Hacker, Hersteller und der Moment der Wahrheit

Ist heute Ihr Digital Independence Day?

Autor, Sprecher und Episodenbild Thorsten Siefert Technik und Gestaltung Thorsten Siefert Es gilt das gesprochene Wort Digitale Unabhängigkeit klingt nach einem großen politischen Begriff. Im Alltag ist sie sehr konkret. Sie beginnt bei der Frage: Wo liegen meine Daten? Wer betreibt meine Cloud? Wer kontrolliert mein Mailkonto? Wer liefert meine Office-Software? Wer stellt mein Smartphone-Betriebssystem? Wer entscheidet, welche Inhalte ich sehe? Die Antwort ist oft ernüchternd. Viele Antworten führen zu denselben Konzernen. Microsoft liefert Office, Teams, Azure, Windows und GitHub. Google liefert Android, Suche, Mail, Maps, Werbung und KI. Amazon liefert Cloud und Infrastruktur. Apple liefert Geräte, Plattform und App-Store. Meta liefert soziale Netzwerke und Messenger. ByteDance liefert TikTok. X kontrolliert einen wichtigen Debattenraum. Das ist nicht nur eine Marktfrage. Es ist eine Machtfrage. Diese Unternehmen können Konten sperren. Sie können Schnittstellen ändern. Sie können Preise anheben. Sie können Funktionen umbauen. Sie können Regeln setzen. Und sie können Datenströme lenken. Oft geschieht das legal. Oft steht es in den Vertragsbedingungen. Trotzdem bleibt das Risiko. Denn wer keine Alternative hat, verhandelt nicht auf Augenhöhe. Für Privatpersonen bedeutet das: Ein gesperrtes Konto kann Fotos, Kontakte und Käufe blockieren. Ein geänderter Algorithmus kann Sichtbarkeit vernichten. Eine App kann verschwinden. Ein Dienst kann plötzlich neue Regeln setzen. Für Unternehmen ist das Risiko ungleich größer. Dort hängen Prozesse, Kundendaten, Buchhaltung, Projekte und Kommunikation an Plattformen. Wenn ein zentraler Dienst ausfällt, geht Arbeit verloren. Wenn ein Anbieter die Preise ändert, steigt der Druck. Wenn ein Rechtsraum unsicher wird, entsteht Compliance-Risiko. Besonders kritisch ist ein Klumpenrisiko. Ein Klumpenrisiko entsteht, wenn zu viel an einem Anbieter hängt. Microsoft 365 ist dafür ein gutes Beispiel. Viele Unternehmen nutzen Outlook, Teams, SharePoint, OneDrive, Office, Entra ID und Windows. Dazu kommen Azure-Dienste und GitHub. Jedes einzelne Produkt kann sinnvoll sein. Zusammen entsteht aber eine enge Bindung. Wer Dokumente, Identitäten, Kommunikation, Code und Geräteverwaltung in ein Ökosystem legt, baut eine sehr starke Abhängigkeit. Ein Wechsel wird dann teuer. Er wird langsam. Er wird organisatorisch schwierig. Das bedeutet nicht, dass Microsoft-Produkte schlecht sind. Das wäre zu einfach. Viele dieser Produkte sind ausgereift. Sie sind gut integriert. Viele Menschen können sie bedienen. Genau deshalb sind sie so schwer zu ersetzen. LibreOffice ist eine mögliche Alternative zu Microsoft Office. Für viele Aufgaben reicht es aus. Für manche Teams reicht es sehr gut. Doch die Nutzererfahrung ist nicht für alle gleichwertig. Vorlagen, Makros, Zusammenarbeit und Gewohnheiten spielen eine große Rolle. Linux und FreeBSD sind starke offene Betriebssysteme. Sie laufen stabil. Sie sind transparent. Sie geben viel Kontrolle zurück. Aber sie passen nicht für jeden Arbeitsplatz. Fachsoftware kann fehlen. Support kann fehlen. Treiber können stören. Mitarbeitende brauchen Schulung. Auch beim Smartphone ist die Lage schwierig. Android ist in Teilen Open Source. In der Praxis kommt es aber meist mit Diensten und Zusätzen der Hersteller. Dazu kommen App-Stores, Tracking, Push-Dienste und Herstellerbindungen. Apple bietet ein enges System mit guter bis optimaler Bedienbarkeit. Doch auch hier hängt viel an einem Konzern. App-Vertrieb, Geräte, Dienste und Konten liegen in einer Hand. Noch schwieriger wird es bei IoT-Geräten. Staubsaugroboter, Kameras, smarte Lautsprecher, Thermostate und Haushaltsgeräte arbeiten oft mit Cloud-Zwang. Nutzer haben kaum Einfluss auf Firmware und Software. Viele Geräte funktionieren nur sauber mit Anbieter-App und Anbieter-Cloud. Wenn der Anbieter den Dienst beendet, wird das Gerät schlechter. Manchmal werden sie dann einfach zu Elektroschrott. Die Frage nach europäischem Ersatz ist dann hart. Welchen europäischen Staubsaugroboter mit offener Firmware gibt es? Welche smarte Türklingel läuft ohne fremde Cloud? Welche Kamera bekommt lange Updates und bleibt lokal steuerbar? Die Antwort lautet oft: Es gibt einzelne Lösungen. Es gibt aber keinen einfachen Massenersatz. Auch KI-Tools gehören in diese Debatte. Viele Unternehmen testen derzeit Sprachmodelle, Bildgeneratoren und Assistenten. Oft liegen diese Dienste bei US- oder chinesischen Anbietern. Das kann kritisch sein. Es geht um Eingaben, Kundendaten, Geschäftsgeheimnisse und Trainingsdaten. Es geht auch um Verfügbarkeit, Preise und politische Risiken. Ein Unternehmen sollte daher klar festlegen: Welche Daten dürfen in welche KI? Welche Anbieter sind erlaubt? Wo liegen Daten? Wer hat Zugriff? Welche Verträge gelten? Welche Alternative gibt es? Und wie wäre es eigentlich mit lokal gehosteter KI? Digitale Unabhängigkeit heißt nicht, keine US-Produkte mehr zu nutzen. Das wäre für viele unrealistisch. Sie heißt, bewusster zu entscheiden. Der erste Schritt ist eine Bestandsaufnahme. Welche Dienste nutzen wir? Welche davon sind kritisch? Welche Daten fließen dorthin? Welche Verträge laufen wann aus? Welche Abhängigkeiten bestehen technisch? Welche