Datenschutz & Sicherheit
Coolify: Kritische Lücken können Remote-Angriffe ermöglichen
Im GitHub-Repository von Coolify, einer Open-Source-Plattform fürs Self-Hosting, stehen zahlreiche frisch veröffentlichte Sicherheitshinweise bereit.
Weiterlesen nach der Anzeige
Fünf der darin beschriebenen Lücken wurden als kritisch eingestuft. Angreifer mit geringen Zugriffsprivilegien könnten sie unter ganz bestimmten Voraussetzungen (spezifische Zugriffsrechte / Team-Mitgliedschaft) missbrauchen, um aus der Ferne schädlichen Code auszuführen (Remote Code Execution), unbefugt auf Ressourcen zuzugreifen oder Daten zu exfiltrieren.
Insbesondere vor dem Hintergrund, dass die Advisories detaillierte Lückenbeschreibungen und Proofs-of-Concept enthalten, sollten Admins möglichst zeitnah einen Blick auf die Übersicht werfen und, sofern notwendig beziehungsweise noch nicht geschehen, die verfügbaren Aktualisierungen vornehmen. Über Angriffe in freier Wildbahn ist bislang nichts bekannt.
Kritische Lücken im Überblick
Als kritisch bewertet wurden die folgenden Sicherheitslücken, deren zugehörige Advisories wir jeweils verlinkt haben:
- CVE-2026-34038: Potenzielle Remote Code Execution und Datenexfiltration durch einen authentifizierten Angreifer mit bestimmten Lese- und Schreibrechten. Betroffene Versionen: <= 4.0.0-beta.462; gepatcht in: >= 4.0.0-beta.469
- CVE-2026-34047: Unbefugte Befehlsausführung durch authentifizierte Team-Mitglieder möglich; Erlangen von Root-Rechten im Rahmen einer Exploit-Chain. Betroffene Versionen: <= 4.0.0-beta.470; gepatcht in: 4.0.0-beta.471
- CVE-2026-57498: Unerlaubter Ressourcenzugriff aufgrund mangelhafter Validierungsmechanismen. Betroffene Versionen: < 4.0.0-beta.474; gepatcht in: 4.0.0-beta.474
- CVE-2026-34037: Unbefugte Aktionen (u. a. Verschieben/Klonen von Ressourcen) durch Team-Mitglieder. Betroffene Versionen: < 4.0.0-beta.464; gepatcht in: 4.0.0-beta.464
- CVE-2026-34048: Befehlsausführung mit Rootrechten durch Team-Mitglieder auf Team-Servern mit aktiviertem Terminal-Zugriff. Betroffene Versionen: <= 4.0.0-beta.470; gepatcht in: 4.0.0-beta.471
Die Schweregrade der übrigen Sicherheitslücken aus der Advisory-Übersicht reichen von „low“ bis „high“. Angesichts der sehr unterschiedlichen Angaben zu betroffenen und abgesicherten Versionen dürfte es ratsam sein, im Zweifel auf die aktuellste verfügbare Version aus der Release-Übersicht umzusteigen.
(ovw)
Datenschutz & Sicherheit
Dell dichtet PowerProtect Data Domain gegen gefährliche Angriffsszenarien ab
Die Zuverlässigkeit von Dells Backup-Appliance PowerProtect Data Domain beim Schutz wichtiger Daten wird durch teils kritische Sicherheitslücken sabotiert. Der Hersteller hat abgesicherte Versionen des Betriebssystems DD OS bereitgestellt, die die Angriffsmöglichkeiten beseitigen sollen.
Weiterlesen nach der Anzeige
Die Gesamtauswirkungen der behobenen Sicherheitsprobleme bewertet Dell in einer Warnmeldung als „kritisch“. Wer die Updates noch nicht eingespielt hat, sollte dies so zeitnah wie möglich nachholen.
Remote-Angriffe ohne Authentifizierung
Geschlossene Sicherheitslücken stecken sowohl in zahlreichen Drittanbieter-Komponenten als auch in Dells eigenem Code.
Aus der Übersicht über letztere Lücken sind insbesondere zwei mit „Critical“-Einstufung (CVSS-Score 9.8) zu erwähnen. CVE-2026-53483 fußt auf mangelhaften Authentifizierungsmechanismen, die von Remote-Angreifern missbraucht werden könnten, um die vollständige Kontrolle über das System zu übernehmen. Initiale Zugriffrechte benötigen diese für den Vorgang nicht.
