12. Juli 2026
Es gibt Sicherheitsvorfälle, die man mit Sorge liest, und solche, die man mit Popcorn liest. „Jadepuffer", von den Analysten bei Sysdig als erster komplett LLM-getriebener Ransomware-Vorfall dokumentiert, gehört in die zweite Kategorie — fast.
Erst die Slapstick-Bilanz, sie ist es wert. Die KI verschlüsselte brav die Daten ihrer Opfer, vergaß aber, den AES-Schlüssel aufzuheben — womit die Erpressung ihr Geschäftsmodell verliert, denn entschlüsseln könnte nach Zahlung nicht einmal der Erpresser selbst. Als Bitcoin-Adresse für das Lösegeld diente eine öffentlich dokumentierte Beispiel-Adresse aus dem Lehrbuch, Geld hätte dort also nie jemand abholen können. Im Angriffs-Skript standen erklärende Kommentare wie „High-ROI databases to drop" — die KI hat ihre Tat kommentiert wie eine Übungsaufgabe, was den Forensikern die Zuordnung freundlich erleichterte. Und der Einstieg ins System? Ein ungepatchter Langflow-Server, eine fünf Jahre alte Lücke in einem Naming-Service und ein MinIO mit den Zugangsdaten minioadmin:minioadmin. Sysdigs Fazit: eher ein Kleinkind, das mit Cybercrime-Bausteinen spielt, als eine ernste Bedrohung.
Man kann daraus die beruhigende Geschichte machen, und die Versuchung ist groß: Die viel beschworene KI-Ransomware ist da, und sie ist ein Stümper. Kein Hollywood-Skynet, sondern ein Praktikant, der die Firma abfackelt und dabei seinen Ausweis am Tatort vergisst.
Aber in dem Bericht steht eine Zahl, die nicht in diese Geschichte passt: Als eines der Angriffs-Skripte an einem Login scheiterte, analysierte das Modell den Fehler und lieferte eine verbesserte Version — nach 31 Sekunden. Ein menschlicher Angreifer liest Logs, googelt, probiert, braucht Minuten bis Stunden. Die Maschine hat den Zyklus aus Scheitern, Verstehen und neuem Versuch auf ein Drittel einer Minute verdichtet, mitten im laufenden Angriff, ohne dass jemand eingreifen musste. Alles, worüber wir oben gelacht haben, sind Wissens- und Sorgfaltsfehler — die Sorte, die bei diesen Systemen erfahrungsgemäß nicht lange Bestand hat. Das Tempo dagegen ist strukturell. Es wird nicht schlechter werden.
Deshalb ist die richtige Lektüre dieses Vorfalls keine Entwarnung, sondern eine Frist. Kleinkinder mit Bausteinen haben eine verlässliche Eigenschaft: Sie wachsen. Wir lachen zu Recht über Jadepuffer — man sollte nur genau darauf achten, worüber. Über die Fehler, gern. Über die 31 Sekunden lacht besser niemand.
Quelle: heise online — Jadepuffer: Die erste KI-Ransomware-Attacke; Sysdig
▸ KI & Macht · ▸ Security
[l] Permalink
11. Juli 2026
Als hier Ende Juni der Beitrag über den 0-Day-Massendrop stand, gab es eine persönliche Fußnote: Unter den frisch gemeldeten Lücken war eine in Gitea, und weil ich selbst eine Gitea-Instanz betreibe, habe ich noch am selben Abend geprüft und gehärtet. Jetzt liefert die Geschichte ihren zweiten Akt, und der ist ein Lehrstück in Echtzeit.
Die Lücke, CVE-2026-20896, ist von der unangenehmen Sorte: CVSS 9.8, und der Angriff ist beleidigend simpel. Die offiziellen Docker-Images vor Version 1.26.3 nehmen den Header X-WEBAUTH-USER von jeder beliebigen Quell-IP entgegen — ein Mechanismus, der eigentlich für vorgeschaltete Auth-Proxys gedacht ist und dem nur der Proxy schreiben dürfte. Fehlt die Absicherung, genügt ein einziger HTTP-Header, um sich als beliebiger existierender Nutzer auszugeben. Kein Passwort, kein Token, kein Exploit-Kit: ein Header. Dahinter liegt dann alles, wofür man eine Code-Schmiede betreibt — private Repositories, versehentlich committete API-Schlüssel, CI/CD-Konfiguration, Deploy-Keys.
Seit dieser Woche ist das kein theoretisches Risiko mehr: Sysdig hat die ersten Angriffe in freier Wildbahn gemessen, dreizehn Tage nach der Veröffentlichung des Advisories, Ausgangspunkt ein VPN-Exit-Node. Rund 6.200 Gitea-Instanzen sind offen aus dem Internet erreichbar; wie viele davon verwundbar sind, weiß niemand genau — die Angreifer sind gerade dabei, es herauszufinden. Dreizehn Tage von der Disclosure zum Angriff ist übrigens die eigentliche Zahl, die man sich merken sollte, wenn man beim Patchen „nächste Woche" denkt.
Zum Werkstatt-Teil, denn der ist der Grund für diesen Beitrag. Meine Instanz war nach außen nicht erreichbar — dachte ich. Geglaubt habe ich es aber erst, nachdem ich es von außen probiert hatte: Verbindungsversuch von einer fremden Adresse, Ergebnis „connection refused", erst das zählt. Eine Firewall-Regel, die man im Config-File liest, ist eine Absichtserklärung; ein abgewiesener Verbindungsversuch ist ein Befund. Zusätzlich habe ich den Dienst, der vorher brav auf allen Interfaces lauschte, an die interne Adresse gebunden — dass etwas hinter NAT liegt, ist kein Grund, es breitbeinig dastehen zu lassen. Und diese Woche folgte der letzte Schritt, das Update auf die abgesicherte Version, mit Datenbank-Dump vorweg, denn ein Upgrade ohne Backup ist nur ein Absturz mit Anlauf.
Falls Sie selbst Gitea oder Forgejo im Docker betreiben: Version prüfen, vor 1.26.3 sofort aktualisieren, und danach von außen testen, was von außen geht — nicht in der Config nachlesen, was gehen sollte. Die Angreifer machen gerade genau diesen Test, flächendeckend. Es ist besser, man kommt ihnen zuvor. Der Wettlauf läuft seit dreizehn Tagen.
Quelle: SecurityWeek — Critical Gitea Flaw Under Active Exploitation; Sysdig
▸ Security · ▸ Werkstatt
[l] Permalink
10. Juli 2026
Im Juni endete hier ein Beitrag mit der These, die Chatkontrolle sterbe nicht, sie werde umetikettiert: Der Zwang sei abgewehrt, aber das „freiwillige" Scannen werde verstetigt. Es ist selten, dass sich eine Prognose so schnell und so wörtlich einlöst. Genau das passiert gerade.
Der Stand der Dinge: Das EU-Parlament hat die anlasslose Überwachung im März abgelehnt, die Trilog-Verhandlungen blieben ohne Ergebnis, der nächste Anlauf ist für den 29. September angesetzt. Eigentlich eine Pattsituation. Doch statt sie auszuhalten, versuchen mehrere Mitgliedstaaten jetzt, eine Übergangsregelung zu schaffen, die es Anbietern erlaubt, private Nachrichten und Dateien weiterhin „freiwillig" zu durchsuchen — die Rechtsgrundlage, die alle für ausgelaufen hielten, soll durch die Hintertür zurückkommen. Und wer drängt vorneweg? Deutschland. Dieselbe Koalition, die zu Hause gerade die Informationsfreiheit zurückbaut, will in Brüssel das Mitlesen verstetigen. Transparenzpflichten für den Staat runter, Durchsuchbarkeit der Bürger rauf — man muss das nicht böswillig nennen, aber eine Richtung ist es schon.
Die Berichterstatterin des Parlaments, Birgit Sippel, nennt das Manöver „unlauter" — bemerkenswert deutlich, zumal aus der SPD, also aus der Parteifamilie derselben Bundesregierung. Und der Europäische Datenschutzbeauftragte hat dem Konstrukt jetzt die Kernaussage entzogen: Wahlloses Scannen privater Kommunikation bleibe anlasslose Massenüberwachung, auch wenn es der Anbieter „freiwillig" tut. Das ist der Punkt, den das Wort so geschickt vernebelt. Freiwillig ist an dieser Chatkontrolle genau eine Partei — der Konzern. Der Nutzer, dessen Nachrichten durchleuchtet werden, wird nicht gefragt. „Freiwillige Chatkontrolle" heißt: Meta entscheidet, ob deine Chats gescannt werden. Das als Freiheit zu verkaufen, ist schon sprachlich eine Leistung.
Das Schönste liefert aber die Statistik, und zwar den Befürwortern ins Gesicht: Als die alte Ausnahmeregelung auslief und das anlasslose Scannen pausierte, gingen die Meldungen an die Behörden — nicht zurück. Das zentrale Argument, ohne flächendeckendes Scannen breche die Strafverfolgung ein, hat den einzigen echten Feldversuch nicht überlebt. Man beachte die Logik dessen, was jetzt trotzdem passiert: Die Maßnahme hat sich als wirkungslos erwiesen, also wird sie verstetigt.
Am 29. September wird weiterverhandelt, eine Einigung gilt vor Herbst als unwahrscheinlich. Das klingt nach Entwarnung, ist aber der Mechanismus, vor dem hier schon im Juni gewarnt wurde: Dieses Projekt gewinnt nicht durch Überzeugung, sondern durch Wiedervorlage. Es muss nur einmal durchkommen. Die Gegenseite muss jedes Mal gewinnen.
Quelle: ComputerBase — EU-Staaten halten an anlassloser Überwachung fest; netzpolitik.org — EDPS gegen wahlloses Scannen
▸ Überwachung & Bürgerrechte · ▸ Recht & Regulierung
[l] Permalink
9. Juli 2026
Zwei Beiträge zum Informationsfreiheitsgesetz standen hier in den letzten Tagen: einer über die Pläne der Koalition, die Beweislast umzudrehen, und einer über die Frage eines Lesers, ob die Verfassung das nicht verbietet. Die ernüchternde Antwort damals: Sie verbietet es nicht. Die Transparenz ist keine Mauer, sie ist eine Tür, und was eine einfache Mehrheit gegeben hat, kann eine einfache Mehrheit nehmen. Der Beitrag endete mit dem Satz, gerade greife jemand nach der Klinke.
Das Update: Die Tür bekommt Türsteher. Über 100 Organisationen haben einen offenen Brief gegen die Pläne unterzeichnet, und die Liste ist bemerkenswerter als die Zahl. Da stehen nicht nur die Üblichen — FragDenStaat, der CCC, Reporter ohne Grenzen —, sondern Amnesty neben dem NABU, Wikimedia neben Greenpeace, die Journalistengewerkschaften neben der taz. Wenn Vogelschützer und Enzyklopädisten gemeinsam für ein Verwaltungsgesetz auf die Barrikaden gehen, dann ist das kein Nischenthema der Netzszene mehr. Dann hat es sich herumgesprochen, dass hier ein Werkzeug wegsoll, das alle benutzen.