Schnittstellen sind offen? Welche Daten lassen sich exportieren? Der zweite Schritt ist eine Risikobewertung. Was passiert, wenn ein Anbieter ausfällt? Was passiert bei Preiserhöhungen? Was passiert bei Kontosperrung? Was passiert bei rechtlichen Änderungen? Was passiert bei politischem Druck? Was passiert, wenn ein Dienst verkauft wird? Der dritte Schritt ist ein Exit-Szenario. Ein Exit-Szenario ist kein sofortiger Wechsel. Es ist ein Plan. Es beschreibt, wie ein Unternehmen aus einem Dienst herauskommt. Es nennt Fristen, Datenformate, Verantwortliche und Ersatzlösungen. Ohne diesen Plan bleibt digitale Souveränität ein Schlagwort. Mit diesem Plan wird sie praktisch. Es gibt bereits Alternativen. Nicht überall. Aber an wichtigen Stellen. Beim Browser können Firefox oder Ecosia genutzt werden. Für Suche kommen auch Startpage, Qwant oder DuckDuckGo infrage. Entscheidend ist hier nicht Perfektion. Entscheidend ist Auswahl. Bei Cloud und Hosting sieht Europa besser aus, als viele denken. Es gibt europäische Rechenzentren. Es gibt deutsche Betreiber. Es gibt Object Storage nach (Amazon) S3-Art. Es gibt gehostete Nextcloud- und ownCloud-Angebote. Es gibt europäisch betriebene Videokonferenzsysteme. Damit lassen sich Backups sauber aufbauen. Auch eine 3-2-1-Strategie ist möglich. Drei Kopien. Zwei verschiedene Medien oder Systeme. Eine Kopie außerhalb des eigenen Standorts. Für viele Unternehmen ist das keine Theorie. Es ist machbar. Open Source spielt dabei eine wichtige Rolle. Offener Code schafft Einblick. Er verhindert keine Fehler. Er verhindert auch keine schlechten Entscheidungen. Aber er kann Abhängigkeiten senken. Er kann Forks ermöglichen. Er kann lokale Anbieter stärken, oder im eigenen Räumen gehostet werden. Trotzdem ist Open Source kein Zauberwort. Auch freie Software braucht Pflege, Support und Geld. Wer nur Lizenzkosten sparen will, wird enttäuscht. Ein Wechsel gelingt nur mit Prozess, Schulung und Betriebskonzept. Sonst wird aus Souveränität Frust. Der politische Druck wächst. Bayern ringt mit Microsoft-Lizenzen und digitalen Arbeitsplätzen. Die EU arbeitet an mehr Tech-Souveränität. Auch Satellitenfrequenzen und mobile Dienste gehören inzwischen dazu. Das zeigt: Die Debatte ist nicht mehr nur technisch. Sie betrifft Infrastruktur. Sie betrifft Verwaltung. Sie betrifft Wirtschaft. Und sie betrifft den Alltag. Denn unser digitales Leben liegt an vielen Stellen in der Hand weniger sehr reicher Menschen und weniger sehr mächtiger Unternehmen. Sie prägen, wie wir suchen, lesen, schreiben, kaufen, streiten und arbeiten. Kein einzelner Konzern sollte diese Macht unkontrolliert besitzen. Kein Staat sollte sich blind darauf verlassen. Kein Unternehmen sollte ohne Ausweg planen. Die gute Nachricht lautet: Wir haben diese Macht abgegeben. Also können wir sie auch wieder begrenzen. Nicht über Nacht. Nicht vollständig. Nicht ohne Kosten. Aber Schritt für Schritt. Privatpersonen können klein anfangen. Einen zweiten Mailanbieter prüfen. Wichtige Daten lokal sichern. Einen anderen Browser testen. Suchmaschinen vergleichen. Cloud-Dienste bewusst wählen. Geräte vor dem Kauf auf Updatepolitik prüfen. Unternehmen müssen systematischer arbeiten. Sie sollten ihre IT-Landschaft kartieren. Sie sollten kritische Dienste markieren. Sie sollten Verträge prüfen. Sie sollten offene Formate bevorzugen. Sie sollten europäische Anbieter ernsthaft vergleichen. Und sie sollten lokale Unternehmen unterstützen, wenn diese fachlich passen. Das ist kein romantischer Regionalgedanke. Es ist wirtschaftlich vernünftig. Steuern, Jobs und Know-how bleiben eher in der Region. Anbieter sind greifbarer. Rechtsräume sind klarer. Kommunikation wird direkter. Digitale Unabhängigkeit verlangt also keinen Rückzug aus der Welt. Sie verlangt mehr Wahlfreiheit. Manchmal bedeutet das, ein besseres Produkt weiter zu nutzen. Manchmal bedeutet es, einen Kompromiss zu akzeptieren. Manchmal bedeutet es, zwei Systeme parallel zu betreiben. Und manchmal bedeutet es, eine Abhängigkeit bewusst zu beenden. Der Kern bleibt gleich. Wer abhängig ist, braucht einen Plan. Wer keinen Plan hat, hängt am guten Willen anderer. Und wer heute handelt, muss morgen nicht panisch wechseln. ABSCHLUSS Digitale Unabhängigkeit ist kein Schalter. Sie ist eine Entscheidungskette. Niemand muss morgen alle Geräte austauschen. Niemand muss jedes US-Tool sofort löschen. Aber jeder sollte wissen, wo die eigenen Daten liegen. Und jedes Unternehmen sollte wissen, welche Dienste wirklich kritisch sind. Der wichtigste Schritt ist einfach. Schreiben Sie Ihre Abhängigkeiten auf. Mail. Cloud. Office. Chat. KI. Code. Backup. Smartphone. IoT. Dann prüfen Sie: Gibt es eine Alternative? Gibt es einen Export? Gibt es einen Vertrag? Gibt es einen Notfallplan? Das klingt trocken. Es schützt aber Handlungsfähigkeit. Digitale Souveränität beginnt nicht in Brüssel. Sie beginnt im eigenen Konto. Im eigenen Unternehmen. Und bei der nächsten Softwareentscheidung. Schreiben Sie uns gern Ihre Meinung zu dieser Folge. Wo sehen Sie Abhängigkeiten? Welche Alternativen nutzen Sie bereits? Und wo scheitert der Wechsel noch? Am einfachsten erreichen Sie uns über unsere App. Episoden hören Sie am besten mit der netkiosk.digital-App. Sie können die App im Apple App Store herunterladen

Kubicki gewinnt. Der Richtungsstreit bleibt.

