Das ist mehr als nur ein Szenario aus einem Hollywood-Thriller: Chinesische Hacker drangen in die Netzwerke von Volkswagen ein und erbeuteten brisante Daten. Von der Entwicklung von Ottomotoren bis hin zu E-Mobilität – nichts schien vor den Datendieben sicher zu sein. Doch wie konnte es zu einem derartigen Datenleck kommen und welche Konsequenzen hat der Hack bis heute?

Der Angriff begann bereits 2010 und erstreckte sich über mehrere Jahre. Die Hacker nutzten ausgefeilte Techniken, um in die IT-Infrastruktur von VW einzudringen und geistiges Eigentum zu stehlen. Dabei flossen Informationen zu Ottomotoren, Getriebeentwicklungen und E-Mobilität ab. Wie konnte das geschehen? IT-Experten, die den Fall untersuchten, konnten gelöschte Dateien wiederherstellen, die die Hacker auf eigene Server geschickt hatten. Insgesamt sollen sie rund 19.000 Dokumente gestohlen haben.

Doch wer steckt hinter diesen Angriffen? Zwar werden die Hacker nicht direkt mit der chinesischen Regierung in Verbindung gebracht, doch alle Hinweise deuten darauf hin, dass die Spur nach China führt. Die IP-Adresse der Hacker konnte bis nach Peking zurückverfolgt werden, sogar bis in die Nähe der PLA, dem militärischen Nachrichtendienst Chinas. Zudem wurden chinesische Hacking-Software und die Zeitzone als Hinweise genannt.

Volkswagen bestätigte den Vorfall und betonte, dass dieser mittlerweile zehn Jahre zurückliege. Dennoch warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor weiteren Attacken. Deutschland sei aufgrund seines Know-hows und seiner Technologie ein attraktives Ziel für Industriespionage, so die BSI-Präsidentin Claudia Plattner.

Der Datendiebstahl bei Volkswagen verdeutlicht die Gefahren der digitalen Welt und die Bedeutung von Cybersicherheit für Unternehmen. Trotz aller Bemühungen bleibt die Angst vor weiteren Angriffen bestehen, nicht nur bei VW, sondern in der gesamten deutschen Industrie.

Das Warten hat ein Ende: Bayern betritt die virtuelle Welt des Glücksspiels mit dem ersten staatlich lizenzierten Online-Spielcasino Deutschlands. Von zu Hause aus können nun Bayerns Bürger legal an Roulette-Tischen, Blackjack und Poker teilnehmen. Doch nicht alle sehen das neue Angebot positiv.

Mit dem Start des Online-Casinos reagiert Lotto Bayern auf die steigende Nachfrage nach Glücksspielen im Internet und möchte damit auch dem illegalen Online-Glücksspiel entgegenwirken. Verena Ober, Sprecherin von Lotto Bayern, betont jedoch, dass das neue Angebot mit einem verantwortungsvollen Spielverhalten einhergeht. Ein monatliches Einzahlungslimit von 1.000 Euro und ein bundesweites Sperrsystem sollen die Spieler vor übermäßigen Verlusten schützen.

Die Landesstelle für Glückspielsucht Bayern sieht das neue Online-Spielcasino kritisch. Geschäftsführer Konrad Landgraf warnt vor dem erhöhten Suchtpotenzial von Online-Glücksspielen und fordert noch strengere Schutzmaßnahmen. Etwa 200.000 Menschen in Bayern sind bereits spielsüchtig, und die Verfügbarkeit von Glücksspielen rund um die Uhr im Internet könnte das Problem weiter verschärfen.

Ob das Online-Casino tatsächlich eine Alternative zum illegalen Glücksspiel bietet und gleichzeitig den Spielerschutz gewährleistet, wird die Zukunft zeigen. Bis dahin bleibt es spannend, ob die neuen virtuellen Roulette-Tische und Blackjack-Partien in Bayern Anklang finden.

Apple schickt wieder seine Kameraautos und Kamerateams mit Rucksäcken durch Deutschland, um das Kartenmaterial seiner digitalen Karten zu verbessern. Von Donnerstag an bis Mitte August werden die Fahrzeuge durch alle 16 Bundesländer rollen.

Besonders interessant: Auch Fußgängerzonen, Parks und Bahnhöfe werden fotografiert – und das nicht nur mit Autos, sondern auch per Rucksack. In München startet die Aktion am 23. Mai, gefolgt von Berlin am 11. Juni, Potsdam am 28. Juni und Hamburg am 1. Juli.

