Oracle hat ein Notfall-Update abseits des sonst üblichen vierteljährlichen Critical-Patch-Update (CPU) genannten Patchdays veröffentlicht. Es schließt eine Sicherheitslücke in Oracle Identity Manager und Web Services Manager, die Angreifern aus dem Netz ohne vorherige Anmeldung das vollständige Kompromittieren verwundbarer Instanzen ermöglicht.

Die CVE-Schwachstellenbeschreibung präzisiert, dass beide betroffenen Produkte Teile der Oracle Fusion Middleware sind. Im Identity Manager ist ein API-Endpunkt „REST WebServices“ anfällig, im Web Services Manager hingegen die Komponente Web Services Security. Die Schwachstelle sei einfach zu missbrauchen, durch bösartige Akteure mit HTTP-Zugriff, schreibt Oracle dort. Damit können sie Oracle Identity Manager und Web Services Manager übernehmen (CVE-2026-21992, CVSS 9.8, Risiko „kritisch“).

In der Sicherheitsmitteilung schreibt Oracle, dass die Lücke sich ohne Authentifizierung aus der Ferne missbrauchen lässt und dann in der Ausführung von eingeschleustem Schadcode münden kann. Betroffen sind Oracle Identity Manager und Oracle Web Services Manager jeweils in den Versionen 12.2.1.4.0 und 14.1.2.1.0. Die Informationen zur Patch-Verfügbarkeit sind hinter einem Login versteckt, sie sind somit nicht öffentlich zugänglich.

Jetzt aktualisieren

Wenn Oracle Updates abseits der gewohnten Patchdays veröffentlicht, deutet das darauf hin, dass es sich um wirklich zügig zu stopfende Sicherheitslücken handelt. Das Unternehmen schreibt dazu auch: „Oracle empfiehlt seinen Kunden dringend, die in diesem Sicherheitshinweis bereitgestellten Updates oder Abhilfemaßnahmen so schnell wie möglich zu installieren.“ Immerhin wird die Lücke noch nicht in freier Wildbahn angegriffen, davon schreibt der Hersteller zumindest nichts.

IT-Verantwortliche sollten die Schwachstelle nicht auf die leichte Schulter nehmen. Im vergangenen Herbst wurde eine Sicherheitslücke in Oracles E-Business-Suite bekannt, die die Cybergang Cl0p in einer Angriffswelle missbraucht hat. Daten von hunderten Unternehmen waren davon betroffen. Die Kriminellen haben die Unternehmen unter Androhung der Veröffentlichung der Daten um Lösegeld erpresst.

(dmk)

Die EU-Verordnung über die Transparenz und das Targeting politischer Online-Werbung (TTPW-VO) hat derzeit keinen leichten Stand. Eigentlich soll sie Wahlen und die demokratische Öffentlichkeit vor Manipulation schützen. Dabei setzt sie nicht auf Verbote, sondern vor allem auf Transparenzvorgaben. Doch Meta und Google haben politische Werbung als Reaktion auf die neuen Regeln gleich ganz verboten. Seitdem herrscht in der Welt der politischen Kommunikation Panik.

Als der Digitalausschuss des Bundestages diese Woche zur Sachverständigenanhörung über das deutsche Umsetzungsgesetz zu der EU-Verordnung geladen hatte, war die Situation deshalb gleich doppelt paradox. Zum einen gibt es derzeit einfach kaum noch politische Online-Werbung (wobei die Plattformen ihre Verbote offenbar nicht konsequent durchsetzen). Zum anderen hat der deutsche Gesetzgeber bei seinem Politische-Werbung-Transparenz-Gesetz (PWTG) kaum Spielräume, um eigene Regeln zu setzen.

Die EU-Verordnung gilt bereits seit Oktober 2025 unmittelbar, das Umsetzungsgesetz soll vor allem die komplexe Aufsichtsstruktur im föderalen System Deutschlands regeln. Hierbei spielen nach Ansicht der Sachverständigen nicht nur die Bundesdatenschutzbeauftragte und die Koordinierungsstelle für digitale Dienste in der Bundesnetzagentur eine Rolle, sondern auch Landesmedienanstalten und Landesdatenschutzbehörden.

