Kurz vor der finalen Abstimmung im Landtag warnen zivilgesellschaftliche Organisationen vor der massiven Verschärfung des sächsischen Polizeirechts. Die Kritik an den Grundrechtseingriffen kommt von antifaschistischen Bündnissen, Fan-Anwält:innen, Netzaktivist:innen, dem Chaos Computer Club, der Landesdatenschutzbeauftragten sowie den sächsischen Jusos und der Grünen Jugend.

Sie fordern die Abgeordneten auf, lediglich die Rechtsprechung des Verfassungsgerichtshofs umzusetzen, aber auf neue Überwachungsbefugnisse zu verzichten. Zwei Demos sind bereits angekündigt.

Neue Überwachungsbefugnisse für die sächsische Polizei

Das Sächsische Polizeivollzugsdienstgesetz (SächsPVDG) steht vor einer massiven Verschärfung. Die schwarz-rote Minderheitskoalition will gemeinsam mit dem Bündnis Sahra Wagenknecht (BSW) der Polizei viele neue technische Möglichkeiten geben, Bürger präventiv zu überwachen. Konkret soll die Polizei folgende Befugnisse zur Gefahrenabwehr bekommen:

• eine Plattform für die automatisierte Datenanalyse,
• verdeckte Kennzeichenscanner,
• Staatstrojaner für die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ),
• softwaregestützte Videoüberwachung zur Nachverfolgung über mehrere Kameras, Erkennung von Verhalten, gefährlichen Gegenständen und Gesichtern (biometrische Fernidentifizierung) sowie
• biometrische Gesichter- und Stimmensuche im Netz.

Vergangene Woche ging der gemeinsame Änderungsantrag der drei Fraktionen zum Gesetzentwurf der sächsischen Staatsregierung durch den Innenausschuss. Am 24. Juni soll die Gesetzesnovelle mit den Stimmen von BSW, CDU und SPD im Plenum des Landtags verabschiedet werden. Dagegen formiert sich jetzt Widerstand aus der Zivilgesellschaft.

Breites Bündnis kritisiert Biometriedatenbank und Generalverdacht

So hat heute ein breites Bündnis aus zivilgesellschaftlichen Organisationen und Netzaktivist:innen einen Appell an die Abgeordneten veröffentlicht. Zu den Unterzeichner:innen gehören die großen antifaschistischen Aktionsnetzwerke „Leipzig nimmt Platz“ und „Dresden WiEdersetzen“. Letztere organisieren etwa den Protest gegen die jährlich stattfindenden Neonazi-Aufmärsche, die zum Jahrestag der Bombardierung Dresdens stattfinden. Auch der Chaos Computer Club und seine Lokalgruppen in Chemnitz, Zwickau, Leipzig und Dresden sowie der Verein netzbegrünung haben unterzeichnet.

Das Bündnis sieht die wesentlichen grund- und datenschutzrechtlichen Bedenken durch die bekannt gewordene Einigung von CDU, SPD und BSW nicht ausgeräumt:

Wir appellieren an alle Abgeordneten des sächsischen Landtags, dieser massiven Ausweitung der (digitalen) Überwachung nicht zuzustimmen. Die zum Beschluss vorliegenden Anträge stellen alle Bürgerinnen und Bürger unter Generalverdacht und beschädigten damit das Vertrauensverhältnis zwischen Staat und Bevölkerung massiv.

Die Organisationen kritisieren insbesondere die biometrische Gesichter- und Stimmensuche im Netz. Sie war auch von Sachverständigen im Innenausschuss kritisiert worden, da sie gegen die KI-Verordnung der EU verstoße. Die Unterzeichner:innen befürchten eine massenhafte Überwachung von unverdächtigen Personen: „Die biometrische Analyse aller im Internet verfügbaren Quellen benötigt eine im Vorfeld angelegte Biometriedatenbank und führt damit unweigerlich zu einem bislang nie dagewesenen Ausmaß an Überwachung auch völlig Unbeteiligter“.