Die gesammelten Daten sollen vor allem dazu dienen, das Kartenmaterial auf iPhones und anderen Apple-Geräten zu verbessern. Apple kann aus den Fotos Straßennamen, Geschäfte, Verkehrszeichen und Straßenführungen extrahieren. Ähnlich wie bei Googles »Street View« sollen auch bei Apple Aufnahmen von Straßenzügen in der Funktion »Look Around« zu sehen sein.

Apple betont, dass wie bisher Gesichter und Nummernschilder vor der Veröffentlichung in der »Look Around«-Funktion unkenntlich gemacht würden.

Wer vermutet, von einer Apple-Kamera aufgenommen worden zu sein, kann das Bild einsehen oder löschen lassen oder sein Haus verpixelt haben möchte. Dies kann unter anderem per E-Mail beantragt werden.

Wer aber sein Haus oder ein Objekt (Wohnung, Garten) verpixelt haben will, muss dies separat beantragen. Das lässt sich per E-Mail (mapsimagecollection@apple.com) beantragen.

Eine genaue Auflistung, in welchem Landkreis wann fotografiert werden soll, hat Apple als pdf zum Download veröffentlicht.

Autos mit Kameras und Laserradarsensoren waren bereits 2019 für Apple in Deutschland unterwegs.

Mehr Informationen zu den Terminen, Orten und Zeitplänen der Datenerhebung gibt es hier: PDF zum Download

Mehr dazu: https://wasserpuncher.wordpress.com/2024/04/15/google-street-view-neuer-widerspruch-erforderlich/

Die beliebte chinesische Kurzvideo-App TikTok steht erneut vor einer großen Herausforderung: Das US-Repräsentantenhaus hat mit großer Mehrheit für ein Gesetz gestimmt, das einen Verkauf von TikTok erzwingen soll. Andernfalls droht dem Dienst die Verbannung aus den USA.

Gemäß dem Gesetz müsste TikTok innerhalb von neun Monaten nach amerikanischem Besitz übergehen. US-Präsident Joe Biden könnte diese Frist um weitere drei Monate verlängern. Das US-Repräsentantenhaus sieht TikTok als chinesisches Unternehmen, das unter dem Einfluss der Kommunistischen Partei Chinas steht.

Dies ist nicht das erste Mal, dass ein solcher Gesetzesentwurf diskutiert wird. Bereits im März hatte das Repräsentantenhaus einen ähnlichen Entwurf verabschiedet, der jedoch im Senat stecken geblieben ist. Der neue Entwurf ist Teil eines größeren Pakets von Gesetzen, das verschiedene Prioritäten der Republikaner zusammenfasst.

Es wird erwartet, dass der Gesetzesentwurf zügig den Senat passieren wird, da die Demokraten von Präsident Biden dort eine Mehrheit haben. Biden selbst hat signalisiert, dass er ein solches Gesetz unterzeichnen würde. Allerdings könnten US-Gerichte die Pläne noch vereiteln.

Für die Demokraten stellt das Gesetz eine Herausforderung dar: Einerseits wollen sie eine harte Position gegenüber China einnehmen, andererseits ist TikTok besonders bei jungen Wählern beliebt, die Biden für eine Wiederwahl im November braucht.

TikTok weist die Bedenken stets zurück und betont, dass das Unternehmen nicht als Tochter eines chinesischen Unternehmens angesehen werden sollte. ByteDance, das Mutterunternehmen von TikTok, sei zu 60 Prozent im Besitz westlicher Investoren.

Schon während seiner Amtszeit als US-Präsident versuchte Donald Trump, einen Verkauf des US-Geschäfts von TikTok an amerikanische Investoren zu erzwingen. Seine Pläne wurden jedoch von US-Gerichten gestoppt, die ein Verbot von TikTok als Verstoß gegen die Redefreiheit ansahen.

TikTok-Chef Shou Chew hat angekündigt, sich gegen das Gesetz zu wehren. Das Unternehmen werde alles Mögliche unternehmen, um die Plattform zu verteidigen.

Es bleibt abzuwarten, wer TikTok kaufen könnte. Große Tech-Konzerne dürften aus Wettbewerbsgründen ausscheiden. Der ehemalige US-Finanzminister Steven Mnuchin hat jedoch bereits angekündigt, eine Investorengruppe für den Kauf von TikTok zu organisieren. Sein Plan ist es, die App in den USA mit US-Technologie neu zu programmieren.

In vielen deutschen Gemeinden läuft der Ausbau von Glasfaseranschlüssen alles andere als reibungslos ab. Bürgermeister wie Rüdiger Germeroth aus Zierenberg in Nordhessen beklagen sich über unzureichende Baumaßnahmen und mangelnde Kommunikation seitens der ausführenden Firmen. „Seit fast vier Jahren geht das so, alles aufgerissen, nur schlecht zugeschüttet, alles Murks“, ärgert er sich.

