Sonicwall hat jüngste Hinweise auf Angriffe auf bestimmte Firewallserien überprüft und ist nun zu dem Schluss gekommen, dass Angreifer wohl nicht an einer Zero-Day-Lücke ansetzen. Vielmehr sei das Einfallstor eine Schwachstelle aus dem Jahr 2024.

Jetzt patchen!

Darauf weist das IT-Unternehmen in einem aktualisierten Beitrag hin. Vor wenigen Tagen sorgten Attacken auf Firewalls der Gen-7-Serie für Schlagzeilen, und verschiedene Sicherheitsforscher vermuteten eine Zero-Day-Lücke als Ansatzpunkt.

Sonicwall führt aus, dass die Angreifer mit hoher Wahrscheinlichkeit abermals an einer älteren „kritischen“ Sicherheitslücke (CVE-2025-40766) ansetzen, die bereits 2024 für Ransomwareattacken ausgenutzt wurde. Sicherheitsupdates sind seitdem verfügbar, aber aufgrund der derzeitigen Attacken offensichtlich bisher nicht flächendeckend installiert. Demzufolge sollten Admins dringend prüfen, ob ihre Instanzen bereits abgesichert sind.

Weitere Details

Der Firewallhersteller gibt an, dass ihnen derzeit weniger als 40 Fälle mit Attacken bekannt sind. Dabei stehen primär Firewalls im Fokus von Angreifern, die von der Gen-6- auf die Gen-7-Reiher migriert wurden. Dabei wurden auch Passwörter mitgenommen, was in diesem Kontext ein Sicherheitsrisiko darstellt. In der Warnmeldung von damals weist Sonicwall Admins zum Ändern von Passwörtern für Nutzer mit SSL-VPN-Zugriff an. Sind Attacken erfolgreich, können Angreifer unter anderem Admin-Accounts übernehmen.

Admins müssen neben dem Zurücksetzen von Passwörtern sicherstellen, dass mindestens die Firmware 7.3.0 installiert ist. Für zusätzlichen Schutz sollten außerdem die Funktionen Botnet Protection, Geo-IP-Filtering und eine Multi-Faktor-Authentifizierung (MFA) aktiv sein. Überdies sollten Admins Accounts kontrollieren und inaktive und ihnen unbekannte Konten umgehend löschen.

(des)

Die Bundesregierung soll ihre Pläne für eine biometrische Gesichtersuche im Internet und den Einsatz von KI-Datenanalysen in der Polizeiarbeit zurückziehen. Das fordert eine Koalition aus zivilgesellschaftlichen Organisationen in einem heute veröffentlichten Brief. Die Kritik richtet sich gegen das sogenannte „Sicherheitspaket“ aus dem Bundesinnenministerium von Alexander Dobrindt (CSU). Derzeit befindet es sich in der Abstimmung zwischen den Ministerien.

Das Paket sieht vor, dass das Bundeskriminalamt und die Bundespolizei Personen anhand ihrer biometrischen Daten in „öffentlich zugänglichen Daten aus dem Internet“ suchen und identifizieren dürfen. Polizeibehörden dürften dann etwa die Gesichter, Stimm- oder Bewegungsmuster der Personen einsetzen, um in Posts auf Instagram oder in offenen Chatgruppen nach ihnen zu suchen. Nicht nur Verdächtige, sondern auch Opfer und Zeug*innen soll die Polizei auf diesem Weg identifizieren dürfen.

Auch das Bundesamt für Migration und Flüchtlinge (BAMF) soll die biometrische Suche einsetzen dürfen, um die Identität von Menschen im Asylverfahren zu klären.

„Gesichtsdatenbank aller Bürger*innen“

Mehrere zivilgesellschaftliche Organisationen zeigen sich angesichts dieser Pläne alarmiert, darunter die Vereine D64, AlgorithmWatch, der Chaos Computer Club und Amnesty International Deutschland. Biometrische Datenbanken, wie sie für eine solche Suche notwendig wären, ermöglichten Massenüberwachung und schwere Verstöße gegen Grundrechte wie das Recht auf Privatsphäre, heißt es in dem Appell.

