Viele Prozessoren von AMD – aber nicht alle – können den Arbeitsspeicher transparent ver- und entschlüsseln. Diese Funktion namens Transparent Secure Memory Encryption (TSME) schützt vor sehr wenigen und sehr speziellen physischen Angriffen auf Computer. Dabei geht es vor allem um sogenannte „Cold Boot“-Attacken, für die physischer Zugriff auf den Rechner nötig ist, um im RAM gespeicherte Informationen zu ergattern.

TSME ließ sich bis vor kurzem auf manchen Mainboards auch bei einigen Ryzen-Prozessoren für Desktop-PCs aktivieren, für die AMD die Funktion nicht zugesichert oder beworben hat. Mit einer neuen Version der AMD-Firmware-Komponente AGESA entfällt diese Möglichkeit nun. Das verärgert einige Besitzer solcher Prozessoren. Einer davon hat deshalb im GitHub-Repository für AMD Secure Encryted Virtualization (AMD SEV) eine Fehlermeldung eingestellt.

Funktion nur für PROfis

Vermutlich wird sich AMD allerdings nicht erweichen lassen, TSME für sämtliche Ryzen-Prozessoren wieder freizuschalten. Denn die 2016 angekündigte Funktion ist vor allem für Server, manche Embedded Systems, Business-PCs und -Notebooks gedacht. AMD aktiviert sie daher nur bei den CPU-Baureihen Epyc, manchen Embedded-CPUs sowie den „PRO“-Versionen der Ryzens für Desktop-PCs und Notebooks.

Einst bewarb AMD TSME als Bestandteil von „Memory Guard“, das wiederum Teil von „Guard MI“ war und das wiederum Teil der Vorteile von PRO-Ryzens im Vergleich zu normalen. Diese Marketing-Idee ist auf dem AMD-Server jetzt nicht mehr zu finden.

Mittlerweile erwähnt AMD TSME im Zusammenhang mit dem „Infinity Guard“-Funktionspaket der Epyc-Prozessoren für Server.

TSME lässt sich ohnehin nur aktivieren, wenn das (UEFI-)BIOS des jeweiligen Computers mitspielt. Dazu muss nicht unbedingt eine Option im BIOS-Setup vorhanden sein, falls das UEFI-BIOS TSME einfach einschaltet.

In diesem Sinne ist TSME eine typische Funktion für Business-Geräte, deren jeweiliger Hersteller bei der Implementierung eng mit AMD zusammenarbeitet und das Feature auch ausdrücklich im Datenblatt des jeweiligen Geräts erwähnt.

Seltener Cold-Boot-Angriff

Beim Cold-Boot-Angriff startet ein Angreifer den laufenden Rechner durch einen Reset neu und bootet darauf sofort ein speziell präpariertes Betriebssystem, das den RAM-Inhalt ausliest. 2008 wiesen Sicherheitsforscher nach, dass das tatsächlich funktioniert.

TSME erschwert diesen Angriff deutlich, der allerdings in der Praxis extrem selten vorkommen dürfte. Zudem gibt es auch andere Schutzmethoden, etwa das Löschen des RAM vor jedem Bootvorgang (TCG Platform Reset Attack Mitigation Specification).

(ciw)

Kurz vor der finalen Abstimmung im Landtag warnen zivilgesellschaftliche Organisationen vor der massiven Verschärfung des sächsischen Polizeirechts. Die Kritik an den Grundrechtseingriffen kommt von antifaschistischen Bündnissen, Fan-Anwält:innen, Netzaktivist:innen, dem Chaos Computer Club, der Landesdatenschutzbeauftragten sowie den sächsischen Jusos und der Grünen Jugend.

Sie fordern die Abgeordneten auf, lediglich die Rechtsprechung des Verfassungsgerichtshofs umzusetzen, aber auf neue Überwachungsbefugnisse zu verzichten. Zwei Demos sind bereits angekündigt.

