Datenschutz & Sicherheit
Asylbehörde gibt wieder deutlich mehr Daten an Geheimdienste und Polizei weiter
Migration und Asyl sind Themen, die zunehmend „versicherheitlicht“ sind. In anderen Worten: Statt humanitären oder sozialen Fragen bekommen im Umgang mit Geflüchteten vor allem Sicherheitsfragen Aufmerksamkeit. Datenbanken wie das europäische Fingerabdrucksystem EURODAC werden immer weiter entsprechend der Bedarfe von Polizeien und anderen ausgebaut. Die zentrale Aufgabe, Migration und Asylverfahren abzuwickeln, gerät dabei in den Hintergrund.
Das Bundesamt für Migration und Flüchtlinge (BAMF) bezeichnet sich seit einigen Jahren selbst als „wichtige Säule der deutschen Sicherheitsarchitektur“. Entsprechend eng ist auch die Zusammenarbeit des BAMF mit den Behörden, die sich klassischerweise Sicherheitsbehörden nennen: Polizeien und Geheimdienste. Diese Zusammenarbeit läuft nicht nur über gemeinsame Arbeitsgruppen oder Gremiensitzungen wie im Gemeinsamen Terrorabwehrzentrum, sie zeigt sich auch in der Menge der Daten, die das BAMF an BKA, den Auslandsgeheimdienst BND und Bundesverfassungsschutz übermittelt.
4.224 Sicherheitshinweise für das BKA
So hat die Asylbehörde im Jahr 2025 fast doppelt so viele als sicherheitsrelevant vermutete Hinweise (4.224) an das BKA geschickt wie im Jahr zuvor (2.151). Die Zahl der Asylanträge hingegen ging im gleichen Zeitraum von 250.945 auf 168.548 signifikant zurück.
Auch die Übermittlungen an Bundesnachrichtendienst und Verfassungsschutz stiegen in den letzten Jahren wieder an. An den Militärgeheimdienst MAD gibt es weiterhin kaum Datenübergaben. Insgesamt reichte das BAMF im Jahr 2025 knapp 8.000 Meldungen an die vier Sicherheitsbehörden weiter. Das geht aus der Antwort der Bundesregierung auf eine parlamentarische Anfrage der Linken-Abgeordneten Clara Bünger hervor.
Ein KI-System liefert Hinweise
Um die entsprechenden Hinweise zu erstellen und weiterzuleiten, gibt es im 9.800 Beschäftigte starken BAMF einen besonderen Arbeitsbereich, die Referatsgruppe „Sicherheit“ mit ihrem Referat 71B für die „Operative Zusammenarbeit mit den Sicherheitsbehörden des Bundes und der Länder“. Dort arbeitet fast die Hälfte (112) der Mitarbeitenden der gesamten Referatsgruppe, die derzeit 240 Menschen umfasst. Andere Referate in der Gruppe kümmern sich beispielsweise um Echtheitsprüfungen von Dokumenten oder um Radikalisierungsprävention.
Seit einigen Jahren bekommen die Mitarbeitenden des Referats 71B neben den Hinweisen von Entscheider:innen, die Asylverfahren prüfen, dabei technische Unterstützung. Ein Programm sucht automatisch nach sicherheitsrelevanten Hinweisen in den Protokollen zur Asylanhörung und markiert entsprechende Funde – ohne dass die Entscheider:innen erst aufmerksam werden müssen. Diese Eingaben werden dann von den Mitarbeitenden des Sicherheitsreferats überprüft und an die entsprechende Behörde weitergegeben, wenn sie den Mitarbeitenden relevant erscheinen.
Aus früheren parlamentarischen Anfragen ist bekannt, dass es zu Fehlmeldungsquoten des Systems keine Erfassung gibt. Auch, was relevant ist und was nicht, offenbart das BAMF nicht. Fest steht jedenfalls: Es geht nicht nur um die Asylsuchenden selbst, zu denen Sicherheitsmeldungen erstellt werden. Auch wenn die Befragten in ihrer Anhörung etwas zu Vorfällen sagen, bei denen sie Zeug:innen oder Opfer waren, kann das relevant sein.
Deutlich häufiger, als Daten vom BAMF an andere Behörden fließen, fragt die Asylbehörde selbst bei externen Stellen ab, ob es Sicherheitsbedenken zu einer asylsuchenden Person gibt. Verwaltet werden die Rückmeldungen von BND, Verfassungsschutz, MAD, BKA, Bundespolizei und Zollkriminalamt dabei vom Bundesverwaltungsamt, das dem BAMF mitteilt, ob es Sicherheitsbedenken oder sonstige Gründe für eine Asylablehnung zu einer Person gibt. Insgesamt 258.500 Mal gab es im Jahr 2025 eine solche Überprüfung. Das ist nur etwas weniger als die Zahl der Asylentscheidungen (310.930), die das BAMF im selben Jahr getroffen hat.