Dazu eine Petition mit inzwischen 370.000 Unterschriften — adressiert nicht an die Regierung, sondern gezielt an die SPD-Fraktion. Das ist taktisch klug und in der Sache entlarvend zugleich: Die Pläne brauchen eine einfache Mehrheit, und die gibt es nur, wenn beide Regierungsfraktionen sie tragen. Die SPD hat Transparenz im Koalitionsvertrag stehen. Die Petition fragt also im Kern nichts anderes als: Gilt das noch?
Der schärfste Ton kommt allerdings von amtlicher Stelle. Die Informationsfreiheitsbeauftragten von Bund und Ländern — die Aufsicht, nicht die Aktivisten — erklären gemeinsam, Informationsfreiheit sei „keine lästige Pflicht der Verwaltung, sondern eine historische Errungenschaft". Und sie sagen dazu, was von der offiziellen Begründung zu halten ist: Die Sicherheitsargumente seien vorgeschoben. Das ist, aus dem Beamtendeutsch übersetzt, der Vorwurf, die Regierung nenne den wahren Grund nicht. Der wahre Grund ist der bequemste von allen: Wer nicht gefragt werden kann, muss nicht antworten.
Ob das reicht, ist offen. Offene Briefe haben noch kein Gesetz gestoppt, Petitionen selten. Aber der Mechanismus, auf den es ankommt, ist ein anderer: Die Pläne leben davon, als „Bürokratierückbau" durchzulaufen — als technische Aufräumarbeit, die niemand bemerkt. Diese Deckung ist jetzt weg. Wer die Tür zumacht, tut es vor Publikum.
Quelle: netzpolitik.org — Widerstand gegen Beseitigung der Informationsfreiheit; CCC
▸ Überwachung & Bürgerrechte · ▸ Heuchelei & Machtmissbrauch
[l] Permalink
6. Juli 2026
Zu meinem Beitrag über die IFG-Pläne schreibt mir ein Leser einen Gedanken, der zu gut ist, um ihn im privaten Chat zu lassen. Ich beantworte ihn deshalb hier — anonym, aber wörtlich in der Sache:
Könnte man nicht auf Grundlage von Art. 20 Abs. 2 Satz 1 GG argumentieren, dass die Bevölkerung ein immanentes verfassungsmäßiges Recht auf ausnahmslos alle Informationen und Daten hat, die egal welche staatliche Stelle erhebt oder erzeugt? Ausnahmen für die äußere Sicherheit und den Schutz von Persönlichkeitsrechten in mäßigem Rahmen. Aber eigentlich verstößt das Konzept des „Amtsgeheimnisses“ doch gegen unsere Verfassung. Oder ist mein Gedanke so abwegig?
Nein, abwegig ist er nicht. Er landet mitten in einer echten, seit Jahren geführten Debatte — und er zeigt in die richtige Richtung. Nur ist die ehrliche Antwort unbequemer, als sie klingt, und sie hat zwei Hälften, die man auseinanderhalten muss: die Richtung stimmt, der Rechtszustand ist ein anderer.
Fangen wir mit der Norm an. „Alle Staatsgewalt geht vom Volke aus“ ist der Satz der Volkssouveränität, das Fundament der Demokratie. Aus ihm folgt zwingend, dass der Staat dem Volk Rechenschaft schuldet, und Rechenschaft ohne Einblick ist eine leere Geste. Das Bundesverfassungsgericht kennt diesen Zusammenhang: Demokratie lebt von Öffentlichkeit, von einer Bürgerschaft, die informiert genug ist, um zu urteilen und zu wählen. So weit trägt der Gedanke. Er ist der normative Boden, auf dem das Informationsfreiheitsgesetz überhaupt steht.
Der Sprung, der nicht hält, ist der von „der Staat schuldet Rechenschaft“ zu „jeder Bürger hat ein einklagbares Verfassungsrecht auf ausnahmslos jede Datei“. Diesen Sprung macht das geltende Recht nicht mit. Das Grundgesetz hat sogar eine eigene Norm für Information — Art. 5 Abs. 1: das Recht, sich „aus allgemein zugänglichen Quellen“ zu unterrichten. Klingt nach genau dem, was der Leser will. Ist es aber nicht: Das Verfassungsgericht liest die Norm eng. Sie schützt den Zugang zu Quellen, die schon offen sind — nicht das Recht, eine geschlossene Quelle aufzustoßen. Und ob eine Behördenakte eine „allgemein zugängliche Quelle“ ist, entscheidet das einfache Gesetz. Also genau jenes IFG, das gerade umgebaut werden soll. Die Verfassung reicht die Frage an den Gesetzgeber weiter, statt sie selbst zu beantworten.
Dazu kommt, dass das Grundgesetz Geheimnis nicht nur duldet, sondern an mehreren Stellen voraussetzt. Es kennt einen „Kernbereich exekutiver Eigenverantwortung“ — einen geschützten Raum, in dem eine Regierung beraten und ringen kann, ohne dass jeder Zwischenstand sofort auf dem Tisch liegt; das Verfassungsgericht hat ihn selbst gegen die Aufklärungsrechte von Untersuchungsausschüssen verteidigt. Es kennt das Staatswohl, das Brief- und Fernmeldegeheimnis, den Schutz laufender Verfahren. „Das Amtsgeheimnis“ als solches ist deshalb nicht verfassungswidrig. Ein blindes, zweckloses Zumauern wäre in Spannung zur demokratischen Öffentlichkeit — aber die Kategorie Geheimnis ist verfassungsfest, nicht verfassungswidrig. Die beiden Ausnahmen, die der Leser selbst einräumt — äußere Sicherheit und Persönlichkeitsrechte — sind ja bereits das Eingeständnis, dass es nie „ausnahmslos alle Daten“ heißen kann. Und die zweite dieser Ausnahmen hat sogar Verfassungsrang aus der Gegenrichtung: Das Recht auf informationelle Selbstbestimmung schützt die Daten des Bürgers vor dem Staat. Wo der eine „alles offenlegen“ ruft, ruft der Nächste zu Recht „aber nicht meins“.
Und jetzt der Teil, der die Frage tatsächlich beantwortet — durch die Hintertür. Wenn Art. 20 Abs. 2 dem Volk wirklich ein unmittelbares Recht auf alle staatlichen Informationen gäbe, dann wäre die geplante IFG-Verschärfung schlicht verfassungswidrig. Dann könnte FragDenStaat nach Karlsruhe ziehen und das Gesetz kippen lassen. Dass das realistisch nicht geht, dass die Koalition das Auskunftsrecht mit einfacher Mehrheit zusammenstreichen kann, ohne die Verfassung anzufassen — das ist der Beweis, dass es dieses Recht in der erhofften Härte nicht gibt. Die Offenheit steht nicht in der Verfassung. Sie steht in einem einfachen Gesetz. Und was ein einfaches Gesetz gibt, kann eine einfache Mehrheit nehmen.
Damit schließt sich der Kreis zum ursprünglichen Beitrag. Der Leser hat mit seinem Instinkt recht: Die Beweislast sollte bei der Macht liegen, das ist die demokratie-nähere Grundstellung, und sie hat einen verfassungsrechtlichen Widerhall im Demokratieprinzip. Aber sie ist eben nur ein Widerhall, keine Mauer. Das IFG hat diese richtige Richtung 2006 in geltendes Recht gegossen — freiwillig, nicht weil die Verfassung es erzwungen hätte. Genau deshalb ist die Rücknahme so gefährlich. Nicht weil sie ein Grundrecht bricht — dann wäre die Sache einfach, dann übernähme Karlsruhe. Sondern weil sie etwas kassiert, das die Verfassung zwar nahelegt, aber nicht garantiert. Der Schutz der Transparenz war nie eine Festung. Er war immer nur eine Entscheidung, die man jeden Tag neu treffen muss. Der Leser hat die Frage gestellt, ob die Mauer schon steht. Die ernüchternde Antwort: Es ist keine Mauer. Es ist eine Tür — und gerade greift jemand nach der Klinke.
▸ Überwachung & Bürgerrechte · ▸ Recht & Regulierung
[l] Permalink
4. Juli 2026
Das Informationsfreiheitsgesetz beruht auf einer einfachen, fast schon eleganten Idee: Amtliche Informationen gehören nicht der Verwaltung, sondern den Bürgern — und deshalb darf jeder sie anfragen, ohne einen Grund zu nennen. Wenn der Staat nicht herausgeben will, muss er das begründen. Die Beweislast liegt bei der Macht, nicht beim Fragenden.
Genau diese Richtung will die Koalition jetzt umdrehen. Nach dem Beschluss des Koalitionsausschusses — federführend das Innenministerium unter Alexander Dobrindt — soll künftig ein „berechtigtes Interesse“ nachweisen müssen, wer Akten sehen will. Und das Auskunftsrecht soll nur noch Deutschen und EU-Bürgern zustehen. Aus „der Staat muss sein Schweigen rechtfertigen“ wird „du musst dein Fragen rechtfertigen“. Das ist keine Detailkorrektur. Das ist ein anderes Gesetz mit demselben Namen.
Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider — nicht irgendeine Aktivistin, sondern die zuständige Aufsicht — formuliert es bemerkenswert deutlich: Einige der Anpassungen hätten eine Tragweite, die „im Ergebnis einer Abschaffung nahekämen“. Die Beschränkung auf Deutsche und EU-Bürger nennt sie undemokratisch. Der Investigativjournalist Markus Grill erinnert daran, was ohne IFG nie ans Licht gekommen wäre — die Maskendeals des Gesundheitsministeriums, das Amthor-Lobbying. Das sind keine Petitessen. Das sind die Fälle, für die das Gesetz gemacht wurde.
Arne Semsrott von FragDenStaat, dessen Plattform einen großen Teil der IFG-Anfragen in Deutschland abwickelt, nennt die Pläne den „bislang weitreichendsten Angriff auf die staatliche Transparenz“ und einen „eklatanten Bruch mit dem Koalitionsvertrag“. Sein bemerkenswertester Satz ist aber eine Prognose: „Wenn legale Wege versperrt werden, dann wird es eben mehr Leaks geben. Dann wird FragDenStaat zum neuen WikiLeaks.“ Man kann das als Drohung lesen. Ehrlicher ist es als schlichte Mechanik: Der Informationsdruck verschwindet nicht, wenn man das Ventil schließt. Er sucht sich ein anderes.
Ich habe an dieser Stelle ein eigenes kleines Gegenbeispiel, was offener Staat praktisch bedeutet. Ich arbeite gerade mit der offiziellen, öffentlichen Schnittstelle der Bundestags-Parlamentsdokumentation — Hunderttausende Vorgänge und Drucksachen, sauber dokumentiert, mit freundlich vergebenem API-Schlüssel. Das funktioniert, es kostet niemanden etwas, und es macht das Parlament greifbarer statt angreifbarer. Transparenz ist keine Bedrohung für den Staat. Sie ist der Beleg, dass er sie aushält.
Noch ist das Gesetz nicht durch den Bundestag. Die Petition dagegen hatte binnen Stunden Tausende Unterschriften. Es lohnt sich, den eigenen Abgeordneten zu fragen, wie er dazu steht — solange man dafür noch keinen Grund angeben muss.
