Datenschutz & Sicherheit
„Wettlauf nach unten“: Karen Hao kritisiert europäischen KI-Kurs
Die Journalistin Karen Hao ist mit ihrem 2025 erschienenen Buch „Empire of AI“ zu einer der prominentesten Kritiker:innen großer Tech-Konzerne und ihrer KI-Imperien geworden. Bei ihrer Eröffnungsrede auf der re:publica in Berlin nahm Hao am Montag aber nicht nur Unternehmen wie OpenAI, Google oder Microsoft ins Visier, sondern wusch auch der europäischen Politik den Kopf.
Haos wichtigste Botschaft: Die EU müsse aufhören, in der KI-Politik den USA hinterherzulaufen. Dort hätten das Silicon Valley und das Weiße Haus das mächtigste Bündnis seit dem britischen Empire und der East India Company gebildet. Wenn Europa versuche, deren Modell zu kopieren und dafür mühsam errungene Standards wie den Datenschutz aufzuweichen, zementiere man nur die Macht der neuen Imperien.
Wachstum um jeden Preis
Die Probleme mit der Lieferkette von KI, die Hao pointiert vorträgt, sind zumindest für netzpolitik.org-Leser:innen nicht neu: Rechenzentren und hochleistungsfähige Computerchips lassen den Strom‑, Wasser- und Ressourcenverbrauch massiv ansteigen. Gefüttert werden die großen Modelle mit Petabytes an Daten, die ohne Einverständnis der Urheber:innen oder Betroffenen abgegriffen wurden. Gesäubert, sortiert und gelabelt wird der Input von ausgebeuteten Datenarbeiter:innen.
Hao hat all diese Probleme aus der Nähe untersucht. Sie hat mit Datenarbeiter:innen in Kenia und den USA gesprochen, Proteste gegen Rechenzentren in Chile und Spanien dokumentiert sowie einmalige Einblicke hinter die Kulissen von Open AI erhalten. Als Ursache hinter den Problemen macht sie einen Ansatz großer Tech-Konzerne aus, den sie „Scale At All Costs“ nennt, also: Wachstum um jeden Preis.
Statt Probleme zu lösen, würden KI-Konzerne nur ein Rezept kennen: mehr von allem. Mehr Daten. Mehr Rechenkapazität. Mehr Nutzer:innen. Dafür würden sie alles in Kauf nehmen. Die von Big Tech verursachten CO2-Emmissionen seien seit 2020 um 150 Prozent gestiegen – also seit dem Jahr, in dem sie sich vorgenommen hatten, ihre Emissionen bis 2030 auf Null zu bringen.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Fahrräder statt Raketen
Statt diesen Ansatz zu kopieren, wie es derzeit geschehe, müsse Europa sich von den KI-Imperien lösen, sie zerschlagen und Alternativen aufbauen. Als solche nennt Hao kleinere, auf die Lösung bestimmter Probleme spezialisierte KI-Modelle, die im Gegensatz zu den großen General-Purpose-Modellen der Tech-Konzerne deutlich weniger Rechenkapazität benötigten.
Letztere vergleicht Hao mit Raketen. Sie seien zwar für einige wenige Zwecke gut geeignet, jedoch vollkommen überdimensioniert, um beispielsweise Verkehrsprobleme moderner Gesellschaften zu lösen. „Wenn jeder mit der Rakete von München nach Berlin reisen will, haben wir ein Problem“, so Hao. So wie Raketen ungeeignet seien, Transportprobleme zu lösen, sei General Purpose AI nicht die Lösung für die meisten digitalen Probleme.
„Baut lieber Fahrräder als Raketen“, lautet Haos Empfehlung. Als Beispiele für kleinere KI-Anwendungen nennt die Autorin das ursprünglich von Deep Mind entwickelte KI-Modell AlphaFold zur Analyse von Proteinstrukturen in der Molekularforschung. Für solche Modelle brauche man keine Supercomputer und keine Datenarbeit.
