Am Patchday im Juli haben die SAP-Entwickler insgesamt fünf „kritische“ Sicherheitslücken geschlossen. Im schlimmsten Fall kann Schadcode Systeme kompromittieren. Bislang gibt es keine Hinweise, dass Angreifer Lücken bereits ausnutzen.

In der Warnmeldung zum aktuellen Patchday finden Admins Hinweise auf die verfügbaren Sicherheitsupdates.

Gefährliche Schwachstellen

Die kritischen Lücken betreffen NetWeaver Enterprise Portal Administration (CVE-2025-42964), NetWeaver Enterprise Portal Federated Portal Network (CVE-2025-42980), S/4HANA und SCM (CVE-2025-42967) sowie NetWeaver Application Server for Java (CVE-2025-42963).

Verfügt ein Angreifer über Privilegien auf Benutzerebene, kann er auf einem nicht näher ausgeführten Weg Schadcode ausführen und so die volle Kontrolle über Systeme erlangen. In den anderen Fällen können angemeldete Angreifer mit Schadcode präparierte Daten hochladen, um Computer zu kompromittieren.

Weitere Gefahren

Außerdem können sich bereits angemeldete Angreifer im Kontext von NetWeaver Application Server for ABAP aufgrund von Fehlern bei der Authentifizierung höhere Nutzerrechte verschaffen (CVE-2025-42953).

Wegen eines Fehlers in der Apache-Struts-Komponente können Angreifer auf der Plattform Business Objects Business Intelligence Schadcode hochladen und ausführen (CVE-2025-53677 „hoch„). In Business Warehouse und Plug-in Basis können authentifizierte Angreifer Datenbanktabellen manipulieren und das System dadurch unbenutzbar machen (CVE-2025-42952 „hoch„).

Der Großteil der verbleibenden Schwachstellen ist mit dem Bedrohungsgrad „mittel“ eingestuft. An diesen Stellen sind unter anderem XSS-Attacken vorstellbar.

Am vergangenen Patchday hat SAP ebenfalls kritische Lücken in NetWeaver geschlossen.

(des)

Während die Stars der Fußball-EM vergangenes Jahr auf dem Platz standen, machten viele Menschen im Hintergrund das Turnier erst möglich: Sicherheitspersonal checkte Tickets und Gepäck, Journalist:innen berichteten über die Spiele, Freiwillige halfen den Besucher:innen in vielen deut­schen Städten. Sie alle werkelten oft hinter den Kulissen und bekamen darum Zutritt zu besonderen Bereichen.

Doch wer bei der Europameisterschaft arbeiten wollte und dabei auch Zugang zu Bereichen hatte, in die man als Fan nicht so leicht kam, brauchte in der Regel eine Akkreditierung. Um zu vermei­den, dass Menschen akkreditiert werden, die eine Sicherheitsgefahr darstellen könnten, überprüften Polizei und Verfassungsschutz wohl eine sechsstellige Anzahl an Menschen. Das war nicht überall legal, kritisieren Datenschützer:innen.

Wie eine Zuverlässigkeitsüberprüfung funktioniert

Der Fachbegriff für solche Background-Checks heißt „Zuverlässigkeitsüberprüfung“. Bei einer sol­chen Zuverlässigkeitsüberprüfung prüft die Polizei anhand eigener Daten, ob sie zu einer Person si­cherheitsrelevante Erkenntnisse gespeichert hat. Anschließend teilt sie dem Veranstalter mit, ob sie Bedenken hat, dass eine solche Person beispielsweise als Security auf einem Festival oder einem Fußballspiel arbeitet.

Auch wenn sich die Rechtslage bei Großveranstaltungen je nach Bundesland unterscheidet, grund­sätzlich müssen die Betroffenen vor der Überprüfung durch die Behörden informiert werden und einwilligen. Neben Großveranstaltungen gibt es solche Überprüfungen auch im Waffenrecht.

Wie beim Waffenrecht war bei der Fußball-EM der Verfassungsschutz in vielen Fällen mit von der Partie, einige Bundesländer fragten auch dort an. In einem sogenannten „Massendatenverfahren“ glich das Bundesamt für Verfassungsschutz (BfV) die Daten der zu akkreditierenden Personen au­tomatisiert mit den eigenen Dateisystemen ab. Das hat uns das Innenministerium in Baden-Würt­temberg auf Anfrage erklärt. Lediglich bei potenziellen Übereinstimmungen schaute das BfV genauer hin oder gab den Fall an das jeweilige Landesamt für Verfassungsschutz weiter. Am Ende übermit­telte der Bundesverfassungsschutz ein Gesamtvotum zu jeder Akkreditierung an die zustän­digen Genehmigungsbehörden.

