Die Mission von Signal ist und war schon immer die Förderung privater Kommunikation. Um diesem Ziel weiter gerecht zu werden, geht Signal nun einen Schritt weiter, um die Privatsphäre deiner Telefonnummer noch besser zu schützen.

Hier sind die Neuerungen:

Neue Voreinstellung: Deine Telefonnummer ist nicht mehr für alle sichtbar
Wenn du Signal nutzt, wird deine Telefonnummer standardmäßig nicht mehr für jeden sichtbar sein, mit dem du chattest. Personen, die deine Nummer in ihren Kontakten gespeichert haben, werden sie weiterhin sehen können, da sie diese bereits kennen.

Verbindung ohne Weitergabe deiner Telefonnummer
Wenn du deine Telefonnummer nicht weitergeben möchtest, um mit jemandem auf Signal zu chatten, kannst du jetzt einen eindeutigen Benutzernamen erstellen, den du stattdessen verwenden kannst (für die Anmeldung bei Signal ist weiterhin eine Telefonnummer erforderlich). Beachte, dass ein Benutzername nicht der Profilname ist, der in Chats angezeigt wird. Ein Benutzername ist nicht dauerhaft, und er ist für die Personen, mit denen du auf Signal chattest, nicht sichtbar. Ein Benutzername ist lediglich eine Möglichkeit, Kontakt auf Signal aufzunehmen, ohne deine Telefonnummer zu teilen.

Steuerung, wer dich auf Signal über die Telefonnummer finden kann
Wenn du nicht möchtest, dass dich Menschen über die Suche nach deiner Telefonnummer auf Signal finden können, kannst du jetzt eine neue optionale Datenschutzeinstellung aktivieren. Dies bedeutet, dass Menschen dich nicht kontaktieren können, es sei denn, sie haben deinen genauen Benutzernamen.

Diese Optionen befinden sich derzeit in der Beta-Phase und werden in den kommenden Wochen für alle verfügbar sein.

Beachte, dass selbst wenn diese Funktionen für alle verfügbar sind, du und die Personen, mit denen du auf Signal chattest, die neueste Version der App verwenden müssen, um davon zu profitieren.

Wichtig ist, dass all dies optional ist. Obwohl die Standardeinstellung geändert wurde, um deine Telefonnummer vor denen zu verbergen, die sie nicht in ihren Telefonkontakten gespeichert haben, kannst du diese Einstellung ändern. Du bist nicht verpflichtet, einen Benutzernamen zu erstellen, und du hast die volle Kontrolle darüber, ob du möchtest, dass Menschen dich über deine Telefonnummer finden können oder nicht.

Schütze deine Telefonnummer auf Signal
Sobald diese Funktionen verfügbar sind, wird deine Telefonnummer für jeden, der die neueste Version von Signal verwendet und sie nicht bereits in seinen Telefonkontakten gespeichert hat, nicht mehr sichtbar sein. Das bedeutet, dass deine Telefonnummer in Gruppenchats, 1:1-Nachrichten und Signal-Anrufen nicht mehr angezeigt wird, es sei denn, die Person hat sie bereits gespeichert (dies kann auch weiter eingeschränkt werden, wie unten detailliert).

Dein Signal-Profilname und Foto bleiben weiterhin sichtbar.

Wenn du möchtest, dass alle deine Telefonnummer sehen können, wenn du mit ihnen chattest, kannst du die Standardeinstellung ändern, indem du zu Einstellungen > Datenschutz > Telefonnummer > Wer kann meine Nummer sehen gehst. Du kannst entweder wählen, dass deine Telefonnummer für „Jeden“ sichtbar ist, mit dem du auf Signal chattest, oder für „Niemanden“. Wenn du „Niemanden“ auswählst, sehen nur Personen deine Telefonnummer in Signal, die sie bereits in ihren Telefonkontakten gespeichert haben.

Einführung einer Einstellung, die steuert, wer dich über die Telefonnummer auf Signal finden kann
Bis heute konnte jeder, der deine Telefonnummer hatte – sei es von einem Partyflyer, einer Visitenkarte oder von irgendwo anders -, dich auf Signal nach deiner Telefonnummer suchen und dir Nachrichten senden. Du kannst dies nun einschränken, indem du zu Einstellungen > Datenschutz > Telefonnummer > Wer kann mich über meine Nummer finden gehst und es auf „Niemand“ setzt.

„Wer kann mich finden“ auf „Jeder“ eingestellt bedeutet, dass jeder, der deine Telefonnummer hat, sie in Signal eingeben und dir eine Nachrichtenanfrage senden kann (die du annehmen, ablehnen oder blockieren kannst). Dies ist nach wie vor die Standardeinstellung und funktioniert seit Jahren so.

