Connect with us

Datenschutz & Sicherheit

Hunderttausende Anfragen bei Polizei und Verfassungsschutz


Während die Stars der Fußball-EM vergangenes Jahr auf dem Platz standen, machten viele Menschen im Hintergrund das Turnier erst möglich: Sicherheitspersonal checkte Tickets und Gepäck, Journalist:innen berichteten über die Spiele, Freiwillige halfen den Besucher:innen in vielen deut­schen Städten. Sie alle werkelten oft hinter den Kulissen und bekamen darum Zutritt zu besonderen Bereichen.

Doch wer bei der Europameisterschaft arbeiten wollte und dabei auch Zugang zu Bereichen hatte, in die man als Fan nicht so leicht kam, brauchte in der Regel eine Akkreditierung. Um zu vermei­den, dass Menschen akkreditiert werden, die eine Sicherheitsgefahr darstellen könnten, überprüften Polizei und Verfassungsschutz wohl eine sechsstellige Anzahl an Menschen. Das war nicht überall legal, kritisieren Datenschützer:innen.

Wie eine Zuverlässigkeitsüberprüfung funktioniert

Der Fachbegriff für solche Background-Checks heißt „Zuverlässigkeitsüberprüfung“. Bei einer sol­chen Zuverlässigkeitsüberprüfung prüft die Polizei anhand eigener Daten, ob sie zu einer Person si­cherheitsrelevante Erkenntnisse gespeichert hat. Anschließend teilt sie dem Veranstalter mit, ob sie Bedenken hat, dass eine solche Person beispielsweise als Security auf einem Festival oder einem Fußballspiel arbeitet.

Auch wenn sich die Rechtslage bei Großveranstaltungen je nach Bundesland unterscheidet, grund­sätzlich müssen die Betroffenen vor der Überprüfung durch die Behörden informiert werden und einwilligen. Neben Großveranstaltungen gibt es solche Überprüfungen auch im Waffenrecht.

Wie beim Waffenrecht war bei der Fußball-EM der Verfassungsschutz in vielen Fällen mit von der Partie, einige Bundesländer fragten auch dort an. In einem sogenannten „Massendatenverfahren“ glich das Bundesamt für Verfassungsschutz (BfV) die Daten der zu akkreditierenden Personen au­tomatisiert mit den eigenen Dateisystemen ab. Das hat uns das Innenministerium in Baden-Würt­temberg auf Anfrage erklärt. Lediglich bei potenziellen Übereinstimmungen schaute das BfV genauer hin oder gab den Fall an das jeweilige Landesamt für Verfassungsschutz weiter. Am Ende übermit­telte der Bundesverfassungsschutz ein Gesamtvotum zu jeder Akkreditierung an die zustän­digen Genehmigungsbehörden.

Von Security bis Catering: Hunderttausende Anfragen

Die Überprüfung geschah bei einer großen Anzahl an Menschen. Ein Sprecher der Berliner Da­tenschutzbeauftragten schreibt auf unsere Anfrage, dass folgende Personengruppen „standardmä­ßig“ betroffen waren:

  • UEFA-Volunteers
  • private Sicherheits- und Ordnungsdienste
  • Catering und Reinigungskräfte
  • sonstige Mitarbeitende im Sicherheitsbereich (inklusive Mitarbeitende der Euro 2024 GmbH)
  • Medienvertretende/Journalist:innen und Broadcaster (nur, wenn diese nicht bereits innerhalb der letzten zwölf Monate zuverlässigkeitsüberprüft wurden)
  • Sponsorenvertretende mit Arbeitsauftrag
  • Personal der Stadionbetreiberin
  • Medizinische Dienstleister
  • Hospitality-Mitarbeitende, auch in den Teamhotels

Wie viele Menschen genau überprüft wurden, lässt sich schwer sagen. Das Bundesamt für Verfas­sungsschutz spricht auf Anfrage lediglich von einer „großen Anzahl“. Unsere Presseanfragen in mehreren Bundesländern, in denen EM-Spiele stattfanden, deuten aber auf mehr als 100.000 überprüfte Menschen hin.

