Bundeskanzler Friedrich Merz ist nicht gerade zimperlich, wenn es darum geht, Länder („ordentliches Stück Brot“), Städte („Belem“) oder ganze Bevölkerungsgruppen („kleine Paschas“ und „grüne und linke Spinner“) zu beleidigen. Wenn allerdings er selbst im Fokus steht, wird er offenbar schnell dünnhäutig.
Wie wenig Friedrich Merz verträgt, ließ sich bereits bei anlässlich einer Karnevalsrede von Marie-Agnes Strack-Zimmermann im Jahr 2023 beobachten. Da ging es weniger um Beleidigungen als vielmehr um spitzzüngige Kritik, die bei ihm schmale Lippen und Kopfschütteln auslöste. Nach der Rede trat Merzens Büro gar in Kontakt mit der bekannten Büttenrednerin, was Strack-Zimmermann süffisant verbreitete.
Durch Recherchen verschiedener Medien kam nun heraus, dass Friedrich Merz seit 2021 – noch als Oppositionsführer der Union – zahlreiche Strafanträge wegen mutmaßlicher Beleidigungen gegen ihn gestellt hat. In mindestens zwei Fällen führten diese zu Hausdurchsuchungen.
Die Strafanträge sind laut den Recherchen anfangs auf Initiative von Merz entstanden. Seit Merz Kanzler ist, lässt er quasi von Amts wegen ermitteln, indem er den Ermittlungen nicht widerspricht. Die „Welt“ geht davon aus, dass Merz vor seiner Amtszeit als Unions-Chef Hunderte Strafanträge gestellt hat. Ein netzpolitik.org vorliegendes Dokument der Kanzlei Brockmeier, Faulhaber, Rudolph, die Merz in seiner Zeit als Bundestagsabgeordneter vertreten hat, mit fortlaufenden Fallnummern untermauert diese Schätzungen. Zwischen Mai und Dezember dieses Jahres sind laut Informationen des nd etwa 170 Strafanzeigen wegen Beleidigung gestellt worden.
Eine offizielle Bestätigung der Fallzahlen gibt es nicht, wie der Tagesspiegel berichtet. Die Zeitung befindet sich in juristischen Auseinandersetzungen mit dem Kanzleramt, das in dieser Causa trotz Informationspflicht mauert und sich anwaltlich gegen das Informationsbegehren der Presse wehrt.
Dass ohne die aktive Mithilfe von Friedrich Merz in seiner Funktion als Bundeskanzler ermittelt werden kann, ermöglicht Paragraf 188 des Strafgesetzbuches, der Amtsträger:innen und Politiker:innen bis in die kommunale Ebene hinein vor Beleidigungen schützen soll. Der Paragraf bietet – zusammen mit den Paragrafen 90 (Verunglimpfung des Bundespräsidenten) und Paragraf 90b (Verfassungsfeindliche Verunglimpfung von Verfassungsorganen) – quasi moderne Möglichkeiten, „Majestätsbeleidigungen“ zu ahnden. Im Gegensatz zum klassischen Beleidigungsparagraf 185 StGB können Staatsanwaltschaften beim Paragraf 188 StGB von Amts wegen ermitteln. Bei der klassischen Beleidigung braucht es einen Antrag der betroffenen Person.
Die mutmaßlichen Beleidigungen werden den Ermittlungsbehörden – und später dem Bundeskanzleramt – vermutlich überhaupt erst bekannt, weil die Infrastruktur von Hatespeech-Meldestellen diese auffindet und an die Bundesbehörde weiterleitet. Laut den Recherchen der Tageszeitung „Die Welt“ ist daran maßgeblich die dem hessischen Innenministerium unterstellte Meldestelle „Hessen gegen Hetze“ beteiligt. Sie übermittelt Meldungen an die Zentrale Meldestelle für strafbare Inhalte im Internet (ZMI), die beim Bundeskriminalamt (BKA) angesiedelt ist. 92 Prozent aller Paragraf-188-Meldungen, die das ZMI erhält, stammen von der hessischen Meldestelle. Andere Meldestellen wie „Respect!“ oder die Landesmedienanstalten seien laut nd in weit geringerem Umfang beteiligt. Insgesamt habe das ZMI nach Auskunft eines Sprechers in den ersten neun Monaten dieses Jahres 5155 gemeldete Fälle mit dem Straftatbestand des Paragrafen 188 StGB kategorisiert.
