Fehlzeiten beim Integrationskurs, Tuberkulose-Untersuchungen, Asylentscheidungen – all das sind Informationen, die im Ausländerzentralregister (AZR) gespeichert werden können. 26 Millionen personenbezogene Datensätze enthalte das AZR derzeit, zu allen Menschen ohne deutsche Staatsangehörigkeit, die mindestens drei Monate in Deutschland leben oder gelebt haben.
Wie viele Daten dort abgelegt werden, hängt davon ab, welchen Status eine Person hat: Geht es um eine Person aus der EU? Dann sind es weniger Informationen. Geht es um Asylantragstellende, sind es besonders viele.
Nach dem Willen der schwarz-roten Bundesregierung sollen es künftig noch wesentlich mehr werden, so steht es in einem Gesetzentwurf zur „Weiterentwicklung der Digitalisierung in der Migrationsverwaltung“ oder auch: Migrationsverwaltungsdigitalisierungsweiterentwicklungsgesetz, MDWG. Auf diesen Entwurf hatte sich das Bundeskabinett am 17. Dezember geeinigt. Damit reiht sich eine weitere Ausdehnung des Riesendatenspeichers in eine Liste fast jährlicher gesetzlicher Aufwüchse ein.
Das AZR soll dem aktuellen Entwurf zufolge unter anderem bald amtliche und nichtamtliche Dokumente zur Identitätsklärung im Volltext enthalten können, wenn eine Person keine amtlichen Ausweisdokumente vorlegen konnte. Damit soll laut Gesetzesbegründung vermieden werden, dass Unterlagen etwa bei einem Zuständigkeitswechsel mehrfach vorgelegt werden müssen. Derartige Dokumente – seien es Heiratsurkunden oder alte Arbeitsverträge – können eine Menge zusätzlicher Informationen enthalten. „Vor einer Speicherung ist sicherzustellen, dass nur diejenigen Angaben enthalten sind, die für die Identitätsklärung erforderlich sind“, heißt es daher in der Gesetzesbegründung.
Der Bundeszuwanderungs- und Integrationsrat (BZI) mahnt in seiner Stellungnahme an, dass unter anderem diese Speicherung „das Risiko einer Übererfassung sensibler Informationen“ berge und fordert eine „klare Zweckbindung, die Begrenzung der Speicherung auf das Notwendige sowie transparente Auskunfts- und Korrekturmöglichkeiten für Betroffene“.
Die Bundesvereinigung der kommunalen Spitzenverbände begrüßt die Regelung zwar, aber bemängelt, dass ungeklärt sei, „welche nichtamtlichen Dokumente als ein Nachweis für die Identität einer Person dienen können sollten“. Es bedürfe hier einer Klarstellung durch das Innenministerium, schreibt die Bundesvereinigung, die die Interessen von Landkreisen, Städten und Kommunen vertritt.
Deutlich ausgeweitet werden soll die Speicherung und Nutzung biometrischer Daten im AZR. Schon heute enthält das AZR Lichtbilder und zu bestimmten Personengruppen auch Fingerabdrücke. Letztere sollen nun standardmäßig gemeinsam mit der Unterschrift einer Person gespeichert werden, wenn damit ein Aufenthaltstitel beantragt wurde.
Damit sollen Behörden diese biometrischen Merkmale wiederholt nutzen dürfen, wenn eine Person einen erneuten elektronischen Aufenthaltstitel beantragt. Das soll verhindern, dass Antragsstellende erneut persönlich vorsprechen müssen. Bei Minderjährigen sollen die Daten bis zu fünf, bei Erwachsenen bis zu sieben Jahre gespeichert werden.
