So einfach hat Keanu Nys von Spotit aus Belgien Microsofts Online-Login-Webseite umgebaut: Da Microsoft sein EntraID als universelles Login auch über verschiedene Tenants ermöglicht und das Password weiterhin als Klartext übermittelt, hat der Forscher aus dem offiziellen Login eine Phishing-Plattform gebaut, um an die Anmeldedaten von beliebigen Nutzern zu kommen.

Der Clou an der Sache: Durch die Möglichkeit, per CSS die Login-Page anzupassen und eigene Bilder einzublenden, kann man selbst MFA-Authentifizierungen problemlos erbeuten. Auch hier zeigt sich, dass Microsoft entschieden zu viele Kompromisse zuungunsten der Sicherheit und für mehr Features eingegangen ist, und dadurch das ganze MFA-System für Endanwender nicht identifizierbar beziehungsweise offen für Phishing-Angriffe gegen deren Microsoft ID gestaltet hat.

So fällt man auf micro-oft.com rein

Konkret hat Nys in seiner Def-Con-Präsentation gezeigt, dass man durch eine schlichte CSS-Anpassung, eigene Fonts und das Einblenden von Bildern in die Login-Page den User aus dem Tenant einfach täuschen kann. Aus „micro-oft.com“ wird „microsoft.com“, indem man den Bindestrich im Font durch ein „s“ ersetzt.

Durch Pass Through Authentication (PTA) können Angreifer anschließend prüfen, ob die erbeuteten Zugangsdaten gültig sind, und sie eine Session-ID erbeutet haben, mit der sie alle Dienste des Tenant (M365, Storage und mehr) nutzen können. Selbst MFA stellt dabei keine Hürde dar: Man generiert einfach alle „99“ möglichen Anfragen vor, und kann diese dann über ein Image einbinden. Dafür benötigt man aber zwei Tenants.

Alle „Phishing-Versuche“ kommen dabei von der offiziellen Microsoft-Domain. Sie lassen sich also nicht durch Firewalls, DNS-Filter und vergleichbare Security-Maßnahmen aufhalten. Es fällt schwer, sich vorzustellen, wie Microsoft diese Angriffe unterbinden will. Der einzige Ausweg bleibt, etliche Funktionen hart abzustellen und endlich zu sicheren Funktionen überzugehen.

(fo)

Das verwundbare WordPress-Plug-in UiCore Elements weist derzeit rund 40.000 aktive Installationen auf. Angreifer können an zwei Sicherheitslücken ansetzen, um diese Seiten zu attackieren. Eine reparierte Version verfügt über einen Patch.

Zwei Lücken geschlossen

Vor den Schwachstellen warnen Sicherheitsforscher von Wordfence in einem Beitrag. Mit UiCore Elements können Websitebetreiber ihre Seiten unter anderem optisch anpassen und mit Widgets ausstatten.

Aufgrund von unzureichenden Überprüfungen bei der Uploadfunktion können Angreifer ohne Authentifizierung Dateien mit sensiblen Informationen auf Servern einsehen (CVE-2025-6254 „hoch„). Zum Ausnutzen der zweiten Sicherheitslücke (CVE-2025-8081 „mittel„) müssen Angreifer bereits als Admin authentifiziert sein.

Zurzeit gibt es keine Hinweise, dass Angreifer die Schwachstellen bereits ausnutzen. Admins sollten aber nicht zu lange mit dem Patchen zögern. Die Version 1.3.1 ist abgesichert.

Zuletzt warnten die Sicherheitsforscher vor Angriffsversuchen auf das WordPress-Theme Alone.

(des)

Mit einem neuen Überwachungspaket will das CSU-geführte Innenministerium unter anderem mehr Befugnisse für biometrische Gesichtserkennung schaffen. Das heißt, Polizist*innen sollen viele Menschen auf einmal anhand ihres Gesichts identifizieren und verfolgen dürfen. Verkauft werden die Pläne als Sicherheitspaket. Zwanzig zivilgesellschaftliche Organisationen sehen Grundrechte in Gefahr und lehnen die Pläne ab.