Die Berliner Polizei schreibt uns auf Anfrage, dass sie im Rahmen der EM allein für die Akkreditie­rungen für das Berliner Stadion, die Fanzone und Teamhotels über 75.000 Datensätze überprüft hat. Das Innenministerium in Nordrhein-Westfalen spricht von 90.000 An­fragen für Zuverlässigkeitsüberprüfungen. In Hamburg waren es bei den Spielen mehr als 53.000 Über­prüfungen. In all diesen Bundesländern wurde der Verfassungsschutz automatisch von der Polizei mit angefragt. Die zuständige Stelle in Baden-Württemberg konnte keine Zahlen nennen.

Bei der Interpretation der Zahlen ist Vorsicht geboten. So schreibt uns ein Sprecher der Polizei Ber­lin, dass es auch immer wieder zu Mehrfachüberprüfungen gekommen sei, etwa wenn eine Person für mehrere EM-Spiele in verschiedenen Ländern akkreditiert wurde. „Zudem ist eine hohe Anzahl von Personen aufgrund von abweichenden Personalien/Personendaten wiederholt geprüft worden“, schreibt uns der Sprecher.

Doch selbst wenn man solche Dopplungen großzügig einrechnet: Es erscheint plausibel, dass der Verfassungsschutz am Ende eine sechsstellige Anzahl von Menschen überprüfte. Die Zahl der durch Polizeien überprüften Menschen liegt noch höher, schließlich fragten nicht alle Bundesländer automatisch beim Verfassungsschutz an.

Fehlende Rechtsgrundlage in NRW

Die Praxis bei der EM stieß bei Datenschützer:innen auf harsche Kritik. In Nordrhein-Westfalen, wo vier der acht Spielorte lagen, kritisierte die Datenschutzbeauftragte Bettina Gayk, dass die Rechts­grundlage für solche Überprüfungen völlig fehle.

„Um das Gefahrenpotenzial gering zu halten, wurden die vielen Helfer:innen bei den Spielen, in den Stadien und drumherum von der Polizei NRW intensiv durchleuchtet. Im Rahmen der Akkredi­tierung kam es zu einer massenhaften Überprüfung bei den deutschen Sicherheitsbehörden. […] Solche Eingriffe durch den Staat und seine Behörden erfordern immer eine ausdrückliche gesetzli­che Grundlage“, schrieb Gayk in ihrem letzten Tätigkeitsbericht.

Innenministerium und Landeskriminalamt (LKA) verweisen wiederum auf § 9 des Polizeigesetzes NRW. Der Paragraf erwähnt weder Zuverlässigkeitsüberprüfungen noch Großveranstaltungen, er­laubt der Polizei aber Datenverarbeitungen unter bestimmten Voraussetzungen wie etwa einer Ein­willigung.

Nur eine Einwilligung reicht nicht

Laut der Landesdatenschutzbeauftragen von NRW ist das nicht ausreichend: Solche Einwilligungen seien nicht wirksam, „weil sie nicht freiwillig erteilt werden, denn diejenigen, die an der Spielorga­nisation beteiligt sein wollen oder in den Stadien arbeiten wollen, waren gezwungen einzuwilligen.“

Zwar ist die Einwilligung der Betroffenen auch Bestandteil von Gesetzen zu Zuverläs­sigkeitsüberprüfungen in anderen Bundesländern wie etwa in Berlin, allerdings habe diese dort eine andere Funktion. Dort habe „die Einwilligung nicht eine konstituierende Wirkung für das Verfahren, sondern soll denjenigen, die sich der gesetzlichen Überprüfungspflicht nicht unterwerfen wollen, die Möglichkeit zum Rückzug aus der gesetzlich vorgeschriebenen Überprüfung eröffnen“, schreibt uns ein Sprecher der NRW-Datenschutzbeauftragten. Einfacher formuliert: Die Überprüfung kann sich nicht nur auf die Einwilligung stützen, es brauche zusätzlich ein Gesetz, welches solche Über­prüfungen speziell regelt.