Das Problem ist nicht nur die mangelnde Qualität der Bauarbeiten, sondern auch die mangelnde Verkehrssicherheit. Kabelrollen, die am Straßenrand abgestellt sind, könnten herunterrollen und Unfälle verursachen. Doch die Zuständigkeit für die Verkehrssicherheit liegt bei den Baufirmen, nicht bei den Kommunen.

Dass die Kommunen oft machtlos sind, liegt an den Verfahrenserleichterungen, die im Telekommunikationsgesetz festgeschrieben sind. Alle lizensierten Anbieter haben freien Zugang zum Glasfaserausbau und damit zu den öffentlichen Wegen. Zwar sind die Telekommunikationsunternehmen verpflichtet, die Verkehrswege wieder instandzusetzen, doch in der Praxis hapert es oft an der Umsetzung.

„Bei manchen Subunternehmen fragt man sich, ob die jemals was mit Tiefbau am Hut hatten“, sagt Dieter Hornung, Bürgermeister in Burghaun, Osthessen. Die Verantwortung für die fachlich korrekte Ausführung liege bei den beauftragten Tiefbaufirmen, betont auch die Deutsche Telekom.

Doch nicht nur große Unternehmen wie die Telekom haben Probleme beim Glasfaserausbau, auch kleinere Anbieter wie das Unternehmen Goethel kämpfen mit Schwierigkeiten. Der Ausbau sei sehr komplex, erklärt Peter Raue, Baubereichsleiter von Goethel, und Fehler würden passieren.

In Deutschland sind derzeit mehr als 200 Glasfaserunternehmen aktiv, um den Breitbandausbau voranzutreiben. Denn trotz aller Bemühungen ist Deutschland beim Breitbandausbau noch immer eine gigantische Baustelle. Dabei wollte die Politik schon 1981 auf Glasfaser setzen. Doch lange Jahre wurde auf die bestehende Kupferkabelinfrastruktur gesetzt, was den Breitbandausbau enorm verzögerte.

Heute liegt Deutschland bei der Breitbandabdeckung auf Platz 36 von 38 OECD-Staaten. Doch es gibt auch Hoffnung: In etwa anderthalb Jahren soll bei der Hälfte der deutschen Haushalte die Zukunft mit Lichtgeschwindigkeit angekommen sein. Bis dahin müssen allerdings noch einige Baustellen beseitigt werden – im wahrsten Sinne des Wortes.

Die extreme Rechte hofft auf eine „patriotische Wende“ bei den Wahlen im Sommer und Herbst. Das Magazin „Compact“ veranstaltet deshalb AfD-nahe „Volksfeste“ – und die „Freien Sachsen“ wollen sich neben der Partei in Stellung bringen.

„Die Partei mit den drei Buchstaben“ steht im Mittelpunkt der Veranstaltungen, die das rechtsextremistische „Compact“-Magazin organisiert. Bei einem solchen „Volksfest“ in Sonneberg, Thüringen, verspricht man den Besuchern, die AfD „zum Anfassen“ dabei zu haben.

In einer Vorankündigung träumte „Compact“ bereits von „AfD-Alleinregierungen“ in Thüringen und Sachsen. Die Veranstaltungen sollen vor den Kommunal- und Landtagswahlen dort helfen, „wo die Kräfte der AfD nicht ausreichen“.

Obwohl das Bundesamt für Verfassungsschutz „Compact“ regelmäßig wegen der Verbreitung „antisemitischer, minderheitenfeindlicher, geschichtsrevisionistischer und verschwörungsideologischer Inhalte“ kritisiert, sieht sich das Magazin als größtes Medium „des Widerstands“.

Chefredakteur Jürgen Elsässer erklärt auf der Bühne, dass es 2024 darum gehe, „die da oben davonzujagen“. Die Bundesregierung nennt er „Vaterlandsverräter“. Die „Blaue Welle“ sei jedoch nur Werbung für eine „patriotische Wende“ in Deutschland, „kein Wahlkampf“, so Elsässer.

Die Relativierung hat einen Grund: Der AfD ging die Compact-Tour zu weit. Man wolle erreichen, „dass eine Zuordnung dieser Veranstaltungen zur AfD nicht möglich ist“, teilte der Parteivorstand dem ARD-Politikmagazin Kontraste mit.

Für Elsässer ist die AfD auch eine Geschäftsbeziehung. „Compact“ verkauft Sondermünzen und -hefte mit dem Konterfei von AfD-Politikern und schaltet Anzeigen für die Partei. Die Nähe zur AfD spiegelt sich auch in den Verkaufszahlen wider: Der silberne „Höcke-Taler“ kostet knapp unter 70 Euro.