Verbindungsbeamte und Geheimdienstbefragungen
Daten sind nicht das Einzige, was das BAMF mit anderen Behörden tauscht. Auch Mitarbeitende der Behörde sitzen als Verbindungsbeamt:innen bei BKA (7) und Bundespolizei (7). Zwölf Mitglieder anderer Behörden sitzen dafür in Räumen des BAMF. Welche das sind, will die Bundesregierung nicht öffentlich beantworten.
Wir sind communityfinanziert
Unterstütze auch Du unsere Arbeit mit einer Spende.
Eine weitere Form der Kooperation ist es, dass Mitarbeitende des Verfassungsschutzes direkt an Asylanhörungen teilnehmen können. Wie oft das geschieht, kann die Bundesregierung indes nicht sagen. Darüber würden keine Statistiken geführt. Auch wie oft der Bundesnachrichtendienst Geflüchtete befragt, werde nicht erfasst, heißt es in der Antwort an die Bundestagsabgeordnete.
Fragestellerin Clara Bünger kritisiert die Geheimdienstbefragungen. „Es ist besorgniserregend, wie eng das BAMF mit Geheimdiensten kooperiert. Im Asylverfahren sollte es eigentlich darum gehen, Fluchtgründe vorzutragen und zu bewerten – und nicht um Informationsbeschaffung für sogenannte Sicherheitsbehörden“, schreibt Bünger gegenüber netzpolitik.org. „Dabei besteht zudem die Gefahr, dass Geflüchtete unter Generalverdacht gestellt werden. Sie sind aber kein Sicherheitsrisiko, sondern Menschen, die Schutz suchen.“ Dass zu dem Ausmaß der Befragungen keine Statistiken geführt werden, findet sie problematisch. So bleibe das Ausmaß der Zusammenarbeit für Außenstehende unklar.
Kaum mehr „Interventionsfälle“
Bünger wünscht sich mehr Transparenz. Außerdem müsse die Bundesregierung „den Austausch von Daten über Asylsuchende zwischen dem BAMF mit Sicherheitsbehörden auf wenige Einzelfälle beschränken, in denen es tatsächlich einen begründeten Verdacht eines Sicherheitsrisikos gibt. Pauschal und flächendeckend Daten zu übermitteln, ist völlig unverhältnismäßig und greift tief in die Grundrechte von Geflüchteten ein.“
Im Gegensatz zur Teilnahme an den Befragungen werden jedoch jene Fälle erfasst, in denen ein Geheimdienst dem BAMF meldete, dass er Geflüchtete befragt hat. Denn wenn eine asylsuchende Person Kontakt zu einem deutschen Geheimdienst hatte, kann das ein Nachfluchtgrund sein – weil ihr aufgrund dessen in ihrem Herkunftsland Konsequenzen drohen. Doch mittlerweile, zeigt die Statistik, kommen derartige Fälle nur noch selten vor. Zwischen 2018 und 2025 gibt es insgesamt neun Fälle, in denen dem BAMF gemeldet wurde, dass es „nachrichtendienstlichen Kontakt eines Asylsuchenden mit dem BND und/oder dem BfV gegeben hat“.
Derartige „Interventionsfälle“ waren bis zum Jahr 2015 deutlich häufiger. Allein vom BND wurden von 2000 bis 2015 842 solcher Befragungen gemeldet. Der deutsche Auslandsgeheimdienst hatte mit der „Hauptstelle für Befragungswesen“ bis Mitte 2014 sogar eine eigene Tarnbehörde.
Datenschutz & Sicherheit
BSI warnt vor Auswirkungen von KI auf Cybersicherheit
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich mit den Auswirkungen von Künstlicher Intelligenz auf die IT-Sicherheitslage beschäftigt. Herausgekommen ist ein Papier, das die Lage zusammenfasst und Probleme benennt.
Weiterlesen nach der Anzeige
Das BSI sieht eine grundlegende Änderung der Cybersicherheitslage. Insbesondere die Reaktionsgeschwindigkeit hat demnach stark zugenommen. Wo zuvor Kriminelle arbeitsteilig KI genutzt haben, etwa um überzeugendere Phishing-Mails zu verfassen, sind aktuelle KI-Systeme in der Lage, Schwachstellen in Software in kurzer Zeit nahezu autonom zu erkennen, zu analysieren und selbsttätig in Angriffe umzusetzen. Es könne Organisationen „mit einer erheblich steigenden Zahl neu entdeckter Schwachstellen, Exploits, Patches und Folgevorfällen“ konfrontieren, führt das BSI aus.