Aber auch privatwirtschaftliche Dienste wie „So-Done“ haben bei der Verfolgung von Beleidigungen offenbar ihre Finger im Spiel. Laut Recherchen der Welt hat der Rechtsanwalt und FDP-Politiker Alexander Brockmeier die meisten der Strafanzeigen von Merz unterschrieben, die dieser während seiner Zeit als Bundestagsabgeordneter gestellt hat. Brockmeier hat die So Done GmbH zusammen mit seiner Parteikollegin Franziska Brandmann gegründet, eine Art Legal Tech Unternehmen, das Hate Speech verfolgt.
Laut Informationen der Welt haben neben Friedrich Merz in der Vergangenheit unter anderem Robert Habeck (Grüne), Julia Klöckner (CDU), NRW-Ministerpräsident Hendrik Wüst (CDU) und Bundesforschungsministerin Dorothee Bär (CSU) den Dienst in Anspruch genommen. Der Bundeskanzler nutze den Dienst mittlerweile nicht mehr.
Gleich acht Strafanträge von Friedrich Merz hat der Berliner Umwelt- und Klimaaktivist Tadzio Müller erhalten. Müller hatte Friedrich Merz auf Bluesky und Twitter mehrfach als Beispiel für seine Theorie der „Arschlochgesellschaft“ herangezogen und den Kanzler kontexualisierend wahlweise ein „schamloses“ oder „rassistisches Arschloch“ genannt.
Müllers Rechtsanwalt Jannik Rienhoff findet es laut dem nd falsch, wenn Merz Postings zur Anzeige bringen lässt, die einen klaren politischen Kontext haben. Da dürfe man viel sagen und das zu Recht. „Bei einer Formalbeleidigung würde ich es verstehen, allerdings könnte Merz auch darüber stehen“, so Rienhoff gegenüber dem nd. Den Paragrafen 188 StGB, der Ermittlungen auch ohne direkten Strafantrag des Bundeskanzlers ermöglicht, kritisiert der Anwalt dabei grundsätzlich. Dieser sorge unnötigerweise für hohe Kosten und für einen enormen Aufwand für Betroffene.
Das sieht auch Tadzio Müller so. Er ist überzeugt, dass es bei den Anzeigen nicht um die Bekämpfung von Hass im Netz gehe, sondern dass sie eine neue Form von Cyber-Bullying darstellen: „Ressourcenstarke Akteure wie Merz haben mit diesen Verfahren ein weiteres Werkzeug in der Hand, um Leute aus dem Diskurs zu drängen.“
Es handle sich um ein Werkzeug, das nicht nur emotional, sondern auch ökonomisch schmerze: „Jede dieser Anzeigen produziert Anwaltskosten bei den Betroffenen“, so Müller gegenüber netzpolitik.org.
Ähnlich sieht das auch Eva Meier*, die erst im November Post vom Landeskriminalamt Hamburg wegen einer mutmaßlichen Beleidigung des Kanzlers erhalten hat: „Seine Bürgerinnen und Bürger systematisch mit Strafverfahren wegen Bagatellbeleidigungen zu überziehen, ist eines Kanzlers nicht würdig“, sagt sie gegenüber netzpolitik.org. „Das ist kein Vorgehen gegen Hass im Netz, sondern schränkt gezielt die freie Meinungsäußerung ein.“
*Der wahre Name ist der Redaktion bekannt.
Nike untersucht einen möglichen Datenabfluss, nachdem die Erpressergruppe WorldLeaks behauptet hat, eine gewaltige Menge interner Daten des US-amerikanischen Sportartikelherstellers gestohlen und teilweise veröffentlicht zu haben. Bei dem Cyberangriff sollen persönliche und geschäftliche Daten entwendet worden sein.
