Das EU-Parlament hat seine Position zum KI-Omnibus gefunden. Nachdem die beiden verantwortlichen Ausschüsse – für Justiz und Binnenmarkt – dem Positionsentwurf bereits am 18. März zustimmten, hat das gesamte Parlament die Entscheidung heute mit 569 Stimmen dafür, 45 dagegen und 23 Enthaltungen bestätigt. Damit konnte bereits heute der Trilog mit dem EU-Rat starten, um den finalen Kompromiss zu finden. Geplant ist, das Gesetz bis zum Sommer zu verabschieden.

Diese Änderungen sind zu erwarten

In manchen Punkten ist das Parlament mit der Kommission einverstanden, in vielen anderen nicht und will zum ursprünglichen Text der KI-Verordnung zurückgehen. Andere Dinge, wie das Verbot von sexualisierten Deepfakes, sind neu.

Das Parlament bestätigt etwa den Kommissionsvorschlag, die Anforderungen für Hochrisiko-Systeme zu verzögern: Anstatt ab dem 2. August 2026, sollen sie erst am 2. Dezember 2027 wirksam werden. Allerdings will das Parlament dafür feste Fristen. Die Kommission hatte die Fristen in ihrem Vorschlag flexibel gehalten und an die Fertigstellung der noch ausstehenden Standards geknüpft, die bei der Umsetzung der Anforderungen helfen sollen.

In der Praxis bedeutet das, dass über ein weiteres Jahr lang kein Schutz vor Hochrisiko-Systemen besteht. Das betrifft den KI-Einsatz in den Bereichen Biometrie, Bildung, Arbeit, Strafverfolgung und Grenzüberwachung.

Die Abgeordneten haben auch grünes Licht für die zusätzlichen Befugnisse für das KI-Amt („AI Office“) gegeben, das in der EU-Kommission angesiedelt ist. Dieses soll die Aufsicht über Allzweck-KI-Modelle (GPAI) übernehmen.

Gegen den Kommissionsvorschlag

Zurück zur ursprünglichen KI-Verordnung will das Parlament unter anderem bei der Registrierungspflicht (Artikel 6). Die Kommission wollte erlauben, dass Anbieter selbst einschätzen, ob ihr System risikoreich ist oder nicht. Das Parlament will hingegen, dass Hochrisiko-Systeme in einer Datenbank registriert werden müssen, unabhängig davon wie sie sich selbst einschätzen.

Der Rat sieht ebenfalls vor, zu der ursprünglichen Pflicht zurückzukehren. Die Mitgliedstaaten haben sich schon am 13. März auf ihre Position geeinigt. Verbraucherschützer, etwa die europäische Organisation BEUC, begrüßen diesen Schritt.

Das Parlament bestätigt auch: Wer KI mit sensiblen Daten trainieren will, etwa zu Religion oder sexueller Orientierung, um so Verzerrungen zu verhindern, soll das tun dürfen. Das hatte die Kommission in ihrem Vorschlag eingebracht. Allerdings will das Parlament Schutzmaßnahmen einführen, damit dies nur geschieht, wenn es „unbedingt erforderlich“ sei. Hier gibt es erneut eine Übereinstimmung mit der Ratsposition.

Der Dachverband von Organisationen für digitale Rechte EDRi ist trotzdem nicht überzeugt. Er merkt an, dass die Datenschutzgrundverordnung bereits die Verarbeitung sensibler personenbezogener Daten erlaube, wenn bestimmte Voraussetzungen erfüllt seien und eine klare Rechtsgrundlage vorliege. Eine neue Regelung würde das Missbrauchspotenzial solcher sensiblen Daten erhöhen und könnte dazu führen, dass betroffene Personen der Nutzung ihrer Daten zum KI-Training nicht widersprechen könnten.

Die sozialdemokratische EU-Abgeordnete Birgit Sippel erklärt, die Änderung stehe im Widerspruch zur DSGVO und warnt: „Wir dürfen keine implizite Bevorzugung datenintensiver Ansätze schaffen, indem wir den Einsatz sensibler Daten zur Voraussetzung für faire KI erklären.“

Ausnahmen für Medizintechnik und Spielzeug

Neu eingebracht haben die Abgeordneten und Mitgliedstaaten ein Verbot von KI-Systemen, die sexualisierte Deepfakes erstellen, wenn dafür das Einverständnis der betroffenen Person fehlt. Das Verbot soll allerdings nicht für KI-Systeme gelten, die mithilfe von „wirksamen Sicherheitsmaßnahmen“ verhindern, dass Nutzer solche Bilder erstellen.

