IT-Admins kommen „zwischen den Jahren“ nicht zur Ruhe. Zu Weihnachten wurde eine hochriskante Sicherheitslücke in MongoDB mit dem Spitznamen „MongoBleed“ bekannt, durch die Angreifer aus dem Netz ohne vorherige Authentifizierung etwa an Zugangsdaten gelangen können, was an das „CitrixBleed“-Desaster Ende 2023 erinnert. Global sind zigtausende Systeme derzeit noch anfällig – und Deutschland landet mit mehr als 11.500 anfälligen Instanzen auf dem unrühmlichen dritten Platz.

Das berichten IT-Sicherheitsforscher von Resecurity in einem Blogbeitrag. Nachdem für die Schwachstelle CVE-2025-14847 (CVSS 8.7, Risiko „hoch“) Proof-of-Concept-Code zum Missbrauch öffentlich wurde, sind massenhafte Angriffe zu erwarten. Umso schwerer wiegt, dass Resecurity mit der Shodan-Datenbank bei der Suche nach MongoDB-Instanzen, die sich mit verwundbaren Versionen melden, weltweit fast 90.000 Instanzen gefunden hat.

Am meisten verwundbare Systeme stehe in China, 16.576 hat Shodan am Dienstag dieser Woche dort gefunden. An zweiter Stelle folgen die USA mit 14.486 anfälligen Instanzen, und auf Platz drei liegt bereits Deutschland mit 11.547 angreifbaren und im Netz erreichbaren MongoDB-Servern. Abgeschlagen geht es mit Hongkong weiter, wo immerhin noch 5.521 anfällige MongoDBs zu finden sind.

Deutscher Provider weltweit an der Spitze

Besonders auffällig ist Deutschland bei der Verteilung nach Providern. Weltweit auf Platz eins steht Hetzner Online GmbH, dort liegen 6.828 verwundbare MongoDB-Server. Erst danach folgt Alibaba Cloud (Aliyun) mit 6.226 attackierbaren Instanzen. Weitere namhafte Größen wie Google landen mit 3.364 exponierten, anfälligen MongoDB-Servern auf Platz fünf.

Eine Einschränkung nennt Resecurity noch: Um verwundbar zu sein, muss die zlib-Kompression aktiviert sein – was jedoch laut IT-Sicherheitsforschern oftmals die Standardkonfiguration darstellt. Admins sollten spätestens jetzt die verwundbaren Instanzen auf eine sichere Softwareversion aktualisieren, dafür steht MongoDB in Fassung 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 und 4.4.30 und neuer bereit. Ältere Versionen sind am End-of-Life angelangt und erhalten keinen Patch mehr. Wer nicht umgehend aktualisieren kann, soll laut Resecurity etwa die zlib-Kompression als temporäre Gegenmaßnahme deaktivieren oder zu einer alternativen Kompression wechseln sowie den Zugriff auf den MongoDB-Netzwerkport (standardmäßig 27017) etwa mittels Firewalls oder VPN beschränken.

(dmk)

Zum Christopher-Street-Day wehte in den vergangenen Jahren die Pride-Flagge auf dem Dach des Reichstagsgebäude – außer in diesem Jahr. Im Juni machte Bundestagspräsidentin Julia Klöckner (CDU) Schlagzeilen, weil sie entschied, dass die Flagge nicht gehisst werden darf. „Wir müssen neutral sein, auch wenn das manchmal weh tut“, begründete Klöckner ihren Bruch mit der Tradition, Solidarität mit queeren Minderheiten zu demonstrieren.

Beifall für ihren Entschluss bekam Klöckner von der rechtsextremistischen Partei Alternative für Deutschland (AfD). Die wiederum nutzt die Rhetorik der Neutralität inzwischen als Waffe. Regelmäßig bringt sie Klagen vor Gericht, mit denen sie versucht, eine autoritäre Definition von Neutralität durchzusetzen.

Doch wieviel Neutralität gebietet das Grundgesetz (GG) eigentlich wirklich? Und wann ist laut GG statt Neutralität vielmehr Widerstand gegen rechte Angriffe auf demokratische Werte Pflicht?

Mit diesen Fragen beschäftigten sich Hannah Vos und Vivian Kube in ihrem Talk „Wer hat Angst vor dem Neutralitätsgebot?“ auf dem 39. Chaos Communication Congress in Hamburg. Die Juristinnen Vos und Kube kommen von der Initiative Gegenrechtsschutz, die zu FragDenStaat gehört. Sie berät und unterstützt Menschen und Organisationen aus Kultur, Journalismus oder Wissenschaft, die von rechts außen in Gerichtsverfahren verwickelt werden.

Neutralität hat Grenzen

Vos und Kube fragen: „Müssen wir neutral sein, auch wenn es weh tut, während sich andere Teile der Gesellschaft immer weiter nach rechts außen bewegen?“ Laut GG gebe es klare Vorgaben, wo Neutralität geboten ist und wo nicht. Dazu stellen Vos und Kube zunächst klar: Das eine Neutralitätsgebot gibt es im GG nicht. Stattdessen macht das GG für verschiedene Bereiche wie öffentliche Verwaltung, Schule oder Zivilgesellschaft konkrete Vorgaben zur Neutralität, setzt aber auch klare Grenzen.

