Zum allmonatlichen Patchday hat SAP wie gewohnt eine Reihe von Updates nebst zugehörigen Sicherheitshinweisen veröffentlicht. Zwei der frisch beseitigten Schwachstellen wurden als kritisch und zwei weitere mit der Einstufung „High“ bewertet.

IT-Sicherheitsverantwortliche sollten die verfügbaren, auf SAPs Übersichtsseite aufgelisteten Aktualisierungen zeitnah anwenden. Überdies lohnt sich auch ein Blick auf die Ergänzungen, die das Unternehmen an einigen älteren Sicherheitshinweisen vorgenommen hat.

Print Service und SRM zügig abdichten

Von kritischen Schwachstellen betroffen sind SAPs Print Service (CVE-2025-42937, CVSS-Score 9.8) und Supplier Relationship Management (CVE-2025-42910, 9.0). Erstere Schwachstelle könnte für Verzeichnis- und Dateizugriffe missbraucht werden (Directory Traversal), um etwa Systemdateien zu überschreiben. Letztere basiert auf fehlenden Beschränkungsmechanismen beim Datei-Upload (Unrestricted File Upload Vulnerability). Angreifer könnten sie ausnutzen, um beliebige schädliche Dateien (z. B. Schadcode) hochzuladen.

Eine Aktualisierung erhielt SAPs Sicherheitsnotiz zur Sicherheitslücke CVE-2025-42944 in NetWeaver AS Java mit dem höchstmöglichen CVSS-Score 10.0. Das auf unsicherer Deserialisierung basierende Einfallstor war zuvor schon mit den September-Updates angegangen worden; dass es nun nochmals thematisiert wird, weist auf die Dringlichkeit der zugehörigen Fixes und Informationen hin. Die Lücke kann zum Einschleusen beliebigen Codes verwendet werden.

High-Risk-Schwachstellen und weitere Hinweise

Lücken mit „High“-Wertung stecken in der SAP Commerce Cloud (Denial-of-Service; CVE-2025-5115, 7.5) sowie in der Data Hub Integration Suite (Security Misconfiguration; CVE-2025-48913, 7.1).

Von Sicherheitslücken mittleren und niedrigen Schweregrads betroffen sind unter anderem Application Server for ABAP, Commerce Cloud, SAP S/4HANA, Financial Service Claims Management, Business Objects und Cloud Appliance Library Appliances. Nähere Informationen hierzu sind SAPs Übersicht zum Oktober-Patchday zu entnehmen.

(ovw)

Am vergangenen Freitag verlieh der Verein Digitalcourage die deutschen Big Brother Awards. Der Datenschutz-Negativpreis geht an Unternehmen, Organisationen, Behörden und Einzelpersonen, die in besonderem Maße Datenschutz und Privatsphäre aushöhlen.

In insgesamt sechs Kategorien vergab die fünfköpfige, erstmals überwiegend weibliche Jury den sogenannten „Oscar der Überwachung“. Im Vorfeld konnten Interessierte Nominierungen einreichen. Zu den diesjährigen Preisträgern zählen unter anderem Google, das Verwaltungsgericht Hannover und das Bundesarbeitsgericht sowie die Videoplattform TikTok.

Neue Kategorie „jung und überwacht“

Erstmals gab es in diesem Jahr Auszeichnungen in der Kategorie „jung und überwacht“. Kinder und Jugendliche des Vereins Teckids stellten in multimedialen Beiträgen zwei ausgewählte Datenschutzprobleme junger Menschen vor. Die Beiträge veranschaulichen soziale Ausgrenzung am Beispiel von iPads im Schulunterricht sowie im Zusammenhang mit dem Messenger-Dienst WhatsApp.

Laut einer Umfrage im Auftrag der DEVK Versicherungen von Mitte 2024 verwendet in Deutschland mehr als die Hälfte aller Kinder und Jugendlichen im Unterricht ein Tablet. In vielen Schulen ist deren Einsatz sogar verpflichtend. Die Kinder von Teckids kritisieren die fehlende Selbstbestimmung und den eingeschränkten Datenschutz, die mit dem Einsatz einhergehen.

Innenminister Dobrindt für „Sicherheitspaket“ ausgezeichnet

Der „unglückliche Gewinner“ der Kategorie „Behörden und Verwaltung“ ist Bundesinnenminister Alexander Dobrindt (CSU). Zur Begründung verwies die Rechtsanwältin Elisabeth Niekrenz vom Verein Digitale Gesellschaft in ihrer Laudatio auf das sogenannte Sicherheitspaket des Ministers. Es sieht unter anderem den Einsatz biometrischer Datensuche per Gesichtserkennung im Internet vor. Der Einsatz von Gesichtersuchmaschinen verstößt Niekrenz zufolge gegen die Datenschutz-Grundverordnung.

