Die EU-Grenzagentur Frontex hat im November ihre Luftüberwachung auf die Gewässer vor Westafrika erweitert. Regelmäßige Einsätze erfolgen seitdem immer wieder von der Insel Santiago, die zu den Kapverden gehört. Für die Stationierung eines Flugzeugs war Frontex-Direktor Hans Leijtens selbst in die kapverdische Hauptstadt Praia gereist. Dort traf sich der Niederländer mit dem Staatsminister, dem Verteidigungs- sowie dem Innenminister und weiteren hochrangigen Regierungsmitgliedern.

Die Luftüberwachung von Praia aus ist der erste derartige Einsatz von Frontex in einem afrikanischen Land. An den Gesprächen zur technischen Umsetzung waren auch Behörden aus Portugal beteiligt – die beiden Länder arbeiten nach der Unabhängigkeit des Inselstaats Kap Verde auch zu maritimer Sicherheit eng zusammen. Nach Angaben eines Frontex-Sprechers stimmt sich die EU-Grenzagentur auch mit spanischen Behörden zu den Flügen ab.

Die zu Spanien gehörenden Kanarischen Inseln sind oft Ziel der Überfahrten von Booten mit Migrant*innen, die von Gambia, Guinea-Bissau, Senegal oder Mauretanien in Richtung Europa ablegen. Auf sie hat es Frontex abgesehen.

Hochgerüstete Überwachungsflugzeuge

Mit den ausgeweiteten Flügen ihrer „Multipurpose Aerial Surveillance“ will Frontex die EU-Migrationsabwehr verstärken. Bei privaten Firmen gecharterte Luftfahrzeuge halten dazu Ausschau in den Such- und Rettungsregionen im Atlantik vor Senegal und Mauretanien. Bei Sichtung eines Bootes informiert die Besatzung die zuständigen Behörden der westafrikanischen Länder. Deren Küstenwachen sollen die Menschen abfangen und zurückholen. Ein solches Pullback-System praktiziert Frontex bereits seit 2017 mit der Küstenwache in Libyen.

Allerdings startet die neue Frontex-Mission ohne ein neues Arbeitsabkommen mit den Kapverden. Wie aus einer aktuellen Antwort auf eine parlamentarische Anfrage hervorgeht, bezeichnet Frontex den aktuellen Betrieb deshalb als „Phase 1“. In diesem Zeitraum findet demnach kein erweiterter Austausch von Daten aus der Überwachung mit kapverdischen Behörden statt – dies soll erst nach Unterzeichnung einer entsprechenden Vereinbarung in „Phase 2“ erfolgen.

Auch ohne Abkommen zum Datentausch können in der „Phase 1“ Informationen zu gesichteten Booten an die Küstenwache der Kapverden übermittelt werden – jedenfalls in einem Seenotfall. Dies könne über das internationale Seerecht erfolgen, das im Rahmen von Such- und Rettungseinsätzen die Benachrichtigung von maritimen Leitstellen benachbarter Staaten vorschreibt, erklärt Frontex.

Kapverden benennen „Eurosur-Koordinierungszentrum“

Nach Unterzeichnung eines Arbeitsabkommens soll dann „Phase 2“ beginnen. Dann würde der Informationsaustausch zu Booten auf dem Weg zu den Kanaren über ein Lagezentrum der Marine erfolgen, das Kap Verde dafür benannt hat. Frontex bezeichnet dieses COSMAR, das Zentrum für maritime Sicherheitsoperationen, als „Eurosur-Koordinierungszentrum“. Eurosur ist das Überwachungsnetzwerk, an das seit 2014 alle Schengen-Staaten mit dem Frontex-Hauptquartier in Warschau vernetzt sind. Dorthin werden auch die von Flugzeugen aufgenommenen Videos in Echtzeit gestreamt.

Die Antwort auf die parlamentarische Anfrage gibt auch Auskunft zur Sensortechnik an dem bei der britischen Firma DEA mit einem Rahmenvertrag gecharterten Flugzeug. Dazu gehören eine giro-stabilisierte elektro-optische und Infrarot-Kamera mit Wärmebildfunktion und Tageslicht-Zoomkamera, außerdem ein AIS-Transponder zur Schiffsidentifikation und ein Seeüberwachungsradar.

Derartige Ausrüstung gilt als Dual-Use-Technik, die auch militärisch verwendet werden kann. Schiffe der zivilen Seenotrettung dürfen sie deshalb nicht erwerben oder einsetzen, ansonsten können sie auch wegen Spionage verfolgt werden.

