In Home Assistant haben die Entwickler zwei hochriskante Sicherheitslücken ausgebessert. Jetzt veröffentlichte Schwachstelleneinträge erörtern die Probleme. Außerdem hat das Projekt ein Update für das Home Assistant OS auf Version 18 vorgelegt.

Die gravierendste Schwachstelle betrifft einen API-Endpunkt, der zwar Schreibzugriffe (PUT und POST) korrekt auf vorherige Authentifizierung prüft, das für lesende Zugriffe (GET) jedoch unterlässt. Dadurch können bösartige Akteure mit Zugriff auf den Home-Assistant-HTTP-Port – standardmäßig 8123 im lokalen Netz – unbefugt den Status des Alarm-Panels und die Topologie der Geräte einsehen, erklären die Home-Assistant-Programmierer (CVE-2026-54317, CVSS 7.6, Risiko „hoch“). Die Lücke schließt Home Assistant 2026.6.0, das Anfang des Monats erschien.

Jede installierte App in Home Assistant kann auch ohne weitere Rechte Informationen an den BroadcastReceiver des LocationSensorManager senden, etwa Broadcasts mit gefälschtem LocationResult vom Google Play Service. Der Empfänger vertraut der Information und nimmt sie als reale Position des Geräts an. Dadurch könnten Angreifer Zonen-basierte Automatisierungen auslösen, etwa das Aufsperren von Türen, Alarmanlage abschalten oder Garage öffnen, schreiben die Home-Assistant-Entwickler in ihrer Sicherheitsmitteilung. Im Home Assistant Companion 2026.5.3 und neuer soll das korrigiert sein (CVE-2026-54318, CVSS 7.1, Risiko „hoch“).

Betriebssystem auf neuem Stand

Zudem hat das Home-Assistant-Projekt nun das Betriebssystem Home Assistant OS in Version 18 veröffentlicht. Es handelt sich dabei um ein kleines Wartungsrelease, die Release-Ankündigung zeigt nur wenig Neues. Der Linux-Kernel ist auf den aktuellen 6.18er-Zweig gewechselt. Docker kommt in Version 29.5.3 mit, containerd auf Stand 2.2.4; das darunterliegende Buildroot haben die Programmierer auf 2025.02.14 aktualisiert. Die Abbilder sollen sich nun deutlich schneller flashen lassen, und zudem haben die Entwickler die Logik zur Größe der Swap-Datei überarbeitet. Der Raspberry-Pi-Bootloader lässt sich direkt aus Home Assistant heraus aktualisieren. Raspberry Pi 5 muss nun mindestens Firmware 2025-02-12 installiert haben. Weitere Details und Download-Links finden Interessierte in der Release-Ankündigung.

Anfang des Monats wurden bereits Schwachstellen in den Home Assistant Companion Apps bekannt. Eine der Lücken hätte Angreifern das Abgreifen von Zugriffstoken und damit die Übernahme der Home-Assistant-Instanz ermöglicht.

(dmk)

Der Ausschuss für Wirtschaft und Währung (Econ) im Europäischen Parlament hat heute für die Einführung des Digitalen Euro (D€) gestimmt und damit den Weg für das Trilog-Verfahren zwischen EU-Parlament, Rat und Kommission freigemacht.

Sollte der Digitale Euro als gesetzliches Zahlungsmittel eingestuft werden, müssen ihn die meisten Unternehmen und Händler im Euro-Währungsraum annehmen.

Die Mitgliedstaaten hatten sich bereits im Dezember 2025 auf eine Position geeinigt. Die Einigung hatte sich hingezogen. Grund waren strittige Fragen zwischen Abgeordneten der konservativen EVP-Fraktion auf der einen Seite und den Mitgliedern der sozialdemokratischen, liberalen und grünen Fraktionen auf der anderen.

EU-Parlament will mehr Datenschutz

Das Europäische Parlament will durch den Digitalen Euro Datenschutz und Privatsphäre bei digitalen Zahlungen verbessern.

Die Grundsätze „Privacy by Design“ und „Privacy by Default“ würden integriert werden. Mit Technologien wie „Zero-Knowledge-Proofs“ können Transaktionen überprüft werden, ohne dass personenbezogene Daten offengelegt werden müssen. Diese würden nur in dem Umfang verarbeitet, der für das Funktionieren des Systems unbedingt erforderlich ist. Die EZB hätte keinen Zugriff auf personenbezogene Daten, heißt es in der Pressemitteilung des EU-Parlaments.