Weiterlesen nach der Anzeige
„Wir nehmen den Schutz der Privatsphäre unserer Kunden und die Datensicherheit stets sehr ernst“, erklärte Nike am Montag in einer Stellungnahme. „Wir untersuchen einen möglichen Vorfall im Bereich der Cybersicherheit und bewerten die Situation aktiv.“
Die Cyberattacke war am 22. Januar bekannt geworden. Verantwortlich soll die Ransomware-Gruppe WorldLeaks sein. Diese betreibt gezielt Datendiebstahl mittels kompromittierter Webseiten, Phishing-Mails und ungesicherter VPN-Zugänge, um anschließend Unternehmen zu erpressen. Mehr als 100 Unternehmen sollen bereits Opfer der Gruppe geworden sein, darunter der Computerhersteller Dell. Die Gruppe soll eine Umbenennung von Hunters International sein, einer Ransomware-Bande, die seit 2023 aktiv ist.
World Leaks erklärte, 1,4 Terabyte (TB) an Daten im Zusammenhang mit den Geschäftsaktivitäten von Nike veröffentlicht zu haben. In einer Liste, die das Webportal The Register eingesehen hat, behauptet die Cybercrime-Gruppe, 188.347 Dateien aus den Systemen des Unternehmens gestohlen zu haben. Die veröffentlichten Dateinamen deuteten eher auf Design- und Fertigungsabläufe als auf Kundendatenbanken hin, so The Register weiter. Beispiele hierfür seien Verzeichnisse mit den Bezeichnungen „Women’s Sportswear“ (Sportbekleidung für Frauen), „Men’s Sportswear“ (Sportbekleidung für Männer), „Training Resource – Factory“ (Schulungsressourcen – Fabrik) und „Garment Making Process“ (Bekleidungsherstellungsprozess). Das deute auf Dateien aus den Bereichen Produktentwicklung und Produktionsprozesse hin. Bislang gibt es keine Anzeichen dafür, dass Kunden- oder Mitarbeiterdaten betroffen sind.
Allerdings verliert kein Unternehmen gern interne Informationen wie Designs, Schulungsunterlagen und Prozessdokumentationen. Laut dem Onlineportal it-daily befinden sich unter den gestohlenen Informationen Details zur geplanten SP27-Kollektion der Nike-Marke Jordan Brand. WorldLeaks erklärte demnach, Zugriff auf technische Produktspezifikationen, Materiallisten sowie Designentwürfe und Prototypen aus verschiedenen Produktzyklen erlangt zu haben. Zudem sollen sensible Informationen zur Fertigung kompromittiert worden sein, darunter Unterlagen zu Qualitätsprüfungen in Produktionsstätten, Angaben zu Zulieferern sowie Dokumentationen zu Herstellungsverfahren.
Weiterlesen nach der Anzeige
Laut The Register machen „die unübersichtlichen globalen Lieferketten und der stetige Strom neuer Designs, die zwischen den Partnern hin- und herwandern“, Mode- und Sportbekleidungsunternehmen zu einem beliebten Ziel für Cyberkriminelle. Diese müssten keine Kundendatenbanken erbeuten, um Schaden anzurichten.
Gerade erst ist ein anderes US-amerikanisches Sportbekleidungsunternehmen Opfer eines Cyberangriffs geworden. Eine Ransomware-Bande drang bei Under Armour ein und entwendete massenhaft Daten. In der vergangenen Woche tauchten 72,7 Millionen Datensätze bei Have I Been Pwned auf, darunter Namen, E-Mail-Adressen, Geburtsdaten, Geschlecht, geografische Standorte und Kaufinformationen.
(akn)
Am Montagmittag hat die EU-Kommission ein weiteres Verfahren gegen den Kurznachrichtendienst X eingeleitet. Dabei will sie prüfen, ob das eng mit dem KI-Chatbot Grok verzahnte soziale Netzwerk gegen den Digital Services Act (DSA) verstoßen hat. Der Kommission zufolge ist unklar, ob der Online-Dienst vor dem Ausrollen des Produkts damit verbundene Risiken untersucht hat.
Musks Plattform X ist mit dem integrierten KI-Chatbot zuletzt stark in die Kritik geraten, nachdem dieser auf Nachfrage von Nutzer*innen ungefiltert sexualisierte Bilder von Frauen und Kindern auf X veröffentlicht hat.