Gleiches gelte für spezialisierte KI-Tools zur Bekämpfung der Klimakrise, etwa bei der Vorhersage von Extremwetter, zur Optimierung von Lieferketten oder zur Erhöhung der Energieeffizienz von Gebäuden. Auch Open-Source-Modelle und die Eurostack-Initiative könnten kurz- und mittelfristig helfen, aus der Abhängigkeit von Big Tech zu kommen.
Wir sind ein spendenfinanziertes Medium.
Unterstütze auch Du unsere Arbeit mit einer Spende.
„Stop Scaling!“
„Wir liegen im Wettrennen um KI so weit zurück“, diesen Satz höre sie häufig von Europäer:innen, so die Journalistin. Die Frage sei jedoch: Wie definiert man dieses Rennen, in dem Europa sich angeblich befindet? „Geht es darum, immer nur noch größere Raketen zu bauen? Dann ist das ein Wettlauf nach unten.“
Karen Haos klare Botschaft an Europa: „Stop Scaling!“ Die EU allerdings scheine dem US-Modell folgen zu wollen, so Hao. Wenn die EU etwa im Rahmen des digitalen Omnibus-Gesetzespakets die Datenschutzregeln zurückstutzen wolle, um die Nutzung personenbezogener Daten für KI zu erleichtern. Oder wenn sie einen massiven Ausbau der Rechenzentrumsinfrastruktur plane.
Dieser Weg werde nur zur Vertiefung der Abhängigkeiten von den USA führen. Ganz direkt, indem dafür große Mengen KI-Chips der Firma Nvidia angeschafft werden müssten. Aber auch indirekt, weil auch die Rechenzentrums-Infrastruktur nicht ohne Big Tech auskomme. Auch die Investments in eine europäische KI-Alternative wie Mistral hätten nicht zu mehr Unabhängigkeit geführt, schließlich sei das französische Unternehmen eine Partnerschaft mit Microsoft eingegangen.
Stattdessen müsse Europa das Wissensmonopol der KI-Imperien aufbrechen. Zum einen, indem es massiv in unabhängige KI-Forschung investiere. Zum anderen, indem es die Branche zu mehr Transparenz zwinge. Nur durch Regulierung könnten die US-Konzerne dazu gebracht werden, offenzulegen, wie viel Strom, Wasser und andere Ressourcen ihre KI-Modelle und Rechenzentren verbrauchen. Dass Microsoft und Lobby-Gruppen EU-Richtlinien beeinflusst hätten, die Transparenz in diesem Bereich verhindern, sei ein fatales Zeichen.
Dabei sei eine Abkehr Europas von den KI-Imperien auch geopolitisch geboten, schließlich hänge die US-Ökonomie und damit auch die Macht des US-Präsidenten vom Erfolg der Konzerne ab. Ein Großteil des Börsenwachstums der US-Wirtschaft gehe auf das Konto weniger KI-Unternehmen. Wenn man sie rausrechne, habe Europas Wirtschaft in den vergangenen Jahren an der Börse sogar besser performt.
Datenschutz & Sicherheit
Frühere Staatstrojaner-Untersuchungen der EU: Ausschussmitglied mehrfach mit Pegasus-Software infiziert

Nicht mal einen irreführenden Link habe Stelios Kouloglou angeklickt. Dennoch wurde das Mitglied des EU-Sonderausschusses, das in den Jahren 2022 und 2023 den Einsatz kommerzieller Staatstrojaner-Software und mögliche Verstöße gegen EU-Recht untersuchte, selbst Opfer mehrerer Angriffe. Das kanadische Citizen Lab hat heute einen Bericht veröffentlicht, demzufolge auch geheime Dokumente und Besprechungen ausgespäht worden sein könnten.