„Wer kann mich finden“ auf „Niemand“ eingestellt bedeutet, dass wenn jemand deine Telefonnummer auf Signal eingibt, er dir keine Nachrichten oder Anrufe senden kann oder sogar sehen kann, dass du auf Signal bist. Und die Personen, mit denen du auf Signal chattest, sehen deine Telefonnummer nicht auf deiner Profildetailseite, selbst wenn sie sie in ihren Telefonkontakten gespeichert haben. Beachte, dass „Niemand“ auswählen es schwieriger machen kann, dass dich Menschen auf Signal finden. Wenn dein Freund Signal herunterlädt und die App öffnet, um zu sehen, mit wem er chatten kann, wird er nicht wissen, dass er dir Nachrichten senden kann. Stattdessen musst du ihm deinen vollständigen, eindeutigen Benutzernamen mitteilen, um auf Signal in Kontakt zu treten.
Du kannst diese Einstellungen jederzeit ändern, um die Art und Weise anzupassen, wie du mit anderen auf Signal in Verbindung treten möchtest.

Benutzernamen: Eine weitere Möglichkeit, ein Gespräch zu beginnen
Bisher musste jemand deine Telefonnummer kennen, um dich auf Signal zu erreichen. Jetzt kannst du auf Signal eine Verbindung herstellen, ohne deine Telefonnummer preiszugeben. (Für die Anmeldung bei Signal ist weiterhin eine Telefonnummer erforderlich.) Hier kommen Benutzernamen ins Spiel.

Anstatt deine Telefonnummer weiterzugeben, kannst du jetzt einen Benutzernamen teilen. Du kannst auch einen QR-Code oder einen Link generieren, der Personen zu deinem Benutzernamen leitet und es ihnen ermöglicht, schnell mit dir auf Signal in Verbindung zu treten.

Benutzernamen in Signal funktionieren nicht wie Benutzernamen auf Social-Media-Plattformen. Signal-Benutzernamen sind keine Anmeldungen oder Griffe, unter denen du in der App bekannt sein wirst – sie sind einfach eine schnelle Möglichkeit, sich zu verbinden, ohne eine Telefonnummer zu teilen. Dein Profilname bleibt so, wie du ihn eingestellt hast. Dein Benutzername wird auf deiner Profildetailseite nicht angezeigt, und Personen, denen du Nachrichten sendest, können deinen Benutzernamen ohne deine Mitteilung nicht sehen oder finden. Anders ausgedrückt: Jemand muss deinen genauen Benutzernamen kennen, um mit dir auf Signal zu chatten. Und Signal bietet keine durchsuchbare Liste von Benutzernamen.

Wir haben auch darauf geachtet, dass das Verbergen deiner Telefonnummer vor den Personen, mit denen du sprichst, nicht bedeutet, dass du Signal mehr persönliche Informationen geben musst. Dein Benutzername wird nicht im Klartext gespeichert, was bedeutet, dass Signal die Benutzernamen bestimmter Konten nicht leicht sehen oder produzieren kann.
Benutzernamen ermöglichen es dir einfach, auf Signal eine Verbindung herzustellen, ohne deine Telefonnummer zu teilen, und die robusten Datenschutzvorkehrungen von Signal bleiben unverändert. Signal ist so aufgebaut, dass wir nicht wissen, mit wem du sprichst, was du sagst, an welchen Gruppenchats du teilnimmst, wer in deiner Kontaktliste steht und vieles mehr.

Setze ihn, teile ihn, ändere ihn
Wenn du einen Benutzernamen erstellen möchtest, kannst du dies in Einstellungen > Profil tun. Ein Benutzername auf Signal (im Gegensatz zu einem Profilnamen) muss eindeutig sein und am Ende zwei oder mehr Zahlen haben; eine Wahl, die darauf abzielt, Benutzernamen egalitär zu halten und Spoofing zu minimieren. Benutzernamen können so oft geändert werden, wie du möchtest, und du kannst deinen Benutzernamen sogar löschen, wenn du keinen mehr haben möchtest.

Sobald du einen Benutzernamen erstellt hast, kannst du ihn mit anderen teilen, die ihn verwenden können, um sich mit dir zu verbinden. Um dich mit jemandem über seinen Benutzernamen zu verbinden, öffne einfach den Bildschirm für neue Chats auf Signal und gib seinen Benutzernamen ein.

Da Signal keine durchsuchbare Liste von Benutzernamen bereitstellt, können nur Personen, die deinen genauen Benutzernamen kennen, eine Konversation mit dir beginnen. Und du kannst ihn mit so wenigen oder so vielen Personen teilen, wie du möchtest.