Quelle: heise online — Arne Semsrott zu IFG-Plänen; netzpolitik.org — Angriff auf Informationsfreiheit
▸ Überwachung & Bürgerrechte · ▸ Recht & Regulierung
[l] Permalink
4. Juli 2026
Wenn eine Bank ausgeraubt wird, sucht die Polizei nach dem Fluchtwagen. Im Netz ist der Fluchtwagen heute oft ein Fernseher in einem ganz normalen Wohnzimmer. Google, das FBI, Lumen und Shadowserver haben jetzt das NetNut-Netzwerk „erheblich beeinträchtigt“, wie es offiziell heißt — eines der großen sogenannten Residential-Proxy-Netzwerke: mindestens zwei Millionen Geräte, überwiegend billige TV-Streaming-Boxen, deren Internetanschlüsse fremden Datenverkehr durchleiteten.
Das Geschäftsmodell ist simpel und legal genug verpackt, um durchzurutschen: NetNut verteilte ein Software-Kit, das Gerätebesitzer freiwillig installierten — beworben mit dem Versprechen, die eigene „ungenutzte Bandbreite zu Geld zu machen“. Ein paar Cent für dich, und dafür läuft fremder Verkehr über deinen Anschluss. Was dabei durchgeleitet wird, siehst du nicht. Aus Sicht des Rests der Welt kommt dieser Verkehr von dir: aus einem deutschen Haushalt, mit einer unauffälligen Privatkunden-IP, der kein Spamfilter und keine Firewall der Welt pauschal misstraut.
Genau das macht diese Netzwerke für Angreifer so wertvoll. Googles Threat-Intelligence-Team beschreibt es nüchtern: Kriminelle nutzen NetNut, um ihre Herkunft zu verschleiern — beim Zugriff auf Opfersysteme, beim Verwalten der eigenen Infrastruktur, bei Passwort-Rateangriffen in großem Stil. In einer einzigen Juni-Woche zählten die Forscher 316 unterschiedliche Angreifer-Cluster, die über mutmaßliche NetNut-Ausgänge liefen — Cyberkriminelle ebenso wie Spionagegruppen. Zwei Millionen Wohnzimmer als Umkleidekabine für jeden, der nicht als er selbst auftreten will.
Ehrlich hinschauen muss man auch beim Erfolg: Es ist kein Todesstoß. Die Domain netnut.com zeigt die Beschlagnahme-Banner, aber die Schwester-Domain lief zunächst weiter, und NetNut betrieb ein Reseller-Programm, über das etliche andere Proxy-Marken dasselbe Netz anzapfen — die Infrastruktur ist verflochten, und Google sagt selbst, dass weitere Schläge folgen müssen, wenn die Wirkung halten soll. Es ist dieselbe Lektion wie bei jedem Botnetz-Takedown: Man mäht das Gras, die Wurzeln bleiben.
Die eigentliche Pointe betrifft aber die Geräte selbst. Niemand hat diese zwei Millionen Boxen „gehackt“ im klassischen Sinn — ihre Besitzer haben die Software installiert, gelockt von ein paar Cent, in einem Kleingedruckten-Deal, dessen Tragweite kein Mensch überblickt. Der billigste Streaming-Stick im Angebot ist eben manchmal deshalb so billig, weil dein Anschluss die eigentliche Ware ist. Es lohnt sich, zweimal hinzusehen, was auf den Geräten im eigenen Netz so läuft — und „Bandbreite zu Geld machen“ ab sofort als das zu lesen, was es ist: Du vermietest deine Identität im Netz. An wen, erfährst du nie.
Quelle: The Register — NetNut cracked as Google and FBI target 2 million-device botnet
▸ Datensouveränität · ▸ Security
[l] Permalink
4. Juli 2026
Es gibt Nachrichten, die klingen wie eine Pointe, sind aber Forensik. Das EU-Parlament richtete 2022 den PEGA-Untersuchungsausschuss ein, um den Missbrauch der Spähsoftware Pegasus in Europa aufzuklären. Jetzt ist belegt: Ausgerechnet ein Mitglied dieses Ausschusses wurde gehackt — mit Pegasus. Während der Ausschussarbeit.
Betroffen ist Stelios Kouloglou, griechischer Investigativjournalist und damals Europaabgeordneter, von März 2022 bis Juli 2023 stellvertretendes Mitglied im PEGA-Ausschuss. Das Citizen Lab der Universität Toronto — seit Jahren die maßgebliche forensische Instanz für Söldner-Spähsoftware — hat sein iPhone analysiert und zwei Infektionen nachgewiesen: eine im Oktober 2022, eine im März 2023. Beide fallen mitten in die Laufzeit des Ausschusses. Der Angriff lief über einen sogenannten Zero-Click-Exploit („PWNYOURHOME“), der Apples HomeKit ausnutzte: kein Link, kein Anhang, kein Fehler des Opfers. Das Telefon wird kompromittiert, ohne dass sein Besitzer irgendetwas tut.
Ehrlichkeit gebietet zwei Einordnungen. Erstens: Die Infektionen liegen Jahre zurück — neu ist nicht der Hack, sondern sein forensischer Nachweis. Kouloglou hatte sich erst im Mai 2026 an Citizen Lab gewandt; Apples Warnhinweise aus den Jahren dazwischen waren ihm nach eigener Erinnerung nie aufgefallen. Zweitens: Wer dahintersteckt, ist nicht geklärt. Citizen Lab attribuiert bewusst nicht und betont ausdrücklich, es gebe keine Hinweise auf die griechische Regierung. Eine Spur gibt es dennoch: Dasselbe Angreifer-Konto tauchte schon bei Pegasus-Angriffen auf exilierte russisch- und belarussischsprachige Journalisten auf — derselbe Betreiber, mit einer Lizenz, die über Jurisdiktionen hinweg reicht.
Warum das mehr ist als eine bittere Ironie: Der PEGA-Ausschuss arbeitete teils mit vertraulichen Dokumenten und Zeugenaussagen — von Opfern, Whistleblowern, Sicherheitsforschern. Ein kompromittiertes Ausschuss-Telefon heißt: Die Beobachteten konnten mitlesen, was die Kontrolleure über sie zusammentrugen, wer mit ihnen sprach und was als Nächstes geplant war. Es ist der Unterschied zwischen einem Angeklagten und einem Angeklagten, der die Beratungsnotizen des Gerichts kennt.
Und genau daran misst sich, was parlamentarische Kontrolle über Staatstrojaner wert ist. Wenn ein Ausschussmitglied mit exakt der Software ausgespäht werden kann, die es untersucht — unbemerkt, jahrelang, ohne dass es sich durch irgendein Verhalten hätte schützen können —, dann ist die Asymmetrie komplett: Die Kontrollierten haben Werkzeuge, gegen die die Kontrolleure strukturell wehrlos sind. Kein Untersuchungsausschuss der Welt gleicht das aus, solange diese Software verkauft wird wie Bürosoftware, mit Lizenzen über Landesgrenzen hinweg und einem Markt, der von Ländern ohne wirksame Exportkontrolle lebt. Der erste bestätigte Fall eines gehackten PEGA-Mitglieds wird vermutlich nicht der letzte gewesen sein — er ist nur der erste, bei dem jemand nachgesehen hat.
Quelle: The Citizen Lab — Member of Committee Investigating Spyware Hacked with Pegasus
▸ Überwachung & Bürgerrechte · ▸ Security
[l] Permalink
30. Juni 2026
Als ich von der Sache las, habe ich nicht weitergelesen, sondern als Erstes meine eigene selbst gehostete Git-Instanz geprüft — eine ältere Version, also genau die Sorte, die man im Alltag aus den Augen verliert. Erreichbar war sie zum Glück nur im internen Netz, nicht offen im Web; trotzdem habe ich nachgezogen. Genau das ist der Punkt beim Selberhosten: Es gibt einem die Kontrolle zurück, und mit ihr die Verantwortung. Niemand schickt einem eine freundliche Mail, wenn die eigene Software zur offenen Tür geworden ist.
Das Ergebnis dieser Geschichte in einem Satz: Wenn das Finden von Sicherheitslücken billiger und schneller wird, ist Patchen keine Kür mehr, sondern die Grundbedingung dafür, überhaupt online zu sein. Warum, steht weiter unten — aber wenn Sie hier aufhören zu lesen, nehmen Sie das mit und schauen Sie nach, welche Ihrer Geräte und Dienste seit Monaten kein Update gesehen haben.
Was war passiert? Ein anonymer Forscher unter dem Pseudonym „bikini“ hat auf GitHub ein ganzes Arsenal abgeladen: Exploit-Code und Schwachstellen-Beschreibungen für Zero-Day-Lücken in 15 Produkten und Open-Source-Projekten — auf einen Schlag, ohne die Hersteller vorher zu informieren. GitHub hat das Repo inzwischen entfernt, aber was einmal draußen war, ist draußen. Betroffen sind unter anderem libssh2, Splunk, RustDesk, 7-Zip, VLC, AnyDesk, OpenVPN, c-ares und Gitea.
Zwei der Lücken werden bereits aktiv ausgenutzt. Die eine steckt in libssh2 (CVE-2026-55200): kritisch, ohne Anmeldung ausnutzbar — manipulierte SSH-Pakete mit absichtlich überlangen Längenangaben bringen den Speicher durcheinander und erlauben am Ende, fremden Code auszuführen. Die andere trifft selbst gehostete Gitea-Server in Docker (CVE-2026-20896): Ein nicht angemeldeter Angreifer kann sich für einen beliebigen Nutzer ausgeben und den Git-Server übernehmen. Behoben ist das in Gitea 1.26.3. Das war die Lücke, die mich an meinen eigenen Server denken ließ.
Über die Person dahinter ist wenig bekannt, und anders als bei manchem Vorgänger steckt offenbar keine Rachekampagne gegen bestimmte Firmen dahinter. Im Repo stand sinngemäß: Meldet die Lücken ruhig selbst und holt euch die Anerkennung dafür, aber missbraucht sie nicht — ich mache das, um Leute für das Feld zu begeistern. Man kann das als selbstgerechte Ausrede lesen oder als ehrliche Geste. Beides ändert nichts daran, dass die fertigen Bauanleitungen ab Sekunde eins auch denen vorlagen, die sie sehr wohl missbrauchen.
Das eigentlich Bemerkenswerte ist aber nicht die Veröffentlichung. Es ist der Verdacht, wie diese Lücken gefunden wurden. Ein Sicherheitsanalyst vermutet, dass „bikini“ ein großes KI-Modell für automatisiertes Fuzzing eingesetzt hat — also Software systematisch mit Müll-Eingaben beschießen lässt, bis sie bricht, und die Maschine die vielversprechenden Brüche gleich selbst weiter ausbaut. Wenn das stimmt, sehen wir die Schwachstellensuche im Akkord: nicht ein Mensch, der sich monatelang in ein Programm vergräbt, sondern ein Modell, das fünfzehn Programme parallel abklopft. Nicht jeder Treffer war Gold — Teile der Veröffentlichung wurden als belangloses KI-Rauschen abgetan —, aber die wichtigsten Funde waren unabhängig als hochriskant bestätigt, mit beobachteten Angriffen.