Neben „Compact“ versuchen auch die „Freien Sachsen“, sich neben der AfD zu etablieren. Die rechtsextreme Partei propagiert offen einen „Umsturz“ und ist ein maßgeblicher Treiber hinter Corona- und Asyl-Protesten. Trotzdem wollen sie sich als möglicher Koalitionspartner der AfD positionieren.

Die „Freien Sachsen“ treten voraussichtlich bei den Kommunalwahlen in Sachsen in allen Landkreisen und kreisfreien Städten an. Sie peilen zweistellige Ergebnisse an und wollen sogar stärkste Kraft in einigen Kommunen werden.

Das Potenzial dafür ist vorhanden: Bei den Landratswahlen 2022 erhielten die Kandidaten der „Freien Sachsen“ um die 10 Prozent der Stimmen – in einem Fall sogar 20. In einem Kreis, in dem die AfD nicht antrat.

Obwohl die AfD die „Freien Sachsen“ auf ihre Unvereinbarkeitsliste gesetzt hat, treten sie zusammen auf. Die Ambivalenz ist von beiden Seiten gewollt und hilft beiden, ihre Ziele zu erreichen.

Insgesamt zeigen diese Entwicklungen, wie stark die extreme Rechte in Deutschland inzwischen verankert ist und wie wichtig es ist, ihre Aktivitäten kritisch zu beobachten und entschieden dagegen vorzugehen.

Selbst ehemalige Mitarbeiter von Microsoft sind mit der Performance von Windows 11 unzufrieden. In einer Reihe von Tweets beklagte sich der ehemalige Microsoft-Angestellte Andy Young über die Leistung des Betriebssystems, insbesondere bei der Suche im Startmenü. Trotz leistungsstarker Hardware dauern einige Aktionen unnötig lange, was Young als „lächerlich schlecht“ bezeichnete.

Ineffizienter Code führt zu langsamen UI-Animationen und verzögerten Aktionen, so Young. Dies betrifft nicht nur die Suche im Startmenü, sondern auch den Update-Vorgang, die Suche und das automatische Beenden von Programmen beim Herunterfahren. Selbst scheinbar simple Programme wie der Windows Explorer oder der Task-Manager können dazu führen, dass der PC mehr als eine halbe Minute lang nicht herunterfährt.

Obwohl Young betont, dass er grundsätzlich Windows mag und selbst Teil des Entwicklerteams war, hält er Windows 11 für unfertig. Andere Nutzer vermuten, dass Microsofts Fokus auf Werbung und andere „unerwünschte“ Elemente im Betriebssystem zu Lasten einer reaktionsschnellen Benutzeroberfläche geht.

Diese Kritik kommt zu einem Zeitpunkt, an dem Microsoft Nutzer aggressiv zum Upgrade auf Windows 11 drängt. Vollbild-Werbeeinblendungen sollen Nutzer dazu bewegen, von Windows 10 auf die neuere Version umzusteigen.

Es bleibt abzuwarten, ob Microsoft auf die Kritik reagiert und die Performance von Windows 11 verbessert. Bis dahin werden sich viele Nutzer weiterhin über die langsame Leistung des Betriebssystems ärgern müssen.

Die hessische Regierung möchte über den Bundesrat eine Pflicht zur verdachtsunabhängigen Vorratsspeicherung von IP-Adressen einführen. Das bedeutet, dass Provider die Internetkennungen einen Monat lang anlasslos aufbewahren sollen. Doch warum das Ganze?

Die schwarz-rote Regierung in Hessen drängt darauf, IP-Adressen für einen Zeitraum von einem Monat zu speichern, um Strafverfolgern den Zugriff auf diese Daten zu ermöglichen. Dabei geht es vor allem um die Bekämpfung schwerer Kriminalität und Terrorismus. Doch auch minderschwere Straftaten sollen mithilfe dieser Maßnahme verfolgt werden können.

Die Bundesregierung hat sich bisher auf einen Quick-Freeze-Ansatz geeinigt, der eine Speicherung von Verbindungs- und Standortdaten nur im Verdachtsfall vorsieht. Die hessische Bundesinnenministerin Nancy Faeser (SPD) hält jedoch an der Idee fest, IP-Adressen auf Vorrat zu speichern. Ihrer Meinung nach reicht der Quick-Freeze-Ansatz bei Weitem nicht aus.

„Es geht um Kinderschutz im Netz“, betont Ministerpräsident Boris Rhein. Ohne die Speicherung von IP-Adressen sei eine Strafverfolgung vor allem von Kinderpornografie und Hate Speech oft nicht möglich. Doch nicht jeder unterstützt diese Ansicht. Datenschutz darf kein Täterschutz sein, so Rhein.

