Connect with us

Datenschutz & Sicherheit

Angriffe auf Microsoft Sharepoint: Patchen ist nicht genug


Die aktuell beobachteten Angriffe auf SharePoint-Server nutzen eine bis 20. Juli 2025 unbekannte Lücke in lokalen Installationen von Microsoft Sharepoint aus (CVE-2025-53770). Da es bis vor Kurzem kein Update gab, mit dem man sich schützen konnte – es handelte sich um eine Zero-Day-Schwachstelle – konnten die Angreifer die verwundbaren Systeme nach Belieben übernehmen und sich dort einnisten. Dieses Problem wird auch durch das Einspielen der Patches nicht beseitigt; Angreifer könnten auch danach Zugriff auf den Sharepoint-Server und weitere Systeme haben.

Wir beschreiben, wie die Angreifer bei ihren bisherigen Angriffen vorgegangen sind, welche Spuren sie dabei hinterlassen haben und wie man die gezielt aufspüren kann, um sich Gewissheit zu verschaffen, ob das eigene Unternehmen betroffen ist. Anschließend geben wir Tipps für die gezielte Suche und Reinigung betroffener Systeme. Wer die Zusammenfassung überspringen möchte, liest direkt bei „Was Betroffene jetzt tun sollten“ weiter.

Angreifer nutzen eine Kombination mehrerer Schwachstellen aus, um ohne Authentifizierung beliebigen Code auf SharePoint-Servern auszuführen. Dabei wird über speziell präparierte HTTP-Anfragen eine ASPX-Webshell ins SharePoint-Dateisystem geschrieben, die anschließend für beliebige Befehlsausführung genutzt werden kann. Die bekannteste Kampagne nutzt eine Webshell mit dem Namen spinstall0.aspx. Daneben beschrieb Palo Alto Networks mindestens zwei weitere Exploit-Varianten – darunter Varianten mit leicht abgewandelten Namen, dem Einsatz von sleep() sowie dem Ablegen von Konfigurationsdaten in Dateien wie debug_dev.js.

Die ausgenutzte Schwachstelle betrifft ausschließlich On-Premises-Installationen von SharePoint. Cloud-basierte Varianten wie SharePoint Online (Microsoft 365) sind nicht betroffen. Warum diese nicht anfällig sind, ist derzeit nicht bekannt.




Florian Roth ist CTO der Nextron Systems GmbH. Er ist ein international renommierter Experte für das Aufspüren von fortgeschrittenen
Angreifern und Schöpfer des APT Scanners Thor. Roth ist besonders bekannt für seine Yara-Regeln; er hat aber zusammen mit Thomas Patzke auch das Sigma-Projekt für die Analyse von Logfiles gegründet.

Die Lage: Viele Systeme kompromittiert

Trotz der öffentlichen Warnungen sind weiterhin hunderte verwundbare SharePoint-Systeme im Internet erreichbar. Listen mit bereits kompromittierten Systemen zirkulieren in einschlägigen Kreisen – samt der zugehörigen Webshells, die öffentlich erreichbar und benutzbar sind. Es ist davon auszugehen, dass diese Systeme eher früher als später ungebetenen Besuch bekommen.

Bisher konzentrierten sich die Angriffe offenbar auf die Sektoren Regierungen, Bildung, Gesundheitswesen und Großunternehmen. Allerdings wurden auch bereits erste Proof-of-Concepts-Exploits der Schwachstelle veröffentlicht. Mit diesen ist das Ausnutzen der Lücken auch anderen Angreifergruppen möglich. Es ist damit zu rechnen, dass insbesondere Cybercrime-Banden auf den Zug aufspringen und die Angriffe in die Fläche tragen. Unverzügliches Patchen der Server ist deshalb unverzichtbar; nicht patchbare Server sollte man vom Internet trennen.

Da die Exploits bereits veröffentlicht wurden und in den einschlägigen Kreisen weiter gereicht werden, sehen wir keinen Sinn darin, diese wichtigen Informationen den Verteidigern vorzuenthalten.

Angriffs-Indikatoren (IoCs)

Die Angriffe erfolgen über einen POST-Request auf

/_layouts/15/ToolPane.aspx

mit einem HTTP-Referer-Header

/_layouts/SignOut.aspx

Dies sind stabile Anzeichen für einen erfolgten Angriff (Indicators of Compromise), nach denen man in seinen Logfiles Ausschau halten sollte. Traten sie vor einem Patch auf, ist davon auszugehen, dass die Angreifer das System kompromittiert haben.

