Seit vergangenem Freitag ist das Bildgenerierungs-Feature von Grok auf der Plattform X zahlenden User*innen vorenthalten. Von Seiten der Plattformbetreiber ist das bisher die einzige Reaktion, gegen die auf X kursierenden sexualisierten Deepfakes vorzugehen. Einzelne Staaten haben X bereits gesperrt. Währenddessen prüfen die EU und nationale Regierungen, auf welchen Rechtswegen sie die Verbreitung der Deepfakes stoppen und gegen die Plattform vorgehen können.

Ein Überblick

Den radikalsten Schritt sind bisher Indonesien und Malaysia gegangen. Seit Samstag ist die Chatbot-Funktion in Indonesien gesperrt. Digitalministerin Meutya Hafid hat sich dabei auf die Verletzung von Menschenrechten, der menschlichen Würde und den Schutz von Menschen im digitalen Raum berufen und auf die strengen Anti-Pornografie-Gesetze verwiesen. Am Sonntag hat auch Malaysia den Chatbot gesperrt. Die Kommunikations- und Multimedia-Kommission begründete die Entscheidung mit dem Missbrauch, den die Nutzung von Grok für explizit sexuelle Inhalte darstellt. Heute hat Malaysia zudem eine Klage gegen X angekündigt.

In Brasilien hat die Behörde für Verbraucherschutz die Regierung aufgefordert, die Nutzung von Grok zu blockieren.

Kanada schließt diesen Schritt aus. Stattdessen prüft die Regierung, ob die Veröffentlichung von Deepfakes auf Grundlage der geplanten Änderungen eines Antidiskriminierungsgesetzes rechtswidrig wäre.

In Australien kündigte die Online-Sicherheitsbehörde eSafety an, die von Grok generierten Deepfakes zu prüfen. Nach dem Online Safety Act sei es eventuell möglich, von X zu verlangen, dass es die Inhalte löscht.

Das IT-Ministerium in Indien hat sich laut Medienberichten schon am 2. Januar mit einer Anordnung an X gewandt. Es forderte die Löschung der Inhalte sowie einen Bericht zu den Maßnahmen innerhalb von 72 Stunden und verwies auf den indischen IT Act und die IT Rules. Der Techkonzern hat auf diese Forderung nicht reagiert.

Großbritannien hat X am 5. Januar zu einer Stellungnahme aufgefordert. Inzwischen hat die zuständige Medienaufsichtsbehörde Ofcom eine Untersuchung eingeleitet und prüft, ob Grok gegen den britischen Online Safety Act verstößt. Die Regierung hat derweil ein Gesetz angekündigt, das die nicht-konsensuelle Erstellung von sexualisierten Bildern und Videos verbieten wird. Zuvor hatte Premierminister Keir Starmer Ofcom die Befugnis zugesprochen, die Plattform zu sperren.

So reagieren US-Politiker

Inzwischen hat in den USA der republikanische Senator Ted Cruz die sexualisierten Deepfakes als Verstoß gegen den von ihm initiierten „Take it Down Act“ bewertet, der Plattformen verpflichtet, nicht-einvernehmlich veröffentlichte sexualisierte Bilder innerhalb von 48 Stunden zu löschen.

Weiterhin haben US-Demokraten mit einem Brief die CEOs von Google und Apple aufgefordert, die Grok-App aus ihren App Stores zu entfernen. Die Abgeordneten begründen ihre Forderungen mit den Servicerichtlinien der Unternehmen.

Google verfolgt strenge Richtlinien, nach denen Grok aus dem App Store ausgeschlossen werden müsste. Bislang ist die App jedoch noch erhältlich. Die Richtlinien von Apple sind hingegen nicht so detailliert. Aber der Konzern ist dafür bekannt, sie streng auszulegen. Auch hier ist die Grok-App noch verfügbar. Bisher hat sich keines der beiden Unternehmen zu den Forderungen geäußert.