Nachdem X lange untätig blieb, hatte das Unternehmen am 9. Januar angekündigt, die Funktion zahlenden Nutzer*innen vorzubehalten. Am 14. Januar kündigte X dann weitere technische Maßnahmen an und schränkte die pornografische Bildgenerierungsfunktion nach eigenen Angaben für alle Nutzer*innen ein. Für andere Zwecke soll das Bildfeature jetzt nur noch zahlenden X-Nutzer*innen offen stehen.
Erst am vergangenen Dienstag hatte das EU-Parlament über KI-Deepfakes in sozialen Medien debattiert. Kurz danach haben mehr als fünfzig Abgeordnete in einem Brief die EU-Kommission zu konsequenterem Vorgehen im Falle Grok aufgefordert.
Nun muss die Plattform vor der EU-Kommission Rechenschaft ablegen, ob es der gesetzlich vorgeschriebenen Risikobewertung und -minderung nachgekommen ist. Solche Berichte sollen potenzielle „systemische Risiken“ aufdecken, die von Online-Diensten ausgehen können. Sollte X vor der Integration von Grok keine Folgenabschätzung vorgenommen haben, könnten auf X hohe Geldbußen zukommen.
Dass der Schaden bereits eingetreten ist, führte EU-Digitalkommissarin Henna Virkkunen aus: „Sexualisierte Deepfakes von Frauen und Kindern sind eine gewalttätige, inakzeptable Form der Entwürdigung. Mit dieser Untersuchung werden wir feststellen, ob X seinen gesetzlichen Verpflichtungen gemäß dem DSA nachgekommen ist oder ob es die Rechte europäischer Bürger – einschließlich der Rechte von Frauen und Kindern – als Kollateralschaden seines Dienstes behandelt hat.“
Die Einleitung solch eines Verfahrens ist noch kein Nachweis für einen Verstoß gegen den DSA. Allerdings befähigt es die Kommission zu weiteren Maßnahmen. Sie kann beispielsweise Unterlagen betroffener Unternehmen anfordern, Durchsuchungen vornehmen oder Mitarbeiter*innen befragen.
Neben dem neuen Verfahren hat die EU-Kommission angekündigt, eine seit Dezember 2023 laufende Untersuchung zu verlängern, die sich unter anderem auf die Moderationsfunktion, Maßnahmen gegen illegale Inhalte und Risiken des Empfehlungssystems bezieht. Das Verfahren umfasst zusätzlich die mangelnde Werbetransparenz von X. Dafür verhängte die EU-Kommission Anfang Dezember eine 120-Millionen-Euro-Geldbuße, da die Plattform Vorschriften nicht eingehalten hatte.
Inzwischen haben mehrere Organisationen die Tragweite der Vorfälle untersucht. Die britische NGO Center for Countering Digital Hate (CCDH) schätzt etwa, dass im Zeitraum vom 29. Dezember bis 8. Januar über 4 Millionen Bilder generiert wurden. Davon sollen rund 3 Millionen sexualisierter Art gewesen sein, auf rund 23.000 Bildern sollen Kinder dargestellt worden sein.
Die NGO AI Forensics kommt zu ähnlichen Ergebnissen. Bis zum 1. Januar waren mehr als die Hälfte der generierten Bilder sexualisierte Deepfakes. Nachdem X am 14. Januar technische Einschränkungen vorgenommen hatte, sei der Anteil sexualisierter Bilder auf unter 10 Prozent gefallen.
Der Schweizer Hersteller für Sicherheits- und Schließsysteme dormakaba hat mehrere, teils kritische Sicherheitslücken in seinen Produkten behoben. Den Fixes war ein jahrelanger Melde- und Verbesserungsprozess vorangegangen. Angreifer mit Netzwerkzugriff auf die dormakaba-Verwaltungsserver in Unternehmen konnten unter anderem hartkodierte Zugangsdaten und einfach zugängliche Lötstellen missbrauchen.