Stelios Kouloglou ist investigativer Journalist und war zwischen 2015 und 2024 Mitglied des EU-Parlaments. Im Jahr 2022 wurde er stellvertretendes Mitglied des PEGA-Komitees der EU, das als Reaktion auf das Pegasus Project gegründet wurde: Dieses hatte offengelegt, dass Menschen aus dem Journalismus, Aktivismus und der Politik sowie andere Bürger:innen weltweit mit der Software Pegasus ins Visier genommen worden waren. Der Ausschuss sollte die europäische Dimension des Skandals untersuchen und Konsequenzen erarbeiten.
Während der Spionage-Ermittlung ausspioniert
Pegasus ist ein Staatstrojaner des israelischen Unternehmens NSO Group, mit der sich iOS- und Android-Geräte ausspähen lassen. Als Staatstrojaner gelten Programme, mit denen Ermittlungsbehörden heimlich in IT-Systeme eindringen und diese überwachen.
Dem Citizen Lab der Universität Toronto zufolge ist dies der erste Nachweis, dass ein Mitglied des PEGA-Ausschusses Ziel eines Angriffs geworden war. Angestoßen wurde die Analyse durch das Opfer selbst: Im Mai dieses Jahres wandte sich Kouloglou an das Citizen Lab, das eine forensische Analyse seines iPhones durchführte. Das Ergebnis: Sein Gerät wurde gleich zwei Mal, am 21. Oktober 2022 und am 6. und 7. März 2023 mit Pegasus infiziert. Der erste Angriff lag in einer „besonders intensiven“ Arbeitsphase des Komitees zu einem vorläufigen Bericht über Überwachungsfälle. Zum Zeitpunkt des zweiten Angriffs trug Kouloglou zu Diskussionen um den finalen Ausschussbericht bei.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Das Citizen Lab schreibt die Angriffe keinem konkreten Klienten der NSO Group zu. Die Analyse würde aber darauf hinweisen, dass dieselben Angreifenden hinter den Attacken auf sieben russische und belarussische Journalist:innen und Aktivist:innen stecken könnten. Die Infektionen lassen sich mit derselben Apple-ID verbinden. Auf Kouloglous Smartphone kamen offenbar Infektionen in Belgien und Griechenland vor: Die Angreifenden könnten also über eine NSO-Group-Lizenz verfügt haben, die mehrere europäische Länder einschloss.
Alle Arbeit umsonst?
Das Citizen Lab ruft dazu auf, dass frühere Mitglieder des PEGA-Ausschusses und ihre Mitarbeitenden ihre Geräte analysieren lassen sollten. Es liege an der EU und auch nationalen Parlamenten, Angriffe auf ihre Parlamentsmitglieder und parlamentarische Prozesse zu untersuchen.
Dass die Analyse politisches Gehör findet, ist unwahrscheinlich: Die Empfehlungen des Komitees stauben ein. Seitdem haben abermalige Untersuchungen den Einsatz weiterer Staatstrojaner aufgedeckt. In Deutschland wurde noch in diesem Jahr ein Gesetzentwurf diskutiert, der der Bundespolizei erlauben würde, Geräte mit Schadsoftware zu infiltrieren.
Datenschutz & Sicherheit
Kommentar: CISA-Übereifer macht CVSS-Scores wertlos
Wer als Admin für das Beseitigen von Sicherheitslücken zuständig ist – oder als Journalist über ebensolche berichten will, um Verantwortlichen die Arbeit zu erleichtern –, ist auf zuverlässige Informationsquellen angewiesen. Die müssen im allerersten Schritt beim Priorisieren helfen: Welche Updates sollten möglichst zeitnah durchgeführt werden, um Gefahren abzuwenden, und welche können warten?
Weiterlesen nach der Anzeige
Das Common Vulnerability Scoring System (CVSS) soll als De-facto-Standard diese erste Einschätzung erleichtern: Scores von 1.0 („low“) über „medium“ bis hin zum Maximum von 10.0 („critical“) bewerten den Schweregrad. Das klingt wunderbar einfach – doch in der Praxis klaffen die Einschätzungen je nach Quelle oft weit auseinander.