Die Speicherung von IP-Adressen für einen Monat soll es den Behörden ermöglichen, Täter zu identifizieren und zu verfolgen. Dabei sollen die gespeicherten Daten auch weiterhin durch Zugangsanbieter genutzt werden können, um Anschlussinhaber zu ermitteln.

Auch wenn der Europäische Gerichtshof (EuGH) prinzipiell eine anlasslose Vorratsdatenspeicherung ablehnt, könnte sie unter bestimmten Bedingungen zulässig sein. Das hessische Justizministerium sieht den einmonatigen Speicherzeitraum als Ergebnis einer Gesamtabwägung, die die Vorgaben des EuGH berücksichtigt.

Es bleibt jedoch abzuwarten, ob die Maßnahme tatsächlich durchgesetzt wird und ob sie die erhofften Ergebnisse bringt. Datenschützer und netzpolitische Vereine äußern bereits Bedenken und plädieren für alternative Lösungsansätze. Manche halten die Speicherung von IP-Adressen für unnötig, da viele Straftaten kontenbasiert stattfinden und eine präventive Speicherung daher nicht notwendig sei. Es bleibt also spannend, wie sich die Debatte weiterentwickelt.

Die Schülervertretungen der ostdeutschen Bundesländer schlagen Alarm: Rechtsextreme Vorfälle an Schulen nehmen zu. Sie fordern entschiedenes Gegensteuern der Politik. Doch die Bildungsministerien verweisen auf bestehende Strategien.

Der 18-jährige Schüler Stefan Tarnow macht sich große Sorgen. „Hakenkreuze auf Tischen, Stühlen oder aber auch an Wänden finden sich in vielen Klassenzimmern.“ Doch nicht nur das: Rechtsextremes Gedankengut werde auch im Unterricht in Debatten – besonders, wenn es um das Thema Migration gehe – oft verbreitet.“Statt Fakten geht es oft um gefühlte Wahrheiten“, sagt Tarnow. Das berichteten ihm Schülerinnen und Schüler immer wieder, mit denen er in Kontakt sei. Stefan Tarnow ist Sprecher des Landesrats der Schülerinnen und Schüler in Brandenburg und vertritt ihre Interessen. „Manchmal feuern die Lehrer rechtsextremes Gedankengut sogar noch an“, sagt er.

Auch andere Landesschülerräte haben festgestellt, dass die Hemmschwelle sinkt und dass Schulen oft nicht ausreichend auf rechtsextreme Vorfälle vorbereitet sind. Die Landesschülerräte aus Berlin, Brandenburg, Mecklenburg-Vorpommern, Sachsen, Sachsen-Anhalt und Thüringen haben deshalb in einer gemeinsamen Erklärung Anfang April ein entschiedenes Gegensteuern gefordert.

Sie wollen unter anderem eine Stärkung der Fächer Politik oder Sozialkunde, um mehr Wissen über die Bedrohungen für die Demokratie durch Rechtsextremismus zu vermitteln. Außerdem seien Fortbildungen für Lehrkräfte notwendig um vorbereitet zu sein für den Umgang mit rechtsextremem Gedankengut und Schülerinnen und Schüler, die sich radikalisieren.

Verunsicherte Lehrkräfte

Nina Kolleck ist Bildungsforscherin an der Universität Potsdam und unterstützt die Forderungen der Landesschülerräte. Die Professorin für Erziehungs- und Sozialisationstheorie bildet selbst Lehrerinnen und Lehrer aus. Sie erlebt angehende Lehrkräfte meist verunsichert beim Thema Rechtsextremismus.

„Viele trauen sich nicht sich zu äußern, wenn beispielsweise der Hitlergruß gezeigt wird, weil sie Angst haben, dass sie dann angefeindet werden. Und zwar nicht nur in der Schule“, sagt Kolleck. Dabei sei es die Pflicht von Lehrkräften, hier einzuschreiten.

Kolleck weiß, dass in Brandenburg viele, die Lehramt studieren, oft im ländlichen Raum und vor allem in ihren Heimatorten unterrichten wollen. Das Beispiel der zwei Lehrer aus Burg hätte viele eingeschüchtert. Im April 2023 haben sie in einem Schreiben unter anderem Hakenkreuz-Schmierereien und Hitler-Grüße öffentlich gemacht. Daraufhin wurden die zwei Lehrkräfte angefeindet und sahen sich gezwungen die Schule zu wechseln.