Weiterlesen nach der Anzeige
Manches Mal ist eine „Responsible Disclosure“ an einen Hersteller schnell und unproblematisch: Problemmeldung und Behebung durch den Hersteller liegen im Idealfall nur Stunden oder Tage auseinander. Doch bisweilen dauert es länger, so bei dormakaba. Bereits im April 2024, also vor fast zwei Jahren, nahm der Sicherheitsdienstleister SEC Consult mit dem Unternehmen Kontakt auf und meldete zwanzig, teils kritische Sicherheitslücken. Nachdem der Schweizer Konzern zwei Wochen später die internen Zuständigkeiten geklärt hatte, begann ein anderthalbjähriger Meeting- und Konferenzmarathon, an dessen Ende nun die Veröffentlichung aller Lücken steht.
Die Sicherheitsprobleme beziehen sich hauptsächlich auf die Produkte Kaba exos 3000 und den dormakaba Zutrittsmanager („Access Manager“), professionelle Lösungen zur Zutrittssicherung für Unternehmen. Diese bestehen nicht nur aus Soft-, sondern auch aus Hardware: So ist der Zutrittsmanager ein schwarzes Kästchen, das etwa im Schaltschrank installiert wird. Kaba exos 3000 kommt überall dort zum Einsatz, wo sich Schließberechtigungen häufig ändern, etwa durch regelmäßige Besucher.
Viele Sicherheitslücken, sagte ein Vertreter der Melder von SEC Consult heise security, seien bereits vor Veröffentlichung des Sammeleintrags im Unternehmensblog behoben gewesen. Ein dormakaba-Pressesprecher schränkt weiter ein: Um die Schwachstellen ausnutzen zu können, benötige ein Angreifer vorherigen Zugriff auf das Netzwerk des Kunden. „Insgesamt sind uns keine Fälle bekannt, bei denen die identifizierten Schwachstellen ausgenutzt wurden“, sagte der Hersteller.
Dennoch liest sich die Liste der Sicherheitslücken beunruhigend: Von hartkodierten, schwachen Passwörtern ist da die Rede, von ungesicherten APIs und RPC-Diensten (Application Programming Interface bzw. Remote Procedure Call) und einer lokalen Privilegienausweitung. Einige der Fehler ermöglichten „Schlösserknacken, ohne die Hände zu benutzen“ – diesen Titel wählten die Finder für ihren langen Blogartikel mit Details zu allen Lücken.
Folgende Lücken mit hohem und kritischem Schweregrad in Kaba exos 9300 sind behoben:
Weiterlesen nach der Anzeige
Im „Access Manager 92xx k5/k7“ gab es ebenfalls einige Funde mit hohem oder kritischem Schweregrad. Teilweise sind sie nicht oder nur durch manuelle Intervention behebbar – Details verrät der Blogartikel von SEC Consult.
Nach Behebung aller Lücken bleibt für die Sicherheitsexperten von SEC Consult eine Schwachstellenmeldung der besonderen Art. „Derartiger Research ist selten, weil diese Systeme für unabhängige Tester fast nie realistisch zugänglich sind, und genau deshalb war es besonders spannend, sie ganzheitlich überprüfen zu können, von Web-Komponenten über Infrastruktur bis hin zu Reverse Engineering und das Zerlegen von Hardware“, beschrieb Sicherheitsforscher Werner Schober.
Und ein dormakaba-Sprecher erläuterte, warum man sich fast zwei Jahre Zeit für Bugfixes ließ: „Wir haben über die Zeit schrittweise via Standard-Releases die Schwachstellen geschlossen; dazu gehören auch Feldtests mit ausgewählten Kunden.“
(cku)
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Arndt Benedikt rebranded GreatVita › PAGE online
Schnelles Boot statt Bus und Bahn: Was sich von London und New York lernen lässt
Kommentar: Anthropic verschenkt MCP – mit fragwürdigen Hintertüren
Fast 5 GB pro mm²: Sandisk und Kioxia kommen mit höchster Bitdichte zum ISSCC
Huawei Mate 80 Pro Max: Tandem-OLED mit 8.000 cd/m² für das Flaggschiff-Smartphone
Die meistgehörten Gastfolgen 2025 im Feed & Fudder Podcast – Social Media, Recruiting und Karriere-Insights
Weiter billig Tanken und Heizen: Koalition will CO₂-Preis für 2027 nicht erhöhen