Kampagnen-spezifische IoCs

Die bisher beobachteten Angriffe erstellen eine Webshell namens spinstall0.aspx in einem der folgenden Pfade:

# C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\TEMPLATE\LAYOUTS\
# ...\16\TEMPLATE\LAYOUTS\`

Dies ergibt HTTP-Zugriffe auf /_layouts/15/spinstall0.aspx beim Zugriff auf diese Webshell. Dabei wird dann via w3wp.exe Powershell ausgeführt. Diese erhält Base64-kodierte Eingabebefehle, was sich im Event-Log oder Logdateien auffinden lässt. Außerdem kommt auch eine Datei namens debug_dev.js mit Base64-Inhalt zum Einsatz. Dies sind die Hash-Summen der bekannten Webshells und Skripte:

- 27c45b8ed7b8a7e5fff473b50c24028bd028a9fe8e25e5cea2bf5e676e531014
- 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
- 8d3d3f3a17d233bc8562765e61f7314ca7a08130ac0fb153ffd091612920b0f2
- 30955794792a7ce045660bb1e1917eef36f1d5865891b8110bf982382b305b27
- 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030
- fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7

Die Angriffe gingen von folgenden IP-Adressen aus:

- 107.191.58[.]76
- 45.77.155[.]170
- 154.223.19[.]106

Nach diesen kann man in Log-Dateien etwa von Firewalls Ausschau halten. Allerdings können zukünftige Angriffe auf andere Techniken setzen, sodass diese IoCs nur beschränkt aussagekräftig sind.

Was Betroffene jetzt tun sollten

Selbst nachdem die SharePoint-Patches installiert werden, muss man davon ausgehen, dass sich Angreifer Zugriff auf das System verschaffen konnten. Bleiben Hinterlassenschaften und Modifikationen der Angreifer unbemerkt, ist damit zu rechnen, dass diese zu einem späteren erneut auf die Systeme zugreifen, um etwa Daten zu verschlüsseln und das Unternehmen zu erpressen. So geschehen etwa 2020, als Admins der Uniklinik Düsseldorf die sogenannte Shitrix-Zero-Day-Lücke in ihren Citrix-VPN-Gateways patchten, aber die zuvor bereits installierte Backdoor nicht bemerkten. Einige Zeit später wurde die Uniklinik durch einen Ransomware-Angriff lahmgelegt, bei dem die Angreifer diese Backdoor benutzten.

Es muss folglich nach dem Patchen davon ausgegangen werden, dass Systeme bereits durch Angreifer kompromittiert wurden. Um danach festzustellen, ob tatsächlich ein Angriff erfolgte und vielleicht sogar Erfolg hatte, empfehlen wir folgende Maßnahmen:

  1. Suchen nach den oben aufgeführten IoCs
  2. Kompromittierungsanalyse mit geeigneten Werkzeugen wie Yara; passende Yara-Regeln stellen wir auf Github bereit. Es kann auch das kostenlose Thor Lite zum Einsatz kommen, das etwa im aktuellen Desinfec’t enthalten ist.
  3. Gefundene Webshells entfernen
  4. MachineKeys (ValidationKey, DecryptionKey) gemäß der Microsoft-Anleutung neu generieren
  5. Zugangsdaten ändern – besonders von Dienstkonten und administrativen Benutzern
  6. IIS-Logs und Event Logs auf Anzeichen weiterer Aktivitäten prüfen

Microsoft empfiehlt zum Aufspüren etwa der Webshells den eigenen Defender Antivirus. Dazu sei angemerkt, dass es bereits seit 2021 öffentlich verfügbare, generische Yara-Regeln gibt, die die in dieser Kampagne eingesetzten Webshells erkennen – lange vor Veröffentlichung der ersten Advisories. Wer regelmäßig seine exponierten Systeme mit den Open-Source-Regelwerken untersucht, hätte somit klare Hinweise auf eine Kompromittierung erhalten (anders als bei vielen Antivirus-Engines, die die Webshells zum Zeitpunkt der ersten Analysen noch nicht erkannten).