„Jetzt patch…“ – Kommando zurück?
Ursprünglich sollte der Titel dieses Beitrags in etwa so lauten: „Jetzt aktualisieren: Wichtige Sicherheitsupdates für Tomcat und ActiveMQ verfügbar“.
Die Headline eines typischen heise-security-Alerts also, basierend auf einer Warnmeldung des CERT-Bund mit Verweis auf Einträge in der GitHub Advisory Database. Ein Alert deshalb, weil sich unter den gesammelten Sicherheitshinweisen auch zwei als kritisch gekennzeichnete Sicherheitslücken in Apache Tomcat befanden: CVE-2026-53434 und CVE-2026-55276.
Was auf den ersten Blick eindeutig meldenswert schien, verwirrte auf den zweiten. Denn in den Diskussionsbeiträgen auf der Apache-Mailingliste zu CVE-2026-53434 beziehungsweise CVE-2026-55276 schätzt ein Entwickler aus dem Apache-Team die Bedrohung in beiden Fällen als niedrig („low“) ein.
Die Beschreibungen sind jeweils eher knapp. Deutlich wird: CVE-2026-53434 ist nur unter sehr eng gesteckten Bedingungen ausnutzbar, nämlich wenn Admins den sogenannten FFM-Konnektor in Verbindung mit Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) konfiguriert haben. CVE-2026-55276 wiederum ist ein eher vage beschriebener Autorisierungsbug, zu dem ein separates Red-Hat-Advisory anmerkt: „This is a logging-only issue with no runtime security impact[…]“.
Weiterlesen nach der Anzeige
Im Score vergriffen
Wie kommen nun die in der National Vulnerability Database (NVD) hinterlegten Scores von 9.1 für CVE-2026-55276 beziehungsweise CVE-2026-53434 zustande?
Ein Blick in die NVD-Einträge mit dem Vermerk „CISA-ADP“ offenbart ein Eingreifen der US-Cybersicherheitsbehörde CISA in den Scoring-Prozess. Die hat seit 2024 die Erlaubnis, in ihrer Rolle als Authorized Data Publisher (ADP) Einträge in der CVE-Datenbank eigenmächtig zu vervollständigen. Zwar nur innerhalb eines vordefinierten Daten-Containers, dafür aber ohne Rücksprache mit den CNAs (CVE Numbering Authorities), die die Einträge angelegt haben. Haben diese keinen CVSS-Punktwert hinterlegt, kann die CISA im Rahmen ihres sogenannten Vulnrichment-Prozesses „nachbessern“.
Entwickler haben diese Praxis in der Vergangenheit immer wieder kritisiert. So äußerte etwa Daniel Stenberg, Erfinder und Hauptentwickler des Open Source-Kommandozeilentools cURL, dass der Prozess des CVSS-Scorings schon per se ein hohes Risiko für Fehleinschätzungen berge. Diese Gefahr werde durch eigene Punkteberechnungen autorisierter Instanzen wie der CISA noch verschärft.
Im Zweifel genauer hinschauen
Schon die Kritik am CVSS-System selbst reicht von der intransparenten Herleitung von Formeln über die Komplexität im Hinblick auf diverse Zusatzmetriken bis hin zu den Eigeninteressen der jeweils bewertenden Personen, die den Score in eine für sie günstige Richtung von Hype bis Verharmlosung verschieben können.
Wenn dann auch noch eine ADP mit fast zufällig wirkenden Scores dazwischenfunkt, wird aus einer grundsätzlich guten Idee eine reine Zeitverschwendung. Und schlimmstenfalls eine Gefahrenquelle für Admins, die Patches irrtümlich hinten anstellen, weil sie sich zu sehr auf einen Score verlassen haben, statt diesen kritisch zu hinterfragen.
