Seit 12. Oktober führen die EU-Mitgliedstaaten das neue Ein- und Ausreisesystem (EES) an ihren Außengrenzen ein. Es dient dazu, die Aufenthaltsdauer von Personen aus Drittstaaten elektronisch zu erfassen und zu überprüfen, wenn diese für einen Kurzaufenthalt von bis zu 90 Tagen (innerhalb von 180 Tagen) in den Schengen-Raum reisen. Die visafrei ankommenden Drittstaatsangehörigen werden seitdem elektronisch erfasst, inklusive vier Fingerabdrücken und Gesichtsbild. Zusammen mit den Pass- und Reisedaten werden diese Informationen drei Jahre lang gespeichert.
Das EES gilt in den 29 Schengen-Staaten, darunter 25 EU-Länder sowie Island, Liechtenstein, Norwegen und die Schweiz. Seit November sei es zu mindestens drei größeren Ausfällen des Systems gekommen, heißt es aus EU-Kreisen. In einem Fall sei das EES sogar zwei Tage nicht verfügbar gewesen. Schwierigkeiten treten vor allem bei nationalen Anbindungen und lokalen Systemkomponenten auf. Angriffe auf das Zentralsystem oder andere sicherheitsrelevante Vorfälle gibt es aber, soweit bekannt, nicht.
Das EES ist Teil des sogenannten Smart-Borders-Pakets der EU. Ziel ist es, die bislang analogen Passstempel zu ersetzen und Aufenthaltsüberschreitungen automatisiert zu erkennen. Die technische Verantwortung liegt bei der EU-Agentur eu-LISA. Wegen jahrelanger Verzögerungen erfolgt die Einführung stufenweise. Ab dem 10. April 2026 soll das System schengenweit vollständig laufen.
Am 10. Dezember begann die zweite Einführungsphase. Seitdem gilt die Vorgabe, dass mindestens zehn Prozent aller Grenzübergänge in jedem EU-Mitgliedstaat mit dem EES ausgestattet sein müssen. Dazu müssen alle biometrischen Funktionen verfügbar sein und alle neu angelegten Personenakten im System Fingerabdrücke und Gesichtsbild enthalten.
Soweit bekannt erfüllen aber mindestens Italien und die Niederlande diese Zehn-Prozent-Anforderung derzeit nicht. Dort fehlen entweder die notwendige Infrastruktur, geschultes Personal oder die Technik zur biometrischen Erfassung.
Grundsätzlich ist das EES derzeit nur dort einsetzbar, wo Selbstbedienungs-Terminals und nachgelagerte E-Gates installiert wurden. Das betrifft fast ausschließlich große internationale Flughäfen, einzelne Seehäfen sowie wenige internationale Bahnhöfe. Selbst dort ist der Betrieb aber nicht flächendeckend gewährleistet. An kleineren Grenzübergängen, insbesondere im Straßenverkehr, wird weiterhin überwiegend mit Passstempeln gearbeitet.
Eine von Frontex für alle EES-Staaten entwickelte „Travel-to-Europe-App“ ist bislang ebenfalls kaum verbreitet – derzeit ist sie nur in Schweden nutzbar. Dort können Reisende vorab Passdaten, ein Gesichtsbild sowie einen Einreisefragebogen („Answer a few questions about your travel plans“) übermitteln. Die App ist in Apples App-Store und bei Google Play erhältlich. Andere EU-Staaten können sie später einführen, sind dazu aber nicht verpflichtet.
Neben technischen Problemen beschäftigt die EU-Kommission die Frage nach Ausnahmen von der Registrierungspflicht im EES. Als befreundet geltende Drittstaaten wie die USA drängen darauf, bestimmten Personengruppen Sonderregelungen zu ermöglichen. Dazu zählen unter anderem hochrangige Militärangehörige, etwa aus dem NATO-Umfeld, Diplomat*innen oder Angehörige von Königshäusern – also besonders prominente Personen oder sehr vermögende Reisende.
Ähnliche Probleme bestehen bei verdeckten Ermittler*innen, die mit echten biometrischen Merkmalen, aber falschen Identitäten reisen. In solchen Fällen wird das nationale Grenzpersonal bislang oft vorab durch vorausreisende Polizeiführer*innen informiert – ein Vorgehen, das mit dem automatisierten EES nur schwer vereinbar ist.