Neue Überwachungsbefugnisse für die sächsische Polizei

Das Sächsische Polizeivollzugsdienstgesetz (SächsPVDG) steht vor einer massiven Verschärfung. Die schwarz-rote Minderheitskoalition will gemeinsam mit dem Bündnis Sahra Wagenknecht (BSW) der Polizei viele neue technische Möglichkeiten geben, Bürger präventiv zu überwachen. Konkret soll die Polizei folgende Befugnisse zur Gefahrenabwehr bekommen:

• eine Plattform für die automatisierte Datenanalyse,
• verdeckte Kennzeichenscanner,
• Staatstrojaner für die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ),
• softwaregestützte Videoüberwachung zur Nachverfolgung über mehrere Kameras, Erkennung von Verhalten, gefährlichen Gegenständen und Gesichtern (biometrische Fernidentifizierung) sowie
• biometrische Gesichter- und Stimmensuche im Netz.

Vergangene Woche ging der gemeinsame Änderungsantrag der drei Fraktionen zum Gesetzentwurf der sächsischen Staatsregierung durch den Innenausschuss. Am 24. Juni soll die Gesetzesnovelle mit den Stimmen von BSW, CDU und SPD im Plenum des Landtags verabschiedet werden. Dagegen formiert sich jetzt Widerstand aus der Zivilgesellschaft.

Breites Bündnis kritisiert Biometriedatenbank und Generalverdacht

So hat heute ein breites Bündnis aus zivilgesellschaftlichen Organisationen und Netzaktivist:innen einen Appell an die Abgeordneten veröffentlicht. Zu den Unterzeichner:innen gehören die großen antifaschistischen Aktionsnetzwerke „Leipzig nimmt Platz“ und „Dresden WiEdersetzen“. Letztere organisieren etwa den Protest gegen die jährlich stattfindenden Neonazi-Aufmärsche, die zum Jahrestag der Bombardierung Dresdens stattfinden. Auch der Chaos Computer Club und seine Lokalgruppen in Chemnitz, Zwickau, Leipzig und Dresden sowie der Verein netzbegrünung haben unterzeichnet.

Das Bündnis sieht die wesentlichen grund- und datenschutzrechtlichen Bedenken durch die bekannt gewordene Einigung von CDU, SPD und BSW nicht ausgeräumt:

Wir appellieren an alle Abgeordneten des sächsischen Landtags, dieser massiven Ausweitung der (digitalen) Überwachung nicht zuzustimmen. Die zum Beschluss vorliegenden Anträge stellen alle Bürgerinnen und Bürger unter Generalverdacht und beschädigten damit das Vertrauensverhältnis zwischen Staat und Bevölkerung massiv.

Die Organisationen kritisieren insbesondere die biometrische Gesichter- und Stimmensuche im Netz. Sie war auch von Sachverständigen im Innenausschuss kritisiert worden, da sie gegen die KI-Verordnung der EU verstoße. Die Unterzeichner:innen befürchten eine massenhafte Überwachung von unverdächtigen Personen: „Die biometrische Analyse aller im Internet verfügbaren Quellen benötigt eine im Vorfeld angelegte Biometriedatenbank und führt damit unweigerlich zu einem bislang nie dagewesenen Ausmaß an Überwachung auch völlig Unbeteiligter“.

Auch die automatisierte Datenanalyse und die Ausweitung der Staatstrojaner-Nutzung lehnen sie ab und verweisen auch auf zukünftige Gefahren:

Besondere Aufmerksamkeit verdient zudem die langfristige Wirkung solcher Befugnisse. Sicherheitsgesetze werden nicht nur von den derzeit Verantwortlichen angewendet, sondern stehen auch künftigen Regierungen und Behörden zur Verfügung. […] Gerade deshalb müssen Überwachungsbefugnisse von Anfang an eng begrenzt werden, verhältnismäßig sein und einer effektiven und wirksamen Kontrolle unterliegen. Gesetzliche Regelungen sollten so ausgestaltet werden, dass sie auch gegenüber möglichen künftigen Machtmissbräuchen robust bleiben und nicht zur Beobachtung, Einschüchterung oder Verfolgung politisch missliebiger Personen oder gesellschaftlicher Gruppen genutzt werden können.