Du kannst auch einen QR-Code oder eine eindeutige URL teilen, die zu deinem Benutzernamen in Signal führt. Du kannst diese jederzeit ohne Änderung deines Benutzernamens zurücksetzen, ähnlich wie einen Gruppen-Einladungslink.

Benutzernamen in Signal sind so konzipiert, dass sie leicht änderbar sind. Du kannst beispielsweise einen Benutzernamen erstellen, um dich mit Menschen auf einer Konferenz zu verbinden oder eine Gruppenreise zu planen. Dann, wenn es vorbei ist, änderst du ihn einfach, wenn du möchtest. Klicke einfach auf deinen Benutzernamen auf deiner Profildetailseite, um die gewünschten Änderungen vorzunehmen. Wenn du deinen Benutzernamen änderst, werden deine Signal-Kontakte nicht benachrichtigt, da dein Benutzername für die Personen, mit denen du 1:1 oder in Gruppen chattest, nicht sichtbar ist.

Zusammenfassung
In Kürze wird deine Telefonnummer für Personen, mit denen du auf Signal chattest, nicht mehr sichtbar sein, es sei denn, sie haben sie in ihren Telefonkontakten gespeichert und verwenden die neueste Version von Signal. Du kannst auch eine neue Datenschutzeinstellung konfigurieren, um zu begrenzen, wer dich über deine Telefonnummer auf Signal finden kann. Außerdem kannst du jetzt einen optionalen Benutzernamen erstellen, den du mit den Personen teilen kannst, mit denen du auf Signal in Verbindung treten möchtest.

Das Landgericht Berlin hat in einer einstweiligen Verfügung entschieden, dass das Künstlerkollektiv Zentrum für politische Schönheit (ZPS) ein Deep-Fake-Video des Bundeskanzlers Olaf Scholz nicht weiter verbreiten darf. Die Aktion der Künstler:innen stand im Zusammenhang mit ihrer Forderung nach einem Verbot der rechtsradikalen AfD. Das generierte Video hatte im vergangenen Jahr eine kontroverse Debatte über Deep Fakes in Deutschland ausgelöst.

Das Deep-Fake-Video wurde im Kontext einer Aktion des ZPS zum AfD-Verbot veröffentlicht. Es zeigte Bundeskanzler Olaf Scholz, der einen Verbotsantrag gegen die AfD äußerte. Bereits bei der Veröffentlichung im November 2023 hatte die Bundesregierung darauf verärgert reagiert, und ein Regierungssprecher betonte, dass solche Deep Fakes keine Spaßangelegenheit seien, sondern Verunsicherung schüren und manipulativ seien.

Nachdem die Bundesregierung versucht hatte, das Video auf verschiedenen Plattformen unter Verweis auf das Urheberrecht sperren zu lassen, reichten die Aktionskünstler eine leicht veränderte Version auf ihrem YouTube-Kanal ein. Diese Version nutzte nicht mehr das Bundeskanzler-Logo, war mit „Politische Schönheit Originals“ beschriftet und mit dramatischer Musik unterlegt. Die Lippenbewegungen von Scholz waren nicht synchron, was für Laien erkennbar machte, dass es sich um eine Fälschung handelte.

Der Anwalt des Zentrums für politische Schönheit argumentierte vor Gericht, dass der Fake offensichtlich schlecht gemacht sei und von jedem als solcher erkannt werden könne. Dennoch folgte das Landgericht Berlin dieser Argumentation nicht und sah in dem Video eine „Zuordnungsverwirrung“. Es betonte, dass die gesamte Gestaltung darauf ausgerichtet sei, wie eine offizielle Regierungserklärung zu wirken.

Das Gericht stellte fest, dass die Bereitstellung des Videos auf einem allgemeinen Videoportal ein breites Publikum erreiche, das nicht ohne Weiteres erkennen könne, von wem das Video stammt. Die fehlende künstlerische Anmutung oder satirische Überspitzung im Video verhindere eine ausreichende Unterscheidbarkeit.

Der Gerichtsbeschluss betont, dass die Kunst- und Meinungsfreiheit nicht eingeschränkt werden solle, aber gefälschte Nachrichten, die nicht ohne weiteres als solche erkennbar seien, nicht verbreitet werden dürfen. Dies könne das Vertrauen in die Seriosität der Bundesregierung und generell in eine verlässliche Berichterstattung erschüttern.

Das Zentrum für politische Schönheit plant, gegen die Entscheidung Rechtsmittel einzulegen und notfalls bis zum Bundesverfassungsgericht zu gehen, um die Kunstfreiheit zu verteidigen. Ein Sprecher des ZPS kommentierte, dass Bundeskanzler Scholz anscheinend alles verwechsle und nun das Verbot eines Videos zum AfD-Verbot vor Gericht beantragt habe.