Besonders kontrovers ist ein Punkt, für den sich Abgeordnete der EVP, Renew und EKR eingesetzt haben und der in der finalen Position zu finden ist: Bestimmte Sektoren sollen quasi von der KI-Verordnung ausgenommen werden, darunter Medizintechnik, Funkgeräte, Spielzeug und Maschinen. Die Abgeordneten argumentieren, dass diese Produkte schon unter eigene Sicherheitsvorschriften fallen würden und die Hersteller ansonsten einem doppelten Aufwand ausgesetzt seien. Auch der Verband DigitalEurope lobbyiert aktuell noch stark gemeinsam mit anderen Organisationen für diese Änderung.

Kritiker sind hingegen der Ansicht, dass die bestehenden Regulierungen nicht alle Ansprüche der KI-Verordnung abdecken würden. KI-spezifische Risiken würden nicht adressiert, merkt BEUC an. Die Grünen-Abgeordnete Kim van Sparrentak hat die Parlamentsposition für ihre Fraktion verhandelt. Sie sei „sehr besorgt“ über die Ausnahme von Medizinprodukten, Spielzeug, Smartwatches und Smartglasses von der KI-Verordnung, und führt diese auf einen Vorschlag der deutschen Christdemokraten zurück.

Die Politikerin kritisiert, dass die Änderung nicht zu einer Vereinfachung führen, sondern die Einhaltung von KI-Regeln komplizierter machen würde, da es statt einem Standard so mehrere unterschiedliche gebe. Das bemängelt auch Birgit Sippel (S&D): „Diese Änderung führt zu mehr Komplexität, Rechtsunsicherheit und uneinheitlichen Vorschriften. Zudem bieten die neuen Vorgaben weniger Sicherheit für Verbraucher:innen.“

Der TÜV-Verband warnte schon vor zwei Wochen zusammen mit neun weiteren Unterzeichnern eines offenen Briefes vor einer Fragmentierung und mehr Bürokratie durch diese Änderung.

Wie geht es weiter?

Gleich im Anschluss an die Abstimmung fand das erste Trilogtreffen statt. In den nächsten Wochen werden Rat und Parlament in zahlreichen technischen Meetings über den Inhalt des Gesetzes verhandeln. In einem Monat, am 28. April, sollen sie sich auf den finalen Kompromiss einigen. Der Rat wird dabei von der zypriotischen Ratspräsidentschaft vertreten, das Parlament von den beiden Berichterstatter:innen Arba Kokalari (EVP) und Michael McNamara (Renew).

In der vergangenen Woche trafen sich die Staats- und Regierungschefs in Brüssel und hielten ihre Ergebnisse in den sogenannten „Schlussfolgerungen“ fest. Bundeskanzler Friedrich Merz (CDU) drängte darauf, die Formulierung „ehrgeiziger“ KI-Omnibus einzubringen – mit Erfolg. Ob das tatsächlich einen Einfluss auf die Verhandlungen im Trilog haben wird, ist unklar.

Sicher ist dagegen, dass die Bundesregierung die KI-Verordnung weiter verändern will. „Sie muss schlanker werden“, sagte Merz in einer Pressekonferenz nach dem Gipfel. Er habe die Kommission gebeten, die KI-Verordnung „noch einmal ganz umfassend zu überprüfen“. Das erklärte Ziel: „Wir wollen in Europa die gleichen Chancen haben, um mit Künstlicher Intelligenz voranzukommen wie in den USA oder China.“

Die EU-Kommission hat noch nicht mitgeteilt, ob die KI-Verordnung tatsächlich ein weiteres Mal für Veränderungen geöffnet werden soll. Das könnte im Rahmen des „Digital Fitness Checks“ passieren, mit welchem das digitale Regelwerk in den kommenden Jahren bewertet werden soll.

Carlos Gandini hat wieder Fuß gefasst. Wenn er den Tritt jemals verloren hat. Während der Staatstrojaner-Hersteller FinFisher, bei dem Gandini einst Geschäftsführer war, seinem unrühmlichen Ende entgegenschlitterte, setzte der Unternehmer eine weitere Firma in die Welt: den im bayerischen Pullach angesiedelten IT-Dienstleister AdSum.