CVE-2026-53481 wiederum kann als Wegbereiter für einen sogenannten Path-Traversal-Angriff dienen – auch dies aus der Ferne und ohne jegliche Authentifizierung. Auch hier wäre schlimmstenfalls eine komplette Systemübernahme denkbar.
Welche Versionen von DD OS jeweils verwundbar und welche abgesichert sind, ist der Warnmeldung zu entnehmen. Sie enthält auch die zum Aktualisieren benötigten Download-Links und eine Upgrade-Anleitung.
(ovw)
Datenschutz & Sicherheit
AfD-Parteitag in Erfurt: Die Angst vor dem faschistischen Überwachungsstaat
Erfurt am vergangenen Samstag: Eine Polizeikolonne bahnt sich ihren Weg durch eine Menge aus Menschen in gelben Westen. Wer im Weg steht, wird zur Seite geschubst. Protestierende kommen zu Fall. Einige skandieren: „Wir sind friedlich, was seid ihr?“ Dann plötzlich Gelächter: Der Letzte in der Kolonne ist ein Clown mit wütender Mimik, der den martialischen Stil der Polizist*innen imitiert.
Der Clown und die Menschen in den gelben Westen wollen den Bundes-Parteitag der AfD verhindern. Je nach Quelle sind dafür zwischen 31.000 und 50.000 Menschen angereist. Mehrere tausend Polizist*innen sollen sie davon abhalten. Thüringen ist eine AfD-Hochburg, die Partei ist hier mit Abstand stärkste Kraft.
Der Protest steht auf mehreren Ebenen im polizeilichen Fokus. Kameras auf Stäben, die Polizisten halten. Kameras auf den Wasserwerfern und unter dem Hubschrauber, der über dem Geschehen kreist. Vor allem mit der Kamera aus der Luft kann die Polizei aus großer Höhe und Distanz scharfe Porträts schießen. Mit der Internet-Gesichtersuche, die Bund und viele Landespolizeien einführen wollen, ließen sich dann beispielsweise Arbeitsstelle, Vereinsmitgliedschaften oder Social-Media-Profile der abgebildeten Person aufstöbern.
„Dann landet man in einer Datenbank“
Tom, einer der Demonstrierenden, fürchtet, dass eine kommende AfD-Regierung die Bilder nutzen könnte, um Gegner*innen zu identifizieren. Weitere in Thüringen geplante Polizei-Befugnisse, so wie die automatisierte Verhaltenserkennung oder der Aufbau einer KI-basierten Megadatenbank, könnten ebenfalls zur Ausforschung der Strukturen politischer Bewegungen genutzt werden, meint Tom. „Dann landet man in einer Datenbank, weil man auf einer Demonstration war“, sagt er.
Tom ist mit seiner Angst vor einer kommenden High-Tech-Überwachung nicht allein bei diesem Anti-AfD-Protest. Das polizeigesetzkritische Bündnis „ThürPAG stoppen“ stellt einen ganzen Demoblock. David vom Bündnis, der ebenfalls im Rahmen der Proteste in Erfurt ist, sagt: „Die Möglichkeit, Personen anhand von Daten aus dem Internet zu identifizieren, ist extrem einschüchternd.“ Versammlungsfreiheit brauche Anonymität. Sonst könnten staatliche Stellen Profile davon erstellen, wer mit wem bei welchen Protesten dabei ist, sagt David.
Schwarz-Rot will die Informationsfreiheit beschneiden.
Wir kämpfen für Transparenz. Mit deiner Unterstützung.
Das Bündnis ThürPAG stoppen verschickte dazu ein Statement: „Viele der geplanten Maßnahmen sind Werkzeuge aus dem Repertoire autoritärer Überwachungsstaaten. Wenn sie dann auch noch in die Hände einer rechtsextremen Partei wie der AfD fallen, dann droht eine Gängelung und Verfolgung demokratisch und antifaschistisch gesinnter Menschen in Thüringen.“ ThürPAG stoppen hat auch eine Petition gegen die thüringische Polizeigesetznovelle aufgesetzt.

„Wehrt euch, leistet Widerstand“
Die Hoffnung, den Parteitag zu verhindern, hatte sich früh zerschlagen. Die AfD-Delegierten waren bereits in der Nacht angereist. Anfangs blockieren Protestierende dennoch die Zufahrtswege. Doch nach und nach ziehen immer mehr Gruppen als Demonstrationszüge durch die Stadt und finden dann auf dem Gothaer Platz zusammen. Die Menge singt: „Wehrt euch, leistet Widerstand, gegen den Faschismus hier im Land.“ Vor genau 100 Jahren hielt die NSDAP rund 25 Kilometer entfernt ihren ersten Parteitag nach der Neugründung ab.
