Soll der Staat soziale Medien für Minderjährige verbieten – und sollen alle Nutzer*innen beweisen müssen, dass sie keine Kinder mehr sind? Darum geht es in der international brodelnden Social-Media-Debatte. Australien hat ein solches Social-Media-Verbot seit Dezember. Nachmachen möchten das unter anderem die CDU, Bundeskanzler Friedrich Merz und SPD-Vizekanzler Lars Klingbeil sowie die Staats- und Regierungschef*innen weiterer EU-Länder.

In Umfragen klopfen Meinungsforscher*innen ab, wie Menschen in Deutschland das bewerten. Welche Social-Media-Regulierung ist gut, welche schlecht? Die bisherigen Ergebnisse zeigen: Je differenzierter man fragt, desto differenzierter sind die Antworten.

Mehrheiten für Verbote: Es kommt aufs Alter an

Jüngst hat das Deutsche Institut für Wirtschaftsforschung (DIW) die Ergebnisse einer repräsentativen Umfrage mit 2.685 Menschen aus Deutschland veröffentlicht. Das australische Modell mit einer Altersgrenze von 16 Jahren fällt bei den Befragten durch: Die Mehrheit von 50,4 Prozent lehnt es ab, nur 33 Prozent finden es gut.

Mit einer niedrigen Altersgrenze von 12 Jahren dagegen könnten sich laut DIW die meisten anfreunden: 71 Prozent befürworten das.

Im Widerspruch zur DIW-Umfrage stehen ältere Umfragen des ifo Instituts und des Instituts Insa. Demnach befürworten die meisten Deutschen durchaus ein Verbot bis 16 Jahre. Die Befragten hatten aber nicht die Wahl zwischen mehreren Altersstufen. Eine breite Palette an Altersstufen bekamen dagegen die Befragten durch das Bundesinstitut für Bevölkerungsforschung vorgesetzt. Die meisten (38 Prozent) entschieden sich für 14 Jahre.

14 Jahre ist auch die Grenze, auf die sich jüngst die CDU per Parteitagsbeschluss geeinigt hat. Wichtige SPD-Politiker*innen wollen sie ebenso haben. Hierzu gibt es auch eine Erhebung der Forschungsgruppe Wahlen für das ZDF-Politbarometer: Demnach finden das 81 Prozent der Befragten gut.

Wer nicht weiter bohrt, könnte an dieser Stelle den Eindruck gewinnen: Solange die Altersgrenze nicht zu hoch ist, dürfte ein Social-Media-Verbot bei den meisten Menschen in Deutschland auf Wohlwollen stoßen. Aber das greift zu kurz.

Alterskontrollen für alle: Die Frage, die fast niemand stellt

Ein Social-Media-Verbot allein würde zunächst wenig ändern, denn Altersgrenzen für soziale Medien gibt es schon heute. Viele der größten Plattformen schreiben ein Mindestalter von 13 Jahren vor und löschen Accounts, die mutmaßlich jüngeren Menschen gehören. Das betrifft etwa Instagram oder TikTok. Bei YouTube beträgt das offizielle Mindestalter sogar 16 Jahre. Würde es nach CDU und SPD gehen, dürften Kinder YouTube künftig schon früher legal nutzen als heute.

Ob 12, 14 oder 16 Jahre, der Fokus auf das Alter verkennt den springenden Punkt: die Durchsetzung. Begleitet werden sollen die derzeit diskutierten Social-Media-Verbote nämlich in aller Regel von zuverlässigen Alterskontrollen.

Im Gespräch sind etwa Verfahren, bei denen alle Menschen gegenüber vielen wichtigen Plattformen per Ausweis belegen müssen, dass sie schon alt genug sind. Sonst können sie beispielsweise kein Video auf YouTube liken. Eine häufige Alternative zu Ausweiskontrollen sind biometrische Scans des Gesichts. Auf deren Grundlage soll eine (oft als KI bezeichnete) Software eine Schätzung anstellen. Dabei passieren häufig Fehler.

