Es war als technologischer Meilenstein für den Jugendschutz gedacht: Eine EU-App, die das Alter verifiziert, ohne die Privatsphäre zu opfern. Doch wenige Stunden nach der Vorstellung durch Kommissionspräsidentin Ursula von der Leyen geriet das Projekt unter Beschuss. Der Security-Experte Paul Moore demonstrierte auf X, wie er das System in weniger als zwei Minuten „knackte“.

Seine Analyse offenbart, dass sensible Daten ungeschützt auf dem Gerät bleiben. So werden PIN-Codes unzureichend gesichert, Ratenbegrenzungen lassen sich durch das Zurücksetzen einfacher Konfigurationsdateien aushebeln, die biometrische Authentifizierung ist mit einem Klick deaktivierbar. Moore warnt: „Dieses Produkt wird der Katalysator für einen gewaltigen Datenabfluss sein.“

Der französische Hacker Baptiste Robert bestätigte Moores Funde. Es wäre auch möglich, den PIN-Code oder Touch ID einfach zu überspringen. Der Kryptologe Olivier Blazy sieht ein praktisches Problem: „Nehmen wir an, ich lade die App herunter und beweise, dass ich über 18 bin. Dann kann mein Neffe mein Telefon nehmen, die App entsperren und sie nutzen, um sich selbst als volljährig auszuweisen.“

Die Kommission verteidigt ihr Tool. Eine Sprecherin räumte nur ein, es ließen sich noch Dinge verbessern. Zudem hieß es aus Brüssel, die Hacker hätten eine veraltete Demoversion getestet, was diese aber bestritten. Später kam die Erläuterung, dass auch die online verfügbare „finale Version“ noch eine Demo sei. Das Endprodukt für Bürger werde erst später angeboten, der Code laufend aktualisiert.

Open Source als Korrektiv

Dass diese Lücken überhaupt so schnell gefunden wurden, liegt auch daran, dass die App Open Source ist. Blazy lobt diesen Ansatz. Er moniert aber, dass der Quelltext bisher nicht den erwarteten Sicherheitsstandards entspreche. Ein überstürzter Start könne das Vertrauen in künftige Projekte wie die digitale Identität EUDI untergraben.

Daneben scheint die von der Kommissionschefin versprochene Anonymität fraglich. Experten wie Anja Lehmann vom Hasso-Plattner-Institut widersprechen. Da die App auf Pseudonyme setzt, könnten Website-Betreiber Nutzeraktivitäten über längere Zeiträume verknüpfen. Ein Werbevideo sorgt für Irritation: Es zeigt einen biometrischen Abgleich zwischen Gesichtsscan und Ausweisdokument – ein Verfahren, das von der Leyen bei Plattformbetreibern stets abgelehnt hatte. Judith Simon von der Universität Hamburg mahnt, die Unverknüpfbarkeit sei die Voraussetzung für echte Privatsphäre.

Viele Experten fragen sich, warum die EU eine parallele Infrastruktur zur bereits geplanten EUDI aufbaut. Lehmann hält eine separate App für „wenig sinnvoll“, da sie in wichtigen Sicherheitskriterien von etablierten Standards abweiche. Thomas Lohninger von der NGO Epicenter.works mahnt, die Kommission müsse ihre Initiative überdenken und sich auf die überfällige Durchsetzung bestehender Online-Gesetze konzentrieren.

Nicht zuletzt bleibt das Problem der Wirksamkeit. Tibor Jager von der Uni Wuppertal bezeichnet die Altersprüfung als „trivial zu umgehen“. Mittels VPN-Diensten ließe sich ein Standort außerhalb der EU vortäuschen, wo die Regeln nicht greifen. Der Forscher plädiert statt technischer Barrieren für „digitale Verkehrserziehung“. Die Kommission hält indes am Zeitplan fest. Acht Staatschefs unterstützen den Vorstoß prinzipiell, um soziale Medien für Minderjährige einzuschränken. Da die App noch nicht im regulären Einsatz ist, bleibt Zeit für Korrekturen. Der Weg zum „Goldstandard für Privatsphäre“ ist noch weit.

