Die europäische Polizeibehörde Europol hat offenbar umfangreiche Mengen sensibler Daten auf einer Schatten-IT gesammelt und ausgewertet. Darunter Ausweisdokumente, Telefonverbindungen, Finanz- und Standortdaten – auch von Personen, die keiner Straftat verdächtigt wurden. Das zeigt eine gemeinsame Recherche von Correctiv, Computer Weekly und Solomon.

„Sie schützen das Gesetz – und brechen es“, zitiert Correctiv einen der anonym bleibenden Europol-Insider, die im Text vorkommen. Internen Dokumenten, geleakten E‑Mails sowie Insiderinformationen von Whistleblower:innen zufolge haben Europol-Mitarbeitende diese Daten entgegen bestehender Sicherheitsvorkehrungen und Datenschutzbeschränkungen abrufen können. Es sei nicht nachvollziehbar, wer zu welchem Zeitpunkt auf die Daten zugegriffen, sie geändert oder gelöscht habe.

Die Veröffentlichung der Recherche fällt für Europol in eine politisch sensible Phase. Noch in diesem Jahr will die EU-Kommission voraussichtlich ein Gesetz einbringen, das Europol in eine „wirklich operative Polizeibehörde“ umwandeln soll. Dafür will die Kommission das Personal und das Budget der Behörde verdoppeln.

Europol habe laut der Recherche zwar einige Datenschutzprobleme öffentlich gemacht. Doch weite Teile ihrer Schatten-IT hat die Behörde mutmaßlich vor dem Europäischen Datenschutzbeauftragten geheimgehalten – darunter ein irreguläres System namens „Pressure Cooker“, mit der Europol offenbar geltende EU-Gesetze umging. Das System ist möglicherweise noch heute im Einsatz.

Das „Schwarze Loch“ für die unregulierte Datenanalyse

Auslöser dafür, die Schatten-IT zu entwickeln, waren die Terroranschläge unter anderem auf das Bataclan-Theater in Paris im November 2015. Damals gründete Europol die Task Force „Fraternité“, der EU-Mitgliedstaaten große Datenmengen zuspielte. Europols Cybercrime-Einheit übernahm daraufhin das sogenannte Computerforensik-Netzwerk (CFN), das im Jahr 2012 mit der Absicht eingerichtet worden war, digitales Beweismaterial zu sammeln.

Obwohl Europol das CFN gemeinsam mit der eigenen IT-Abteilung verwalten sollte, entzog sich das Netzwerk bald jener Aufsicht. Innerhalb weniger Jahre habe sich das CFN weit über seinen ursprünglichen Zweck hinaus entwickelt. Ein ehemaliger hochrangiger Europol-Mitarbeiter bezeichnet es laut der Correctiv-Recherche als „Schwarzes Loch“ für die unregulierte Datenanalyse.

Bis 2019 hätten sich im CFN rund 2.000 Terabyte an Daten angesammelt – fast 420-mal so viele Daten wie die reguläre Kriminaldatenbank von Europol enthielt. In mindestens einem Fall – dem Projekt „Focal Point Travellers“ – sollen sie auch vom US-amerikanischen Inlandsgeheimdienst FBI stammen.

„Europol-Analysten konnten so riesige Mengen an personenbezogenen Daten durchforsten, darunter auch Informationen, die sie nicht hätten speichern dürfen, und diese für kriminalistische Analysen zweckentfremden“, heißt es bei Correctiv.

Datenschutzbeauftragter schlug Alarm

Im Jahr 2019, ein Jahr nachdem die EU-Datenschutzgesetze in Kraft getreten waren, schlug der hauseigene Datenschutzbeauftragte von Europol, Daniel Drewer, intern Alarm. Er warnte die drei stellvertretenden Europol-Direktoren, dass im CFN rund 99 Prozent aller Europol-Daten verarbeitet würden. Laut der Recherche reichen die Sicherheitslücken und Versäumnisse von der „ineffektiven Zuweisung von Sicherheitsrollen und ‑verantwortlichkeiten“ über eine „unzureichende Verwaltung privilegierter Zugriffsrechte“ bis hin zur „Nichteinhaltung der Europol-Sicherheitsvorschriften“. Sollte Europol nicht reagieren, warnte Drewer, könnte ein Verbot des CFN das gesamte operative Geschäft von Europol lahmlegen.

Die Direktorin Catherine De Bolle informierte daraufhin im April 2019 den Europäischen Datenschutzbeauftragten. Nach einer jahrelangen Auseinandersetzung ordnete die Datenschutzbehörde schließlich an, die rechtswidrig gespeicherten Daten zu löschen. Erst im Februar 2026 teilte die Aufsichtsbehörde der Gemeinsamen Parlamentarischen Kontrollgruppe, ein Aufsichtsausschuss für Europol aus europäischen und nationalen Abgeordneten, mit, die fast zehnjährige Prüfung des CFN einzustellen – obwohl Europol zentrale Sicherheitsvorkehrungen noch immer nicht umgesetzt hatte.

„Europol hat über Jahre ein paralleles Datensystem betrieben, das jenseits rechtsstaatlicher Kontrolle arbeitet“, sagt Birgit Sippel (SPD) auf Anfrage von netzpolitik.org. Sie ist Europaabgeordnete und Mitglied des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres. „Die Daten unschuldiger Menschen wurden gespeichert und analysiert, ohne dass nachvollziehbar war, wer darauf zugegriffen oder Einträge verändert hat. Das untergräbt das Vertrauen in die Beweissicherheit und die Rechtsstaatlichkeit europäischer Strafverfolgung.“

Obwohl Europol sich jahrelang der Kontrolle entziehen konnte, will die Kommission der Behörde nun mehr operative Befugnisse übertragen, sagt die Bürgerrechtsorganisation European Digital Rights gegenüber netzpolitik.org. „Es ist dringend erforderlich, dass die EU ihre Pläne überdenkt und Europol tatsächlich für seine rechtswidrigen Praktiken zur Rechenschaft zieht.“

Kocht der „Pressure Cooker“ noch?

Es ist derzeit unklar, ob etwa der „Pressure Cooker“ (zu Deutsch: Schnellkochtopf) weiterhin in Betrieb ist. Damit wird offenbar ein System bezeichnet, in dem operative Daten schnell und ohne Beschränkungen durch EU-Recht gespeichert und analysiert werden können.

Laut Europol sei der „Pressure Cooker“ lediglich eine interne Bezeichnung für das „Internet Facing Operational Environment“ (IFOE), das rechtskonform betrieben werde. Als Europol im Jahr 2025 die „IFOE-Quick Response Area“ dem Europäischen Datenschutzbeauftragten zur Konsultation vorlegte, warnte die Aufsichtsbehörde vor „einer vollwertigen Parallelumgebung zur regulären Betriebsumgebung von Europol“.

Der Europäische Datenschutzbeauftragte erklärte gegenüber Correctiv, er sehe „die Gefahr, dass Europol-Mitarbeiter ‚Angeltouren’ unternehmen könnten, also personenbezogene Daten sammeln, die für laufende strafrechtliche Ermittlungen irrelevant sind – und so Grundrechte verletzen“.

Wie solche Systeme trotz Inspektionen durch den Datenschutzbeauftragten lange Zeit verborgen blieben, beschreibt ein Europol-Insider. Demnach seien die Inspektionen „keine Razzia, bei der IT-Experten Systeme überwachen und Server beschlagnahmen“, sondern vielmehr ein „höfliches Gespräch“.

Mit der wöchentlichen Aktualisierung in der Nacht zum Mittwoch hat Google den Webbrowser Chrome auf den Versionszweig 148 gebracht. Zunächst blieb die Versionsankündigung leer – inzwischen ist klar: Darin haben die Entwickler 127 Sicherheitslücken gestopft.

In der Versionsankündigung reißen die Chrome-Programmierer wie üblich kurz an, welche Schwachstellen von externen IT-Forschern gemeldet wurden. Drei erreichen die Risikoeinstufung „kritisch“, für eine davon ist auch die Prämie für die Meldenden klar: 43.000 US-Dollar erhalten sie dafür. Es handelt sich dabei um einen Integer-Überlauf in der Rendering-Engine Blink (CVE-2026-7896, CVSS laut CISA 8.8, Risiko laut Google „kritisch“). Unter iOS haben die Entwickler sich um eine Use-after-free-Lücke gekümmert (CVE-2026-7897, CVSS laut CISA 7.5, Risiko laut Google „kritisch“). Das eingebaute Remote-Desktop-Tool Chromoting weist ebenfalls eine Use-after-free-Schwachstelle auf (CVE-2026-7898, CVSS laut CISA 8.8, Risiko laut Google „kritisch“).

Bei einer Use-after-free-Schwachstelle greift der Programmcode auf bereits freigegebene Ressourcen zu. Deren Inhalte sind dadurch undefiniert; Angreifer können solche Lücken oftmals zum Einschleusen und Ausführen von Schadcode missbrauchen. Dazu genügt bei Webbrowsern in der Regel das Anzeigen von sorgsam präparierten Webseiten. Weitere 31 Sicherheitslücken gelten als Risiko „hoch“, 66 als „mittlerer“ Bedrohungsgrad und 27 noch als „niedrige“ Risikostufe.

Die Sicherheitslücken schließen die Chrome-Versionen 148.0.7778.120 für Android, 148.0.7778.96 für Linux und 148.0.7778.96/97 für macOS und Windows. Wer Chrome einsetzt, sollte rasch sicherstellen, dass der Webbrowser auf aktuellem Stand ist. Bislang scheint noch keine der Schwachstellen missbraucht zu werden, zumindest schreibt Google nichts davon.

Aktualisierung installieren

Die Updates lassen sich über den Versionsdialog anwenden. Nach Klick auf das Browser-Menü, das sich hinter dem Icon mit den drei aufeinander gestapelten Punkten verbirgt, und weiter über „Hilfe“ zu „Über Google Chrome“ öffnet er sich. Er zeigt den aktuell laufenden Softwarestand an und startet bei Verfügbarkeit die Installation der Aktualisierung. Unter Linux ist in der Regel die Softwareverwaltung der Distribution dafür aufzurufen. In den App-Stores der Mobiltelefone sind die neuen Fassungen in der Regel mit etwas Verzögerung verfügbar.

Da die Sicherheitslücken die Chromium-Basis betreffen, sollten auch Nutzerinnen und Nutzer der darauf aufbauenden Webbrowser wie Microsofts Edge schauen, ob für die Browser inzwischen eine Aktualisierung verfügbar ist.

Das Chrome-Update aus der vergangenen Woche hatte bereits 30 Schwachstellen ausgebessert. Die KI-Schwachstellensuche scheint sehr erfolgreich zu sein und den Entwicklern einige Arbeit zu bescheren. Am Ende bedeutet das jedoch, dass die Software deutlich sicherer wird.

(dmk)

Der Netzwerkausrüster Cisco hat acht Sicherheitsmitteilungen veröffentlicht, die teils hochriskante Schwachstellen in mehreren Produkten behandeln. Am gravierendsten scheinen Sicherheitslücken in Ciscos Unity Connection zu sein, die das Einschleusen und Ausführen von Schadcode ermöglichen.

Gleich zwei Schwachstellen finden sich in Ciscos Unity Connection. Die schwerwiegendere ermöglicht authentifizierten Angreifern aus dem Netz, mit manipulierten API-Anfragen an das webbasierte Management-Interface Schadcode einzuschleusen und auszuführen. Die zweite Lücke hingegen betrifft das Web-User-Interface der Unity-Connection-Web-Inbox und ermöglicht nicht authentifizierten Akteuren aus dem Netz, einen Server-Side-Request-Forgery-Angriff (SSRF) auszuführen.

Die Managed Switches der Serien SG350 und SG350X weisen eine Denial-of-Service-Schwachstelle auf, die angemeldete Angreifer mit präparierten SNMP-Anfragen provozieren können. Nicht angemeldete bösartige Akteure aus dem Netz können aufgrund einer unangemessenen Implementierung eines Rate-Limiting-Mechanismus für Netzwerkverbindungen mit dem Senden von vielen Verbindungsanfragen Ciscos Crosswork Network Controller (CNC) und Network Services Orchestrator (NSO) lahmlegen. Mehrere Lücken in Ciscos IoT Field Network Director ermöglichen angemeldeten Angreifern aus dem Netz zudem, Befehle auszuführen, auf Dateien zuzugreifen und Denial-of-Service-Attacken auf verwaltete Router auszuführen.

Übersicht der ausgebesserten Schwachstellen

Die Sicherheitslücken im Einzelnen nach Schweregrad sortiert:

• Cisco Unity Connection Remote Code Execution and Server-Side Request Forgery Vulnerabilities (CVE-2026-20034, CVSS 8.8;CVE-2026-20035, CVSS 7.2; beide Risiko „hoch“)
• Cisco SG350 and SG350X Series Managed Switches SNMP Denial of Service Vulnerability (CVE-2026-20185, CVSS 7.7, Risiko „hoch“)
• Cisco Crosswork Network Controller and Cisco Network Services Orchestrator Connection Exhaustion Denial of Service Vulnerability (CVE-2026-20188, CVSS 7.5, Risiko „hoch“)
• Cisco IoT Field Network Director Vulnerabilities (CVE-2026-20167, CVSS 7.7, Risiko „hoch“; CVE-2026-20168, CVSS 6.5, Risiko „mittel“; CVE-2026-20169, CVSS 6.4, Risiko „mittel“)
• Cisco Slido Insecure Direct Object Reference Vulnerability (CVE-2026-20219, CVSS 5.4, Risiko „mittel“)
• Cisco Identity Services Engine Authentication Bypass Vulnerabilities (CVE-2026-20195, CVSS 5.4; CVE-2026-20193, CVSS 4.3; beide Risiko „mittel“)
• Cisco Prime Infrastructure Information Disclosure Vulnerability (CVE-2026-20189, CVSS 4.3, Risiko „mittel“)
• Cisco Enterprise Chat and Email Lite Agent File Upload Vulnerability (CVE-2026-20172, CVSS 4.3, Risiko „mittel“)

Zuletzt hatte Cisco Mitte April mehrere Sicherheitslücken in diversen Produkten geschlossen. Zehn Sicherheitslecks haben die Entwickler dort geschlossen, etwa in Ciscos Identity Services Engine und Webex.

(dmk)