Laut Berichten etwa des Wall Street Journals fordern die USA im Rahmen der Zollverhandlungen mit der EU, dass letztere auf die Durchsetzung ihrer zentralen Gesetze zur Plattformregulierung zumindest zeitweise verzichtet. Im Fokus stehen dabei demnach vor allem die erweiterten Wettbewerbsregeln im Digital Markets Act (DMA), die viele Big-Tech-Konzerne aus den USA treffen. Das Handelsblatt will in Erfahrung gebracht haben, dass die EU-Kommission weitreichende Zugeständnisse an die US-Regierung plant. Dagegen mehrt sich der Widerstand aus Kreisen von Wirtschaft, Zivilgesellschaft und Politik.

In einem offenen Brief an die Spitze der Brüsseler Regierungsinstitution wehrt sich etwa der deutsche Startup-Verband gemeinsam mit europäischen Verbündeten etwa aus Frankreich und Italien gegen ein Einlenken. „Einen solchen Kuhhandel darf es nicht geben“, betont die Vorstandsvorsitzende der Vereinigung, Verena Pausder. „Das würde die Bemühungen der EU um eine digitale Souveränität Europas völlig konterkarieren.“ Die Einhaltung europäischer Regeln und Gesetze – und damit die Rechtsstaatlichkeit – dürfe „nicht zur Verhandlungsmasse verkommen“.

Der DMA sei „ein sachgerechtes Instrument, um strukturelle Ungleichgewichte auf digitalen Märkten zu adressieren“, argumentieren die Unterzeichner. Für junge und rasch wachsende Firmen in Europa seien die darin enthaltenen Kartellvorschriften etwa für mehr Interoperabilität elementar, um „faire Wettbewerbsbedingungen, Marktzugang und damit Innovationen zu sichern“. Wer europäische Tech-Champions ermöglichen wolle, „kann nicht gleichzeitig zentrale regulatorische Grundlagen für faire digitale Märkte zur Disposition stellen“. Eine Aussetzung würde „das Vertrauen in die Durchsetzungsfähigkeit europäischer Gesetzgebung und die Verlässlichkeit des europäischen Binnenmarkts als stabilen Rechtsraum nachhaltig beschädigen“.

Einknicken wäre „inakzeptable Kapitulation“

In die gleiche Kerbe schlägt Felix Duffy von der zivilgesellschaftlichen Organisation LobbyControl: „Es ist absolut inakzeptabel, den US-Tech-Konzernen ein Mitspracherecht über demokratisch geschaffene Gesetze zu gewähren.“ Absehbar sei, dass die institutionelle Festschreibung von US-Einfluss die neuen Tech-Regulierungen abschwächen werde. Die EU sollte ihre Gesetze aber unabhängig und konsequent durchsetzen. Die Bundesregierung müsse in Brüssel dafür sorgen, dass der DMA hochgehalten und „nicht im Zollstreit mit den USA geopfert“ werde. Alles andere wäre ein Bruch des Koalitionsvertrages. LobbyControl forderte schon im Januar zusammen mit mehr als 30 Organisationen wie European Digital Rights (EDRi), dem Open Market Institute und Gewerkschaften die Kommission auf, ihre Regeln gegen Tech-Konzerne strikt durchzusetzen.

„Den DMA auf Eis zu legen, um die USA zu beschwichtigen, wäre eine inakzeptable Kapitulation“, warnt auch Stéphanie Yon-Courtin, eine französische EU-Abgeordnete der liberalen Renew-Fraktion. Es würde ihr zufolge einen gefährlichen Präzedenzfall schaffen, wenn die EU zuließe, dass Länder sie zu einer Überarbeitung bereits verabschiedeter Gesetze drängten. „Friedrich Merz droht vor Digitalkonzernen einzuknicken“, moniert Anna Lührmann, grüne Vizevorsitzende des Digitalausschuss des Bundestags, mit Blick auf die vom Bundeskanzler gezeigte Verhandlungsbereitschaft. Der offenbar im Raum stehende Deal ginge „auf Kosten unserer europäischen Souveränität“. Unter dem Deckmantel wirtschaftlicher Kompromisse würde vor allem großen US-Tech-Konzernen der Rücken gestärkt werden.