Deutschland ist spät dran

Die Probleme, die man bei der Anhörung besprechen werde, seien nicht in erster Linie auf das deutsche Umsetzungsgesetz zurückzuführen, sondern vor allem auf die zugrundeliegende EU-Verordnung, so leitete entsprechend Professor Matthias Cornils von der Johannes-Gutenberg-Universität Mainz seine Stellungnahme ein. Diskutiert wurden diese Probleme im Ausschuss natürlich trotzdem, wobei die Positionen von grundsätzlicher Zustimmung zur Verordnung mit Vorschlägen für Nachbesserungen bis zur kompletten Abschaffung der EU-Verordnung reichten.

Jene TTPW-Verordnung wurde bereits Anfang 2024 verabschiedet, ihre Umsetzung in Deutschland erfolgt aufgrund des Bruchs der Ampel-Koalition verspätet. Anlass für die Verordnung waren Sorgen vor Manipulation wie im Fall des Cambridge-Analytica-Skandals, zahlreiche digitale Desinformationskampagnen von in- und ausländischen Akteuren sowie zuletzt die mutmaßliche Einflussnahme-Operation bei der Präsidentschaftswahl in Rumänien.

Unter anderem müssen Werbetreibende und Werbedienstleister künftig mehr über die Finanzierung und das Targeting von zielgerichteter politischer Werbung offenlegen. Bei der EU-Kommission soll ein Transparenzregister aller politischen Online-Anzeigen entstehen. Verboten ist das Targeting mit sensiblen Daten wie jenen zu sexueller Orientierung, politischen Meinungen oder Religion. Außerdem schränkt die Verordnung Wahlwerbung ein, die aus dem Ausland bezahlt wird.

Trifft die Verordnung die Falschen?

Bei der Anhörung standen zwei Fragen im Mittelpunkt, die sehr typisch für Versuche der Digitalregulierung sind: Werden mit den Regeln überhaupt die beabsichtigten Akteur:innen getroffen? Und schießen die Regeln womöglich über das Ziel hinaus oder haben sie vielleicht andere unerwünschte Effekte? Bei beiden Fragen fiel das Echo der Sachverständigen überwiegend kritisch aus.

Es steht bereits fest, dass die eigentlich primär gemeinten großen Werbeplattformen von Meta und Google sich der Verordnung entziehen wollen, indem sie politische Werbung verbieten. Allerdings sind sie beileibe nicht die einzigen Werbedienstleister im Internet. So können beispielsweise auch journalistische Online-Medien unter die Verordnung fallen, wenn auf ihren Seiten politische Werbung geschaltet wird.

Das führte bei mehreren Sachverständigen zu Sorgen um die Pressefreiheit, denn das PWTG sieht weitreichende Befugnisse für die Aufsichtsbehörden vor, sollten Werbedienstleister nicht mit ihnen kooperieren. Das Gesetz erlaubt es ihnen, Geschäftsräume zu durchsuchen und Dokumente zu beschlagnahmen. Bei Gefahr im Verzug soll dies sogar ohne vorherige richterliche Genehmigung der Fall sein. Bei Medien, so die Befürchtung, könne das auch Redaktionen betreffen.

Der Gesetzgeber müsse deshalb sicherstellen, dass Pressefreiheit und Quellenschutz nicht gefährdet werden, so die Forderung mehrerer Sachverständiger wie etwa Alina Clasen von Reporter ohne Grenzen. Das könnte etwa durch einen expliziten Hinweis auf den Schutz von Berufsgeheimnisträger:innen in der Strafprozessordnung geschehen oder durch eine explizite Ausnahme der Presse für Beschlagnahmeregeln.

Ringen um Definitionen und Sanktionen

Sorgen gibt es auch, dass die Regel unbeabsichtigte Konsequenzen haben könnten. Das liegt vor allem am recht breit gefassten Begriff der politischen Werbung. Die EU-Verordnung versteht darunter bezahlte Online-Kommunikation von politischen Akteuren und solche, die „geeignet und darauf ausgerichtet ist, das Ergebnis einer Wahl oder eines Referendums, ein Abstimmungsverhalten oder einen Rechtsetzungs- oder Regulierungsprozess“ zu beeinflussen.