Verpflichtende Seminare zu Rechtsextremismus

Die Geschichte der zwei Lehrkräfte wirkt bis heute nach. „Gegen diese Angst müssen wir vorgehen“, sagt Kolleck. Auch sie fordert eine systematische Aus- und Fortbildung von Lehrkräften und einen systematischen Umgang an Schulen mit rechtsextremen Vorfällen. Damit sich die Geschichte von Burg nicht wiederhole.

So wie andere Universitäten auch bietet die Universität Potsdam Seminare für Lehrkräfte an, in denen sie lernen, wie sie auf antidemokratische und diskriminierende Sprüche und menschenfeindliche Vorfälle reagieren können. „Es braucht ein ganzes Lehrerkollegium, das entschlossen handelt“, sagt Kolleck. Doch die Seminare sind nicht verpflichtend.

Das ist in Sachsen anders. Hier ist ein Modul zur politischen Bildung und Demokratiebildung für alle angehenden Lehrkräfte aller Fächer Pflicht, auch der Umgang mit Rechtsextremismus wird hier thematisiert. Das sächsische Staatsministerium für Wissenschaft hat das beschlossen, zunächst hat die Universität Leipzig die Lehrveranstaltungen eingeführt, vor einem Jahr dann Dresden, nun soll Chemnitz folgen.

Kolleck wünscht sich, dass die Seminare in der Lehrkräfteaus- und -fortbildung in allen Bundesländern verpflichtend werden.

Zunahme von rechtsextremen Vorfällen?

Wie viele rechtsextreme Vorfälle es an Schulen gibt, dazu gibt es keine verlässlichen Zahlen. In Sachsen gab es 2019 nach Angaben des Bildungsministeriums 73 gemeldete rechtsextremistische oder rassistische Vorfälle. Vier Jahre später waren es mehr als doppelt so viele, nämlich 149.

Auch andere Bundesländer wie Hessen, Mecklenburg-Vorpommern oder Brandenburg melden mehr Fälle. In Brandenburg kam es im Schuljahr 2022/2023 zu 123 dokumentierten rechtsextremistischen Äußerungen an Schulen.

Doch die Dunkelziffer sei hoch, sagt Tim Reukauf vom Thüringer Lehrerverband. „Es gibt immer wieder Schulleitungen, die rechtsextreme Vorfälle nicht melden wollen, weil sie befürchten, dass es ein schlechtes Licht auf ihre Schule wirft“, sagt Reukauf.

Genauere Dokumentation gefordert

Laut einer nicht veröffentlichten Umfrage des Thüringer Lehrerverbands geben 38 Prozent der befragten Mitglieder an, sie hätten seit Beginn des Schuljahres 2023/24 mitbekommen, dass Kolleginnen, Kollegen, Schülerinnen oder Schüler an ihrer Schule Gewalt erlebt haben, die rechtsextremistisch motiviert gewesen sei.

Die Gewalt sei in 68 Prozent der Fälle von Schülerinnen und Schülern ausgegangen, in 20 Prozent von Eltern und in 12 Prozent von Kollegen und Kolleginnen. Dabei gaben die befragten Mitglieder an, dass mit 52 Prozent vor allem Schülerinnen und Schüler von der Gewalt betroffen waren.

Tim Reukauf vom Thüringer Lehrerverband findet nicht nur die Umfrage, sondern auch die Fallschilderungen seiner Kolleginnen und Kollegen beunruhigend. Er fordert eine bessere Meldekette von den Schulen über Schulämter bis zu den Bildungsministerien der Länder. „Nur durch eine genauere Dokumentation können wir sehen, wie sich das Problem entwickelt und entsprechend handeln“, sagt Reukauf.

Bildungsministerien verweisen auf bestehende Strategie

Doch die Bildungsministerien sehen auf Nachfrage des RBB durch den Aufruf des Landesschülerrats keinen neuen Handlungsbedarf. Sachsen-Anhalt verweist beispielsweise unter anderem darauf, dass Demokratiebildung und Extremismusprävention bereits jetzt in der Fortbildung der Lehrkräfte eine zentrale Rolle spielten.

Auch das Bildungsministerium in Brandenburg führt bestehende und kürzlich aufgesetzte Programme an, die Lehrkräfte im Umgang mit Rechtsextremismus stärken sollen.

Der Vorfall rund um die XZ-Utils hat die Diskussion über die Sicherheit von Open-Source-Software (OSS) neu entfacht. Ist öffentlich entwickelte Software anfälliger für Social-Engineering-Angriffe oder bietet sie im Gegenteil strukturelle Resilienz dagegen?