Die Trump-Regierung wertet erste Geldstrafen auf DMA-Basis gegen Apple und Meta als „wirtschaftliche Erpressung“. Ein Kommissionssprecher wollte Anfang der Woche nicht über ein potenzielles Ergebnis der Zollgespräche spekulieren. „Wir wollen ein faires und ausgewogenes Abkommen finden.“

(mho)

Der aktuelle Angriff der USA auf iranische Uranaufbereitungsanlagen war nicht der erste seiner Art. Genau genommen war es schon der erste seiner Art: denn als die USA und Israel zuletzt versuchten, das iranische Atomprogramm zu stoppen, taten sie das auf minimalinvasive Art und Weise: mit einem ausgefeilten Cyberangriff. Stuxnet ging in die Geschichte ein als der erste cyberphysische Angriff und der Beginn einer neuen Ära: Der Angriff galt als der Auftakt des Cyberwar. „Damals dachte man, dass künftige Kriege reine Cyberkriege sein werden“, sagt Sarah Fluchs im c’t-Podcast „They Talk Tech“, „aber das ist so nicht eingetroffen.“ Die Expertin beschäftigt sich mit der Sicherheit kritischer Infrastrukturen und industrieller Kontrollsysteme. Wie angreifbar diese sind, wurde mit Stuxnet klar und ist angesichts der aktuellen geopolitischen Situation ein drängendes Thema.

Ein Grund dafür, dass man dennoch nur hin und wieder von Cyberangriffen auf kritische Infrastrukturen zum Beispiel im Energiesektor hört – unter anderem im Zuge der russischen Angriffe auf die Ukraine – sei sicherlich, dass es doch nicht ganz so einfach ist, mit rein digitalen Angriffen massive physische Zerstörungen anzurichten, sagt Fluchs. „Wenn wirklich schwarzer Rauch gefordert ist, also physische Zerstörung, dann ist ein Cyberangriff oft nicht die effizienteste Waffe.“

Wirklich verheerend werden digitale Angriffe erst in Kombination mit physischen Angriffen. Das zeigte sich etwa zu Beginn des russischen Angriffskriegs gegen die Ukraine. Noch bevor die ersten Bomben fielen, legte ein Cyberangriff auf das Satellitennetzwerk KA-SAT die Kommunikation lahm – mit Auswirkungen bis nach Westeuropa. „Das wirklich Bedrohliche ist nicht der einzelne Cyberangriff, sondern das Zusammenspiel“, sagt Sarah Fluchs. „Wenn etwa ein Angriff auf die Kommunikation einen Bombenangriff noch viel schlimmer macht.“

Gleichzeitig ist seit dem Bombenangriff der USA die Angst groß, dass der Iran mit Cyberangriffen auf kritische Infrastrukturen in den USA und Europa zurückschlägt. Deshalb sei es wichtig, sich jetzt intensiv mit der Sicherheit entsprechender Anlagen zu beschäftigen. Aber das ist gar nicht so einfach, denn die Sicherheit kritischer Infrastrukturen ist komplex – unter anderem gerade deshalb, weil in den vergangenen Jahren immer mehr Schichten an Sicherheitsmaßnahmen ergänzt wurden. „Die Best-Practice-Listen wachsen immer auch nur. Es hat ja nie jemand in den letzten 20 Jahren jemals eine Best- Practice wieder runtergenommen.“ Dadurch werden die Anforderungen für Menschen undurchsichtig.

„Wir haben mittlerweile mit den allerbesten Intentionen so komplizierte Systeme gebaut, dass wir sie nicht mehr durchblicken“, sagt Fluchs. Jede zusätzliche Sicherheitsmaßnahme erhöht die Komplexität – und damit auch das Risiko, dass etwas schiefläuft. Ein Beispiel dafür ist das Update der Sicherheitssoftware CrowdStrike, das im Sommer 2024 weltweit Systeme lahmlegte und unter anderem ein riesiges Chaos im Flugverkehr verursachte. Gerade bei Sicherheitsmaßnahmen sei es wichtig, gut zu überlegen, was man brauche und was vielleicht auch verzichtbar ist. Denn gerade bei industriellen Kontrollsystemen sei es unabdingbar, Sicherheit einfach zu gestalten, weil jedes Update auch ein Risiko mit sich bringt. KI und die verlockende Möglichkeit, immer mehr Daten auszuwerten, mache es nicht unbedingt besser – im Gegenteil: Je mehr Daten erhoben würden, umso unübersichtlicher werde alles. „Wir sehen das gerade bei Security Tools“, sagt Fluchs: Immer mehr Daten würden erhoben, ohne zu analysieren, wie sinnvoll diese wirklich seien für die Fragestellung. „Alles blinkt wie ein Tannenbaum und die Leute schauen drauf und haben keine Ahnung mehr, was sie damit tun sollen.“