Plötzlich ertönen Buhrufe aus der Menge, Protestierende und Polizist*innen rennen los. Etwa zehn Beamte bilden eine schützende Traube um vier Menschen in grauer Weste, ausgestattet mit Helmen, Kameras und Mikrofon. Auf den ersten Blick ein Presse-Team, tatsächlich scheinen es rechte YouTuber zu sein. Ein Sprecher der Kundgebung fordert über ein Megafon von der Polizei, die Nazi-Streamer zu entfernen. Die Menge drumherum skandiert „Nazis raus“ – und die Polizei eskortiert sie schließlich davon.
Die Demo zieht daraufhin am zentralen Platz Erfurts vorbei, dem Anger. Hier hängen seit vergangenem Jahr zehn Spezial-Kameras, die mit je mehreren Objektiven gleichzeitig ganze Straßenzüge hochauflösend und scharf erfassen können. Die Aufnahmen werden 14 Tage lang gespeichert.

Software soll erkennen, wer was tut
Geht es nach der Thüringer Minderheitsregierung aus CDU, BSW und SPD sollen die Kameras bald mit Verhaltenserkennungs-Software ausgerüstet werden und Bewegungsmuster automatisiert in „problematisch“ oder „egal“ einteilen. Als die Demo vorbeizieht, hängen Blenden vor den Objektiven – zum Schutz des Versammlungsrechts. Doch als am Morgen zahlreiche Aktivist*innen über diesen Platz anreisten, waren die Blenden noch nicht heruntergeklappt.
Marla ist eine der Demonstrationsteilnehmenden. Die junge Juristin treiben ebenfalls sowohl der Rechtsruck, als auch die drohende KI-Überwachung um. Sie muss auf ihrem Arbeitsweg beinah täglich am Anger umsteigen. „Ich habe da jedes Mal ein mulmiges Gefühl“, sagt sie. Marla fürchtet zudem, dass Thüringen bei der Erstellung einer Datenbank für die KI-Auswertung auf Software von Palantir zurückgreifen könnte. Die Milliardäre hinter dem Unternehmen seien für faschistische Einstellungen bekannt, ihr Produkt „aus demokratischer Perspektive inakzeptabel“.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Was die Polizei bereits kann
Die Thüringer Polizei hat auch ohne die neuen, geplanten, KI-Werkzeuge ein beeindruckendes Überwachungsarsenal, mit dem sie den Protest abbilden und analysieren kann. Sie besitzt beispielsweise mehrere Drohnen, mit denen sie regelmäßig auch Großveranstaltungen kontrolliert. Wie viele Drohnen genau ihr zur Verfügung stehen und was die alles können, hält sie geheim. Videoaufnahmen können wohl als Mindestqualifikation vorausgesetzt werden. Im September 2025 waren 85 Thüringer Polizist*innen dazu befähigt, die Flugobjekte zu steuern.
Die Thüringer Polizei kann zudem Mobiltelefone mit IMSI-Catchern orten und abhören. Sie kann sie mit Cellebrite knacken und hat wohl ebenfalls Zugriff auf Kennzeichenscanner. Und sie kann zudem Staatstrojaner und Funkzellenabfragen nutzen.
2021 hat die thüringische Polizei beispielsweise nach Sachbeschädigungen per Funkzellenabfrage 138.000 Datensätze zu rund 11.000 Mobilfunkrufnummern erfasst: Standorte, SMS, wer mit wem telefonierte. Benachrichtigt wurden die Betroffenen nicht.

Jetzt wird zurückgestarrt
Das Bündnis ThürPAG stoppen benennt auch seine Sorge vor einem weiteren geplanten Polizei-Tool: der elektronischen Fußfessel. Die kann nach dem aktuellen Gesetzentwurf schon bei einer Gefahr für Anlagen mit „unmittelbarer Bedeutung für das Gemeinwesen“ eingesetzt werden. Die Polizei könnte demnach Menschen, die Straßenblockaden ankündigen, mit elektronischen Peilsendern fesseln.