Auch die automatisierte Datenanalyse und die Ausweitung der Staatstrojaner-Nutzung lehnen sie ab und verweisen auch auf zukünftige Gefahren:

Besondere Aufmerksamkeit verdient zudem die langfristige Wirkung solcher Befugnisse. Sicherheitsgesetze werden nicht nur von den derzeit Verantwortlichen angewendet, sondern stehen auch künftigen Regierungen und Behörden zur Verfügung. […] Gerade deshalb müssen Überwachungsbefugnisse von Anfang an eng begrenzt werden, verhältnismäßig sein und einer effektiven und wirksamen Kontrolle unterliegen. Gesetzliche Regelungen sollten so ausgestaltet werden, dass sie auch gegenüber möglichen künftigen Machtmissbräuchen robust bleiben und nicht zur Beobachtung, Einschüchterung oder Verfolgung politisch missliebiger Personen oder gesellschaftlicher Gruppen genutzt werden können.

Der Chaos Computer Club nennt den Gesetzentwurf „ein Stelldichein digitaler Repression“ und „eines der weitreichendsten Landespolizeigesetze überhaupt“. Der CCC-Sprecher Dirk Engling warnt: „Wer heute die biometrische Massenüberwachung und Verhaltensscanner legalisiert, baut die Infrastruktur für den Techno-Faschismus von morgen.“

„Leipzig nimmt Platz“ befürchtet Einschränkungen von Protest

In einer Antwort an netzpolitik.org äußert sich „Leipzig nimmt Platz“ noch deutlicher. Für das Aktionsnetzwerk ist die geplante Novelle ein „sicherheitspolitischer Offenbarungseid und frontaler Angriff“ auf die Bürgerrechte.

Wir erleben eine Abkehr von der klassischen Gefahrenabwehr hin zu einer Kriminalisierung durch automatisierte Mustererkennung. Das stellt einen beispiellosen Dammbruch dar: Bürgerinnen und Bürger geraten ins polizeiliche Raster, ohne dass konkrete Anhaltspunkte für eine Tat vorliegen.

Wir kritisieren, dass diese massive digitale Aufrüstung ohne jeden nachgewiesenen sicherheitspolitischen Bedarf erfolgt. Die Polizei bleibt den Beleg schuldig, für welche konkreten, realen Gefahrenlagen diese Grundrechtseingriffe überhaupt zwingend erforderlich sein sollen. Bis heute gibt es keine empirischen Belege dafür, welche spezifischen Straftaten durch algorithmenbasierte Rasterung im Vorfeld tatsächlich verhindert werden.

Das Aktionsnetzwerk befürchtet auch Einschränkungen der eigenen antifaschistischen Arbeit und von demokratischem Protest:

Die unbestimmten Eingriffsschwellen im Vorfeld von Versammlungen erlauben es der Polizei zukünftig, Datenanalysen im Umfeld von Mobilisierungen einzusetzen. Wenn Menschen befürchten müssen, dass ihre Anwesenheit im öffentlichen Raum oder bei Demonstrationen durch biometrische Fernidentifizierung erfasst wird und sie durch intransparente Analyse-Software ins Visier der Polizei geraten könnten, wird legitimer Protest erstickt und die Meinungsfreiheit massiv eingeschränkt.

Dass einige Befugnisse, wie die Erstellung eines KI-basierten Verhaltensprofils, unter Vorbehalt einer richterlichen Zustimmung stehen, beruhigt „Leipzig nimmt Platz“ nicht: „Die Vergangenheit hat gezeigt, wie einfach und ohne Konsequenzen ein Richtervorbehalt in der Praxis umgangen werden kann. Ein eindrückliches Beispiel hierfür war die rechtswidrige Beschlagnahmung des ‚Adenauer SRP+‘ des Zentrums für Politische Schönheit beim CSD in Döbeln Ende September 2025“, schreibt das Aktionsnetzwerk auf netzpolitik.org-Anfrage.

Fußballanwält:innen sehen „polizeilichen Präventivstaat“

Kritik kommt auch von organisierten Fußballfans. In einem Statement warnen drei sächsische Fanhilfen vor der Polizeirechtsnovelle. Fanhilfen organisieren juristische Unterstützung für Fußballfans, die in Konflikt mit der Polizei geraten.