Hinweis: Der Artikel beruht auf einer Nachricht vom Landgericht Berlin im Rahmen einer einstweiligen Verfügung, und die genauen rechtlichen Details können variieren.

In einer beunruhigenden Entwicklung haben Hacker des Chaos Computer Clubs (CCC) eine IT-Schwachstelle im Arzttermin-Vergabedienst Dubidoc aufgedeckt. Obwohl der Anbieter die Sicherheitslücke schnell schloss, wirft der Vorfall ein Licht auf potenzielle Risiken der Digitalisierung im Gesundheitswesen und verdeutlicht, dass Patienten die Leidtragenden sein können.

Die Hintergrundgeschichte von Dubidoc beginnt mit einer klassischen Start-up-Erzählung: Als die Ärztin Shabnam Fahimi-Weber keine geeignete Software für die Terminvergabe ihrer HNO-Praxis fand, entwickelte sie kurzerhand ihre eigene Lösung. Das 2016 gegründete Unternehmen verspricht Praxisinhabern effizientere Terminverwaltung und weniger Ausfälle. Auf der Webseite betont der Anbieter, dass alle Daten in einem deutschen Rechenzentrum mit strengen Sicherheitsvorkehrungen gespeichert werden.

Trotz dieser Versicherungen konnten Mitglieder des Chaos Computer Clubs zwei Wochen lang auf Daten von fast einer Million Patienten zugreifen. Nach der Meldung der Schwachstelle durch den CCC reagierte Dubidoc sofort. Dennoch verdeutlicht dieser Vorfall die potenziellen Risiken der fortschreitenden Digitalisierung im Gesundheitswesen.

Dubidoc – Ein Lösungsansatz mit Risiken

Dubidoc löst ein verbreitetes Problem: Lange Wartezeiten am Telefon in überfüllten Praxen sollen durch die Online-Terminvergabe vermieden werden. Doch dieser Fortschritt birgt auch Risiken. Laut einer Bitkom-Umfrage haben bereits 27 Prozent der Deutschen einen Arzttermin über Onlineplattformen wie Dubidoc gebucht, wobei sie sensible Informationen hinterlassen.

Die CCC-Hacker konnten auf verschiedene Arten auf Dubidoc-Arzttermine zugreifen. Ein „menschlicher Fehler bei Wartungsarbeiten“ ermöglichte es Unbefugten, die Zugangsdaten von 324 Praxismitarbeitern auszulesen. Über das Nutzerkonto einer Ärztin erlangten die Hacker Zugriff auf Patientendaten, darunter Name, Geburtsdatum, Geschlecht, Telefonnummer, E-Mail-Adresse, Terminart, -dauer und der behandelnde Arzt. Sie konnten sogar auf ein E-Mail-Postfach zugreifen und hatten Einblick in eine Datenbank mit 3,3 Millionen Kalendereinträgen und rund 960.000 Patientendatensätzen.

Reaktion und Einschätzung

Matthias Marx, Sprecher des CCC, bezeichnet die Speicherung von Gesundheitsdaten als „verantwortungslos“ und sieht darin einen ethischen Verstoß. Er hebt hervor, dass Mindestanforderungen für den Einsatz digitaler Technologien ignoriert wurden. Dieses Datenleck sei exemplarisch für die geplante Digitalisierung des Gesundheitswesens in Deutschland.

Dubidoc gibt zu, dass ein „temporärer unbefugter Zugriff möglich war“, betont jedoch, dass es sich um ein „Subsystem auf einem separaten Server“ handle. Der Hauptsystem sei zu keinem Zeitpunkt verwundbar gewesen. Eine Überprüfung des Systems habe bisher keinen Hinweis auf Missbrauch der Daten ergeben, jedoch könne dies nicht endgültig ausgeschlossen werden.

Der Vorfall bei Dubidoc verdeutlicht die Notwendigkeit für Unternehmen im Gesundheitssektor, höchste Standards in Bezug auf Datensicherheit, Datenschutz und Transparenz zu gewährleisten, um die sensiblen Informationen ihrer Patienten zu schützen.

Der Chaos Computer Club (CCC) feiert sein 42-jähriges Bestehen und lädt Künstler*innen dazu ein, durch ihre kreative Darstellung chaotischer Utopien das Jubiläum zu bereichern. Der Fokus liegt dabei auf Ideen und Visionen, die sich mit der Zukunft, den Wegen des Clubs und der Gesellschaft auseinandersetzen.

