Am Freitag hat die dänische Ratspräsidentschaft eine neue Version des Gesetzentwurfs zur Chatkontrolle verschickt. Wir veröffentlichen das Dokument in Volltext: Vorschlag für eine Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern.

Seit über drei Jahren streiten die EU-Institutionen über eine verpflichtende Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Minimale Änderungen

Die EU-Staaten können sich bisher nicht auf eine gemeinsame Position einigen. Ganze 37 mal hat der Rat in der Arbeitsgruppe Strafverfolgung verhandelt. Die Ratspräsidentschaft macht jetzt Druck. Dänemark sagt ganz offen, dass sie keine weiteren Verhandlungen mehr wollen. Stattdessen lassen sie den alten Gesetzentwurf einfach noch einmal abstimmen.

Dänemark hat am ersten Tag seiner Ratspräsidentschaft einen Gesetzentwurf vorgelegt. Drei Wochen später folgte eine zweite Version, mit nur minimalen Änderungen. Jetzt hat Dänemark eine weitere Version verschickt. Erneut gibt es keine relevanten Änderungen.

Client-Side-Scanning

Der Gesetzentwurf umfasst über 200 Seiten. Inhaltliche Änderungen hat Dänemark seit seiner ersten Version nicht gemacht. Nur in der Einleitung haben sie eine gute Seite über den bisherigen Verhandlungsverlauf ergänzt.

Der Gesetzentwurf spricht explizit von Client-Side-Scanning, also dem „Erkennen von Inhalten in Ende-zu-Ende-verschlüsselter Kommunikation vor der Übertragung“.

Chatkontrolle ist rechtswidrig

Alle relevanten IT-Experten sagen, dass Client-Side-Scanning in verschlüsselter Kommunikation die Vertraulichkeit der Verschlüsselung zerstört. Zuletzt haben hunderte Wissenschaftler diese Position erneut vor diesem Schritt gewarnt.

Der Juristische Dienst der EU-Staaten bezeichnet die massenhafte Überwachung vertraulicher Kommunikation als rechtswidrig und erwartet, dass Gerichte das geplante Gesetz wieder kippen.

Deutschland entscheidet

Die sozialdemokratisch geführte Regierung Dänemarks gibt sich davon unbeeindruckt. In zwei Tagen sollen die Ständigen Vertreter in Brüssel die Stimmen der EU-Staaten zählen. Wenn es eine ausreichende Mehrheit gibt, sollen die Justiz- und Innenminister den Gesetzentwurf nächste Woche auf den Weg bringen.

Dabei kommt es auf Deutschland an. Bleibt die Bundesregierung bei ihrer bisherigen Position, gibt es keine ausreichende Mehrheit für die Chatkontrolle. Ändert Deutschland seine Meinung und stimmt zu, kommt die Chatkontrolle auf EU-Ebene.

Am morgigen Dienstag treffen sich Innenminister Alexander Dobrindt (CSU) und Justizministerin Stefanie Hubig (SPD) und entscheiden über die deutsche Position. Zivilgesellschaftliche Organisationen rufen dazu auf, die relevanten Politiker zu kontaktieren.

Die Laufzeitumgebung für die Spiele-Engine Unity steckt in diversen populären Spielen. Microsoft meldet nun eine schwerwiegende Sicherheitslücke darin, die Angreifern das Ausführen von Schadcode erlaubt. Bis zur Verfügbarkeit von Updates sollen Nutzerinnen und Nutzer betroffene Software deinstallieren, rät der Hersteller.

