Zurück zum Archiv

Ausgabe 06 · 13. Juli 2026

Edition 06

Chat Control kehrt durch einen Verfahrenstrick zurück, vier Regierungen stehen wegen NIS2 vor Gericht, 281 kostenlose VPNs mit Datenlecks, Meta nutzt standardmäßig Ihr Gesicht, und ein Betriebssystem, das Sie beobachtet, sofern Sie es nicht unterbinden.

Von Christophe Mazzola, aktivem CISO und Gründer von Cyber Academy.

Chat Control kehrt durch einen Verfahrenstrick zurück, vier Regierungen stehen wegen NIS2 vor Gericht, 281 kostenlose VPNs mit Datenlecks, Meta nutzt standardmäßig Ihr Gesicht, und ein Betriebssystem, das Sie beobachtet, sofern Sie es nicht unterbinden.

In dieser Ausgabe

  1. 01Eine Mehrheit der Abgeordneten stimmte dagegen. Es wurde trotzdem angenommen.
  2. 02Vier Regierungen haben das Cyber-Recht ignoriert. Die EU hat sie verklagt.
  3. 03281 kostenlose VPNs getestet. Der Datenschutz war Theater.
  4. 04Meta wird Ihre öffentlichen Fotos standardmäßig für KI-Bilder verwenden.
  5. 05Die Windows-ID, die Sie nicht deaktivieren können, hat gerade einen Hacker überführt.

Erhalten Sie den nächsten GRC Brief in Ihrem Postfach.

The GRC Brief abonnieren

Eine Mehrheit der Abgeordneten stimmte dagegen. Es wurde trotzdem angenommen.

Zwei Bezeichnungen, zwei grundverschiedene Dinge. Chat Control 1.0 ist die freiwillige Ausnahmeregelung, die es Plattformen erlaubt, unverschlüsselte Nachrichten auf CSAM zu scannen. Sie lief im April aus, nachdem das Parlament die Verlängerung abgelehnt hatte. Am 2. Juli reaktivierte der Rat sie und übermittelte seinen Standpunkt im Dringlichkeitsverfahren an das Parlament, terminiert auf die letzte Sitzung vor der Sommerpause. Am 9. Juli war für eine Ablehnung eine absolute Mehrheit erforderlich: 361 von 720 Abgeordneten. Die Ablehnung erhielt 314 Stimmen gegenüber 276, mehr Mitglieder sprachen sich also dagegen als dafür aus, verfehlte jedoch 47 Stimmen und der Text blieb bestehen. Das Parlament nahm separate Änderungsanträge an, die Ende-zu-Ende-verschlüsselte Dienste ausschließen; diese gehen nun zurück an den Rat. Die permanente, verbindliche Version, Chat Control 2.0, die ein clientseitiges Scannen verschlüsselter Apps erzwingen könnte, steckt noch im Trilog fest; die nächste Runde findet im September statt. Befürworter, darunter große US-amerikanische Plattformen, argumentieren, freiwilliges Scanning sei unerlässlich, um Missbrauch weiterhin erkennen und melden zu können.

Quelle: My full analysis · christophemazzola.fr

Meine Einschätzung

Dies ist der schlimmste Punkt auf dieser Seite, und er sollte Sie empören. Wenn man das Verfahren beiseiteschiebt: Mehr Abgeordnete stimmten gegen die Wiedereinführung des massenhaften Nachrichten-Scannens als dafür, und es wurde trotzdem angenommen. Die Hürde zur Ablehnung einer Ratsposition ist bewusst hoch angesetzt, nämlich eine absolute Mehrheit. Die Abstimmung wurde jedoch im Dringlichkeitsverfahren durchgepaukt und auf die letzte Sitzung vor dem Sommer terminiert, als ein Großteil der Kammer bereits abgereist war. Eine Mehrheit sagte Nein. Der Kalender sagte Ja.

Nun der Teil, den die meisten Berichte falsch darstellen. Was zurückgekehrt ist, ist 1.0, das freiwillige Scannen unverschlüsselter Nachrichten, nicht das verbindliche clientseitige Scannen verschlüsselter Apps. Der Ausschluss verschlüsselter Dienste wurde angenommen, sodass Signal, WhatsApp und iMessage aus dieser Regelung formal herausgehalten werden. Die gefährliche Version, 2.0, ist im Trilog nach wie vor aktiv und kommt im September. Der Gewinn für die Verschlüsselung ist real, aber knapp, und der entscheidende Kampf liegt drei Monate entfernt.