Autor, Sprecher und Episodenbild Thorsten Siefert Technik und Gestaltung Thorsten Siefert Es gilt das gesprochene Wort Manchmal reicht eine Gegenkandidatur, um eine Partei zu vermessen. Sie zeigt, wo Zustimmung endet. Sie zeigt, wo Unruhe beginnt. Und sie zeigt, welche Frage noch offen ist. Bei der FDP heißt diese Frage: Welche Art von Liberalismus soll diese Partei künftig vertreten? Wolfgang Kubicki wollte den Vorsitz übernehmen. Vieles sprach für eine Bestätigung. Dann trat Marie-Agnes Strack-Zimmermann an. Kurzfristig. Gegen den erwarteten Kandidaten. Mit Unterstützung von 33 Delegierten. Kubicki gewann. Aber fast 40 Prozent der Stimmen gingen an seine Gegenkandidatin. Das erinnert an Mannheim 1995. Der Vergleich liegt nahe. Am 16. November 1995 stürzte Oskar Lafontaine den SPD-Vorsitzenden Rudolf Scharping. Das geschah auf dem Bundesparteitag in Mannheim. Es war ein Einschnitt für die SPD. Zum ersten Mal wählte sie einen amtierenden Vorsitzenden ab. Lafontaine gewann mit 321 von 513 Stimmen. Scharping bekam 190 Stimmen. Die Wahl kam überraschend. Sie war aber nicht grundlos. Die SPD hatte 1994 die Bundestagswahl gegen Helmut Kohl verloren. Die Partei suchte einen Kurs. Sie suchte Führung. Sie suchte Sprache. Scharping war Parteichef. Doch viele Delegierte zweifelten an ihm. Die sogenannte Troika war beschädigt. Scharping, Schröder und Lafontaine standen nicht mehr für gemeinsame Stärke. Sie standen für Rivalität. Dann hielt Lafontaine seine Rede. Sie traf den Saal. Viele hörten in ihr, was sie von Scharping erwartet hatten. Aus einer geplanten Bestätigung wurde eine Kampfabstimmung. Aus Unruhe wurde Macht. Der Deutschlandfunk beschreibt diesen Parteitag als historischen Bruch. Er sollte einen Richtungsstreit beenden. Danach nahm dieser Streit erst richtig Fahrt auf. Genau hier beginnt die Parallele zur FDP. Auch dort stand nicht nur eine Personalfrage im Raum. Die FDP kam aus schweren Niederlagen. Bei der Bundestagswahl 2025 verpasste sie den Wiedereinzug. In den Ländern ist sie stark geschwächt. Sie ist nur noch in sechs von 16 Landtagen vertreten. Der bisherige Vorsitzende trat ab. Wolfgang Kubicki galt als der Mann für den Neustart. Dann kam Marie-Agnes Strack-Zimmermann. Sie trat nicht als lange vorbereitete Gegenkandidatin an. Sie wurde kurzfristig von 33 Delegierten vorgeschlagen. Damit änderte sich die Lage sofort. Aus einer erwarteten Wahl wurde eine Machtprobe. Kubicki gewann mit 390 von 658 Stimmen. Das waren 59,3 Prozent. Strack-Zimmermann kam auf gut 39 Prozent. Formal ist das ein klarer Sieg. Politisch ist es komplizierter. Denn fast 40 Prozent Gegenstimmen gegen einen erwarteten Konsenskandidaten sind kein Zufall. Sie sind ein Signal. Sie sagen: Dieser Neustart ist umstritten. Sie sagen auch: Die FDP hat ihre Richtungsfrage nicht gelöst. Die wichtigste Parallele lautet deshalb so: Beide Parteitage zeigen Parteien in der Krise. Beide zeigen, wie eng Führung und Richtung zusammenhängen. Wenn Wahlniederlagen, Profilverlust und Unsicherheit zusammenkommen, reicht ein neuer Name nicht. Dann fragen Delegierte nicht nur: Wer führt uns? Sie fragen auch: Wohin führt uns diese Person? 1995 hieß diese Frage bei der SPD: Welchen Kurs braucht die Partei nach der Niederlage gegen Kohl? Sollte sie stärker sozialstaatlich auftreten? Sollte sie wirtschaftspolitisch anders reden? Sollte sie eine andere Art Führung zeigen? In Mannheim bekam diese Frage ein Gesicht. Dieses Gesicht war Oskar Lafontaine. Bei der FDP heißt die Frage anders. Soll sie stärker konservativ-liberal auftreten? Soll sie rechtsliberal zuspitzen? Soll sie sozialliberal ausbalancieren? Oder findet sie eine neue Mischung? Auch der Umgang mit der AfD spielt hinein. Kubicki sagt, die FDP dürfe manche Themen nicht der AfD überlassen. Er meint Migration, Klima und Meinungsfreiheit. Strack-Zimmermann warnte vor einem Kurs, der die Partei zu weit verschiebt. Sie warb für eine sozialliberale Ausrichtung. Auch das ist mehr als ein Personalstreit. Es geht um die politische Identität der FDP. Die zweite Parallele liegt in der Überraschung. Mannheim 1995 war nicht als Sturz geplant. Zumindest nicht offen. Scharping sollte seine Stellung klären. Lafontaine trat nach einer starken Rede und unter Druck vieler Delegierter an. Die Dramaturgie kippte. Auch in Berlin 2026 kippte die Dramaturgie. Kubicki galt als gesetzt. Strack-Zimmermann machte daraus eine echte Wahl. In beiden Fällen verlor der Parteitag seine Routine. Er wurde nicht mehr zum Ritual der Zustimmung. Er wurde zum Ort der Entscheidung. Die dritte Parallele betrifft die Funktion der Gegenkandidatur. Sie war ein Signal an eine gelähmte Partei. Die SPD war 1995 erschöpft. Die Bundestagswahl war verloren. Die Troika wirkte hohl. Die Umfragen sanken. Der Vorsitzende überzeugte viele nicht mehr. Lafontaine erschien in diesem Moment als Ausweg. Die FDP steht 2026 ebenfalls unter Druck. Sie muss erklären, warum sie gebraucht wird. Sie muss erklären, wen sie anspricht. Sie muss erklären, was Liberalismus für sie bedeutet. Strack-Zimmermanns Kandidatur war deshalb mehr als ein persönlicher Versuch. Sie war ein Einspruch. Sie sagte: Dieser Kurs darf nicht ohne Widerspruch beginnen. Die vierte Parallele liegt in alten Rivalitäten. Bei der SPD waren die Konflikte zwischen Scharping, Schröder und Lafontaine lange sichtbar. Der Parteitag machte sie nur offen. Auch bei der FDP war der Konflikt zwischen Kubicki und Strack-Zimmermann nicht neu. Beide stehen für unterschiedliche Tonlagen. Beide stehen für unterschiedliche Milieus. Beide sprechen verschiedene Teile der Partei an. Ein Parteitag kann solche Gegensätze verdecken. Oder er kann sie freilegen. In Berlin wurden sie freigelegt. Doch jetzt kommen die Unterschiede. Sie sind entscheidend. Der erste Unterschied ist einfach. Lafontaine gewann. Strack-Zimmermann verlor. Mannheim 1995 brachte einen Machtwechsel. Berlin 2026 brachte eine Machtwarnung. Lafontaine stürzte den amtierenden Parteichef. Er übernahm sofort die SPD-Führung. Die Machtarchitektur der Partei änderte sich an diesem Tag. Strack-Zimmermann verhinderte Kubicki nicht. Sie schwächte aber seinen Start. Sie zeigte, dass ein großer Teil der Partei ihm nicht einfach folgt. Das ist politisch relevant. Aber es ist nicht dasselbe wie 1995. Der zweite Unterschied betrifft die Rolle der Kandidaten. Scharping war der amtierende Vorsitzende. Seine Abwahl war ein Urteil über seine Führung. Kubicki