Bis „Ende des Jahres“ will die Kommission den Entwurf vorlegen.

In der Backup-Software Veeam Backup & Replication haben die Programmierer mehrere, teils sogar kritische Sicherheitslücken entdeckt. Sie erlauben Angreifern unter anderem, beliebigen Code einzuschleusen und auszuführen. Updates bessern die Schwachstellen aus.

Veeam hat zwei Sicherheitsmeldungen veröffentlicht. In der ersten Mitteilung listet das Unternehmen die Sicherheitslecks auf, die das Update auf Veeam Backup & Replication 12.3.2.4465 schließt. Details nennt Veeam jedoch nicht, sondern lediglich die Auswirkungen. Zwei Lücken ermöglichen etwa authentifizierten Domain-Usern, Schadcode aus dem Netz auf dem Backup-Server auszuführen (CVE-2026-21666, CVE-2026-21667, beide CVSS 9.9, Risiko „kritisch“). Angemeldete Domain-Nutzer können zudem Zugriffsbeschränkungen umgehen und beliebige Dateien in Backup-Repositories manipulieren (CVE-2026-21668, CVSS 8.8, Risiko „hoch“). Auf Windows-basierten Backup & Replication-Servern ist zudem die Ausweitung der Rechte möglich (CVE-2026-21672, CVSS 8.8, Risiko „hoch“). IT-Verantwortliche mit Veeam Backup & Replication 12, 12.1, 12.2, 12.3, 12.3.1 und 12.3.2 sollen auf die neue Version aktualisieren.

Eine zweite Sicherheitsmitteilung fasst die Schwachstellen zusammen, die die Version Veeam Backup & Replication 13.0.1.2067 ausbessert. Auch hier können angemeldete Domain-User Schadcode aus dem Netz auf dem Backup-Server ausführen (CVE-2026-21669, CVSS 9.9, Risiko „kritisch“). In Hochverfügbarkeitsumgebungen (High Availability, HA) von Veeam Backup & Replication können User mit Backup-Admin-Rolle beliebigen Code ausführen (CVE-2026-21671, CVSS 9.1, Risiko „kritisch“). Die Rechteausweitungslücke CVE-2026-21672 betrifft auch den 13er-Entwicklungszweig. Außerdem können Nutzer mit niedrigen Rechten gespeicherte SSH-Zugangsdaten auslesen (CVE-2026-21670, CVSS 7.7, Risiko „hoch“).

Veeam: Schwachstellen in allen Versionen

In den 12er- und 13er-Fassungen von Veeam finden sich zudem gemeinsame Sicherheitslücken. Nutzer, die in der Backup-Viewer-Rolle aktiv sind, können zudem Code aus dem Netz als User „postgres“ ausführen (CVE-2026-21708, CVSS 9.9, Risiko „kritisch“). Die Version passt zudem noch den Port-Range des Veeam Agent für Linux an den von anderen Veeam-Produkten an, er liegt nun zwischen 2500 und 3000. Veeam gibt an, dass die Lücken in internen Tests und über Einreichungen über die Bug-Bounty-Plattform HackerOne gefunden wurden. Eine öffentliche Ausnutzung berichtet der Hersteller nicht.

IT-Verantwortliche sollten sich zügig um die Aktualisierung ihrer Veeam-Systeme kümmern. Die kritischen Sicherheitslücken bieten Angreifern andernfalls eine Angriffsfläche. Zuletzt hatte Veeam mehrere Schwachstellen in der Backup-Software im Januar korrigiert.

(dmk)

Der US-Medizingerätehersteller Stryker, mit einem Jahresumsatz von 25,1 Milliarden US-Dollar und 56.000 Mitarbeitern im Jahr 2025 ein recht großes und auch in Deutschland an mehreren Standorten aktives Unternehmen, wurde Opfer eines Cyberangriffs. Am Donnerstag dieser Woche bestätigt Stryker den von der im Iran verorteten Cyberbande Handala behaupteten Cyberangriff auf die IT-Systeme.

Demnach hat ein Cyberangriff auf die Computersysteme von Stryker am Mittwoch dieser Woche zur weitreichenden Unterbrechung der Geschäftsprozesse geführt, einschließlich der Bestellbearbeitung, Produktion und dem Versand, berichtet Reuters. Die iranische Cybergang Handala behauptet, für den Angriff verantwortlich zu sein. Er erfolgte demnach als Vergeltung für einen Angriff auf eine Mädchenschule in Minab im Süden des Iran Ende Februar.

„Globale Störung der Microsoft-Umgebung“

Stryker hat gegenüber US-Medien am Mittwoch erklärt, eine „globale Störung in der Microsoft-Umgebung“ zu haben. Der IT-Journalist Brian Krebs konkretisiert, dass es sich um einen Wiper-Angriff handelt, bei dem mehr als 200.000 Systeme, Server und Mobilgeräte des Unternehmens gelöscht worden sein sollen. Ein Mitarbeiter des Unternehmens habe demnach dem Irish Examiner berichtet, dass alle zum Unternehmensnetz verbundenen Geräte „Down“ seien und jedes Gerät mit Microsoft Outlook darauf gelöscht wurde.

Die Login-Webseiten seien mit dem Logo der Gruppe Handala verunstaltet. Gegenüber Krebs habe eine anonyme, aber vertrauenswürdige Quelle angegeben, dass die Cyberkriminellen Microsofts Intune-Dienst für die Fernlöschung sämtlicher verbundener Geräte genutzt haben. Dabei handelt es sich um eine bekannte und weitverbreitete, cloudbasierte Netzwerk-, Software- und Geräteverwaltungssoftware von Microsoft.

Der Vorfall habe jedoch keine patientenbezogenen Dienste und damit verbundene Medizinprodukte getroffen, erklärte Stryker. Der volle Umfang und die finanziellen Folgen seien derzeit noch nicht absehbar. Die Untersuchungen laufen noch.

Auf Anfrage von heise online hat Stryker bislang noch nicht reagiert. Möglicherweise sind auch die deutschen Dependancen davon betroffen.

(dmk)