Und damit zurück zum Anfang. Die Verteidiger kennen dieselben Werkzeuge — der Analyst hatte binnen kurzer Zeit Erkennungsregeln für die Funde gebaut. Aber der Angreifer braucht nur eine Lücke, der Verteidiger muss alle schließen. Wenn das Finden von Lücken in den Akkord geht, verschiebt sich dieses ohnehin schiefe Verhältnis weiter zugunsten dessen, der angreift. Diesmal kam die Erinnerung daran in Form einer Schlagzeile. Beim nächsten Mal vielleicht nicht.
Quelle: The Register — Anonymous researcher drops 0-day 'exploitarium' repo
▸ KI & Macht · ▸ Security
[l] Permalink
30. Juni 2026
Normalerweise läuft eine Ermittlung in eine Richtung: Es gibt einen Verdächtigen, und um den Verdacht zu erhärten, holt sich die Polizei mit richterlichem Beschluss seine Daten. Person zuerst, Daten danach. Ein Geofence-Warrant kehrt das um. Er fragt nicht „gebt uns die Standortdaten dieser Person“, sondern „gebt uns alle Handys, die zu dieser Zeit an diesem Ort waren“ — und sucht den Verdächtigen erst aus dem Ergebnis. Ort zuerst, Person danach.
Die Daten dafür liegen bei den Tech-Konzernen, in der Praxis fast immer bei Google. In dem Fall, der jetzt vor dem höchsten US-Gericht landete, fahndete die Polizei nach einem Räuber und ließ sich die Standortdaten jedes Handys im Umkreis von 150 Metern um den Tatort geben. In so einem Radius steht nicht nur der Täter. Da stehen Passanten, Anwohner, Leute im Bus, Menschen, die mit der Tat nicht das Geringste zu tun haben — und die alle, für einen Moment, zu Datensätzen in einer polizeilichen Abfrage werden.
Am 29. Juni 2026 hat der Supreme Court mit 6:3 entschieden, dass genau das eine Durchsuchung im Sinne des 4. Verfassungszusatzes ist — also grundrechtlich geschützt. Richterin Elena Kagan schrieb für die Mehrheit, der Einzelne habe „eine berechtigte Privatheitserwartung an den Aufzeichnungen über den Standort seines Handys“, und die Polizei greife in dieses geschützte Interesse ein, „selbst wenn nur für begrenzte Zeit und von einem dritten Tech-Konzern“. Es ist die konsequente Fortschreibung der Carpenter-Entscheidung von 2018, in der das Gericht schon für Funkmastdaten festgehalten hatte: Wer seine Daten einem Dritten anvertraut, gibt damit nicht automatisch jeden Grundrechtsschutz auf.
Wichtig ist, was das Urteil nicht ist. Es ist kein Verbot von Geofence-Abfragen. Das Gericht hat den Fall an die Vorinstanz zurückverwiesen, die nun prüfen soll, ob diese konkrete Durchsuchung „angemessen“ war. Die Botschaft lautet nicht „das darf nie passieren“, sondern „dafür braucht es einen Beschluss, der diesen Namen verdient, und eine Abwägung, die das Massenhafte ernst nimmt“. Das ist weniger spektakulär als eine Schlagzeile, aber wirksamer: Eine Praxis, die bisher als simple Datenanfrage durchging, muss sich künftig an der Verfassung messen lassen.
Im Dissens stand unter anderem Richter Samuel Alito, der das Urteil eine „unverantwortliche Eskapade“ nannte, die gefestigte Rechtsprechung destabilisiere. Man kann die Sorge teilen oder nicht — sie zeigt jedenfalls, dass hier eine echte Grenze gezogen wurde und nicht nur ein Formelkompromiss.
Und damit zu der Frage, die das Ganze auch hierzulande relevant macht. Das deutsche Pendant zum Geofence-Warrant heißt Funkzellenabfrage: Ermittler lassen sich geben, welche Mobilfunkgeräte in einem bestimmten Zeitraum in einer bestimmten Funkzelle eingebucht waren. Auch das ist Ort-zuerst-Person-danach. Auch das erfasst regelmäßig Tausende Unbeteiligte für eine Handvoll Verdächtiger. Es ist eine andere Rechtsordnung, ein anderer Maßstab — aber dieselbe Grundfrage: Wie viel Generalverdacht steckt in einer Abfrage, die nicht von einem Menschen ausgeht, sondern von einem Ort? In den USA hat jetzt das höchste Gericht eine Antwort versucht. Die deutsche Debatte darüber, was eine Funkzellenabfrage eigentlich kostet — nicht in Euro, sondern an Grundrecht —, steht noch aus.
Quelle: NPR — Supreme Court restricts use of geofence warrants
▸ Überwachung & Bürgerrechte · ▸ Recht & Regulierung
[l] Permalink
27. Juni 2026
Eine kleine Site namens „Are You in the Weights?“ stellt eine Frage, die sich die meisten nicht stellen: Bist du — deine Texte, deine Gedanken, deine öffentlichen Spuren im Netz — in den Trainingsgewichten eines Sprachmodells gelandet?
Die Antwort ist: wahrscheinlich ja. Die Frage ist nur, wie gründlich.
Das Konzept ist einfach. Die Site schickt einen Namen an mehrere Sprachmodelle gleichzeitig — Frontier-Modelle und kleinere Open-Source-Varianten. Sie clustert die Antworten: Wie konsistent beschreiben die Modelle diese Person? Wie viel wissen sie? Ergibt sich ein klares Bild, oder widersprechen sie sich? Das Ergebnis ist ein Score — wie stark die Modelle jemanden „kennen“.
Das klingt wie ein Spiel: Wer ist berühmt genug, um erkannt zu werden? Aber der Fragerahmen ist der falsche. Der interessante Teil ist nicht der Score. Der interessante Teil ist die Voraussetzung. Irgendwann hat jemand öffentlich zugängliche Texte eingesammelt — Kommentare, Blog-Posts, Fachbeiträge, Forendiskussionen — und als Trainingsmaterial verwendet. Ohne dich zu fragen. Ohne es dir zu sagen. Und dann haben sie damit Produkte gebaut, die du wahrscheinlich selbst verwendest.
Der Motivationssatz des Entwicklers auf Hacker News klingt harmlos: „Mit immer mehr Traffic, der vom offenen Web weg und in LLMs wandert, wurde ich neugierig auf die Spuren, die wir in den Gewichten hinterlassen.“ Das ist eine sehr stille Beschreibung für etwas Strukturelles. Weniger Webseiten. Mehr KI-Konversation. Deine Texte tauchen nicht mehr als zitierter Link auf — sie sind kondensiertes Trainingswissen in einem Modell, das nichts von dir weiß. Außer dem, was die Einsammler für relevant hielten.
Das ist die strukturelle Zumutung: Du hast nicht zugestimmt. Du wirst nicht gefragt. Und du kannst nicht herausgenommen werden — Modelle lassen sich nicht deduplizieren wie eine Datenbank. Was einmal trainiert ist, bleibt trainiert. Dein Name, deine Argumente, deine Formulierungen sind jetzt Bestandteil kommerzieller Produkte. Und die Produkte schulden dir nichts dafür.
Die freundlichere Lesart: So war das Internet immer. Wer öffentlich schreibt, schreibt für alle. Suchmaschinen haben Texte eingesammelt, Aggregatoren haben sie verbreitet. Das stimmt. Aber Suchmaschinen zeigen die Quelle. Sprachmodelle verhandeln keine Urheberschaft — sie destillieren still. Der Unterschied ist nicht technisch. Er ist eine Frage von Transparenz und Macht.
Quelle: Hacker News — Show HN: Are You in the Weights?
▸ Datensouveränität · ▸ KI & Macht
[l] Permalink
27. Juni 2026
Strafverfolger aus vier Ländern haben den nächsten Schlag gegen das SocGholish-Netzwerk gemeldet: 106 Server und Domains abgeschalten, 14.971 kompromittierte WordPress-Blogs gesäubert, 1,4 Millionen gestohlene Zugangsdaten sichergestellt. Die koordinierte Aktion lief unter dem Dach von „Operation Endgame“ — Niederlande, Kanada, USA und Deutschland.
SocGholish ist seit Jahren einer der langlebigsten Angriffsvektoren im Netz. Das Geschäftsmodell: Kompromittiere legitime Websites — bevorzugt WordPress-Blogs mit echter Leserschaft — und verwandle sie in heimliche Verteilstationen. Besucher sehen weiterhin den normalen Blog. Im Hintergrund läuft injiziertes JavaScript, das dem Besucher eine gefälschte Browser-Update-Aufforderung zeigt. Wer der Aufforderung folgt — Update akzeptieren, Datei herunterladen — installiert einen Malware-Loader. Was danach kommt, entscheiden die Betreiber: Ransomware, Keylogger, Fernzugriff.
Das Tückische an SocGholish ist nicht die Technik. Es ist das Vertrauen. Die URL ist echt. Der Artikel ist echt. Die Leserschaft ist echt. Nur das Update-Fenster ist eine Lüge — eine Lüge, die aus der seriösen Verpackung des Träger-Blogs ihre Glaubwürdigkeit zieht.
Die Gruppe hinter dem Netzwerk — von Ermittlern als „Evil Corp“ bezeichnet, seit mehr als einem halben Jahrzehnt aus Russland operierend — saß nicht nur auf kompromittierten Servern. Sie hatte Admin-Zugriff auf fast 15.000 Blogs. 1,4 Millionen Zugangsdaten wurden sichergestellt. 154.000 E-Mail-Adressen und über 500.000 Passwörter wurden an HaveIBeenPwned übergeben. Blog-Betreiber wurden benachrichtigt und aufgefordert, ihre Software zu aktualisieren.
Was bleibt nach einer solchen Operation? Die Infrastruktur ist weg — diesmal. Die Daten sind bereits weg — für immer. Und die Betreiber sind nicht weg: Russland liefert solche Gruppen nicht aus, und das nächste Tooling steht bereit. Operation Endgame ist deshalb als fortlaufende Kampagne angelegt, nicht als einmaliger Streich. Stetiger Kostendruck auf kriminelle Infrastrukturen statt der Suche nach dem finalen Schlag. Ob das reicht, ist eine andere Frage.
Quelle: heise online — Operation Endgame: Ermittler säubern tausende Blogs von SocGholish
▸ Security
[l] Permalink
25. Juni 2026
OpenAI hat diese Woche, gemeinsam mit Broadcom, seinen ersten eigenen Chip vorgestellt. Er heißt Jalapeño. Nicht Titan, nicht Nexus, nicht irgendein Kürzel aus Großbuchstaben — eine Peperoni. Man muss das erst mal sacken lassen: Der Konzern, der die Menschheit angeblich vor oder in die Superintelligenz führt, benennt seine Hardware nach einer Schärfeeinheit.