war dagegen der designierte Erneuerer. Er sollte nach der Krise übernehmen. Darum ist die Symbolik anders. Bei der SPD hieß die Botschaft: Der bisherige Vorsitzende ist gescheitert. Bei der FDP lautet die Botschaft eher: Der geplante Neustart ist umstritten. Das ist ein schwächeres Signal als ein Sturz. Aber es ist stark genug, um Kubicki zu binden. Er kann nun nicht so tun, als habe er ein breites Mandat ohne Einschränkung. Der dritte Unterschied betrifft die Alternative. Lafontaine wurde 1995 zur mehrheitsfähigen Antwort. Seine Rede traf die Stimmung der Delegierten. Er bekam die Mehrheit. Er übernahm. Strack-Zimmermann wurde 2026 zur Stimme einer starken Minderheit. Das ist kein kleiner Befund. Fast 40 Prozent sind viel. Aber sie reichen nicht, um die Richtung zu bestimmen. Damit bleibt ein Spannungsverhältnis. Kubicki führt die FDP. Doch Strack-Zimmermanns Lager ist sichtbar. Es lässt sich nicht mehr übergehen. Gerade darin liegt die eigentliche Pointe. Der Parteitag hat die Richtungsfrage nicht beendet. Er hat sie nur präziser gemacht. Kubicki kann nun versuchen, den konservativ-liberalen Kurs zu schärfen. Er kann stärker auf Wirtschaft, Wachstum und Marktwirtschaft setzen. Er kann Streitfragen offensiver besetzen. Aber er muss zugleich erklären, wie er die Partei zusammenhält. Denn Strack-Zimmermann hat ihn nicht gestürzt. Aber sie hat seine Autorität begrenzt. Das muss nicht schlecht sein. Parteien brauchen Streit. Sie brauchen Konkurrenz. Sie brauchen offene Debatten. Gefährlich wird es erst, wenn Streit nur Personen trifft. Dann bleibt die Sache ungeklärt. Für die FDP ist deshalb nicht die Kampfabstimmung das Problem. Das Problem wäre, wenn danach keine Klärung folgt. Die Partei muss beantworten, was sie künftig sein will. Nur wirtschaftsliberal reicht ihr offenbar nicht mehr. Nur Protest gegen Bürokratie reicht nicht. Nur Abgrenzung gegen andere reicht auch nicht. Sie braucht eine erkennbare Erzählung. Wer soll sie wählen? Unternehmerinnen und Unternehmer? Junge Aufsteiger? Bürgerrechtlich geprägte Liberale? Enttäuschte bürgerliche Wähler? Menschen, die Freiheit sozial absichern wollen? Diese Gruppen schließen sich nicht zwingend aus. Aber sie sprechen nicht automatisch dieselbe Sprache. Hier liegt der Kern der Krise. Die FDP muss entscheiden, ob sie zuspitzt oder verbindet. Kubicki steht eher für Zuspitzung. Strack-Zimmermann steht eher für Ausgleich. Das ist vereinfacht. Aber es trifft den sichtbaren Konflikt. Der Vergleich mit Mannheim hilft also. Er zeigt, dass Parteitage manchmal nur der Moment sind, in dem etwas sichtbar wird. Die Ursachen liegen tiefer. Wahlniederlagen legen Schwächen frei. Schlechte Umfragen verstärken Druck. Unklare Führung öffnet Räume. Dann reicht ein Antrag. Dann reichen 33 Delegierte. Dann wird aus Routine ein Ereignis. Aber der Vergleich darf nicht überzogen werden. Strack-Zimmermann war kein neuer Lafontaine. Sie hatte den Moment. Sie hatte die Bühne. Sie hatte ein starkes Ergebnis. Aber sie hatte nicht die Mehrheit. Darum lautet die sauberste Formel: Berlin 2026 war ein Lafontaine-Moment ohne Lafontaine-Ergebnis. Mannheim 1995 war eine Zäsur. Berlin 2026 ist bisher ein Warnzeichen. Ein Warnzeichen ist weniger als ein Bruch. Aber es kann viel auslösen. Denn Kubicki hat den Vorsitz gewonnen. Den Richtungsstreit hat er nicht gewonnen. Er hat ihn geerbt. Am Ende bleibt ein vorsichtiger Vergleich. Die SPD in Mannheim 1995 und die FDP in Berlin 2026 standen nicht an derselben Stelle. Lafontaine gewann. Strack-Zimmermann verlor. Das ist der entscheidende Unterschied. Doch beide Parteitage zeigen denselben Mechanismus. Wenn eine Partei schwach ist, wird eine Vorsitzendenwahl mehr als eine Personalie. Sie wird zum Ort der Richtungsfrage. Für die FDP heißt das: Kubicki ist gewählt. Aber er startet nicht mit ungeteilter Autorität. Fast 40 Prozent für Strack-Zimmermann sind ein Auftrag zur Klärung. Sie sind auch ein Auftrag zur Einbindung. Die kommenden Monate zeigen, ob Kubicki daraus Stärke macht. Oder ob der Streit weiterarbeitet. Ich bin kein Historiker. Das ist eine persönliche Einordnung. Aber dieser Vergleich hilft mir, den Moment zu verstehen. Nicht als Wiederholung von 1995. Sondern als Hinweis darauf, was in Parteien passiert, wenn Führung und Richtung nicht mehr getrennt werden können. Ihre Einschätzung interessiert uns. Trägt der Vergleich mit Mannheim 1995? Oder führt er in die falsche Richtung? Schicken Sie uns gern einen Kommentar. Am einfachsten geht das mit unserer netkiosk.digital-App. Dort können Sie unsere Episoden hören und uns direkt Rückmeldungen senden. Sie finden die netkiosk.digital-App im Apple App Store.

Hacker, Hersteller und der Moment der Wahrheit

Autor, Sprecher und Episodenbild Thorsten Siefert Technik und Gestaltung Thorsten Siefert Es gilt das gesprochene Wort Sicherheitslücken brauchen keinen Applaus. Sie brauchen einen sauberen Weg zur Behebung. Fehlt dieser Weg, wird aus einem technischen Problem schnell ein öffentlicher Konflikt. Responsible Disclosure soll genau das verhindern. Der Finder einer Lücke meldet sie zuerst an den Anbieter. Der Anbieter reagiert, prüft und schließt die Lücke. Erst danach wird veröffentlicht. So lautet die Idee. Sie schützt Nutzer. Sie schützt IT-Sicherheitsforschende. Und sie zwingt Unternehmen, Verantwortung zu übernehmen. Der Streit zwischen Microsoft und dem IT-Sicherheitsforscher Chaotic Eclipse zeigt die Bruchstellen. Ein Sicherheitsforscher veröffentlicht Schwachstellen und Proofs of Concept. Microsoft verweist auf bewährte Verfahren. Beide Seiten werfen sich Fehler vor. Am Ende stehen Nutzer da und fragen sich, ob ihre Systeme sicher sind. Der Fall ist deshalb mehr als eine IT-Nachricht. Er zeigt, warum jedes Unternehmen einen Plan braucht. Nicht erst nach der ersten Meldung. Sondern vorher. Responsible Disclosure ist kein Gefallen an Unternehmen. Es ist ein Verfahren zum Schutz der Nutzer. Der Ablauf ist einfach. Eine Person findet eine Sicherheitslücke. Sie meldet diese Lücke an den Hersteller. Der Hersteller bekommt Zeit zur Prüfung. Dann folgt ein Patch, eine Warnung oder eine andere Maßnahme. Erst danach wird die Lücke veröffentlicht. Das Ziel ist nicht Geheimhaltung. Das Ziel ist Kontrolle. Denn jede Sicherheitslücke hat zwei Seiten. Auf der einen Seite steht das öffentliche Interesse. Nutzer sollen wissen, wenn Systeme unsicher sind. Sie sollen Updates installieren können. Sie sollen