Uns fehlen dieses Jahr
noch 320.168 Euro.
Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.
Jetzt Spenden
Datenschutz & Sicherheit
So unterschiedlich wollen EU-Staaten die Digitalregulierung verändern
Vor zwei Wochen hat die Europäische Kommission ein Gesetzespaket unter dem Namen „Digitaler Omnibus“ vorgestellt. Damit sollen mehrere bereits beschlossene Gesetze verändert werden, um Unternehmen zu entlasten und Europas Digitalindustrie zu stärken. An dem Vorhaben gibt es von vielen Seiten massive Kritik.
Doch was halten eigentlich die 27 Mitgliedstaaten von den Plänen der Kommission? Neben dem Parlament müssen auch sie dem Vorhaben zustimmen. Anders als aus einigen Parlamentsfraktionen, die sich wiederholt sehr kritisch äußern, hört man aus den Mitgliedstaaten bislang wenige Reaktionen auf die konkreten Vorschläge. Vor ihrer offiziellen Vorstellung übermittelten die Mitgliedstaaten allerdings ihre Positionen an die Kommission. Manche davon konnten wir einsehen. Daraus lässt sich bereits einiges ablesen.
Viele Mitgliedstaaten forderten etwa, die Fristen für Hochrisiko-KI-Systeme aus der KI-Verordnung um mindestens 12 Monate zu verlängern. So positionierten sich unter anderem Deutschland, Polen, Dänemark und Frankreich. Die Kommission plant in ihrem Vorschlag tatsächlich eine Verschiebung von bis zu 16 Monaten.
Frankreichs Regierung äußerte sich auf dem Souveränitätsgipfel in Berlin klar: Die Digitalregeln sollen unbedingt verändert werden, um europäische Innovation zu unterstützen, vor allem im KI-Bereich. In diese Richtung argumentierte auch das deutsche Bundesdigitalministerium.
Mehr Klarheit statt Verzögerung
In seinem Positionspapier meint Lettland ebenfalls, es brauche „realistische“ Umsetzungsfristen für die KI-Verordnung. Eine Verzögerung forderte der baltische Staat aber nicht explizit. Stattdessen sprach sich Lettland für Ersatzmechanismen aus, die bei der Umsetzung der Vorgaben Rechtssicherheit geben sollten, solange die Standards noch fehlen.
Auch die Niederlande erklärten in ihrem Positionspapier, dass es deutlicher sein müsste, wie die KI-Verordnung erfüllt werden kann. Ziel sei, das Vertrauen zu stärken und einen europäischen Markt für menschenzentrierte KI zu schaffen. Dabei hält das Land mehr Klarheit für eine „bevorzugte Strategie“ im Vergleich zur Verlängerung der Fristen, heißt es im Papier.
Im Bereich des Datenschutzes schlugen die Niederlande praktische Instrumente vor, um insbesondere kleinen Organisationen bei der Umsetzung der Regeln zu helfen. In Bezug auf Cookies wollen sie, dass Nutzende im Browser entscheiden können, welche sie akzeptieren. So sollen ihre Grundrechte und Freiheiten geschützt werden. Im Kommissionsvorschlag findet sich eine solche Regelung. Darüber hinaus forderten die Niederlande aber keine Änderungen an der Datenschutz-Grundverordnung (DSGVO).
Kaum einer will die DSGVO ändern
Im Gegensatz dazu plädierte Dänemark in seinem Papier (PDF) für die Überarbeitung der Datenschutzvorschriften, um die „Belastungen für die Unternehmen zu verringern“ und „innovationsfreundlicher“ zu werden. Hier wird der „KI-Wettlauf“ erwähnt, in dem Europa ansonsten schlechte Chancen hätte.
Der nordische Staat würde im Datenschutz außerdem gerne einen stärker risikobasierten Ansatz verfolgen: Die Regularien sollen in einem „angemessenen Verhältnis“ zu den tatsächlichen Risiken der Datenverarbeitung stehen.
Auch Deutschland (PDF) habe maßgeblich auf die Änderungen der DSGVO hingewirkt, sagt die Nichtregierungsorganisation noyb. Sie hat ein Dokument veröffentlicht, in welchem neun Mitgliedstaaten ihre Meinung zu möglichen Änderungen der DSGVO abgeben. Darin zeigt sich auch Tschechien offen gegenüber Änderungen der Verordnung.