„Operative Verbindungsbeamte“ in Warschau

Mit der Anbindung an Eurosur erhalten die „eingebetteten kapverdischen Behörden“ laut Frontex die gleichen Informationen wie Portugal und Spanien. Dazu stationiert die Regierung in „Phase 2“ außerdem „operative Verbindungsbeamte“ in Warschau. Umgekehrt will Frontex aber kein eigenes Personal auf den Kapverden stationieren.

Die Frontex-Mission von den Kapverden aus soll eine Lücke schließen, die gescheiterte Verhandlungen mit Senegal und Mauretanien hinterließen: Die EU-Grenzagentur wollte ursprünglich Statusabkommen mit diesen Ländern schließen, um auch dort operieren zu dürfen. Trotz vorheriger positiver Signale verweigerten die Regierungen jedoch entsprechende Gespräche.

Die Flüge von Praia erfolgen deshalb außerhalb der Zwölfmeilenzone von Senegal und Mauretanien und damit im internationalen Seegebiet. So zeigt es auch ein ADSB-Tracker für das Flugzeug.

Grundrechtsbeauftragter äußert sich kritisch

Auch der Frontex-Grundrechtsbeauftragte Jonas Grimheden hatte sich bereits mit den Flügen von Praia aus beschäftigt – und äußerte sich schon im Planungsstadium kritisch. Denn die Flugzeuge sollen Informationen über entdeckte Migrant*innen an Such- und Rettungsbehörden der betreffenden Staaten weitergeben. In Mauretanien und Senegal gibt es aber Berichte über Defizite beim Schutz der Menschenrechte. Deshalb hätten vor der Inbetriebnahme des Flugdienstes wirksame Schutzmaßnahmen eingeführt werden sollen, meint Grimheden.

Das Büro des Grundrechtsbeauftragten forderte daher einen Aktionsplan, der die Probleme adressiert. Besonders das Verbot des Non-Refoulement – also das Verbot, Menschen in Länder zurückzuschicken, wo ihnen Verfolgung droht – müsse darin berücksichtigt werden, so Grimheden.

Cisco Evolved Programmable Network Manager, Meeting Management, Prime Infrastructure, Secure Web Appliance und TelePresence Collaboration Endpoint sind verwundbar. Sind Attacken erfolgreich, kann Schadcode auf Systeme gelangen. Es kann außerdem zu Abstürzen kommen. Zurzeit gibt es seitens Cisco keine Hinweise darauf, dass Angreifer die Lücken bereits ausnutzen.

Mehrere Sicherheitslücken

Am gefährlichsten gilt eine Lücke (CVE-2026-20098 „hoch“) in Cisco Meeting Management. Für eine Attacke müssen Angreifer aber bereits authentifiziert sein. Ist diese Hürde genommen, können sie aufgrund von unzureichenden Überprüfungen über präparierte HTTP-Anfragen Systemdateien überschreiben. Klappt eine solche Attacke, sind Angreifer Root-Nutzer und kompromittieren Systeme aus dieser Position vollständig.

Eine DoS-Lücke (CVE-2026-20119) in TelePresence Collaboration Endpoint Software und RoomOS Software ist mit dem Bedrohungsgrad „hoch“ eingestuft. An dieser Stelle kann eine manipulierte Meetingeinladung Abstürze auslösen. So wie sich die Beschreibung der Lücke liest, muss ein Opfer dafür nicht mitspielen. Eine Annahme so einer Einladung ist demzufolge nicht nötig.

Nutzen Angreifer die verbleibenden Schwachstellen erfolgreich aus, sind XSS-Attacken (Prime Infrastructure, CVE-2026-20111 „mittel“) und Umleitungen auf eine bösartige Website möglich (Evolved Programmable Network Manager und Cisco Prime Infrastructure, CVE-2026-20123 „mittel“). Zusätzlich ist das Umgehen des Malware-Scanners im Kontext von Secure Web Appliance vorstellbar (CVE-2026-20056 „mittel“).

Weiterführende Informationen zu den Lücken und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:

(des)

Die Thüringer Brombeer-Koalition aus CDU, BSW und SPD will nun ebenfalls ein High-Tech-Ermittlungsarsenal für ihre Landespolizei. Eine entsprechende Novelle des Polizeigesetzes wurde heute erstmals im Landtag beraten.

Unter den zahlreichen neuen Befugnissen findet sich beispielsweise das Recht zur Nutzung eines Systems, das anhand von Videobildern illegales Verhalten automatisch erkennen soll. Mit solchen Systemen wird für gewöhnlich öffentlicher Raum überwacht, in Thüringen soll der Verhaltensscanner auch in Gefängnissen zum Einsatz kommen dürfen und dort Gefahrensituationen registrieren.