Die Fanhilfe Zwickau, die Dresdener Schwarz-Gelbe-Hilfe sowie das Rechtshilfekollektiv Chemie Leipzig schreiben:

Das Bekanntwerden der Einigung zwischen der Regierungskoalition aus Christ- und Sozialdemokraten und der Wagenknecht-Partei lässt uns Fanhilfen – und Fußballfans im Allgemeinen – nur noch kopfschüttelnd zurück. Schob das BSW noch Ende April 2026 in einer Stellungnahme den effektiven Schutz der Grundrechte voran, rollt die Kleinstpartei dem Polizei- und Überwachungsstaat jetzt den roten Teppich aus.

Dass der US-Konzern Palantir für die automatisierte Datenanalyse nicht beauftragt werden soll und auf Druck des BSW die Einführung von Tasern für alle Polizist:innen abgesagt wurde, überzeugt die Fanhilfen nicht:

Die aktuelle Novellierung des Sächsischen Polizeigesetzes bleibt das genaue Gegenteil der vom Verfassungsgerichtshof eingeforderten Überprüfung des Gesetzes von 2019. Der technische Fortschritt wird hier als Blaupause für eine weitere Verschärfung genutzt, nur dass eben nicht der US-Softwarehersteller Palantir darauf stehen darf. Trotz der berücksichtigten Kompromisse hat sich Sachsen faktisch an die Spitze der schärfsten Landespolizeigesetze gestellt und steht an der Schwelle zu einem polizeilichen Präventivstaat.

Grünen-Entwurf als Alternative

Der sächsische Verfassungsgerichtshof hatte 2024 das derzeitige SächsPVDG in einigen Punkten für verfassungswidrig erklärt. Die Befugnisse und ihre Eingriffsschwellen waren zu unbestimmt geregelt, stellte das Gericht fest – und ordnete Nachbesserungen an. Der sächsische Innenminister Armin Schuster (CDU) verband die verfassungsrechtlichen Reparaturen jedoch mit einer erheblichen Ausweitung der polizeilichen Befugnisse.

Einen alternativen Weg zeigten die Grünen auf. Die grüne Fraktion im Landtag veröffentlichte im April einen eigenen Gesetzentwurf, der auf die neuen Überwachungsbefugnisse verzichtet. Stattdessen enthält er lediglich die vom Verfassungsgerichtshof vorgeschriebenen Änderungen sowie Maßnahmen gegen häusliche Gewalt und Befugnisse zur Drohnenabwehr.

Datenschutzbeauftragte: „Grundrechte bleiben auf der Strecke“

Die sächsische Datenschutzbeauftragte Juliane Hundert wünscht sich, dass der Landtag dem von BSW, CDU und SPD geplanten Gesetz nicht zustimmt und stattdessen nur das Urteil des Verfassungsgerichtshofs umsetzt. Hundert bewertet die Einigung von BSW und Schwarz-Rot zwar als deutliche Verbesserung im Vergleich zum Regierungsentwurf, „insbesondere wurde das KI-Training mit personenbezogenen Daten oder die Nutzung von Internetdaten zur automatisierten Datenanalyse gestrichen“.

Dennoch, sagt die Datenschutzbeauftragte gegenüber netzpolitik.org, könne sie „die Ausweitung der polizeilichen Befugnisse aus datenschutzrechtlicher und damit bürgerrechtlicher Sicht nicht gutheißen“. Sachsen steige damit „wieder in die Verschärfungsspirale der Sicherheitsgesetzgebung des Bundes und der Länder ein. Die Grundrechte bleiben dabei leider auf der Strecke.“

Jusos positionieren sich gegen die Novelle

Das sehen offenbar auch weite Teile der in Sachsen mitregierenden SPD so. Insbesondere die Jusos positionieren sich deutlich gegen das geplante Gesetz. Auf Anfrage von netzpolitik.org sagt Mats Rudolph, Vorsitzender der sächsischen Jusos, dass trotz einiger Verbesserungen zentrale Probleme bestehen blieben.