Das Chaos, als treibende Kraft für Veränderung und Bewegung, ist reich an Energie. In der heutigen Zeit gibt es mehr Herausforderungen als je zuvor. Daher möchte der CCC die künstlerische Umsetzung von positiven Zukunftsvisionen fördern, um die angestrebten Ziele greifbarer zu machen.

Mit Stipendien sollen Künstler*innen dabei unterstützt werden, ihre Utopien in verschiedenen Formaten wie Videos, Bilder, Texte, Comics und Spielen zu präsentieren. Die entstandenen Kunstwerke werden im Rahmen einer Vernissage auf dem 38C3 präsentiert und zusätzlich digital ausgestellt, um einem breiten Publikum Zugang zu ermöglichen.

Alle Künstler*innen, etabliert oder aufstrebend, sind aufgerufen, ihre Vorstellungen vom Chaos und seinem positiven Einfluss auf Gesellschaft, Politik und die Technikwelt einzureichen. Der CCC freut sich auf vielfältige Utopien.

Die Bewerbungsfrist für die Stipendien, die zwischen 420€ und 4200€ liegen, endet am 29.02. Interessierte finden alle Details zum „Call for Stories“ auf der offiziellen Webseite: 42.ccc.de. Nutzen Sie die Gelegenheit, Ihre künstlerische Vision zu präsentieren und Teil der Jubiläumsfeierlichkeiten des Chaos Computer Clubs zu werden.

Die Auseinandersetzung zwischen Sicherheitsbehörden und Fußballfans über die Speicherung von Fan-Daten in Polizeidateien geht weiter. Unsere Recherche zeigt, dass nicht nur die umstrittene Datei „Gewalttäter Sport“ (GTS) schrumpft, sondern auch sogenannte Szene-kundige Beamte (SKB)-Dateien kleiner werden. Allerdings wirft eine Aussage aus Hessen die Frage auf, ob es eine neue Bund-Länder-Datei geben könnte, was für Fanvertreter:innen einen möglichen „weiteren Skandal“ bedeuten könnte.

Die GTS-Datei, die seit 1994 existiert und Fußballfans speichert, steht schon lange in der Kritik. Kritiker bemängeln, dass nicht nur verurteilte Gewalttäter:innen, sondern auch Personen mit laufenden Ermittlungsverfahren oder sogar bei einer einfachen Personalienfeststellung in der Datei landen können. Die gespeicherten Daten reichen von E-Mail-Adressen bis zu persönlichen Merkmalen wie Schuhgröße und Tattoos.

Die Bundesregierung hatte im Koalitionsvertrag Reformen für die GTS-Datei versprochen, doch diese sind aufgrund der bevorstehenden Europameisterschaft 2024 vorerst ausgesetzt. Die Fußball-EM bietet laut dem Bundesinnenministerium die Gelegenheit, Verfahren und Prozesse zu evaluieren und zu optimieren.

Obwohl die GTS-Datei in den letzten Jahren geschrumpft ist und Ende 2023 nur noch 5.613 Menschen erfasst waren (im Vergleich zu über 13.000 Personen im Jahr 2011), fordern Fanhilfen weiterhin die Abschaffung der Datei, da sie als „nicht datenschutzkonform“ und als Eingriff in die Privatsphäre der Fans betrachtet wird.

Neben der GTS-Datei sorgen auch die SKB-Dateien, die von vielen Bundesländern geführt werden, für Kontroversen. Diese Dateien, die von Szene-kundigen Beamten verwaltet werden, enthalten oft mehr Daten als die GTS-Datei und speichern Informationen wie Spitznamen, Treffpunkte und Reiserouten von Fußballfans. Trotz Kritik sind auch die SKB-Dateien geschrumpft, doch eine Aussage aus Hessen deutet darauf hin, dass eine neue Bund-Länder-Datei im Aufbau sein könnte.

Die Ungewissheit über eine mögliche neue Datei belastet das ohnehin angespannte Verhältnis zwischen Fanszenen und Sicherheitsbehörden. Vor der Europameisterschaft häuften sich gewaltsame Zusammenstöße, und die bevorstehende Großveranstaltung könnte zu weiteren Spannungen führen. Die Fanhilfen fordern Transparenz über bestehende Dateien und eine klare Offenlegung von Polizei und Innenministerien, während die Fans befürchten, dass eine neue Datei noch mehr Daten sammeln und Raum für Polizeiwillkür gegen Fußballfans schaffen könnte.

Bayerns Digitalminister Fabian Mehring von den Freien Wählern hat eine klare Vision: Er möchte Faxgeräte aus der öffentlichen Verwaltung verbannen und Bayern zum ersten faxfreien Bundesland machen. Obwohl der Plan aufgrund von Kontroversen mit dem Koalitionspartner CSU auf Skepsis stieß, wird Mehrings Vorhaben nun konkreter.