Außerdem hat Dobrindt die Prüfung veranlasst, ob die Analysesoftware des US-Unternehmens Palantir bundesweit vom Bundeskriminalamt eingesetzt werden kann. Das Vorhaben verletzt aus Sicht von Bundes- und Landesdatenschützer:innen verfassungsrechtliche Vorgaben des Bundesverfassungsgerichts.

Wir haben beim Bundesinnenministerium nachgefragt, wie es die Auszeichnung bewertet. Eine Sprecherin verwies in ihrer Antwort auf den Koalitionsvertrag, der vorsieht, „dass die Sicherheitsbehörden zeitgemäße digitale Befugnisse erhalten.“ Dabei kämen „selbstverständlich nur Lösungen in Betracht, die den für sie geltenden Rechtsrahmen einhalten“, so die Sprecherin.

Lange Zeit war es üblich, im Mobilfunk Telefonie über das Internet (VoIP) zu blockieren. Manche Betreiber sperrten Chat-Dienste wie WhatsApp in ihren Netzen. Andere unterbanden den Zugriff auf VPN-Dienste oder sogar E-Mail-Postfächer – meist, um eigene Produkte wie den Goldesel SMS oder Auslandstelefonie zu schützen. Denn über das offene Internet erreichbare Online-Dienste haben ihnen das Wasser abgegraben. Das ist Vergangenheit: Heutzutage ist kaum noch vorstellbar, wie die meisten Mobilfunkbetreiber ihre Kund:innen gegängelt haben.

Vor zehn Jahren hat die EU das Prinzip der Netzneutralität gesetzlich festgeschrieben. Netzbetreiber, ob für Festnetz oder Mobilfunk, können seitdem nicht mehr willkürlich Online-Dienste, Websites oder Endgeräte ausschließen oder anderweitig diskriminieren. Die Netzneutralität soll sicherstellen, dass das Internet offen bleibt und nicht zu einer Spielart von Kabel-TV verkommt, bei dem jedes Stückchen des Netzes in zubuchbare Pakete verpackt und vermarktet wird.

Nun sollen nach dem Willen der EU-Kommission zumindest Teile dieser Regeln zur Netzneutralität auf den Prüfstand. Die Kommission bereitet dafür derzeit ein umfassendes Gesetz rund um Telekommunikation vor. Präsentieren will sie ihren Entwurf des sogenannten Digital Network Act (DNA) noch in diesem Jahr. Als Teil des Gesetzgebungsverfahrens hat sie im Sommer grobe Vorstellungen skizziert und um Stellungnahmen gebeten, die netzpolitik.org ausgewertet hat.

Wiedergänger Datenmaut

Für Debatten sorgen vor allem zwei Aspekte: Zum einen verweist die Kommission ausdrücklich auf mutmaßliche Rechtsunsicherheiten rund um sogenannte Spezialdienste. Damit sind besonders anspruchsvolle Online-Dienste gemeint, die sich über das offene Internet nicht realisieren lassen, bespielsweise garantiert ruckelfreie medizinische Eingriffe übers Internet. Manchen Netzbetreibern sind die Vorgaben aus Brüssel zu streng oder nicht detailliert genug, Verbraucherschutzorganisationen hingegen warnen vor bezahlten Überholspuren zu Lasten des freien Netzes.

Dieses Internet der Zukunft wünschen sich die mächtigen Telekom-Konzerne

Zum anderen wirkt offenkundig der Vorschlag einer Datenmaut weiterhin nach. Vor Jahren hatte der inzwischen aus der Kommission ausgeschiedene Thierry Breton in den Raum gestellt, große Online-Dienste wie Netflix oder Meta für den Zugang in europäische Netze extra bezahlen zu lassen. Damals hat sich Breton zwar eine Abfuhr eingehandelt, den aktuellen DNA-Stellungnahmen zufolge scheint das Thema aber noch nicht restlos erledigt zu sein.

Branche springt auf Zeitgeist auf

Das hat einen einfachen Grund: Politisch fällt es immer schwerer zu vertreten, meist aus dem US-amerikanischen Silicon Valley stammende IT-Megakonzerne regulatorisch und steuerrechtlich mit Samthandschuhen anzufassen, während deren Milliardengewinne in den Taschen der Unternehmen und Aktionäre verschwinden. In den vergangenen Jahren verabschiedete EU-Gesetze wie der Digital Services Act und der Digital Markets Act zählen zu den ersten Anläufen, die Macht der großen Online-Dienste zumindest teilweise einzudämmen.