Solche und weitere Verfahren zur Durchsetzung von Alterskontrollen können sehr invasiv sein. Sie bedeuten nicht nur mehr Frickelei und mehr Hürden für alle Menschen im Netz, sondern greifen auch in die Privatsphäre ein; bergen die Gefahr von Datenschutz-Skandalen – und schließen Hunderttausende Menschen aus, die schlicht keine Papiere haben, um Kontrollen zu meistern. Hunderte Forscher*innen aus Technologie und IT-Sicherheit warnen deshalb eindringlich vor den Folgen von Alterskontrollen.

Das führt zu einer Kernfrage der Social-Media-Debatte: Sind Sie bereit, sich im Internet großflächigen Kontrollen ihrer Ausweispapiere zu unterziehen oder ihr Gesicht scannen zu lassen?

Dieser Aspekt fehlt in den Umfragen vieler Meinungsforscher*innen. Daran gedacht hat zumindest das Institut YouGov im Auftrag des Internet-Branchenverbands eco. Das Ergebnis: Die meisten Befragten wollen solche Kontrollen nicht haben.

• Eine Altersprüfung durch offiziell ausgestellte Dokumente befürworten demnach 44 Prozent.
• Eine KI-basierte Altersschätzung befürworten nur 10 Prozent.

Dennoch wollen die meisten der von YouGov befragten Menschen (82 Prozent) eine Altersgrenze für Social Media. Das legt den Verdacht nahe: Viele finden ein Verbot gut, solange es sie nicht selbst einschränkt.

Breite Mehrheiten für mildere Regulierung

Social-Media-Verbote sind das schärfste Mittel im Versuch, junge Menschen vor digitalen Risiken zu schützen. Sie schränken umfassend Grundrechte wie Teilhabe und Information ein. Es gibt aber auch mildere Mittel. Genau danach hat das DIW gefragt – und reihenweise Zustimmung geerntet. Zum Beispiel:

• „Kinder und Jugendliche sollten besser in Medienkompetenz geschult werden, um soziale Medien sicher nutzen zu können“ – rund 94 Prozent dafür.
• „Eltern sollten stärker darauf achten, wie ihre Kinder soziale Medien nutzen“ – rund 95 Prozent dafür.
• „Für Kinder und Jugendliche sollten nur eingeschränkte Konten (‚Basisaccounts‘) verfügbar sein, bei denen problematische Funktionen – etwa die Kontaktaufnahme durch fremde Personen – deaktiviert sind“ – rund 88 Prozent dafür.

Einen ähnlichen Tenor hatte die Umfrage einer Marktforschungs-Agentur mit 857 Eltern und Kindern, die wir im Januar besprochen haben. Demnach wollten die befragten Kinder, Jugendlichen und Eltern soziale Medien lieber einschränken als verbieten.

Diese Tendenzen zeigen: Es braucht Fragen nach alternativen Ansätzen zu einem Social-Media-Verbot, denn sie machen differenzierte Ansichten in der Bevölkerung überhaupt erst sichtbar.

Soziale Medien: Mehrheit der Deutschen hat differenziertes Bild

Die meisten Menschen in Deutschland sehen offenbar, dass soziale Medien sowohl gut als auch schlecht sein können. Auch das zeigen die Ergebnisse der neuen DIW-Umfrage.

• Risiken sozialer Medien sieht die überwältigende Mehrheit der Befragten. Rund 90 Prozent sagen: „Soziale Medien stellen für Kinder und Jugendliche erhebliche Gefahren dar (zum Beispiel durch Mobbing, sexualisierte Inhalte oder Kontakte mit Fremden).“
• Chancen sozialer Medien sieht eine kleinere, aber immer noch absolute Mehrheit von rund 63 Prozent. Sie sagen: „Soziale Medien bieten Kindern und Jugendlichen wichtige Chancen (zum Beispiel sich auszutauschen, kreativ zu sein oder Zugang zu Informationen und gesellschaftlicher Teilhabe zu erhalten).“
• Sowohl Chancen als auch Risiken erkennt ebenso eine absolute Mehrheit von rund 57 Prozent.
• Nichts als Risiken in sozialen Medien sieht eine Minderheit von rund 19 Prozent, also rund jede*r Fünfte. „Zu dieser Gruppe gehören häufiger Ältere, Lehrkräfte sowie Personen, die soziale Medien nicht nutzen“, ergänzen die DIW-Forschenden.