Während nun die zuständigen Ministerien über den Entwurf beraten, hat das Deutsche Institut für Menschenrechte eine aufrüttelnde Untersuchung mit Warnungen und Empfehlungen vorgelegt. Das Institut wird vom Bundestag finanziert und beobachtet als unabhängige Institution die Lage der Menschenrechte in Deutschland.

Auf insgesamt 43 Seiten fassen die Menschenrechtler*innen die Gefahren durch biometrische Gesichtserkennung zusammen. So nennt man es, wenn man Menschen anhand ihrer einzigartigen Gesichtsmerkmale identifiziert. Das sind beispielsweise die Position und Abstände von Augen, Nase, Kinn und Ohren.

Die Expert*innen schildern in ihrer Studie auch die rechtlichen Grundlagen und beschreiben, wo Behörden die Technologie in Deutschland bereits einsetzen. Am Ende machen sie sechs Empfehlungen, für die CSU-Innenminister Alexander Dobrindt direkt das Hausaufgabenheft aufschlagen könnte. Wer sich nicht durch das ganze Papier wühlen möchte, findet hier die wichtigsten Fragen und Antworten.

Warum ist biometrische Gesichtserkennung besonders?

Viele dürften es seltsam finden, wenn sie immer ein Namensschild oder gar ihren Ausweis um den Hals tragen müssten. Doch mit biometrischer Gesichtserkennung wird das eigene Gesicht zu einer Art Ausweis. Man kann es nicht ablegen und nur schwer vor Kameras verbergen. Ob auf der Straße oder im Netz – wer sich nicht stark einschränken will, gibt sein Gesicht immer wieder potenzieller biometrischer Erfassung preis. Die Expert*innen vom Deutschen Institut für Menschenrechte schreiben:

Die Fähigkeit, Menschen aus der Ferne, ohne ihr Wissen und ihre Mitwirkung, zu identifizieren, macht Gesichtserkennung zu einem Sonderfall der biometrischen Identifizierung, die einschüchternde Wirkung entfalten kann.

Was macht Gesichtserkennung so gefährlich?

Aus der Studie des Instituts gehen gleich mehrere Gefahren hervor, die biometrische Gesichtserkennung besonders bedenklich machen. Zum Beispiel:

1. Falsche Verdächtigungen: Gesichtserkennung basiert auf Software, die Ähnlichkeiten erkennt. Dabei passieren Fehler. Das heißt, bei der Suche nach einem Verdächtigen kann die Polizei schlicht die falsche Person ins Visier nehmen und verfolgen. In den USA ist genau so etwas schon öfter passiert: Nach Verwechslungen mussten Unbeteiligte aufs Revier.
2. Diskriminierung: Gesichtserkennung funktioniert nicht bei jeder Person gleich gut. Gerade bei Frauen oder People of Color kann die Technologie mehr Fehler machen als bei weißen Männern. Den Forschenden zufolge stelle sich die Frage, ob der Einsatz der Technologie „gegen das grund- und menschenrechtliche Diskriminierungsverbot verstößt“.
3. Profilbildung: Biometrische Gesichtserkennung muss nicht nur punktuell geschehen. Man kann auch Personen immer wieder an mehreren Orten erkennen und dadurch Rückschlüsse ziehen. Es kann viel über einen Menschen verraten, mit wem er zum Beispiel häufig auf Demos gesichtet wird, ob er oft im Bankenviertel auftaucht oder auf dem Weg zu einer psychiatrischen Klinik. Die Forschenden verzichten zwar auf konkrete Beispiele, warnen aber vor solcher Profilbildung.
4. Einschüchterung: Allein das Wissen, dass Behörden per Kameras Gesichtserkennung betreiben und dass dabei Fehler passieren, kann Menschen verunsichern. Die Forschenden warnen deshalb vor Abschreckungseffekten („chilling effects“). Sie könnten dazu führen, dass Menschen „auf die Wahrnehmung etwa ihrer Meinungs- und Versammlungsfreiheit verzichten“. Konkretes Beispiel: Sie trauen sich nicht mehr auf eine Demo.