Von Security bis Catering: Hunderttausende Anfragen

Die Überprüfung geschah bei einer großen Anzahl an Menschen. Ein Sprecher der Berliner Da­tenschutzbeauftragten schreibt auf unsere Anfrage, dass folgende Personengruppen „standardmä­ßig“ betroffen waren:

• UEFA-Volunteers
• private Sicherheits- und Ordnungsdienste
• Catering und Reinigungskräfte
• sonstige Mitarbeitende im Sicherheitsbereich (inklusive Mitarbeitende der Euro 2024 GmbH)
• Medienvertretende/Journalist:innen und Broadcaster (nur, wenn diese nicht bereits innerhalb der letzten zwölf Monate zuverlässigkeitsüberprüft wurden)
• Sponsorenvertretende mit Arbeitsauftrag
• Personal der Stadionbetreiberin
• Medizinische Dienstleister
• Hospitality-Mitarbeitende, auch in den Teamhotels

Wie viele Menschen genau überprüft wurden, lässt sich schwer sagen. Das Bundesamt für Verfas­sungsschutz spricht auf Anfrage lediglich von einer „großen Anzahl“. Unsere Presseanfragen in mehreren Bundesländern, in denen EM-Spiele stattfanden, deuten aber auf mehr als 100.000 überprüfte Menschen hin.

Die Berliner Polizei schreibt uns auf Anfrage, dass sie im Rahmen der EM allein für die Akkreditie­rungen für das Berliner Stadion, die Fanzone und Teamhotels über 75.000 Datensätze überprüft hat. Das Innenministerium in Nordrhein-Westfalen spricht von 90.000 An­fragen für Zuverlässigkeitsüberprüfungen. In Hamburg waren es bei den Spielen mehr als 53.000 Über­prüfungen. In all diesen Bundesländern wurde der Verfassungsschutz automatisch von der Polizei mit angefragt. Die zuständige Stelle in Baden-Württemberg konnte keine Zahlen nennen.

Bei der Interpretation der Zahlen ist Vorsicht geboten. So schreibt uns ein Sprecher der Polizei Ber­lin, dass es auch immer wieder zu Mehrfachüberprüfungen gekommen sei, etwa wenn eine Person für mehrere EM-Spiele in verschiedenen Ländern akkreditiert wurde. „Zudem ist eine hohe Anzahl von Personen aufgrund von abweichenden Personalien/Personendaten wiederholt geprüft worden“, schreibt uns der Sprecher.

Doch selbst wenn man solche Dopplungen großzügig einrechnet: Es erscheint plausibel, dass der Verfassungsschutz am Ende eine sechsstellige Anzahl von Menschen überprüfte. Die Zahl der durch Polizeien überprüften Menschen liegt noch höher, schließlich fragten nicht alle Bundesländer automatisch beim Verfassungsschutz an.

Fehlende Rechtsgrundlage in NRW

Die Praxis bei der EM stieß bei Datenschützer:innen auf harsche Kritik. In Nordrhein-Westfalen, wo vier der acht Spielorte lagen, kritisierte die Datenschutzbeauftragte Bettina Gayk, dass die Rechts­grundlage für solche Überprüfungen völlig fehle.

„Um das Gefahrenpotenzial gering zu halten, wurden die vielen Helfer:innen bei den Spielen, in den Stadien und drumherum von der Polizei NRW intensiv durchleuchtet. Im Rahmen der Akkredi­tierung kam es zu einer massenhaften Überprüfung bei den deutschen Sicherheitsbehörden. […] Solche Eingriffe durch den Staat und seine Behörden erfordern immer eine ausdrückliche gesetzli­che Grundlage“, schrieb Gayk in ihrem letzten Tätigkeitsbericht.

Innenministerium und Landeskriminalamt (LKA) verweisen wiederum auf § 9 des Polizeigesetzes NRW. Der Paragraf erwähnt weder Zuverlässigkeitsüberprüfungen noch Großveranstaltungen, er­laubt der Polizei aber Datenverarbeitungen unter bestimmten Voraussetzungen wie etwa einer Ein­willigung.