Risiken verstehen. Auf der anderen Seite steht das Missbrauchsrisiko. Wenn Details zu früh öffentlich werden, können Angreifer schneller handeln. Darum braucht Responsible Disclosure klare Regeln. Nicht als Etikette. Sondern als Prozess. Ein guter Prozess beantwortet einfache Fragen. Wo kann eine Lücke gemeldet werden? Wer liest die Meldung? Wie schnell gibt es eine Rückmeldung? Wie wird die Lücke geprüft? Welche Frist gilt bis zur Veröffentlichung? Und was passiert, wenn sich Hersteller und Finder nicht einigen? Diese Fragen klingen trocken. In der Praxis entscheiden sie über Vertrauen. Der aktuelle Streit zwischen Microsoft und Chaotic Eclipse zeigt das deutlich. Chaotic Eclipse tritt auch unter dem Namen Nightmare Eclipse auf. Der Forscher hat mehrere Schwachstellen öffentlich gemacht. Dazu gehören auch Proofs of Concept. Ein Proof of Concept zeigt, dass ein Angriff technisch möglich ist. So ein Nachweis kann sinnvoll sein. Er hilft beim Prüfen. Er kann Hersteller zum Handeln zwingen. Er kann auch Nutzer warnen. Doch ein öffentlicher Proof of Concept erhöht zugleich das Risiko. Denn dann können auch Angreifer den Weg nachvollziehen. Genau hier liegt der Konflikt. Microsoft kritisiert die öffentliche Veröffentlichung. Der Forscher wirft Microsoft schlechte Kommunikation vor. Beide Seiten argumentieren mit Sicherheit. Beide Seiten riskieren aber, Vertrauen zu beschädigen. Für Nutzer ist diese Debatte schwer zu bewerten. Sie brauchen keine Schuldzuweisung. Sie brauchen Schutz. Ein Beispiel ist YellowKey. Dabei geht es um eine Schwachstelle im Umfeld von BitLocker. BitLocker soll Daten auf Windows-Geräten schützen. Besonders wichtig ist das bei verlorenen oder gestohlenen Geräten. Die Schwachstelle betrifft nicht einfach das Prinzip der Verschlüsselung. Sie liegt im Zusammenspiel mit der Wiederherstellungsumgebung. Das ist technisch. Die Folge ist aber leicht zu verstehen. Wer physischen Zugriff auf ein betroffenes Gerät hat, könnte Schutzmechanismen umgehen. Microsoft hat die Schwachstelle als CVE-2026-45585 geführt. Das Unternehmen hat vorläufige Maßnahmen beschrieben. Für Privatnutzer klingt das weit weg, kann sie aber sie aber betreffen, wenn sie beispielsweise Online-Banking nutzen oder ihre Zugangsdaten in einer Worddatei ohne Schutz hinterlegt haben. Für Unternehmen ist es sofort relevant. Laptops verlassen Büros. Mitarbeitende reisen. Geräte liegen in Zügen, Hotels oder Autos. Wenn die Verschlüsselung nicht zuverlässig schützt, entsteht ein reales Risiko. Es geht um E-Mails, Kundendaten, Verträge, Zugangsdaten und interne Dokumente. Auch Messenger-Nutzer sind betroffen, wenn man den Blick weitet. Messenger leben von Vertrauen. Nutzer erwarten, dass Nachrichten geschützt sind. Sie erwarten auch, dass Anbieter schnell reagieren, wenn jemand eine Lücke findet. Ohne klare Meldewege bleiben Fehler länger offen. Oder sie werden abrupt öffentlich. Beides kann Schaden verursachen. Responsible Disclosure ist daher kein Spezialthema für White-Hat-Hacker. Es betrifft Jeden, der IT nutzt. Viele Unternehmen denken erst an den Prozess, wenn die erste Meldung kommt. Dann wird improvisiert. Eine E-Mail landet im falschen Postfach. Die Rechtsabteilung reagiert gereizt. Die IT prüft langsam. Die Geschäftsführung erfährt zu spät davon. Und ein Informationssicherheitsbeauftragter ist nicht bestellt. Der Finder fühlt sich ignoriert. Am Ende eskaliert der Fall. Das ist vermeidbar. Ein Unternehmen braucht eine leicht auffindbare Sicherheitsadresse. Es braucht klare Zuständigkeiten. Es braucht eine Empfangsbestätigung. Es braucht eine technische Prüfung. Es braucht eine Entscheidung über Risiko und Priorität. Es braucht eine saubere Kommunikation mit dem Finder. Wichtig ist auch ein Schutzversprechen. Forschende müssen wissen, woran sie sind. Wer in gutem Glauben handelt, darf nicht sofort als Angreifer behandelt werden. Natürlich gibt es Grenzen. Niemand sollte Daten sammeln, Systeme stören oder produktive Dienste lahmlegen. Niemand sollte fremde Informationen veröffentlichen. Aber eine Strafanzeige als erste Reaktion löst kein Sicherheitsproblem. Sie verschiebt das Problem in den Konflikt. Die CDU kennt das: Im Sommer 2021 erstattete die CDU Strafanzeige gegen die IT-Sicherheitsforscherin Lilith Wittmann, nachdem diese gravierende Sicherheitslücken in der Wahlkampf-App „CDU connect“ aufgedeckt und gemeldet hatte. Nach starker öffentlicher Kritik zog die Partei die Anzeige zurück. Die Staatsanwaltschaft Berlin stellte das Verfahren daraufhin im September 2021 offiziell ein, da die Daten ungeschützt im Netz lagen und der sogenannte „Hackerparagraph“ nicht griff. Kein Ruhmesblatt für die CDU. Auch die andere Seite trägt Verantwortung. Wer eine Lücke findet, sollte sie gezielt melden. Die Beschreibung muss nachvollziehbar sein. Der Nachweis soll so klein wie möglich bleiben. Personenbezogene Daten dürfen nicht gesammelt werden. Angriffe auf Verfügbarkeit sind tabu. Ein öffentlicher Exploit sollte nicht der erste Schritt sein. Responsible Disclosure lebt von zwei Pflichten. Der Finder muss Schaden vermeiden. Das Unternehmen muss ernsthaft und adäquat reagieren. Wenn eine Seite diese Pflicht verletzt, kippt der Prozess. Dann geht es nicht mehr um Behebung. Dann geht es um Druck, Vorwürfe und Deutungshoheit. Genau das hilft Angreifern am meisten. Sie profitieren von Verzögerung. Sie profitieren von Chaos. Sie profitieren von öffentlichen Details ohne fertige Lösung. Darum ist der Microsoft-Fall so lehrreich. Er zeigt keine einfache Heldenrolle. Er zeigt ein Systemproblem. Große Anbieter brauchen belastbare Meldewege. Kleine Anbieter brauchen sie ebenfalls. Behörden brauchen sie. Softwarehäuser brauchen sie. Auch Mittelständler brauchen sie. Ein CVD-Prozess muss nicht kompliziert sein. CVD steht für Coordinated Vulnerability Disclosure. Der Begriff meint die koordinierte Offenlegung. Entscheidend ist nicht das perfekte Dokument. Entscheidend ist, dass der Weg funktioniert. Ein Mindeststandard reicht oft als Start. Erstens: Es gibt eine öffentliche Kontaktadresse für Sicherheitsmeldungen. Zweitens: Der Eingang wird bestätigt. Drittens: Die Meldung bekommt eine Vorgangsnummer. Viertens: Ein technisches Team prüft die Lücke. Fünftens: Das Unternehmen nennt den nächsten Schritt. Sechstens: Es wird geklärt, wann veröffentlicht werden darf. Dazu kommt eine klare Grenze. Das Unternehmen sollte sagen, welche Tests erlaubt sind. Es