Wenn Sie jemanden beraten, der ein verschlüsseltes Produkt betreibt, oder ein Policy-Team, das dies verfolgt, tragen Sie den September jetzt in den Kalender ein. Der in dieser Woche geschaffene Präzedenzfall ist verfahrenstechnischer, nicht technischer Natur. Der Appetit ist jedoch offensichtlich, und die Befürworter eines Voll-Scannens haben gerade gelernt, dass sie eine Abstimmung gewinnen können, die sie verloren hatten.

Vier Regierungen haben das Cyber-Recht ignoriert. Die EU hat sie verklagt.

Am 8. Juli verwies die Europäische Kommission Irland, Spanien, Frankreich und die Niederlande an den Gerichtshof, weil sie NIS2, die EU-Leitrichtlinie zur Cybersicherheit, nicht in nationales Recht umgesetzt hatten. Die Umsetzungsfrist war Oktober 2024, die vier Länder sind also mehr als zwanzig Monate im Rückstand. Die Kommission beantragt beim Gerichtshof die Verhängung eines Pauschalbetrags zuzüglich täglicher Strafen, bis jedes Land die vollständige Umsetzung meldet. Als Maßstab für die Häufigkeit dieser Verzögerung: Stand Januar 2025 hatten nur sechs von siebenundzwanzig Mitgliedstaaten die Richtlinie umgesetzt. Einige der vier sind inzwischen aktiv geworden; die Niederlande verabschiedeten ihr Gesetz am 7. Juli, einen Tag vor der Verweisung, und Irland erwartet die Meldung bis Jahresende. Das Timing hat eine besondere Schärfe: Irland übernahm am 1. Juli den rotierenden EU-Ratsvorsitz, eine Woche bevor es vor dem obersten EU-Gericht vorgeladen wurde.

Quelle: European Commission · Commission referral, 8 Jul 2026

Meine Einschätzung

Lesen Sie dies neben dem obigen Punkt, und der Kontrast ist der eigentliche Kern dieses Newsletters. Das einzige EU-Gesetz, das Organisationen tatsächlich zur Selbstverteidigung verpflichtet, NIS2, lag in vier Ländern, darunter meinem, zwanzig Monate lang unumgesetzt. Brüssel kann eine Scanning-Regelung in einer Woche im Schnellverfahren durchbringen, aber die Richtlinie, die Krankenhäuser und Stromnetze schützt, wartet zwei Jahre und eine Gerichtsvorladung ab.

Der praktische Punkt ist klar, und ich bringe ihn in jeder Schulung. Die Verzögerung Ihrer Regierung ist kein Schutzschild für Sie. Die Frist lief im Oktober 2024 ab. Die Pflichten, Risikomanagement, Meldung von Vorfällen, Anforderungen an die Lieferkette, sind die Richtung, in die sich das Fachgebiet bewegt, unabhängig davon, wann Madrid oder Paris die Formalitäten abschließt. Wenn Sie ein reguliertes Unternehmen leiten und das nationale Recht als Ausrede abgewartet haben, haben Sie Schulden angehäuft; und die Rechnung verdichtet sich in dem Moment, in dem der Text in Kraft tritt.

Und genießen Sie das Timing. Irland übernahm den EU-Ratsvorsitz am 1. Juli und wurde am 8. Juli vor das eigene EU-Gericht gezerrt. Die Verantwortlichen für Cyber konnten das Cyber-Recht nicht umsetzen. Wenn Sie einen Beweis dafür brauchten, dass Bewusstsein und Durchsetzung zwei verschiedene Dinge sind, hier ist er.

281 kostenlose VPNs getestet. Der Datenschutz war Theater.

Forschende testeten 281 der beliebtesten kostenlosen Android-VPNs, zusammen mehr als 2,4 Milliarden Mal installiert, mit einem neuen Prüfrahmen namens MVPNalyzer, entwickelt von Teams der Universitäten Michigan, New Mexico und IIT Delhi. Die Mängel sind grundlegend. 29 Apps leiten Traffic am Tunnel vorbei, darunter DNS-Abfragen, die die besuchten Websites preisgeben. 61 übertragen Daten teilweise im Klartext, und fünf davon laden ihre Konfigurationsdatei unverschlüsselt herunter, was es einem Angreifer im selben Netzwerk ermöglicht, die Verbindung auf einen von ihm kontrollierten Server umzuleiten. Mehr als 80 Prozent kontaktierten bekannte Werbe- und Tracking-Server, 76 übermittelten die Werbe-ID des Geräts, und eine App sendete die genauen GPS-Koordinaten des Telefons. Der zentrale Punkt der Forschenden: Ein VPN verlagert Ihr Vertrauen von Ihrem Internetanbieter auf den Entwickler der App, und das Verified-Badge des Play Store verhält sich eher wie ein Marketingmerkmal denn als Sicherheitsgarantie.