Die letzten derartigen Versuche dürften das nicht bleiben, schließlich gibt es bei Alphabet & Co. noch viel zu holen. Nicht nur die Kommission sieht das so: Seit Jahren finden sich in Beschlüssen des EU-Rats oder des Parlaments regelmäßig Forderungen danach, dass alle Akteure im digitalen Raum „einen fairen und angemessenen Beitrag zu den Kosten öffentlicher Güter, Dienstleistungen und Infrastrukturen zu leisten“ haben, heißt es etwa in der europäischen Erklärung digitaler Grundrechte.

Auf eine Datenmaut muss das nicht zwangsläufig hinauslaufen, in Frage käme etwa auch eine Digitalsteuer, mit der sich mehr Gerechtigkeit versuchen ließe. Doch an dem scheinbar naheliegenden Instrument hat sich die EU bislang die Zähne ausgebissen. Zu groß war der Widerstand aus der Industrie und manchen EU-Ländern, die etwa Großkonzerne mit Steuervorteilen locken – oder auch verhindern wollen, dass eine mit Eigenmitteln ausgestattete EU-Kommission zu mächtig würde.

Diese Situation haben vor allem große Netzbetreiber auszunutzen versucht. Um den EU-Verantwortlichen die Idee so schmackhaft wie möglich zu machen, zettelten sie unter dem Schlagwort „Fair Share“ besagte Debatte über eine Datenmaut an: Im Tausch gegen eine abgeschwächte Netzneutralität sollen Online-Dienste einen „fairen“ Beitrag für die Nutzung europäischer Infrastruktur leisten, so das Kernargument.

Letzter Versuch „Streitbeilegungsstelle“

Bislang sind sie damit abgeblitzt. Große Netzbetreiber wittern mit dem DNA jedoch ihre vorerst letzte Chance, einen Mechanismus zur Kostenbeteiligung gesetzlich verankern zu lassen. Die europäischen Ex-Monopolisten scheinen sich darauf geeinigt zu haben, sich gemeinsam für eine Vermittlungsstelle einzusetzen. Offenbar an Gerichten vorbei, die solche bisher seltenen Streitigkeiten aufgelöst haben, soll dieser auf den ersten Blick unverfängliche „dispute resolution mechanism“ etwaige Auseinandersetzungen rund um Zusammenschaltungsentgelte zwischen Netzbetreibern und Inhalteanbietern auflösen.

Entsprechend nehmen viele aktuelle Stellungnahmen zum DNA die Debatte wieder auf – mit weitgehend den gleichen Argumenten, die bereits bei einer vorherigen Konsultation ausgetauscht wurden. So verweist etwa die Nichtregierungsorganisation Internet Society (ISOC) auf Untersuchungen des EU-Gremiums GEREK, in dem sich europäische Telekom-Regulierungsbehörden koordinieren. Wiederholt haben dort die Regulierer in Untersuchungen festgestellt, dass der sogenannte Interconnection-Markt funktioniere und falsche Regulierung das offene Internet gefährden könnte.

„Der vorgeschlagene Mechanismus zur Streitbeilegung bei Vereinbarungen zur IP-Zusammenschaltung – der dem diskreditierten ‚Fair Share‘-Modell entspricht – sollte abgelehnt werden, da es keine Hinweise auf ein Marktversagen oder die Notwendigkeit regulatorischer Eingriffe gibt“, fasst ISOC, welche maßgeblich an der derzeitigen Internet-Governance beteiligt ist, den unveränderten Stand der Debatte zusammen.

Solche Debatten musste ISOC seit seiner Gründung Anfang der 1990er-Jahre schon mehrfach führen. Es dürfte auch nicht das letzte Mal sein, dass große Netzbetreiber einstige Pfründe wie das sogenannte Terminisierungsmonopol wieder aufleben lassen wollen.

Internet lebt von „Autonomie und Innovation“

Etwas grundsätzlicher erklärt ISOC, warum dies ein Rückschritt wäre: Die Einführung formaler Mechanismen wie eines Streitbeilegungsmechanismus oder „erleichterte Zusammenarbeit“ würde das Erfolgsmodell des Internets untergraben, warnt die Organisation. Damit würde „die Grenze zwischen freiwilliger Optimierung und vorgeschriebener Leistung verwischt“, was zu Reibungsverlusten in einem System führen würde, das von Autonomie und Innovation lebe.