Das Gesetz bleibt ein sicherheitspolitischer Wunschkatalog der CDU. Das zeigen Befugnisse zur automatisierten Datenanalyse, biometrischen Echtzeitüberwachung oder Quellen-Telekommunikationsüberwachung. Aus unserer Sicht sind diese Eingriffe schlicht zu weitreichend und nicht ausreichend begrenzt. […] Nicht alles, was technisch möglich ist, muss der Staat auch dürfen.

Die Jusos fordern die Abgeordneten der SPD-Fraktion auf, der geplanten SächsPVDG-Novelle nicht zuzustimmen. Die Änderung des Gesetzes solle sich auf die Umsetzung des Urteils beschränken.

Jede Stimme zählt

Einen entsprechenden Antrag hatten die Jusos auch auf dem SPD-Landesparteitag eingebracht, der am vergangenen Wochenende in Dresden stattfand. Dieser wurde mit 57 zu 50 Stimmen allerdings knapp abgelehnt.

Ein solch gespaltenes Bild in der SPD-Fraktion würde die Novelle vermutlich kippen. Da das BSW nach Informationen von Freier Presse und netzpolitik.org nur elf Stimmen zugesichert hat, hätte die Verschärfung des SächsPVDG lediglich eine Mehrheit von zwei Stimmen – wenn CDU und SPD vollständig zustimmen. Grüne und Linke im Parlament haben angekündigt, gegen die Novelle zu stimmen.

Eine Petition und zwei Demos

Neben den Jusos macht auch eine weitere Parteijugend gegen die geplante Polizeirechtsverschärfung mobil. Schon im Mai hat die Grüne Jugend Sachsen eine Petition gegen die Ausweitung der Überwachungsbefugnisse gestartet.

Für den 23. Juni, den Vorabend der finalen Abstimmung im Landtagsplenum, hat die Grüne Jugend eine Demo angemeldet. Um 17 Uhr soll vor dem Sächsischen Landtag in Dresden demonstriert werden. Ronja Zierold, Sprecherin der Grünen, sagt in dem Demoaufruf:

Wenn staatliche Stellen technische Möglichkeiten erhalten, Kommunikation auszuspähen, Bewegungen nachzuverfolgen oder Daten automatisiert auszuwerten, trifft das nicht nur einzelne Verdächtige. Es verändert das Verhältnis zwischen Staat und Gesellschaft grundsätzlich. Das schadet politischem Protest, zivilgesellschaftlichem Engagement und einer lebendigen Demokratie. Freiheitsrechte werden Stück für Stück ausgehöhlt! Mit jeder neuen Befugnis, jeder neuen Datei, jeder neuen Kamera, jeder neuen Ausrede. Genau deshalb gehen wir auf die Straße.

In Leipzig wird bereits am Samstag, den 20. Juni, demonstriert. Zu diesem Protest aufgerufen hatten unter anderem Copwatch Leipzig, „Leipzig nimmt Platz“ und das Rechtshilfekollektiv Chemie Leipzig.

Die Gesellschaft für Informatik e.V. (GI) hat eine Studie vorgelegt, die sich im Auftrag von Fritz (ehemals AVM) mit der Router-Sicherheit und digitalen Souveränität in Deutschland auseinandersetzt. Sie sieht insbesondere Heimnetz-Router als unterschätztes Risiko. Die IT-Fachleute haben auch Handlungsempfehlungen abgeleitet.

In der Studie analysierten die Autoren 2190 Sicherheitslücken mit CVE-Einträgen aus den Jahren 2020 bis 2025, die die größten Router-Anbieter in Deutschland betreffen. Diese dienen Angreifern als Einfallstor, um Internetrouter zu kapern und etwa Passwörter für E-Mail-Konten oder andere Online-Dienste abzugreifen, wie zuletzt im April des Jahres bekannt wurde. Der Betrachtungszeitraum blendet die Fritz-Router betreffende, größere Wellen schlagende Sicherheitslücke aus dem Jahr 2014 aus. Die Router in Deutschland verteilen sich laut Studie auf Fritz mit 51 Prozent Marktanteil, unter der Telekom-Marke segelnde Geräte mit 19 Prozent, mit Vodafone-Branding versehene Router (12 Prozent) und schließlich TP-Link (2 Prozent), D-Link (2 Prozent) und Netgear mit einem Prozent Marktanteil im Jahr 2025.