Datenschutzbeauftrage Gayk fordert die Regierung und das Parlament in NRW auf, endlich eine „tragfähige“ Rechtsgrundlage zu schaffen. „Über die Notwendigkeit einer solchen Regelung be­stand bisher auch Konsens mit dem Innenministerium, das seine Auffassung vor einiger Zeit überra­schend geändert hat“, teilt uns der Sprecher der Datenschutzbeauftragten mit. Die Datenschutzbe­auftragte habe das Ministerium auch darauf hingewiesen, dass man solche Datenübermittlungen künftig stoppen könnte. Eine solche Untersagung ermöglicht das Datenschutzrecht in NRW.

Das Innenministerium in NRW bleibt auf Anfrage bei seiner Posititon: „Die speziellen Rechts­grundlagen, die aufgrund dieser Kritik in anderen Ländern geschaffen wurden, halten weiterhin an dem Instrument der Einwilligung fest. Insoweit ist hier kein datenschutzrechtlicher ‘Mehrwert’ er­kennbar.“ Auch der „gewerbliche Charakter“ von Großveranstaltungen spreche gegen eine Vor­schrift im Polizeigesetz, führt der Sprecher des Innenministeriums weiter aus. „Diese Einschätzung ist auf keine Einwände bei den für die UEFA EURO 2024 zuständigen Bundesbehörden gestoßen, so dass der Datenaustausch auf der geltenden Rechtsgrundlage durchgeführt werden konnte.“

Berlin: Verfassungsschutz-Anfrage nicht von Gesetz gedeckt

NRW ist laut der dortigen Datenschutzbehörde mittlerweile eines der letzten Bundesländer ohne Rechtsgrundlage für Zuverlässigkeitsüberprüfungen bei Großveranstaltungen. In Berlin regelt das der Paragraf 45 des Berliner Allgemeinen Sicherheits- und Ordnungsgesetzes (ASOG). Doch dessen Grenzen hat die Polizei in der Hauptstadt überschritten, bemängelt Meike Kamp, die Berliner Beauftragte für Datenschutz. Denn vom Verfassungsschutz oder anderen Geheimdiensten ist in dem Paragrafen keine Rede.

Allerdings wurde eine mögliche Übermittlung an Verfassungsschutzämter in den Datenschutzinfor­mationen zu den Sicherheitsüberprüfungen erwähnt, die Betroffene unterschreiben mussten – ge­nauso wie der Zoll, der militärische Abschirmdienst oder der Bundesnachrichtendienst. Für die Ber­liner Datenschutzbeauftragte ist dieser Hinweis aber nicht ausreichend, weil der erste Satz des Info-Schreibens „Ihre personenbezogenen Daten können […] übermittelt werden“ im Allgemeinen nicht so verstanden werde, dass die Daten in jedem Fall übermittelt würden.

Kamp schreibt daher in ihrem Tätigkeitsbericht: „Nach der Rechtsprechung des Bundesverfas­sungsgerichts bedarf jeder Eingriff in das Recht auf informationelle Selbstbestimmung einer klaren und bestimmten gesetzlichen Grundlage.“

„Verschränkung“ zwischen Polizei und Geheimdienst

Dies gelte umso mehr bei einer Datenübermittlung zwischen Polizei und Geheimdiensten. Denn während die Polizei konkrete Gefahren abwehre und dabei an enge rechtliche Voraussetzungen ge­bunden sei, betreiben die Inlandsgeheimdienste eine weitreichende Vorfeldaufklärung mit nachrich­tendienstlichen Mitteln. „Eine routinemäßige Verschränkung dieser unterschiedlichen Aufgabenbe­reiche durch Datenaustausch und eine weitreichende Zweckänderung der erhobenen Daten unter­läuft die verfassungsrechtlich gebotene Trennung zwischen Polizei und Nachrichtendiensten“.

Laut Berliner Polizei gaben die Verfassungsschutzbehörden den Inhalt ihrer Erkenntnisse nicht wei­ter, „sondern lediglich eine Rückmeldung, ob dort sicherheitsrelevante Erkenntnisse vorliegen oder nicht“. Regelanfragen an den Verfassungsschutz seien nur im Akkreditierungsverfahren für die Eu­ropameisterschaft erfolgt und „kein regelmäßiger Bestandteil der Überprüfungen durch den Polizei­lichen Staatsschutz des Landeskriminalamts Berlin“, teilte ein Sprecher auf netzpolitik.org-Anfrage mit.