Mehring betont, dass Faxgeräte als rückständig gelten und setzt sich das Ziel, die Anzahl der Faxgeräte in bayerischen Behörden bereits in diesem Jahr drastisch zu reduzieren. Bis zur Mitte der Legislaturperiode soll dann eine weitgehende Volldigitalisierung der internen Verwaltungskommunikation erreicht werden. Ein grober Zeitplan hierfür wird derzeit erarbeitet und in den kommenden Wochen dem Kabinett vorgelegt.

Allerdings gibt es Bedenken, ob die CSU den Plan unterstützen wird. Finanzminister Albert Füracker betont, dass es immer noch Menschen im Freistaat gibt, die das Fax als bevorzugtes Kommunikationsmittel nutzen. Er argumentiert, dass Behörden für jeden erreichbar sein müssen, was auch den Bürgerservice betrifft.

Die Abschaffung der Fax-Kommunikation wird nicht überall reibungslos vonstatten gehen. Die Behörden werden weiterhin per Fax erreichbar sein, und die Herausforderungen bei der Umstellung müssen berücksichtigt werden.

Aktuell stehen in bayerischen Ämtern etwa 3.766 reine Faxgeräte (ohne Multifunktionsgeräte) – eine Information, die im März 2023 durch eine parlamentarische Anfrage der Grünen bekannt wurde. Die Staatsregierung betonte damals, dass Faxgeräte weiterhin für Personen mit diesem bevorzugten Kommunikationsmittel vorgehalten werden.

Mehring bekräftigt, dass Bürgerinnen und Bürger weiterhin Faxe an Behörden senden können, jedoch müssen diese als Computerfax angenommen und medienbruchfrei digital weiterverarbeitet werden. Die Vision des Digitalministers ist es, Bayerns Behördenkommunikation vollständig zu digitalisieren und sich von der „Technik des letzten Jahrhunderts“ zu verabschieden.

Auch in der bayerischen Justiz gibt es Fortschritte in Bezug auf die E-Akte, aber Telefaxe sind aufgrund rechtlicher Verpflichtungen noch erforderlich. Die interne Kommunikation soll jedoch auch hier langfristig digitalisiert werden.

In einer gemeinsamen Aktion von Sicherheitsbehörden in Deutschland und den USA wurde ein weltweites Spionagenetz der Hackergruppe ATP 28 eliminiert. Die Gruppe, im Auftrag des russischen Militärgeheimdiensts (GRU) handelnd, spähte offenbar Regierungen, Militär, Behörden und Konzerne aus, auch in Deutschland.

Die Operation, von den USA geleitet und von deutschen Sicherheitsbehörden unterstützt, führte zur Abschaltung eines russischen Computer-Spionagenetzes. Die Hackergruppe APT 28 hatte im Auftrag des GRU Schadsoftware auf Hunderten von kleinen Routern in Büros und privaten Haushalten installiert.

Das geschaffene Netz wurde als globale Cyberspionage-Plattform genutzt. Bundesinnenministerin Nancy Faeser (SPD) betonte, dass das Vorgehen zeige, wie ernst die Bedrohungslage durch russische Cyberangriffe sei und wie man sich dagegen wappne. Die betroffenen Geräte können nun nicht mehr für Cyberspionage-Operationen missbraucht werden.

Die Hackergruppe APT 28 ist seit mindestens 2004 weltweit aktiv und zählt zu den aktivsten und gefährlichsten Cyberakteuren. Das Bundesamt für Verfassungsschutz ordnet sie dem russischen Militärnachrichtendienst GRU zu. Die Hacker attackierten Router mit der Schadsoftware, die öffentlich bekannte Standard-Administrator-Passwörter verwendeten.

In den letzten zwei Jahren nutzte die Gruppe internationale Infrastruktur für Angriffe auf deutsche Ziele. Dabei lag der Fokus auf Informationen über die politisch-strategische Ausrichtung Deutschlands im Zusammenhang mit Russland und Unterstützungslieferungen militärischer Güter für die Ukraine. Auch Ziele in anderen EU- und NATO-Staaten wurden angegriffen. Die Spionageaktivitäten richteten sich gegen Regierungen, Militär, Sicherheitsbehörden und Konzerne in den USA und weiteren Staaten.

Laut FBI wandten sich russische Geheimdienste an kriminelle Banden, um ihnen bei den Angriffen zu helfen. Die betroffenen Geräte waren höchstwahrscheinlich nicht das eigentliche Ziel der Angriffe, sondern wurden zur Verschleierung der Angriffsstruktur verwendet.