Die Schwachstellenanalyse lässt OEM-Hersteller wie Arcadyan oder ZTE aus, die sich etwa hinter einigen Telekom- oder Vodafone-Routern verbergen, da sie sich nicht korrekt zuordnen lassen. Netgear wies demnach mit 1016 CVE-Einträgen die höchste absolute Zahl an Schwachstellen auf, was 46 Prozent der untersuchten CVEs entspricht. D-Link folgte mit 955 CVEs (44 Prozent). TP-Link steuerte noch 218 CVEs bei (10 Prozent) und Fritz wies in dem Zeitraum einen CVE-Eintrag auf. Bei der Berücksichtigung des Schweregrads der Schwachstellen sieht die Verteilung etwas anders aus: D-Link hatte 280 CVEs mit kritischem Risiko, Netgear 149, TP-Link noch 60 und Fritz keine.

Unterschiede in der Firmware-Qualität

Die GI schließt aus diesem Verhältnis auf unterschiedliche Qualität der Firmwares der Geräte. Zur Bewertung der Zahlen ist weiterhin die Disclosure-Politik der Unternehmen zu berücksichtigen. Netgear betreibt etwa ein öffentliches Bug-Bounty-Programm, bei dem IT-Sicherheitsforscher Geldprämien erhalten können. Außerdem geht der Hersteller als CNA (CVE Numbering Authority), die eigene CVE-Einträge erstellen kann, sehr transparent mit Schwachstellen um. Zwar dokumentiert Fritz Schwachstellen auf einer Security-Seite, allerdings erfolgt keine CVE-Vergabe. Das erklärt auch die geringe Anzahl an CVE-Einträgen.

Die GI weist weiter auf die unterschiedlichen Support-Zeiträume hin. Billigere Geräte fallen üblicherweise früher aus der Herstellerunterstützung heraus. Hier greift in absehbarer Zeit immerhin der Cyber Resilience Act (CRA), mit Mindestsupportzeiträumen und weiteren Herstellerpflichten. Aufgrund der langen Umsetzungsfristen könnten aber noch Jahre vergehen, bis alle Anbieter das umsetzen. Eines der aktuellen Probleme ist demnach, dass viele Geräte das Ende ihres Supportzeitraums bereits erreicht haben und keine Sicherheitsupdates mehr erhalten, ohne dass Verbraucher davon erfahren.

In der Studie gibt die Gesellschaft für Informatik e.V. auch Handlungsempfehlungen für die Bundesregierung. Sie soll „die Logik des EU Cybersecurity Act 2 auf den Heimnetzbereich“ übertragen und „Transparenzpflichten für Hersteller und Lieferketten bei Consumer-Routern“ einführen. Dahinter steckt die Idee, etwa Anbieter aus China, die potenziell eine Gefahr darstellen können, aus europäischer Infrastruktur zu verdrängen und europäische Produkte vorzuziehen, um externe Abhängigkeiten zu reduzieren.

Der Co-Autor der Studie und Referent für Politik und Wissenschaft bei der GI, Niklas Sax, ordnet das so ein: „Deutschland ist im internationalen Vergleich [hinsichtlich der Router-Sicherheit] gut aufgestellt, denn der hohe Marktanteil europäischer Hersteller ist ein echter Standortvorteil. Aber diese Ausgangslage ist kein Selbstläufer. Die Dynamiken in den USA zeigen, dass sich Marktanteile schnell zugunsten nicht-europäischer Hersteller verschieben können. Das ist nicht nur eine Frage der Marktsouveränität, sondern schafft neue Angriffsflächen für gezielte Einflussnahme von Drittstaaten.“

(dmk)

Firewalls und VPN-Gateways sind ein lohnendes Angriffsziel – bewachen sie doch das Eingangstor in Unternehmensnetzwerke. Ein Sicherheitsforscher hat nun nach eigenen Angaben eine großangelegte Angriffskampagne gegen Geräte des Herstellers Fortinet aufgedeckt. An die 74.000 sollen kompromittiert worden sein.