(mki)

Bundesjustizministerin Stefanie Hubig (SPD) hat am heutigen Freitag einen Gesetzentwurf vorgestellt, der Betroffene digitaler Gewalt besser schützen soll. Digitale Gewalt sei ein „Massenphänomen“, sagte Hubig bei der Vorstellung der Pläne. „Im Zeitalter von KI, hochauflösenden Smartphone-Kameras und sozialen Netzwerken ist es einfacher als je zuvor, Menschen in aller Öffentlichkeit zu demütigen, zum Sexualobjekt herabzuwürdigen und in ihrer Intimsphäre zu verletzen.“ Millionen von Menschen seien betroffen, „besonders häufig Frauen“.

Der Referentenentwurf ist zu einem der meist beachteten Projekte des Ministeriums geworden, nachdem der Spiegel vor zwei Wochen erstmals die Vorwürfe der Schauspielerin Collien Fernandes gegen ihren Ex-Mann Christian Ulmen öffentlich gemacht hatte. Über seinen Anwalt geht er gegen die Berichterstattung vor; es gilt die Unschuldsvermutung. Die Staatsanwaltschaft Potsdam ermittelt.

Hubig hatte den Fall zum Anlass genommen, auf den bereits im Koalitionsvertrag beschlossenen, fast fertigen Gesetzentwurf hinzuweisen und angekündigt, ihn bald vorzustellen. Nun ist es soweit.

Zu „digitaler Gewalt“ zählt das Ministerium laut Entwurf ein breites Spektrum an Taten, unter anderem „Hate Speech“, also Beiträge, die andere bedrohen, abwerten oder zu Straftaten aufrufen. Ebenso zählt dazu das unerlaubte Veröffentlichen von Daten wie Adresse oder Telefonnummer („Doxing“), das unerwünschte Versenden pornografischer Bilder („Dickpics“), der gezielte Kontakt zu Kindern mit sexueller Absicht („Cybergrooming“), außerdem bildbasierte Gewalt, Cybermobbing, Cyberstalking und Identitätsmissbrauch, etwa wenn Fake-Profile einer anderen Person erstellt werden.

Heimliches Filmen und sexualisierte Deepfakes

Der Entwurf basiert auf zwei Säulen. Die erste ist eine strafrechtliche Säule, die wir bereits Ende März veröffentlicht und analysiert haben. Darin vorgesehen sind drei neue Straftatbestände.

• Geplant ist demnach eine Überarbeitung des geltenden § 184k Strafgesetzbuch (StGB), der die Verletzung der Intimsphäre durch Bildaufnahmen regelt. Er soll künftig nicht nur das sogenannte Upskirting umfassen, sondern auch weitere Phänomene bildbasierter Gewalt, etwa das nicht-einvernehmliche Filmen in öffentlichen Saunen oder Umkleiden oder sexualisierte Deepfakes. Auch das Filmen bekleideter Körperteile wie Genitalien, Gesäß oder weiblicher Brust “in sexuell bestimmter Weise” soll verfolgt werden können. Strafmaß: bis zu zwei Jahre Haft.
• Mit einem neuen Paragrafen zur „Verletzung von Persönlichkeitsrechten durch täuschende Inhalte“ (§ 201b StGB) soll zudem das Erstellen und Verbreiten solcher Deepfakes unter Strafe gestellt werden, die “geeignet sind, dem Ansehen der dargestellten Person erheblich zu schaden”.
• Eine weitere neue Vorschrift soll außerdem das unbefugte digitale Tracken und Ausspionieren einer anderen Person unter Strafe stellen. Solches Verhalten war bislang schon im Rahmen von Nachstellung strafbar.

Auskunft zu anonymen Accounts

Neu und bislang unbekannt ist dagegen die zivilrechtliche Säule des Entwurfs. Die neuen Regeln sollen es für Betroffene von etwa beleidigenden und herabsetzenden Postings einfacher machen, selbst vor Gericht dagegen vorzugehen.

Betroffene sollen von Plattformen und Internetzugangsanbietern leichter als bisher Auskunft über die Identität einer Person hinter einem anonymen oder pseudonymen Account bekommen. Dazu sollen Anbieter künftig – sofern vorhanden – den Klarnamen und die Adresse herausgeben, wenn ein Gericht dies anordnet. Beides wird gebraucht, damit Betroffene etwa auf Unterlassung oder Schadensersatz klagen können.