Ein Prototyp einer Verhaltensscanner-Software wird seit 2018 in Mannheim mit den Bildern oft nichts ahnender Passant*innen trainiert. Die Polizei kann keinen einzigen Fall nennen, bei dem es eine Ermittlung unterstützt hätte. Dennoch wollen immer mehr Bundesländer das System einführen. In Hamburg läuft es bereits, Baden-Württemberg und Berlin haben kürzlich die Gesetzesgrundlage dazu geschaffen, in Schleswig-Holstein und Sachsen ist eine solche geplant.

„Wir wären wie eine Insel für Kriminelle“

Der thüringische Innenminister Georg Maier, SPD, sagt zum geplanten polizeilichen KI-Einsatz: „Es wäre fatal, wenn wir als einziges Bundesland darauf verzichten würden. Wir wären wie eine Insel für Kriminelle, die hier geringeren Ermittlungsdruck spüren würden.“

Katharina König-Preuss von Die Linke sagt: „Das Problem ist, wer irgendwann in der Lage sein wird, solche Software zu nutzen.“ Sie verweist beispielhaft auf totalitäre Bestrebungen in den USA. In dem debattierten Gesetzespaket sieht sie einen „massiven Grundrechtseingriff“.

Ähnlich umstritten ist eine weitere Befugnis aus dem geplanten Thüringer Polizeigesetz: das Recht, automatisierte Datenanalysen durchzuführen, wie sie beispielsweise mit Produkten von Palantir möglich sind. Die Einführung dieser Befugnis hatte in Baden-Württemberg viele Menschen im Protest auf die Straße getrieben. In Thüringen scheint sie weniger Interesse zu erregen. Derartige automatisierte Datenanalysen werden in den USA beispielsweise dazu genutzt, um Informationen über Menschen zu sammeln, die deportiert werden sollen. In Thüringen dürfen bei Gefahr für die öffentliche Sicherheit auch Daten in die Analyse einfließen, die bei der verdeckten Überwachung von Wohnraum oder Privatgeräten zusammengetragen wurden.

Ausschluss des Marktführers

Thüringens Innenminister Maier stellt in der Debatte klar, dass er keine Produkte des verrufenen Software-Herstellers Palantir für derartige Big-Data-Analysen nutzen möchte. Eine andere Firma soll dabei zum Zuge kommen. „Eine wie auch immer geartete Zusammenarbeit mit der US-amerikanischen Firma Palantir wird es mit mir nicht geben“, sagt er.

Die Novelle des Polizeigesetzes soll den Thüringer Beamt*innen noch weitere datenschutzrechtlich problematische Befugnisse bringen. So sollen beispielsweise Personen, die vom Verhaltensscanner bei einer Straftat ertappt werden, automatisch über mehrere Kameras hinweg verfolgt werden können.

Außerdem soll der Gesetzentwurf den Aufbau einer Gesichtersuchmaschine ermöglichen, die mit frei zugänglichen Bildern aus dem Internet gefüttert wird. Dabei verbietet der AI-Act der EU das Anlegen von Datenbanken, die ungezielt Gesichtsbilder aus dem Internet auslesen. Nach dem Gesetzentwurf dürfte die Polizei auch Stimmen-Samples aus dem Netz extrahieren, um diese automatisiert mit anderen Stimmproben zu vergleichen.

Drohnen, die Handys jagen

Auch den Einsatz von Kennzeichenscannern ermöglicht der Gesetzentwurf. Damit dürften von Fahrzeugen, die zur Kontrolle ausgeschrieben sind, sogar Bewegungsprofile erstellt werden.

Ein weiteres Spielzeug, das das thüringische Innenministerium den Polizist*innen des Bundeslandes zur Verfügung stellen möchte, sind Videodrohnen, die zum Beispiel bei öffentlichen Veranstaltungen eingesetzt werden sollen. Außerdem könnten dem Gesetz nach Drohnen die Funktion eines IMSI-Catchers übernehmen und Standorte sowie Geräte- und Kartennummern von Mobiltelefonen ermitteln. Derartige Standortabfragen sollen künftig auch bei Mobiltelefonen erlaubt sein, deren Besitzer*innen nicht kriminell sind, sondern als vermisst gemeldet wurden.

Elektronische Fußfesseln sollen dem Gesetz nach nicht nur gegen Sexualstraftäter eingesetzt werden, sondern beispielsweise auch bei Menschen, die „eine Gefahr für Anlagen mit unmittelbarer Bedeutung für das Gemeinwesen“ darstellen. Demnach könnten die Tracker wohl theoretisch auch Menschen angelegt werden, die planen, eine Straße zu blockieren.

Zudem erlaubt das geplante Polizeigesetz den Einsatz von Distanzelektroimpulsgeräten, auch Taser genannt. Die werden oft gegen Menschen in psychischen Ausnahmesituationen genutzt und führen immer wieder zu Todesfällen.