Unterm Strich: Wenn es darum geht, demokratische Werte zu verteidigen und Angriffe auf diese abzuwehren, geht es nicht mehr um Neutralität, sondern um gebotenen Widerstand. Das mache unsere wehrhafte Demokratie aus.

In der öffentlichen Verwaltung haben Beamt:innen die Pflicht zur Verfassungstreue. Wenn Dienstanweisungen oder Vorgaben etwa gegen die Menschenwürde verstoßen, müssten Beamt:innen dagegen halten. Dabei sind sie nicht allein auf sich gestellt, im Rücken haben sie das NPD-Urteil des Bundesverfassungsgerichts von 2017. Demnach seien neben der Garantie auf Menschenwürde die Kernelemente der freiheitlich-demokratischen Grundordnung das Demokratieprinzip sowie das Rechtsstaatsprinzip.

Ganz konkret listen Vos und Kube auf, was als Verstoß gegen die Menschenwürde gilt. Dazu zählen Aussagen wie: „Zugezogene können nie Teil der Gemeinschaft werden, denn ihnen fehlt die gemeinsame Geschichte, Kultur etc.“ Sie unterstellen etwa einen „gemeinsamen Volkswillen“ und negieren Interessenvielfalt.

Außerdem verstoßen alle rassistischen, frauenfeindlichen, antimuslimischen, antisemitischen, antiziganistischen, ableistischen und transfeindlichen Forderungen gegen die Menschenwürde. Als Malu Dreyer (SPD) nach den Veröffentlichungen des Recherche-Kollektivs Correctiv Anfang 2024 zu Demonstrationen gegen Rechts aufrief, habe sie mit Rückendeckung des GG gehandelt.

Freiheitlich-demokratische Grundordnung ist der Maßstab

Damals war Dreyer Ministerpräsidentin von Rheinland-Pfalz und bezog über ihren Instagram-Account Stellung: „Der Begriff ‚Remigration‘ verschleiert, was die AfD und andere rechtsextreme Verfassungsfeinde vorhaben: Sie planen die Vertreibung und Deportation von Millionen Menschen aus rassistischen Motiven. So verschieben sie die Grenze weiter nach rechts und radikalisieren den gesellschaftlichen Diskurs.“

Den folgenden Rechtsstreit entschied das Bundesverfassungsgericht eindeutig zugunsten Dreyers, als die rheinland-pfälzische AfD eine Verfassungsbeschwerde gegen das Urteil des rheinland-pfälzischen Verfassungsgerichtshofs einreichen wollte.

Es gibt für Beamt:innen sogar eine Pflicht zur sogenannten Remonstration: Wenn eine Weisung von oben gegen die freiheitlich-demokratische Grundordnung und das GG verstößt, müssen sich Beamt:innen verweigern. Wenn sie das nicht tun, tragen sie die volle Verantwortung.

Wie das aussehen kann, zeigen mehrere Mitarbeiter:innen des Bundesamts für Migration und Flüchtlinge nach Informationen der Süddeutschen Zeitung (€). Diese sollen der Behörde Paroli geboten haben. Dabei geht es um afghanische Ortskräfte, die unter der alten Bundesregierung eine Aufnahmezusage bekommen hatten. Obwohl Verwaltungsgerichte bereits entschieden haben, dass diese Menschen nach Deutschland kommen müssen, um in Afghanistan nicht Folter und Tod ausgesetzt zu sein, lehnt die schwarz-rote Bundesregierung eine Aufnahme ab. Alexander Dobrindt (CDU) veranlasste entsprechende Widerruf-Schreiben. Doch mehrere BAMF-Mitarbeiter:innen verweigerten ihre Unterschrift.

Neutralität in der Schule

Auch in der Schule will die AfD ihr Neutralitätsregime durchsetzen. Dabei legt das GG auch hier klar fest: Lehrkräfte in der Schule dürfen etwa keine Parteiwerbung machen oder Schüler:innen gar dazu auffordern, eine bestimmte Partei zu wählen. Diese Neutralität hat aber Grenzen. Laut GG kann und soll es keine neutrale Schulbildung geben. Lehrkräfte sind demnach dazu verpflichtet, Schüler:innen im Sinne demokratischer Werte über faschistische und rassistische Inhalte aufzuklären. Sie müssen ihnen dabei helfen, kontroverse Inhalte einzuordnen.

Umso widersprüchlicher die Einschüchterungskampagne „Neutrale Schule“ von der AfD. Sie wollte ein sogenanntes Meldeportal einführen, auf dem Schüler:innen Lehrkräfte melden sollten, wenn die ihrer Meinung nach keinen neutralen Unterricht machen. Die Gewerkschaft für Erziehung und Wissenschaft sprach von einer „Denunziationsplattform“.

Was Klöckner betrifft, habe sie suggeriert, es gebe für die Bundestagsordnung eine rechtliche Pflicht zur Neutralität. Nur das habe sie dazu veranlasst, die Pride-Fahne auf dem Reichtagsgebäude zu verbieten. Doch diese Pflicht gebe es nicht, so Vos und Kube.

Zwar sei die Bundestagspräsidentin nicht verpflichtet, die Fahne hissen zu lassen. Aber sie ist auch nicht dazu verpflichtet, das Hissen der Fahne zu verbieten.