Quelle: The Hacker News · MVPNalyzer study, 10 Jul 2026

Meine Einschätzung

Dieselbe Lektion wie beim Ad-Blocker vor einigen Wochen, neues Gewand. Menschen installieren diese Apps, um sicherer zu sein, und übergeben ihren Traffic an den jeweiligen Entwickler. 2,4 Milliarden Installationen, und die Grundlagen sind kaputt: DNS-Lecks, Konfigurationsdateien im Klartext, Tracker überall, eine App, die Ihre GPS-Daten nach Hause meldet. Das Verified-Badge hat nichts bewirkt, weil ein Badge ein Marketinglabel ist, keine Kontrolle.

Für Ihre Organisation ist dies keine verbraucherrelevante Fußnote. Es ist Shadow-IT auf den Endgeräten, die Ihre Daten berühren. Jemand in Ihrem Team installiert ein kostenloses VPN auf dem Telefon, das geschäftliche E-Mails liest, und schon läuft Ihr Traffic über einen Betreiber, den Sie nie geprüft haben, möglicherweise im Klartext. Kostenlose VPNs sind kein Datenschutz-Tool. Sie sind ein Geschäftsmodell, und Sie sind die Ware.

Der einzige verlässliche Filter ist die Herkunft. Ein aktuelles unabhängiges Audit, klare Eigentumsverhältnisse, ein Unternehmen, das mit Geld statt mit Ihren Daten bezahlt wird. Alles andere, einschließlich No-Logs-Versprechen, ist ein Ausgangspunkt, kein Beweis.

Meta wird Ihre öffentlichen Fotos standardmäßig für KI-Bilder verwenden.

Meta hat Muse Image eingeführt, ein neues KI-Modell, das es Nutzern ermöglicht, ein öffentliches Instagram-Konto mit @-Erwähnung zu versehen und Bilder aus den öffentlichen Fotos, Videos und Reels dieser Person zu generieren. Es ist standardmäßig aktiviert. Jeder kann ein öffentliches Profil markieren, um Inhalte zu erstellen, die dessen veröffentlichte Medien ganz oder teilweise wiederverwenden; je nach Einstellungen können diese KI-generierten Inhalte in Suchergebnissen erscheinen. Personen werden nicht benachrichtigt, wenn ihre Bilder auf diese Weise verarbeitet werden. Wenn Sie Ihr Konto für mehr als einen Tag auf privat stellen, werden Reels und Beiträge gelöscht, die andere aus Ihren Inhalten erstellt haben; bereits generierte KI-Inhalte bleiben jedoch erhalten. Meta gibt an, Nutzende hätten die volle Kontrolle und könnten die Funktion deaktivieren, versteckt unter Einstellungen, dann Teilen und Weiterverwenden. Es ist dasselbe Opt-out-by-default-Muster, das Google kürzlich eingesetzt hat, um die Medien angemeldeter Nutzer in seine KI-Modelle einzuspeisen.

Quelle: The Hacker News · Meta Muse Image, 9 Jul 2026

Meine Einschätzung

Standardmäßig aktiviert, und Sie werden nicht einmal benachrichtigt, wenn es passiert. Lassen Sie das sacken. Meta nimmt Ihre öffentlichen Fotos, lässt einen Fremden Sie mit @-Mention verknüpfen und generiert Bilder von Ihnen; und Sie erfahren davon nie. Kontrolle bedeutet in Metas Darstellung einen Schalter, von dessen Existenz Sie nichts wussten, drei Menüebenen tief vergraben, der nichts löscht, was bereits erstellt wurde.

Das ist das Einwilligungsproblem, an dem die gesamte Branche vorbeiprescht. Opt-out by default ist keine Einwilligung, es ist Einwilligungs-Theater, und in der EU ist das keine UX-Debatte, sondern eine GDPR-Frage. Google hat diesen Monat dasselbe mit Ihren Medien und seiner KI getan. Das Muster ist das Zeichen: erst nehmen, dann einen verborgenen Schalter anbieten, niemals benachrichtigen.

