Cisco Evolved Programmable Network Manager, Meeting Management, Prime Infrastructure, Secure Web Appliance und TelePresence Collaboration Endpoint sind verwundbar. Sind Attacken erfolgreich, kann Schadcode auf Systeme gelangen. Es kann außerdem zu Abstürzen kommen. Zurzeit gibt es seitens Cisco keine Hinweise darauf, dass Angreifer die Lücken bereits ausnutzen.

Mehrere Sicherheitslücken

Am gefährlichsten gilt eine Lücke (CVE-2026-20098 „hoch“) in Cisco Meeting Management. Für eine Attacke müssen Angreifer aber bereits authentifiziert sein. Ist diese Hürde genommen, können sie aufgrund von unzureichenden Überprüfungen über präparierte HTTP-Anfragen Systemdateien überschreiben. Klappt eine solche Attacke, sind Angreifer Root-Nutzer und kompromittieren Systeme aus dieser Position vollständig.

Eine DoS-Lücke (CVE-2026-20119) in TelePresence Collaboration Endpoint Software und RoomOS Software ist mit dem Bedrohungsgrad „hoch“ eingestuft. An dieser Stelle kann eine manipulierte Meetingeinladung Abstürze auslösen. So wie sich die Beschreibung der Lücke liest, muss ein Opfer dafür nicht mitspielen. Eine Annahme so einer Einladung ist demzufolge nicht nötig.

Nutzen Angreifer die verbleibenden Schwachstellen erfolgreich aus, sind XSS-Attacken (Prime Infrastructure, CVE-2026-20111 „mittel“) und Umleitungen auf eine bösartige Website möglich (Evolved Programmable Network Manager und Cisco Prime Infrastructure, CVE-2026-20123 „mittel“). Zusätzlich ist das Umgehen des Malware-Scanners im Kontext von Secure Web Appliance vorstellbar (CVE-2026-20056 „mittel“).

Weiterführende Informationen zu den Lücken und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:

(des)

Die Thüringer Brombeer-Koalition aus CDU, BSW und SPD will nun ebenfalls ein High-Tech-Ermittlungsarsenal für ihre Landespolizei. Eine entsprechende Novelle des Polizeigesetzes wurde heute erstmals im Landtag beraten.

Unter den zahlreichen neuen Befugnissen findet sich beispielsweise das Recht zur Nutzung eines Systems, das anhand von Videobildern illegales Verhalten automatisch erkennen soll. Mit solchen Systemen wird für gewöhnlich öffentlicher Raum überwacht, in Thüringen soll der Verhaltensscanner auch in Gefängnissen zum Einsatz kommen dürfen und dort Gefahrensituationen registrieren.

Ein Prototyp einer Verhaltensscanner-Software wird seit 2018 in Mannheim mit den Bildern oft nichts ahnender Passant*innen trainiert. Die Polizei kann keinen einzigen Fall nennen, bei dem es eine Ermittlung unterstützt hätte. Dennoch wollen immer mehr Bundesländer das System einführen. In Hamburg läuft es bereits, Baden-Württemberg und Berlin haben kürzlich die Gesetzesgrundlage dazu geschaffen, in Schleswig-Holstein und Sachsen ist eine solche geplant.

„Wir wären wie eine Insel für Kriminelle“

Der thüringische Innenminister Georg Maier, SPD, sagt zum geplanten polizeilichen KI-Einsatz: „Es wäre fatal, wenn wir als einziges Bundesland darauf verzichten würden. Wir wären wie eine Insel für Kriminelle, die hier geringeren Ermittlungsdruck spüren würden.“

Katharina König-Preuss von Die Linke sagt: „Das Problem ist, wer irgendwann in der Lage sein wird, solche Software zu nutzen.“ Sie verweist beispielhaft auf totalitäre Bestrebungen in den USA. In dem debattierten Gesetzespaket sieht sie einen „massiven Grundrechtseingriff“.

