Im Dezember vergangenen Jahres hat die Europäische Kommission erstmals ein Verfahren nach dem Gesetz über digitale Dienste (DSA) abgeschlossen. Sie kam dabei unter anderem zu dem Ergebnis, dass das von X bereitgestellte System, über das Wissenschaftler:innen an Nutzungsdaten gelangen sollen, nicht DSA-konform ist. Die Kommission verhängte eine Strafe von 120 Millionen Euro; X hat bis Anfang März Zeit, seine Plattform anzupassen. Der DSA ist das zentrale EU-Gesetz zur Regulierung großer Online-Plattformen und soll unter anderem Transparenz schaffen, Risiken für die öffentliche Meinungsbildung begrenzen und Forschung zu diesen Risiken ermöglichen.

Inzwischen liegt die Begründung der Kommissionsentscheidung vor. Am 28. Januar veröffentlichte der von Republikanern geführte Justizausschuss des US-Repräsentantenhauses ein Dokument der Europäischen Kommission, das die Gründe für ihre Entscheidung gegen X im Dezember darlegt. Es zeigt, wie die EU den DSA konkret durchsetzen will – und welche Rolle Datenzugang und wissenschaftliche Evidenz dabei spielen.

Die politisch motivierte Veröffentlichung und Einordnung durch den Justizausschuss, der im DSA vor allem europäische Zensurabsichten sieht, sind zwar fragwürdig. Sie ändern aber nichts an der inhaltlichen Bedeutung der Begründung selbst. Ein zentraler Bestandteil der Begründung betrifft Versäumnisse beim Gewähren von Datenzugang für Forschende nach Artikel 40(12) DSA. Dieser Datenzugang soll es ermöglichen, systemische Risiken für die EU zu erforschen – etwa Desinformation oder süchtigmachende Plattform-Designs.

Dass Plattformen diesen Zugang bislang häufig nicht freiwillig gewährten, war einer der Gründe für die Einführung des DSA. Aus dem Urteil liest sich, dass X nur knapp fünf Prozent der Anfragen von Wissenschaftler:innen genehmigt hat. Es handelt sich hier also um ein strukturelles Problem.

Enge Auslegung und Verzögerungstaktiken sind unzulässig

Die EU-Kommission stellt unmissverständlich klar, dass Plattformen das gesetzlich verankerte Recht auf Datenzugang nicht in ein von ihnen kontrolliertes Privileg umdeuten dürfen. X hatte Anträge systematisch abgelehnt, wenn Forschende nicht zweifelsfrei nachweisen konnten, dass die beantragten Daten ausschließlich der Erforschung systemischer Risiken dienen. Diese enge Auslegung widerspricht laut Kommission dem Zweck des Gesetzes. Forschende müssen nicht beweisen, dass man aus „Mehl, Butter und Eiern nur einen einzigen Kuchen backen kann“.

Erstmals wird zudem konkretisiert, was als unzulässige Verzögerung gilt: Eine Bearbeitungszeit von mehr als zwei Monaten ordnet die Kommission ausdrücklich als „undue delay“ ein – also als unerlaubteVerzögerung. Damit erhalten Forschende erstmals eine belastbare rechtliche Orientierung. Auch der Versuch, Datenzugang an Kosten, institutionelle Zugehörigkeit oder einen EU-Standort zu knüpfen, weist die Europäische Kommission zurück.

Scraping ist zulässig – auch ohne Plattformgenehmigung

Eine weitere wegweisende Klarstellung betrifft das Scraping, also das automatisierte Auslesen öffentlich zugänglicher Inhalte. Diese Zugangsform ist zentral, um Plattformdaten auch ohne Mitwirkung der Anbieter zu erheben und von Plattformen bereitgestellte Daten überprüfen zu können.

Die Kommission stellt klar, dass Forschenden dieses Recht zusteht, sofern sie die Kriterien aus Artikel 40(12) und 40(8) DSA erfüllen: Forschung zu systemischen Risiken, kein kommerzielles Interesse, transparenter Umgang mit Finanzierung und nachweisbare Datenschutz- sowie Sicherheitsmaßnahmen.

Plattformen dürfen Scraping nicht pauschal über ihre Nutzungsbedingungen untersagen, und eine vorherige Genehmigung ist nicht erforderlich – gerade weil hier die Gefahr eines „undue delay“ besteht.