Der Chaos Computer Club nennt den Gesetzentwurf „ein Stelldichein digitaler Repression“ und „eines der weitreichendsten Landespolizeigesetze überhaupt“. Der CCC-Sprecher Dirk Engling warnt: „Wer heute die biometrische Massenüberwachung und Verhaltensscanner legalisiert, baut die Infrastruktur für den Techno-Faschismus von morgen.“

„Leipzig nimmt Platz“ befürchtet Einschränkungen von Protest

In einer Antwort an netzpolitik.org äußert sich „Leipzig nimmt Platz“ noch deutlicher. Für das Aktionsnetzwerk ist die geplante Novelle ein „sicherheitspolitischer Offenbarungseid und frontaler Angriff“ auf die Bürgerrechte.

Wir erleben eine Abkehr von der klassischen Gefahrenabwehr hin zu einer Kriminalisierung durch automatisierte Mustererkennung. Das stellt einen beispiellosen Dammbruch dar: Bürgerinnen und Bürger geraten ins polizeiliche Raster, ohne dass konkrete Anhaltspunkte für eine Tat vorliegen.

Wir kritisieren, dass diese massive digitale Aufrüstung ohne jeden nachgewiesenen sicherheitspolitischen Bedarf erfolgt. Die Polizei bleibt den Beleg schuldig, für welche konkreten, realen Gefahrenlagen diese Grundrechtseingriffe überhaupt zwingend erforderlich sein sollen. Bis heute gibt es keine empirischen Belege dafür, welche spezifischen Straftaten durch algorithmenbasierte Rasterung im Vorfeld tatsächlich verhindert werden.

Das Aktionsnetzwerk befürchtet auch Einschränkungen der eigenen antifaschistischen Arbeit und von demokratischem Protest:

Die unbestimmten Eingriffsschwellen im Vorfeld von Versammlungen erlauben es der Polizei zukünftig, Datenanalysen im Umfeld von Mobilisierungen einzusetzen. Wenn Menschen befürchten müssen, dass ihre Anwesenheit im öffentlichen Raum oder bei Demonstrationen durch biometrische Fernidentifizierung erfasst wird und sie durch intransparente Analyse-Software ins Visier der Polizei geraten könnten, wird legitimer Protest erstickt und die Meinungsfreiheit massiv eingeschränkt.

Dass einige Befugnisse, wie die Erstellung eines KI-basierten Verhaltensprofils, unter Vorbehalt einer richterlichen Zustimmung stehen, beruhigt „Leipzig nimmt Platz“ nicht: „Die Vergangenheit hat gezeigt, wie einfach und ohne Konsequenzen ein Richtervorbehalt in der Praxis umgangen werden kann. Ein eindrückliches Beispiel hierfür war die rechtswidrige Beschlagnahmung des ‚Adenauer SRP+‘ des Zentrums für Politische Schönheit beim CSD in Döbeln Ende September 2025“, schreibt das Aktionsnetzwerk auf netzpolitik.org-Anfrage.

Fußballanwält:innen sehen „polizeilichen Präventivstaat“

Kritik kommt auch von organisierten Fußballfans. In einem Statement warnen drei sächsische Fanhilfen vor der Polizeirechtsnovelle. Fanhilfen organisieren juristische Unterstützung für Fußballfans, die in Konflikt mit der Polizei geraten.