Offline-Funktion nur in physischer Nähe

Besonders datenschutzfreundlich soll die Offline-Funktionalität des Digitalen Euro werden. Transaktionen von Mobilgerät zu Mobilgerät sollen ohne aktive Internetverbindung möglich sein. Dabei soll auf Datenspeicherung verzichtet werden, was die gleiche Anonymität wie bei Bargeldzahlungen ermögliche.

Die Offline-Funktion läuft über das Herunterladen von „Tokens“ auf das Endgerät, die zur Bezahlung von Gerät-zu-Gerät versendet werden. Für die Offline-Transaktionen soll es Zahlungslimits geben können, um illegalen Aktivitäten wie Geldwäsche vorzubeugen.

Eine konkrete Grenze bei der physischen Distanz zwischen den Nutzungsgeräten ist nicht vorgesehen. Dadurch werden die maximalen Übertragungsgrenzen von Technologien wie Bluetooth, NFC oder WLAN vollständig nutzbar sein.

Gebühren sollen geringer als bei Privatanbietern ausfallen

Das EU-Parlament möchte zudem einen „no-worse-off“-Grundsatz, wonach Händler für den Digitalen Euro auf keinen Fall höhere Kosten tragen müssen als bei Kreditkarten oder andere vergleichbare Zahlungsmittel privater Anbieter.

Für die Festlegung der Zahlungsgebühren soll eine Übergangsfrist von mindestens fünf Jahren gelten: Innerhalb dieses Zeitraums sollen die Gebühren anhand der durchschnittlichen Kosten vergleichbarer Zahlungsmittel gedeckelt werden.

Gemeinsam mit der Verordnung zum Digitalen Euro beschloss der Ausschuss auch seine Position zur Bargeld-Verordnung. Damit will die EU die Rolle von Euro-Scheinen und Münzen als gesetzliches Zahlungsmittel stärken. Zudem soll weiterhin verpflichtend gelten, dass Standorte mit sogenannten essenziellen Dienstleistungen Bargeld annehmen müssen, „selbst wenn dort nur noch Automaten stehen, sei es jetzt am Bahngleis oder im Supermarkt“, sagt der Europaabgeordnete Damian Boeselager (Volt) gegenüber netzpolitik.org.

EU-Kommission und EZB sollen Haltelimits festlegen

Ein Kernpunkt der bisherigen Verhandlungen war eine Begrenzung der maximalen Summe, die eine Person am D€ halten dürfe. Haltelimits sollen verhindern, dass die Nutzer:innen zu viel Bankguthaben in Digitale Euros umtauschen und den Banken damit die privaten Einlagen ausgehen. Die Bankenlobby befürchtet damit eine Verdrängung ihres Fiatgelds. Expert:innen und die Europäische Zentralbank (EZB) befürchten hingegen, dass zu geringe Haltelimits den Digitalen Euro weniger attraktiv machen.

Das EU-Parlament fordert, dass die EZB einen technischen Bericht mit einer empfohlenen Obergrenze erstellt. Die Kommission soll auf dieser Grundlage dann eine Obergrenze per delegiertem Rechtsakt festlegen. Das konkrete Haltelimit soll abschließend zwar von der EZB festgelegt werden, dieses Limit bewegt sich aber im Rahmen der Obergrenze, die von der Kommission vordefiniert wird.

Ihr Haltelimit sollen Nutzer:in auf mehrere Konten aufteilen können. Unternehmen oder Vereine hingegen sollen keine D€ halten dürfen. Entsprechende Geldtransfers an diese würden demnach auf ihre regulären Bankkonten überwiesen.

Trilog-Verhandlungen kommen

Laut des Fortschrittsberichts der EZB soll es erste Pilot-Ausgaben des Digitalen Euro ab Mitte 2027 geben. Eine öffentliche Ausgabe des Digitalen Euro zum 1. Januar 2029 sei demnach noch möglich, „wenn wir es schaffen, uns bis Ende 2026 mit den Mitgliedsstaaten noch zu einigen im Trilog”, so Boeselager.