Estland, Österreich und Slowenien sehen hingegen keine Notwendigkeit, die DSGVO zu verändern. Finnland, Polen und Schweden sind offen für kleine, technische Anpassungen. Doch auch sie wollen keine Definitionen verändern, so wie es der Kommissionsvorschlag nun vorsieht. Frankreich will die DSGVO aktuell ebenfalls nicht anfassen, verschließt sich der Möglichkeit aber nicht völlig.
Vereinfachung doch nicht so einfach?
Ein weiterer Diskussionspunkt betrifft die gebündelte Meldung von Cybersicherheitsvorfällen über eine zentrale Plattform. Während viele Staaten diese Zusammenfassung begrüßen, darunter Lettland, sind andere skeptisch, ob dadurch tatsächlich die gewünschte Vereinfachung und Kosteneinsparung erreicht würden.
Die Niederlande weisen darauf hin, dass Meldungen nach der NIS-2-Richtlinie und der Richtlinie zur Resilienz kritischer Einrichtungen (CER) ohne Probleme zusammengefasst werden könnten. Bei Meldungen nach dem Cyber Resilience Act (CRA) und der DSGVO sehen sie hingegen Hürden, da sich hier die Häufigkeit der Meldung, der Zweck und die Zuständigkeiten erheblich unterscheiden würden.
Ähnlich äußerte sich auch das österreichische Innenministerium in der Konsultation zum Omnibus-Paket: Konkrete Maßnahmen hinsichtlich der Meldepflichten müssten „wohlüberlegt und technisch ausgereift“ sein, um tatsächlich einen Mehrwert darzustellen. Änderungen der Zuständigkeiten würden schließlich auch eine Änderung der Verwaltungsorganisation bedeuten und „gravierenden Aufwand und hohe Kosten“ verursachen.
Österreich merkte zudem an, dass die Kommission vor der Vereinfachung erst ein „umfassendes Mapping“ erstellen sollte. Es soll übersichtlich zeigen, welche Vorschriften es im Digitalbereich bereits gibt.
Unterschiedliche Prioritäten
Andere Länder formulieren derzeit noch ihre Haltung zum Kommissionsvorschlag. Zum Teil haben sie zu einzelnen Themen auch keine besonders starke Position. Dazu muss man wissen: Jede Regierung setzt für sich Schwerpunkte in der EU-Politik und widmet sich vor allem jenen Themen, die für sie besonders wichtig sind.
Am Freitag, den 5. Dezember, werden die Digitalminister:innen der 27 Mitgliedstaaten zum ersten Mal zu den geplanten Änderungen beraten. Dann trifft sich der Telekommunikations-Rat in Brüssel.
Datenschutz & Sicherheit
Jetzt handeln! Angreifer umgehen offenbar Fortinet-Sicherheitspatch
Derzeit gibt es Hinweise darauf, dass Angreifer ein jüngst veröffentlichtes Sicherheitsupdate umgehen und FortiOS, FortiProxy, FortiSwitchManager und FortiWeb attackieren. Die Lücke gilt als „kritisch“.
Weiterlesen nach der Anzeige
Laufende Attacken
Die IT-Nachrichtenwebsite Bleepingcomputer berichtet von Fortinet-Kunden bei denen Angreifer Fortinet-Produkte trotz installiertem Sicherheitspatch erfolgreich attackieren. Die Schwachstelle (CVE-2025-59718) ist seit Dezember vergangenen Jahres bekannt. Zu diesem Zeitpunkt erschienen auch Sicherheitsupdates.
Seitdem laufen auch Attacken und Angreifer nutzen die Lücke aktiv aus. Im Anschluss haben sie Zugriff auf Geräte. In welchem Umfang die Angriffe ablaufen, ist derzeit unklar. In einem Beitrag führen Sicherheitsforscher von Artic Wolf unter anderem Parameter auf, an denen Admins bereits attackierte Geräte erkennen können.