Erneut hat der Chaos Computer Club (CCC) eine Sicherheitslücke in einer Terminservice-Software aufgedeckt. Diesmal betraf es den Anbieter Dubidoc, hinter dem das Start-up Takuta GmbH steht. Die entdeckte Lücke ermöglichte den Zugriff auf etwa eine Million Patientendatensätze.

Laut Daniel Strunk, Sprecher der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), hat Takuta die Sicherheitslücke mittlerweile geschlossen und „Maßnahmen ergriffen, um eine Wiederholung eines solchen Vorfalls zu verhindern“. Das Unternehmen hat seine Kunden über das Datenleck informiert.

Die öffentlich zugänglichen Daten, zu denen E-Mail-Adressen, Passwörter, Telefonnummern, Vor- und Nachname, Geschlecht, Geburtsdatum, Angaben zu Verwandten und Termindaten gehören, waren über den Profiler des PHP-Frameworks „Symfony“ einsehbar. Dabei waren Debug-Informationen sichtbar, die Benutzername und Passwort für die Datenbank enthielten – ein schwerwiegender Fehler in einer Live-Umgebung.

Die Datenbank war zusätzlich über das Internet erreichbar. Die Aussage des Unternehmens, dass der freie Datenbank-Zugriff nicht eingeschränkt werden könne, da die Applikation auf einem Managed Server bei einem „renommierten Provider“ gehostet sei, wird vom CCC als inakzeptable Ausrede kommentiert.

Es ist noch unklar, ob außer dem CCC weitere Dritte auf die Daten zugegriffen haben. Eine offizielle Stellungnahme von Takuta zu den ergriffenen Maßnahmen steht noch aus. In der Vergangenheit wurden immer wieder Sicherheitslücken bei Start-ups im Gesundheitswesen aufgedeckt. Diese Vorfälle verdeutlichen die Notwendigkeit erhöhter Sicherheitsstandards in digitalen Gesundheitsanwendungen.

Am 17. Februar tritt der Digital Services Act (Digitale-Dienste-Gesetz) der EU vollständig in Kraft. Bereits seit dem letzten Jahr gelten Regeln für „sehr große“ Online-Plattformen und Suchmaschinen, nun werden auch für kleinere Anbieter neue Pflichten wirksam. Hier ist ein Überblick über die wesentlichen Änderungen.

Illegale Inhalte leichter melden

Nutzer:innen sollen es künftig leichter haben, mutmaßlich illegale Inhalte bei Plattformen und Hostingdiensteanbietern zu melden. Die Betreiber müssen eine „leicht zugängliche und benutzerfreundliche“ elektronische Übermittlung anbieten. Personen, die eine Meldung erstatten, müssen über das Ergebnis informiert werden. Auch die von möglicher Löschung oder Sperrung Betroffenen sollen benachrichtigt werden, inklusive einer Begründung und Informationen zur möglichen Anfechtung.

Wenn ein Anbieter einschätzt, dass es sich bei einem Inhalt wahrscheinlich um eine Straftat handelt, muss er die entsprechenden Behörden im jeweiligen EU-Land benachrichtigen. In Deutschland wird das Bundeskriminalamt als zentrale Meldestelle fungieren.

Mehr Berichts- und Transparenzpflichten

Die strengsten Auflagen gelten für „sehr große“ Online-Plattformen und Suchmaschinen. Sie müssen halbjährliche Transparenzberichte veröffentlichen, die Einblick in die Arbeitsweise ihrer Moderationsteams geben. Das beinhaltet Details zu gelöschten Inhalten und den Gründen dafür. Zudem müssen sie ihre Dienste jährlich auf systemische Risiken hin untersuchen, beispielsweise auf massenhafte Desinformation bei Wahlen.

Auch kleinere Anbieter müssen regelmäßig Transparenzberichte veröffentlichen, jedoch nur einmal im Jahr. Alle Online-Dienste, mit Ausnahme von Klein- und Kleinstunternehmen, müssen halbjährlich die Anzahl ihrer monatlichen Nutzer in der EU veröffentlichen. Eine neue DSA-Transparenzdatenbank soll alle Moderationsentscheidungen mit Begründung ohne große Verzögerung sammeln.

Weniger manipulatives Design

Der DSA verbietet „Dark Patterns“, also Design-Muster, die Nutzende zu einer bestimmten Handlung verleiten oder abhalten sollen. Das schließt beispielsweise das Hervorheben bestimmter Auswahlmöglichkeiten ein. Das Verbot beinhaltet jedoch Ausnahmen, wie für das weitverbreitete, manipulative Cookie-Banner-Design, das bereits in anderen Gesetzen geregelt ist.