Der Digitale Euro würde in der Folge auch die Abhängigkeit der Eurozone von US-amerikanischen Kreditkartenanbietern reduzieren. Politisch motivierte Sanktionen gegen Einzelpersonen – wie zuletzt bei einem Richter des Internationalen Strafgerichtshofs – könnten damit eingeschränkt werden.

Ausländerbehörden melden mutmaßliche Hinweise auf Straftaten, die sie bei der Durchsuchung von Computern und Handys von abzuschiebenden Personen finden, an die Polizei oder den Zoll. Das zeigen die Antworten der zuständigen Behörden und Ministerien in den Bundesländern auf Anfrage von netzpolitik.org.

In Bayern kam es etwa in den vergangenen fünf Jahren zu 12 solcher Meldungen, teilt ein Sprecher des zuständigen Landesamtes für Rückführungen mit. „Die Mitteilung strafrechtlich relevanter ‚Zufallsfunde’ erfolgt jeweils in Form einer Verdachtsmeldung an die sachlich zuständige Polizeidienststelle sowie an die zuständige Ausländerbehörde.“

In Nordrhein-Westfalen liegt die Aufgabe seit 2022 bei der Zentralen Ausländerbehörde Essen. Dort arbeiten drei Personen in einer „Stabsstelle Datenforensik“ an der Durchsuchung. 2024 kam es in sieben Fällen zu Zufallsfunden während der Auswertung, im Jahr 2025 in sechs Fällen, schreibt eine Sprecherin der Stadt Essen. Gebe es Anhaltspunkte für eine Straftat, würden diese angezeigt – als Beispiele nennt sie „Fälle von Kinderpornographie oder Tötungsaufzeichnungen“.

Auch Berlin, Hessen und Niedersachsen bringen Zufallsfunde zur Anzeige. Allerdings erfassen die Länder nicht, wie oft das geschieht. In Hamburg sei es bislang zu keinem Fall gekommen.

Dafür schreibt die Sprecherin aus Niedersachsen, an welche Art von Behörden die Meldungen gehen, darunter: „Polizei, Staatsanwaltschaft, Finanzverwaltung oder Zoll“.

Was das Aufenthaltsrecht vorsieht

Ausländerbehörden dürfen seit mehr als zehn Jahren die Datenträger von ausreisepflichtigen Personen durchsuchen, die abgeschoben werden sollen. Voraussetzung ist, dass die Identität oder Herkunft der Person nicht mit anderen Mitteln geklärt werden kann. Die Durchsuchungen sind in vielen Bundesländern inzwischen Standard.

Nachdem die Behörden dafür anfangs bei den jeweiligen Landeskriminalämtern andockten, haben inzwischen mehrere Bundesländer eigene Abteilungen für die forensischen Untersuchungen etabliert. Die Ausländerbehörden können die Datenträger einziehen und zur Auswertung einschicken.

Laut Aufenthaltsrecht dienen die Durchsuchungen dazu, Hinweise auf die Identität oder Herkunft einer Person zu erlangen. Anhand von angerufenen Telefonnummern, Dokumenten auf einem Handy oder verwendeten Sprachen soll die Behörde darauf schließen, welches Herkunftsland für die Person Passpapiere ausstellen könnte. Zahlen dazu, wie erfolgreich dieses Vorgehen im Sinne der Behörden ist, werden nicht erfasst.

Eine Weitergabe von Informationen an Ermittlungsbehörden ist im Aufenthaltsrecht nicht vorgesehen. Die Betroffenen sind auch keiner Straftat beschuldigt, sie haben lediglich keine Papiere, die ihre Herkunft bestätigen könnten.

Laut den Behörden ist dies aber auch nicht notwendig. Die Sprecherin der Stadt Essen verweist etwa auf das nordrhein-westfälische Datenschutzgesetz als Rechtsgrundlage.

Die Sprecherin der Landesaufnahmestelle Niedersachsen schreibt: „Einschlägig sind die rechtlichen Normen der Strafprozessordnung, des Niedersächsischen Datenschutzgesetzes, des Bundesdatenschutzgesetzes und des Aufenthaltsgesetzes.“

„Kein Verbot“ als Freifahrtschein

Auch das Landesamt für Rückführungen in Bayern legt ein fehlendes Verbot im zuständigen Paragrafen im Aufenthaltsrecht als Erlaubnis aus: Die „Zulässigkeit einer Datenweitergabe“ bemesse sich an den allgemeinen Datenschutzregeln im Bundesland (BayDSG). Dieses erlaube die Weitergabe, „da die Daten zur Erfüllung der Aufgaben der Polizei zur Verfolgung von Straftaten oder Ordnungswidrigkeiten erforderlich sind“.

In Hessen schließlich zieht das Innenministerium das Hessische Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) heran. Es regele auch die Datenübermittlung zwischen Gefahrenabwehr– und Polizeibehörden, soweit die Kenntnis dieser Daten zur Erfüllung der Aufgaben der empfangenden Stelle erforderlich erscheint. Die Ausländerbehörden im Land gelten laut Verordnung als Gefahrenabwehrbehörden.

Schwere der Tat muss maßgeblich sein

Der Jurist Davy Wang koordiniert bei der Gesellschaft für Freiheitsrechte Fälle von Betroffenen, deren Datenträger laut Aufenthaltsrecht eingezogen oder durchsucht werden. Er sagt: Finden Ausländerbehörden bei der Durchsuchung von Datenträgern zur Feststellung der Identität oder Staatsangehörigkeit Anhaltspunkte für Straftaten und leiten diese an Ermittlungsbehörden weiter, dann sei das eine „zweckändernde Weiterverarbeitung“. „Sie begründet einen neuen Grundrechtseingriff und braucht eine eigenständige Rechtsgrundlage.“

Entscheidend sei deswegen, dass die Verantwortlichen nach der Schwere der jeweiligen Tat unterscheiden. Laut Verfassung dürften vorliegende Daten nur dann für einen neuen Zweck genutzt werden, wenn sie dafür mit vergleichbar eingriffsintensiven Mitteln hätten erhoben werden dürfen. „Die vollständige Auswertung von Datenträgern, die teilweise höchstsensible private Daten beinhalten, greift besonders tief in die Grundrechte der Betroffenen ein.“

Eine Übermittlung sei daher nur bei hinreichend schweren Straftaten zulässig, bei leichteren Delikten und Ordnungswidrigkeiten dürfte sie unverhältnismäßig sein, sagt er. „Ansonsten wird die Datenträgerauswertung im Aufenthaltsrecht zum Einfallstor für eine Strafverfolgung, die auf direktem Weg unzulässig gewesen wäre.“

Anders gesagt: Weil Ladendiebstahl, Fahren ohne Führerschein oder der Besitz von Drogen in geringen Mengen in Deutschland keine Durchsuchung von Smartphone oder Computer rechtfertigen, dürften solche Delikte auch im Fall einer zufälligen Entdeckung bei der Datenträgerdurchsuchung von den Ausländerbehörden nicht an die Polizei gemeldet werden.

Regierung hält an Durchsuchungen fest

Die Gesellschaft für Freiheitsrechte, die mit strategischen Verfahren Grundrechte schützt, hält die Durchsuchungen für nicht verfassungskonform. Vor Gericht hat der Verein gegen das BAMF gewonnen, das ebenfalls Handyforensik einsetzt: Die Behörde darf nicht mehr pauschal von allen Schutzsuchenden ohne Identitätspapiere das Handy verlangen, sondern muss prüfen, ob es mildere Mittel zur Feststellung von Identität und Herkunft gibt.

Fachleute bezweifeln, dass die Handydurchsuchungen überhaupt Vorteile für das erklärte Ziel der Identitätsfeststellung bringen. Das BAMF etwa schaut auf Anrufhistorie, Browserdaten oder auch Geodaten auf den Geräten, um Sprachen oder Länderbezüge herauszufinden. Diese seien aber wenig aufschlussreich, um auf die Identität oder Staatsbürgerschaft einer Person zu schließen, kritisiert die GFF.

Die Bundesregierung will trotzdem weiter an der Rechtsgrundlage für die Maßnahme festhalten. Zuletzt hatte die Ampelregierung das Asyl- und Aufenthaltsreicht weiter verschärft und dabei die Befugnisse der Ausländerbehörden noch erweitert: Sie dürfen nun auch in die Privaträume von Menschen eindringen, die abgeschoben werden sollen, um darin nach Dokumenten oder Geräten zu suchen. Außerdem darf neben den Daten auf Computer oder Handy nun auch alles durchsucht werden, was Betroffene in der Cloud gespeichert haben.