Das ambivalente Bild der DIW-Umfrage zeigt: Es geht viel Information verloren, wenn Meinungsforschende nur nach Verboten fragen. Solche Zuspitzungen machen Abwägungen unsichtbar, die Menschen durchaus treffen würden, wenn man ihnen die Gelegenheit dazu gibt.

Umfragen sind keine Volksabstimmung

Ein typischer Medienbericht über Meinungsumfragen endet, sobald alle wichtigen Zahlen abgehandelt wurden. In der Folge können die verschiedenen Lager einer Kontroverse die Zahlen als Argument nutzen. Das dürfte auch hier der Fall sein: Das ZDF-Politbarometer gießt Wasser auf die Mühlen der Fans eines Social-Media-Verbots. Die DIW-Umfrage gießt Wasser auf die Mühlen der Kritiker*innen. In beiden Fällen drohen Fehlschlüsse.

Meinungsumfragen messen Meinungen; sie sind keine Volksabstimmungen. In der Social-Media-Debatte können Umfragen Hinweise liefern, welche Maßnahmen Menschen eher akzeptieren oder ablehnen würden. Was aber keine Meinungsumfrage messen kann: Ob eine Regulierung legitim, geeignet, erforderlich und angemessen ist. Dabei sind das die entscheidenden Fragen, an denen sich Regulierungen in einer Demokratie messen lassen müssen.

Wenn es um ein Social-Media-Verbot geht, spielt es dennoch eine große Rolle, wie sehr Menschen es akzeptieren. Denn so ein Verbot trifft alle unmittelbar. Alle müssten sich zu den neuen Hürden und Kontrollen verhalten. Man kann sich entweder fügen und den Ausweis zücken – oder sich widersetzen und die Kontrollen umgehen. Der Erfolg eines Social-Media-Verbots hängt eng damit zusammen, wie Menschen damit umgehen.

Die DIW-Forschenden schlussfolgern:

Die Ergebnisse verdeutlichen, dass eine wirksame Regulierung der Social-Media-Nutzung für Kinder und Jugendliche nicht nur auf pauschale Verbote setzen sollte. Differenzierte Maßnahmenbündel werden von großen Teilen der Bevölkerung akzeptiert und haben daher größere Chancen auf Umsetzung.

Für ein einheitliches Social-Media-Verbot mit flächendeckenden Alterskontrollen bräuchte es neue Gesetze in der EU. Keine neuen Regulierungen bräuchte es dagegen für mildere Mittel. Denn dafür gibt es schon das relativ neue Gesetz über digitale Dienste (DSA). Gerade läuft sogar ein Verfahren gegen TikTok, weil die EU-Kommission findet: das „süchtig machende Design von TikTok verstößt gegen den DSA“.

Welchen Weg wollen Staaten einschlagen? Mit dieser Fragen beschäftigen sich gerade gleich zwei Expert*innen-Kommissionen: Sowohl auf Deutschland-Ebene als auch auf EU-Ebene sollen Fachleute bis Sommer Antworten zur Social-Media-Debatte vorlegen.

Die Unternehmen asgoodasnew und Kirstein haben ihre Kunden in E-Mails über IT-Vorfälle in ihren Onlineshops informiert. Gemein ist beiden das genutzte Oxid-eShop-System, auf das womöglich gerade eine Angriffswelle anläuft. Inzwischen ist klar, dass ein Zahlungsmodul die Sicherheitslücke aufweist.

Der Musikinstrument-Versender Kirstein weist auf einer eigenen Webseite auf den IT-Sicherheitsvorfall hin. Demnach bemerkte das Unternehmen am 27. Februar 2026 „eine sicherheitsrelevante Auffälligkeit“ und versetzte den Onlineshop zunächst in den Wartungsmodus, um ihn etwa 15 Minuten nach Kenntnis vollständig offline zu nehmen. Der Cyberangriff stehe „im Zusammenhang mit einem Modul“ des Onlineshops (derzeit Oxid eShop Enterprise Edition Version 6). Die Sicherheitslücke sei geschlossen und die Schutzmechanismen sowie das Monitoring verstärkt worden – genauere Informationen nennt Kirstein jedoch nicht.