Die Fanhilfe Zwickau, die Dresdener Schwarz-Gelbe-Hilfe sowie das Rechtshilfekollektiv Chemie Leipzig schreiben:

Das Bekanntwerden der Einigung zwischen der Regierungskoalition aus Christ- und Sozialdemokraten und der Wagenknecht-Partei lässt uns Fanhilfen – und Fußballfans im Allgemeinen – nur noch kopfschüttelnd zurück. Schob das BSW noch Ende April 2026 in einer Stellungnahme den effektiven Schutz der Grundrechte voran, rollt die Kleinstpartei dem Polizei- und Überwachungsstaat jetzt den roten Teppich aus.

Dass der US-Konzern Palantir für die automatisierte Datenanalyse nicht beauftragt werden soll und auf Druck des BSW die Einführung von Tasern für alle Polizist:innen abgesagt wurde, überzeugt die Fanhilfen nicht:

Die aktuelle Novellierung des Sächsischen Polizeigesetzes bleibt das genaue Gegenteil der vom Verfassungsgerichtshof eingeforderten Überprüfung des Gesetzes von 2019. Der technische Fortschritt wird hier als Blaupause für eine weitere Verschärfung genutzt, nur dass eben nicht der US-Softwarehersteller Palantir darauf stehen darf. Trotz der berücksichtigten Kompromisse hat sich Sachsen faktisch an die Spitze der schärfsten Landespolizeigesetze gestellt und steht an der Schwelle zu einem polizeilichen Präventivstaat.

Grünen-Entwurf als Alternative

Der sächsische Verfassungsgerichtshof hatte 2024 das derzeitige SächsPVDG in einigen Punkten für verfassungswidrig erklärt. Die Befugnisse und ihre Eingriffsschwellen waren zu unbestimmt geregelt, stellte das Gericht fest – und ordnete Nachbesserungen an. Der sächsische Innenminister Armin Schuster (CDU) verband die verfassungsrechtlichen Reparaturen jedoch mit einer erheblichen Ausweitung der polizeilichen Befugnisse.

Einen alternativen Weg zeigten die Grünen auf. Die grüne Fraktion im Landtag veröffentlichte im April einen eigenen Gesetzentwurf, der auf die neuen Überwachungsbefugnisse verzichtet. Stattdessen enthält er lediglich die vom Verfassungsgerichtshof vorgeschriebenen Änderungen sowie Maßnahmen gegen häusliche Gewalt und Befugnisse zur Drohnenabwehr.

Datenschutzbeauftragte: „Grundrechte bleiben auf der Strecke“

Die sächsische Datenschutzbeauftragte Juliane Hundert wünscht sich, dass der Landtag dem von BSW, CDU und SPD geplanten Gesetz nicht zustimmt und stattdessen nur das Urteil des Verfassungsgerichtshofs umsetzt. Hundert bewertet die Einigung von BSW und Schwarz-Rot zwar als deutliche Verbesserung im Vergleich zum Regierungsentwurf, „insbesondere wurde das KI-Training mit personenbezogenen Daten oder die Nutzung von Internetdaten zur automatisierten Datenanalyse gestrichen“.

Dennoch, sagt die Datenschutzbeauftragte gegenüber netzpolitik.org, könne sie „die Ausweitung der polizeilichen Befugnisse aus datenschutzrechtlicher und damit bürgerrechtlicher Sicht nicht gutheißen“. Sachsen steige damit „wieder in die Verschärfungsspirale der Sicherheitsgesetzgebung des Bundes und der Länder ein. Die Grundrechte bleiben dabei leider auf der Strecke.“

Jusos positionieren sich gegen die Novelle

Das sehen offenbar auch weite Teile der in Sachsen mitregierenden SPD so. Insbesondere die Jusos positionieren sich deutlich gegen das geplante Gesetz. Auf Anfrage von netzpolitik.org sagt Mats Rudolph, Vorsitzender der sächsischen Jusos, dass trotz einiger Verbesserungen zentrale Probleme bestehen blieben.