Die Pläne könnten etwa dazu führen, dass Menschen es künftig vermeiden, Fotos und Videos im Netz zu teilen oder gar an Tätigkeiten teilzunehmen, von denen Aufnahmen ins Netz gelangen könnten, schreibt das Bündnis. Es fordert die Bundesregierung auf, sich gegen jede Form der biometrischen Auswertung des Internets einzusetzen.

„Innenminister Dobrindt schlägt im Prinzip vor, eine gigantische Gesichtsdatenbank aller Bürgerinnen und Bürger aus dem Internet zu bauen – ganz egal, ob jemand verdächtig ist oder nicht“, sagt Kilian Vieth-Ditlmann von der Organisation AlgorithmWatch. Familienfotos und Party-Selfies seien dann ebenso im Visier wie Bilder, auf denen man nur im Hintergrund zu sehen ist. „Das ist völlig unverhältnismäßig und genau deshalb durch EU-Recht verboten.“

Die KI-Verordnung der EU untersagt KI-Systeme, „die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen erstellen oder erweitern“. Zugleich gilt die Verordnung nicht für KI-Systeme, wenn diese ausschließlich für „Zwecke der nationalen Sicherheit“ eingesetzt werden.

Big Data, wenig Kontrolle

Das BMI plant zudem weitere Befugnisse für das Bundeskriminalamt und die Bundespolizei. Sie sollen ihre verschiedenen Datenbanken technisch zusammenführen und automatisiert analysieren dürfen. Das ist das Versprechen von Big-Data-Analysesoftware, wie sie etwa der umstrittene US-Konzern Palantir anbietet.

Diese automatisierte Auswertung von Daten beschränke sich nicht auf Tatverdächtige, kritisieren die zivilgesellschaftlichen Organisationen. Auch Opfer, Zeug*innen und weitere unbeteiligte Personen, deren Daten zufälligerweise bei der Polizei landen, werden mit einbezogen. Der Quellcode von Palantirs Software sei zudem nicht offen, sodass die Ergebnisse nicht nachvollziehbar seien. Der Einsatz von KI-Systemen, die ihre Entscheidungen nicht offenlegten, sei besonders riskant für bereits marginalisierte Gruppen in der Bevölkerung.

Besonders schlecht kommt Palantir weg. Laut den Plänen sollen Polizeibehörden auch die Systeme von Drittanbietern wie Palantir für die Analyse einsetzen dürfen. „Palantir ist eng verbunden mit dem Tech-Milliardär Peter Thiel, der bekennender Anhänger der Trump-Regierung und explizit der Auffassung ist, dass Demokratie nicht mit Freiheit vereinbar sei“, warnt das Bündnis. Der Einsatz der Software gefährde die digitale Souveränität Deutschlands.

„An der Grenze zur Verfassungswidrigkeit“

Jenseits der Kritik an den konkreten geplanten Überwachungsmaßnahmen kritisieren die Organisationen die politische Stoßrichtung der Bundesregierung: Die Maßnahmen stünden insgesamt in keinem angemessenen Verhältnis zu dem vermuteten Gewinn an Sicherheit. Außerdem loteten sie rechtliche Grauzonen aus. „Als Zivilgesellschaft haben wir die Erwartung, dass die Bundesregierung Gesetze vorlegt, die nicht ständig an der Grenze der Verfassungswidrigkeit und des Europarechts – und sogar darüber hinaus – segeln.“ Solche Gesetze führten auch zu jahrelanger Rechtsunsicherheit für die Strafverfolgungsbehörden.

Vor dem Hintergrund erstarkender rechtsextremer Parteien sollten „demokratische Kräfte“ die Möglichkeiten des Machtmissbrauchs verhindern und keine Überwachungsinfrastruktur aufbauen.