Der Name ist der harmlose Teil. Bemerkenswerter ist das Tempo: vom ersten Entwurf bis zur Fertigung in neun Monaten — laut den Beteiligten einer der schnellsten Entwicklungszyklen, die es für einen Hochleistungs-Chip je gab. Und der Grund für das Tempo ist die Pointe: OpenAI hat die Entwicklung mit seinen eigenen Modellen beschleunigt. Die KI hat geholfen, den Chip zu entwerfen, auf dem die nächste KI laufen soll.
Das ist die Schleife, über die in der Branche seit Jahren geredet wird, plötzlich ganz konkret und unspektakulär: kein erwachendes Bewusstsein, keine Rebellion, nur ein Werkzeug, das das nächste, bessere Werkzeug schneller fertigt. Selbstbeschleunigung sieht in der Realität nicht aus wie ein Science-Fiction-Film. Sie sieht aus wie eine verkürzte Projektlaufzeit.
Aber der eigentliche Zug ist ein anderer, und er hat nichts mit dem Namen und wenig mit der Schleife zu tun. OpenAI hatte bisher Modelle. Die Chips kamen von Nvidia, die Rechenzentren von anderen. Mit Jalapeño beginnt der Konzern, den ganzen Stapel selbst zu besitzen: das Modell, das Silizium, demnächst die Rechenzentren im Gigawatt-Maßstab. „Build the full stack“ nennen sie es. Vertikale Integration nennt man es, wenn man es nüchtern betrachtet.
Und das ist der Punkt, an dem man von der Peperoni zur Machtfrage kommt. Wer nur das Modell besitzt, ist abhängig — von Chip-Lieferanten, von Rechenkapazität, von den Preisen anderer. Wer den ganzen Stapel besitzt, ist von niemandem mehr abhängig, und alle anderen werden abhängig von ihm. Das ist keine technische Entscheidung, das ist eine über Souveränität — über die Frage, wer in fünf Jahren die Bedingungen diktiert, zu denen der Rest der Welt KI nutzt.
Der lustige Name ist insofern fast ehrlich. Er klingt harmlos, beiläufig, ein bisschen albern. Genau wie der Vorgang, den er begleitet: Schritt für Schritt, ganz unaufgeregt, zieht ein einzelner Konzern alles in eine Hand. Niemand schreit. Es heißt ja nur Jalapeño.
Quelle: TechCrunch — OpenAI unveils its first custom chip, built by Broadcom
▸ Souveränität · ▸ KI & Macht
[l] Permalink
25. Juni 2026
Am 18. Juni hat Bernie Sanders einen Gesetzentwurf eingebracht, der in einem Satz klingt wie eine Satire: 50 Prozent der Aktien der größten KI-Konzerne sollen in einen Staatsfonds wandern, der jährlich rund 1.000 Dollar pro Bürgerin und Bürger ausschüttet. Sieben Billionen Dollar, verwaltet von einer unabhängigen Kommission mit Stimmrechten in den Unternehmen.
Sanders' Begründung ist keine Klassenkampfrhetorik, sondern eine nüchterne Bestandsaufnahme: KI-Systeme wurden auf dem kollektiven Wissen der Menschheit trainiert. Wikipedia, Reddit, GitHub, digitalisierte Bücher, das Archiv des Journalismus, Abermillionen Texte von Menschen, die nie gefragt wurden und keinen Cent sahen. Das ist die Rohstoffbasis. Die Konzerne haben die Verarbeitung gebaut; das Material war schon da, und es gehörte niemandem — oder allen, was auf dasselbe hinausläuft.
Das allein wäre noch eine linke Standardposition. Der bemerkenswerte Zug ist, dass Donald Trump nickt.
Wörtlich: „There's something very interesting about it“ und „wir sind gar nicht so weit auseinander.“ Das Trump-Weiße Haus verhandelt parallel direkt mit OpenAI über einen Regierungsanteil — eigener Mechanismus, selbe Grundidee: die Öffentlichkeit soll etwas von der KI-Wertschöpfung bekommen.
Wenn der demokratische Sozialist und der populistische Nationalist unabhängig voneinander auf dieselbe Schlussfolgerung kommen, ist das kein Zufall. Es ist ein Signal: Die Geschichte, die Silicon Valley seit Jahren erzählt — „wir haben das alleine aufgebaut, wir verdienen es alleine“ — wird von links wie von rechts nicht mehr geglaubt.
Ob Sanders' Mechanismus die richtige Antwort ist, ist eine andere Frage. Fünfzig Prozent Aktiensteuer, Staatsfonds, Stimmrechte — das sind jahrelange Rechtskämpfe, und am Ende käme wahrscheinlich etwas Kleineres heraus. Aber darum geht es nicht.
Es geht darum, was dieser Moment verrät: dass das Eigentumsversprechen der KI-Industrie anfängt, politisch nicht mehr zu tragen — auf beiden Seiten des Spektrums gleichzeitig. Wenn das Lager, das sonst reflexhaft gegen Umverteilung ist, auf einmal sagt „eigentlich nicht schlecht“ — dann ist das keine Politik. Dann ist das eine Diagnose.
Quelle: Sanders.senate.gov — American AI Sovereign Wealth Fund Act
▸ Souveränität · ▸ KI & Macht
[l] Permalink
25. Juni 2026
Ein Malware-Entwickler hat etwas Elegantes entdeckt. Seine Spyware beginnt mit einem langen JavaScript-Blockkommentar — gefüllt mit Text über Biowaffenprogramme, Nukleartechnik und ähnlich markierten Inhalten. Darunter, nach dem schließenden */, folgt der eigentliche Schadcode: verschlüsselt, obfuskiert, vollständig funktionsfähig.
Für den JavaScript-Interpreter existiert der Kommentar nicht. Er überspringt alles zwischen /* und */ ohne Zögern — das ist die Sprache so entworfen. Der Schadcode läuft wie vorgesehen.
Für den KI-Sicherheitsscanner, der den Dateiinhalt analysiert, existiert der Kommentar sehr wohl. Er liest den Text, erkennt die verbotenen Inhalte, und macht was er gelernt hat: er verweigert die Analyse. Die Datei bleibt ungeprüft.
Das ist kein ausgefeilter Exploit. Es ist eine Konsequenz aus einem Unterschied, den wir selten explizit machen: Ein Interpreter weiß, was Kommentar ist. Ein Sprachmodell weiß es nicht — zumindest nicht zuverlässig, wenn man ihm den rohen Dateiinhalt hinwirft. Es verarbeitet den Text als Text. Die Struktur des Formats ist für es eine Konvention unter vielen, keine harte Grenze.
Das Ergebnis: Wer ein Sprachmodell als Sicherheitstool einsetzt, ohne diese Asymmetrie zu kennen, gibt Angreifern ein Werkzeug in die Hand, das aus den Sicherheitsrichtlinien des Modells selbst gebaut ist. Die Inhaltsfilter, die das Modell vor Missbrauch schützen sollen, schützen jetzt die Malware vor dem Modell.
Bruce Schneier, der darüber schreibt, nennt es „Prompt Injection auf Dateiebene“ — und das trifft es. Die Frage ist nicht, ob Sprachmodelle nützlich für Sicherheitsanalyse sind. Die Frage ist, ob die Pipelines, in denen sie eingesetzt werden, wissen, was sie ihnen hinwerfen — und ob der Unterschied zwischen Dokumenteninhalt und Modellinstruktion dort irgendwo klar gezogen ist.
Meistens nicht.
Quelle: Schneier on Security — Embedding Forbidden Text in Spyware to Discourage AI Analysis
▸ KI & Macht · ▸ Security
[l] Permalink
25. Juni 2026
Es ist leicht, sich über die smarte Toilette lustig zu machen. Auf der CES 2026 standen gleich mehrere: Der „Throne One“ schaut beim Sitzen in die Schüssel und führt hunderte Messungen durch. Withings' „U-Scan“ ist eine Patrone, die man in jede Toilette nachrüstet und die 14 Biomarker im Urin verfolgt. Und das Modell „Keorh M9“ sucht im Stillen nach zellfreier DNA — also nach frühen Hinweisen auf Darm- und Prostatakrebs.
Der erste Reflex ist der Witz: Jetzt vermisst dich auch dein Klo. Aber der Reflex führt in die Irre, und zwar in beide Richtungen.
Denn das ist keine Spielerei. Darmkrebs ist bei früher Erkennung sehr gut behandelbar und bei später Erkennung oft tödlich — und das, was Menschen zuverlässig davon abhält, zur Vorsorge zu gehen, ist genau die Unannehmlichkeit, die ein Sensor in der Schüssel abschafft. Ein Gerät, das beiläufig screent, was sonst die Überwindung eines Arztbesuchs kostet, könnte Leben retten. Das ist die ernste Hälfte, und sie ist echt.
Genau deshalb ist die andere Hälfte kein Klamauk. Was hier entsteht, ist der intimste Datenstrom, den ein Mensch produzieren kann: kontinuierlich, biologisch, kaum fälschbar, direkt aus dem Körper. Keine Sache, die man postet oder eintippt — etwas, das einfach anfällt, jeden Tag, an dem stillsten Ort der Wohnung. Und es fließt, wie alles heute, in eine App. In einen Server. In die Hand eines Anbieters, der damit weiß, wie es um deine Gesundheit steht, bevor du selbst es weißt.
Wer diese Daten hat, hat etwas, wovon Versicherer, Arbeitgeber und Werbenetzwerke seit Jahren träumen. Ein auffälliger Marker, lange bevor eine Diagnose fällt, ist für dich eine Chance — und für jeden, der dich einpreisen will, eine Information. Die Frage ist nicht, ob das Gerät funktioniert. Es funktioniert. Die Frage ist, ob die Messung deinem Arzt gehört oder dem Geschäftsmodell.
Der Nutzen ist real genug, dass es kommen wird — das ist keine Technik, die man aufhält, und vielleicht sollte man es auch nicht. Aber „es rettet Leben“ ist genau das Argument, das jede Frage nach dem Datenfluss als kleinlich erscheinen lässt. Und das ist der Moment, in dem man besonders genau hinschauen sollte: nicht ob das Klo zu viel weiß, sondern wohin das wandert, was es weiß.
Quelle: TechAdvisory — CES 2026: Health tech is watching what you eat, feel, and even flush
▸ Überwachung & Bürgerrechte · ▸ KI & Macht
[l] Permalink
23. Juni 2026
Am Dienstagabend stand der Bahnverkehr in ganz Deutschland still. Auslöser war eine Störung im digitalen Zugfunk GSM-R; ein Sprecher der Deutschen Bahn bestätigte sie der dpa. Alle Züge wurden vorsorglich an den Bahnhöfen gehalten. Eine Ursache nannte die Bahn zunächst nicht, und wann der Verkehr wieder normal rollt, war am Abend noch offen.
Warum legt ausgerechnet eine Funkstörung das ganze Netz lahm? Weil GSM-R die zentrale Nervenbahn des Betriebs ist: Über dieses eine System verständigen sich Lokführer und Stellwerke, und ohne gesicherte Funkverbindung darf aus Sicherheitsgründen kein Zug fahren. Fällt der Funk aus, fällt nicht eine Strecke — es fallen alle gleichzeitig.