Im Sommer 2020 gegründet, will AdSum laut Eigenbeschreibung die „besten Technologiepartnerschaften im Bereich Cybersicherheit“ schaffen. Dabei gehe es darum, Institutionen und erstklassige Anbieter zusammenzubringen. „AdSum unterstützt Sie dabei, Ihre Länder vor organisierter Kriminalität zu schützen“, lockt das Unternehmen potenzielle Kund:innen. Geschäftsführer der Firma ist erneut Gandini, er verspricht auch unter schwierigen Umständen operative Erfolge: „Wo ein Wille ist, ist ein Weg“.

Wie das portugiesische Wochenmagazin Expresso berichtet (€), dreht sich das Berufsleben des Unternehmers offenbar weiterhin um digitale Spionagewerkzeuge. Diesmal ist es der Staatstrojaner Predator, den Gandini an den angolanischen Geheimdienst SINSE verkauft haben soll. Expresso beruft sich dabei auf ein Dokument, das bei einer Datenpanne des Herstellerkonsortiums von Predator, Intellexa, abgeflossen ist.

Konkurrent der NSO Group

Intellexa ist ähnlich berüchtigt wie die NSO Group, deren Staatstrojaner Pegasus vor einigen Jahren für weltweite Furore sorgte. Mit den von ihnen angebotenen digitalen Überwachungs-Tools lassen sich von Nutzer:innen unbemerkt Geräte übernehmen und beliebige, selbst verschlüsselte Inhalte auslesen. Predator zielt vor allem auf iOS- und Android-Geräte, in der Regel gelingt der Angriff über sogenannte Zero-Day-Sicherheitslücken.

Das schwer überschaubare Intellexa-Konglomerat hat Ableger in zahlreichen Ländern. Hinzu kommen Tochterfirmen wie das nordmazedonische „Cytrox AD“, welches Predator herstellt. Laut der Nachrichtenseite Balkaninsight fungiert Ivo Malinkovski als CEO, als inzwischen alleiniger Besitzer ist der israelische Militärveteran Meir Shamir ausgewiesen. Über all dem steht der Intellexa-Gründer Tal Dilian, ebenfalls israelischer Ex-Militär.

Digitale Spuren von Predator fanden sich etwa auf dem Telefon des ägyptischen Oppositionspolitikers Ahmed Eltantawy, zudem ließen sich Angriffsversuche auf Geräte US-amerikanischer Politiker:innen und Journalist:innen nachweisen. Im Frühjahr 2024 belegte die damalige US-Regierung Teile des Intellexa-Konglomerats sowie mehrere damit verbundene Einzelpersonen mit Sanktionen, darunter auch Tal Dilian.

Die zunehmende Verbreitung kommerzieller Spyware stelle ein deutliches und wachsendes Sicherheitsrisiko für die Vereinigten Staaten dar, begründete die Biden-Regierung vor zwei Jahren ihren Schritt. Predator sei von ausländischen Akteuren missbraucht worden, um „Menschenrechtsverletzungen zu ermöglichen und Dissidenten weltweit zur Unterdrückung und Vergeltung ins Visier zu nehmen“. Drei der namentlich sanktionierten Personen hat die Trump-Administration im Januar indes wieder von der Liste genommen.

„Predatorgate“ in Europa

Tal Dilian zählte nicht dazu. Der musste sich zudem in Griechenland einem Prozess stellen. Dort fanden sich Hinweise darauf, dass der griechische Geheimdienst EYP Smartphones von Oppositionspolitiker:innen und regierungskritischer Journalist:innen mit Predator infiziert und überwacht hatte.

Zwar hatte der Oberste Gerichtshof in Griechenland den geheimdienstlichen Abhör-Skandal juristisch zunächst für beendet erklärt. In einem anderen Verfahren wurden jedoch kürzlich vier Angeklagte, darunter Intellexa-Chef Dilian, wegen illegaler Überwachung zu Haftstrafen verurteilt. Das Urteil ist noch nicht rechtskräftig.

Predator-Spuren führen auch nach Deutschland. Eine gemeinsame investigative Recherche mehrerer Medienhäuser und NGOs enthüllte im Herbst 2023, dass die Spähsoftware an 25 Länder verkauft wurde, darunter Regierungen in Sudan, Angola und Vietnam. Zu den europäischen Kunden sollen Deutschland, Österreich und die Schweiz zählen.

