Connect with us

Datenschutz & Sicherheit

AfD-Parteitag in Erfurt: Die Angst vor dem faschistischen Überwachungsstaat


Erfurt am vergangenen Samstag: Eine Polizeikolonne bahnt sich ihren Weg durch eine Menge aus Menschen in gelben Westen. Wer im Weg steht, wird zur Seite geschubst. Protestierende kommen zu Fall. Einige skandieren: „Wir sind friedlich, was seid ihr?“ Dann plötzlich Gelächter: Der Letzte in der Kolonne ist ein Clown mit wütender Mimik, der den martialischen Stil der Polizist*innen imitiert.

Der Clown und die Menschen in den gelben Westen wollen den Bundes-Parteitag der AfD verhindern. Je nach Quelle sind dafür zwischen 31.000 und 50.000 Menschen angereist. Mehrere tausend Polizist*innen sollen sie davon abhalten. Thüringen ist eine AfD-Hochburg, die Partei ist hier mit Abstand stärkste Kraft.

Der Protest steht auf mehreren Ebenen im polizeilichen Fokus. Kameras auf Stäben, die Polizisten halten. Kameras auf den Wasserwerfern und unter dem Hubschrauber, der über dem Geschehen kreist. Vor allem mit der Kamera aus der Luft kann die Polizei aus großer Höhe und Distanz scharfe Porträts schießen. Mit der Internet-Gesichtersuche, die Bund und viele Landespolizeien einführen wollen, ließen sich dann beispielsweise Arbeitsstelle, Vereinsmitgliedschaften oder Social-Media-Profile der abgebildeten Person aufstöbern.

„Dann landet man in einer Datenbank“

Tom, einer der Demonstrierenden, fürchtet, dass eine kommende AfD-Regierung die Bilder nutzen könnte, um Gegner*innen zu identifizieren. Weitere in Thüringen geplante Polizei-Befugnisse, so wie die automatisierte Verhaltenserkennung oder der Aufbau einer KI-basierten Megadatenbank, könnten ebenfalls zur Ausforschung der Strukturen politischer Bewegungen genutzt werden, meint Tom. „Dann landet man in einer Datenbank, weil man auf einer Demonstration war“, sagt er.

Tom ist mit seiner Angst vor einer kommenden High-Tech-Überwachung nicht allein bei diesem Anti-AfD-Protest. Das polizeigesetzkritische Bündnis „ThürPAG stoppen“ stellt einen ganzen Demoblock. David vom Bündnis, der ebenfalls im Rahmen der Proteste in Erfurt ist, sagt: „Die Möglichkeit, Personen anhand von Daten aus dem Internet zu identifizieren, ist extrem einschüchternd.“ Versammlungsfreiheit brauche Anonymität. Sonst könnten staatliche Stellen Profile davon erstellen, wer mit wem bei welchen Protesten dabei ist, sagt David.

Schwarz-Rot will die Informationsfreiheit beschneiden.

Wir kämpfen für Transparenz. Mit deiner Unterstützung.

Das Bündnis ThürPAG stoppen verschickte dazu ein Statement: „Viele der geplanten Maßnahmen sind Werkzeuge aus dem Repertoire autoritärer Überwachungsstaaten. Wenn sie dann auch noch in die Hände einer rechtsextremen Partei wie der AfD fallen, dann droht eine Gängelung und Verfolgung demokratisch und antifaschistisch gesinnter Menschen in Thüringen.“ ThürPAG stoppen hat auch eine Petition gegen die thüringische Polizeigesetznovelle aufgesetzt.

Blockade auf Straße.
Protestler*innen blockieren den gesamten Gothaer Platz. – Gemeinfrei: Denis Glismann

„Wehrt euch, leistet Widerstand“

Die Hoffnung, den Parteitag zu verhindern, hatte sich früh zerschlagen. Die AfD-Delegierten waren bereits in der Nacht angereist. Anfangs blockieren Protestierende dennoch die Zufahrtswege. Doch nach und nach ziehen immer mehr Gruppen als Demonstrationszüge durch die Stadt und finden dann auf dem Gothaer Platz zusammen. Die Menge singt: „Wehrt euch, leistet Widerstand, gegen den Faschismus hier im Land.“ Vor genau 100 Jahren hielt die NSDAP rund 25 Kilometer entfernt ihren ersten Parteitag nach der Neugründung ab.