sollte auch sagen, was nicht erlaubt ist. Kein Denial-of-Service. Kein Brute Force. Kein Social Engineering. Keine Veränderung fremder Daten. Keine massenhafte Sammlung von Daten. Das schafft Sicherheit auf beiden Seiten. Für Unternehmen ist der Prozess auch ein Kulturtest. Eine Schwachstelle ist keine Beleidigung. Sie ist ein Hinweis auf ein Risiko. Wer den Hinweis annimmt, kann handeln. Wer den Hinweis bekämpft, verliert Zeit. Und Zeit ist in der IT-Sicherheit fast immer teuer. Für Sicherheitsforscher gilt Ähnliches. Eine echte Lücke rechtfertigt nicht jeden Schritt. Öffentliche Details können Nutzer gefährden. Ein Proof of Concept kann Druck erzeugen. Er kann aber auch Angreifern helfen. Deshalb braucht es Maß, Dokumentation und Fristen. Responsible Disclosure ist also kein Kuschelkurs. Es ist ein kontrollierter Konflikt. Beide Seiten haben Interessen. Beide Seiten haben Macht. Beide Seiten können Fehler machen. Die beste Lösung ist vorher vereinbart. Nicht im Streit. Nicht auf Social Media. Nicht nach der Eskalation. Für Hörerinnen und Hörer bleibt eine einfache Frage. Hat der Dienst, dem ich vertraue, einen sichtbaren Sicherheitskontakt? Gibt es eine Policy? Steht dort, wie Meldungen behandelt werden? Gibt es ein Versprechen zum Umgang mit gutgläubigen Meldungen? Wenn ja, ist das kein Garant für Sicherheit. Aber es ist ein gutes Zeichen. Wenn nein, fehlt ein wichtiges Stück Verantwortung. Responsible Disclosure verhindert nicht jede Schwachstelle. Das kann kein Verfahren. Aber es kann verhindern, dass aus einer Lücke ein größerer Schaden wird. Es bringt Struktur in einen Moment, der schnell chaotisch wird. Es schützt Nutzer, wenn es ernst wird. Und es zwingt Unternehmen, Sicherheitsmeldungen nicht als Störung zu sehen. Sie sind keine Störung. Sie sind eine Chance zur Reparatur. Der Streit zwischen Microsoft und Chaotic Eclipse zeigt ein altes Problem in neuer Form. Sicherheitslücken sind technisch. Ihr Umgang damit ist organisatorisch. Genau dort scheitern viele Fälle. Responsible Disclosure schafft einen Weg zwischen Verschweigen und Sofortveröffentlichung. Dieser Weg verlangt Disziplin. Forschende müssen sauber melden. Unternehmen müssen erreichbar sein. Sie müssen prüfen, antworten und handeln. Strafanzeigen, öffentliche Schuldzuweisungen und ungeprüfte Exploits machen Systeme nicht sicherer. Sie verschärfen Druck. Sie zerstören Vertrauen. Und sie geben Angreifern oft mehr Zeit oder mehr Wissen. Jedes Unternehmen mit IT sollte deshalb vorbereitet sein. Eine Sicherheitsadresse reicht nicht aus. Es braucht einen Prozess, klare Zuständigkeiten und eine faire Kommunikation. Am Ende zählt nicht, wer lauter war. Am Ende zählt, ob die Lücke geschlossen wurde. Und ob Nutzer danach besser geschützt sind. Ihre Einschätzung interessiert mich. Haben Sie Erfahrungen mit Responsible Disclosure gemacht? Haben Sie Sicherheitslücken gemeldet? Oder arbeitet Ihr Unternehmen bereits mit einem festen Meldeprozess? Schicken Sie uns gern einen Kommentar. Am einfachsten geht das mit unserer App. Episoden hören Sie am besten mit der netkiosk.digital-App. Diese können Sie im Apple App Store downloaden.

Spanien legalisiert illegale Einwanderer

Autor, Sprecher und Episodenbild Yeal Gabriel Gwyneth Spengler Technik und Gestaltung Thorsten Siefert Das sind die Voraussetzungen: kein Einreiseverbot, keine Vorstrafen und Antragsteller müssen nachweisen, dass sie bereits fünf Monate vor dem Ende des Jahres 2025 eingereist sind. Wer diese Bedingungen erfüllt und zurzeit als illegaler Einwanderer in Spanien lebt, kann die Legalisierung seines Aufenthaltes – zunächst für ein Jahr – beantragen. Eine Arbeitserlaubnis gibt es gleich dazu. Neu sind solche Verfahren auf der iberischen Halbinsel nicht, seit 2004 wurde der Aufenthalt von 1,4 Millionen Einwanderern dort mithilfe ähnlicher Verfahren ermöglicht. Jetzt soll dieser Weg weiteren 500.000 Menschen eröffnet werden.  Dabei ist Spanien kein unbedingt migrationsfreundliches Land, die Einreisepolitik ist recht restriktiv. Allerdings: Die Erfahrungen, die seit 2004 mit der Legalisierung sich illegal dort aufhaltender Menschen gemacht wurden, sind ausgesprochen positiv. Spanien hatte im vergangenen Jahr ein Wirtschaftswachstum von 2,8 %. Experten sind sich einig, dass die einst ungebetenen Gäste, die mittlerweile spanische Bürger geworden sind, dazu einen nicht unerheblichen Beitrag geleistet haben. Tatsache ist: Genau wie andere europäische Länder hat Spanien ein Problem mit dem Bevölkerungswachstum, einfach ausgedrückt: Die Spanier haben zu wenig Nachwuchs, der Anteil der alten Menschen im Land wächst stetig. Und Arbeitskräfte fehlen. Will man also die Rentenkasse zahlungsfähig halten und die Arbeitsplätze im Land besetzen, kommt man nicht umhin, das Land weiter zu öffnen. Warum nicht für diejenigen, die jetzt bereits – wenngleich ohne Aufenthaltserlaubnis – in Spanien leben und arbeiten.  Kritik an dem Vorgehen der linksgerichteten spanischen Regierung, die übrigens in ihrem Vorhaben auch von den Arbeitgeberverbänden und der Kirche unterstützt wird, kommt von Rechts: Man belohne Menschen, die illegal ins Land gekommen seien und gegen die europäische Migrationspolitik verstoße man auch.  Und die Spanier selbst sind sich der Tatsache bewusst, dass Wirtschaft und Sozialsysteme von dem Legalisierungsverfahren profitieren. Ihre Regierung setzt sich für eine offene und empfangende Gesellschaft ein, das Ausländerrecht wurde kürzlich reformiert.   Überlastete Sozialsysteme, zu geringe Geburtenraten, fehlende Fach- und Arbeitskräfte – diese Faktoren ergeben die Motivation für eine wenigstens in Teilen nicht so restriktive Einwanderungspolitik Spaniens, die von großem Pragmatismus, von der Anerkennung längst bestehender Realitäten getragen wird. Und die Wirtschaftsdaten zeigen, dass dies ein vernünftiger Ansatz ist. Hinzu kommt, dass sich die Integration gerade von Einwandern aus Südamerika wohl aufgrund der gemeinsamen Sprache recht schnell vollzieht.  Klar ist: Die Zuwanderung nach Europa muss reguliert werden, muss kontrolliert erfolgen, muss eine gleichmäßige Verteilung der Menschen auf die einzelnen Länder anstreben. Klar ist aber auch, dass die Notwendigkeit einer Zuwanderung nicht zuletzt für die wirtschaftliche Zukunft des Kontinents unabdingbar ist. Es gibt also kein Entweder Oder. Schon deshalb ist die momentan sehr restriktive Einwanderungspolitik der EU-Länder überdenkenswert.