Microsoft beschreibt die Schwachstelle als „nicht vertrauenswürdigen Suchpfad“, was sich mit der Beschreibung des Herstellers Unity zwar deckt, jedoch laut Fehlerbericht des Schwachstellenentdeckers mit dem Handle RyotaK zu kurz greift. Die Unity-Laufzeitumgebung nutzt demnach Intents zur Kommunikation zwischen Komponenten von Apps, und das anscheinend nicht nur unter Android. Angreifer können bösartige Intents nutzen, um Kommandozeilen-Parameter zu kontrollieren, die an Unity-Apps durchgereicht werden. Dadurch können sie beispielsweise beliebige Bibliotheken laden und Schadcode ausführen. Bösartige Apps auf demselben Gerät wie die Unity-Apps können dadurch die Rechte davon erlangen. Dies sei in manchen Fällen sogar aus dem Internet ausnutzbar (CVE-2025-59489 / EUVD-2025-32292, CVSS 8.4, Risko „hoch„).

Betroffen sind Apps und Spiele, die mit dem Unity Gaming Engine Editor in Version 2017.1 oder neuer erstellt wurden. Allerdings nicht auf allen Plattformen: Während Nutzerinnen und Nutzer unter Android, Linux, macOS und Windows aktiv werden müssen, können sich jene mit Hololens, iOS, Xbox-Cloud-Gaming und XBox-Konsolen entspannt zurücklehnen; letztere sind nicht anfällig.

Jetzt Gegenmaßnahmen ergreifen

Exploit-Code ist laut Microsoft verfügbar. Daher sollten potenziell betroffene Nutzer aktiv werden. Wer verwundbare Microsoft-Apps oder -Spiele einsetzt, sollte diese bis zur Verfügbarkeit eines Updates deinstallieren, empfiehlt der Hersteller. Der arbeitet an Aktualisierungen, nennt jedoch kein geplantes Datum für deren Verfügbarkeit. Entwickler sollen die korrigierte Software von Unity installieren und Updates für ihre Apps oder Spiele so schnell wie möglich veröffentlichen. Neben Spielen sind von Microsoft auch „Mesh PC“-Programme betroffen. Die Version 5.2513.3.0 oder neuer stopft die Sicherheitslücken und soll bereits bei aktiviertem Auto-Update auf betroffenen Maschinen angekommen sein.

Microsoft listet folgende Apps und Spiele als verwundbar auf:

• Microsoft Mesh PC Applications
• Pillars of Eternity
• Hearthstone
• Grounded 2 Artbook
• Zoo Tycoon Friends
• The Elder Scrolls: Legends
• Mighty Doom
• Halo Recruit
• Gears POP!
• Forza Customs
• DOOM II (2019)
• DOOM (2019)
• Wasteland Remastered
• Wasteland 3
• Warcraft Rumble
• The Elder Scrolls: Castles
• The Elder Scrolls: Blades
• The Elder Scrolls IV: Oblivion Remastered Companion App
• The Bard’s Tale Trilogy
• Starfield Companion App
• Pillars of Eternity: Hero Edition
• Pillars of Eternity: Definitive Edition
• Pillars of Eternity II: Deadfire – Ultimate Edition
• Pillars of Eternity II: Deadfire
• Knights and Bikes
• Ghostwide Tokyo Prelude
• Fallout Shelter
• DOOM: Dark Ages Companion App
• Avowed Artbook

In der Tabelle im CVE-Eintrag von Microsoft listet das Unternehmen auch die fehlerkorrigierten Versionen auf. Allerdings ist bislang lediglich für die Mesh-PC-Software ein Update verfügbar. Wer die betroffene Software nutzt, sollte sie daher deinstallieren und im Anschluss regelmäßig prüfen, ob eine Aktualisierung verfügbar ist. Mit neuem Stand können sie die Software dann wieder installieren.

Zuletzt fiel Microsoft mit einer kritischen Entra-ID-Lücke auf. Dadurch waren alle Tenant global kompromittierbar.

(dmk)

Der Messenger-Gigant WhatsApp spricht sich ebenso wie der schweizerische Messenger Threema vehement gegen die Chatkontrolle aus. Am vergangenen Mittwoch hatte schon der Messenger Signal angekündigt, dass er in letzter Konsequenz sogar den europäischen Markt verlassen würde, wenn durch das geplante EU-Gesetz keine private, verschlüsselte Kommunikation mehr möglich sei.