Zurück zu Tomcat und ActiveMQ: Die Updates sollten Sie natürlich trotzdem einspielen. Aber in Ruhe und vielleicht sogar beim Hören des Passwort-Podcasts von heise security, dessen aktuelle Folge sich um Sinn und Unsinn von CVSS und anderen Klassifikationssystemen dreht.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
(ovw)
Datenschutz & Sicherheit
Vereinte Nationen: „Wir können nicht mehr sagen, wir hätten von nichts gewusst“

Das wissenschaftliche KI-Gremium der Vereinten Nationen hat am Mittwoch einen ersten vorläufigen Bericht zu den Chancen, Risiken und Einsatzmöglichkeiten Künstlicher Intelligenz veröffentlicht. KI könne massive Fortschritte in der Medizin, der Landwirtschaft und vielen weiteren Feldern bringen. Doch die Kluft zwischen ihrer rapiden Entwicklung und der aktuellen KI-Regulierung kann dem Bericht zufolge katastrophale Folgen haben, etwa in der Biotechnologie oder Cybersicherheit.
Das Gremium sieht ein großes Dilemma. Auf der einen Seite sollen Regierungen möglichst evidenzbasiert handeln. Auf der anderen Seite entwickeln sich KI-Technologien so schnell, dass Regulierung zu spät komme, wenn wissenschaftliche Befunde feststehen. „Die Fähigkeiten Künstlicher Intelligenz entwickeln sich schneller weiter, als es möglich ist, sie zu messen oder regulieren“, heißt es im Bericht. Zudem könne KI aktiv über ihre Fähigkeiten hinwegtäuschen. Selbst unter den Industrieländern mangele es an technischer Expertise, um Gefahren fortschrittlicher KI-Modelle einzuschätzen.
KI verstärkt globale Ungleichheiten
Ein weiterer Schwerpunkt des Berichts liegt auf dem Digital Divide, der Spaltung im Zugang zu Technologien zwischen reichen und armen Ländern. Folgen der Technologie für die Umwelt würden den Globalen Süden stärker treffen als den Norden, verzerrte KI-Modelle und Deepfakes vor allem marginalisierten Gruppen schaden. Darüber hinaus geht es den Fachleuten um Mitbestimmung: Länder, die KI zwar einsetzen, aber keinen Einfluss auf ihre Entwicklung haben, würden Anschluss und Kontrolle verlieren. Zu investieren sei deshalb lokal: nicht nur in eigene Infrastrukturen, sondern auch in KI-Kompetenz und Regulierungsmaßnahmen.
Das Gremium aus 40 internationalen Forschenden verschiedener Disziplinen soll unabhängig von den Vereinten Nationen arbeiten. Seine Aufgabe ist nicht, direkte politische Maßnahmen vorzuschlagen. Vielmehr sollen die Fachleute den aktuellen Wissensstand aufzeigen, damit daraus entsprechende Schritte abgeleitet werden können. Unter Künstlicher Intelligenz fasst das Gremium alle Maschinensysteme, die „wahrnehmen, lernen und handeln“.
Vom 6. bis 7. Juli findet in Genf der erste Global Dialogue on AI Governance statt: Hier dient der Bericht als Grundlage für die Gespräche der UN-Mitgliedsstaaten. Die Arbeit des Gremius geht unterdessen weiter. Der Bericht soll kontinuierlich erweitert werden, außerdem plant das Gremium Berichte zu inhaltlichen Schwerpunkten wie KI und Umwelt oder KI und Kinderschutz.
„Wir können nicht mehr sagen, wir hätten von nichts gewusst“, sagte UN-Generalsekretär António Guterres auf der Pressekonferenz zum Bericht. „Was wir damit tun, hängt jetzt von uns allen ab.“
-
Künstliche Intelligenzvor 3 MonateniX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 2 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Apps & Mobile Entwicklungvor 2 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Künstliche Intelligenzvor 2 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