Die Angreifer können Zugriff auf Zugangsdaten zum Onlineshop erlangt haben, laut Kirstein also E-Mail-Adresse und gegebenenfalls Passwort-Hash – der lässt sich jedoch nicht einfach in das Passwort rückübersetzen. Hinweise darauf, dass weitere Adressdaten und Kundeninformationen wie Liefer- und Rechnungsanschriften oder Bestell- und Zahlungsdaten betroffen sind, gebe es bisher nicht. Zur Sicherheit hat Kirstein aktive Sitzungen beendet und die Kunden-Logins zurückgesetzt, sodass Kunden neue Passwörter setzen müssen. Kirstein warnt die Kunden zudem vor möglichem Phishing mit gefälschten Nachrichten: Echte Mails stammen ausschließlich von der @kirstein.de-Domain, das Unternehmen frage nicht nach Passwörtern und schließlich sollten Kunden die Zugangsdaten nur auf der korrekten kirstein.de-Domain eingeben.

Weiterer geknackter Onlineshop

Auf der Webseite von asgoodasnew findet sich keine Versionsnummer des verwendeten Oxid-eShop-Systems. Das Unternehmen weist in E-Mails an Kunden jedoch auf den Hersteller hin und erklärt, dass der Onlineshop am 1. März 2026 durch einen gezielten Cyberangriff kompromittiert wurde. asgoodasnew wird jedoch etwas konkreter: Auch andere Onlineshops seien betroffen, die Sicherheitslücke betreffe ein Zahlungsmodul eines Drittanbieters für das System. Angreifer konnten dadurch Zugriff auf die Datenbank erlangen. Welches Zahlungsmodul von welchem Anbieter konkret verwundbar ist, führt das Start-up nicht aus.

Bei asgoodasnew sind nach bisherigen Erkenntnissen die Stammdaten wie Name und Anschrift sowie die E-Mail-Adresse, der Bestellverlauf und Passwort-Hashes vom Datenleck betroffen. Auch asgoodasnew warnt vor gezieltem Phishing, das mit diesen Daten glaubhafter gestaltet werden kann. Kunden sollen sicherheitshalber die „Passwort vergessen“-Funktion auf der Webseite nutzen, um ihr Passwort zurückzusetzen. Auf der Webseite finden sich anders als bei Kirstein jedoch keine Hinweise auf den IT-Vorfall.

Oxid eShop: Lücke gefunden, Kundeninformation geplant

Der Hersteller des Oxid-eShop-Systems konnte jedoch Licht ins Dunkel bringen. Auf telefonische Anfrage teilte Oxid uns mit, dass das Unternehmen im Laufe des Donnerstags dieser Woche eine E-Mail an potenziell betroffene Kunden versenden will, die über eine Sicherheitslücke im Klarna-Payment-Modul informiert. Ein Patch ist demnach bereits verfügbar. Die E-Mail soll zudem eine konkrete Anleitung zum Schließen des Sicherheitslecks enthalten. Shopbetreiber, die noch keine Informationen dazu haben, sollten bis dahin zumindest das Klarna-Modul deaktivieren oder entfernen und ihr System auf Spuren von unbefugten Zugriffen untersuchen. Derzeit sind uns noch keine Hinweise für (erfolgreiche) Angriffe (Indicators of Compromise, IOC) bekannt. Wir ergänzen gegebenenfalls diese Meldung bei Verfügbarkeit.

(dmk)

Das Open-Source-Projekt Himmelblau hat Version 3.0.0 veröffentlicht und bringt damit umfangreiche Neuerungen für die Authentifizierung von Linux-Systemen gegen Microsoft Entra ID. Zu den wichtigsten Features gehören ein First-Class-OIDC-Support, Linux Hello TOTP sowie erweiterte Compliance-Funktionen für Intune.