Sachverständige wie der Werber Jochen König, der die Verordnung grundsätzlich begrüßt, oder Rechtsanwalt Jörg Frederik Ferreau kritisierten, dass durch diesen sehr weit gefassten Begriff Rechtsunsicherheiten entstünden. Sie regten eine Präzisierung an, entweder im Rahmen des PWTG oder auf EU-Ebene. Aus Sorge, gegen Regeln zu verstoßen, könnten Medien, Werbeagenturen, NGOs oder Lokalpolitiker:innen lieber ganz auf politische Werbung verzichten.

Dass gerade mit Blick auf möglichen Sanktionen, die bei größeren Unternehmen bis zu sechs Prozent des Umsatzes betragen könnten, Abschreckungseffekte eintreten könnten, befürchtet auch Juristin Tahireh Audrey Panahi von der Universität Kassel. Sie empfahl deshalb, dass Sanktionen gegen bestimmte Akteursgruppen erst nach zweimaligem Verstoß verhängt werden sollten. Außerdem schlug sie Leitlinien zur Auslegung des Gesetzes vor, die die Koordinierungsstelle für digitale Dienste bei der Bundesnetzagentur unter Einbindung des DSC-Beirats erarbeiten solle.

Zeitungsverleger auf Linie mit Tech-Konzernen und AfD

Während also die meisten Sachverständigen nicht mit Kritik hinter dem Berg hielten und konkrete Verbesserungsvorschläge machten, fielen die beiden geladenen Vertreter der Verlagsbranche vor allem durch Polemik auf.

Christoph Fiedler vom Medienverband der freien Presse etwa bemühte die omnipräsente Floskel vom „Bürokratie-Monster“ und kündigte an, dass Medien die Preise für politische Werbung erhöhen müssten, um den Anforderungen der Verordnung gerecht zu werden. Während er noch konkrete Vorschläge zum Schutz der Pressefreiheit machte, forderte Helmut Verdenhalven vom Bundesverband Digitalpublisher und Zeitungsverleger (BDZV) hingegen, die EU-Verordnung komplett abzuschaffen.

Um seine Forderung zu untermauern, hatte Verdenhalven ein vermeintlich klares Beispiel im Gepäck: Ein norddeutscher Zeitungsverlag habe kürzlich auf Instagram einen Podcast bewerben wollen, in dem Politiker:innen mit unterschiedlichen Positionen ins Gespräch kommen sollten, in diesem Fall von FDP und Linken. Die Plattform habe die Anzeige jedoch abgelehnt. Verantwortlich für diese „Verarmung der politischen Debatte“ macht der BDZV-Vertreter nicht etwa den Social-Media-Konzern, der politische Werbung verbot und dies auch auf Werbung für journalistische Inhalte bezieht, sondern die EU.

Gegen diese führte der BDZV-Vertreter auch eine mehrere Jahre alte und längst verworfene Idee der EU-Kommission ins Feld, unter Umständen auch journalistische Inhalte als politische Werbung einzustufen. Dass das überhaupt diskutiert worden sei, reichte ihm schon als Beleg dafür, „wie schmal in Brüssel der Grat ist zwischen gut gemeint, und (…) sehr schlecht gemacht“.

Diese pauschale Breitseite gegen einen Versuch der EU, die demokratische Öffentlichkeit zu schützen, ist einerseits nicht verwunderlich, kämpfen Zeitungsunternehmen und ihre Branchenverbände doch seit Jahren Seite an Seite mit Tech-Konzernen gegen jegliche Form der Regulierung von Werbung im Internet. Andererseits ist es bemerkenswert, wie bräsig ein von der SPD vorgeschlagener Sachverständiger ausgerechnet den Feinden der Presse nach dem Mund reden kann. Genüsslich aufgegriffen wurden Verdenhalvens Einlassungen vor allem von den Abgeordneten der AfD, die wie er eine Abschaffung der EU-Verordnung wollen.