Dazu kommt, dass auch Software angesichts vieler Komponenten, die in Systemen stecken, unüberschaubar und dadurch ebenfalls unsicher wird. Das zeigte sich etwa bei der manipulierten Open-Source-Bibliothek XZ Utils, deren Backdoor nur durch Zufall entdeckt wurde. „Wir müssen aufhören, Systeme zu bauen, die Menschen nicht mehr verstehen“, fordert Fluchs. Ein Kernproblem sei der leichtsinnige Einsatz von Open-Source-Produkten. Unternehmen verlassen sich auf freie Komponenten, ohne Verantwortung für deren Sicherheit zu übernehmen. „Wir können Open Source nicht mehr so nutzen, als sei sie kostenlos und niemand verantwortlich“, sagt Fluchs. Künftig, etwa durch den Cyber Resilience Act der EU, dürften Hersteller auch für die Sicherheit fremder Komponenten haften.

Besonders gefährlich findet Fluchs, dass viele neue Systeme die Transparenz weiter verschlechtern. Tools automatisieren Entscheidungen, die niemand mehr nachvollziehen kann. „KI kann Informationen aufbereiten, aber Entscheidungen müssen Menschen treffen“, sagt sie. „Sonst fliegt uns das irgendwann um die Ohren.“

Sicherheit bedeute nicht, alles technisch Mögliche umzusetzen. Im Gegenteil: Wer einfach nur Best Practices aufeinanderschichtet, schaffe oft ein undurchschaubares, wartungsintensives System. „Manchmal ist es besser, Dinge bewusst wegzulassen“, so Fluchs. Gerade im industriellen Umfeld sei Reduktion oft die bessere Strategie – auch, weil jedes Update eine Herausforderung ist: „Du kannst ein Atomkraftwerk nicht neu starten, nur weil Windows Patchday hat.“ Je deterministischer ein System in diesem Bereich funktioniert, umso einfacher ist es, es zu schützen – weil es für Menschen durchschaubar bleibt. „Weniger ist hier wirklich manchmal mehr“, so Fluchs.

Stuxnet hat 2010 eine Tür aufgestoßen. Seither haben sich Cyber- und physische Angriffe weiter verzahnt, während die Verteidigung Systeme weiter verkompliziert hat. Die größte Gefahr liegt vielleicht nicht mehr im gezielten Angriff, sondern in der Intransparenz der Verteidigung.

„They Talk Tech“ erscheint jeden Mittwoch überall, wo es Podcasts gibt. Svea Eckert und Eva Wolfangel diskutieren ein Tech-Thema oder treffen inspirierende Frauen aus und rund um die Tech-Welt.

(mond)

Kennzeichen-Scanner, die ohne Verdacht oder Anlass alle vorbeifahrenden Fahrzeuge erfassen und speichern, sind bei US-Polizisten besonders beliebt. Es gibt nur bescheidene Einschränkungen für die Auswertung der Daten. Und selbst die halten manche Polizeibehörden nicht ein. Flock, einer von mehreren Scannerbetreibern in den USA, ergreift jetzt behutsame Maßnahmen gegen Missbrauch: Daten aus Kalifornien, Illinois und Virginia können nur noch im Staat selbst abgefragt werden. Bald soll auch eine KI bei möglichem Missbrauch Mitteilung machen.

Flock hat in mehr als 5.000 US-Städten und Gemeinden Kennzeichenscanner installiert. Erklärtes Ziel ist, die Überwachungsgeräte in allen US-Kommunen auszurollen. Die Kameras erkennen neben Kennzeichen auch Modell, Farbe und besondere Merkmale aller erfassten Fahrzeuge und legen diese Informationen für spätere Abfragen in eine Datenbank. Gerichtliche Genehmigungen sind nicht erforderlich.