Der BZI äußert Bedenken, „dass mit der geplanten Langzeitspeicherung tiefe Eingriffe in die Persönlichkeitsrechte von Erwachsenen und Minderjährigen einhergehen“. Databund, eine Interessensvertretung mittelständischer IT-Dienstleister für die öffentliche Verwaltung, argumentiert noch deutlicher. Die Speicherung werde „zu einer Ungleichbehandlung von Deutschen und ausländischen Staatsbürgern führen“. Databund schreibt: „Generell sehen wir die Speicherung von hochsensiblen Daten in großen zentralen Registern sehr kritisch.“
Die vorgeworfene Ungleichbehandlung versucht die Bundesregierung in der Gesetzesbegründung zu rechtfertigen. Bei Menschen mit deutscher Staatsangehörigkeit regele das Passgesetz die Ausstellung eines Ausweisdokuments, „dessen Zweck mit der einmaligen Identitätsprüfung und Aushändigung erfüllt ist“. Bei Angehörigen von Drittstaaten müssten hingegen „Identität und Aufenthaltsstatus fortlaufend geprüft“ werden. „Der Vollzug des Aufenthaltsrechts ist strukturell von wiederkehrenden Verwaltungsverfahren geprägt“, so die Bundesregierung weiter.
Zur Identitäts- und Aufenthaltsstatusprüfung sollen die Daten jedoch nicht explizit genutzt werden. Die Speicherung erfolge „ausschließlich zur erneuten Ausstellung eines befristeten elektronischen Aufenthaltstitels“, eine weitere Nutzung sei „ausgeschlossen“.
Diesen Ausschluss hält Databund offenbar für nicht überzeugend. Zum einen führten die wertvollen Daten in einem zentralen Register „zu einem großen Interesse ganz neuer (staatlicher) Angreifer, die aufgrund ihres professionellen Vorgehens auf Dauer kaum fernzuhalten sind“. Zum anderen sei „der Zugriff auf die AZR-Daten für Millionen Nutzer geplant, bei denen kaum zu kontrollieren sein wird, ob diese Personen missbräuchlich Daten abrufen“.
Laut einer Evaluation aus dem Jahr 2024 zu einer früheren AZR-Erweiterung waren damals bereits „16.000 öffentliche Stellen und Organisationen mit mehr als 150.000 Einzelnutzern“ zugriffsberechtigt. 3.056 Stellen waren Mitte 2023 zu einem automatisierten Abruf berechtigt. Das bedeutet: Wer automatisiert Daten aus dem AZR abrufen darf, muss nicht für jede Auskunft einen gesonderten Antrag stellen. Es reicht dann, über eine Schnittstelle die Daten abzurufen. Bei Daten, die über Grunddaten wie Name oder aktuelle Anschrift hinausgehen, muss der Grund der Abfrage vermerkt werden. Missbrauch soll durch eine Protokollierung der Zugriffe in Verbindung mit Stichprobenkontrollen verhindert werden.
Die Zahl der Behörden mit automatisiertem Zugriff dürfte sich gegenüber 2024 mittlerweile weiter erhöht haben und wird sich weiter erhöhen, denn die Voraussetzungen für eine Zulassung zum automatisierten Abruf wurden im vergangenen Jahr weiter gesenkt. Die Teilnahme am automatisierten Verfahren ist für alle dazu berechtigten Behörden wie beispielsweise Polizeien, Arbeits- oder Jugendämter ab dem 1. August 2026 verpflichtend.
Das vorgelegte Gesetz ist nicht das einzige, das Änderungen am AZR-Gesetz vornehmen soll. Bereits im Herbst legte die Bundesregierung einen Entwurf für das GEAS-Anpassungsfolgegesetz vor. Dabei soll das AZR so geändert werden, dass es den Vorgaben aus dem sogenannten Gemeinsamen Europäischen Asylsystem entspricht. Dazu soll ein Personendatensatz künftig auch Informationen zum Status des GEAS-Screenings enthalten. Bei diesem Screening sollen bereits an den EU-Außengrenzen Personen registriert und überprüft werden, damit sie entweder direkt abgewiesen, in ein Asylgrenzverfahren oder ein reguläres Asylverfahren überführt werden können. Gab es kein Screening an einer Außengrenze, muss es im Inland nachgeholt werden.