Das Gesetz bleibt ein sicherheitspolitischer Wunschkatalog der CDU. Das zeigen Befugnisse zur automatisierten Datenanalyse, biometrischen Echtzeitüberwachung oder Quellen-Telekommunikationsüberwachung. Aus unserer Sicht sind diese Eingriffe schlicht zu weitreichend und nicht ausreichend begrenzt. […] Nicht alles, was technisch möglich ist, muss der Staat auch dürfen.

Die Jusos fordern die Abgeordneten der SPD-Fraktion auf, der geplanten SächsPVDG-Novelle nicht zuzustimmen. Die Änderung des Gesetzes solle sich auf die Umsetzung des Urteils beschränken.

Jede Stimme zählt

Einen entsprechenden Antrag hatten die Jusos auch auf dem SPD-Landesparteitag eingebracht, der am vergangenen Wochenende in Dresden stattfand. Dieser wurde mit 57 zu 50 Stimmen allerdings knapp abgelehnt.

Ein solch gespaltenes Bild in der SPD-Fraktion würde die Novelle vermutlich kippen. Da das BSW nach Informationen von Freier Presse und netzpolitik.org nur elf Stimmen zugesichert hat, hätte die Verschärfung des SächsPVDG lediglich eine Mehrheit von zwei Stimmen – wenn CDU und SPD vollständig zustimmen. Grüne und Linke im Parlament haben angekündigt, gegen die Novelle zu stimmen.

Eine Petition und zwei Demos

Neben den Jusos macht auch eine weitere Parteijugend gegen die geplante Polizeirechtsverschärfung mobil. Schon im Mai hat die Grüne Jugend Sachsen eine Petition gegen die Ausweitung der Überwachungsbefugnisse gestartet.

Für den 23. Juni, den Vorabend der finalen Abstimmung im Landtagsplenum, hat die Grüne Jugend eine Demo angemeldet. Um 17 Uhr soll vor dem Sächsischen Landtag in Dresden demonstriert werden. Ronja Zierold, Sprecherin der Grünen, sagt in dem Demoaufruf:

Wenn staatliche Stellen technische Möglichkeiten erhalten, Kommunikation auszuspähen, Bewegungen nachzuverfolgen oder Daten automatisiert auszuwerten, trifft das nicht nur einzelne Verdächtige. Es verändert das Verhältnis zwischen Staat und Gesellschaft grundsätzlich. Das schadet politischem Protest, zivilgesellschaftlichem Engagement und einer lebendigen Demokratie. Freiheitsrechte werden Stück für Stück ausgehöhlt! Mit jeder neuen Befugnis, jeder neuen Datei, jeder neuen Kamera, jeder neuen Ausrede. Genau deshalb gehen wir auf die Straße.

In Leipzig wird bereits am Samstag, den 20. Juni, demonstriert. Zu diesem Protest aufgerufen hatten unter anderem Copwatch Leipzig, „Leipzig nimmt Platz“ und das Rechtshilfekollektiv Chemie Leipzig.

Die Gesellschaft für Informatik e.V. (GI) hat eine Studie vorgelegt, die sich im Auftrag von Fritz (ehemals AVM) mit der Router-Sicherheit und digitalen Souveränität in Deutschland auseinandersetzt. Sie sieht insbesondere Heimnetz-Router als unterschätztes Risiko. Die IT-Fachleute haben auch Handlungsempfehlungen abgeleitet.

In der Studie analysierten die Autoren 2190 Sicherheitslücken mit CVE-Einträgen aus den Jahren 2020 bis 2025, die die größten Router-Anbieter in Deutschland betreffen. Diese dienen Angreifern als Einfallstor, um Internetrouter zu kapern und etwa Passwörter für E-Mail-Konten oder andere Online-Dienste abzugreifen, wie zuletzt im April des Jahres bekannt wurde. Der Betrachtungszeitraum blendet die Fritz-Router betreffende, größere Wellen schlagende Sicherheitslücke aus dem Jahr 2014 aus. Die Router in Deutschland verteilen sich laut Studie auf Fritz mit 51 Prozent Marktanteil, unter der Telekom-Marke segelnde Geräte mit 19 Prozent, mit Vodafone-Branding versehene Router (12 Prozent) und schließlich TP-Link (2 Prozent), D-Link (2 Prozent) und Netgear mit einem Prozent Marktanteil im Jahr 2025.