Betroffene sollen eine solche Auskunft vor dem Landgericht beantragen können. Dazu müssen sie glaubhaft machen, dass eine unbekannte Person eine Rechtsverletzung begangen hat, und sie gegen diese Person zivilrechtliche Ansprüche geltend machen wollen. „Das Auskunftsverfahren ist insbesondere für Fälle gedacht, in denen die Rechtsverletzer ihre strafbaren Inhalte über einen anonymen Account in den sozialen Netzwerken verbreiten“, schreibt das Ministerium dazu.

Neu ist außerdem, dass sich Betroffene in einem Verfahren „durch zivilgesellschaftliche Organisationen als Bevollmächtigte vertreten lassen“ können, sofern das unentgeltlich – also kostenlos – geschieht. Auch das soll die Schwellen für Betroffene senken: Hilfsorganisationen könnten dann zumindest manchen Betroffenen die Kosten und Strapazen eines Gerichtsverfahrens abnehmen.

„Vorsorglich gespeicherte IP-Adressen“

Der Entwurf soll auch die Vorratsdatenspeicherung zurückbringen. Das ist ein umstrittenes Verfahren zur Massenüberwachung im Netz, das in Deutschland seit 2017 ausgesetzt ist. Im Zuge des Auskunftsanspruchs für Betroffene richtet das Gesetz den Blick zu Plattformen und Zugangsanbieter wie Vodafone oder die Telekom. Sie sollen künftig durch eine beweissichernde Anordnung dazu verpflichtet werden können, “bereits bei ihnen vorhandene Daten” über mutmaßliche Rechtsverletzer*innen zu sichern. Dazu sollen sie auch „vorsorglich gespeicherte IP-Adressen” verwenden. Der aktuell diskutierte Entwurf für die Vorratsspeicherung sieht vor, dass IP-Adressen für voraussichtlich drei Monate gespeichert werden sollen.

Die Vorratsdatenspeicherung wurde in Deutschland erstmals 2007 eingeführt, nach einem Urteil des Bundesverfassungsgerichts jedoch wieder aufgehoben, weil sie gegen Grundrechte verstieß. Eine neue Regelung von 2015 wurde später durch Urteile des Europäischen Gerichtshofs faktisch gestoppt, weil eine anlasslose, flächendeckende Speicherung von Kommunikationsdaten gegen EU-Recht verstößt.

Auf die Frage, wie sich das Vorhaben für eine erneute Speicherung von IP-Adressen mit dem EU-Recht vereinbaren lasse, sagte Hubig, es gehe bei dem Entwurf, der kommende Woche im Kabinett vorgelegt werden soll, nicht um eine Vorratsdatenspeicherung, sondern lediglich darum, IP-Adressen und Portnummern für einen Zeitraum von drei Monaten zu speichern. Das sei in dieser reduzierten Form rechtskonform. Große Netzbetreiber und Verbände kamen in ihren Stellungnahmen zu anderen Einschätzungen. 

In besonders schweren Fällen sollen Landgerichte darüber hinaus auch zeitweilige Account-Sperren verhängen können. So solle verhindert werden, das reichweitenstarke Accounts wiederholt schwere Persönlichkeitsrechtsverletzungen begehen können.

Kritik an hohen Kosten und massenhafter Datenspeicherung

Die Organisation HateAid, die Betroffene von digitaler Gewalt berät, begrüßt die geplanten Reformen im Zivilrecht und auch, dass Plattformen und Zugangsanbieter nun IP-Adressen herausgeben sollen. Zugleich weist die Organisation darauf hin, dass die Auskunftsverfahren für die Betroffenen mit hohen Kosten verbunden seien. Sie müssten nicht nur ihre eigenen Kosten, sondern auch die Gerichtskosten und die Rechtsvertretung der Plattformen selbst zahlen.

Der Entwurf sieht hierfür eine Ausnahmeregelung vor, von der Gerichte nach Erfahrung der Organisation jedoch in der Regel keinen Gebrauch machten. HateAid hatte gefordert, Gerichtskosten pauschal zu regeln.

Sieben Köpfe gegen digitale Gewalt

Benjamin Lück, Rechtsanwalt bei der Gesellschaft für Freiheitsrechte, kommt zu einem kritischeren Urteil. Gut sei, dass das Ministerium mit Account-Sperren einen wirkungsvollen Mechanismus für Betroffene vorsehe.

