Im Jahr 2017 begann das Bundesamt für Migration und Flüchtlinge (BAMF), die Smartphones von Asylsuchenden auszulesen. Immer dann, wenn diese keinen Pass oder andere anerkannte Identitätsdokumente vorlegen konnten, durften ihre Geräte analysiert werden. Das Ziel: Hinweise auf Identität und Herkunftsland gewinnen – selbst wenn an den Angaben der Antragstellenden noch gar keine Zweifel bestanden.

2018 kam die Behörde mit der neuen Praxis auf über 11.000 ausgelesene Datenträger, 2023 waren es rund 12.500. Damit ist jetzt offenbar Schluss. Laut der Antwort der Bundesregierung auf eine Kleine Anfrage der Linken-Abgeordneten Clara Bünger erfolge das Auslesen von Handydaten „nur noch einzelfallbezogen auf Entscheidung der Entscheiderin oder des Entscheiders“.

Zuvor las das BAMF schon sehr früh im Asylverfahren die Daten aus, in der Regel weit vor der Asylanhörung. Die „damit verbundene ressourcenintensive Auswertung“ sei ab dem Jahr 2024 „ausgesetzt“ worden. Das führt zu deutlich rückgängigen Zahlen: Im ersten Halbjahr 2025, so die Bundesregierung, sind lediglich noch 338 Datenträger ausgelesen worden.

Die Auswertungen sind nutzlos und aufwändig

Der Nutzen der Auswertungen stand schon seit Beginn der Maßnahmen in Frage. Zu Beginn scheiterte in rund einem Viertel der Fälle das Auslesen bereits auf einer technischen Ebene.

Bei den erfolgreichen Auslese- und Auswertevorgängen waren wiederum die meisten Ergebnisse bis zuletzt völlig unbrauchbar. So lieferten die Auswertungen im Jahr 2023 in 73,4 Prozent der Fälle „keine verwertbaren Erkenntnisse“. Nur in 1,7 Prozent der Fälle stützten die Ergebnisberichte die Angaben der Antragstellenden nicht – das heißt, es gab Hinweise darauf, dass ihre Angaben eventuell nicht korrekt sein könnten.

Das ist zum einen viel Aufwand und zum anderen ein tiefer Eingriff in Grundrechte und Privatsphäre für eine Maßnahme mit mehr als fragwürdigem Nutzen. Fragestellerin Clara Bünger kommentiert dazu gegenüber netzpolitik.org: „Die aktuelle Antwort der Bundesregierung zeigt, dass diese negative Bilanz inzwischen offenbar auch im BAMF so gesehen wird.“

Der Wandel geht laut Bundesregierung zurück auf ein „Maßnahmenpaket zur Bewältigung der Asyllage“, das BAMF und Bundesinnenministerium miteinander abgestimmt hätten. Im Gegensatz zur Praxis hat sich die gesetzliche Grundlage der Handydurchsuchungen jedoch verschärft. Durch das 2024 verabschiedete Gesetz zur Verbesserung der Rückführung könnten BAMF und Ausländerbehörden auch Cloud-Speicher von entsprechenden Personen auslesen.

Der Kurs steht weiter auf Verschärfung

Diese Verschärfung beschloss die Bundesregierung kurz nachdem das Bundesverwaltungsgericht im Februar 2023 im Fall einer afghanischen Klägerin Grenzen gesetzt hatte: Das BAMF darf laut dem Urteil erst dann Smartphones auswerten, wenn es keine milderen Mittel gibt, um Hinweise auf Identität und Herkunft der Betroffenen zu bekommen. Das könnten beispielsweise offizielle Papiere neben Ausweisdokumenten sein oder andere Wege, Aussagen der Geflüchteten zu überprüfen.

Bünger fordert, auch andere politische Entwicklungen zu überdenken, um bessere Asylverfahren zu ermöglichen: „Es muss endlich Schluss sein mit den ausgrenzenden Missbrauchsdebatten, den permanenten Asylrechtsverschärfungen und der andauernden Entrechtung von Schutzsuchenden.“

Die Realität jedoch sieht offenkundig anders aus. Mit dem aktuellen Entwurf zur deutschen Umsetzung des Gemeinsamen Europäischen Asylsystems etwa schießt die Bundesregierung noch über die repressiven EU-Vorgaben hinaus. Im Koalitionsvertrag von Union und SPD ist angekündigt, dass sich auch in verwaltungsrechtlichen Asylverfahren einiges zum potenziellen Nachteil von Geflüchteten ändern soll. Die Regierungspartner wollen, dass die Asylsuchenden vor Gericht selbst etwa politische und soziale Faktoren in ihrem Herkunftsland einbringen müssen, wenn die im Verfahren berücksichtigt werden sollen – selbst wenn diese bereits öffentlich oder bei Gericht bekannt sind. Bünger findet: „Das ist das genaue Gegenteil von dem, was jetzt wichtig wäre: pragmatische Vorschläge für zügige und zugleich faire Asylverfahren.