Plötzlich ertönen Buhrufe aus der Menge, Protestierende und Polizist*innen rennen los. Etwa zehn Beamte bilden eine schützende Traube um vier Menschen in grauer Weste, ausgestattet mit Helmen, Kameras und Mikrofon. Auf den ersten Blick ein Presse-Team, tatsächlich scheinen es rechte YouTuber zu sein. Ein Sprecher der Kundgebung fordert über ein Megafon von der Polizei, die Nazi-Streamer zu entfernen. Die Menge drumherum skandiert „Nazis raus“ – und die Polizei eskortiert sie schließlich davon.

Die Demo zieht daraufhin am zentralen Platz Erfurts vorbei, dem Anger. Hier hängen seit vergangenem Jahr zehn Spezial-Kameras, die mit je mehreren Objektiven gleichzeitig ganze Straßenzüge hochauflösend und scharf erfassen können. Die Aufnahmen werden 14 Tage lang gespeichert.

Demo zieht durch Innenstadt.
Die Demo zog nach den Blockadeaktionen durch die Erfurter Innenstadt. – Gemeinfrei: Denis Glismann

Software soll erkennen, wer was tut

Geht es nach der Thüringer Minderheitsregierung aus CDU, BSW und SPD sollen die Kameras bald mit Verhaltenserkennungs-Software ausgerüstet werden und Bewegungsmuster automatisiert in „problematisch“ oder „egal“ einteilen. Als die Demo vorbeizieht, hängen Blenden vor den Objektiven – zum Schutz des Versammlungsrechts. Doch als am Morgen zahlreiche Aktivist*innen über diesen Platz anreisten, waren die Blenden noch nicht heruntergeklappt.

Marla ist eine der Demonstrationsteilnehmenden. Die junge Juristin treiben ebenfalls sowohl der Rechtsruck, als auch die drohende KI-Überwachung um. Sie muss auf ihrem Arbeitsweg beinah täglich am Anger umsteigen. „Ich habe da jedes Mal ein mulmiges Gefühl“, sagt sie. Marla fürchtet zudem, dass Thüringen bei der Erstellung einer Datenbank für die KI-Auswertung auf Software von Palantir zurückgreifen könnte. Die Milliardäre hinter dem Unternehmen seien für faschistische Einstellungen bekannt, ihr Produkt „aus demokratischer Perspektive inakzeptabel“.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Was die Polizei bereits kann

Die Thüringer Polizei hat auch ohne die neuen, geplanten, KI-Werkzeuge ein beeindruckendes Überwachungsarsenal, mit dem sie den Protest abbilden und analysieren kann. Sie besitzt beispielsweise mehrere Drohnen, mit denen sie regelmäßig auch Großveranstaltungen kontrolliert. Wie viele Drohnen genau ihr zur Verfügung stehen und was die alles können, hält sie geheim. Videoaufnahmen können wohl als Mindestqualifikation vorausgesetzt werden. Im September 2025 waren 85 Thüringer Polizist*innen dazu befähigt, die Flugobjekte zu steuern.

Die Thüringer Polizei kann zudem Mobiltelefone mit IMSI-Catchern orten und abhören. Sie kann sie mit Cellebrite knacken und hat wohl ebenfalls Zugriff auf Kennzeichenscanner. Und sie kann zudem Staatstrojaner und Funkzellenabfragen nutzen.

2021 hat die thüringische Polizei beispielsweise nach Sachbeschädigungen per Funkzellenabfrage 138.000 Datensätze zu rund 11.000 Mobilfunkrufnummern erfasst: Standorte, SMS, wer mit wem telefonierte. Benachrichtigt wurden die Betroffenen nicht.

Ein Stadtplatz mit einem Kameraturm.
Der dunkle Turm vom Anger. Wird das große Auge auch bei zukünftigen Versammlungen verdeckt sein? – Gemeinfrei: Denis Glismann

Jetzt wird zurückgestarrt

Das Bündnis ThürPAG stoppen benennt auch seine Sorge vor einem weiteren geplanten Polizei-Tool: der elektronischen Fußfessel. Die kann nach dem aktuellen Gesetzentwurf schon bei einer Gefahr für Anlagen mit „unmittelbarer Bedeutung für das Gemeinwesen“ eingesetzt werden. Die Polizei könnte demnach Menschen, die Straßenblockaden ankündigen, mit elektronischen Peilsendern fesseln.

Der Clown, der anfangs so humorvoll die brutalen Polizist*innen imitierte, ist nicht allein angereist. Er hat eine ganze Truppe von Demo-Clowns dabei. Eine seiner Kolleg*innen, sie trägt einen bunten Hut zur roten Nase, baut sich vor einem Polizisten auf, das geschminkte Gesicht nur einen halben Meter vom Polizeihelm entfernt. Die Clownin starrt in die Augen hinter dem Visier – immer länger und länger. Den ganzen Tag schaute der Staat auf die Zivilgesellschaft – aus dem Hubschrauber, dem Wasserwerfer, den Mast-Kameras. Hier starrt jemand demonstrativ zurück.





Source link

Datenschutz & Sicherheit

KW 27: Die Woche, in der wir Vertrauen vermisst haben


Die 27. Kalenderwoche geht zu Ende. Wir haben 12 neue Texte mit insgesamt 120.074 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

KW 27: Die Woche, in der wir Vertrauen vermisst haben
– : Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski

Liebe Leser:innen,

Kontrolle ist, so schreibt der Duden, „dauernde Überwachung“ oder auch „Herrschaft, Gewalt, die man über jemanden, sich, etwas hat“. Es gibt Bereiche, da ist Kontrolle gut. Bei der Trinkwasserqualität zum Beispiel, damit die Menschen im brandenburgischen Zehdenick rechtzeitig vor Gesundheitsgefahren gewarnt werden können. Oder bei Chemikalien in Kleidung, die wir besser nicht auf unserer Haut tragen sollten.

Wenn es um Menschen und nicht Trinkwasser oder Textilien geht, sollte statt der Kontrolle etwas anderes im Vordergrund stehen: Vertrauen. Vertrauen ist das Fundament einer Demokratie, ohne Vertrauen sind keine Selbstbestimmung und keine Freiheit möglich.

In seiner ersten Regierungserklärung aus dem Mai 2025 sprach auch Bundeskanzler Friedrich Merz viel von Vertrauen. Vertrauen, sagte er damals, sei „Teil eines neuen Grundverständnisses“ der Koalition. Davon ist nichts mehr übrig geblieben.

Verpflichtende Krankschreibungen ab dem ersten Tag, über diese Idee aus den „Reformplänen“ der Regierung haben sich viele zu Recht aufgeregt. Doch das Misstrauen der schwarz-roten Bundesführung gegenüber denjenigen, für die sie Politik gestalten soll, zeigt sich an noch viel mehr Stellen: Nächste Woche findet die erste Lesung des Überwachungspakets im Bundestag statt. Diese Woche haben wir einen Gesetzentwurf veröffentlicht, der zeigt, wie künftig das Netz gerastert werden soll, um mögliche Widersprüche zu Asyl- und Aufenthaltsanträgen zu finden. Und Berlin bekommt bald seinen ersten Verhaltensscanner, denn auch auf Länderebene ist der Trend zu einer Kontrollgesellschaft ungebrochen.

Für Unternehmen soll es dafür künftig weniger Kontrolle – oder in Regierungsworten: Bürokratie – geben. Berichtspflichten für die Konzerne sollen weitgehend wegfallen. Während Menschen, die auf Sozialleistungen angewiesen sind, Daten über ihr gesamtes Leben offenlegen und künftig damit rechnen müssen, dass ihre Daten noch freier ausgetauscht werden.

Da dachte ich: Wenn jemandem Unternehmen mehr am Herzen liegen als Menschen, dann ist dieser Mensch vielleicht als Konzern-Lobbyist besser aufgehoben als als Bundeskanzler.

Schwarz-Rot will die Informationsfreiheit beschneiden.

Wir kämpfen für Transparenz. Mit deiner Unterstützung.

Jetzt spenden

Es grüßt mit einem Ohrwurm,

anna


Breakpoint: Who’s your Big Brother?

Überwachung macht Spaß, wenn man es selbst tut. Mit dem Gefühl, Kontrolle über Andere zu haben, vermarkten Großkonzerne ihre neuen Überwachungssysteme für den privaten Gebrauch. Doch was der Sicherheit oder Unterhaltung Einzelner dienen soll, schadet der Sicherheit und Freiheit von uns allen. Von Carla Siepmann –
Artikel lesen

Bargeld-Verordnung: Wie die EU die Rolle des Bargelds stärken will

Mit der Einführung des Digitalen Euro versprechen die EU-Institutionen, auch das Bargeld zu stärken. Parlament und Mitgliedstaaten wollen etwa „No Cash“-Schilder wirkungslos machen. Damit reagieren sie auch auf Kritik von Bargeld-Befürworter:innen. Von Leonhard Pitz –
Artikel lesen

Cyber-Sklaverei in Scam-Fabriken: „Wer dem Tiger entkommt, trifft auf das Krokodil“

Kambodscha meldet, Hunderte von Scam-Fabriken geschlossen zu haben. Berichte von Amnesty International, der UN und Interpol widersprechen dieser Darstellung und zeigen, was tatsächlich mit den Zwangsarbeiter:innen geschieht. Von Denis Glismann –
Artikel lesen

Millionendeal mit Überwachungsfirma: Regierung in Österreich will Menschen mit illegalen Daten orten können

Das Werkzeug Webloc soll Menschen anhand ihrer Handy-Standorte ausspionieren können. Zu den bislang bekannten Kunden gehören die US-Abschiebemiliz ICE und die abgewählte Orbán-Regierung in Ungarn. Jetzt ist klar: Auch Österreich hat zugegriffen. Von Sebastian Meineck –
Artikel lesen

Gesetzentwurf zu KI bei Asyl- und Visumsverfahren: „Da sollten die Alarmglocken schrillen“

Das Innenministerium will Behörden erlauben, automatisierte Systeme mit Daten aus Asyl- und Aufenthaltsverfahren zu trainieren. Dabei geht es nicht nur um das BAMF oder Ausländerbehörden, sondern auch um die Polizei. Wir veröffentlichen den Gesetzentwurf. Von Anna Biselli –
Artikel lesen

Gefahren von Alterskontrollen: Die Expert*innen verheddern sich

Müssen Menschen im Netz künftig ihr Alter nachweisen oder nicht? Bei dieser Frage verstricken sich die vom Familienministerium einberufenen Expert*innen in Widersprüche. Der drohenden Massenüberwachung setzen sie wenig entgegen. Eine Analyse. Von Sebastian Meineck –
Artikel lesen

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Jetzt abonnieren

Informationsfreiheit: Schwarz-Rot plant Frontalangriff auf Journalismus und Transparenz

Die Spitzen von Union und SPD wollen die Informationsfreiheit massiv einschränken. Die Zivilgesellschaft zeigt sich entsetzt und spricht vom „schwersten Angriff auf staatliche Transparenz“. Von Daniel Leisegang, Markus Reuter –
Artikel lesen

Interne Dokumente: EU-Staaten wollen Chatkontrolle-Zombie zurückbringen

Die EU-Staaten wollen ein totes Gesetz zur freiwilligen Chatkontrolle zurückbringen. Im EU-Parlament regt sich Widerstand. Die Verhandlungen zur dauerhaften Chatkontrolle-Verordnung gehen in die Sommerpause. Wir veröffentlichen eingestufte Verhandlungsdokumente. Von Andre Meister –
Artikel lesen

Software zur Überwachung Berlins ausgewählt: Verhaltensscanner am Kotti startet noch im Sommer

Die Berliner Polizei hat sich für eine Verhaltensscanner-Software entschieden. Die automatisierte Überwachung des öffentlichen Raums soll noch in diesem Quartal am Kottbusser Tor starten. Später soll das System auch an weiteren hochfrequentierten Orten das Verhalten von Passant*innen analysieren. Von Martin Schwarzbeck –
Artikel lesen

Staatliche Transparenz: Angriff auf Informationsfreiheit sorgt weiter für heftige Kritik

Die Bundesdatenschutzbeauftragte hält die Pläne der Bundesregierung für „undemokratisch“, Journalisten warnen vor einem Vertrauensverlust. Sie verweisen zudem auf Machenschaften von Koalitionspolitikern, die nur dank des Informationsfreiheitsgesetzes ans Licht kamen. Von Markus Reuter –
Artikel lesen

Vereinte Nationen: „Wir können nicht mehr sagen, wir hätten von nichts gewusst“

Der KI-Expertenrat der UN hat den ersten globalen Wissenschaftsbericht zu Künstlicher Intelligenz vorgelegt. Er zeigt: Regulierung kann mit der rasanten Entwicklung von KI nicht Schritt halten. Von Rika Baack –
Artikel lesen

Frühere Staatstrojaner-Untersuchungen der EU: Ausschussmitglied mehrfach mit Pegasus-Software infiziert

Ein Mitglied des EU-Komitees zur Untersuchung von Staatstrojaner-Einsätzen in der EU wurde mehrfach selbst ausspioniert — während der Ermittlungen. Von Rika Baack –
Artikel lesen


Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.





Source link

Weiterlesen

Datenschutz & Sicherheit

Frühere Staatstrojaner-Untersuchungen der EU: Ausschussmitglied mehrfach mit Pegasus-Software infiziert



Frühere Staatstrojaner-Untersuchungen der EU: Ausschussmitglied mehrfach mit Pegasus-Software infiziert

Nicht mal einen irreführenden Link habe Stelios Kouloglou angeklickt. Dennoch wurde das Mitglied des EU-Sonderausschusses, das in den Jahren 2022 und 2023 den Einsatz kommerzieller Staatstrojaner-Software und mögliche Verstöße gegen EU-Recht untersuchte, selbst Opfer mehrerer Angriffe. Das kanadische Citizen Lab hat heute einen Bericht veröffentlicht, demzufolge auch geheime Dokumente und Besprechungen ausgespäht worden sein könnten.

Stelios Kouloglou ist investigativer Journalist und war zwischen 2015 und 2024 Mitglied des EU-Parlaments. Im Jahr 2022 wurde er stellvertretendes Mitglied des PEGA-Komitees der EU, das als Reaktion auf das Pegasus Project gegründet wurde: Dieses hatte offengelegt, dass Menschen aus dem Journalismus, Aktivismus und der Politik sowie andere Bürger:innen weltweit mit der Software Pegasus ins Visier genommen worden waren. Der Ausschuss sollte die europäische Dimension des Skandals untersuchen und Konsequenzen erarbeiten.

Während der Spionage-Ermittlung ausspioniert

Pegasus ist ein Staatstrojaner des israelischen Unternehmens NSO Group, mit der sich iOS- und Android-Geräte ausspähen lassen. Als Staatstrojaner gelten Programme, mit denen Ermittlungsbehörden heimlich in IT-Systeme eindringen und diese überwachen.

Dem Citizen Lab der Universität Toronto zufolge ist dies der erste Nachweis, dass ein Mitglied des PEGA-Ausschusses Ziel eines Angriffs geworden war. Angestoßen wurde die Analyse durch das Opfer selbst: Im Mai dieses Jahres wandte sich Kouloglou an das Citizen Lab, das eine forensische Analyse seines iPhones durchführte. Das Ergebnis: Sein Gerät wurde gleich zwei Mal, am 21. Oktober 2022 und am 6. und 7. März 2023 mit Pegasus infiziert. Der erste Angriff lag in einer „besonders intensiven“ Arbeitsphase des Komitees zu einem vorläufigen Bericht über Überwachungsfälle. Zum Zeitpunkt des zweiten Angriffs trug Kouloglou zu Diskussionen um den finalen Ausschussbericht bei.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Das Citizen Lab schreibt die Angriffe keinem konkreten Klienten der NSO Group zu. Die Analyse würde aber darauf hinweisen, dass dieselben Angreifenden hinter den Attacken auf sieben russische und belarussische Journalist:innen und Aktivist:innen stecken könnten. Die Infektionen lassen sich mit derselben Apple-ID verbinden. Auf Kouloglous Smartphone kamen offenbar Infektionen in Belgien und Griechenland vor: Die Angreifenden könnten also über eine NSO-Group-Lizenz verfügt haben, die mehrere europäische Länder einschloss.

Alle Arbeit umsonst?

Das Citizen Lab ruft dazu auf, dass frühere Mitglieder des PEGA-Ausschusses und ihre Mitarbeitenden ihre Geräte analysieren lassen sollten. Es liege an der EU und auch nationalen Parlamenten, Angriffe auf ihre Parlamentsmitglieder und parlamentarische Prozesse zu untersuchen.

Dass die Analyse politisches Gehör findet, ist unwahrscheinlich: Die Empfehlungen des Komitees stauben ein. Seitdem haben abermalige Untersuchungen den Einsatz weiterer Staatstrojaner aufgedeckt. In Deutschland wurde noch in diesem Jahr ein Gesetzentwurf diskutiert, der der Bundespolizei erlauben würde, Geräte mit Schadsoftware zu infiltrieren.



Source link

Weiterlesen

Datenschutz & Sicherheit

Kommentar: CISA-Übereifer macht CVSS-Scores wertlos


Wer als Admin für das Beseitigen von Sicherheitslücken zuständig ist – oder als Journalist über ebensolche berichten will, um Verantwortlichen die Arbeit zu erleichtern –, ist auf zuverlässige Informationsquellen angewiesen. Die müssen im allerersten Schritt beim Priorisieren helfen: Welche Updates sollten möglichst zeitnah durchgeführt werden, um Gefahren abzuwenden, und welche können warten?