Die EU-Kommission prüft derzeit, welche Personenkreise künftig Ausnahmen geltend machen können und wie diese technisch umgesetzt werden könnten. Bereits bekannt sind zudem Registrierungsprobleme im Bereich der Privatfliegerei – denn an kleinen Flughäfen müssen nach derzeitigem Stand keine Fingerabdrücke oder Gesichtsbilder abgegeben werden. Auch hierzu hat die Kommission nun einen Fragebogen an die Mitgliedstaaten versendet.
Systeme mit IBM App Connect Operator und App Connect Enterprise Certified Containers Operands oder WebSphere Service Registry and Repository und WebSphere Service Registry and Repository Studio sind verwundbar und es können Attacken bevorstehen. Aktualisierte Versionen lösen verschiedene Sicherheitsprobleme.
Weiterlesen nach der Anzeige
So können Angreifer etwa Instanzen mit bestimmten Uniform-Resource-Identifier-Anfragen (URI) attackieren und im Kontext von Node.js eine extreme CPU-Last provozieren. Das führt dazu, dass Systeme nicht mehr reagieren (CVE-2026-0621 „hoch“). Weil IBM App Connect Enterprise Certified Container im Python-Modul azure-core nicht vertrauenswürdige Daten verarbeitet, können authentifizierte Angreifer über ein Netzwerk Schadcode ausführen (CVE-2026-21226 „hoch“).
Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad „mittel“ eingestuft. In diesen Fällen können Angreifer etwa Konfigurationen modifizieren (CVE-2025-13491).
Um Systeme vor möglichen Attacken zu schützen, müssen Admins App Connect Enterprise Certified Container Operator 12.20.0 installieren. Zusätzlich müssen sie sicherstellen, dass für DesignerAuthoring, IntegrationServer und IntegrationRuntime mindestens Version 13.0.6.1-r1 installiert ist.
Die Lücke betrifft die Eclipse-OMR-Komponente (CVE-2026-1188 „mittel“). An dieser Stelle können Angreifer einen Speicherfehler auslösen, was in der Regel zu Abstürzen führt. Oft gelangt darüber aber auch Schadcode auf Systeme. Die Entwickler versichern, das Sicherheitsproblem in V8.5.6.3_IJ56659 gelöst zu haben.
Weiterführende Informationen zu den Schwachstellen führt IBM in mehreren Warnmeldungen auf:
Weiterlesen nach der Anzeige
(des)
Der Ärger über SMS, Chatnachrichten und Anrufe von Betrügern hat sich einer Statistik zufolge zwar abgeschwächt, er ist aber noch immer weit verbreitet. Wie die Bundesnetzagentur in Bonn mitteilte, gingen bei ihr im vergangenen Jahr 85.158 Beschwerden zu Rufnummernmissbrauch ein. 2024 waren es mit 154.624 kritischen Wortmeldungen fast doppelt so viele gewesen, was ein Rekord gewesen war. Einen Grund für den deutlichen Rückgang der Beschwerden nennt die Aufsichtsbehörde nicht.
Weiterlesen nach der Anzeige
Bei solchen Abzocke-Versuchen geht es großteils um SMS – etwa um ein Paket, für dessen Erhalt man noch eine angebliche Zollgebühr zahlen solle. Außerdem nehmen Betrüger über Chatnachrichten Kontakt mit ihren Opfern auf oder sie rufen an. Die 2024 noch stark verbreiteten Paket-Betrugsversuche haben im vergangenen Jahr abgenommen, so manch Krimineller steuerte offenbar um. Wegen des Rufnummernmissbrauchs schaltete die Netzagentur rund 6200 Rufnummern ab und damit ähnlich viele wie ein Jahr zuvor. Für gut 2000 Rufnummern wurden Verbote verhängt, Zahlungen für unrechtmäßige Kosten einzufordern.