Auch beim Branchen-Riesen WhatsApp teilt man die grundlegende Kritik. Eine Sprecherin von Meta, dem Mutter-Konzern des Messengers, sagte gegenüber netzpolitik.org: „Trotz gegenteiliger Behauptungen untergräbt der neueste Vorschlag der Ratspräsidentschaft der EU nach wie vor die Ende-zu-Ende-Verschlüsselung und gefährdet die Privatsphäre, Freiheit und digitale Sicherheit aller.“ WhatsApp setze sich weiterhin für stärkere Sicherheit ein und sei der Überzeugung, dass Regierungen weltweit dies ebenfalls tun sollten.

„Entschieden gegen Massenüberwachung jeder Form“

In eine ähnliche Richtung argumentiert der Messenger Threema: „Wir sind nach wie vor entschieden gegen Massenüberwachung in jeder Form“, sagt Pressesprecher Philipp Rieger gegenüber netzpolitik.org. „Wie man im physischen Raum vertrauliche Konversationen führen kann, sollte das nach unserem Verständnis auch online möglich sein.“

Das Unternehmen hat seine Position auch in einem Blog-Beitrag dargelegt. Demnach sei Massenüberwachung kein taugliches Mittel zur Kriminalitätsbekämpfung und unvereinbar mit demokratischen Grundsätzen. Darüber hinaus macht Threema auch auf das technologische Sicherheitsrisiko aufmerksam.

Würde die Chatkontrolle gemäß dem aktuellen Vorschlag von Dänemark durchkommen, würde Threema die Ausformulierung nach den Trilog-Verhandlungen abwarten und alle Optionen gründlich prüfen. In diesem Gesetzgebungsschritt versuchen sich EU-Parlament, Kommission und Rat auf einen gemeinsamen Gesetzesentwurf zu einigen. Threema geht davon aus, dass die Chatkontrolle in der gegenwärtig propagierten Form nicht mit EU-Grundrechten vereinbar ist und letzten Endes vom EuGH kassiert werden würde.

Chatkontrolle als Bedrohung für Privatsphäre und Demokratie

Bei der sogenannten Chatkontrolle geht es um eine EU-Verordnung, die sich gegen die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs (sogenannte Kinderpornografie) richten soll. Sie wird seit drei Jahren kontrovers in der EU verhandelt, weil die Verordnung Vorschriften enthält, die Messenger wie WhatsApp, Signal, Threema oder Telegram auf Anordnung verpflichten sollen, Inhalte von Nutzer:innen ohne jeden Verdacht zu durchsuchen.

Dieses Durchleuchten von Dateien würde dazu führen, dass eine verschlüsselte und sichere Kommunikation untergraben wird. Die komplette IT-Fachwelt, führende Sicherheitsforscher, Wissenschaftler:innen aus aller Welt sowie zivilgesellschaftliche Organisationen aller Art lehnen daher die Chatkontrolle als Bedrohung für die Demokratie vehement ab. Außerdem könne die Suche nach Missbrauchsdarstellungen mit wenigen Handgriffen auch auf andere, etwa politisch missliebige Inhalte ausgeweitet werden.

Druck auf Ministerien nötig

Die Bundesregierung wird sich vermutlich vor dem 14. Oktober auf eine Position für die Verhandlungen im EU-Rat einigen. Zur Debatte steht der dänische Vorschlag, der eine verpflichtende Chatkontrolle und Scannen der Inhalte auf den Geräten der Nutzer:innen beinhaltet.

Das Bündnis „Chatkontrolle stoppen“ ruft dazu auf, die im akutellen Schritt relevanten Personen und Organisationen zu kontaktieren. Das sind vor allem die beteiligten Bundesministerien (Innen, Justiz, Digital, Familie) sowie die Fraktionen und Abgeordneten der Regierungsparteien im Bundestag. Am besten wirken direkte E-Mails und Telefonanrufe oder auch rechtzeitig ankommende Briefe. Auf der Website des Bündnisses gibt es Tipps und Adressen, um selbst aktiv zu werden.