In anderen Fällen, so schreiben die US-Abgeordneten, sei das Löschen von Apps ganz einfach gewesen. Beide Unternehmen hatten die Apps ICEBlock und Red Dot aus ihren App Stores entfernt, obwohl diese keine schädigenden oder illegalen Inhalte veröffentlichten. User*innen der Apps haben dort anonym Standorte von Mitarbeiter*innen der US-Abschiebebehörde ICE gepostet.

Es ist wenig überraschend, dass weder X selbst noch die eng mit X verbundene US-Regierung unter Donald Trump die Verletzung von Grund- und Persönlichkeitsrechten beendet. Stattdessen will das US-Verteidigungsministerium den umstrittenen Chatbot nun auch für das US-Militär nutzen, eben weil Grok keine ethischen Grenzen hat.

Die EU ist am Zug

Wenn die EU Groks Deepfakes verbannen möchte, muss sie also selbst gegen X vorgehen. Die EU-Kommissionspräsidentin Ursula von der Leyen sagte, dass die EU den Schutz von Kindern nicht dem Silicon Valley überlassen werde und drohte im Fall von Tatenlosigkeit seitens X weitere Schritte an. Zuvor hatte die EU-Kommission X dazu angehalten, alle Dokumente, die Grok betreffen, bis Ende 2026 aufzubewahren.

EU-Kommissarin Henna Virkkunen sagte, dass X die Situation schnell auflösen müsse. In einer Pressekonferenz der EU-Kommission wurde bekannt gegeben, dass man bereits interne Unterlagen von X zum Komplex erhalten habe, die die Kommission nun auswerte. Bis wann mit einer Reaktion der EU zu rechnen sei, blieb dabei vage. Anstatt ein neues Verfahren zu den Deepfakes zu eröffnen, sei es möglich, die Vorwürfe in ein bereits laufendes Verfahren gegen X einzubeziehen, das sich unter anderem mit möglicher Wahlmanipulation beschäftigt.

Die nationalen Behörden der EU-Mitgliedsstaaten sind im Fall von X nicht zuständig, sondern die EU-Kommission, da X als sehr große Online-Plattform in ihre Verantwortung fällt.

So lassen sich Deepfakes mit dem Digital Services Act bekämpfen

Sollte die EU-Kommission weitere Schritte einleiten, passiert das voraussichtlich auf Grundlage des Digital Services Act (DSA). Nach Einschätzung des Zentrums für Digitalrechte bietet der DSA zwei Möglichkeiten für die EU-Kommission, die Veröffentlichung der Deepfakes von Grok zu stoppen.

Option 1: „Normaler“ DSA-Verstoß. Netzsperren bzw. „vorübergehende Aussetzungen“ sind nur unter strengen Voraussetzungen und nach Verlauf eines mehrstufigen Verfahrens möglich. Erst danach – wenn X währenddessen nicht kooperiert hat – wäre eine vierwöchige Sperre der Plattform möglich. Die Entscheidung würde ein Gericht in Dublin treffen, da X dort seinen europäischen Hauptsitz hat. Lehnt das Gericht eine Netzsperre ab, wäre voraussichtlich der Rechtsweg bis zum europäischen Gerichtshof frei.

Option 2: Eilverfahren der EU-Kommission. Da sich das Standardverfahren nach einem DSA-Verstoß über Wochen, Monate bis Jahre strecken kann, bewertet das Zentrum für Digitalrechte und Demokratie ein Eilverfahren als aussichtsreicher. Nach Art. 70 DSA kann die EU-Kommission einstweilige Maßnahmen gegen Online-Plattform anordnen, wenn die „Gefahr einer schwerwiegenden Schädigung vorliegt“. Eine Netzsperre wäre über diesen Weg nicht möglich. Als einstweilige Maßnahme wäre aber vorstellbar, dass X dafür sorgen muss, dass Grok keine Bilder in sexualisierten Kontexten mehr generiert und verbreitet.

Einstweilige Maßnahmen können auch Bußgelder umfassen. Die EU-Kommission könnte Geldstrafen bis zu einer Höhe von einem Prozent des weltweiten Jahresumsatzes verhängen, sollte X nicht kooperieren.