Evidenz aus der Forschung hat Beweiswert

Besonders bemerkenswert ist, wie die Kommission mit der Frage der Evidenz umgeht. Sie weist die Vorstellung zurück, der Beweiswert müsse an akademische Seniorität, große Stichproben oder klassische Peer-Review-Formate gebunden sein. Entscheidend seien stattdessen methodische Sorgfalt und faktische Relevanz für den konkreten Fall.

In diesem Zusammenhang verweist die Begründung mehrfach auf den vom DSA40 Data Access Collaboratory am Weizenbaum-Institut betriebenen Data Access Tracker. Obwohl die Daten aus der wissenschaftlichen Community gesammelt wurden und keine Zufallsstichprobe darstellen, attestiert die Kommission der Erhebung ausdrücklich Beweiswert im juristischen Sinne. Auch ein von X kritisierter Preprint – ein noch nicht begutachteter Forschungsartikel – wird als relevante Evidenz anerkannt, nicht zuletzt, weil er später peer-reviewed veröffentlicht wurde.

Methodisch nachvollziehbare Forschung wird hier selbst zur Grundlage regulatorischer Durchsetzung.

Relevanz nicht nur für X

Politisch ist die Begründung der Kommission damit weit mehr als eine Einzelfallentscheidung gegen X. Sie markiert einen Meilenstein in der Durchsetzung des Digital Services Act: Forschung wird nicht länger nur als Beobachterin von Plattformmacht verstanden, sondern als aktiver Bestandteil regulatorischer Kontrolle.

Indem die Kommission methodisch nachvollziehbare Forschung ausdrücklich als rechtlich relevante Evidenz anerkennt und Plattformen klare Grenzen bei Verzögerung, Kosten und Zugangsbeschränkungen setzt, verschiebt sich das Machtgefüge zugunsten von Öffentlichkeit und Wissenschaft. Ob diese Standards künftig konsequent durchgesetzt werden und möglichen Klagen der Plattformen standhalten, wird entscheidend dafür sein, ob der DSA sein zentrales Versprechen einlösen kann: Plattformregulierung nicht nur auf dem Papier, sondern auf Basis überprüfbarer Beweise.

Dass diese Prinzipien nicht nur abstrakt gelten, sondern praktisch durchsetzbar sind, zeigt der jüngste Erfolg von Democracy Reporting International gegen X. Gerichte bestätigen zunehmend, dass Forschende ihren Anspruch auf Datenzugang aktiv einklagen können – und damit eine zentrale Rolle bei der demokratischen Kontrolle von Plattformen einnehmen.

Dr. Jakob Ohme leitet die Forschungsgruppe „Digital News Dynamics“ am Weizenbaum-Institut und untersucht dort die Rolle des digitalen Journalismus im Spannungsfeld von Influencern und Künstlicher Intelligenz. Er ist zudem Co-Principal Investigator im #DSA40 Collaboratory und arbeitet dort an kooperativen Modellen für den Zugang zu Plattformdaten im Rahmen des Digital Services Act der EU. LK Seiling ist Plattformforscher in der Forschungsgruppe „Digital News Dynamics“ am Weizenbaum-Institut und koordiniert die Arbeit des #DSA40 Collaboratory als Experte für Forschungsdatenzugang.

Um zu verhindern, dass Angreifer mehrere Sicherheitslücken in Atlassian Bamboo Data Center and Server, Confluence Data Center and Server sowie Crowd Data Center und Server ausnutzen, sollten Admins die nun verfügbaren Patches umgehend installieren.

Verschiedene Gefahren

Wie Atlassian im Sicherheitsbereich seiner Website auflistet, gelten drei Sicherheitslücken in den Komponenten Apache Tika (CVE-2025-66516), sha.js (CVE-2025-9288) und cipher-base (CVE-2025-9287) als „kritisch“. Sind Attacken an diesen Stellen erfolgreich, können Angreifer Daten manipulieren. Dafür muss ein Opfer in einem Fall aber eine präparierte PDF-Datei öffnen. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

Nach erfolgreichen Attacken auf die verbleibenden Lücken können Angreifer unter anderem Dienste zum Absturz bringen (Denial of Service, DoS; etwa CVE-2022-25883 „hoch“) und somit lahmlegen oder sogar aus der Ferne Schadcode ausführen (CVE-2025-48734 „hoch“). Die folgenden Ausgaben sind gegen die geschilderten Attacken gerüstet:

• Bamboo Data Center and Server 12.1.2 (LTS) recommended Data Center Only, 10.2.14 to 10.2.15 (LTS) Data Center Only
• Confluence Data Center and Server 9.2.14 (LTS) Data Center Only, 9.2.15 recommended (LTS) Data Center Only, 10.2.3 (LTS) Data Center Only, 10.2.6 (LTS) recommended Data Center Only,
• Crowd Data Center and Server 7.1.4 recommended Data Center Only

(des)

Im Editor von Windows hat Microsoft am Februar-Patchday mit den Windows-Updates eine Sicherheitslücke in der Markdown-Verarbeitung geschlossen. Angreifer können durch das Leck Schadcode einschleusen. Jetzt gibt es detailliertere Informationen von Trend Micros Zero-Day-Initiative (ZDI), die zudem Admins Hilfestellung in Form von Filterregeln zum Abwehren von Angriffen liefert.

Die Analyse der Befehlsschmuggel-Lücke im Windows-Editor haben die IT-Forscher im Blog der ZDI veröffentlicht. Sie erklären dort, dass die Sicherheitslücke im Windows-Editor (notepad.exe) beim Verarbeiten von Markdown-Dateien auftritt und auf unzureichender Filterung von Links beruht. Angreifer können die Schwachstelle missbrauchen, indem sie potenzielle Opfer dazu bringen, eine bösartig manipulierte Datei herunterzuladen, sie zu öffnen und auf einen präparierten Link darin zu klicken. Ein erfolgreicher Angriff kann zur Ausführung von beliebigen Befehlen im Kontext des Opfer-Kontos führen (CVE-2026-20841, CVSS 7.8, Risiko „hoch“). Noch gibt es jedoch keine Hinweise auf aktive Exploits.

Sicherheitslücke im Standard-Text-Editor

Die ZDI-Mitarbeiter führen aus, dass der Standard-Windows-Editor notepad.exe bis vor Kurzem lediglich rudimentäre Editierfähigkeiten umfasste. In modernen Windows-Versionen kommt jedoch eine verbesserte und erweiterte Version des Editors standardmäßig mit. Die neue Version unterstützt mehr Dateiformate, Markdown-Beschreibungen und Copilot-Funktionen. Markdown erlaubt die Formatierung von Texten und unter anderem das Einbetten von Links, etwa in der Form [link-name](link/path). Die Trend-Micro-Forscher stellen die Schwachstelle bei der Verarbeitung bis auf Code-Ebene in ihrer Analyse dar.

Bei der Verarbeitung von Markdown kann der Editor auf das Klicken von Links reagieren. Dabei filtert er die Link-Werte und reicht sie an den Systemaufruf ShellExecuteExW() weiter. Diese Filterung reicht jedoch nicht aus, sie erlaubt die Nutzung von Protokoll-URIs wie „file://“ oder „ms-appinstaller://“. Damit lassen sich beim Aufruf von ShellExecuteExW() beliebige Dateien starten, die im Kontext des Opfers laufen. Je nach Systemkonfiguration können weitere Protokoll-Handler derartig missbrauchbar sein.

Angriffe erkennen und abwehren

Die IT-Forscher empfehlen daher, den Traffic auf bestimmten Ports genauer zu untersuchen und zu filtern: FTP (Port 20 und 21/TCP), HTTP (Port 80/TCP), HTTPS (Port 443/TCP), IMAP (Port 143/TCP), NFS (Ports 111/UDP+TCP, 2049/UDP+TCP), POP3 (Port 110/TCP), SMTP (Ports 25+587/TCP) sowie SMB/CIFS (Ports 139+445/TCP). Dabei sollte der Traffic nach Markdown-Dateien mit der Dateiendung .md untersucht werden. Bei Erkennung derartiger Dateien empfiehlt ZDI, den Inhalt auf Links mit Zeichenketten wie „file:“ oder „ms-appinstaller:“ zu durchforsten. Sind diese enthalten, stellen die IT-Forscher noch Regular Expressions bereit, mit denen sich Verweise auf Inhalte aus dem Netz aufspüren lassen: (\x3C|\[[^\x5d]+\]\()file:(\x2f|\x5c\x5c){4} für den file:-URI-Handler sowie (\x3C|\[[^\x5d]+\]\()ms-appinstaller:(\x2f|\x5c\x5c){2} für den ms-appinstaller:-URI-Handler. Treffer mit diesen Regeln sollten als bösartig eingestuft werden.

Nicht nur der Windows-Editor ist von Schwachstellen betroffen. So hat der populäre Texteditor Notepad++ jüngst mit einem Sicherheitsupdate eine Codeschmuggel-Lücke geschlossen.

(dmk)