Nur eine Einwilligung reicht nicht

Laut der Landesdatenschutzbeauftragen von NRW ist das nicht ausreichend: Solche Einwilligungen seien nicht wirksam, „weil sie nicht freiwillig erteilt werden, denn diejenigen, die an der Spielorga­nisation beteiligt sein wollen oder in den Stadien arbeiten wollen, waren gezwungen einzuwilligen.“

Zwar ist die Einwilligung der Betroffenen auch Bestandteil von Gesetzen zu Zuverläs­sigkeitsüberprüfungen in anderen Bundesländern wie etwa in Berlin, allerdings habe diese dort eine andere Funktion. Dort habe „die Einwilligung nicht eine konstituierende Wirkung für das Verfahren, sondern soll denjenigen, die sich der gesetzlichen Überprüfungspflicht nicht unterwerfen wollen, die Möglichkeit zum Rückzug aus der gesetzlich vorgeschriebenen Überprüfung eröffnen“, schreibt uns ein Sprecher der NRW-Datenschutzbeauftragten. Einfacher formuliert: Die Überprüfung kann sich nicht nur auf die Einwilligung stützen, es brauche zusätzlich ein Gesetz, welches solche Über­prüfungen speziell regelt.

Datenschutzbeauftrage Gayk fordert die Regierung und das Parlament in NRW auf, endlich eine „tragfähige“ Rechtsgrundlage zu schaffen. „Über die Notwendigkeit einer solchen Regelung be­stand bisher auch Konsens mit dem Innenministerium, das seine Auffassung vor einiger Zeit überra­schend geändert hat“, teilt uns der Sprecher der Datenschutzbeauftragten mit. Die Datenschutzbe­auftragte habe das Ministerium auch darauf hingewiesen, dass man solche Datenübermittlungen künftig stoppen könnte. Eine solche Untersagung ermöglicht das Datenschutzrecht in NRW.

Das Innenministerium in NRW bleibt auf Anfrage bei seiner Posititon: „Die speziellen Rechts­grundlagen, die aufgrund dieser Kritik in anderen Ländern geschaffen wurden, halten weiterhin an dem Instrument der Einwilligung fest. Insoweit ist hier kein datenschutzrechtlicher ‘Mehrwert’ er­kennbar.“ Auch der „gewerbliche Charakter“ von Großveranstaltungen spreche gegen eine Vor­schrift im Polizeigesetz, führt der Sprecher des Innenministeriums weiter aus. „Diese Einschätzung ist auf keine Einwände bei den für die UEFA EURO 2024 zuständigen Bundesbehörden gestoßen, so dass der Datenaustausch auf der geltenden Rechtsgrundlage durchgeführt werden konnte.“

Berlin: Verfassungsschutz-Anfrage nicht von Gesetz gedeckt

NRW ist laut der dortigen Datenschutzbehörde mittlerweile eines der letzten Bundesländer ohne Rechtsgrundlage für Zuverlässigkeitsüberprüfungen bei Großveranstaltungen. In Berlin regelt das der Paragraf 45 des Berliner Allgemeinen Sicherheits- und Ordnungsgesetzes (ASOG). Doch dessen Grenzen hat die Polizei in der Hauptstadt überschritten, bemängelt Meike Kamp, die Berliner Beauftragte für Datenschutz. Denn vom Verfassungsschutz oder anderen Geheimdiensten ist in dem Paragrafen keine Rede.

Allerdings wurde eine mögliche Übermittlung an Verfassungsschutzämter in den Datenschutzinfor­mationen zu den Sicherheitsüberprüfungen erwähnt, die Betroffene unterschreiben mussten – ge­nauso wie der Zoll, der militärische Abschirmdienst oder der Bundesnachrichtendienst. Für die Ber­liner Datenschutzbeauftragte ist dieser Hinweis aber nicht ausreichend, weil der erste Satz des Info-Schreibens „Ihre personenbezogenen Daten können […] übermittelt werden“ im Allgemeinen nicht so verstanden werde, dass die Daten in jedem Fall übermittelt würden.