Schwachstellen in Hitachis Analyse- und IT-Managementsoftware Infrastructure Analytics und Ops Center unter Linux gefährden Systeme. Zumindest ein Sicherheitspatch steht zum Download bereit.
Weiterlesen nach der Anzeige
Die in einer Warnmeldung aufgelisteten Sicherheitslücken (CVE-2025-66444, CE-2025-66445) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Dabei kann im Zuge einer Cross-Site-Scripting-Attacke (XSS) Schadcode ausgeführt werden. Über die zweite Schwachstelle können Angreifer die Authentifizierung umgehen. Wie Angriffe in beiden Fällen ablaufen könnten, ist bislang nicht bekannt.
In der Warnmeldung erwähnen die Entwickler nur die reparierte 11.0.5-00-Version von Ops Center Analyzer. Ob es auch für Infrastructure Analytics Advisor einen Patch gibt, ist derzeit nicht bekannt.
(des)
Seit 12. Oktober führen die EU-Mitgliedstaaten das neue Ein- und Ausreisesystem (EES) an ihren Außengrenzen ein. Es dient dazu, die Aufenthaltsdauer von Personen aus Drittstaaten elektronisch zu erfassen und zu überprüfen, wenn diese für einen Kurzaufenthalt von bis zu 90 Tagen (innerhalb von 180 Tagen) in den Schengen-Raum reisen. Die visafrei ankommenden Drittstaatsangehörigen werden seitdem elektronisch erfasst, inklusive vier Fingerabdrücken und Gesichtsbild. Zusammen mit den Pass- und Reisedaten werden diese Informationen drei Jahre lang gespeichert.
Das EES gilt in den 29 Schengen-Staaten, darunter 25 EU-Länder sowie Island, Liechtenstein, Norwegen und die Schweiz. Seit November sei es zu mindestens drei größeren Ausfällen des Systems gekommen, heißt es aus EU-Kreisen. In einem Fall sei das EES sogar zwei Tage nicht verfügbar gewesen. Schwierigkeiten treten vor allem bei nationalen Anbindungen und lokalen Systemkomponenten auf. Angriffe auf das Zentralsystem oder andere sicherheitsrelevante Vorfälle gibt es aber, soweit bekannt, nicht.
Das EES ist Teil des sogenannten Smart-Borders-Pakets der EU. Ziel ist es, die bislang analogen Passstempel zu ersetzen und Aufenthaltsüberschreitungen automatisiert zu erkennen. Die technische Verantwortung liegt bei der EU-Agentur eu-LISA. Wegen jahrelanger Verzögerungen erfolgt die Einführung stufenweise. Ab dem 10. April 2026 soll das System schengenweit vollständig laufen.
Am 10. Dezember begann die zweite Einführungsphase. Seitdem gilt die Vorgabe, dass mindestens zehn Prozent aller Grenzübergänge in jedem EU-Mitgliedstaat mit dem EES ausgestattet sein müssen. Dazu müssen alle biometrischen Funktionen verfügbar sein und alle neu angelegten Personenakten im System Fingerabdrücke und Gesichtsbild enthalten.
Soweit bekannt erfüllen aber mindestens Italien und die Niederlande diese Zehn-Prozent-Anforderung derzeit nicht. Dort fehlen entweder die notwendige Infrastruktur, geschultes Personal oder die Technik zur biometrischen Erfassung.
Grundsätzlich ist das EES derzeit nur dort einsetzbar, wo Selbstbedienungs-Terminals und nachgelagerte E-Gates installiert wurden. Das betrifft fast ausschließlich große internationale Flughäfen, einzelne Seehäfen sowie wenige internationale Bahnhöfe. Selbst dort ist der Betrieb aber nicht flächendeckend gewährleistet. An kleineren Grenzübergängen, insbesondere im Straßenverkehr, wird weiterhin überwiegend mit Passstempeln gearbeitet.