Der Messenger ist sicher. Der Mensch bleibt angreifbar

Autor, Sprecher und Episodenbild Thorsten Siefert Technik und Gestaltung Thorsten Siefert Es gilt das gesprochene Wort Die Sicherheitslage wirkt derzeit wie ein Dauerfeuer. Im April wurden mehrere Vorfälle bekannt. In Frankreich meldete die Behörde ANTS einen Datenabfluss. Diese Behörde ist für Ausweise, Führerscheine und andere Dokumente zuständig. Ein Angreifer behauptete, Zugriff auf Daten von 18 bis 19 Millionen Personen gehabt zu haben. In Großbritannien tauchten Gesundheitsdaten und genetische Daten von rund 500.000 Personen auf einer Handelsplattform auf. Auch Fraport meldete mögliche unbefugte Zugriffe auf Kundenkonten. Betroffen sein konnten Namen, Geburtsdaten, Kontaktdaten, Bestellhistorien und Parkplatzbuchungen. Der Kosmetikhersteller Rituals meldete ebenfalls einen Abfluss von Kundendaten. Dazu kommen Warnungen vor alten Sicherheitslücken, Angriffen auf Router, verwundbaren Servern und riskanten Cloud-Freigaben. Auch die EU-Altersverifizierung geriet in die Kritik. Nur einen Tag nach dem Start soll ein Sicherheitsberater die App in unter zwei Minuten überwunden haben. Er konnte laut Bericht die PIN zurücksetzen und biometrische Kontrollen umgehen. Diese Beispiele zeigen ein bekanntes Muster. Manchmal liegt das Problem im Code. Manchmal liegt es in einer schlechten Konfiguration. Manchmal liegt es in alten Systemen, die nie sauber gepflegt wurden. Und manchmal liegt das Problem vor dem Bildschirm. Genau dort setzt Phishing an. Der aktuelle Fall betrifft den Messenger Signal. Signal gilt aus guten Gründen als sicher. Die App verschlüsselt Nachrichten Ende zu Ende. Das heißt: Eine Nachricht wird auf dem Gerät des Absenders verschlüsselt. Sie wird erst auf dem Gerät des Empfängers wieder lesbar. Dazwischen können Betreiber, Provider oder Dritte den Inhalt nicht einfach mitlesen. Das ist ein großer Fortschritt. Vor allem für Politik, Journalismus, Aktivismus und vertrauliche Arbeit. Früher brauchte man für vergleichbaren Schutz oft komplizierte E-Mail-Verschlüsselung. Heute reicht eine App, die viele Menschen bedienen können. Genau deshalb ist Signal so verbreitet. Doch starke Verschlüsselung löst nicht jedes Problem. Sie schützt den Weg der Nachricht. Sie schützt nicht automatisch vor einer Person, die ihren eigenen Zugang herausgibt. Hier liegt der Unterschied zwischen Hack und Phishing. Ein Hack meint im Alltag meist einen technischen Einbruch. Angreifer finden eine Schwachstelle in Software. Sie nutzen einen Fehler im System. Sie umgehen Schutzmechanismen. Sie verschaffen sich Zugang, ohne dass der Nutzer aktiv hilft. Ein Beispiel wäre eine ungepatchte Sicherheitslücke in einem Server. Oder eine App, die sensible Daten falsch speichert. Phishing funktioniert anders. Beim Phishing wird nicht zuerst das System angegriffen. Beim Phishing wird die Person angegriffen. Angreifer bauen eine glaubwürdige Geschichte. Sie geben sich als Support aus. Oder als Bank. Oder als Dienstleister. Oder als Kollege. Dann erzeugen sie Druck. Sie behaupten, ein Konto sei gefährdet. Sie drohen mit Sperrung. Sie bitten um schnelle Bestätigung. Sie wollen eine PIN, einen Code oder einen Klick. Der Angriff läuft also über Vertrauen. Nicht über einen Programmfehler. Genau das macht ihn so wirksam. Bei Signal sieht die Masche offenbar so aus: Eine Nachricht kommt von einem angeblichen Signal-Support. Sie warnt vor verdächtigen Aktivitäten. Sie fordert den Nutzer auf, etwas zu prüfen. Dann soll ein Code weitergegeben werden. Oder eine PIN. Oder ein QR-Code soll gescannt werden. Für den Nutzer sieht das nach Sicherheit aus. In Wahrheit wird damit ein fremdes Gerät verknüpft. Oder das Konto wird neu registriert. Die Angreifer erhalten dann Zugriff. Sie sehen Kontakte. Sie sehen Gruppen. Sie können unter Umständen Chats mitlesen. Sie können sich als die betroffene Person ausgeben. Das ist besonders gefährlich in politischen Netzwerken. Dort reicht ein kompromittiertes Konto oft nicht allein. Ein Konto öffnet Gruppen. Gruppen öffnen Netzwerke. Netzwerke öffnen neue Ziele. So entsteht eine Kette. Ein gehacktes Vertrauen führt zum nächsten Angriff. Wichtig ist dabei: Signal wird dadurch nicht automatisch unsicher. Die Verschlüsselung kann technisch intakt sein. Der Dienst kann korrekt funktionieren. Und trotzdem kann ein Konto übernommen werden. Das klingt widersprüchlich. Ist es aber nicht. Ein guter Tresor schützt seinen Inhalt. Aber er schützt nicht davor, dass jemand den Code freiwillig verrät. Genau darum geht es hier. Der falsche Signal-Support bricht nicht die Tür auf. Er bringt den Besitzer dazu, sie selbst zu öffnen. Nach Berichten hat die Attacke inzwischen höchste politische Ebenen erreicht. Zwei Ministerinnen und die Bundestagspräsidentin sollen auf die Masche hereingefallen sein. Damit könnten Kontakte, Telefonnummern, Netzwerke und Chat-Inhalte offengelegt worden sein. Solche Fälle sind mehr als peinlich. Sie sind sicherheitspolitisch relevant. Politische Kommunikation enthält Termine. Kontakte. Strategien. Persönliche Einschätzungen. Manchmal auch vertrauliche Hinweise. Wenn Angreifer solche Informationen lesen, entsteht Schaden. Nicht nur für einzelne Personen. Auch für Institutionen. Auch für Quellen. Auch für Menschen, die in Gruppen mitschreiben. Die Attacke ist laut Berichten nicht neu. Diese Art des Phishings ist mindestens seit September 2025 im Umlauf. Schon früh waren Abgeordnete im Visier. BSI und Verfassungsschutz warnten Anfang 2026 offiziell vor solchen Angriffen. Laut BSI ist charakteristisch, dass keine Schadsoftware eingesetzt wird. Es wird auch keine technische Schwachstelle im Messenger ausgenutzt. Die Angreifer nutzen legitime Funktionen. Sie kombinieren diese mit Social Engineering. Social Engineering heißt: Menschen werden manipuliert. Sie sollen aus Angst, Hilfsbereitschaft oder Zeitdruck falsch handeln. Der aktuelle Schwerpunkt liegt bei