Die in der Begründung des Entwurfs versteckte Verknüpfung der Auskunftsansprüche mit der geplanten IP-Vorratsdatenspeicherung lehnen wir dagegen ab. Solche anlasslosen, massenhaften Datenspeicherungen halten wir grundsätzlich für das falsche Mittel.

Im Vorfeld hatten sich bereits mehrere Fachleute für digitale Gewalt gegen Überwachungsmaßnahmen zum Schutz vor digitaler Gewalt ausgesprochen, darunter auch die Vorratsdatenspeicherung.

Bereits unter der Ampel angekündigt

Mit der Vorstellung des Entwurfs liefert Hubig nun etwas, das bereits ihr Vorgänger Marco Buschmann (FDP) zur Zeit der Ampel-Regierung vor fünf Jahren angekündigt hatte. Seine Pläne zum Schutz vor digitaler Gewalt umfassten allerdings nur das Zivilrecht und versandeten zum Ende der letzten Legislaturperiode.

Hubig betont nun, sie habe ein “Gesamtkonzept” vorlegen wollen, das sowohl das Zivilrecht als auch die Verschärfungen im Strafrecht umfasst.

Der Entwurf wird nun an Verbände und Bundesländer geschickt, die Gelegenheit zur Stellungnahme bekommen. Er muss noch im Kabinett abgestimmt werden und erreicht danach erst den Bundestag und Bundesrat.

Seit Anfang März 2026 und damit etwa dreieinhalb Jahre nach Einführung der Android-Version im August 2022 – zunächst für Pixel-Geräte –, hat Google die Entwicklung und Verteilung von Sicherheitspatches eingestellt. Das Betriebssystem ist aber immer noch weit verbreitet – Nutzerinnen und Nutzer eines Geräts mit dem betagten OS sollten sich tendenziell nach einem neuen Gerät umsehen.

Keine Sicherheitspatches mehr

Knapp ein Jahr nachdem Google die Verteilung von Sicherheitspatches für Android 12 und 12L beendet hat, steht nun die nächste Android-Version vor dem Aus. Das bedeutet, dass Smartphones und Tablets, für die Android 13 das letzte Update war, keine Sicherheitsupdates für das Kernbetriebssystem mehr erhalten. Schon im Sicherheitsbulletin vom März 2026 fehlte ein Hinweis auf Android 13. Und da Google seit Juli 2025 nur noch quartalsweise Sicherheitspatches ausliefert, könnte der Patch vom Dezember 2025 gar schon der allerletzte für die OS-Version gewesen sein. Eventuelle kritische Sicherheitslücken im Kern des Betriebssystems bleiben damit bestehen. Immerhin werden sowohl Google-Apps und -Dienste als auch bestimmte OS-Komponenten, die Teil von Project Mainline sind, über die Play-Dienste aktualisiert.

Die Verantwortung hinsichtlich der Sicherheit hat Google weitgehend auf die Gerätehersteller übertragen. Nutzer können optional auch auf alternative Android-Versionen wie LineageOS oder /e/OS umsteigen, die aber wiederum auf Sicherheitspatches von Google aus dem AOSP zurückgreifen.

Über 400 Millionen Geräte

Glaubt man den Zahlen zur Android-Versionsverteilung von Google vom Dezember 2025, liegt der Marktanteil von Android 13 noch bei 13,9 Prozent. Das klingt zwar nicht nach viel, behält man jedoch im Blick, dass über drei Milliarden Android-Geräte im Umlauf sind, laufen noch mehr als 417 Millionen auf der betagten OS-Version. Auf Deutschland bezogen, können wir nur die Annäherungswerte von Statcounter heranziehen, denen zufolge hierzulande noch 11,5 Prozent der Geräte auf Android 13 basieren.

Für Besitzer eines Smartphones oder Tablets, das noch mit Android 13 läuft, wäre es nun angesichts des Supportendes des Betriebssystems an der Zeit, sich nach einem Gerät umzusehen, das regelmäßig mit systemrelevanten Sicherheitspatches versehen wird. Derzeit befindet sich das Update auf Android 17 in der Fertigstellung und wird im Juni 2026 erwartet.

(afl)