Das „Sicherheitspaket“ ist aktuell noch in einem frühen Stadium. Das Haus von Alexander Dobrindt hat die Entwürfe zur Vorabstimmung an andere Ministerien verschickt. Danach folgt die Länder- und Verbändebeteiligung und die offizielle Ressortabstimmung, bevor das Kabinett das Paket beschließt und an den Bundestag schickt. Zum weiteren Zeitplan wollte sich das BMI nicht äußern.

Finanzminister Lars Klingbeil (SPD) will „eine härtere Gangart“ gegen Schwarzarbeit einlegen. Die wenigen, „die sich auf Kosten der Allgemeinheit bereichern“, sollen „auch dingfest gemacht werden“, kündigte der Minister an. Helfen soll dabei der Gesetzentwurf „zur Modernisierung und Digitalisierung der Schwarzarbeitsbekämpfung“, den das Bundeskabinett gestern beschlossen hat.

Unter Schwarzarbeit werden Arbeitsverhältnisse verstanden, die nicht der Sozialversicherung und dem Finanzamt gemeldet werden. Laut Zoll verursachte diese Form der illegalen Arbeit im vergangenen Jahr einen Schaden in Höhe von insgesamt 766 Millionen Euro.

Der nun verabschiedete Entwurf sieht unter anderem vor, die Finanzkontrolle Schwarzarbeit (FKS) zu einer zentralen Prüfungs- und Ermittlungsbehörde auszubauen. Diese Arbeitseinheit des Zolls soll dafür polizeiähnliche Befugnisse erhalten und noch stärker als „kleine Staatsanwaltschaft“ agieren, wie Klingbeil sagt.

Außerdem soll der Zoll künftig ein durch Künstliche Intelligenz unterstütztes „Risikomanagement“ betreiben und dafür in großem Stil auf Daten anderer Behörden zugreifen.

Polizeiähnliche Befugnisse für die „kleine Staatsanwaltschaft“

Die FKS hat die Aufgabe, „Schwarzarbeit, illegale Beschäftigung und Sozialleistungsbetrug“ zu bekämpfen, indem sie etwa Kontrollen in Betrieben durchführt und Ermittlungen einleitet. Schon jetzt arbeitet sie dabei eng mit der Staatsanwaltschaft, der Polizei und der Bundespolizei zusammen. Künftig soll sie aber ebenbürtig mit anderen Ermittlungsbehörden tätig sein.

Dafür will die Bundesregierung etwa den Katalog der Straftaten so ausweiten, dass die FKS auch Telekommunikation überwachen kann. Sie dürfte dann Gespräche zwischen Personen aufzeichnen, die die „fortgesetzte Erstellung“ von Scheinrechnungen verabreden oder illegale Zahlungen vereinbaren.

Außerdem soll die FKS zu einer „kleinen Staatsanwaltschaft“ ausgebaut werden. Sie könnte dann Verfahren, die sich „auf einfach gelagerte Sachverhalte“ beziehen, eigenständig abschließen und auf diese Weise, so die Absicht der Bundesregierung, die Justiz entlasten.

Direkter Draht zum polizeilichen Informationsverbund

Die FKS soll zudem Zugang zum polizeilichen Informationsverbund erhalten. So soll sie Verdächtige schneller und ohne Amtshilfe der Polizei identifizieren können. Das zentrale Informationssystem dient dem „Austausch von Personen-, Fall- und Sachdaten“ und wird vom Bundeskriminalamt betrieben.

Schon jetzt darf der Zoll eingeschränkt Daten aus dem polizeilichen Informationsverbund abfragen – bislang allerdings nur schriftlich oder telefonisch und in Einzelfällen. Geht es nach der Bundesregierung, darf der Zoll personenbezogene Daten künftig automatisiert abrufen sowie mit den ihm vorliegenden Daten abgleichen.