Während Open-Source-Regeln für Yara die Webshell „spinstall0.aspx bereits entdeckten, gaben die gängigen Antivirus-Tools noch keinen Alarm.

(Bild: Screenshot Virustotal)

Werkzeuge zur Unterstützung

Folgende Werkzeuge helfen bei der Suche nach Spuren und Hinterlassenschaften der Angreifer:

Quellen und weitere Informationen

Bei heise security

Extern


(ju)



Source link

Verwandte Themen:
Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

Bundesregierung darf bei Zuckerberg bleiben


Das Presse- und Informationsamt der Bundesregierung darf seine „Facebook-Fanpage“ weiterbetreiben. Dies hat das Verwaltungsgericht Köln aufgrund der mündlichen Verhandlung vom 17. Juli 2025 entschieden und damit den gegen die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) gerichteten Klagen des Bundes und vom Konzern Meta stattgegeben.

Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber hatte im Juni 2023 dem Bundespresseamt untersagt, eine Facebook-Fanpage für die Bundesregierung zu betreiben. Dagegen haben sich sich sowohl das Amt wie auch der Meta-Konzern gewehrt – und geklagt. Der Fall wurde vor dem Verwaltungsgericht Köln verhandelt.

Das Gericht hat nun entschieden, dass nicht das Bundespresseamt, sondern allein Meta zur Einholung einer Einwilligung der Endnutzenden für die Platzierung von Cookies verpflichtet sei. „Es besteht kein ausreichender Ursachen- und Wirkungszusammenhang zwischen dem Betrieb der Fanpage durch das Bundespresseamt und dem mit der Speicherung und dem Auslesen der Cookies verbundenen Fernzugriff auf die Endgeräte der Nutzer“, so das Gericht. Die Cookies könnten zwar bei Gelegenheit des Besuches einer Fanpage, ebenso jedoch bei dem Besuch einer jeden anderen „Facebook-Seite“ platziert werden.

Auch nach der Datenschutzgrundverordnung (DSGVO) seien Meta und das Bundespresseamt nicht gemeinsam für die beanstandeten Datenverarbeitungen verantwortlich, heißt es weiter. Der Beitrag des Bundespresseamtes zur Speicherung und zum Auslesen der Cookies erschöpfe sich in dem Betrieb der Fanpage. Insbesondere könne das Bundespresseamt keine Parameter für die Platzierung der Cookies und die Auswertung der erhobenen Daten vorgeben. Die bloße Ermöglichung einer Datenverarbeitung begründet nach Auffassung der Kammer indessen nicht die notwendige gemeinsame Festlegung der Mittel der Datenverarbeitung.

Datenschutzbeauftragte hatten Deaktivierung gefordert

Fanpages sind Webseiten auf dem sozialen Netzwerk Facebook, die technisch vom Meta-Konzern betrieben werden – mit all den Datenschutz-Nachteilen, die das auf einer Plattform wie Facebook so mit sich bringt.

Der Bundesdatenschutzbeauftragte ging davon aus, dass ein datenschutzkonformer Betrieb von Facebook-Fanpages nicht möglich ist. Das sahen auch die unabhängigen Datenschutzbehörden der Länder so und haben schon 2022 einen Kurzgutachten (PDF) verfasst, in dem sie die Deaktivierung von offiziellen Behördenseiten fordern, wenn diese einen datenschutzkonformen Betrieb nicht nachweisen können. Behörden hätten eine Vorbildfunktion und müssten sich an den Datenschutz halten, so der Tenor.

Der ehemalige Datenschutzbeauftragte Kelber ging wie schon der Europäische Gerichtshof davor davon aus, dass nicht nur Facebook, sondern auch die Bundesregierung für die Verarbeitung der Daten verantwortlich sei. Das liege daran, dass Facebook den Betreibern von Fanpages Statistiken, so genannte Insights, zur Verfügung stellt.


2025-07-14
395.12
37


– für digitale Freiheitsrechte!



Euro für digitale Freiheitsrechte!

 

Diese Funktion stellte jedoch das Bundespresseamt ab. Kelber ließ das nicht gelten und sah weiterhin eine Verantwortung der Bundesregierung. Seine Nachfolgerin Louisa Specht-Riemenschneider hatte im Spiegel-Interview aber angedeutet, dass das Ausschalten der Statistik ausreichen könnte.

Das Verwaltungsgericht hat die Berufung zugelassen, über die das Oberverwaltungsgericht für das Land Nordrhein-Westfalen mit Sitz in Münster entscheiden würde, wenn die Beteiligten dieses Rechtsmittel einlegen.

Politisch verbiete sich die Fanpage

Kelber sieht die Nutzung der Fanpages des US-Konzerns weiterhin kritisch. Er bezweifelt, dass dort nur die Daten eingesammelt werden, „die für den Service notwendig sind“. Es ginge auch nicht nur um die Frage der geteilten Verantwortung.

Es müsse nämlich auch zwischen datenschutzrechtlicher und politischer Bewertung unterschieden werden, so Kelber. Er fragt etwas provokant: „Kein Koalitionspolitiker gibt z.B. der Jungen Freiheit ein Interview. Aber auf X und Meta präsent sein, das soll ok sein?“

Er schreibt, dass schon die Tatsache, „dass Meta Daten über Bürger:innen sammelt, die mit der Regierung kommunizieren“, kritisch sei. Politisch verbiete dies den Betrieb der Fanpage. „Und keine Bundesregierung hat bisher wirklich Druck ausgeübt, dass dies unterbleibt“, so Kelber. Das sei unverständlich.

Update 17:18 Uhr:
In einer Pressemitteilung schreibt die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider: „Ich werde mir die Urteilsbegründung sehr gründlich ansehen und entscheiden, ob ich die Sache der nächsthöheren Instanz, dem Oberverwaltungsgericht Münster, zur Entscheidung vorlege.“



Source link

Weiterlesen

Datenschutz & Sicherheit

Senat prescht vor: Hamburg will Bezahlkarten ausweiten


Hamburg plant, das Modell von Bezahlkarten auszuweiten. Wie aus einer Antwort des Senats auf eine parlamentarische Frage der Linken-Abgeordneten Carola Ensslen hervorgeht, bereitet die Finanzbehörde der Stadt „ein Vorprojekt in Hamburg vor, in dem die Prozesse in den bezirklichen Dienststellen mit Barauszahlungen an den Zahlstellen aufgenommen werden sollen“.

Eingeführt hatte Hamburg zunächst Bezahlkarten für Geflüchtete Anfang des Vorjahres. Dabei handelt es sich um eigens geschaffene Zahlungskarten, üblicherweise geknüpft an restriktive Bedingungen, etwa Limits für Bargeldabhebungen. Inzwischen gibt es seit dem Asylbewerberleistungsgesetz eine bundesweite Regelung, Bundesländer haben jedoch weitreichenden Gestaltungsspielraum.

In Hamburg ist etwa der maximale Abhebebetrag auf 50 Euro im Monat beschränkt, zudem sind Online-Käufe mit der dortigen Bezahlkarte nicht möglich. Das Modell ist umstritten, weil es diskriminiert und den „Charakter einer Schikanemaßnahme“ hat, wie die Grundrechteorganisation Gesellschaft für Freiheitsrechte (GFF) ausführt.

Bezahlkarte als „Verwaltungsmodernisierung“

Ob und mit welchen Einschränkungen eine ausgeweitete Bezahlkarte verknüpft wäre, steht noch nicht fest. Allerdings prüfe die Stadt Hamburg seit 2023, wie „die Bargeldausgabe durch die Stadt an Leistungsempfängerinnen und Leistungsempfänger aber auch für andere Prozesse durch den Einsatz moderner Zahlungsmittel reduziert werden kann“, teilt die hamburgische Behörde für Finanzen auf Anfrage mit. Generell gehe es um „Bürokratieabbau und Verwaltungsmodernisierung“, indem Menschen nicht mehr in die Zahlstellen kommen müssten, um ihr Geld zu erhalten, so ein Sprecher der Behörde.

Tatsächlich hat der Prozess bereits begonnen. „Auch wenn aktuell die Nutzung dieser Karten für Asylbewerbende im Fokus steht, wurden erste Sozialarbeiterinnen und Sozialarbeiter bereits mit Karten ausgestattet, um darüber zum Beispiel Taschengeld an Jugendliche in betreuten Einrichtungen auszahlen zu können“, so der Sprecher weiter. In den nächsten Monaten werde die Behörde nun „weitere geeignete Prozesse und Leistungen gemeinsam mit den Bezirken und der Sozialbehörde aufnehmen und die Kartennutzung sukzessive ausrollen“.


2025-07-14
395.12
37


– für digitale Freiheitsrechte!



Euro für digitale Freiheitsrechte!

 

Davor warnt Carola Ensslen, die die Anfrage gestellt hatte. „Es war absehbar, dass die repressive Bezahlkarte auch auf andere Leistungsempfänger*innen ausgedehnt würde“, schreibt die Abgeordnete in einer Pressemitteilung. Bei der Ausdehnung auf die Altersgrundsicherung und Sozialhilfe werde es nicht bleiben, vermutet sie. „Was harmlos mit der Abschaffung von Bargeldauszahlungen beginnt, schafft die Möglichkeit für Einschränkungen der Geldnutzung wie bei Geflüchteten“, sagt Ensslen.

„Möglichkeit für Einschränkungen der Geldnutzung“

Dabei sei bisher völlig unklar, was mit einer kostspieligen Bezahlkarte in der Sozialhilfe bezweckt werden soll, sagt Lena Frerichs von der GFF. Schließlich würden vor allem Menschen Sozialhilfeleistungen beziehen, die nicht erwerbsfähig sind oder schon das Rentenalter erreicht hätten. „An der fehlenden Erwerbsfähigkeit oder gar dem Alter wird eine Bezahlkarte nichts ändern“, sagt Frerichs. Die kostengünstigste, digitale Lösung mit geringem Verwaltungsaufwand sei es, die Geldbeträge – wie bisher auch – auf das normale Konto dieser Personen zu überweisen, damit sie ein selbstbestimmtes Leben führen können, sagt die Juristin.

Skandalös sei es, so Frerichs, wenn Sozialhilfeberechtigte durch solche Forderungen in ein schlechtes Licht gerückt werden. Es entstehe der Eindruck, als wären sie nicht in der Lage, selbstbestimmt mit Geld umzugehen oder hätten andere Optionen, ihren Lebensunterhalt zu decken. „Das ist diffamierend und gerade im Sozialhilferecht völlig fehl am Platz“, sagt Frerichs.

Außerdem bleibe ebenfalls offen, welche Beschränkungen eine Bezahlkarte im Sozialhilferecht haben soll. Aus rechtlichen Gründen kämen allenfalls Bezahlkarten ohne Bargeldbeschränkung in Betracht. „Das ist allerdings völlig sinnlos, denn diese kostet die Kommunen viel Geld, das gespart werden könnte, wenn die Sozialleistung einfach auf normale Konten überwiesen werden würde“, sagt Frerichs.



Source link

Weiterlesen

Datenschutz & Sicherheit

Stadt Kenzingen zieht Rechnung für Demonstration zurück


Die südbadische Stadt Kenzingen zieht die Rechnung zurück, die sie einem Demo-Anmelder Ende Juni gestellt hatte. Der Familienvater hatte Anfang Juni eine Demonstration gegen höhere Kinderbetreuungsgebühren angemeldet, die Stadt hatte ihm danach die Kosten für die Verkehrsregelung in Rechnung gestellt. Der Fall, bei dem der Anmelder 374 Euro hätte zahlen sollen, hatte bundesweit Wellen geschlagen, weil Gebühren für Demonstrationen die Versammlungsfreiheit einschränken und eine einschüchternde Wirkung haben können.

Nun hat Dirk Schwier, der Bürgermeister der 11.000-Einwohner-Stadt, nach einer juristischen Prüfung seine Meinung geändert. „Nach der rechtlichen Einschätzung des Landratsamtes ist die Erhebung einer Gebühr für die Durchführung der Versammlung am 5. Juni nicht mit dem Grundrecht auf Versammlungsfreiheit vereinbar“, sagt er gegenüber netzpolitik.org. Die von der Stadt geltend gemachte Grundlage greife nicht, da es an einem dem Anmelder individuell zurechenbaren Gefahrentatbestand fehle, der die Erhebung einer Gebühr rechtfertigen würde.

„Wir werden die bestehende Rechnung stornieren“, sagt Schwier. Weil die Rechnung nicht zulässig sei, fielen die Kosten an die Allgemeinheit. Durch die jetzt erfolgte rechtliche Prüfung sei zudem klar, wie zukünftig mit den Kosten umgegangen werde, die bei Demonstrationen anfallen können.

Fall politisch noch nicht erledigt

„Mit der Rücknahme der Rechnung ist mein Fall juristisch erledigt, politisch jedoch nicht“, sagt der Anmelder der Demonstration, Alexander Feldberger, gegenüber netzpolitik.org. Der Fall habe eine strukturelle Schwäche im baden-württembergischen Recht offengelegt: Anders als in Berlin oder Bayern fehle hier eine klare gesetzliche Regelung, dass Demonstrationen nach Artikel 8 GG grundsätzlich kostenfrei sein müssen.

„Das führt zu großer Unsicherheit. Wer demonstriert, muss bei uns im Ländle jederzeit mit einem Gebührenbescheid rechnen. Das hat eine abschreckende Wirkung und schränkt die Versammlungsfreiheit faktisch ein“, so Feldberger weiter. Immerhin habe der Fall etwas angestoßen: Die Oppositionsparteien FDP und SPD hätten das Thema inzwischen aufgegriffen, im Landtag könnte nun über eine gesetzliche Klarstellung diskutiert werden. „So gesehen hat die unrechtmäßige Rechnung am Ende doch noch für dringend nötige Aufklärung gesorgt.“


2025-07-14
395.12
37


– für digitale Freiheitsrechte!



Euro für digitale Freiheitsrechte!

 

„Originäre Polizeiaufgabe“

Die Durchführung von Demonstrationen ist im Regelfall kostenlos – und das aus gutem Grund. Der Rechtsanwalt David Werdermann von der Gesellschaft für Freiheitsrechte (GFF) hält es bereits für zweifelhaft, ob das baden-württembergische Gebührenrecht eine Grundlage für Kostenbescheide an Versammlungsleiter:innen enthält. Aus seiner Sicht könnten Versammlungsleiter:innen nur in Anspruch genommen werden, wenn sie selbst für eine Gefahr verantwortlich sind, die durch eine polizeiliche Maßnahme abgewehrt wird.

„Das ist hier erkennbar nicht der Fall“, sagt Werdermann gegenüber netzpolitik.org. „Der Aufbau der Absperrungen sollte offenbar den reibungslosen Ablauf der Versammlung gewährleisten. Das ist eine originäre Polizeiaufgabe“, so der Jurist weiter.

„Einschränkende und einschüchternde Wirkung“

Bisher sei die Pflicht für Nichtverantwortliche, entstehende Kosten zu tragen, nur ausnahmsweise bei kommerziellen Großveranstaltungen anerkannt, insbesondere bei Fußballspielen. Hier dürfen die Veranstalter auf Grundlage einer speziellen gesetzlichen Grundlage auch für Polizeikosten herangezogen werden, wenn sie selbst nicht für die Gefahren verantwortlich sind, erklärt Werdermann. Das habe das Bundesverfassungsgericht Anfang des Jahres entschieden – das sei aber nach wie vor sehr umstritten.

„Auf Versammlungen ist das nicht übertragbar. Im Gegenteil: Das Bundesverfassungsgericht betont an mehreren Stellen, dass sich aus speziellen Freiheitsrechten strengere Anforderungen ergeben“, so Werdermann weiter. Das Bundesverfassungsgericht verweist zudem auf eine Entscheidung von 2007. Darin heißt es: „Eine grundsätzliche Gebührenpflicht für Amtshandlungen aus Anlass von Versammlungen würde dem Charakter des Art. 8 Abs. 1 GG als Freiheitsrecht widersprechen“.

Auch der Staats- und Verwaltungsrechtsprofessor Clemens Arzt hält die Gebührenerhebung mindestens für umstritten. Zwar habe der Verwaltungsgerichtshof Mannheim 2009 eine Gebührenerhebung für zulässig erklärt, dem stünden jedoch andere Urteile entgegen, so Arzt gegenüber netzpolitik.org. „Ein Rückgriff auf das Landesgebührenrecht, in dem Artikel 8 des Grundgesetzes nicht zitiert wird, ist mit Blick auf die faktischen Auswirkungen einer Gebühr und deren einschränkender und einschüchternder Wirkung mit Blick auf die Versammlungsfreiheit aus Sicht des Verwaltungsgericht Karlsruhe nicht zulässig.“



Source link

Weiterlesen

Beliebt