Tausende Microsoft-365-Lizenzen für Schulen in Hannover sind wegen eines Vertragsfehlers vorerst nutzlos. Das bestätigte eine Sprecherin der Landeshauptstadt. Nach aktuellen Informationen der Verwaltung geht es um 75.000 Lizenzen im Wert von ungefähr 342.000 Euro. Zuvor hatte die Hannoversche Allgemeine Zeitung berichtet.

Den Angaben nach ist die Vereinbarung über die Datenverarbeitung nicht streng genug. Sie stehe damit im Widerspruch mit den Datenschutzregeln der Stadt. Die Nutzung von Word, Powerpoint & Co. an Schulen sei daher vorerst gestoppt worden.

Lizenzen noch bis September gültig

Wie es zu dem Fehler kommen konnte, der kurz vor Ostern bekannt geworden sei, werde derzeit geprüft. Es ist auch noch offen, ob das investierte Geld verloren ist. Die Ein-Jahres-Lizenzen sind laut der Stadt noch bis Anfang September gültig. Es werde untersucht, ob die Verträge so angepasst werden können, dass die Lizenzen wieder nutzbar werden.

Im laufenden Schulbetrieb soll der Nutzungsstopp nicht direkt zu Problemen führen. „Bestehende Systeme und Plattformen stehen unverändert zur Verfügung und decken die wesentlichen Anforderungen des Schulalltags ab“, teilte die Verwaltung mit. Wo es nötig sei, würden Verträge verlängert.

Programme sollten Ergänzung sein

Microsoft 365 sei zunächst lediglich als Ergänzung vorgesehen gewesen. Die zugehörigen Programme sollten zur Kommunikation und zum gemeinsamen Arbeiten genutzt werden. Unter anderem die Office-Anwendungen wie Word, Powerpoint oder Excel sollten dafür genutzt werden.

Dabei würden grundsätzlich personenbezogene Daten an Microsoft und Subunternehmen übermittelt. Um einen Datenschutzvorfall wie etwa bei einem Hackerangriff handele es sich deshalb nicht, „sondern um eine unzureichende vertragliche Grundlage“, hieß es von der Stadt.

(afl)

Nachdem im März schwedische Zeitungen berichtet hatten, dass intime Aufnahmen aus Metas Kamera-Brille in Nairobi auf dem Bildschirm von Datenarbeiter:innen landen, kündigte Meta seinem Outsourcing-Dienstleister Sama den Vertrag. Dieser entließ in der Folge nun 1000 Mitarbeiter:innen in Kenia, berichtet der Guardian. Die schwedische Recherche hatte sich auf Aussagen von etwa 30 Whistleblower:innen bei Sama gestützt.

Sama ist ein US-Unternehmen, das in Ländern wie Kenia, Uganda oder Costa Rica für viele westliche Unternehmen Aufgaben wie Inhalte-Moderation und Daten-Annotation übernimmt. Letztere Tätigkeit wird benötigt, um so genannte Künstliche Intelligenz zu verbessern. Dabei werden zum Beispiel Bilder und Gegenstände mit Metadaten versehen, also beschrieben und kategorisiert. Bei der Auswertung solcher Daten aus den Meta-Brillen hatten die Sama-Mitarbeiter:innen auch Videos gesehen von Nutzer:innen, die sich umzogen, auf der Toilette waren oder Sex hatten.

Intime Aufnahmen aus Metas Kamera-Brille landen in Nairobi

Ausbeutung als Geschäftsmodell

Meta begründete laut dem Guardian das Ende des Vertrages mit Sama damit, dass das Unternehmen Standards nicht erfülle. Am vergangenen Donnerstag verkündete Sama dann, dass es mehr als 1000 Mitarbeiter:innen entlassen. Mit einer Kündigungsfrist von sechs Tagen, wie der Guardian berichtet.

Sama stand schon mehrfach in der Kritik durch ehemalige Angestellte, unter anderem wegen ausbeuterischer Arbeitsbedingungen bei der Daten-Annotation für das Training von ChatGPT. Außerdem haben mehr als 140 ehemalige Content-Moderator:innen, die bei Sama für Meta gearbeitet hatten, die beiden Firmen verklagt. Bei ihnen wurden schwerwiegende post-traumatische Belastungsstörungen diagnostiziert.