Kamp schreibt daher in ihrem Tätigkeitsbericht: „Nach der Rechtsprechung des Bundesverfas­sungsgerichts bedarf jeder Eingriff in das Recht auf informationelle Selbstbestimmung einer klaren und bestimmten gesetzlichen Grundlage.“

„Verschränkung“ zwischen Polizei und Geheimdienst

Dies gelte umso mehr bei einer Datenübermittlung zwischen Polizei und Geheimdiensten. Denn während die Polizei konkrete Gefahren abwehre und dabei an enge rechtliche Voraussetzungen ge­bunden sei, betreiben die Inlandsgeheimdienste eine weitreichende Vorfeldaufklärung mit nachrich­tendienstlichen Mitteln. „Eine routinemäßige Verschränkung dieser unterschiedlichen Aufgabenbe­reiche durch Datenaustausch und eine weitreichende Zweckänderung der erhobenen Daten unter­läuft die verfassungsrechtlich gebotene Trennung zwischen Polizei und Nachrichtendiensten“.

Laut Berliner Polizei gaben die Verfassungsschutzbehörden den Inhalt ihrer Erkenntnisse nicht wei­ter, „sondern lediglich eine Rückmeldung, ob dort sicherheitsrelevante Erkenntnisse vorliegen oder nicht“. Regelanfragen an den Verfassungsschutz seien nur im Akkreditierungsverfahren für die Eu­ropameisterschaft erfolgt und „kein regelmäßiger Bestandteil der Überprüfungen durch den Polizei­lichen Staatsschutz des Landeskriminalamts Berlin“, teilte ein Sprecher auf netzpolitik.org-Anfrage mit.

Man teile die Rechtsauffassung der Berliner Datenschutzbeauftragten nicht. „Eine Änderung der Praxis ist aus hiesiger Sicht nicht erforderlich oder geboten“, schreibt der Sprecher der Polizei Ber­lin.

Hamburg: Anfrage beim Verfassungsschutz vorgeschrieben

Während die Polizei in Berlin die Anfragen beim Verfassungsschutz eher aus Ausnahme darstellt, ist es in Hamburg die Regel.

Das Gesetz über die Datenverarbeitung der Polizei (PolDVG) schreibt vor, dass die Polizei die Daten auch mit den Dateien des Verfassungsschutzes abgleicht. Dement­sprechend geschah dies auch bei allen Zuverlässigkeitsüberprüfungen im Rahmen der EM.

Sachsen: Datenschutzbehörde überzeugte Polizei

Doch nicht überall hat die Polizei bei jeder Zuverlässigkeitsüberprüfung auch den Verfassungs­schutz angefragt. In Sachsen konnte die Landesdatenschutzbeauftrage die Polizei von dieser Idee abbringen. Auch dort gibt es laut Datenschutzbehörde keine Rechtsgrundlage für Datenübermittlun­gen an den Verfassungsschutz bei Zuverlässigkeitsüberprüfungen.

„Die Polizeiführung zeigte sich offen für unsere Argumentation und hat im Ergebnis auf Regelab­fragen bei Verfassungsschutzbehörden verzichtet; vorbehalten hat sie sich Anfragen an Verfassungs­schutzbehörden im Einzelfall bei konkreten Anhaltspunkten für Gewaltbereitschaft im Zusammen­hang mit verfassungsfeindlichen Aktivitäten“, schreibt die sächsische Landesdatenschutzbeauftrage auf Anfrage von netzpolitik.org.

Auch die Bayerische Polizei hat „keine Regelanfragen an das Bundesamt für Verfassungsschutz oder das Bayerische Landesamt für Verfassungsschutz gerichtet“, wie uns ein Sprecher schreibt. Laut dem Bayerischen Datenschutzbeauftragten schließt das Bayerische Polizeigesetz solche Über­mittlungen nicht aus. Die Polizei müsse aber begründen, warum dies erforderlich sei.

Nicht nur ein Fußball-Thema

Ob mit Verfassungsschutz oder ohne, ob mit Rechtsgrundlage oder nicht – die Praxis bei den Zuver­lässigkeitsüberprüfungen ist kompliziert und unterscheidet sich offenbar sehr nach den jeweiligen Bundesländern. Dabei stellen sich die durch die Europameisterschaft aufgeworfenen Fragen auch jenseits des Fußballs.