Zwei Minuten Housekeeping, wenn Sie Instagram nutzen: Einstellungen, Teilen und Weiterverwenden, Beiträge und Reels deaktivieren. Tun Sie es auch für die öffentlichen Konten, die Sie verwalten. Und bedenken Sie: Es verhindert nur die nächste Verarbeitung, nicht die bereits erfolgten.

Die Windows-ID, die Sie nicht deaktivieren können, hat gerade einen Hacker überführt.

Eine kürzlich veröffentlichte US-Bundesklage hat eine Windows-Kennung bekannt gemacht, von der die meisten Menschen noch nie gehört hatten: den Global Device Identifier, kurz GDID. Es handelt sich um eine persistente, gerätebezogene ID, die Microsoft zuweist, wenn Sie sich mit einem Microsoft-Konto anmelden. Sie verknüpft die Aktivitäten, die Ihr PC an Microsoft meldet, mit einer einzigen Identität und übersteht Windows-Updates. Es gibt keinen Einwilligungs-Dialog und keinen echten Deaktivierungsschalter: Sie können Windows nicht daran hindern, sie zu generieren, ohne die Aktivierung zu beschädigen, und eine Neuinstallation liefert Ihnen lediglich eine neue Nummer, die Microsoft über dasselbe Konto zurückverfolgen kann. Bis zu diesem Fall hatte Microsoft sie in einem einzigen Satz dokumentiert, in einer Enterprise-Azure-Referenztabelle. Der Fall selbst: Ein mutmaßliches 19-jähriges Mitglied von Scattered Spider brach in ein US-amerikanisches Schmuckunternehmen ein, indem es dessen Helpdesk per Social Engineering manipulierte, und agierte hinter VPN-Proxys. Diese Proxy-IPs erwiesen sich als Sackgassen, aber Microsofts Protokolle platzierten die GDID seiner Maschine zur Anmeldung des Angreifers und zum Zeitpunkt des Angriffs auf die Opfer-Website in denselben Minuten; die Ermittlungsbehörden konnten dieselbe ID dann über acht Monate hinweg seinen persönlichen Konten in vier Ländern zuordnen. Die VPN-Adressen rotierten. Die GDID nicht.

Quelle: Windows Latest · GDID / FBI complaint, 10 Jul 2026

Meine Einschätzung

Zwei Punkte weiter oben haben kostenlose VPNs Sie verraten. Hier ist die härtere Version derselben Lektion: Selbst ein perfekt funktionierendes VPN nützt nichts, wenn Ihr eigenes Betriebssystem alles, was Sie tun, mit einer permanenten ID stempelt. Der Hacker nutzte Proxys. Sie waren Sackgassen. Die darunter liegende Windows-ID war es nicht. Anonymität ist nicht ein einzelnes Tool, sondern das schwächste Glied im gesamten Stack, und das Betriebssystem ist es meistens.

Niemand wird Mitleid mit einem Scattered-Spider-Mitglied haben, und diese Kennung dient Microsoft auch zur Lizenzierung und Betrugsbekämpfung, was legitime Zwecke sind. Der Teil, der Sie beschäftigen sollte, ist die Asymmetrie. Apple und Google stellen ihre Geräte-IDs hinter einen Einwilligungs-Dialog und eine Reset-Option. Microsoft liefert eine ohne Dialog, ohne Reset, mit einem Satz öffentlicher Dokumentation, verknüpft mit Ihrem Konto statt mit Ihrer Person, und die Öffentlichkeit erfuhr von ihrer Existenz nur, weil ein Gerichtsdokument sie offenlegte.

Für Ihr Bedrohungsmodell sollten Sie präzise festhalten, was ein VPN Ihnen bringt: Es verbirgt Ihren Netzwerkpfad, nicht die Identität Ihrer Maschine. Wenn die Identität selbst das Risiko ist, bei Journalismus, Aktivismus oder gefährdeten Personen, ist das ein Gespräch über lokale Konten, Linux oder Tails, kein VPN-Gespräch. Für einen verwalteten Gerätepark ist es ein weiterer Grund, warum Ihre Endpunkt-Identitätsstrategie nicht auf der Netzwerkebene enden darf.

Hat Ihnen diese gefallen? Holen Sie sich die nächste.

Landen Sie auf der nächsten.

Fünf Dinge, die sich in GRC bewegt haben, jeden Montag. Ehrliche Einschätzung, keine recycelten Pressemitteilungen.

The GRC Brief abonnieren