Zusätzliche Handhabe ist in Aussicht

Der Artikel 113 des europäischen AI Act sieht eine Kennzeichnungspflicht für Deepfakes vor. Sollte dieser wie vorgesehen im August 2026 Inkrafttreten, könnte auf dieser Rechtsgrundlage gegen bereits kursierende Deepfakes vorgegangen werden.

Auch die europäische Richtlinie zu Gewalt gegen Frauen könnte in solchen Fällen greifen. Die Richtlinie umfasst explizite Regelungen zum Umgang mit sexualisierten Deepfakes. Allerdings müssen sowohl EU-Rat als auch Parlament noch abstimmen, bevor die Mitgliedstaaten die Richtlinien innerhalb von drei Jahren auf nationaler Ebene umsetzen müssen. Die neuen Regelungen dürften wohl erst ab 2027 greifen.

Die deutsche Marine hat acht besatzungslose Flugsysteme vom Typ MQ-9B bei dem US-amerikanischen Rüstungsunternehmen General Atomics bestellt. Das gab die Bundeswehr am Montag auf ihrer Webseite bekannt.

Die als SeaGuardian bezeichneten Drohnen sind demnach für die See-Fernaufklärung und U-Boot-Jagd vorgesehen und werden ab dem Jahr 2028 ohne Bewaffnung geliefert. Der Haushaltsausschuss des Deutschen Bundestages hatte in seiner Sitzung am 17. Dezember rund 1,9 Milliarden Euro für dieses Großgeräte-Projekt „Unbemannter Anteil Maritime Airborne Warfare System“ (uMAWS) bereitgestellt.

Die SeaGuardian ist eine Drohne der sogenannten MALE-Klasse. Die Abkürzung steht für „Medium Altitude Long Endurance“ und bezeichnet Systeme, die in mittleren Höhen über lange Zeit im Einsatz bleiben können. Die US-Drohne hat eine Spannweite von 24 Metern und ist 11 Meter lang. Sie wird über Satellit gesteuert und kann in allen Klimazonen operieren.

Verlängerung des Vertrags ist möglich

Der Kauf der SeaGuardian erfolgt über die Beschaffungsagentur der NATO, die dafür eine „MQ-9B International Cooperation Support Partnership“ gegründet hat. Auch Belgien, Dänemark, Kanada und Großbritannien werden von NATO dabei unterstützt, die MQ-9B anzuschaffen und zu betreiben.

Die Marine hat bei General Atomics einen „Anfangsbetrieb“ für zwei Jahre bestellt. Zu den acht Drohnen gehören vier Bodenstationen; zwei MQ-9B SeaGuardian und eine Bodenstation bilden als Teil des uMAWS ein Aufklärungssystem. Zum Vertrag gehören auch die Versorgung mit Ersatzteilen und eine Bereitstellung des „betriebsnotwendigen Personals“. Optional ist eine Verlängerung des Vertrags um drei Jahre vereinbart.

Die acht Drohnen werden beim Marinefliegergeschwader im niedersächsischen Nordholz stationiert und von dort aus gesteuert. Wenn im Jahr 2030 die letzten Maschinen in Nordholz eintreffen, soll die ergänzende Ausstattung für die U-Boot-Jagd erfolgen. Dafür sind weitere zwei Jahre vorgesehen.

Als Sensoren haben die SeaGuardian Kameras und Radare an Bord, außerdem zwei Mehrzweck-Suchradare. Die Ausstattung zur U-Boot-Bekämpfung kann optional eingerüstet werden. Dazu gehören Kanister mit Sonarbojen zur Ortung unter Wasser. Die Drohnen ergänzen damit Fähigkeiten der von der Bundeswehr derzeit beschafften Seefernaufklärer P-8A Poseidon. Anders als die MQ-9B soll die P-8A Poseidon auch Waffen tragen.