Die nordrhein-westfälische Datenschutzbeauftragte verweist auf große Musikfestivals in NRW. In Berlin hat die Landesbeauftragte für Datenschutz auch eine Zuverlässigkeitsüberprüfung im Rah­men des Christopher Street Day diskutiert: Dort überprüfte die Polizei auf Bitten der Veranstalter:innen die Fahrer:innen der Paradewagen.

Jack Dorsey, bekannt als Mitgründer Twitters, hat den gemeinfreien Sourcecode für eine neue Software namens Bitchat online gestellt. Sie ermöglicht digitale Chats über Bluetooth, ganz ohne Internetverbindung und zentrale Server, vorerst für iOS und MacOS. Bei Bitchat stehen Datenschutz und Ausfallsicherheit im Vordergrund.

Nutzer müssen sich nirgends anmelden oder ausweisen; es gibt keine zentralen Server oder andere Instanzen, die Metadaten ernten und über die das Projekt korrumpiert oder stillgelegt werden könnte. Die Übertragungen werden komprimiert und Ende-zu-Ende verschlüsselt. Zudem sollen Dummy-Nachrichten und zufällige Verzögerungen es erschweren, bestimmte Nachrichten oder Usernamen einzelnen Nutzern aufgrund deren Nutzungsverhaltens zuzuordnen.

Die Übertragung erfolgt zunächst ausschließlich über Bluetooth Low Energy. Dessen Reichweite ist auf einige Dutzend Meter beschränkt, weshalb Bitchat Mesh-Netze aufspannen möchte. Teilnehmer in Reichweite übernehmen die verschlüsselten Nachrichten und leiten sie an andere Teilnehmer weiter, bis die Nachricht den adressierten Empfänger erreicht. Bis zu sieben Übertragungen sind vorgesehen. Besonders häufig kontaktierte Geräte speichern Nachrichten theoretisch unbeschränkt zwischen, auf anderen Geräten werden sie gelöscht, wenn sie nach zwölf Stunden nicht zugestellt werden konnten.

Ähnlich Briar

Ein kommerzielles Geschäftsmodell drängt sich nicht auf, womit aber auch keine Spamfilter für die verschlüsselten Nachrichten absehbar sind. Ob Bitchat reüssieren wird, hängt an den Teilnehmern allein. Ein Whitepaper denkt bereits daran, zu Bluetooth Low Energie noch Übertragungen mittels direkten WLAN-Verbindungen sowie LoRa hinzuzunehmen.

Der Name mag unglücklich gewählt sein, verleitet er doch zur Aussprache als „bitch at“, zu Deutsch: anschnauzen. Dorseys Name sorgt jedenfalls für Aufmerksamkeit, auch wenn das Grundkonzept nicht neu ist. Für Android gibt es seit Jahren die App Briar, die verschlüsselte Nachrichten zwischen Teilnehmern über Bluetooth, direkte WLAN-Verbindungen oder das internetbasierte Tor-Netz leitet. Im Notfall kann Briar Mitteilungen sogar als Dateien auf Datenträgern auf die Reise schicken.

Für LoRa existiert das Projekt Meshtastic (samt französischem Ableger Gaulix), das allerdings zusätzlich zu gängigen Smartphones noch LoRAWAN-Gateways erfordert. Die von Briar und Bitchat verfolgte Idee liegt auch dem 2018 gegründeten Projekt Berty zugrunde, das das eigens entwickele „Wesh Network“ mit dem Übertragungsprotokoll IPFS (InternerPlanetary File System) einsetzen möchte. Doch ist es um Berty sehr still geworden.

LoRa und LoRaWAN

Mit LoRa werden kleine Datenpakete (bis zu 256 Byte) mit geringem Energieeinsatz über große Entfernungen transportiert. Der funktechnische Trick: LoRa als physische Schicht besteht aus einem schmalbandigen Träger, der in einem vergleichsweise breiten Kanal auf- oder abbewegt wird. Diese „Chirps“ genannten Übertragungen sind gut im allgemeinen Rauschen erkennbar und somit sehr robust gegenüber Störungen.

Das Verfahren ist auf Nutzlasten von wenigen Byte optimiert und kommt beispielsweise bei Amazon Sidewalk zum Einsatz. LoRa ist die physische Übertragungstechnik für das Netzwerkprotokoll LoRaWAN, das für Netzstruktur, Adressierung, Verschlüsselung und Kanalvorgaben zuständig ist.

(ds)