„Wir schützen Verbraucherinnen und Verbraucher wirksam vor Rufnummernmissbrauch“, sagt Bundesnetzagentur-Präsident Klaus Müller. „Für die Verfolgung von und den Kampf gegen Ärger mit Rufnummern sind wir auf die Hinweise der Bürgerinnen und Bürger angewiesen.“ Außerdem beschwerten sich im vergangenen Jahr viele Bürgerinnen und Bürger über automatische Bandansagen, teure Warteschleifen, Router-Hacking und Fake-Hotlines. Viele Banden arbeiten inzwischen arbeitsteilig mit „crime as a service“.
Der sogenannte Enkeltrick ist seit einigen Jahren den Angaben zufolge rückläufig. Hierbei nimmt ein Betrüger per SMS oder Chatnachricht Kontakt auf und gibt sich als ein Familienmitglied aus, das dringend Geld brauche. Manchmal werden auch nur persönliche Daten des Opfers eingefordert, die später für andere Abzocke-Arten genutzt werden.
Möglicherweise liegt der deutliche Rückgang an Beschwerden über Rufnummernmissbrauch auch daran, dass Betrüger es inzwischen etwas schwerer haben als früher. So hat der Netzbetreiber Vodafone im vergangenen Mai einen sogenannten Spam-Warner gestartet: Wird man von einer Telefonnummer angerufen, die bei Vodafone auf einer Liste potenzieller Krimineller ist, so bekommt man vorab den Hinweis „Vorsicht: Betrug möglich“ auf dem Display. Der Angerufene kann den Anruf zwar trotzdem annehmen, ist dann aber gewissermaßen auf der Hut und lässt sich nicht so leicht abzocken. Die Deutsche Telekom hat inzwischen ein ähnliches Warnsystem gestartet.
Weiterlesen nach der Anzeige
Vodafone hat im vergangenen Jahr knapp 50 Millionen Betrugswarnungen auf die Smartphone-Displays der Nutzer des Vodafone-Netzes gesendet. Nach Erkenntnissen des Netzbetreibers gehen dank der Warnung viel weniger Menschen ans Telefon als ohne Warnung. „Viele Menschen werden umsichtiger, weil sie häufiger auf mögliche Gefahren im Netz hingewiesen werden“, sagt Vodafone-Deutschlandchef Marcel de Groot. „Neue Technologien schützen vor Betrugsmaschen, noch bevor sie Schaden anrichten können.“
(nie)
Microsofts Multi-Cloud-Verwaltungslösung Azure Arc, die serverlose Entwicklungsumgebung Azure Functions und das Content Delivery Network (CDN) Azure Front Door waren verwundbar. Das Technologieunternehmen stuft die Gefahr insgesamt als kritisch ein.
Weiterlesen nach der Anzeige
In zwei Fällen (Azure Arc: CVE-2026-243012 „hoch“), (Azure Front Door: CVE-2026-24300 „kritisch“) hätten sich Angreifer höhere Nutzerrechte verschaffen können. Nach einer erfolgreichen Attacke auf Azure Function hätten Angreifer Zugriff auf eigentlich geschützte Informationen gehabt (CVE-2026-21532 „hoch“).
Wie Angriffe im Detail ablaufen könnten, ist derzeit nicht bekannt. In den in diesem Beitrag unter den CVE-Nummern verlinkten Warnmeldungen zu den Sicherheitslücken versichert Microsoft, dass ihnen derzeit keine Attacken bekannt sind.
Der Hard- und Softwarehersteller gibt an, die Sicherheitsprobleme serverseitig gelöst zu haben. Demzufolge müssen Admins keine Sicherheitspatches installieren und Instanzen sind ab sofort vor den geschilderten Angriffsszenarien geschützt.
(des)
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Schnelles Boot statt Bus und Bahn: Was sich von London und New York lernen lässt
Huawei Mate 80 Pro Max: Tandem-OLED mit 8.000 cd/m² für das Flaggschiff-Smartphone
Fast 5 GB pro mm²: Sandisk und Kioxia kommen mit höchster Bitdichte zum ISSCC
Kommentar: Anthropic verschenkt MCP – mit fragwürdigen Hintertüren
Die meistgehörten Gastfolgen 2025 im Feed & Fudder Podcast – Social Media, Recruiting und Karriere-Insights
Syncthing‑Fork unter fremder Kontrolle? Community schluckt das nicht
Weiter billig Tanken und Heizen: Koalition will CO₂-Preis für 2027 nicht erhöhen