Eine von Frontex für alle EES-Staaten entwickelte „Travel-to-Europe-App“ ist bislang ebenfalls kaum verbreitet – derzeit ist sie nur in Schweden nutzbar. Dort können Reisende vorab Passdaten, ein Gesichtsbild sowie einen Einreisefragebogen („Answer a few questions about your travel plans“) übermitteln. Die App ist in Apples App-Store und bei Google Play erhältlich. Andere EU-Staaten können sie später einführen, sind dazu aber nicht verpflichtet.
Neben technischen Problemen beschäftigt die EU-Kommission die Frage nach Ausnahmen von der Registrierungspflicht im EES. Als befreundet geltende Drittstaaten wie die USA drängen darauf, bestimmten Personengruppen Sonderregelungen zu ermöglichen. Dazu zählen unter anderem hochrangige Militärangehörige, etwa aus dem NATO-Umfeld, Diplomat*innen oder Angehörige von Königshäusern – also besonders prominente Personen oder sehr vermögende Reisende.
Ähnliche Probleme bestehen bei verdeckten Ermittler*innen, die mit echten biometrischen Merkmalen, aber falschen Identitäten reisen. In solchen Fällen wird das nationale Grenzpersonal bislang oft vorab durch vorausreisende Polizeiführer*innen informiert – ein Vorgehen, das mit dem automatisierten EES nur schwer vereinbar ist.
Die EU-Kommission prüft derzeit, welche Personenkreise künftig Ausnahmen geltend machen können und wie diese technisch umgesetzt werden könnten. Bereits bekannt sind zudem Registrierungsprobleme im Bereich der Privatfliegerei – denn an kleinen Flughäfen müssen nach derzeitigem Stand keine Fingerabdrücke oder Gesichtsbilder abgegeben werden. Auch hierzu hat die Kommission nun einen Fragebogen an die Mitgliedstaaten versendet.
Derzeit attackieren Angreifer WatchGuard Firebox und kompromittieren Geräte. Sicherheitspatches sind verfügbar, aber offensichtlich bislang nicht flächendeckend installiert. Admins sollten umgehend handeln, damit Angreifer nicht in Netzwerke von Unternehmen einsteigen können.
Weiterlesen nach der Anzeige
Sicherheitsforscher von Shadowserver zeigen in einer Grafik vom vergangenen Sonntag, dass weltweit noch mehr als 117.000 Instanzen verwundbar sind. Die „kritische“ Sicherheitslücke (CVE-2025-14733) steckt im Fireware OS und betrifft Firebox-Firewalls. Diese sind verwundbar, wenn Mobile User VPN mit IKEv2 und Branch Office VPN mit IKEv2 mit einem dynamischen Gateway-Peer konfiguriert ist. Die Schwachstelle ist seit wenigen Tagen bekannt.
Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Dann führen Angreifer Schadcode aus und übernehmen die Kontrolle. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. Mit mehr als 57.000 bislang noch ungepatchter Instanzen befindet sich der Großteil in Europa. Einer Grafik von Shadowserver zufolge sind das in Deutschland mehr als 11.000 Firewalls.
Um Geräte abzusichern, müssen Admins Fireware OS 12.3.1_Update4 (B728352), 12.5.15, 12.11.6 oder 2025.1.4 installieren. Ist das nicht umgehend möglich, müssen Admins ihre Netzwerke temporär über einen Workaround schützen. Wie das geht, führt WatchGuard in einem Beitrag aus.
In einer Warnmeldung führt der Hersteller verschiedene Parameter wie IP-Adressen und bestimmte Logeinträge auf, an denen Admins bereits attackierte Firewalls erkennen können. In diesem Beitrag gibt es auch weiterführende Informationen zur Lücke und betroffenen Modellen.
(des)
Illustrierte Reise nach New York City › PAGE online
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
SK Rapid Wien erneuert visuelle Identität
Neue PC-Spiele im November 2025: „Anno 117: Pax Romana“
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Donnerstag: Deutsches Flugtaxi-Start-up am Ende, KI-Rechenzentren mit ARM-Chips
Arndt Benedikt rebranded GreatVita › PAGE online