Der Clown, der anfangs so humorvoll die brutalen Polizist*innen imitierte, ist nicht allein angereist. Er hat eine ganze Truppe von Demo-Clowns dabei. Eine seiner Kolleg*innen, sie trägt einen bunten Hut zur roten Nase, baut sich vor einem Polizisten auf, das geschminkte Gesicht nur einen halben Meter vom Polizeihelm entfernt. Die Clownin starrt in die Augen hinter dem Visier – immer länger und länger. Den ganzen Tag schaute der Staat auf die Zivilgesellschaft – aus dem Hubschrauber, dem Wasserwerfer, den Mast-Kameras. Hier starrt jemand demonstrativ zurück.
Datenschutz & Sicherheit
KW 27: Die Woche, in der wir Vertrauen vermisst haben
Die 27. Kalenderwoche geht zu Ende. Wir haben 12 neue Texte mit insgesamt 120.074 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser:innen,
Kontrolle ist, so schreibt der Duden, „dauernde Überwachung“ oder auch „Herrschaft, Gewalt, die man über jemanden, sich, etwas hat“. Es gibt Bereiche, da ist Kontrolle gut. Bei der Trinkwasserqualität zum Beispiel, damit die Menschen im brandenburgischen Zehdenick rechtzeitig vor Gesundheitsgefahren gewarnt werden können. Oder bei Chemikalien in Kleidung, die wir besser nicht auf unserer Haut tragen sollten.
Wenn es um Menschen und nicht Trinkwasser oder Textilien geht, sollte statt der Kontrolle etwas anderes im Vordergrund stehen: Vertrauen. Vertrauen ist das Fundament einer Demokratie, ohne Vertrauen sind keine Selbstbestimmung und keine Freiheit möglich.
In seiner ersten Regierungserklärung aus dem Mai 2025 sprach auch Bundeskanzler Friedrich Merz viel von Vertrauen. Vertrauen, sagte er damals, sei „Teil eines neuen Grundverständnisses“ der Koalition. Davon ist nichts mehr übrig geblieben.
Verpflichtende Krankschreibungen ab dem ersten Tag, über diese Idee aus den „Reformplänen“ der Regierung haben sich viele zu Recht aufgeregt. Doch das Misstrauen der schwarz-roten Bundesführung gegenüber denjenigen, für die sie Politik gestalten soll, zeigt sich an noch viel mehr Stellen: Nächste Woche findet die erste Lesung des Überwachungspakets im Bundestag statt. Diese Woche haben wir einen Gesetzentwurf veröffentlicht, der zeigt, wie künftig das Netz gerastert werden soll, um mögliche Widersprüche zu Asyl- und Aufenthaltsanträgen zu finden. Und Berlin bekommt bald seinen ersten Verhaltensscanner, denn auch auf Länderebene ist der Trend zu einer Kontrollgesellschaft ungebrochen.
Für Unternehmen soll es dafür künftig weniger Kontrolle – oder in Regierungsworten: Bürokratie – geben. Berichtspflichten für die Konzerne sollen weitgehend wegfallen. Während Menschen, die auf Sozialleistungen angewiesen sind, Daten über ihr gesamtes Leben offenlegen und künftig damit rechnen müssen, dass ihre Daten noch freier ausgetauscht werden.
Da dachte ich: Wenn jemandem Unternehmen mehr am Herzen liegen als Menschen, dann ist dieser Mensch vielleicht als Konzern-Lobbyist besser aufgehoben als als Bundeskanzler.
Schwarz-Rot will die Informationsfreiheit beschneiden.
Wir kämpfen für Transparenz. Mit deiner Unterstützung.
Es grüßt mit einem Ohrwurm,
anna
Breakpoint: Who’s your Big Brother?