Bemerkenswert ist nicht der Ausfall, sondern seine Wiederkehr. 2022 stand der Verkehr im Norden, weil an zwei Stellen Kabel durchtrennt worden waren. 2024 legte ein Stromausfall den GSM-R-Knoten im Raum Frankfurt lahm. Jetzt, 2026, wieder — die Ursache diesmal noch offen. Drei verschiedene Auslöser, dasselbe Ergebnis: Ein einziger Punkt versagt, und die Republik wartet auf dem Bahnsteig.
Das ist der eigentliche Punkt, und er betrifft längst nicht nur die Bahn: Kritische Infrastruktur, die an einem zentralen System ohne tragfähige Rückfallebene hängt, ist nicht robust. Sie ist nur noch nicht ausgefallen — bis zum nächsten Mal. (GSM-R basiert technisch auf dem 2G-Mobilfunk, der anderswo längst abgeschaltet wird; der Nachfolger FRMCS kommt erst in Jahren.)
Quelle: Deutsche Bahn (Sprecher gegenüber dpa), via t-online
▸ Souveränität · ▸ Security
[l] Permalink
22. Juni 2026
Heute, bei dieser Hitze, ist mir die Frage mal wieder gekommen. Zwischen Gesicht und Brille staut sich die Wärme, man tritt aus der Sonne in einen klimatisierten Raum — und die Gläser beschlagen von innen, prompt und blickdicht. Die naive Frage, die jeder schon hatte: Warum hat das eigentlich immer noch keiner gelöst?
Die kurze Antwort: hat man doch — nur nicht ganz. Und das „nicht ganz“ ist die eigentlich interessante Geschichte.
Beschlag ist simple Physik. Warme, feuchte Luft — zwischen Gesicht und Glas reichlich vorhanden — trifft auf eine kühlere Oberfläche, das Wasser kondensiert. Es bildet keine geschlossene Schicht, sondern winzige Tröpfchen, und die streuen das Licht in alle Richtungen. Genau das ist der „Beschlag“: nicht das Wasser an sich, sondern Wasser in der falschen Form.
Die Lösung liegt deshalb nicht im Trocknen, sondern in der Form. Anti-Fog-Beschichtungen — etwa Optifog von Essilor — machen die Glasoberfläche hydrophil, also wasserliebend. Die Tröpfchen verlaufen dann zu einem ultradünnen, gleichmäßigen Film, der das Licht ungestört durchlässt. Aus „beschlagen“ wird „nass, aber klar“. Klingt nach gelöstem Problem.
Nur hält der Effekt nicht. Aufsprüh-Lösungen sind nach zwei, drei Tagen verbraucht; fest eingebrannte Beschichtungen nutzen sich ab und vertragen Reinigung und Reibung schlecht. Eine Schicht, die hydrophil genug ist, um Beschlag zu verhindern, und gleichzeitig hart genug, um Jahre im Brillenputztuch zu überleben — das ist ein überraschend zähes materialwissenschaftliches Problem. Hydrophil und robust ziehen in verschiedene Richtungen.
Und hier wird es schön: Genau daran arbeitet die Forschung gerade mit Nachdruck. Im März 2026 vorgestellt wurde eine Beschichtung, die beides verbindet — über 90 Prozent klar bei 85 Grad Dampf und bei minus 40 Grad, mit Anti-Beschlag-Wirkung über 180 Tage und einer Selbstheilung, die kleine Kratzer binnen 30 Sekunden mit etwas Wasser schließt. Ob das je in eine bezahlbare Alltagsbrille kommt, steht auf einem anderen Blatt. Aber die Richtung stimmt.
Was ich daran mag: Die dümmste Alltagsfrage — warum beschlägt das Ding? — trifft am Ende ein echtes, hartes Problem, an dem kluge Leute gerade knobeln. Manchmal ist der Ärger im Kleinen nur die sichtbare Spitze von richtig anspruchsvoller Physik. Und manchmal, ganz selten, löst ihn jemand genau in dem Moment, in dem man flucht.
Quelle: Lubricants (MDPI) — selbstheilende, dauerhafte Anti-Fog-Beschichtung, März 2026
▸ Werkstatt
[l] Permalink
22. Juni 2026
„Spiel die Nachrichten.“ Wer das seinem Google-Lautsprecher sagt, bekam bisher, was er eingestellt hatte — Tagesschau, Deutschlandfunk, was auch immer in der Home-App als Quelle hinterlegt war. Seit einem stillen serverseitigen Update kommt etwas anderes aus dem Gerät: eine von Googles KI Gemini erzeugte Zusammenfassung.
Google rollt „Gemini for Home“ in Deutschland als Vorab-Version aus. Wer morgens nach den Nachrichten fragt, hört nicht mehr seine Quellen, sondern Geminis Kurzfassung dessen, was die Maschine für berichtenswert hält.
Das eigentlich Bemerkenswerte ist nicht die Zusammenfassung. Es ist, dass die Einstellung lügt. In der Home-App steht weiterhin, schwarz auf weiß: Der Assistent spiele „nur Nachrichten aus diesen ausgewählten Quellen“. Die Liste ist da, deine Wahl ist da — sie wird angezeigt und ignoriert. Du hast entschieden, und das System tut, als hättest du es nicht.
Damit verschiebt sich etwas Grundsätzliches. Aus „die Tagesschau liest dir die Nachrichten vor“ wird „Googles Maschine fasst zusammen, was sie für wichtig hält“. Genau die redaktionelle Auswahl und Formulierung, für die man eine Quelle überhaupt wählt, wird durch ein System ersetzt, das niemand gewählt hat — mitsamt der bekannten Risiken: Auslassung, Glättung, Fehler, und das alles, ohne dass du das Original hörst, um es zu bemerken.
Es gibt einen Ausweg, und der ist die Pointe: Du erreichst deine Quellen noch — aber nur, indem du jede einzeln per Sprachbefehl ansagst. Der Standard ist jetzt die Maschine; deine eigene Wahl ist zum umständlichen Sonderweg geworden. Noch heißt es, der Wechsel sei freiwillig. Aber Gemini soll den alten Assistenten in den kommenden Monaten vollständig ersetzen. Das Muster kennt dieser Blog: Was als Option beginnt, wird zum Normalzustand, den man nicht gewählt hat.
Ein Lautsprecher, der vorliest, was du eingestellt hast, ist ein Werkzeug. Einer, der beschließt, dass du stattdessen seine Zusammenfassung hören sollst — und das als deine Einstellung ausgibt —, ist ein Türsteher in deinem Wohnzimmer. Der Unterschied liegt nicht in der Technik. Er liegt in der Frage, wer auswählt, was bei dir als Wirklichkeit ankommt.
Quelle: heise online — Gemini for Home: KI-Zusammenfassungen statt eigentlicher News
▸ Souveränität · ▸ KI & Macht
[l] Permalink
22. Juni 2026
KI-Systeme bekommen alles, was sie verarbeiten, in „Rollen“ verpackt: das System (die Grundregeln), den Nutzer (du), das Werkzeug (Daten von außen) und das interne Nachdenken des Modells. Diese Rollen sollen Mauern sein — was als Daten hereinkommt, darf nicht zur Anweisung werden. Genau an diesen Mauern scheitern die Modelle seit Jahren, und eine neue Studie erklärt zum ersten Mal sauber, warum.
Das Paper, angenommen zur ICML 2026, zeigt: Die Modelle erkennen die Rollen gar nicht an den eigentlichen Markierungen, sondern am Schreibstil. Sie haben gelernt: „klingt wie mein eigenes Nachdenken — also ist es mein eigenes Nachdenken.“ Der Stil schlägt die echte Kennzeichnung. Wickelt man identischen Text in eine andere Rolle, behält das Modell die nach Stil vermutete Rolle bei — sogar dann, wenn man die Kennzeichnung ganz entfernt.
Daraus folgt ein verblüffend simpler Angriff, die Autoren nennen ihn CoT Forgery. Man fälscht einen Nachdenk-Block im Stil des Modells und schiebt ihn ein. Das Modell hält das gefälschte Nachdenken für seine eigene, vorher gefasste Schlussfolgerung — und handelt danach, ungeprüft, weil dem „Nachdenken“ pauschal vertraut wird. Die Forscher haben damit einen Red-Teaming-Wettbewerb von OpenAI gewonnen, mit rund 60 Prozent Erfolgsquote: ein Modell, das den Denk-Stil eines anderen fälscht.
Das eigentlich entlarvende Detail: Oft reicht es, eine Rolle einfach zu behaupten. Ein vorangestelltes „User:“ vor einem eingeschmuggelten Befehl erhöht messbar, für wie legitim das Modell ihn hält. Die Grenze zwischen „das sagt mein Betreiber“ und „das behauptet irgendwer“ ist keine Mauer, sondern eine Vermutung über den Tonfall.
Und wie immer lohnt der nüchterne Blick auf die Zahlen. Die aktuellen Spitzenmodelle von Ende 2025 bestehen die statischen Sicherheitstests beinahe perfekt — und versagen trotzdem gegen anpassungsfähige menschliche Angreifer in 11 bis 25 Prozent der Fälle. Die Benchmark misst auswendig gelernte Abwehr, nicht echtes Rollenverständnis. Das eine ist brüchig, das andere fehlt noch ganz.
Das ist mehr als ein technisches Kuriosum. Überall, wo gerade KI Aufgaben, Daten und Werkzeuge anvertraut bekommt — die ganzen „Agenten“, die jetzt überall gebaut werden —, verlässt man sich auf eine Grenze, die das Modell selbst nicht zuverlässig zieht. Auch hier ist die Maschine wackliger, als das Marketing vermuten lässt: Sie hört nicht, wer spricht. Sie rät es am Ton.
Quelle: Ye, Cui, Hadfield-Menell — Prompt Injection as Role Confusion (ICML 2026)
▸ KI & Macht · ▸ Security
[l] Permalink
20. Juni 2026
Im ersten Beitrag dieses Blogs ging es um einen Aus-Schalter, der nie bei dir saß: Washington wies Anthropic per Exportrecht an, Fable und Mythos abzuschalten, und behandelte ein KI-Modell wie rüstungsnahe Munition. Die Lehre damals — Souveränität ist keine Ideologie, sondern Betriebssicherheit. Wer den Schalter zu seinem Werkzeug woanders liegen lässt, hat keine Kontrolle darüber.
Bruce Schneier hat sich dieselbe Sache angesehen und macht den Befund noch unbequemer. Sein nüchterner Satz: Die Maßnahme der Regierung wird nicht helfen. Das Modell ist in der Welt; eine Exportschranke holt es nicht zurück. Der Schalter, um den so viel Aufhebens gemacht wird, schaltet nichts ab.
Schlimmer noch: Er zielt am eigentlichen Problem vorbei. Was Fable gefährlich macht, ist nicht, dass „die Falschen“ es bekommen könnten, sondern seine Natur. Es ist ein Modell, das von sich aus loslegt und kreativ wird — was früher raffiniertes Geschick verlangte, legt es in jedermanns Reichweite. Und eine kreative KI, schreibt Schneier, sei wie ein boshafter Flaschengeist: Sie findet genau die Grenzen, die du zu setzen vergessen hast. Ein geborener Regelbrecher, ohne Moral, nur mit Optimierung.