Wer hinter dem Angriff steckt ist unklar, Entdecker Volodymyr Diachenko erwähnt jedoch eine „russischsprachige Cybercrime-Gruppe mit mehreren Mitgliedern“. Diese habe zunächst massenhaft Zugangsdaten – etwa aus vorherigen Datenlecks – bei Fortinet-Geräten durchprobiert, insgesamt 1,16 Milliarden Kombinationen aus Benutzernamen und Passwörtern.

Auch die Zahl der über „FortiBleed“ angegriffenen Geräte ist astronomisch: Es seien 320.000 gewesen. Die Hälfte aller über das Internet erreichbaren Fortinet-Geräte. Davon hätten die Kriminellen bei 73.932 Fortinet-Appliances in aller Welt erfolgreich Zugangsdaten abgegriffen, führt Diachenko aus. Die Angaben lassen sich nicht unabhängig überprüfen. In der Mehrzahl der Fälle waren wohl die Management-Interfaces aus dem Internet zugänglich.

Doch wie die Angreifer genau auf die Geräte kamen, bleibt unklar. Sicherheitsexperte Kevin Beaumont vermutet, sie hätten womöglich eine bislang noch unbekannte Sicherheitslücke genutzt, um sich Zugriff zu verschaffen. Dann hätten sie die Gerätekonfiguration abgezogen und die dort enthaltenen Passwort-Hashes mittels eines spezialisierten Clusters mit 48 GPUs und einer Bruteforce-Attacke geknackt. In älteren Versionen der Fortinet-Firmware sind Passwörter mit dem Verfahren SHA256 mit Salt gehasht, das sich im Vergleich zu der ab FortiOS 7.2.11 üblichen PBKDF2-Variante mit zufälligem Hash erheblich effizienter mittels Werkzeugen wie hashcat angreifen lässt.

Inzwischen hat eine Fortinet-Sprecherin gegenüber TechCrunch erklärt, dass das Unternehmen von einer Zugangsdaten-Diebstahl-Kampagne mit Fortinet-Firewalls und -VPN zum Ziel mitbekommen habe. Den Analysen des Herstellers zufolge handelt es sich bei den Daten um solche aus vorherigen Vorfällen sowie um mittel Brute Force geknackten Zugangsdaten. Sie stünden nicht mit jüngeren Vorfällen oder Sicherheitsmitteilungen in Verbindung. Kevin Beaumont, der die Daten einsehen konnte, stellt die Situation anders dar: „Die IP-Adressen sind zum Großteil unterschiedlich zum Belsen-Group-Leak, der 15.000 Geräte umfasste. [Die Daten] enthalten hauptsächlich Geräte, die nicht in diesem Leak waren und dieses Mal sind die meisten Geräte noch online – das hier sind keine Daten aus 2022.“

Auch deutsche Geräte betroffen

Unter den betroffenen Geräten sind auch gut 120, deren Domain auf einen Standort in Deutschland schließen lässt, darunter verschiedene Geräte im Netz der Telekom oder bei Mercedes-Benz. Das Threat-Intelligence-Unternehmen Hudson Rock ließ uns eine Liste der betroffenen de-Domains zukommen und hat eine Informationsseite mit Abfragemöglichkeit eingerichtet.

Betroffene sollten alle Zugangsdaten auf kompromittierten Geräten mit sicheren Passwörtern neu vergeben, verdächtige Zugriffe auf nachgelagerte Netze prüfen und Mehrfaktorauthentifizierung, etwa bei der VPN-Anmeldung, forcieren. Da zur Stunde nicht einmal klar ist, ob die Angriffe über eine bestehende Sicherheitslücke in FortiOS stattfanden, gibt es auch keine Patches, eine Stellungnahme seitens Fortinets Sicherheitsteams steht ebenfalls aus.

Da Fortinet-Geräte Zugang zu Netzwerken bereitstellen, sind sie beliebtes Ziel von Angreifern. Am Mittwoch wurden etwa Angriffe auf FortiSandbox bekannt.

(cku)