Man teile die Rechtsauffassung der Berliner Datenschutzbeauftragten nicht. „Eine Änderung der Praxis ist aus hiesiger Sicht nicht erforderlich oder geboten“, schreibt der Sprecher der Polizei Ber­lin.

Hamburg: Anfrage beim Verfassungsschutz vorgeschrieben

Während die Polizei in Berlin die Anfragen beim Verfassungsschutz eher aus Ausnahme darstellt, ist es in Hamburg die Regel.

Das Gesetz über die Datenverarbeitung der Polizei (PolDVG) schreibt vor, dass die Polizei die Daten auch mit den Dateien des Verfassungsschutzes abgleicht. Dement­sprechend geschah dies auch bei allen Zuverlässigkeitsüberprüfungen im Rahmen der EM.

Sachsen: Datenschutzbehörde überzeugte Polizei

Doch nicht überall hat die Polizei bei jeder Zuverlässigkeitsüberprüfung auch den Verfassungs­schutz angefragt. In Sachsen konnte die Landesdatenschutzbeauftrage die Polizei von dieser Idee abbringen. Auch dort gibt es laut Datenschutzbehörde keine Rechtsgrundlage für Datenübermittlun­gen an den Verfassungsschutz bei Zuverlässigkeitsüberprüfungen.

„Die Polizeiführung zeigte sich offen für unsere Argumentation und hat im Ergebnis auf Regelab­fragen bei Verfassungsschutzbehörden verzichtet; vorbehalten hat sie sich Anfragen an Verfassungs­schutzbehörden im Einzelfall bei konkreten Anhaltspunkten für Gewaltbereitschaft im Zusammen­hang mit verfassungsfeindlichen Aktivitäten“, schreibt die sächsische Landesdatenschutzbeauftrage auf Anfrage von netzpolitik.org.

Auch die Bayerische Polizei hat „keine Regelanfragen an das Bundesamt für Verfassungsschutz oder das Bayerische Landesamt für Verfassungsschutz gerichtet“, wie uns ein Sprecher schreibt. Laut dem Bayerischen Datenschutzbeauftragten schließt das Bayerische Polizeigesetz solche Über­mittlungen nicht aus. Die Polizei müsse aber begründen, warum dies erforderlich sei.

Nicht nur ein Fußball-Thema

Ob mit Verfassungsschutz oder ohne, ob mit Rechtsgrundlage oder nicht – die Praxis bei den Zuver­lässigkeitsüberprüfungen ist kompliziert und unterscheidet sich offenbar sehr nach den jeweiligen Bundesländern. Dabei stellen sich die durch die Europameisterschaft aufgeworfenen Fragen auch jenseits des Fußballs.

Die nordrhein-westfälische Datenschutzbeauftragte verweist auf große Musikfestivals in NRW. In Berlin hat die Landesbeauftragte für Datenschutz auch eine Zuverlässigkeitsüberprüfung im Rah­men des Christopher Street Day diskutiert: Dort überprüfte die Polizei auf Bitten der Veranstalter:innen die Fahrer:innen der Paradewagen.



Source link

Verwandte Themen:
Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

Polizei überprüft 1.600 psychisch erkrankte Menschen


„Psychisch Auffällige, Vielschreiber, Gewalttäter“ lautet der Name einer Taskforce, die es seit Februar 2025 beim hessischen Landeskriminalamt gibt. „Behörden intensivieren Umgang mit psychisch Kranken“ titelte das hessische Innenministerium zum Start der mit PAVG abgekürzten Taskforce in einer Pressemitteilung.