Strenger regulierte Online-Werbung

Plattformen müssen Online-Werbung klar als solche kennzeichnen und zusätzlich Angaben darüber machen, wer für die Werbung bezahlt hat und nach welchen Kriterien eine bestimmte Anzeige ausgespielt wurde. Werbung, die aufgrund sensibler Kriterien ausgewählt wird, wie Gesundheitsinformationen, politische Überzeugungen oder sexuelle Orientierung, ist verboten. Persönliche Daten Minderjähriger dürfen nicht mehr für gezielte Werbung verarbeitet werden.

Zentrale Koordinierung für Beschwerden

Der DSA sieht eine zentrale Beschwerdestelle in jedem EU-Mitgliedstaat vor, den sogenannten Digital Services Coordinator. An diese Stelle können sich Nutzende wenden, wenn ein Online-Dienst die Regeln nicht einhält. Deutschland hat das Digitale-Dienste-Gesetz noch nicht verabschiedet, aber eine neue Abteilung in der Bundesnetzagentur wird vorübergehend diese Funktion übernehmen. Die Koordinierungsstelle entscheidet, wie Beschwerden weitergeleitet werden, je nachdem, ob der Anbieter in Deutschland oder einem anderen Land ansässig ist.

Strafen und Befugnisse

Die Koordinierungsstelle erhält weitreichende Ermittlungsbefugnisse, einschließlich Durchsuchung von Geschäftsräumlichkeiten, Vernehmung von Zeug:innen und Beschlagnahmung von Beweismitteln. Sie kann Zwangsgelder und Geldbußen verhängen, wenn Rechtsbrüche festgestellt werden. Zusätzlich zu ihrer Aufsichtsfunktion beurteilt die Koordinierungsstelle Forschungsaufträge auf Datenzugang bei Online-Diensten, akkreditiert außergerichtliche Streitbeilegungsstellen und genehmigt vertrauenswürdige Hinweisgeber.

Ein Beirat, bestehend aus Vertreter:innen der Wissenschaft, Wirtschaft und Zivilgesellschaft, soll zusätzlichen Input liefern. Dieser Beirat soll aus 16 Mitgliedern bestehen, wobei die Zivilgesellschaft acht Vertreter:innen umfasst, einschließlich Verbraucherverbänden.

Noch ein weiter Weg

Obwohl die neuen Regeln am 17. Februar in Kraft treten, wird ihre tatsächliche Wirksamkeit erst in den kommenden Monaten deutlich werden. Bereits bestehende Vorschriften für sehr große Anbieter werden nicht in vollem Umfang umgesetzt. Die Aufsichtsbehörden stehen vor der Herausforderung, die neuen Regeln zu überprüfen und durchzusetzen. Nutzende können dabei helfen, Verstöße zu melden, um die Wirksamkeit der Regelungen zu gewährleisten.

Einem Bericht des „Spiegel“ zufolge hat ein Hacker eine Sicherheitslücke bei der Online-Nutzung des deutschen Personalausweises aufgedeckt. Mithilfe einer eigenen App gelang es ihm, Login-Daten für die sogenannte eID-Funktion abzugreifen, die digitale Behördengänge ermöglicht. Diese Erkenntnis wirft ein Schlaglicht auf potenzielle Schwachstellen in einem System, das von Millionen von Personen genutzt wird.

Die eID-Funktion ist bei mehr als 50 Millionen Personalausweisbesitzer:innen aktiviert und wird auch zur Identifizierung bei Banken verwendet. Der Hacker, der unter dem Pseudonym „CtrlAlt“ bekannt ist, konnte laut dem Bericht des „Spiegel“ mithilfe seines Tricks unter fremdem Namen ein Konto bei einer großen deutschen Bank eröffnen.

Das Chaos Computer Club bestätigt, dass der Hacker eine kritische Schwachstelle im eID-Verfahren auf mobilen Geräten aufgezeigt hat. Diese Schwachstelle eröffnet ein realistisches Angriffsszenario, das verhindert werden muss, um die Sicherheit der Nutzer:innen zu gewährleisten.

Nach Angaben des „Spiegel“ informierte der Hacker bereits Ende Dezember das Bundesamt für Sicherheit in der Informationstechnik (BSI) über seine Erkenntnisse. Obwohl das BSI keine Hinweise auf konkrete Angriffe vorliegen hat, wird eine Anpassung des Systems geprüft. Es wird jedoch betont, dass es sich nicht um einen direkten Angriff auf das eID-System handelt, sondern auf die Endgeräte der Nutzer:innen.

Diese Sicherheitslücke verdeutlicht die Notwendigkeit fortlaufender Überprüfungen und Verbesserungen in digitalen Identifikationssystemen, um die Integrität und Sicherheit der persönlichen Daten zu gewährleisten.

Zum Paper: