Wenn Admins in Cloud-Infrastrukturen oder Rechenzentren Router und Switches mit Arista EOS nutzen, können Angreifer an mehreren Schwachstellen ansetzen. Stimmen die Voraussetzungen, sind Systeme kompromittierbar. Bislang gibt es keine Hinweise auf bereits laufende Attacken.

Mehrere Gefahren

In einer Warnmeldung finden sich unter anderem Informationen zu einer „kritischen“ Lücke (CVE-2026-11705). Daran können Angreifer aber nur ansetzen, wenn im Kontext von Streaming Telemetry Agent die TerminAttrRW-Option aktiv ist. Den Entwicklern zufolge ist das aber keine Standardeinstellung, sodass Geräte nicht per se angreifbar sind.

Ist die Voraussetzung erfüllt, können Angreifer durch das Versenden von präparierten Paketen Fehler auslösen und danach Systemdaten modifizieren. Aufgrund der kritischen Einstufung ist davon auszugehen, dass Geräte danach als kompromittiert gelten.

Bislang ist dagegen nur die EOS-Version 4.36.1F erschienen. Für ältere Ausgaben sind bislang nur Fixes verfügbar, die Arista in der Warnmeldung auflistet. Weitere Sicherheitspatches sollen folgen. Um Netzwerke vor solchen Attacken zu schützen, können Admins den Streaming-Telemetry-Agenten (TerminAttr) deaktivieren.

Durch das erfolgreiche Ausnutzen weiterer Lücken werden etwa manipulierte Zertifikate akzeptiert (CVE-2026-52896 „hoch“) oder Angreifer können Zugangsdaten einsehen (CVE-202652895 „mittel“).

In einer weiteren Warnmeldung führen die Entwickler noch eine Lücke (CVE-2026-12546 „mittel“) auf. Darüber ist die Authentifizierung umgehbar. In den verlinkten Warnmeldungen finden Admins weiterführende Hinweise zu den Schwachstellen und konkret bedrohten EOS-Versionen.

(des)

In Episode 162 des c’t-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit Prof. Tobias Keber, dem Landesbeauftragten für den Datenschutz und Informationsfreiheit (LfDI) in Baden-Württemberg und aktuellen Vorsitzenden der Datenschutzkonferenz (DSK).

Zum Einstieg sprechen die drei über ein Bußgeld von 100.000 Euro gegen eine kroatische Immobilienagentur. Neben unzulässig lange gespeicherten Unterlagen beanstandete die Behörde unzureichende Datenschutzschulungen. Keber betont, dass Datenschutz nur wirksam sei, wenn Beschäftigte praxisnah und regelmäßig geschult würden. Ein reines „Wegklicken“ von Online-Folien reiche nicht aus.

Unverständliche Forderungen

Zentrales Thema des Gesprächs ist der Schock über die Pläne der neuen baden-württembergischen Landesregierung, der Datenschutzbehörde 40 Prozent der Stellen zu streichen. Keber kritisiert dieses Vorhaben deutlich. Es passe nicht zusammen, dass der Staat und auch das Bundesland gleichzeitig polizeiliche Überwachungsbefugnisse und den Einsatz von Künstlicher Intelligenz massiv ausbaue, die Kontrollinstanzen im Gegenzug aber derart schwächen wolle.

Zusätzlich belaste eine enorme Beschwerdeflut die Behörde. Die Zahl der Eingaben stieg zuletzt um fast 90 Prozent auf über 7600 Fälle an. Keber führt dies vor allem auf KI-generierte Texte zurück. Da die Behörde jede Beschwerde zwingend bearbeiten muss, binde dies wertvolle Ressourcen, die an anderer Stelle – etwa bei der wichtigen Beratung von Unternehmen – schmerzlich fehlen.

DSK-Impulse

Als Gegenentwurf zu Zentralisierungsbestrebungen haben die Landesdatenschutzbehörden auf der 111. Datenschutzkonferenz in Stuttgart einstimmig „Stuttgarter Impulse“ verabschiedet. Die Bundesbeauftragte war nicht an Bord, weil sie hier andere Interessen verfolgt. Die Vorschläge reichen von einer gesetzlichen Verankerung der Datenschutzkonferenz über eine professionelle Geschäftsstelle bis zu verbindlichen Mehrheitsentscheidungen.

Geplant sind außerdem ein zentrales digitales Portal für Bürgeranfragen nach dem Prinzip „No Wrong Door“, eine gemeinsame Entscheidungsdatenbank und das „Einer-für-alle-Prinzip“, bei dem die Prüfung einer Behörde bundesweit gilt. Auch die beliebten Kurzpapiere sollen wiederbelebt werden, wie Keber im Gespräch verriet.

Episode 162:

Hier geht es zu allen bisherigen Folgen:

(hob)

Das Bundeskriminalamt erhält weiterhin jeden Tag mehr als 500 Hinweise auf Kindesmissbrauch im Internet aus den USA. Ungefähr die Hälfte davon ist nicht strafrechtlich relevant.

Im April ist eine vorübergehende Ausnahme ausgelaufen, die Internet-Diensten eine freiwillige Chatkontrolle erlaubt hat. Entgegen mancher Befürchtungen sind die Meldungen der US-Organisation „Nationales Zentrum für vermisste und ausgebeutete Kinder“ (NCMEC) danach nicht eingebrochen.

Die EU-Datenschutzrichtlinie für elektronische Kommunikation verbietet das Überwachen von Nachrichten ohne Einwilligung der betroffenen Nutzer. Ab 2021 hat eine vorübergehende Ausnahme Anbietern erlaubt, die Inhalte ihrer Nutzer freiwillig zu scannen.

Die vorübergehende Ausnahme galt ursprünglich für drei Jahre. Vor zwei Jahren wurde sie nochmal verlängert. Im März stimmte das EU-Parlament gegen eine weitere Verlängerung. Damit lief die freiwillige Chatkontrolle am 3. April aus.

Drastischer Rückgang befürchtet

Das BKA warnte vor dem Ende der freiwilligen Chatkontrolle. Die Polizeibehörde warnte vor einem „drastischen Rückgang entsprechender Hinweise an die Strafverfolgungsbehörden“.

Vor zwei Wochen hat das BKA im Bundestag zugegeben, dass diese Sorge unberechtigt war. Jetzt haben wir diese Aussage auch offiziell und öffentlich.

Die Linken-Abgeordnete Donata Vogtschmidt hat die Bundesregierung gefragt, wie viele Meldungen das BKA pro Monat erhalten hat, vor und nach dem Auslaufen der Ausnahme-Regel. Wir veröffentlichen die Antwort in Volltext. Hier als Diagramm:

Wir haben das BKA nochmal direkt gefragt. Dabei haben wir leicht andere Zahlen erhalten. Auch diese Antwort veröffentlichen wir in Volltext. Hier ebenfalls als Diagramm:

Die Zahlen zeigen, dass die US-Organisation NCMEC weiterhin jeden Monat zehntausende Hinweise von Internet-Diensten erhält und an das BKA weiterleitet.

Die Zahlen sind zwar leicht zurückgegangen. Aber auch bisher unterliegen die Zahlen „regelmäßig größeren Schwankungen“, so das BKA. „Ein konkreter Zusammenhang mit dem Wegfall der Interims-Verordnung kann bisher nicht festgestellt werden.“

Kein konkreter Zusammenhang

Das vorübergehende Ausnahme-Gesetz ist zwar ausgelaufen. Aber einige Big-Tech-Unternehmen scannen trotzdem weiter. Das hatten Google, Meta, Microsoft und Snap auch öffentlich angekündigt. Sie stützen sich einfach auf andere Rechtsgrundlagen wie die EU-Verordnung über digitale Dienste oder ihre Allgemeinen Geschäftsbedingungen.

Darüber hinaus erhält das BKA entsprechende Hinweise nicht nur von NCMEC, sondern auch aus anderen Quellen, zum Beispiel von Beschwerdestellen im INHOPE-Netzwerk oder aus eigenen Ermittlungen.

Die Praxis zeigt also: Ein EU-Gesetz für eine freiwillige Chatkontrolle ist nicht notwendig – entgegen aller Behauptungen.

Die Abgeordnete Donata Vogtschmidt kommentiert: „Die nach wie vor zahlreich eingehenden Meldungen beim BKA widerlegen den befürchteten Blindflug nach Auslaufen der freiwilligen Chatkontrolle, den die Bundesregierung stets zur Rechtfertigung anführte, wenn sie Chatkontrollen forderte.“

Die Hälfte Falschmeldungen

Darüber hinaus zeigen die Zahlen erneut, dass NCMEC bei weitem nicht nur strafbare Inhalte an die Polizei meldet. Nur etwas mehr als die Hälfte der Meldungen ist auch „strafrechtlich relevant“. NCMEC meldet jeden Tag hunderte Inhalte an das BKA, die gar nicht illegal sind.

Die Abgeordnete Donata Vogtschmidt kommentiert: „Dass fast die Hälfte davon Falschmeldungen sind, die empfindliche Eingriffe in die intime Privatsphäre ausgerechnet von Minderjährigen darstellen, lässt mich außerdem stark an der derzeitige Meldepraxis zweifeln.“

Das BKA verschickt auch selbst Falschmeldungen über angebliche Kinderpornografie.

Präsidentin gegen Parlament

Einige Politiker wollen das ungültige und unnötige EU-Gesetz zur freiwilligen Chatkontrolle trotzdem nochmal verlängern. Vor drei Monaten hat das EU-Parlament gegen eine Verlängerung gestimmt.

Die EU-Parlamentspräsidentin Roberta Metsola will das Gesetz trotzdem beschließen. Die maltesische Christdemokratin sagte den EU-Staaten letzte Woche, dass sie eine zweite Lesung des Gesetzes will.

Die Ratspräsidentschaft hat die EU-Staaten am Montag gefragt, ob sie das Gesetzgebungsverfahren „mit dem Standpunkt des Rates in erster Lesung“ fortsetzen wollen. Das geht aus einem Dokument der Ratspräsidentschaft hervor, das wir veröffentlichen. Zypern sagt selbst, dieses Verfahren „wäre beispiellos“.

Politische Sackgasse

Viele EU-Abgeordnete lehnen dieses Verfahren ab. Die Schattenberichterstatterin der Grünen Markéta Gregorová zeigt sich „äußerst überrascht“ über den Vorschlag. Dieses Vorgehen sei „inakzeptabel und untergräbt die Position des EU-Parlaments“.

Die liberale Schattenberichterstatterin Hilde Vautmans bezeichnet den Vorschlag als „politische Sackgasse“. Das Parlament hat das Gesetz „zweimal abgelehnt, und daran wird sich nichts ändern“.

Morgen treffen sich die Ständigen Vertreter der EU-Staaten. Dort diskutieren sie den Vorschlag der Parlaments-Präsidentin.

Parallel dazu geht der Trilog zur CSA-Verordnung weiter. Dort verhandeln die EU-Institutionen über dauerhafte Regeln zur Chatkontrolle. Neben der bereits stattfindenden freiwilligen Chatkontrolle könnten Internet-Dienste auch gegen ihren Willen zu einer Chatkontrolle verpflichtet werden.

Hier die Dokumente in Volltext:

• Datum: 22. Juni 2026
• Von: Bundesministerium des Innern
• An: Donata Vogtschmidt, MdB
• Betreff: Schriftliche Frage Monat Juni 2026
• Hier: Arbeitsnummer 6/186

Schriftliche Frage Monat Juni 2026

Frage

Wie viele Hinweise auf Darstellungen sexualisierter Gewalt an Kindern sind im Jahr 2026 von NCMEC (National Center for Missing & Exploited Children) beim Bundeskriminalamt eingegangen (bitte nach Monat und strafrechtlicher Relevanz aufschlüsseln), und wie hoch ist bei strafrechtlich relevanten Hinweisen der Anteil Meldungen, bei denen der Tatverdächtige zumindest mutmaßlich minderjährig ist?

Antwort

Im Jahr 2026 sind beim Bundeskriminalamt (BKA) zwischen Januar und Mai insgesamt 91.242 Hinweise durch das National Center for Missing & Exploited Children (NCMEC) eingegangen. Die strafrechtliche Relevanzquote liegt bei rund 60 Prozent. Eine detaillierte Aufschlüsselung der eingegangenen Hinweise kann der folgenden Grafik entnommen werden:

NCMEC-Hinweiseingänge 2026

Dem BKA liegen keine Angaben zum Anteil strafrechtlich relevanter Meldungen vor, bei denen der Tatverdächtige mutmaßlich minderjährig ist. Nach abschließender strafrechtlicher Bewertung des Hinweises durch das BKA im Rahmen der Zentralstellenfunktion wird dieser an die örtlich zuständige Landesbehörde weitergeleitet. Weitere Erkenntnisse, einschließlich des Alters des Tatverdächtigen, werden im Rahmen der dortigen Ermittlungen erhoben und sind dem BKA nicht zugänglich.

• Datum: 25. Juni 2026
• Von: Bundeskriminalamt
• An: netzpolitik.org

Das Bundeskriminalamt (BKA) kann nachfolgende Zahlen zu eingegangenen CSAM-Hinweisen für die Jahre 2023 bis 2025 zur Verfügung stellen:

Der nachfolgenden Tabelle können Sie die monatlichen Hinweiseingänge im Zeitraum Januar bis Mai 2026 entnehmen:

Auslaufen

Um die Bekämpfung des sexuellen Missbrauchs von Kindern und Jugendlichen weiter zu stärken, hatten sich die europäischen Staaten Mitte 2021 auf die Interims-VO zur E‑Privacy Richtline verständigt, um Diensteanbietern in Europa die Möglichkeit zu geben, aktiv nach kinder- oder jugendpornografischen Inhalten in interpersoneller Kommunikation suchen zu können. Eine Verlängerung dieser Interims-VO konnte im europäischen Parlament keine Mehrheit finden, weshalb sie zum 04.04.2026 ihre Gültigkeit verlor. Ohne diese Meldungen sinken die Chancen für Polizei und Justiz, Missbrauch frühzeitig zu erkennen, die Opfer zu schützen und Täter strafrechtlich zu verfolgen. Ungeachtet der Tatsache, dass seit dem 04.04.2026 die Interims-VO ausgesetzt wurde, nimmt das BKA auch weiterhin Hinweise des NCMEC und anderer Stellen entgegen. Die Internetprovider melden weiterhin Verdachtsfälle über das NCMEC an die Strafverfolgungsbehörden, jedoch dürfte dies nach europäischer Gesetzeslage nun lediglich Sachverhalte umfassen, die z. B. durch Nutzermeldungen oder in moderierten Foren festgestellt werden. Die im BKA eingehenden Hinweise werden im Rahmen der Zentralstellenfunktion auf strafrechtliche Relevanz geprüft und an die in Deutschland örtlich zuständige Dienststelle weitergeleitet.

Es kann ein Rückgang der Zahlen in den letzten beiden Monaten im Vergleich zu den Vormonaten beobachtet werden. Die beim BKA verzeichneten monatlichen Hinweiseingangszahlen unterliegen jedoch regelmäßig größeren Schwankungen. Ein konkreter Zusammenhang mit dem Wegfall der Interims-VO kann bisher nicht festgestellt werden. Die Entwicklung wird in den kommenden Monaten weiterhin beobachtet und analysiert.

Hinsichtlich der Thematik weise ich zusätzlich auf das Bundeslagebild Sexualdelikte zum Nachteil von Kindern und Jugendlichen hin, abrufbar über nachstehende Verlinkung:

Anmerkung: Für das Berichtsjahr 2025 ist das entsprechende Bundeslagebild noch nicht veröffentlicht. Mit einer Veröffentlichung ist im Sommer 2026 zu rechnen.