Die Arbeitsgruppe soll alle Personen in Hessen überprüfen, die bereits im Auskunftssystem der Polizei gespeichert sind und deren Einträge einen bestimmten Zusatzhinweis haben, den sogenannten personengebundenen Hinweis. Davon gibt es bundesweit mehrere, zum Beispiel: „bewaffnet“, „gewalttätig“, „Ausbrecher“, „Ansteckungsgefahr“, „Betäubungsmittelkonsument“ oder „Explosivstoffgefahr“. Oder eben „Psychische und Verhaltensstörung“, kurz „PSYV“. Diese Hinweise sollen der Polizei bei einer Identitätsfestellung ermöglichen, sich selbst oder die Person zu schützen.

Einen PSYV-Vermerk gibt es aktuell zu rund 1.600 Menschen in Hessen, schreibt das dortige Innenministerium auf Anfrage. Diese Menschen geht die Taskforce nun systematisch durch, um sie „im Hinblick auf eine bestehende Gefahr/ein bestehendes Risiko zur Begehung einer schweren Gewalttat“ zu bewerten. Das Ministerium betont, es gehe ausschließlich um Personen, die bereits polizeilich in Erscheinung getreten sind und bei denen eine „ärztlich attestierte psychische Erkrankung“ vorliege. Das kann beispielsweise dann der Fall sein, wenn die Schuldfähigkeit einer Person durch ein Gutachten überprüft wird oder ein Sachverständiger bei der zwangsweisen Unterbringung in einer Klinik konsultiert wird.

Psychisch erkrankt mit „Risikomarker“

„Aus einer Erkrankung alleine resultiert nicht zwingend eine Gefahr“, heißt es. „Im Fokus“ stünden diejenigen, die „einen Risikomarker zur Begehung einer schweren Gewalttat“ aufweisen. Das Innenministerium listet exemplarisch auf, was ein solcher Risikomarker sein kann: Gewaltaffinität oder Gewaltanwendung, Substanzmittelmissbrauch, akute Krisen wie Suizidalität, Hinweise auf Wahn oder Psychosen oder aktuell ausgesprochene Drohungen gegen andere.

Einige dieser Marker dürften auf sehr viele psychisch erkrankte Personen zutreffen. Es kommt etwa sehr häufig vor, das eine Person sowohl eine Substanzabhängigkeit als auch bestimmte psychische Erkrankungen hat.

Laut Robert-Koch-Institut erhielten im Jahr 2023 40,4 Prozent der Erwachsenen in Deutschland eine Diagnose für eine psychische Störung. Psychische Erkrankungen können sich bei Betroffenen ganz unterschiedlich auswirken und zeigen, sie haben teils so wenig miteinander zu tun wie ein Beinbruch mit einem Magengeschwür.

Ein internationales Klassifikationssystem für Krankheiten listet unter „Psychische und Verhaltensstörungen“ eine Vielzahl von Erkrankungen auf. Dazu gehören etwa Demenz bei einer Alzheimer-Erkrankung, Essstörungen, soziale Phobien als auch paranoide Schizophrenie. Manche der Erkrankungen haben organische Ursachen, andere werden von äußeren Faktoren ausgelöst. Manche verlaufen chronisch, bei anderen treten Beschwerden akut und vorübergehend auf. Über einen Kamm scheren lassen sie sich nicht.

“Erfahrungswissen im Umgang mit psychisch auffälligen Personen“

Doch wie genau funktioniert die Einschätzung der Taskforce und welche Mittel stehen ihr dabei zur Verfügung? Derzeit arbeiten beim Landeskriminalamt 19 Personen in der Arbeitsgruppe, schreibt das Innenministerium. Die meisten davon stammten „aus Organisationseinheiten, welche sich grundsätzlich mit der Bearbeitung von Gefährdungssachverhalten beschäftigen“. Daher würden sie auch „im Umgang mit psychisch auffälligen Personen über entsprechendes Erfahrungswissen verfügen“. Hessen arbeite bereits seit mehreren Jahren mit einem „polizeilichen Bedrohungsmanagement“, bei dem Personen betrachtet werden, „von welchen konkrete Gefahren für andere Personen oder für die Allgemeinheit ausgehen“.