In Deutschland soll die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) bereits seit 2019 Kunde sein – was die deutsche Regierung so nicht öffentlich einräumen will. Offiziell hat sie bislang nur bestätigt, dass die Behörde mit den Überwachungsfirmen in Kontakt steht, um „im Rahmen einer Marktsichtung Informationen über das Portfolio des Unternehmens zu erhalten“, wie aus einer Antwort auf eine parlamentarische Anfrage aus dem Jahr 2023 hervorgeht.

Vorwurf illegaler Exporte

Womöglich war die Marktsichtung auch deswegen notwendig geworden, weil mit FinFisher ein weiterer Staatstrojaner-Anbieter weggebrochen ist. Dem Münchener Unternehmen, das unter anderem das BKA beliefert haben soll, wurde vorgeworfen, seine Spionage-Werkzeuge illegal exportiert zu haben. Gemeinsam mit der Gesellschaft für Freiheitsrechte, Reporter ohne Grenzen und dem Europäischen Zentrum für Verfassungs- und Menschenrechte reichte netzpolitik.org im Jahr 2019 deshalb Strafanzeige ein.

FinFisher bestritt die Vorwürfe, musste aber nach Hausdurchsuchungen schließlich Anfang 2022 Insolvenz anmelden. Ein Jahr später folgte eine Anklage der Staatsanwaltschaft München gegen vier nicht namentlich genannte ehemalige Geschäftsführer des Firmengeflechts.

Geschadet hat all dies, so scheint es, dem FinFisher-Manager Carlos Gandini bislang kaum. Der Expresso-Recherche zufolge soll er für die Vertretung von Intellexa im angolanischen Geschäft verantwortlich gewesen sein, was ein auf den April 2021 datiertes Dokument belege. Eine Presseanfrage von netzpolitik.org an Gandinis AdSum-Kontaktadresse blieb unbeantwortet.

Erneut Journalist ausgespäht

Ohne Folgen blieb der Erwerb einer Nutzungslizenz für die Spähsoftware in Angola offenbar nicht: Im Februar konnte eine gemeinsame Untersuchung von Reporter ohne Grenzen und Amnesty International nachweisen, dass der prominente Journalist Teixeira Cândido mit Predator gehackt und überwacht wurde.

Der Einsatz invasiver Spähsoftware gegen Journalist:innen sei „hochproblematisch“, sagt Maximilian Jung, Advocacy-Referent bei Reporter ohne Grenzen. Dabei würden nicht nur einzelne Recherchen gefährdet, sondern die Vertraulichkeit von Quellen und damit ein zentrales Fundament der Pressefreiheit untergraben, so Jung.

„Sollten sich die Hinweise bestätigen, dass erneut Akteure aus dem Umfeld von erwiesenermaßen illegal operierenden Unternehmen an der Vermittlung dieser Technologien beteiligt sind, ist das ein alarmierendes Beispiel für anhaltende Straflosigkeit in diesem Sektor“, sagt Jung. „Reporter ohne Grenzen fordert, den Export und die Vermittlung solcher Überwachungstechnologien zu verbieten, klare Transparenzpflichten einzuführen und Verstöße konsequent zu sanktionieren.“

GitLab Community Edition (CE) und Enterprise Edition (EE) sind verwundbar. Wer GitLab-Instanzen selbst hostet, sollte zügig die verfügbaren Sicherheitspatches installieren. Auf Gitlab.com sollen bereits reparierte Ausgaben laufen.

Mehrere Ansatzpunkte

In einer Warnmeldung listen die Entwickler die abgesicherten Versionen 18.10.1, 18.9.3 und 18.8.7 auf. Jüngere Ausgaben sind für Attacken anfällig, und Angreifer können zwölf Schwachstellen ansetzen. Davon sind vier Stück mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2026-2370, CVE-2026-3857, CVE-2026-2995, CVE-2026-3988).

Nutzen Angreifer diese Schwachstellen erfolgreich aus, können sie unter anderem DoS-Zustände auslösen oder in bestehende Benutzerkonten E-Mail-Adressen hinzufügen. Die verbleibenden Lücken schwächen unter anderem die Authentifizierung (zum Beispiel CVE-2026-2726 „mittel“).

Der Softwarehersteller rät zu einem zügigen Update. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

(des)