Kauna Malgwi, eine ehemalige Mitarbeiterin von Sama, sagte gegenüber dem britischen Medium: „Dieses Problem beschränkt sich nicht auf ein einzelnes Unternehmen oder einen Vertrag. Es zeigt, wie die globale KI-Branche gestaltet ist. Die Macht liegt bei den großen Technologieunternehmen. Das Risiko fließt nach unten und betrifft ausgelagerte Arbeitskräfte, oft im globalen Süden, die den geringsten Schutz und die höchste Gefährdung haben.“

Erst vergangene Woche berichteten Sachverständige bei einem Fachgespräch im Bundestag von den problematischen Bedingungen in der Branche. Sie machten zahlreiche Vorschläge zur Verbesserung, von fairer Bezahlung über die Obergrenzen für die Arbeitszeit an belastendem Material bis zur Etablierung von Content-Moderation als Ausbildungsberuf.

Smart Glasses: „Unethische Technologie“

Metas Überwachungsbrille steht unterdessen auch aus anderen Gründen in der Kritik. Vermarktet wird das im September 2025 von Meta-Chef Mark Zuckerberg wie eine Sensation vorgestellte Gadget als stylischer Allround-Assistent, der den Alltag erleichtern soll. Dabei greift das Gerät nicht nur in die Privatsphäre der Nutzer:innen selbst, sondern auch in die von Unbeteiligten ein.

Die neuartigen Brillen von Meta sind ein großes Problem für die Privatsphäre und den Datenschutz. Wenn viele Menschen solche Brillen tragen, droht die kommerzielle Totalerfassung von privaten und öffentlichen Räumen; bald könnte Meta die Brille zusätzlich mit Gesichtserkennung aufrüsten.

Probleme gab es zuletzt schon, weil Menschen die Brillen vor Gericht trugen. Ein Bündnis von 75 US-Bürgerrechtsorganisationen wehrt sich gegen die Nutzung der Brillen im öffentlichen Raum. In einer Presseerklärung schreibt Cody Venzke, leitender Anwalt bei der Bürgerrechtsorganisation ACLU: „Es handelt sich um eine von Natur aus in die Privatsphäre eingreifende und unethische Technologie. Die Gefahren sind nicht hypothetisch – sie sind sehr real, wie wir am Einsatz der Gesichtserkennung in anderen Kontexten gesehen haben. Die Einbettung dieser Technologie in Brillen für Verbraucher würde das Risiko von Schäden für Einzelpersonen, Familien und unsere Demokratie selbst erheblich erhöhen.“

Admins von Firebird-Instanzen sollten aus Sicherheitsgründen zeitnah die verfügbaren Sicherheitspatches installieren. Geschieht das nicht, können Angreifer Abstürze auslösen oder Systeme sogar nach der Ausführung von Schadcode vollständig kompromittieren. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

Schadcode-Attacken möglich

Wie aus dem Sicherheitsbereich der GitHub-Website des Projektes hervorgeht, haben die Entwickler insgesamt neun Sicherheitslücken geschlossen. Eine davon gilt als „kritisch“ und sie ist mit dem maximalen CVSS Score 10 von 10 eingestuft (CVE-2026-40342). Davon sind die Plattformen Linux, macOS und Windows betroffen. Damit Angreifer an der Lücke ansetzen können, müssen sie aber Zugriff auf den folgenden Befehl haben:

An dieser Stelle ist CREATE FUNCTION ... ENGINE "" nicht ausreichend gehärtet und Angreifer können damit eine Bibliothek außerhalb des Plug-in-Ordners laden (Path-Traversal-Attacke). Das dürfte eigentlich nicht möglich sein. Weil Firebird den Initialisierungscode nicht ausreichend überprüft, können Angreifer so Schadcode ausführen. Aufgrund der Einstufung ist davon auszugehen, dass Angreifer im Anschluss die volle Kontrolle über Computer erlangen.

Die verbleibenden Softwareschwachstellen sind mit dem Bedrohungsgrad „hoch“ eingestuft. An diese Stellen sind DoS- und weitere Schadcode-Attacken möglich (etwa CVE-2026-28224, CVE-2026-33337).

Sicherheitsupdates verfügbar

Die Entwickler versichern, die Lücken in den Ausgaben 3.0.14, 4.0.7, 5.0.4 und 6.0 geschlossen zu haben. Welche Versionen konkret bedroht sind, können Admins in den auf der GitHub-Seite verlinkten Warnmeldungen nachschauen.

(des)