In der Diskussion stehen die Fähigkeiten aktueller KI-Modelle, Schwachstellen in großen Mengen in Quellcode zu erkennen und gleich passenden Exploit-Code zu liefern. Jedoch sei ein massiver Zuwachs an Fähigkeiten auch beim Reverse Engineering zu beobachten. Neben den Top-Modellen („Frontier-Modellen“) wie Claude Opus und GPT-5.5 spielten auch kleinere und günstigere LLMs eine Rolle in der IT-Sicherheit.
Aussichten: Angriffe einfacher durch KI
Die oberste IT-Sicherheitsbehörde Deutschlands sieht einen klaren Trend. Künstliche Intelligenz senke Aufwand, Zeitbedarf und Einstiegshürden für Cyberangriffe signifikant. Angreifer können mit geringem Aufwand und höherer Geschwindigkeit ihre Kampagnen skalieren und automatisieren. Die Abwehrseite bleibt an „Betriebsgrenzen“ gebunden, etwa in Bezug auf Testaufwand, Freigabeprozesse, Wartungsfenster, Abhängigkeiten von Herstellern sowie rechtliche und organisatorische Abstimmungen – und nicht zuletzt eingeschränkten Personalressourcen. Die Angriffsfläche müsse daher grundsätzlich reduziert werden, um trotz der genannten Einschränkungen mit der Bedrohungslage Schritt zu halten, erklärt das BSI.
Das zehnseitige PDF des BSI geht etwas mehr ins Detail. Die Reaktionsgeschwindigkeit müsse sich verbessern, insbesondere, da mehr Zero-Days und IT-Vorfälle zu beobachten sind. Konkrete Maßnahmen schlagen die Beamten ebenfalls ab Seite 4 vor – IT-Verantwortliche sollten sich das Dokument einmal zu Gemüte führen und prüfen, ob sie noch blinde Flecken haben. Unter anderem verweist die Behörde auf den IT-Grundschutz und den Best-Practices zu Produkten. Ein Wandel in der Bewertung ist ebenfalls nötig. Das BSI rät, bei nachträglich gepatchten Zero-Day-Lücken davon auszugehen, dass diese zuvor bereits missbraucht wurden. Zudem ist KI nicht nur als Werkzeug für Täter eine Gefahr, sondern kann auch selbst als Einfallstor dienen.
(dmk)
Datenschutz & Sicherheit
„Passwort“ Folge 60: Sinn und Unsinn von CVSS, SSVC, EPSS und Co
Sicherheitslücken sollte man beheben – besonders gravierende Sicherheitslücken sollte man besonders schnell beheben. An sich eine Selbstverständlichkeit, aber woher weiß man, welche Lücken man sich besonders dringend ansehen muss? CVE-Nummern eignen sich dafür nicht, sie dienen lediglich der eindeutigen Identifizierung von Lücken. Aber um diese Nummern herum hat sich eine Vielzahl an Bewertungssystemen, Zusatzmetriken und Entscheidungsbäumen gebildet, die selbst Fachleute regelmäßig ins Grübeln bringt. In Folge 60 nimmt sich der Podcast eine ganze Episode Zeit für diverse verbreitete Sicherheits-Kennzahlen.
Weiterlesen nach der Anzeige
Als roter Faden dient eine konkrete, recht kritische Sicherheitslücke der jüngeren Vergangenheit: CVE-2026-41940. Anhand dieses Beispiels (und ein paar anderer Anekdoten) arbeiten sich die Hosts durch die verschiedenen Bewertungssysteme, angefangen bei CVSS, dem Common Vulnerability Scoring System: Christopher erklärt, was diese Scores in Version 3.1 und 4.0 jeweils abbilden – und was eben nicht. Denn zumindest der Base-Score von CVSS beschreibt die theoretische Gefährlichkeit einer Lücke auf einem System ohne jegliche Schutzmaßnahmen. Mit dem tatsächlichen Risiko in einer konkreten Umgebung und zu einem konkreten Zeitpunkt hat das oft wenig zu tun.
Daher versuchen optionale Erweiterungen von CVSS, solche veränderlichen Faktoren zu erfassen. Noch weiter gehen die ebenfalls im Podcast thematisierte Stakeholder-Specific Vulnerability Categorization (SSVC) und EPSS, das Exploit Prediction Scoring System. Letzteres soll die Wahrscheinlichkeit der tatsächlichen Ausnutzung einer Lücke berechnen. Auch die Common Weakness Enumeration (CWE) und die Common Platform Enumeration (CPE) kommen, einschließlich ihrer Probleme, zur Sprache.