Netzbetreiber und Online-Diensteanbieter mögen zwar ein gemeinsames Interesse an einer guten Endnutzererfahrung haben. Doch es sei ein grundlegender Fehler, dies mit einer gemeinsamen Verantwortung gleichzusetzen, die regulatorischer Durchsetzung bedürfe, so ISOC: „Der Erfolg des Internets beweist dies, da es auf einem dezentralen Modell beruht, in dem jeder Akteur seine eigenen Abläufe unabhängig optimiert, ohne vorgeschriebene Koordination oder gemeinsame Leistungsgarantien.“

Vor unerwünschten Effekten warnt auch die Menschenrechtsorganisation Article 19, die sich für Meinungs- und Informationsfreiheit einsetzt. Ein Mechanismus zur Streitbeilegung „würde großen Netzbetreibern Verfahrensinstrumente an die Hand geben, um unter dem Vorwand der Streitbeilegung Gebühren von Online-Diensten zu verlangen.“ In die selbe Kerbe schlagen europäische Verbraucherschutzorganisationen wie BEUC oder Euroconsumers sowie nationale Organisationen, etwa der deutsche Verbraucherzentrale Bundesverband oder die österreichische Arbeiterkammer Wien.

Außer großen Ex-Monopolisten wie Telekom Deutschland oder Orange scheint ohnehin kaum jemand Gefallen an der Streitbelegungsidee zu finden. So weist etwa der kleine italienische Netzbetreiber UGL Telecomunicazioni auf die Gefahren von Überregulierung hin und fügt hinzu: „Die Lösung ist einfacher, und es ist ziemlich seltsam, dass sie noch nicht umgesetzt wurde: Online-Dienste sollten verpflichtet werden, in allen Mitgliedstaaten, in denen sie präsent sind, Steuern zu zahlen, ohne auf Strategien wie sogenannte Steueroasen zurückzugreifen“.

Angeblich unklare Spezialdienste

Tatsächlich scheinen sich viele Akteure auf dem Markt präzisere Regeln zu wünschen, etwa der Industrieverband DigitalEurope. Der vertritt praktisch das Who-is-who der internationalen IT-Branche, von Apple über Nintendo bis hin zu Red Hat. „Unsicherheit hält Anbieter davon ab, innovative Dienste wie 5G-Slicing oder vertikale Anwendungen mit extrem niedriger Latenz einzuführen“, klagt der Verband in seiner Stellungnahme. „Um Anwendungsfälle der nächsten Generation zu ermöglichen, ist es wichtig zu klären, ob solche Dienste mit der Netzneutralität vereinbar sind.“

EU-Kommission stellt Netzneutralität zur Debatte

Bislang ist allerdings völlig unklar, an welchen Stellen genau nachgeschärft werden sollte. Sowohl die EU-Regeln aus dem Gesetz als auch die begleitenden Leitlinien, in denen GEREK akribisch genau erläutert, unter welchen Bedingungen solche Spezialdienste erlaubt sind, sollten eigentlich einen recht genau abgesteckten Rahmen vorgeben. Solange solche Überholspuren technisch objektiv notwendig sind und dabei das offene Internet nicht untergraben, können Netzbetreiber ihrer Fantasie freien Lauf lassen.

In Deutschland wäre dies etwa die Telekom, die im Vorjahr mit einem speziellen Gaming-Paket sehr wohl ein Produkt mit „5G-Slicing (…) mit extrem niedriger Latenz“ eingeführt hat. So groß scheint die Verunsicherung, anders als es so manche Stellungnahme aus der Branche behauptet, also nicht zu sein.

Zumindest dem deutschen Digitalministerium waren im vergangenen Sommer keine Fälle bekannt, in denen „innovative Geschäftsmodelle im Zusammenhang mit Network Slicing“ untersagt wurden, teilte damals ein Sprecher der Ministeriums mit. „Wir halten die Vorgaben der EU-Verordnung und die diese erläuternden Leitlinien des GEREK auch grundsätzlich für klar und sachgerecht“, so der Sprecher.

Sollte die EU-Kommission diesen Bereich verändern, dürfe es keine unerwünschten Nebenwirkungen geben, mahnt ISOC: „Soweit die Rolle von Spezialdiensten im Rahmen der EU-Regeln für Netzneutralität geklärt werden muss, halten wir es für wichtig, dass ein solcher Prozess die Offenheit des Internets verteidigt und es vermeidet, ‚Innovation‘ als Rechtfertigung für diskriminierende Behandlung oder geschlossene Ökosysteme zu verwenden.“