Hat die KI-Verordnung nicht schon alles geregelt?

Leider nein. Die EU hat ihre Chance verpasst, biometrische Gesichtserkennung umfassend zu verbieten. Die KI-Verordnung (AI Act) formuliert nur rote Linien, die Mitgliedstaaten bei biometrischer Gesichtserkennung nicht überschreiten dürfen. Deutschland und andere EU-Staaten können aber weiterhin ihre eigenen Regeln schreiben – oder gar entscheiden, die Technologie für illegal zu erklären.

Noch Anfang 2024 äußerten Bundestagsabgeordnete der Ampel den Wunsch, dass Deutschland seinen Spielraum aus der KI-Verordnung nicht ausreizt und etwa biometrische Echtzeit-Überwachung verbietet. Doch das ist Schnee von gestern. Bei der schwarz-roten Bundesregierung stehen die Zeichen nicht auf weniger Überwachung, sondern auf mehr.

Wie viel Spielraum hat Deutschland bei Gesichtserkennung?

Der Spielraum für biometrische Gesichtserkennung in Deutschland ist aus vielen Richtungen begrenzt. Das Institut für Menschenrechte beschreibt eine Art Slalom entlang mehrerer Vorschriften und Grundrechte.

• Schon aus dem Recht auf Privatsphäre ergeben sich der Studie zufolge hohe Hürden für Gesichtserkennung. „Bereits die Speicherung von Lichtbildern, verbunden mit der bloßen Möglichkeit einer Gesichtserkennung, greift in das Menschenrecht auf Privatsphäre ein“, warnen die Forschenden.
• Konkretere Einschränkungen liefert die KI-Verordnung selbst. Für Gesichtserkennung in Echtzeit sind die Hürden höher. Hier müssen Behörden etwa Folgen für Grundrechte abschätzen und brauchen vor jeder Verwendung eine Genehmigung, etwa durch ein Gericht. Bei nachträglicher Gesichtserkennung wird die KI-Verordnung jedoch laxer – und es ist nicht einmal klar definiert, ab wann der Einsatz als nachträglich gilt.
• Ein System zur Gesichtserkennung braucht eine Datenbank, um Gesichter abzugleichen und Personen zuzuordnen. Kommerzielle Anbieter wie PimEyes oder Clearview AI, die Milliarden Gesichter kennen, kommen der Studie zufolge für Behörden jedoch nicht in Frage. Die KI-Verordnung verbietet nämlich Datenbanken, die ungezielt Gesichtsbilder aus dem Internet auslesen. Eine Alternative sind staatliche Lichtbilddatenbanken. Dort liegen die Bilder von erkennungsdienstlich registrierten Personen – darunter Tatverdächtige und Asylsuchende.
• Dann gibt es noch die EU-Richtlinie zum Datenschutz bei Polizei und Strafjustiz, kurz: JI-Richtlinie. Ähnlich wie die Datenschutzgrundverordnung (DSGVO) beschreibt die Richtlinie biometrische Daten als besonders schützenswert. „Deren polizeiliche Verarbeitung ist demnach nur dann erlaubt, wenn sie unbedingt erforderlich ist“, fasst die Studie zusammen.
• Sollte das Thema einmal beim Bundesverfassungsgericht landen, dürfte es den Richter*innen wohl ums Recht auf informationelle Selbstbestimmung gehen. Die Forschenden erinnern an ältere Rechtsprechung zur Kfz-Kennzeichenkontrolle. Ob nun Autokennzeichen erfasst werden oder Gesichter – die Situation ist vergleichbar. Schon damals habe das Gericht festgestellt, dass „jeder einzelne Datenverarbeitungsvorgang grundsätzlich einen Grundrechtseingriff“ darstelle.