Grundsätzlich erläutern die Hosts, warum es oft schwierig bis unmöglich ist, Sicherheitslücken unstrittig Schweregrade zuzuweisen. Unter anderem am Beispiel des berüchtigten „Scope“-Parameters in CVSS 3.1 illustriert Sylvester, dass die Bewertung mitunter zum Münzwurf verkommt. Am Ende steht die Frage, was all diese Kennzahlen letztlich nützen, und ob es nicht ein Irrweg ist, immer noch mehr Kennzahlen aus noch mehr Parametern zu errechnen. Einig sind sich die Hosts, dass Scores bei der Triage helfen mögen, aber keine der Metriken die Frage beantwortet, ob und wie schwer eine Lücke die eigene Organisation betrifft.
Die neue Folge von „Passwort – der Podcast von heise security“ steht seit Mittwoch auf den üblichen Podcast-Plattformen bereit.
Weiterlesen nach der Anzeige
(syt)
Datenschutz & Sicherheit
Home Assistant: Update stopft Informationsleck
In Home Assistant haben die Entwickler zwei hochriskante Sicherheitslücken ausgebessert. Jetzt veröffentlichte Schwachstelleneinträge erörtern die Probleme. Außerdem hat das Projekt ein Update für das Home Assistant OS auf Version 18 vorgelegt.
Weiterlesen nach der Anzeige
Die gravierendste Schwachstelle betrifft einen API-Endpunkt, der zwar Schreibzugriffe (PUT und POST) korrekt auf vorherige Authentifizierung prüft, das für lesende Zugriffe (GET) jedoch unterlässt. Dadurch können bösartige Akteure mit Zugriff auf den Home-Assistant-HTTP-Port – standardmäßig 8123 im lokalen Netz – unbefugt den Status des Alarm-Panels und die Topologie der Geräte einsehen, erklären die Home-Assistant-Programmierer (CVE-2026-54317, CVSS 7.6, Risiko „hoch“). Die Lücke schließt Home Assistant 2026.6.0, das Anfang des Monats erschien.
Jede installierte App in Home Assistant kann auch ohne weitere Rechte Informationen an den BroadcastReceiver des LocationSensorManager senden, etwa Broadcasts mit gefälschtem LocationResult vom Google Play Service. Der Empfänger vertraut der Information und nimmt sie als reale Position des Geräts an. Dadurch könnten Angreifer Zonen-basierte Automatisierungen auslösen, etwa das Aufsperren von Türen, Alarmanlage abschalten oder Garage öffnen, schreiben die Home-Assistant-Entwickler in ihrer Sicherheitsmitteilung. Im Home Assistant Companion 2026.5.3 und neuer soll das korrigiert sein (CVE-2026-54318, CVSS 7.1, Risiko „hoch“).
Betriebssystem auf neuem Stand
Zudem hat das Home-Assistant-Projekt nun das Betriebssystem Home Assistant OS in Version 18 veröffentlicht. Es handelt sich dabei um ein kleines Wartungsrelease, die Release-Ankündigung zeigt nur wenig Neues. Der Linux-Kernel ist auf den aktuellen 6.18er-Zweig gewechselt. Docker kommt in Version 29.5.3 mit, containerd auf Stand 2.2.4; das darunterliegende Buildroot haben die Programmierer auf 2025.02.14 aktualisiert. Die Abbilder sollen sich nun deutlich schneller flashen lassen, und zudem haben die Entwickler die Logik zur Größe der Swap-Datei überarbeitet. Der Raspberry-Pi-Bootloader lässt sich direkt aus Home Assistant heraus aktualisieren. Raspberry Pi 5 muss nun mindestens Firmware 2025-02-12 installiert haben. Weitere Details und Download-Links finden Interessierte in der Release-Ankündigung.
Anfang des Monats wurden bereits Schwachstellen in den Home Assistant Companion Apps bekannt. Eine der Lücken hätte Angreifern das Abgreifen von Zugriffstoken und damit die Übernahme der Home-Assistant-Instanz ermöglicht.
(dmk)
BSI warnt vor Auswirkungen von KI auf Cybersicherheit
Optionales Juni-Update: Wie Microsoft den Updatestress in Windows 11 reduzieren will
Softwarebranche muss Geschäftsmodelle umbauen | heise online
Empfehlungsalgorithmen bei TikTok erklärt: Die Maschine hinter dem Endlos‑Feed
iX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenEmpfehlungsalgorithmen bei TikTok erklärt: Die Maschine hinter dem Endlos‑Feed
-
Künstliche Intelligenzvor 3 MonateniX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 2 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 2 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Social Mediavor 1 MonatMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Apps & Mobile Entwicklungvor 2 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
