Connect with us

Datenschutz & Sicherheit

Videoüberwachung in Berlin: Adesso SE baut Verhaltensscanner für die Polizei


Der Anbieter, der Berlin mit KI-gestützter Videoüberwachung aufrüsten wird, heißt Adesso SE. Das gab die Polizei Berlin gegenüber netzpolitik.org bekannt. Adesso SE ist eine international agierende IT-Holding mit Hauptsitz in Dortmund. In den deutschen Städten, in denen die Polizei bereits Verhaltensscanner betreibt, in Mannheim und Hamburg, hat sie das Fraunhofer IOSB entwickelt. Das ist ein Teil der Fraunhofer Gesellschaft, eines gemeinnützigen Vereins.

Mit Adesso SE baut nun erstmals ein privatwirtschaftliches Unternehmen eine derartige Infrastruktur für den Produktivbetrieb in den öffentlichen Raum. Laut des Ende 2025 verabschiedeten Berliner Polizeigesetzes darf auch kommerzielle Überwachungstechnologie mit den personenbezogenen Daten von Berliner*innen trainiert werden.

Schon am 1. Juni berichtete Oliver Türpe von der Berliner Polizei im Innenausschuss des Abgeordnetenhauses, dass der Zuschlag für die Errichtung von Videoüberwachung mit automatisierter Verhaltenskontrolle an sogenannten kriminalitätsbelasteten Orten in Berlin an die Adesso SE ging. Laut Ausschreibung stehen dafür vier Millionen Euro zur Verfügung. Gegenüber netzpolitik.org wollte die Polizei den Hersteller zunächst nicht nennen, bestätigte auf Nachfrage den Zuschlag für Adesso SE nun aber doch.

Adesso fungiert als Generalunternehmer

Adesso SE darf zur Erfüllung des Auftrages auch Hard- und Software anderer Hersteller einkaufen, so lange diese in Europa ansässig sind. Das Unternehmen hat dieses Jahr seinen Firmenhauptsitz in Dortmund mit einer KI-gestützten Überwachungslösung ausgerüstet. Dabei arbeitet Adesso SE mit dem Video-KI-Unternehmen Staige zusammen, an dem Adesso SE Anteile hält.

Die Videoüberwachung am Firmensitz beschreibt das Unternehmen so: „Die integrierte KI analysiert die Videodaten in Echtzeit, erkennt Bewegungsmuster automatisch und erstellt fortlaufend ein vollständiges Lagebild […] Erkennt die KI im Livestream Auffälligkeiten entlang der vorab definierten Regeln, informiert sie das Sicherheitspersonal.“ Das klingt ziemlich genau wie das, was Berlin will.

Das ausführende Video-KI-Unternehmen Staige hat sich unter anderem auf Sicherheitslösungen für Nahverkehr und öffentlichen Raum spezialisiert. Über 1.400 dieser Systeme habe man bereits installiert. Die Software detektiert beispielsweise Schläge, Tritte und andere Bewegungen, die auf einen Kampf hindeuten – so wie es in Berlin gefordert ist. Sie kann aber angeblich auch Menschenströme tracken und Personen über mehrere Kameras hinweg verfolgen.

Adesso SE, die Holding hinter Staige, ist für einen beeindruckenden Sicherheitsvorfall bekannt. Von Mitte 2022 bis Anfang 2023 waren Angreifer*innen im IT-System des Unternehmens unterwegs. Sie installierten manipulierte Komponenten und hatten so weitreichenden Zugriff.



Source link

Datenschutz & Sicherheit

SAP-Patchday: Teils kritische Sicherheitslücken in mehreren Produkten gefixt


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Die Entwickler von SAP haben zum Patchday im Juli 16 neue Sicherheitsnotizen veröffentlicht. Davon behandeln drei als kritisches Risiko eingestufte Schwachstellen in mehreren Produkten.

Weiterlesen nach der Anzeige

In der Patchday-Übersicht listet SAP die einzelnen Meldungen säuberlich auf. Kurz vor Höchstwertung landet ein möglicher Speicherzugriffsfehler aufgrund von Logikfehlern in der Speicherverwaltung von SAP NetWeaver Application Server ABAP, durch den angemeldete Angreifer unbefugt auf Daten zugreifen und diese etwa verändern oder gar einen Denial-of-Service provozieren können (CVE-2026-44747, CVSS 9.9, Risiko „kritisch“). In SAP Approuter können hingegen bösartige Akteure HTTP-Anfragen einschleusen, durch die nicht authentifizierte Angreifer die Synchronisation von Anfragen und Antworten aus dem Tritt bringen können. Das führt zur Offenlegung von User-Antworten oder zum Lahmlegen des Systems (CVE-2026-27690, CVSS 9.1, Risiko „kritisch“). Ein voreingestelltes und öffentlich dokumentiertes Beispiel-Konto für den OAuth2-Client gefährdet zudem die Sicherheit der SAP Commerce Cloud. Angreifer können sich damit anmelden und Daten lesen und manipulieren, erklärt SAP (CVE-2026-44761, CVSS 9.1, Risiko „kritisch“).