Innenminister setzen Vertrauen bei der Behandlung psychischer Erkrankungen aufs Spiel

Die Mitglieder der Taskforce können sich außerdem Unterstützung und Expertise aus anderen Bereichen einholen, etwa von Psycholog:innen aus dem Zentrum für polizeipsychologische Dienste (ZPD). Die sollen die Arbeitsgruppe „in der Bewertung und Konzepterstellung“ unterstützen. Gemeinsam mit dem ZPD habe die Taskforce auch eine „Bewertungsvorlage“ entwickelt, auf Basis derer die Einschätzung von Gewalt- und Risikopotenzial „kriteriengeleitet“ erfolge, teilt das Innenministerium mit.

Zu den Aufgaben des ZPD in Hessen gehört es, die Polizei bei Einsätzen und Ermittlungen psychologisch zu unterstützen und auch Polizist:innen nach belastenden Ereignissen zu betreuen. Es ist an der hessischen Hochschule für öffentliches Management und Sicherheit angesiedelt.

Gefährderansprachen bei Erkrankten

Geht die Taskforce davon aus, dass eine überprüfte Person schwere Gewalttaten begehen könnte, kann sie mehrere Maßnahmen ergreifen. Grundlage dafür ist das hessische Gesetz über die öffentliche Sicherheit und Ordnung (HSOG), also das hessische Polizeigesetz.

Laut Innenministerium könnte die Polizei dann andere Behörden oder Institutionen informieren, damit diese aktiv werden können. Sie könnte aber auch selbst agieren und Gefährderansprachen durchführen. Kommen die Beamt:innen zum Ergebnis, dass eine konkrete Gefährdung bestehen könnte, kann sie Kontakt-, Annäherungs- oder Aufenthaltsverbote aussprechen, oder Betroffene observieren oder in Gewahrsam nehmen.

Was auch möglich wäre: Die Daten der betreffenden Personen mit Hessendata auswerten, dem Datenanalysesystem der hessischen Polizei von Palantir. Dafür müssen bestimmte Vorraussetzungen aus dem HSOG erfüllt sein, beispielsweise dass es tatsächliche Anhaltspunkte für anstehende „schwere oder besonders schwere Straftaten“ gibt. „Die Anwendung kam bisher noch nicht zum Tragen“, schreibt das Innenministerium, könne aber „nach erfolgter Einzelfallprüfung herangezogen werden“.

Mehr Daten nach Entlassung aus der Psychiatrie

Seit Beginn ihrer Arbeit im Februar hat die Taskforce PAVG schon etliche Personen überprüft. „Annähernd 80 Prozent der Gesamtpersonenzahl“ seien bereits abgearbeitet, also vermutlich mehr als 1.200 der rund 1.600 Personen mit dem personengebundenen Hinweis „PSYV“. Laut Innenministerium soll der Durchlauf im zweiten Halbjahr 2025 abgeschlossen sein. Danach wird die Taskforce aufgelöst, doch die Überprüfung psychisch erkrankter Menschen in Polizeidatenbanken dürfte nicht enden: Nach „vollständiger Bewertung“ werde die temporär eingerichtete Arbeitsgruppe „in die Regelorganisation überführt“, schreibt das Innenministerium.

Für weitere Personen, die man künftig überprüfen kann, scheint das Land unterdessen selbst sorgen zu wollen: Im Juni haben CDU und SPD in Hessen einen Gesetzentwurf zur Änderung des hessischen Psychisch-Kranken-Hilfe-Gesetzes in den Landtag eingebracht. Dieses Gesetz regelt unter anderem, wie und unter welchen Voraussetzungen Menschen zwangsweise in psychiatrischen Kliniken untergebracht werden können. Künftig sollen bei deren Entlassung die Ordnungs- und Polizeibehörden am Wohnort informiert werden, wenn von ihnen „ohne ärztliche Weiterbehandlung eine Fremdgefährdung ausgehen könnte“. Das soll der „effektiven Gefahrenabwehr“ dienen.