Endlich Feierabend! Die Katze hat sich zufrieden schnurrend auf dem Firmenlaptop eingerollt. Es ist 20:00 Uhr. Ich will noch schnell den von mir vor Jahren notdürftig improvisierten Protokollparser in meinem Utility durch die deutlich besseren Funktionen aus einer Bibliothek auf GitHub ersetzen, wozu mich schon die ganze Zeit ein User drängt.

So oder so ähnlich sehen viele Abende oder auch Nächte der Menschen aus, die in ihrer Freizeit an Free/Libre-Open-Source-Software-Projekten (FLOSS) arbeiten. Neben der eigentlichen Programmierarbeit muss ein solches Projekt organisatorisch gepflegt werden, Releases müssen erstellt und verwaltet werden. Anwender stellen Fragen, äußern Wünsche oder leisten Beiträge in Form von Patches oder Fehlerberichten. All dies macht die gelebte Dynamik und die offene Zusammenarbeit bei FLOSS-Projekten aus, beansprucht aber einiges an Zeit, die dann nicht zum Programmieren zur Verfügung steht.

Zu programmieren ist aber bei den meisten die eigentliche Motivation, ihre wertvolle Freizeit zu opfern. So ist es überaus erfreulich, wenn Dritte hilfreiche Beiträge zum Projekt leisten. Im Falle der XZ Utils und dem inzwischen berüchtigten Jia Tan fing es im Oktober 2021 mit Diskussionsbeiträgen auf der Mailingliste an, ab April 2022 folgten Patches, die anfangs über die Mailingliste, später als direkte Pull Requests eingereicht wurden und beispielsweise lästige Angelegenheiten wie Probleme im Build-Prozess behoben haben. Etwa zeitgleich begannen andere die organisatorischen und personellen Schwierigkeiten des Projekts zu diskutieren und als Lösung einen zweiten Projektverantwortlichen vorzuschlagen, wie es bei der offenen Kollaboration im Rahmen öffentlicher FLOSS-Projekte durchaus üblich ist.

Nicht auszuschließen ist, dass es sich bei diesen „anderen“ ebenfalls um die Person oder Personengruppe hinter Jia Tan handelt. Allerdings ist es üblich, dass Beitragende zu öffentlichen FLOSS-Projekten unter Pseudonymen auftreten und sich eine gute Reputation durch konstruktive Zusammenarbeit erwerben, sei es in Form von Hilfestellungen, Dokumentation, Übersetzungen, Unterstützung bei der Projektorganisation oder eben auch konkreten Verbesserungen an der Software. Natürlich wird solche Hilfe meist gerne angenommen und zahlt im Laufe der Zeit auf die Währung „Vertrauen“ ein.

Vertrauen zum netten Nachbarn

So ist Jia Tan wie der nette Nachbar, der einem die Tür aufhält, wenn man schwer beladen vom Einkaufen zurückkommt oder der regelmäßig Paketlieferungen annimmt, die man sonst beim Paketshop am anderen Ende der Stadt abholen müsste.

Zwar gibt es viele Entwicklerinnen und Entwickler im Umfeld von Free/Libre Open Source Software, die sich beispielsweise auf Konferenzen persönlich kennengelernt haben, aber mit dem überwiegenden Teil der Beitragenden haben Projektverwalter meist nur durch E-Mails und GitHub-Aktivitäten Kontakt. So ersetzt eine längere, konstruktive Historie der Zusammenarbeit im digitalen Raum die persönliche Bekanntschaft als Fundament für das Vertrauen.

Irgendwann treffen wir die Entscheidung, dem netten Nachbarn auch den Wohnungsschlüssel zu geben, damit er in unserer Abwesenheit die Blumen gießen oder die Katze füttern kann. Und dafür wird wohl keiner dessen polizeiliches Führungszeugnis verlangen – warum auch: Es gibt keinen konkreten Anlass, diesem Menschen zu misstrauen.

Genau so hat es wohl auch Lasse Collin gesehen, als er Jia Tan im Januar 2023 Schreibrechte für das GitHub-Repository der XZ Utils eingeräumt hat. Warum auch nicht? Die bisherigen Beiträge waren hilfreich und Jia Tan hatte schon einiges für das Projekt geleistet. Im März 2023 benennt Jia Tan sich als Ansprechpartner für die XZ Utils bei Googles „OSS Fuzz“-Projekt, einem Source Code Security Scanner und reichte dort im Juni 2023 als Mitverwalter der XZ Utils Änderungen zum Scannen der XZ Utils ein, die auch angenommen wurden.