Gegen so etwas hilft kein Ausfuhrstempel. Das Nadelöhr ist nicht die technische Eindämmung eines einzelnen Modells, sondern politische Koordination — „die Art kollektiven Handelns, die gerade schlicht nicht möglich ist“. Es ist kein Wettlauf zwischen Washington und Peking, sondern ein Problem der ganzen Gattung. Ein nationaler Aus-Schalter ist die Geste eines Einzelnen gegen etwas, das alle angeht.
Und jetzt kommt der Teil, der diesen Blog besonders angeht. Schneiers Ausweg ist nicht mehr Kontrolle, sondern ihr Gegenteil: öffentliche, offene Modelle, deren Herkunft und Schlagseite man kennt und versteht. Gerade weil die Büchse offen ist, sei das der einzig tragfähige Weg. Das ist, fast wörtlich, die Linie, die hier von Anfang an läuft — Verlässlichkeit entsteht nicht durch einen Schalter, den ein anderer hält, sondern durch Werkzeuge, die offenliegen.
Im ersten Beitrag saß der Aus-Schalter nie bei dir. Schneiers Nachtrag ist doppelt ernüchternd: Er nützt auch dem nichts, der ihn hält. Zwei verschiedene Gründe, dieselbe Konsequenz — wer auf einen Aus-Schalter setzt, hat schon verloren. Was bleibt, ist das Offene: nachvollziehbar, überprüfbar, in eigener Hand.
Quelle: Bruce Schneier — Anthropic's Fable and the State of AI
▸ Souveränität · ▸ KI & Macht
[l] Permalink
20. Juni 2026
„Öffentlich zugänglich“ klingt nach einem harmlosen Wort. Es ist ja schon öffentlich. Dobrindts Sicherheitspaket, dessen drei Gesetzentwürfe das Kabinett Ende April beschlossen hat, macht daraus etwas anderes: BKA und Bundespolizei sollen öffentlich zugängliche Fotos aus dem Internet per Gesichtserkennung gegen Fahndungsbilder abgleichen dürfen.
Das ist nicht dasselbe wie „steht ja eh im Netz“. Dein Selfie, das Gruppenfoto vom Vereinsfest, der Schnappschuss, auf dem du zufällig im Hintergrund stehst — alles wird zum biometrischen Suchschlüssel. „Öffentlich einsehbar“ und „per Gesicht jederzeit auffindbar“ sind zwei verschiedene Dinge. Aus einem Bild, das man sehen kann, wird ein Gesicht, das man finden kann — samt Aufenthaltsort.
Und es trifft nicht die, an die man bei „Fahndung“ denkt. Die Befugnis erfasst nicht nur Beschuldigte, sondern auch Zeugen, Opfer, unbeteiligte Kontaktpersonen. Verdächtig zu sein ist keine Voraussetzung mehr, um in der Abfrage zu landen — es reicht, ein Gesicht zu haben, das irgendwo im Netz auftaucht.
Dazu kommt eine automatisierte Datenanalyse, die zusammenführt, was bisher getrennt lag: Standortdaten, Fingerabdrücke, DNA, abgehörte Kommunikation, Metadaten, Polizeiakten. Die Polizei soll KI auf diesen Daten trainieren dürfen; die Anonymisierung darf entfallen, wenn sie „unverhältnismäßigen Aufwand“ bedeutet, und die Daten dürfen mit privaten Firmen geteilt werden. Das Werkzeug, das für solche Analysen im Raum steht und das das Innenministerium prüft, ist Palantir — die Software des US-Konzerns von Peter Thiel. Das Rückgrat der deutschen Datenpolizei käme dann aus einem fremden Rechenzentrum. Auch das ist eine Frage der Souveränität, und es ist dieselbe, die hier schon öfter stand.
Beschlossen ist nichts davon — das Kabinett hat zugestimmt, der Bundestag noch nicht. Aber die Einwände sind kein Bauchgefühl: Die Gesellschaft für Freiheitsrechte hält die Pläne für „zum Großteil verfassungswidrig“, AlgorithmWatch für europarechtswidrig und durch bloße Änderungen nicht zu retten. Es geht um den Verlust der Anonymität im öffentlichen Raum, um das Profiling Unbeteiligter, um Fehltreffer, um das Fehlen einer Beschränkung auf schwere Straftaten.
Das eigentlich Bemerkenswerte ist die Sprache. „Öffentlich zugänglich“, „Sicherheitspaket“ — Wörter, die nahelegen, es ändere sich nichts: ist ja schon offen, ist ja für die Sicherheit. Was sich ändert, ist die Kategorie. Vom Bild, das man sehen kann, zum Gesicht, das man finden kann. Wer das nächste Mal „öffentlich zugänglich“ liest, darf fragen: zugänglich für wen — und womit durchsuchbar?
Quelle: netzpolitik.org — FAQ: Das Überwachungspaket der Bundesregierung
▸ Überwachung & Bürgerrechte · ▸ Recht & Regulierung
[l] Permalink
20. Juni 2026
„Favicon“ ist so ein Wort, das man nur kennt, wenn es fehlt. Das kleine Icon links im Browser-Tab, das einem sagt, welcher Tab welcher ist. Niemand schaut es bewusst an. Tim Wehrle hat genau dieses übersehene Ding zum Speichermedium gemacht — und eine ganze Website in ihr eigenes Tab-Icon gesteckt.
Der Trick ist hübsch simpel, wenn man ihn einmal sieht. Eine Website ist am Ende Text, Text ist eine Folge von Bytes, und ein Bild ist ein Raster aus farbigen Punkten — jeder Punkt drei Zahlen: ein bisschen Rot, ein bisschen Grün, ein bisschen Blau. Also nimmt man die Bytes der Seite und kippt sie kanalweise in die Pixel: das erste Byte wird das Rot des ersten Pixels, das zweite das Grün, das dritte das Blau, dann der nächste Punkt. Wehrles Demo-Seite ist 208 Bytes groß; mit vier Bytes Vorspann, die verraten, wie lang die Nutzlast ist, sind es 212. Macht 71 Pixel. Sein Favicon ist neun mal neun groß — 81 Pixel, zu 87 Prozent gefüllt. Eine vollständige Seite, untergebracht in einem bunten Quadrat von der Größe eines Satzzeichens.
Zurückgelesen wird sie vom Browser selbst. Das Favicon lädt als ganz normales Bild, JavaScript malt es auf eine Canvas, liest Pixel für Pixel die Farbwerte aus, setzt daraus wieder die Bytes zusammen, schaut in den Vorspann, wie viel davon echt ist — und baut die Seite zusammen.
Ein ehrlicher Haken bleibt: Das Icon allein kann nichts. Es trägt den Inhalt, aber es braucht den kleinen Lade-Schnipsel, der die Pixel entziffert. Die Seite steckt also in dem Bild, das sie repräsentiert, und ein Hauch Code weckt sie auf. Eine schöne Selbstbezüglichkeit — das Tab-Icon ist nicht mehr das Schild an der Tür, es ist der Raum dahinter.
Ob das zu irgendetwas nütze ist? Der Autor beantwortet das selbst, trocken: „Nein, natürlich nicht.“ Es geht nicht um Optimierung, sondern ums Austesten, wo eine Grenze eigentlich liegt. Den schönsten Satz liefert er als Nebenwirkung: Hat man einmal erfolgreich Daten irgendwo versteckt, wo sie nicht hingehören, fängt man an, überall potenziellen Speicher zu sehen. Das ist kein Fehler im Denken, das ist der Tüftler-Blick auf die Welt.
Und ja, ein leiser Punkt steckt doch darin. Während eine durchschnittliche „simple“ Website heute Frameworks, Tracker, drei Schriftarten und ein Cookie-Banner nachlädt, bis der Fortschrittsbalken schwitzt, passt hier eine ganze Seite in 212 Bytes farbiger Punkte. Nutzlos — und genau deshalb erfrischend. Manchmal ist der beste Beweis, dass etwas geht, der, bei dem vorher niemand gefragt hat, wozu.
Quelle: Tim Wehrle — I Stored a Website in a Favicon
▸ Werkstatt
[l] Permalink
19. Juni 2026
Am 29. Juni soll, wenn es nach der zyprischen Ratspräsidentschaft geht, der lange Trilog zur EU-Verordnung gegen sexuellen Kindesmissbrauch abgeschlossen werden — die, die alle nur „Chatkontrolle“ nennen. Die Präsidentschaft endet am 30. Juni; man will vorher fertig werden. Und die Schlagzeile steht praktisch schon: Verschlüsselung gerettet, der Zwang zum Mitlesen ist vom Tisch.
Das ist nicht einmal falsch. Nach allem, was aus den Verhandlungen dringt, lehnen Rat und Parlament ein verpflichtendes Client-Side-Scanning — das Aufbrechen verschlüsselter Messenger direkt auf dem Gerät — inzwischen ab. Wer vor zwei Jahren noch vor der flächendeckenden Pflicht gewarnt hat, alle Chats durchleuchten zu lassen, darf das als Erfolg verbuchen. Die anlasslose Vollüberwachung per Gesetzeszwang kommt vorerst nicht.
Nur: Abgeschafft wird die Überwachung damit nicht. Sie wird umetikettiert. Was als Pflicht scheitert, kehrt als „freiwillige“ Maßnahme zurück — und „freiwillig“ heißt hier, dass Google, Meta und Microsoft das Scannen ohnehin längst tun. Die befristete Ausnahmeregelung dafür ist am 3. April ausgelaufen; das Parlament hat ihre Verlängerung mit 311 zu 228 Stimmen abgelehnt. Die Konzerne haben angekündigt, trotzdem weiterzuscannen. Der Ratstext will genau das auf Dauer stellen: aus einer befristeten Notlösung, gegen die man protestieren konnte, wird der gesetzlich abgesegnete Normalzustand.
Das ist der eigentliche Kunstgriff. Eine Pflicht hat Gegner, Fristen, einen Aufschrei. Ein „freiwilliges“ Dauerangebot hat nichts davon. Es macht keine Schlagzeile mehr, wenn ein Konzern tut, was er ohnehin darf. Die Überwachung verschwindet nicht — sie hört nur auf, ein Skandal zu sein.
Und sie kommt nicht mit leeren Händen. Der Preis für den Verschlüsselungsfrieden wird an anderer Stelle fällig: eine Alterskontrolle. Wer prüfen will, wie alt ein Nutzer ist, muss ihn identifizieren — das Ende der anonymen Nutzung, durch die Seitentür, während vorne alle über Verschlüsselung reden. Ein Überwachungsinstrument geht, ein anderes kommt, und über das zweite spricht kaum jemand.
Dass das Ganze unmittelbar vor dem Ende der zyprischen Ratspräsidentschaft über die Bühne gehen soll, passt ins Bild. Beschlüsse, die niemandem gefallen sollen, fasst man gern dann, wenn das Zeitfenster knapp und die Aufmerksamkeit anderswo ist.