Instanzen sind aber nur angreifbar, wenn die Authentifizierung über SSO aktiv ist. Das ist standardmäßig nicht der Fall. Weil Fortinet zum jetzigen Zeitpunkt noch kein repariertes Sicherheitsupdate veröffentlicht hat, müssen Admins jetzt handeln und die Anmeldung via SSO deaktivieren. Das gelingt über das Command-Line-Interface mit folgenden Befehlen:
config system global
set admin-forticloud-sso-login disable
Weiterlesen nach der Anzeige
end
Verwundbare Instanzen in Deutschland
In einer Warnmeldung listet Fortinet weiterführende Informationen zu den bedrohten Produkten auf. FortiWeb 7.0 und 7.2 sollen von der Lücke nicht betroffen sein. Sicherheitsforscher von Shadowserver haben das Internet auf SSO-Instanzen gescannt. Sie kommen derzeit weltweit auf mehr als 11.000 Stück. Hierzulande sind es noch knapp mehr als 120 Instanzen.
Zusätzlich haben es Angreifer zurzeit auf FortiSIEM abgesehen und nutzen eine „kritische“ Sicherheitslücke (CVE-2025-64155) aus.
(des)
Datenschutz & Sicherheit
Projekt Aegis: Niedersächsicher Cyberschutzschild basiert auf US-Technologie
Die Aegis ist der mythische Schild des Zeus und der Athene – und nun auch des Landes Niedersachsen. Das verkündete Innenministerin Daniela Behrens am Mittwoch auf der Landespressekonferenz. Kernstück des „Projekts Aegis“ ist ein System zur automatischen Angriffserkennung und automatischen Abwehr, beigesteuert vom kalifornischen Unternehmen Palo Alto Networks. Das seit anderthalb Jahren laufende Projekt soll die Abwehrfähigkeit der Landeseinrichtungen, aber auch von Hochschulen und Kommunen im Flächenstaat erhöhen – zu einem stolzen Preis. Insgesamt habe man mit dreißig Millionen Euro „viel Geld in die Hand genommen“, sagten die Verantwortlichen.
Weiterlesen nach der Anzeige
Die Menge und Qualität von Cyberangriffen nehme stetig zu, erklärte die Ministerin – und auch die eigenen Systeme würden komplexer. Daher habe die Digitalisierungsabteilung des Innenministeriums gemeinsam mit der IT Niedersachsen den digitalen Schutzschirm konzipiert und eingeführt. Damit sei man im Vergleich mit den anderen Bundesländern führend, erläuterte Behrens. Till Beilstein von IT Niedersachsen zog für die Herausforderungen moderner IT-Sicherheit den bekannten Burg-Vergleich heran: Eine dicke Außenmauer genüge nicht mehr. Attacken durch mutmaßlich staatliche Akteure, etwa aus russischem Staatsgebiet, aber auch aus Südostasien und dem Nahen Osten, machten einen großen Anteil der Angriffe aus.
Man wolle, so die Verantwortlichen, schneller in Erkennung und Reaktion werden und bediene sich dafür auch KI- und Cloud-gestützter Verfahren. Das XSIAM (eXtended Security Intelligence and Automation Management) des US-Unternehmens Palo Alto Networks soll hier helfen. Es ist so großzügig ausgelegt, dass es durch Land, Hochschulen und Kommunen genutzt werden kann, ist sich Ministerin Behrens sicher. Interessenten würden ab dem zweiten Halbjahr 2026 sukzessive unter den „Cyber-Schutzschild“ geholt.
Ein weiteres Ziel des Projekts ist ein ganzheitliches Lagebild der IT-Sicherheit für Niedersachsen. XSIAM soll das N-CERT (Niedersachsen Computer Emergency Response Team) bei Warn- und Meldeaufgaben unterstützen.
Digital wenig souverän – aus Sachzwang?
Von heise security gefragt, ob dies nicht dem Ziel der digitalen Souveränität widerspräche, entgegnete Ministerin Behrens: Zwar sei Palo Alto Networks ein US-Anbieter, doch habe die digitale Souveränität ihre Grenzen in der Anbieterqualität. In Ermangelung europäischer Alternativen habe man sich für den, so Behrens, weltweit führenden Firewall-Anbieter aus dem kalifornischen Santa Clara entschieden.
Fachbereichsleiter Beilstein sekundierte: Es sei über technisch-organisatorische Maßnahmen sichergestellt, dass keine Daten aus dem Landesnetz ins Ausland flössen, etwa in die Analysecloud von Palo Alto Networks.