Weiterlesen nach der Anzeige

Das Common Vulnerability Scoring System (CVSS) soll als De-facto-Standard diese erste Einschätzung erleichtern: Scores von 1.0 („low“) über „medium“ bis hin zum Maximum von 10.0 („critical“) bewerten den Schweregrad. Das klingt wunderbar einfach – doch in der Praxis klaffen die Einschätzungen je nach Quelle oft weit auseinander.

Ursprünglich sollte der Titel dieses Beitrags in etwa so lauten: „Jetzt aktualisieren: Wichtige Sicherheitsupdates für Tomcat und ActiveMQ verfügbar“.

Die Headline eines typischen heise-security-Alerts also, basierend auf einer Warnmeldung des CERT-Bund mit Verweis auf Einträge in der GitHub Advisory Database. Ein Alert deshalb, weil sich unter den gesammelten Sicherheitshinweisen auch zwei als kritisch gekennzeichnete Sicherheitslücken in Apache Tomcat befanden: CVE-2026-53434 und CVE-2026-55276.

Was auf den ersten Blick eindeutig meldenswert schien, verwirrte auf den zweiten. Denn in den Diskussionsbeiträgen auf der Apache-Mailingliste zu CVE-2026-53434 beziehungsweise CVE-2026-55276 schätzt ein Entwickler aus dem Apache-Team die Bedrohung in beiden Fällen als niedrig („low“) ein.

Die Beschreibungen sind jeweils eher knapp. Deutlich wird: CVE-2026-53434 ist nur unter sehr eng gesteckten Bedingungen ausnutzbar, nämlich wenn Admins den sogenannten FFM-Konnektor in Verbindung mit Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) konfiguriert haben. CVE-2026-55276 wiederum ist ein eher vage beschriebener Autorisierungsbug, zu dem ein separates Red-Hat-Advisory anmerkt: „This is a logging-only issue with no runtime security impact[…]“.

Weiterlesen nach der Anzeige

Wie kommen nun die in der National Vulnerability Database (NVD) hinterlegten Scores von 9.1 für CVE-2026-55276 beziehungsweise CVE-2026-53434 zustande?

Ein Blick in die NVD-Einträge mit dem Vermerk „CISA-ADP“ offenbart ein Eingreifen der US-Cybersicherheitsbehörde CISA in den Scoring-Prozess. Die hat seit 2024 die Erlaubnis, in ihrer Rolle als Authorized Data Publisher (ADP) Einträge in der CVE-Datenbank eigenmächtig zu vervollständigen. Zwar nur innerhalb eines vordefinierten Daten-Containers, dafür aber ohne Rücksprache mit den CNAs (CVE Numbering Authorities), die die Einträge angelegt haben. Haben diese keinen CVSS-Punktwert hinterlegt, kann die CISA im Rahmen ihres sogenannten Vulnrichment-Prozesses „nachbessern“.

Entwickler haben diese Praxis in der Vergangenheit immer wieder kritisiert. So äußerte etwa Daniel Stenberg, Erfinder und Hauptentwickler des Open Source-Kommandozeilentools cURL, dass der Prozess des CVSS-Scorings schon per se ein hohes Risiko für Fehleinschätzungen berge. Diese Gefahr werde durch eigene Punkteberechnungen autorisierter Instanzen wie der CISA noch verschärft.

Schon die Kritik am CVSS-System selbst reicht von der intransparenten Herleitung von Formeln über die Komplexität im Hinblick auf diverse Zusatzmetriken bis hin zu den Eigeninteressen der jeweils bewertenden Personen, die den Score in eine für sie günstige Richtung von Hype bis Verharmlosung verschieben können.

Wenn dann auch noch eine ADP mit fast zufällig wirkenden Scores dazwischenfunkt, wird aus einer grundsätzlich guten Idee eine reine Zeitverschwendung. Und schlimmstenfalls eine Gefahrenquelle für Admins, die Patches irrtümlich hinten anstellen, weil sie sich zu sehr auf einen Score verlassen haben, statt diesen kritisch zu hinterfragen.

Zurück zu Tomcat und ActiveMQ: Die Updates sollten Sie natürlich trotzdem einspielen. Aber in Ruhe und vielleicht sogar beim Hören des Passwort-Podcasts von heise security, dessen aktuelle Folge sich um Sinn und Unsinn von CVSS und anderen Klassifikationssystemen dreht.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.


(ovw)



Source link

Weiterlesen

Beliebt