Längst zeigen Fälle und Pilotprojekte aus den Bundesländern, wie Behörden einfach mal loslegen. Bereits 2020 hatte das BKA nach Protesten zum G20-Gipfel in Hamburg Gesichtserkennung eingesetzt. Das Land Hessen will Gesichtserkennung am Hauptbahnhof Frankfurt/Main haben. Das Land Sachsen hat Gesichtserkennung in der Region Görlitz genutzt – zum Ärger der Landesdatenschutzbeauftragten, die das für teils verfassungswidrig hielt. Einige der Beispiele tauchen auch in der Studie auf. Die Forschenden warnen vor der „rapiden Entwicklung“.

Was empfehlen die Menschenrechtsexpert*innen?

Trotz ihrer Warnungen lehnen die Forschenden biometrische Gesichtserkennung nicht generell ab. Das unterscheidet sich von der Position einiger zivilgesellschaftlicher Institutionen, die sich schlicht für den Stopp der Technologie stark machen. Ein klares Nein könnte jahrelange Unsicherheit und Rechtsstreitigkeiten vermeiden.

Die Menschenrechtler*innen formulieren stattdessen sechs teils dringliche Empfehlungen. An ihnen kann sich Schwarz-Rot messen lassen.

1. Zuerst signalisieren die Forschenden Halt, Stopp!, wenn auch in anderen Worten. Sie warnen vor „erheblichen rechtlichen und ethischen Fragen“ und halten es für „unerlässlich, diese Technologie nicht vorschnell einzuführen“. Stattdessen empfehlen sie, zuerst Fachleute an die Sache heranzulassen. Es braucht demnach eine „Enquete-Kommission mit Vertreter*innen aus Polizei, Daten- und Diskriminierungsschutz, Zivilgesellschaft und Wissenschaft“, um das Thema öffentlich zu diskutieren.
2. Zweitens soll es erst einmal nicht mehr, sondern weniger Gesichtserkennung geben. Der Zugriff der Polizei auf bereits bestehende staatliche Gesichtsdatenbanken soll beschränkt werden, und zwar „dringend“, wie die Forschenden schreiben. Es brauche „klar normierte, anlassbezogene Suchen“, um „unverhältnismäßige Eingriffe in die Privatsphäre zu vermeiden“.
3. Drittens empfehlen die Forschenden ein Verbot von „digitaler polizeilicher Beobachtung“. Hier geht es darum, dass Gesichtserkennung nicht punktuell ist, sondern eben auch Material für umfangreiche Persönlichkeitsprofile liefern könnte.
4. Viertens soll den Forschenden zufolge biometrische Gesichtserkennung unter Richtervorbehalt gestellt werden. Das sieht die KI-Verordnung nur bei Gesichtserkennung in Echtzeit vor, nicht aber bei nachträglicher Erkennung. Deutschland darf das jedoch strenger regeln.
5. Fünftens verlangen die Forschenden Transparenz bei polizeilicher Gesichtserkennung, „damit eine demokratische Kontrolle gewährleistet ist“. Das Institut für Menschenrechte empfiehlt Bund und Ländern, dass sie auch öffentlich einsehbar machen, welche Systeme sie für den Einsatz registrieren. Laut KI-Verordnung müssten sie das nicht öffentlich tun.
6. Zuletzt sollte Gesichtserkennung den Menschenrechtler*innen zufolge nicht bis auf Weiteres eingeführt werden, sondern allenfalls für begrenzte Zeit. Danach könne man prüfen, neu bewerten und „idealerweise“ die Folgen für Grundrechte abschätzen.

Wie geht es jetzt weiter?

Das CSU-Innenministerium hat mit seinen Referentenentwürfen den ersten Schritt gemacht. Falls sich die schwarz-rote Regierung auf einen gemeinsamen Entwurf einigt, wären als nächstes Bundestag und Bundesrat an der Reihe.