Derzeit nutzen unbekannte Angreifer zwei Sicherheitslücken in Cisco Secure Firewall Adaptive Security Appliance (ASA) Software und Cisco Secure Firewall Threat Defense (FTD) Software aus. Darüber verschaffen sie sich Zugriff auf eigentlich geschützte Bereiche oder führen sogar Schadcode aus. Sicherheitsupdates sind verfügbar.

In welchem Umfang die Attacken ablaufen, ist zurzeit unklar. Um passende Patches zu finden, müssen Admins in den unterhalb dieses Beitrags verlinkten Warnmeldungen bestimmte Rahmenbedingungen in Formularfelder eingeben, sodass als Ergebnis das jeweils passende Update angezeigt wird.

Root-Attacken

Die beiden ausgenutzten Schwachstellen (CVE-2025-20333 „kritisch„, CVE-2025-20362 „mittel„) betreffen die VPN-Web-Server-Komponente von ASA und FTD. In beiden Fällen sind Attacken aus der Ferne möglich, zum Ausnutzen der kritischen Lücke müssen Angreifer aber bereits authentifiziert sein.

Verfügt ein Angreifer über gültige VPN-Zugangsdaten, kann er präparierte HTTP(S)-Anfragen an verwundbare Instanzen schicken. Im Anschluss ist die Ausführung von Schadcode mit Root-Rechten möglich. Das führt in der Regel zu einer vollständigen Kompromittierung von Systemen.

Im Fall der anderen attackierten Lücke ist keine Authentifizierung vonnöten, und Angreifer können über einen identischen Angriffsweg auf eigentlich abgeschottete URL-Endpoints zugreifen.

Weitere Sicherheitsupdates

Weiterhin haben die Entwickler noch eine weitere „kritische“ Schwachstelle (CVE-2025-20363) in ASA, FTD, IOS, ISO XE und IOS XR geschlossen. Auch hier werden HTTP-Anfragen nicht ausreichend überprüft, sodass Schadcode auf Instanzen gelangen kann.

Erst kürzlich sorgten Root-Sicherheitslücken in Ciscos Netzwerkbestriebssystem IOS und IOS XE für Schlagzeilen.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)

Der IT-Dienstleister NTT Data will künftig nicht mehr mit dem Hersteller für Security-Appliances Ivanti zusammenarbeiten. Das schreibt das Unternehmen in einer internen E-Mail, die heise security auszugsweise vorliegt. Der Dienstleister geht hart mit seinem Lieferanten ins Gericht und bezeichnet dessen Geräte dank verschiedener Sicherheitslücken als „inakzeptables Risiko“.

In der Nachricht, die offenbar NTT-Data-intern versandt wurde, heißt es wörtlich: „Trotz kontinuierlicher Überwachung und Kontaktaufnahme konnten wir keine wesentliche Verbesserung der Sicherheitslage feststellen. Daher stellt die weitere Nutzung ein inakzeptables Risiko für unseren Betrieb, die Datenintegrität und das Vertrauen unserer Kunden dar“.

Unsicherheit jahrelang bekannt

Ivanti fällt immer wieder durch teilweise schwere Sicherheitslücken in seinen Security Appliances auf, zuletzt vor zwei Wochen. Im vergangenen Jahr hatte die US-Cybersicherheitsbehörde CISA gar angeordnet, dass ihr unterstellte Behörden bestimmte Ivanti-Geräte abschalten müssen. Der CEO des Unternehmens hatte dann in einem offenen Brief Besserung gelobt. Die ist jedoch offenbar nur teilweise eingetreten: Zwar hat Ivanti im Vorjahresvergleich etwa zwei Drittel weniger CVE-Nummern für Sicherheitslücken veröffentlicht. Das kann an weniger Fehlern, aber auch weniger Fehlersuche liegen. Doch auch im Jahr 2025 musste die CISA vor einer Schadsoftware warnen, die sich direkt auf den Geräten des Herstellers einnistet – dessen eigenes Sicherheitsteam übersah eine kritische Sicherheitslücke und stufte sie als normalen Programmfehler ein.

Die Sicherheitsprobleme bei Ivanti sind also bereits seit Jahren bekannt, dennoch ist die nun angeblich erfolgende Auslistung bei NTT Data ein ungewöhnlicher Schritt. Das Unternehmen will künftig, so die interne Mitteilung weiter, auf alle Ivanti-Produkte verzichten. Das gelte nicht nur für die eigenen Systeme, sondern insbesondere auch für den Weiterverkauf an Dritte. Auch Verlängerungen für bestehende Verträge sollen unterbleiben und interne Security-Spezialisten würden bei der Umstellung unterstützen, so das Memo. Die japanische NTT Data ist mit ihrer Tochterfirma in Deutschland an mehreren Standorten aktiv und bietet unter anderem Security-Dienstleistungen wie „Managed SOC“ an.

Eine offizielle Bestätigung des Unternehmens steht noch aus. Auf die E-Mail angesprochen, versprach eine Sprecherin des Unternehmens am gestrigen Mittwoch interne Klärung – sowie diese erfolgt ist, werden wir diese Meldung aktualisieren. Ivanti war kurzfristig nicht für eine Stellungnahme zu erreichen.

(cku)