Himmelblau ist ein Authentifizierungsframework, das eine nahtlose Integration zwischen Linux-Umgebungen und Microsoft Entra ID ermöglicht. Das unter der GPLv3-Lizenz stehende Projekt entstand als Fork des Kanidm OAuth2 Client und wird hauptsächlich von David Mulder entwickelt, mit Unterstützung von SUSE. Ziel ist es, Linux-Systeme ebenso gut in Microsoft-Infrastrukturen zu integrieren wie Windows-Rechner – inklusive Multi-Faktor-Authentifizierung, Device Trust und Intune-Compliance.

OIDC-Provider ohne Domänenkonfiguration

Die größte Neuerung in Version 3.0.0 ist der umfassende Support für OpenID Connect. Administratoren können nun beliebige OIDC-Provider über die Konfigurationsoption oidc_issuer_url einbinden. Die Implementierung unterstützt Password- und PIN-Flows sowie Breakglass-Mechanismen für Notfallszenarien, wenn der OIDC-Provider nicht erreichbar ist. Besonders hervorzuheben ist die Funktion Domainless OIDC: Nutzer können sich dank ihr auch ohne vorherige Domänenkonfiguration authentifizieren.

Der OIDC-Support macht Himmelblau unabhängiger von Microsoft-Diensten. Administratoren können nun auch alternative Identitäts-Provider wie Keycloak einsetzen. Für eine bessere Keycloak-Kompatibilität wurde seit Himmelblau 2.0 ein OIDC-Provider-Online-Check implementiert, der die Erreichbarkeit des Providers prüft.

Zwei-Faktor-Authentifizierung per TOTP

Mit Linux Hello TOTP führt Himmelblau 3.0 eine Time-based One-Time-Password-Authentifizierung für Linux-Systeme ein. Die Einrichtung erfolgt über QR-Code-basierte Enrollment-Flows, die sowohl im Terminal als auch im GNOME QR-Greeter verfügbar sind. Der QR-Greeter funktioniert ab GNOME 49 und ist mit dem Login von Windows Hello vergleichbar.

Der QR-Greeter selbst wurde ebenfalls erweitert und unterstützt nun OIDC Device Admin Grants (DAG) sowie Microsoft Consumer DAG Flows. Auch persönliche Microsoft-Konten lassen sich nun für die Anmeldung an Linux-Systemen verwenden. Bislang war Himmelblau ausschließlich auf Unternehmen zugeschnitten, diese Funktion erweitert das Einsatzspektrum nun auch auf Privatnutzer.

Erweiterte Compliance und einfacheres Deployment

Für Enterprise-Umgebungen hat Himmelblau 3.0 die Compliance- und Policy-Unterstützung deutlich ausgebaut. Die neue Version bietet Default Custom Compliance Processing und dedizierte Pakete für Browser-SSO-Policy-Deployment. Mit himmelblau-broker steht zudem ein eigenständiges Broker-Paket zur Verfügung, das als separater Service läuft.

Auch die Bereitstellung wurde vereinfacht: Der Daemon startet nun konfigurationslos und automatisch bei der Installation oder einem Upgrade. Single-Domain-Autokonfiguration ermöglicht es, Systeme ohne manuelle Konfiguration in Betrieb zu nehmen. Für Umgebungen ohne Passwordless-Methoden gibt es einen Password-Only Local Authentication Mode.

Breite Distributionsunterstützung

Himmelblau 3.0 unterstützt offiziell openSUSE Tumbleweed, SUSE Linux Enterprise, Fedora, Red Hat Enterprise Linux, Ubuntu, Debian und NixOS. Neu hinzugekommen sind Amazon Linux 2023 und Gentoo. Zudem lässt sich die Software jetzt mit ARM64/aarch64 einsetzen.

Für NixOS-Nutzer bringt die neue Version eine moderne Flake Shell, eine Split-Modulstruktur für himmelblau und himmelblau-desktop sowie typisierte NixOS-Optionen, die aus XML-Konfigurationsdefinitionen generiert werden.

Weitere Informationen und Downloads zu Himmelblau stehen auf GitHub bereit.

(fo)