Weiterlesen nach der Anzeige
(cku)
Datenschutz & Sicherheit
Sicherheitspatches: Atlassian sichert Confluence & Co. gegen mögliche Attacken
Atlassian hat für Bamboo, Bitbucket, Confluence, Crowd, Jira und Jira Service Management Data Center und Server wichtige Sicherheitsupdates veröffentlicht. Nach erfolgreichen Attacken können Angreifer in erster Linie DoS-Zustände und somit Abstürze auslösen.
Weiterlesen nach der Anzeige
In diesem Kontext wohl nicht kritisch
Aus einer Warnmeldung geht unter anderem hervor, dass die Entwickler zwei „kritische“ Lücken (CVE-2025-12383, CVE-2025-66516) geschlossen haben. Diese betreffen Eclipse Jersey und Apache Tika, die Bamboo und Confluence Data Center und Server einsetzen. Die Entwickler führen aus, dass die Schwachstellen die Atlassian-Anwendungen nicht unmittelbar betreffen und demzufolge ein geringerer Bedrohungsgrad gilt. Sind Attacken erfolgreich, können beispielsweise eigentlich nicht vertrauenswürdige Server als vertrauenswürdig eingestuft werden.
Die verbleibenden Sicherheitslücken sind mit dem Bedrohungsgrad „hoch“ eingestuft. Hier können Angreifer etwa für DoS-Attacken (zum Beispiel CVE-2025-52999) ansetzen. Es kann aber auch Schadcode auf Systeme gelangen (etwa CVE-2025-55752). Außerdem können sich Angreifer als Man-in-the-Middle in Verbindungen einklinken (CVE-2025-49146).
In Atlassians Warnmeldung gibt es keine Hinweise, dass Angreifer die Lücken bereits ausnutzen. So etwas kann sich aber schnell ändern und Admins sollten zeitnah die zum Download stehenden Sicherheitsupdates installieren. Alle vorigen Versionen sind den Entwicklern zufolge verwundbar.
- Bamboo Data Center and Server:
12.0.2 Data Center Only
Weiterlesen nach der Anzeige
10.2.13 to 10.2.14 (LTS) recommended Data Center Only
9.6.21 to 9.6.22 (LTS) Data Center Only
- Bitbucket Data Center and Server:
10.1.1 to 10.1.4 Data Center Only
9.4.15 to 9.4.16 (LTS) recommended Data Center Only
8.19.26 to 8.19.27 (LTS) Data Center Only
- Confluence Data Center and Server:
10.2.2 (LTS) recommended Data Center Only
9.2.13 (LTS) Data Center Only
- Crowd Data Center and Server:
7.1.3 recommended Data Center Only
6.3.4 Data Center Only
- Jira Data Center and Server:
11.3.0 to 11.3.1 (LTS) recommended Data Center Only
11.2.1 Data Center Only
10.3.16 (LTS) Data Center Only
9.12.26 to 9.12.31 (LTS)
- Jira Service Management Data Center and Server:
11.3.1 (LTS) recommended Data Center Only
11.2.1 Data Center Only
10.3.16 (LTS) Data Center Only
5.12.29 to 5.12.31 (LTS)
(des)
-
Entwicklung & Codevor 2 MonatenKommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
-
UX/UI & Webdesignvor 3 MonatenArndt Benedikt rebranded GreatVita › PAGE online
-
Künstliche Intelligenzvor 3 WochenSchnelles Boot statt Bus und Bahn: Was sich von London und New York lernen lässt
-
Entwicklung & Codevor 1 MonatKommentar: Anthropic verschenkt MCP – mit fragwürdigen Hintertüren
-
Künstliche Intelligenzvor 3 MonatenGoogle „Broadwing“: 400-MW-Gaskraftwerk speichert CO₂ tief unter der Erde
-
Apps & Mobile Entwicklungvor 2 MonatenHuawei Mate 80 Pro Max: Tandem-OLED mit 8.000 cd/m² für das Flaggschiff-Smartphone
-
Social Mediavor 1 MonatDie meistgehörten Gastfolgen 2025 im Feed & Fudder Podcast – Social Media, Recruiting und Karriere-Insights
-
Apps & Mobile Entwicklungvor 2 MonatenFast 5 GB pro mm²: Sandisk und Kioxia kommen mit höchster Bitdichte zum ISSCC