Die Apache-Camel-Komponente der SAP Integration Suite reißt mehrere Sicherheitslücken auf (CVE-2026-40453, CVE-2026-33454; bis CVSS 8.8, Risiko „hoch“). Außerdem hat der SAProuter unter Windows eine DLL-Hijacking-Schwachstelle (CVE-2026-0487, CVSS 8.4, Risiko „hoch“). In SAP NetWeaver Application Server Java(Configuration Wizard) klafft eine Cross-Site-Scripting-Lücke (CVE-2026-44752, CVSS 8.2, Risiko „hoch“), zudem agiert der SAP Approuter unter Umständen als Open Redirect (CVE-2026-44745, CVSS 8.1, Risiko „hoch“). Der Apache-Tomcat-Server der SAP Commerce Cloud reißt ebenfalls mehrere Lücken auf (CVE-2026-43512, CVE-2026-41293, CVE-2026-43515; bis CVSS 8.1, Risiko „hoch“). Das SAP Change and Transport System Attach Tool (ctsattach) enthält zudem eine Codeschmuggel-Lücke (CVE-2026-58233, CVSS 7.6, Risiko „hoch“).

Sicherheitslücken mit mittlerem Bedrohungsgrad betreffen SAP NetWeaver Enterprise Portal, ui5/webcomponents-base, SAP S/4HANA Project Management (PPM-PRO), SAP NetWeaver Application Server ABAP (applications based on Business Server Pages), SAP S/4HANA (Draft operation), S/4 HANA (Create Single Payment) sowie SAP CRM (WebClient UI). In SAP HANA Extended Application Services classic model (User Self Service) haben die Programmierer zudem eine als „niedriges“ Risiko eingestufte Lücke geschlossen.

IT-Verantwortliche sollten die bereitstehenden Updates zügig anwenden, um die Angriffsfläche in ihren Netzen zu minimieren. Der SAP-Patchday im Juni hatte einen ähnlichen Umfang. Dort hatten die Programmierer 15 Sicherheitslücken ausgebessert, wovon ebenfalls drei als kritisch eingestuft wurden.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Mit „IT-Notfallkarte“ und Co.: BSI hilft Arztpraxen bei IT-Sicherheit


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Arztpraxen sollen die Vorgaben der neuen IT-Sicherheitsrichtlinie leichter umsetzen können. Dafür hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Materialien veröffentlicht. Sie sollen den Einrichtungen helfen, die Vorgaben der IT-Sicherheitsrichtlinie im Praxisalltag umzusetzen.

Weiterlesen nach der Anzeige

Das Angebot des BSI umfasst unter anderem einen Selbsttest, einen Kurzleitfaden sowie eine IT-Notfallkarte für den Ernstfall. Die Materialien richten sich vor allem an kleinere Praxen, die häufig keine eigene IT-Abteilung haben.

„Der Satz ‚Unsere Praxis ist zu klein, um Ziel von Hackern zu werden‘ ist leider ein gefährlicher Irrtum. Gerade haus- und allgemeinärztliche Praxen arbeiten mit hochsensiblen Gesundheitsdaten und sind deshalb attraktive Ziele. Umso wichtiger ist es, Mitarbeitende für typische Angriffsmuster zu sensibilisieren und IT-Sicherheit fest im Praxisalltag zu verankern“, sagt Pascal Jeschke aus dem Referat für Gesundheits- und Finanzwesen des BSI. Erfolgreiche Ransomware-Angriffe, unbefugte Zugriffe und Datenverluste könnten den Praxisbetrieb „erheblich stören oder zum Stillstand bringen“, warnt das BSI.

Die zusammen mit der Kassenärztlichen Bundesvereinigung (KBV) und der Kassenzahnärztlichen Bundesvereinigung (KZBV) überarbeitete IT-Sicherheitsrichtlinie schreibt unter anderem organisatorische Maßnahmen, regelmäßige Schulungen der Beschäftigten sowie technische Mindeststandards vor. Dazu gehören ein geregeltes Patch-Management, regelmäßige Datensicherungen, der Schutz von Endgeräten und Netzwerken sowie Vorgaben für den Einsatz von Cloud-Diensten.

Die neuen Materialien greifen Situationen aus dem Praxisalltag auf und geben beispielsweise Empfehlungen für den Umgang mit Phishing-Mails, den Einsatz externer IT-Dienstleister oder das Onboarding neuer Beschäftigter. Zudem verweist das BSI beim Austausch sensibler Patientendaten auch auf den Kommunikationsdienst KIM (Kommunikation im Medizinwesen), der E-Mails verschlüsselt innerhalb der Telematikinfrastruktur verschickt und sich bereits etabliert habe.

Weiterlesen nach der Anzeige


(mack)



Source link

Weiterlesen

Datenschutz & Sicherheit

Next.js strukturiert Sicherheitsmeldungen neu | heise online


Das JavaScript-Framework Next.js hat angekündigt, Sicherheitswarnungen künftig regelmäßig etwa einmal im Monat herauszugeben. Wichtige Updates kommen aber nach wie vor sofort. Das soll die Update-Planung für die Next-Anwenderinnen und -Anwender vereinfachen.

Weiterlesen nach der Anzeige

Die neuen monatlichen Sicherheitsnachrichten im Blog liefern einen Zeitplan, für welche Next-Versionen wann Updates zu erwarten sind. Die angekündigten Fixes sind außerdem nach Relevanz sortiert. Vor kritischen und schon verwendeten Lücken warnt Next nach wie vor ad hoc im Blog. Diese Lücken sollten Anwender sofort beseitigen.

Die erste Meldung soll am 20. Juli erscheinen und über kommende Updates für Next 15.5 und 16.2 mit hoher und mittlerer Relevanz informieren.

Next.js reagiert mit der Umstrukturierung wie viele andere Open-Source-Projekte auch auf die durch LLM-Reviews gesteigerte Menge an Sicherheits-Pull-Requests. Im Gegensatz zu anderen Teams hält der Next-Herausgeber Vercel aber am Bug-Bounty-Programm auf Hackerone fest.


(who)



Source link

Weiterlesen

Beliebt