Zu einer besseren Versorgung und Begleitung psychisch Erkrankter nach ihrer Entlassung findet sich in dem Entwurf, zu dem im September eine Anhörung im Landtag stattfinden wird, nichts. Genau dieses Defizit wird immer wieder von Betroffenenvertretungen von psychiatrieerfahrenen Menschen oder ärtzlichen und pflegerischen Verbänden kritisiert. So bemängelte etwa die Deutsche Fachgesellschaft Psychiatrische Pflege, dass Maßnahmen wie die Taskforce zu Stigmatisierung statt wirksamer Hilfe führen könnten. Die DFPP betonte die Bedeutung, die „niedrigschwellige, bedarfsgerechte und interdisziplinäre Unterstützungsangebote“ haben und appelierte an den hessischen Ministerpräsidenten, präventive Angebote zu stärken.



Source link

Weiterlesen

Datenschutz & Sicherheit

Patchday SAP: NetWeaver-Produkte sind für Schadcode-Attacken anfällig


Am Patchday im Juli haben die SAP-Entwickler insgesamt fünf „kritische“ Sicherheitslücken geschlossen. Im schlimmsten Fall kann Schadcode Systeme kompromittieren. Bislang gibt es keine Hinweise, dass Angreifer Lücken bereits ausnutzen.

In der Warnmeldung zum aktuellen Patchday finden Admins Hinweise auf die verfügbaren Sicherheitsupdates.

Gefährliche Schwachstellen

Die kritischen Lücken betreffen NetWeaver Enterprise Portal Administration (CVE-2025-42964), NetWeaver Enterprise Portal Federated Portal Network (CVE-2025-42980), S/4HANA und SCM (CVE-2025-42967) sowie NetWeaver Application Server for Java (CVE-2025-42963).

Verfügt ein Angreifer über Privilegien auf Benutzerebene, kann er auf einem nicht näher ausgeführten Weg Schadcode ausführen und so die volle Kontrolle über Systeme erlangen. In den anderen Fällen können angemeldete Angreifer mit Schadcode präparierte Daten hochladen, um Computer zu kompromittieren.

Außerdem können sich bereits angemeldete Angreifer im Kontext von NetWeaver Application Server for ABAP aufgrund von Fehlern bei der Authentifizierung höhere Nutzerrechte verschaffen (CVE-2025-42953).

Wegen eines Fehlers in der Apache-Struts-Komponente können Angreifer auf der Plattform Business Objects Business Intelligence Schadcode hochladen und ausführen (CVE-2025-53677 „hoch„). In Business Warehouse und Plug-in Basis können authentifizierte Angreifer Datenbanktabellen manipulieren und das System dadurch unbenutzbar machen (CVE-2025-42952 „hoch„).

Der Großteil der verbleibenden Schwachstellen ist mit dem Bedrohungsgrad „mittel“ eingestuft. An diesen Stellen sind unter anderem XSS-Attacken vorstellbar.

Am vergangenen Patchday hat SAP ebenfalls kritische Lücken in NetWeaver geschlossen.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Android Patchday fällt im Juli aus


Google hat im Juli keine Fehlerkorrekturen für Android im Gepäck. Auch die Pixel-Smartphones bedenkt das Unternehmen nicht mit Aktualisierungen.

Diese überraschenden Neuigkeiten schreibt Google in den Sicherheitsmitteilungen zu den Patchday-Übersichten. Sowohl für die Android-Patchday-Übersicht als auch die Pixel-Aktualisierungsliste schreibt das Unternehmen lediglich: „Es gibt keine [Android|Pixel]-Sicherheitspatches in [Android|Pixel] Security-Mitteilung im Juli 2025.“

Vermutlich ist Android jedoch nicht mit einem Schlag komplett sicher geworden. Zu den Gründen, warum die Entwickler keine aktualisierten Pakete geschnürt haben, die die Sicherheit von Android-Smartphones erhöhen, lässt sich Google allerdings nicht aus.

Im Juni hatte Google noch diverse Schwachstellen in Android 13, 14 und 15 ausgebessert. Die gravierendsten erlaubten die Ausweitung der Rechte im System. Zudem haben bösartige Akteure Sicherheitslücken in Qualcomm-SoCs zu dem Zeitpunkt attackiert.


(dmk)



Source link

Weiterlesen

Beliebt