Signal. Ähnliche Methoden sind aber auch bei WhatsApp denkbar. Das liegt an der Struktur solcher Dienste. Viele Messenger nutzen Telefonnummern. Viele erlauben neue Geräte. Viele arbeiten mit Codes. Viele bieten Sicherheitsfunktionen, die Nutzer verstehen müssen. Das ist kein Fehler an sich. Aber es schafft Angriffsflächen. Vor allem, wenn Menschen nicht wissen, was ein Code bedeutet. Ein SMS-Code ist kein Formularfeld für den Support. Eine PIN ist kein Nachweis der Identität gegenüber Fremden. Ein QR-Code ist nicht automatisch harmlos. Ein verknüpftes Gerät ist ein echter Zugang. Wer diese Begriffe nicht kennt, kann getäuscht werden. Das ist kein persönliches Versagen allein. Es ist ein Bildungsproblem. Digitale Sicherheit wird oft zu spät erklärt. Viele Menschen lernen erst nach einem Schaden, wie solche Angriffe funktionieren. Das reicht nicht. Man braucht einfache Regeln. Die erste Regel lautet: Der Signal-Support schreibt Sie nicht auf Signal an. Wer eine solche Nachricht bekommt, sollte nicht antworten. Nicht diskutieren. Nicht testen. Nicht klicken. Nicht scannen. Die zweite Regel lautet: Geben Sie niemals eine Signal-PIN weiter. Auch nicht an einen angeblichen Support. Auch nicht an eine Behörde. Auch nicht an eine bekannte Person, die danach fragt. Die dritte Regel lautet: Geben Sie keinen SMS-Code weiter. Ein Code ist oft der Schlüssel zur Anmeldung. Wer ihn weitergibt, gibt Kontrolle ab. Die vierte Regel lautet: Scannen Sie keinen QR-Code aus einer unerwarteten Nachricht. Ein QR-Code kann ein Gerät koppeln. Dann liest jemand mit. Die fünfte Regel lautet: Prüfen Sie regelmäßig die verknüpften Geräte. In Signal gibt es dafür einen Bereich in den Einstellungen. Unbekannte Geräte müssen sofort entfernt werden. Die sechste Regel lautet: Aktivieren Sie die Registrierungssperre. Sie erschwert die Übernahme des Kontos. Sie ersetzt keine Vorsicht. Aber sie erhöht die Hürde. Die siebte Regel lautet: Nutzen Sie selbstlöschende Nachrichten, wenn Inhalte sensibel sind. Das verhindert keinen Angriff. Aber es begrenzt den Schaden. Die achte Regel lautet: Verbergen Sie Ihre Telefonnummer, wo das sinnvoll ist. Nicht jeder Kontakt muss Ihre Nummer sehen. Die neunte Regel lautet: Verifizieren Sie wichtige Kontakte über einen zweiten Kanal. Rufen Sie an. Schreiben Sie eine E-Mail. Fragen Sie persönlich nach. Vertrauen Sie nicht nur einer Nachricht im Messenger. Die zehnte Regel lautet: Wenn Sie schon reagiert haben, handeln Sie sofort. Ändern Sie die Signal-PIN. Prüfen Sie verknüpfte Geräte. Entfernen Sie unbekannte Geräte. Melden und blockieren Sie den verdächtigen Kontakt. Wenn Sie keinen Zugriff mehr haben, warnen Sie Ihre Kontakte. Nutzen Sie dafür einen anderen Kanal. Bitten Sie Gruppen, das kompromittierte Konto zu entfernen. Erstellen Sie sensible Gruppen neu. Kontaktieren Sie den echten Signal-Support. Wichtig ist auch der Blick auf die Sprache. Wer hier nur von einem Signal-Hack spricht, lenkt falsch ab. Dann klingt es so, als sei vor allem die App kaputt. Das trifft den Kern nicht. Der Angriff richtet sich gegen das Verhalten der Nutzer. Er nutzt die Oberfläche eines sicheren Dienstes. Er versteckt Betrug hinter Sicherheitsbegriffen. Genau deshalb ist Aufklärung so wichtig. Ein Verbot von Signal würde das Problem nicht lösen. Phishing gibt es per E-Mail. Per SMS. Per Telefon. Per WhatsApp. Per Teams. Per Brief. Und theoretisch auch per Fax. Niemand fordert ernsthaft, E-Mail zu verbieten, weil dort Phishing vorkommt. Die richtige Antwort ist eine andere. Menschen müssen wissen, wie solche Angriffe aussehen. Institutionen müssen schnell warnen. Behörden müssen klare Regeln geben. Organisationen müssen ihre Mitarbeiter schulen. Und Führungspersonen müssen dieselben Regeln einhalten wie alle anderen. Sicherheit entsteht nicht durch eine App allein. Sie entsteht durch Technik, Prozesse und Verhalten. Signal kann starke Verschlüsselung liefern. Nutzer müssen Zugänge schützen. Organisationen müssen Krisenwege üben. Dazu gehört ein einfacher Plan. Was passiert, wenn ein Konto übernommen wird? Wer informiert die Kontakte? Wer löscht Gruppen? Wer prüft Geräte? Wer meldet den Vorfall? Wer entscheidet, ob eine neue Telefonnummer nötig ist? Diese Fragen müssen vorher geklärt sein. Nicht erst, wenn der Schaden da ist. Phishing bleibt so erfolgreich, weil es alltäglich wirkt. Eine Nachricht kommt an. Sie klingt dringend. Sie nutzt bekannte Symbole. Sie spricht von Sicherheit. Sie fordert eine kleine Handlung. Genau diese kleine Handlung kann reichen. Darum hilft eine einfache innere Bremse. Sobald eine Nachricht Druck macht, stoppen. Sobald ein Code verlangt wird, stoppen. Sobald ein QR-Code unerwartet kommt, stoppen. Sobald ein Support über einen privaten Chat schreibt, stoppen. Dann prüfen. Nicht in der Nachricht. Nicht über den Link. Nicht über den Absender. Sondern über einen unabhängigen Weg. Das ist unbequem. Aber es schützt. Der Fall Signal zeigt also zwei Dinge zugleich. Erstens: Sichere Messenger bleiben wichtig. Zweitens: Sichere Messenger machen uns nicht automatisch sicher. Wer vertraulich kommuniziert, braucht beides. Gute Technik. Und klare Gewohnheiten. Abschluss Der wichtigste Satz bleibt einfach: Geben Sie keine PIN weiter. Geben Sie keinen SMS-Code weiter. Scannen Sie keinen unerwarteten QR-Code. Auch dann nicht, wenn die Nachricht nach Support aussieht. Auch dann nicht, wenn sie Druck macht. Auch dann nicht, wenn sie von einem bekannten Konto kommt. Prüfen Sie verknüpfte Geräte. Aktivieren Sie die Registrierungssperre. Nutzen Sie selbstlöschende Nachrichten, wenn Inhalte sensibel sind. Und sprechen Sie über solche Fälle. Phishing lebt davon, dass Menschen sich schämen. Sicherheit wächst, wenn Menschen warnen. Schreiben Sie uns gern Ihre Erfahrungen, Hinweise und Fragen zur Folge. Am einfachsten geht das über unsere App. Episoden hören Sie am besten mit der netkiosk.digital-App. Sie finden sie im Apple App Store.