Überwachung macht Spaß, wenn man es selbst tut. Mit dem Gefühl, Kontrolle über Andere zu haben, vermarkten Großkonzerne ihre neuen Überwachungssysteme für den privaten Gebrauch. Doch was der Sicherheit oder Unterhaltung Einzelner dienen soll, schadet der Sicherheit und Freiheit von uns allen. Von Carla Siepmann –
Artikel lesen
Bargeld-Verordnung: Wie die EU die Rolle des Bargelds stärken will
Mit der Einführung des Digitalen Euro versprechen die EU-Institutionen, auch das Bargeld zu stärken. Parlament und Mitgliedstaaten wollen etwa „No Cash“-Schilder wirkungslos machen. Damit reagieren sie auch auf Kritik von Bargeld-Befürworter:innen. Von Leonhard Pitz –
Artikel lesen
Cyber-Sklaverei in Scam-Fabriken: „Wer dem Tiger entkommt, trifft auf das Krokodil“
Kambodscha meldet, Hunderte von Scam-Fabriken geschlossen zu haben. Berichte von Amnesty International, der UN und Interpol widersprechen dieser Darstellung und zeigen, was tatsächlich mit den Zwangsarbeiter:innen geschieht. Von Denis Glismann –
Artikel lesen
Millionendeal mit Überwachungsfirma: Regierung in Österreich will Menschen mit illegalen Daten orten können
Das Werkzeug Webloc soll Menschen anhand ihrer Handy-Standorte ausspionieren können. Zu den bislang bekannten Kunden gehören die US-Abschiebemiliz ICE und die abgewählte Orbán-Regierung in Ungarn. Jetzt ist klar: Auch Österreich hat zugegriffen. Von Sebastian Meineck –
Artikel lesen
Gesetzentwurf zu KI bei Asyl- und Visumsverfahren: „Da sollten die Alarmglocken schrillen“
Das Innenministerium will Behörden erlauben, automatisierte Systeme mit Daten aus Asyl- und Aufenthaltsverfahren zu trainieren. Dabei geht es nicht nur um das BAMF oder Ausländerbehörden, sondern auch um die Polizei. Wir veröffentlichen den Gesetzentwurf. Von Anna Biselli –
Artikel lesen
Gefahren von Alterskontrollen: Die Expert*innen verheddern sich
Müssen Menschen im Netz künftig ihr Alter nachweisen oder nicht? Bei dieser Frage verstricken sich die vom Familienministerium einberufenen Expert*innen in Widersprüche. Der drohenden Massenüberwachung setzen sie wenig entgegen. Eine Analyse. Von Sebastian Meineck –
Artikel lesen
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Informationsfreiheit: Schwarz-Rot plant Frontalangriff auf Journalismus und Transparenz
Die Spitzen von Union und SPD wollen die Informationsfreiheit massiv einschränken. Die Zivilgesellschaft zeigt sich entsetzt und spricht vom „schwersten Angriff auf staatliche Transparenz“. Von Daniel Leisegang, Markus Reuter –
Artikel lesen
Interne Dokumente: EU-Staaten wollen Chatkontrolle-Zombie zurückbringen
Die EU-Staaten wollen ein totes Gesetz zur freiwilligen Chatkontrolle zurückbringen. Im EU-Parlament regt sich Widerstand. Die Verhandlungen zur dauerhaften Chatkontrolle-Verordnung gehen in die Sommerpause. Wir veröffentlichen eingestufte Verhandlungsdokumente. Von Andre Meister –
Artikel lesen
Software zur Überwachung Berlins ausgewählt: Verhaltensscanner am Kotti startet noch im Sommer
Die Berliner Polizei hat sich für eine Verhaltensscanner-Software entschieden. Die automatisierte Überwachung des öffentlichen Raums soll noch in diesem Quartal am Kottbusser Tor starten. Später soll das System auch an weiteren hochfrequentierten Orten das Verhalten von Passant*innen analysieren. Von Martin Schwarzbeck –
Artikel lesen
Staatliche Transparenz: Angriff auf Informationsfreiheit sorgt weiter für heftige Kritik
Die Bundesdatenschutzbeauftragte hält die Pläne der Bundesregierung für „undemokratisch“, Journalisten warnen vor einem Vertrauensverlust. Sie verweisen zudem auf Machenschaften von Koalitionspolitikern, die nur dank des Informationsfreiheitsgesetzes ans Licht kamen. Von Markus Reuter –
Artikel lesen
Vereinte Nationen: „Wir können nicht mehr sagen, wir hätten von nichts gewusst“
Der KI-Expertenrat der UN hat den ersten globalen Wissenschaftsbericht zu Künstlicher Intelligenz vorgelegt. Er zeigt: Regulierung kann mit der rasanten Entwicklung von KI nicht Schritt halten. Von Rika Baack –
Artikel lesen
Frühere Staatstrojaner-Untersuchungen der EU: Ausschussmitglied mehrfach mit Pegasus-Software infiziert
Ein Mitglied des EU-Komitees zur Untersuchung von Staatstrojaner-Einsätzen in der EU wurde mehrfach selbst ausspioniert — während der Ermittlungen. Von Rika Baack –
Artikel lesen
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Künstliche Intelligenzvor 3 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Apps & Mobile Entwicklungvor 2 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Künstliche Intelligenzvor 2 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
-
Entwicklung & Codevor 2 MonatenKommentar: Das Ende der SaaS-Gelddruckmaschine