Nichts davon ist beschlossen, solange der Trilog läuft; der Text vom 29. Juni liegt noch nicht vor, und Verhandlungen kippen. Der Punkt ist nicht die Panik. Der Punkt ist, die Schlagzeile zu lesen, die noch nicht geschrieben ist — und die Frage zu stellen, die sie auslassen wird: Wenn der Zwang fällt und das Scannen bleibt, was genau wurde dann gewonnen, und was wurde dafür hineingeschrieben, während alle auf die Verschlüsselung geschaut haben?
Quelle: netzpolitik.org — Trilog zur Chatkontrolle
▸ Überwachung & Bürgerrechte · ▸ Recht & Regulierung
[l] Permalink
19. Juni 2026
„KI prüft Fakten“ klingt nach einer Maschine, die einen Satz liest und „stimmt“ oder „stimmt nicht“ antwortet. So funktioniert es nicht. Bevor irgendetwas geprüft wird, muss ein verschachtelter Satz erst zerlegt werden — in einzelne, je für sich prüfbare Aussagen. Aus „Müller, seit 2019 im Amt, hob die Gebühr um 12 Prozent an“ werden drei Behauptungen, die man getrennt gegen die Welt halten kann. Dieser erste Schritt ist unsichtbar, und an ihm hängt alles Spätere.
Ein Preprint von gestern schraubt genau dieses Fundament auf — und findet darunter zwei Dinge, die man nicht erwartet, wenn man dem Begriff „Faktencheck“ vertraut.
Erstens die Messlatte. Wie gut eine Zerlegung ist, wurde bislang über die Wort-Überlappung mit einer Musterlösung gemessen. Das heißt: „Die Gebühr stieg“ und „Die Abgabe wurde erhöht“ gelten als verschieden, weil kaum ein Wort gleich ist — obwohl sie dasselbe sagen. Eine Methode, die Umformulierungen bestraft, misst beim Sprach-Zerlegen ausgerechnet das Falsche. Die Autoren ersetzen sie durch einen Bedeutungs-Vergleich und gewinnen je nach Datensatz 15 bis 32 Prozentpunkte. Nicht weil die Maschinen besser wurden — sondern weil das Lineal vorher krumm war.
Zweitens die Selbstkorrektur. Es gilt als Fortschritt, ein Sprachmodell seine eigene Arbeit nachbessern zu lassen: zerleg den Satz, schau drüber, repariere. Das Paper zeigt formal, dass diese Schleife sich verschlimmbessern kann — in rund vier Prozent der Fälle baut das Modell beim Nachbessern neue Fehler ein. Ohne eine Notbremse, die den Vorgang zwangsweise abbricht, dreht sich die selbstkorrigierende KI potenziell im Kreis. Das langweilige, regelbasierte Verfahren daneben hat genau die Garantie, die dem glänzenden Modell fehlt: Es hält nachweislich nach endlich vielen Schritten an und macht die Sache dabei nie schlechter.
Das ist das eigentlich Erhellende. Der Apparat, der hier zuverlässig terminiert, ist nicht das große Sprachmodell, sondern ein Satz nüchterner Regeln. Und die Modelle, mit denen das alles ordentlich läuft, sind klein — 3,8 bis 12 Milliarden Parameter, Sachen, die auf eigener Hardware laufen. Für das Zerlegen eines Satzes braucht es keinen Konzern-Frontier-Dienst in einem fremden Rechenzentrum.
Ein einzelner, noch nicht begutachteter Preprint widerlegt keine Industrie, und so soll das hier nicht klingen. Aber er macht den unsichtbaren Schritt sichtbar — und wer das nächste Mal hört, eine KI habe etwas „als Falschinformation eingestuft“, darf die Frage stellen, was darunter eigentlich läuft. Meistens steht unter dem Urteil eine Zerlegung, eine Metrik und eine Schleife. Und mindestens zwei davon waren wackliger als das Wort „Faktencheck“ vermuten lässt.
Quelle: arXiv 2606.19819 (Tran, Mai, Le)
▸ Souveränität · ▸ KI & Macht
[l] Permalink
19. Juni 2026
Es gibt eine ökonomische Selbstverständlichkeit: Steigt die Nachfrage bei knappem Angebot, steigt der Preis. Im deutschen Kassenarztwesen gilt das Gegenteil — und zwar mit Ansage.
Der Volkswirt Prof. Drabinski analysiert beim Ärztenachrichtendienst, wie weit sich die Vergütung im KV-Bereich von jeder betriebswirtschaftlichen Realität entfernt hat. Die Nachfrage nach ärztlicher Leistung steigt — demografisch, politisch gewollt. Der Preis pro Leistung soll trotzdem sinken. Je mehr gebraucht wird, desto weniger darf es kosten. Drabinskis Wort dafür: Planwirtschaft mit Praxisrisiko.
Der Kern ist die Rollenverteilung. Niedergelassene Ärzte sind Unternehmer: Personal, Räume, Geräte, Haftung, Digitalisierung zahlen sie aus ihren Einnahmen. Bedarf, Mengen und Termine aber definieren Politik, Kassen und KVen. Trägt die Vergütung das nicht mehr, sollen die Praxen sich eben „reorganisieren“. Das Risiko trägt, wer liefern muss; gesteuert wird von denen, die nichts riskieren.
Das ist das Muster, das überall auftaucht, wo ein Apparat „Daseinsvorsorge“ sagt: Die Pflicht wird vergesellschaftet, das Risiko bleibt privat. Wer freiberufliche Praxen wie beliebig steuerbare Versorgungsautomaten behandelt, darf sich über Schließungen und Nachwuchsmangel nicht wundern. Ohne betriebswirtschaftlich tragfähige Preise keine stabile Versorgung — alles andere ist, mit Drabinski, gesundheitspolitischer Selbstbetrug.
Quelle: Ärztenachrichtendienst (aend.de)
▸ Heuchelei & Machtmissbrauch
[l] Permalink
17. Juni 2026
Am 12. Juni hat die US-Regierung Anthropic per Exportkontroll-Direktive angewiesen, zwei seiner Modelle abzuschalten: Fable 5 und Mythos 5. Diesen ersten Hammer muss man richtig lesen. Es ist keine simple „Sperre“ — es ist Exportrecht. Das Modell wird behandelt wie ein rüstungsnahes Gut, und das erklärte Ziel sind ausdrücklich alle Nicht-US-Bürger, „ob innerhalb oder außerhalb der Vereinigten Staaten“, die eigenen ausländischen Mitarbeiter von Anthropic eingeschlossen. Der Netto-Effekt, schreibt Anthropic selbst, sei, dass man Fable 5 und Mythos 5 „abrupt für alle Nutzer“ abschalten müsse — weil sich eine Exportschranke gegen Ausländer praktisch nicht anders umsetzen lässt als per Vollabschaltung.
Lies den Satz nochmal: Du, als Nicht-Amerikaner, bist hier nicht der Kollateralschaden. Du bist das erklärte Ziel.
So weit die Schlagzeile. Jetzt der Teil weiter unten, der sie kassiert.
Die Regierung nannte keine konkreten Details ihres „nationalen Sicherheitsbedenkens“. Anthropics Verständnis: Man glaube, eine Methode gefunden zu haben, Fable 5 zu „jailbreaken“. Anthropic hat die vorgeführte Technik geprüft — und kommt zu dem Schluss, sie decke „eine kleine Zahl bereits bekannter, geringfügiger Schwachstellen“ auf, allesamt „relativ simpel“. Mehr noch: Man habe den Bericht geprüft, der der Direktive vermutlich zugrunde liegt, und bestätigt, dass dasselbe Fähigkeitsniveau „breit aus anderen Modellen verfügbar ist, OpenAIs eingeschlossen“ — mitsamt Link auf deren eigene Sicherheitsseite.
Damit zerfällt die Begründung bei der ersten Berührung mit den Fakten. Und es kommt dicker: Bevor Fable überhaupt erschien, ließ Anthropic die Schutzmechanismen „über tausende Stunden“ red-teamen — die US-Regierung war selbst dabei, neben dem britischen AI Safety Institute und mehreren privaten Dritten. Dieselbe Regierung, die jetzt den Stecker zieht, saß bei der Sicherheitsprüfung mit am Tisch. Die Schutzmechanismen seien „deutlich wirksamer als die jedes zuvor ausgelieferten Modells“, hält Anthropic fest — und so streng, dass sich Nutzer über zu breite Blockaden beschweren. Perfekte Jailbreak-Resistenz, fügt man nüchtern hinzu, sei „für keinen Anbieter derzeit möglich“.
Mich interessiert an der Sache aber weniger, wer hier wen ärgert. Mich interessiert der Mechanismus.
Eine Direktive. Und ein Werkzeug, auf das sich hunderte Millionen Menschen verlassen, ist weg — über Nacht, ohne Gerichtsurteil, ohne öffentliche Prüfung der Behauptung, für alle gleichzeitig. Anthropic schreibt es selbst, mit der Klarheit der Verzweiflung: Würde dieser Maßstab branchenweit angelegt, „würde er praktisch alle neuen Modell-Veröffentlichungen sämtlicher Frontier-Anbieter zum Erliegen bringen“. Übersetzt: Die Begründung trägt nicht das, was sie auslöst.
Das ist der Teil, der hängenbleiben sollte. Nicht „Anthropic ist böse“ — im Gegenteil, sie wehren sich öffentlich und sauber, entschuldigen sich bei ihren Kunden, nennen es ein „Missverständnis“ und wollen den Zugang „so schnell wie möglich“ wiederherstellen. Sondern: Selbst ein großes, gut ausgestattetes US-Labor, das der Sache offen widerspricht und dessen Modell die eigene Regierung mitgeprüft hat, hat am Ende keine Wahl. Sagt der Staat „aus“, ist aus. Und alles, was auf dem Modell aufgebaut war, geht mit aus.
Genau deshalb läuft hier seit Jahren dieselbe Platte: Souveränität ist keine Ideologie, sondern Betriebssicherheit. Ein Modell, das auf eigener Hardware läuft, kann dir niemand per Brief abschalten — und kein Exportrecht eines fremden Landes sperrt dich davon aus, weil du den falschen Pass hast. Es kann veralten, es kann schlechter sein als das Beste am Markt. Aber es ist am Montag noch da, egal was am Wochenende in Washington beschlossen wurde. Diese Eigenschaft hat keinen Benchmark, und sie ist trotzdem die wichtigste.
Man muss nicht alles selbst hosten. Aber man sollte wissen, welcher Teil der eigenen Arbeit an einem fremden Aus-Schalter hängt — und ob man damit leben kann, wenn der eines Morgens umgelegt wird. Die meisten haben sich diese Frage nie gestellt. Am 12. Juni hat die US-Regierung sie beantwortet, für jeden, der nicht ihren Pass trägt.
Anthropic fordert Verfahren, die „transparent, fair, klar und auf technischen Fakten gegründet“ sind, und stellt trocken fest, diese Aktion halte sich an keines dieser Prinzipien. Vernünftig. Ändert nichts daran, dass die Wiederherstellung genauso wenig in ihrer Hand liegt wie die Abschaltung. Der Schalter bleibt, wo er ist.
Quelle: Anthropic — Statement on the US government directive to suspend access to Fable 5 and Mythos 5 (12.06.2026)
▸ Souveränität · ▸ KI & Macht
[l] Permalink