Die Schwachstellenanalyse lässt OEM-Hersteller wie Arcadyan oder ZTE aus, die sich etwa hinter einigen Telekom- oder Vodafone-Routern verbergen, da sie sich nicht korrekt zuordnen lassen. Netgear wies demnach mit 1016 CVE-Einträgen die höchste absolute Zahl an Schwachstellen auf, was 46 Prozent der untersuchten CVEs entspricht. D-Link folgte mit 955 CVEs (44 Prozent). TP-Link steuerte noch 218 CVEs bei (10 Prozent) und Fritz wies in dem Zeitraum einen CVE-Eintrag auf. Bei der Berücksichtigung des Schweregrads der Schwachstellen sieht die Verteilung etwas anders aus: D-Link hatte 280 CVEs mit kritischem Risiko, Netgear 149, TP-Link noch 60 und Fritz keine.

Unterschiede in der Firmware-Qualität

Die GI schließt aus diesem Verhältnis auf unterschiedliche Qualität der Firmwares der Geräte. Zur Bewertung der Zahlen ist weiterhin die Disclosure-Politik der Unternehmen zu berücksichtigen. Netgear betreibt etwa ein öffentliches Bug-Bounty-Programm, bei dem IT-Sicherheitsforscher Geldprämien erhalten können. Außerdem geht der Hersteller als CNA (CVE Numbering Authority), die eigene CVE-Einträge erstellen kann, sehr transparent mit Schwachstellen um. Zwar dokumentiert Fritz Schwachstellen auf einer Security-Seite, allerdings erfolgt keine CVE-Vergabe. Das erklärt auch die geringe Anzahl an CVE-Einträgen.

Die GI weist weiter auf die unterschiedlichen Support-Zeiträume hin. Billigere Geräte fallen üblicherweise früher aus der Herstellerunterstützung heraus. Hier greift in absehbarer Zeit immerhin der Cyber Resilience Act (CRA), mit Mindestsupportzeiträumen und weiteren Herstellerpflichten. Aufgrund der langen Umsetzungsfristen könnten aber noch Jahre vergehen, bis alle Anbieter das umsetzen. Eines der aktuellen Probleme ist demnach, dass viele Geräte das Ende ihres Supportzeitraums bereits erreicht haben und keine Sicherheitsupdates mehr erhalten, ohne dass Verbraucher davon erfahren.

In der Studie gibt die Gesellschaft für Informatik e.V. auch Handlungsempfehlungen für die Bundesregierung. Sie soll „die Logik des EU Cybersecurity Act 2 auf den Heimnetzbereich“ übertragen und „Transparenzpflichten für Hersteller und Lieferketten bei Consumer-Routern“ einführen. Dahinter steckt die Idee, etwa Anbieter aus China, die potenziell eine Gefahr darstellen können, aus europäischer Infrastruktur zu verdrängen und europäische Produkte vorzuziehen, um externe Abhängigkeiten zu reduzieren.

Der Co-Autor der Studie und Referent für Politik und Wissenschaft bei der GI, Niklas Sax, ordnet das so ein: „Deutschland ist im internationalen Vergleich [hinsichtlich der Router-Sicherheit] gut aufgestellt, denn der hohe Marktanteil europäischer Hersteller ist ein echter Standortvorteil. Aber diese Ausgangslage ist kein Selbstläufer. Die Dynamiken in den USA zeigen, dass sich Marktanteile schnell zugunsten nicht-europäischer Hersteller verschieben können. Das ist nicht nur eine Frage der Marktsouveränität, sondern schafft neue Angriffsflächen für gezielte Einflussnahme von Drittstaaten.“

(dmk)