Dies würde es der FKS ermöglichen, „auf Augenhöhe mit den weiteren Verbundteilnehmern wie bspw. den Polizeien und der Steuerfahndung zu agieren“, heißt es in der Begründung des Gesetzes.

Automatische Datenauswertung fürs Risikomanagement

Erheblich mehr Daten sollen auch beim sogenannten Risikomanagement zum Einsatz kommen. Dafür soll die bisherige Generalzolldirektion zuständig sein, die das Gesetz zur „Zentralstelle der Behörden der Zollverwaltung“ umwandeln würde. Die Zentralstelle soll für die FKS größere Datenmengen auch mit Hilfe von sogenannter Künstlicher Intelligenz automatisiert auswerten.

Als Grundlage für die Risikoanalysen soll ein neues operatives Informations- und Datenanalysesystem (OIDAS) dienen. Das System soll anhand spezieller Risikoindikatoren und -parameter „potentiell verdächtige oder anomale Unternehmensaktivitäten, die auf Schwarzarbeit und illegale Beschäftigung hindeuten, frühzeitig […] erkennen.“

Die dafür erforderlichen personenbezogenen Daten darf die Zentralstelle „mindestens einmal halbjährlich automatisiert“ abrufen und in OIDAS speichern. Als Datenquellen dienen die Datenbanken der Rentenversicherung, der Landesfinanzbehörden und der Zollverwaltung. Daten, die nicht zu Risikohinweisen führen, soll die Zentralstelle umgehend löschen müssen, alle weiteren Daten nach spätestens einem Jahr.

Kritik an zunehmender Machtfülle der FKS

Der Gesetzentwurf sieht vor, dass die Risikoindikatoren und -parameter nur „im Benehmen“, nicht aber „im Einvernehmen“ mit der Bundesdatenschutzbeauftragten (BfDI) Louisa Specht-Riemenschneider festgelegt werden. Sie dürfte also mitreden, aber nicht mitentscheiden.

Die Bundesdatenschutzbeauftragte fordert eine stärkere Beteiligung. Die umfangreiche Datenverarbeitung und der Einsatz von KI seien mit tiefen Eingriffen in Grundrechte verbunden. Daher sei eine Mitentscheidung bei der Festlegung der Risikoparameter umso wichtiger, „denn wir können die Risiken für das Grundrecht auf informationelle Selbstbestimmung am besten einschätzen“, so ein Behördensprecher gegenüber Tagesspiegel Background.

Der Deutsche Anwaltverein (DAV) kritisiert die wachsende Machtfülle der FKS. Der Gesetzesentwurf greife „in vielfältiger Weise in Freiheitsrechte ein, ohne dass damit der Sozialstaat und/oder die wirtschaftliche Situation (einschließlich der sozialen Sicherheit) der Betroffenen verbessert wird.“

Die Erhebung, Speicherung und Verwendung der Daten „auf der Grundlage eines ‚risikobasierten Ansatzes‘ [sei] höchst bedenklich“, schreibt der DAV in seiner Stellungnahme. Dass der Zoll automatisiert Daten „von jedermann“ abgleichen soll, erinnere „an eine Rasterfahndung, die vom Bundesverfassungsgericht zu Recht unter den Vorbehalt ganz spezieller Anlässe gestellt wurde.“ Unterm Strich lehnt der DAV die vorgesehenen Regelungen ab, einzelne Änderungen erscheinen aus seiner Sicht sogar verfassungswidrig.

Der Bundesverband Paket- und Expresslogistik kritisiert ebenfalls die „extreme Erweiterung der Befugnis“ der FKS. Außerdem sei die geplante Risikobewertung „letztlich eine Blackbox“. Der Verband hält es daher für ausreichend, dass „zur Weiterführung der Ermittlungen entsprechende Dokumente auf Anforderung elektronisch übermittelt werden – ohne automatisierten und umfassenden Zugang“.