Mit der Änderung der Projekt-Webseite auf eine bei GitHub gehostete Site im Februar 2024 und dem darauffolgenden Erstellen von Releases der xzUtils war das Ziel erreicht: Alle Prozesse des Projekts waren nun auch in der Hand von Jian Tan und es war inzwischen auch üblich, dass er diese Tätigkeiten durchführte. So konnte er im März 2024 die offiziellen Sourcecode-Releases der Versionen 5.6.0 und 5.6.1 der XZ Utils eigenständig als „Tarballs“ (.tar.gz-Archive) veröffentlichen.

Zusammenfassung der Ereignisse

Auf den ersten Blick erscheinen die Beiträge von Jia Tan in den dreieinhalb Jahren von Oktober 2021 bis März 2024 weitgehend positiv: konstruktive E-Mails sowie zahlreiche Patches beziehungsweise Pull Requests, die augenscheinlich echte Probleme lösen. Im Nachhinein lässt sich dagegen nachvollziehen, dass er systematisch und schrittweise angefangen hat, soziale Nähe zu erzeugen und dann die Grundlagen für eine technisch komplexe Schadfunktion in kleinen Häppchen unter zahlreichen Codebeiträgen versteckt in die XZ Utils eingebracht hat. Die beim „OSS Fuzz“-Projekt eingereichte Änderung hat dafür gesorgt, dass das Projekt den Schadcode nicht entdeckt hat.

Schließlich hat der Angreifer über eine „Verbesserung“ von Testdateien den Code der eigentlichen Schadfunktion extrem gut versteckt in komprimierter und chiffrierter Form eingebracht. Er landete in Dateien der XZ Utils, in denen niemand nach bösartigem Code suchen würde, da es sich augenscheinlich um reine Datendateien zum Testen der XZ Utils auf korrektes Funktionieren handelt, versteckt in einer Form, in der weder manuelle Code-Reviews noch maschinelle Codescans den Schadcode identifizieren können.

Darüber hinaus wurde die Schadfunktion nur erstellt, wenn man die XZ Utils aus den Release-Tarballs kompilierte, nicht jedoch, wenn man den Sourcecode direkt dem GitHub-Repository entnahm. Der eigentliche Clou ist aber, dass die Schadfunktion eine Hintertür in OpenSSH öffnet, wenn diese mit XZ-Unterstützung kompiliert wurde, und dann auch nur auf x86-64 Rechnern unter Linux mit systemd. Dies sind genau einzuhaltende Rahmenbedingungen, die aber für die meisten Linux-Distributionen auf Rechnern mit CPUs von Intel oder AMD gegeben sind. Des Weiteren ist diese Hintertür nur mit Kenntnis eines bestimmten, geheimen Schlüssels nutzbar.

In der Summe hat der Angreifer also über dreieinhalb Jahre hinweg viel Energie und Hirnschmalz investiert, um in einem etwas aus der Mode gekommenen und daher inzwischen wenig beachteten Datenkompressor möglichst unauffällig eine Schadfunktion einzubringen, die eine Hintertür in der meistgenutzten Fernzugriffssoftware auf fast allen x86-64 Rechnern unter Linux öffnet, die aber nur Personen mit Kenntnis eines bestimmten kryptografischen Schlüssels nutzen können.

Der Vorfall im größeren Kontext

Solch ein sowohl technisch als auch organisatorisch hoher Aufwand ist für staatliche Akteure nicht ungewöhnlich: Man denke nur an die lange Geschichte der Crypto AG sowie den von der NIST Hintertür-behaftet spezifizierten und von Symantec, Juniper und anderen US-Firmen implementierten Zufallszahlengenerator Dual_EC_DRBG. Eine weitere Gemeinsamkeit ist, dass all diese Beispiele in der westlichen Welt spielen, weil dort nach vielen Jahren solche Vorgänge manchmal doch öffentlich werden; im Fall der XZ Utils waren es nur wenige Monate, weil alle relevanten Informationen zur Technik wie auch der Projektorganisation jederzeit transparent nachvollziehbar und offen zugänglich sind, da es sich um ein öffentliches FLOSS-Projekt handelt.

Dagegen erscheint es bei dem weltweiten Mangel an IT-Fachkräften eher einfacher für einen Nachrichtendienst, einen Mitarbeiter bei einer Softwarefirma einstellen und agieren zu lassen; insbesondere da sein Tun nicht öffentlich zugänglich dokumentiert wird und somit das Entdeckungsrisiko deutlich geringer ist und sich die Details seiner Aktionen oft nicht so transparent nachvollziehen lassen wie bei FLOSS. Auch sind die Entdeckungsmöglichkeiten und die technische Analyse schwerer oder gar nicht möglich, wenn der Quellcode einer Software nicht vorliegt. Darüber hinaus hat eine betroffene Software-Firma kein Interesse daran, dass ein solcher Vorgang an die Öffentlichkeit gelangt.