Unternehmen in der DACH-Region betrachten ihre Abhängigkeit von großen Cloud-Anbietern zunehmend als strategisches Risiko. Laut einer aktuellen Studie von Lünendonk & Hossenfelder halten 83 Prozent der befragten Unternehmen ein sogenanntes Kill-Switch-Szenario für realistisch – also die Möglichkeit, dass ein Cloud-Provider den Zugang zu kritischen IT-Services einseitig einschränkt oder komplett abschaltet. Gleichzeitig verfügen nur 57 Prozent über eine Exit-Strategie für den Wechsel des Providers. Fast die Hälfte hat demnach keinen Plan B für den Ernstfall.

Für die Studie zur digitalen Souveränität befragte das Beratungsunternehmen zwischen Dezember 2025 und Januar 2026 insgesamt 155 IT-Bereichsleiter, GRC- und Security-Verantwortliche, IT-Einkäufer, CIOs sowie C-Level-Verantwortliche. Die Teilnehmer verteilen sich je zur Hälfte auf gehobenen Mittelstand und Konzerne aus Branchen wie Industrie, KRITIS-Sektoren, Banken und Versicherungen.

Digitale Souveränität hat für 36 Prozent der Unternehmen bereits heute sehr hohe Priorität. Noch deutlicher fällt der Ausblick aus: 96 Prozent erwarten, dass das Thema in den kommenden drei Jahren weiter an Bedeutung gewinnt – selbst bei einer Entspannung der geopolitischen Lage. Zentrale Treiber sind laut Studie die Abhängigkeit von IT- und Cloud-Providern, die Forderung nach Resilienz in Krisen, der Schutz vor Zugriffsblockaden sowie die Verhinderung extraterritorialer Datenzugriffe.

Souveräne Cloud-Modelle gewinnen an Bedeutung

Bei der Frage nach Alternativen stufen 55 Prozent der Befragten souveräne Cloud-Angebote mit lokalem EU-Betreiber in Kombination mit deutschen IT-Dienstleistern als sehr relevant ein. Deutsche Cloud-Provider, die sich laut Lünendonk zu sogenannten Superscalern entwickeln, folgen mit 48 Prozent. US-Hyperscaler mit souveränen Angeboten haben für 36 Prozent der Befragten eine sehr hohe Relevanz. Multi-Cloud-Architekturen werden dabei zum Standard: 42 Prozent der Unternehmen verfügen bereits über eine solche Architektur, weitere 46 Prozent planen deren Aufbau.

Europäische Anbieter kaum konkurrenzfähig

Ein zentraler Schwachpunkt bleibt die Wettbewerbsfähigkeit europäischer Cloud-Anbieter. Zwar sehen 93 Prozent der Unternehmen europäische Provider auf Infrastrukturebene als konkurrenzfähig an. Bei Plattform-, KI- und Ökosystemleistungen halten jedoch nur 3 Prozent sie für gleichwertig mit den US-Hyperscalern. Für das Jahr 2030 erwarten lediglich 2 Prozent einen funktionalen Gleichstand.

Tobias Ganowski, Senior Consultant bei Lünendonk & Hossenfelder, mahnt zum Handeln: „Digitale Souveränität duldet keinen Aufschub! Unternehmen müssen jetzt den Mut aufbringen, Abhängigkeiten aktiv abzubauen, auch wenn dies unbequem und kostspielig ist.“ Es gehe ausdrücklich nicht um Autarkie, sondern um die Fähigkeit, kritische Abhängigkeiten bewusst zu gestalten, Risiken zu steuern und Handlungsfähigkeit zu sichern. Mario Zillmann, Senior Partner bei Lünendonk & Hossenfelder, betont zudem, dass klassische Hyperscaler-Angebote nicht ersetzt, sondern gezielt um souveräne Alternativen ergänzt werden sollen: „Die Zukunft der IT ist daher hybrid und differenziert.“

Die Studie steht auf der Website von Lünendonk & Hossenfelder kostenlos zum Download bereit.

(fo)