Acht Heron TP bald komplett in Schleswig-Holstein

Die SeaGuardian-Drohnen basieren auf dem Modell Predator beziehungsweise dem Nachfolger Reaper, das die US-Luftwaffe vor einem Vierteljahrhundert erstmals in Dienst gestellt hat. Zusammen mit Israel hatten die Vereinigten Staaten damit lange Zeit ein Alleinstellungsmerkmal bei bewaffnungsfähigen Drohnen dieser Größe.

Das in Israel vergleichbare Modell Heron TP wird derzeit von der deutschen Luftwaffe beschafft, zwei dieser MALE-Drohnen sind dazu bereits aus Israel auf den Bundeswehrstützpunkt Jagel in Schleswig-Holstein verlegt worden. Die übrigen drei noch im israelischen Tel Nof stationierten deutschen Heron TP sowie drei zusätzlich bestellten Exemplare sollen nach jüngsten Angaben des Verteidigungsministeriums bis Mitte 2026 nach Jagel überführt werden.

Die Luftwaffe will die Heron TP auch im zivilen Luftraum fliegen, ein entsprechendes militärisches Musterzertifikat stammt von der israelischen Luftfahrtbehörde. Erst im vergangenen Jahr erhielt ebenfalls die MQ-9B ein solches Zertifikat aus Großbritannien. Damit darf die Drohne über dicht besiedelten Gebieten fliegen – was auf der Insel für Proteste sorgte.

Die Bundeswehr äußert sich nicht dazu, ob ihre SeaGuardian ebenfalls im zivilen Luftraum fliegen dürfen. Dort könnten die Drohnen dann auch im Innern überwachen. Der Hersteller lobt diese Fähigkeit und schreibt, die MQ-9B seien „auch für zivile Einsätze vom deutschen Hoheitsgebiet aus vielseitig einsetzbar“.

Der in Delphi programmierte, schlanke Web-Server TinyWeb für Windows enthält eine Schwachstelle, durch die Angreifer aus dem Netz Schadcode einschleusen und ausführen können. Eine aktualisierte Version stopft die Sicherheitslücke.

In der nun veröffentlichten Schwachstellenbeschreibung schreiben die Autoren, dass CGI-Parameter als Kommandozeilenparameter an die CGI-Executable mittels Windows.CreateProcess() übergeben werden, offenbar ungefiltert. Durch das Einfügen von Windows-Shell-Metazeichen in HTTP-Anfragen können Angreifer aus dem Netz ohne vorherige Authentifizierung beliebige Befehle im Betriebssystem auf dem Server ausführen (CVE-2026-22781, CVSS4 10.0, Risiko „kritisch“).

Eine eigene Sicherheitsmitteilung vom TinyWeb-Programmierer Maxim Masiutin geht weiter in die Details. Beim Verarbeiten von HTTP-Anfragen an CGI-Skripte, die kein Gleichheitszeichen enthalten, betrachtet TinyWeb diese als Anfragen im „ISINDEX“-Format. Die Parameter reicht der Code in dem Fall als Kommandozeilenparameter wie im CVE-Eintrag beschrieben durch. Als Beispiel-Anfrage nennt Masiutin GET /cgi-bin/script.exe?arg1&calc.exe HTTP/1.1. Das „&“-Zeichen interpretiert der Windows-Befehlsprozessor und startet in diesem Fall calc.exe. Weitere gefährliche Zeichen sind demnach | < > ^ ( ) % ! " ' ` ; $. Masiutin berechnet den CVSS-Wert nach CVSS-Standard 3.1 und kommt auf den leicht abweichenden Schweregrad CVSS 9.8, was ebenfalls die Risikoeinstufung „kritisch“ erreicht.

TinyWeb-Update schließt das Sicherheitsleck

Um die Lücke zu missbrauchen, muss im „cgi-bin“-Verzeichnis mindestens ein CGI-Skript liegen. Die Lücke schließt TinyWeb 1.98 aus dem November 2025. Aktuell findet sich im Github-Projekt die Version 1.99 von TinyWeb aus der vergangenen Woche. Die schließt zudem eine weitere Schwachstelle, einen Pufferüberlauf, der in einen Denial of Service mündet (CVE-2024-34199, CVSS 8.6, Risiko „hoch“).

(dmk)