Die örtliche Polizeibehörde kann die Datenbank für Abfragen durch andere Polizeibehörden freigeben, entweder für bestimmte Partner, für alle in einem gewissen Umkreis, im selben Staat, oder überhaupt US-weit (National Lookup). Möchte eine Polizeibehörde selbst die landesweite Suche nutzen, muss sie ihre eigenen Daten ebenfalls für National Lookup zur Verfügung stellen. Und so ist das Netz für National Lookup stark gewachsen.

Einzelne US-Staaten haben Gesetze, die die Abfragen einschränken. Nach kalifornischem Recht dürfen die Daten nur innerhalb des Staates geteilt werden. Illinois schränkt die Datenweitergabe an Behörden außerhalb des Staates ein: Sie dürfen Illinois‘ Daten nicht zur Verfolgung von Frauen, die Abtreibungen in Anspruch genommen haben könnten, sowie zur Verfolgung von Menschen, deren Aufenthaltstitel abgelaufen sein könnte, verwenden. Und ab Juli beschränkt Virginia die Abfragen auf bestimmte Zwecke: Verdacht der Verletzung städtischer Verordnungen, des Strafrechts des Staates Illinois, des Diebstahls eines Fahrzeuges sowie bei Vermisstenmeldungen und Fahndungen. Damit sind Verletzungen des US-Aufenthaltsrechts wahrscheinlich nicht gedeckt. Zudem beschränkt Virginia die Speicherdauer auf 21 Tage.

Missbrauch aufgeflogen

404media hat aufgedeckt, dass sich manche Polizeibehörden über die bereits geltenden Regeln hinwegsetzen. Sie greifen durchaus von außerhalb auf kalifornische Daten zu oder suchen in Illinois‘ Datenbank nach Hinweisen auf Personen mit abgelaufenem Visum. Diese Erkenntnis geht ausschließlich auf die von den Polizisten im elektronischen Abfrageformular angegebenen Abfragegründe zurück. Dabei haben sie unmittelbar zuvor die Einhaltung der Vorschriften Illinois‘ per Mausklick bestätigen müssen.

Dabei sind die abfragenden Polizisten für Aufenthaltsrecht gar nicht zuständig. Sie versuchen offenbar aus eigenem Drang, der zuständigen Bundesbehörde zuzuarbeiten. 47 Polizeibehörden sind wegen solcher verbotenen Abfragen in Illinois aufgeflogen, als Flock in Folge des Berichts 404medias selbst ein Audit durchgeführt hat.

Reaktion des Betreibers

Als Reaktion hat Flock zuerst einen Filter installiert, der die Abfrage verhindern soll, wenn ein illegaler Abfragegrund (wie zum Beispiel „Immigration“ oder „Abortion“) angegeben wird. Das greift aber nur in Illinois. Inzwischen geht Flock noch einen Schritt weiter und sperrt Abfragen aus anderen US-Staaten in Kalifornien, Illinois und Virginia.

Aus Texas ist ein Fall bekannt geworden, in dem ein Polizist in Flocks Kennzeichendatenbank landesweit nach einer Frau gesucht hat, die eigenständig abgetrieben haben soll. In Texas sind Abtreibungen praktisch vollständig verboten. Der Polizist und Flock streiten ab, dass es bei der Suche um Strafverfolgung ging. Vielmehr habe sich die Familie der Frau Sorgen gemacht und Vermisstenmeldung erstattet, der der Polizist dann nachgegangen sei.

Noch dieses Jahr möchte Flock Künstliche Intelligenz auf Patrouille schicken. Sie soll verdächtige Abfragen erkennen und dann einen Mitarbeiter jener Polizeibehörde informieren, in dessen Gebiet die abgefragte Kamera steht. Automatische Sperren sind nicht vorgesehen. Zudem möchte Flock den einzelnen Polizeibehörden ermöglichen, das Abfrageformular zu verbessern: Sie können dann verlangen, dass Abfragende eine Aktenzahl angeben müssen, sodass theoretisch überprüft werden kann, für welchen Fall die Abfrage durchgeführt wird. Pläne, das landesweit verpflichtend zu machen, hat Flock nicht.

(ds)