Ähnlich umstritten ist eine weitere Befugnis aus dem geplanten Thüringer Polizeigesetz: das Recht, automatisierte Datenanalysen durchzuführen, wie sie beispielsweise mit Produkten von Palantir möglich sind. Die Einführung dieser Befugnis hatte in Baden-Württemberg viele Menschen im Protest auf die Straße getrieben. In Thüringen scheint sie weniger Interesse zu erregen. Derartige automatisierte Datenanalysen werden in den USA beispielsweise dazu genutzt, um Informationen über Menschen zu sammeln, die deportiert werden sollen. In Thüringen dürfen bei Gefahr für die öffentliche Sicherheit auch Daten in die Analyse einfließen, die bei der verdeckten Überwachung von Wohnraum oder Privatgeräten zusammengetragen wurden.

Ausschluss des Marktführers

Thüringens Innenminister Maier stellt in der Debatte klar, dass er keine Produkte des verrufenen Software-Herstellers Palantir für derartige Big-Data-Analysen nutzen möchte. Eine andere Firma soll dabei zum Zuge kommen. „Eine wie auch immer geartete Zusammenarbeit mit der US-amerikanischen Firma Palantir wird es mit mir nicht geben“, sagt er.

Die Novelle des Polizeigesetzes soll den Thüringer Beamt*innen noch weitere datenschutzrechtlich problematische Befugnisse bringen. So sollen beispielsweise Personen, die vom Verhaltensscanner bei einer Straftat ertappt werden, automatisch über mehrere Kameras hinweg verfolgt werden können.

Außerdem soll der Gesetzentwurf den Aufbau einer Gesichtersuchmaschine ermöglichen, die mit frei zugänglichen Bildern aus dem Internet gefüttert wird. Dabei verbietet der AI-Act der EU das Anlegen von Datenbanken, die ungezielt Gesichtsbilder aus dem Internet auslesen. Nach dem Gesetzentwurf dürfte die Polizei auch Stimmen-Samples aus dem Netz extrahieren, um diese automatisiert mit anderen Stimmproben zu vergleichen.

Drohnen, die Handys jagen

Auch den Einsatz von Kennzeichenscannern ermöglicht der Gesetzentwurf. Damit dürften von Fahrzeugen, die zur Kontrolle ausgeschrieben sind, sogar Bewegungsprofile erstellt werden.

Ein weiteres Spielzeug, das das thüringische Innenministerium den Polizist*innen des Bundeslandes zur Verfügung stellen möchte, sind Videodrohnen, die zum Beispiel bei öffentlichen Veranstaltungen eingesetzt werden sollen. Außerdem könnten dem Gesetz nach Drohnen die Funktion eines IMSI-Catchers übernehmen und Standorte sowie Geräte- und Kartennummern von Mobiltelefonen ermitteln. Derartige Standortabfragen sollen künftig auch bei Mobiltelefonen erlaubt sein, deren Besitzer*innen nicht kriminell sind, sondern als vermisst gemeldet wurden.

Elektronische Fußfesseln sollen dem Gesetz nach nicht nur gegen Sexualstraftäter eingesetzt werden, sondern beispielsweise auch bei Menschen, die „eine Gefahr für Anlagen mit unmittelbarer Bedeutung für das Gemeinwesen“ darstellen. Demnach könnten die Tracker wohl theoretisch auch Menschen angelegt werden, die planen, eine Straße zu blockieren.

Zudem erlaubt das geplante Polizeigesetz den Einsatz von Distanzelektroimpulsgeräten, auch Taser genannt. Die werden oft gegen Menschen in psychischen Ausnahmesituationen genutzt und führen immer wieder zu Todesfällen.

Die Verbraucherzentralen haben den „Fake-Check Geldanlage“ in Dienst gestellt. Der Online-Fragebogen hilft potenziellen Anlegern, deutliche Warnzeichen vor möglichem Betrug zu erkennen.

Der „Fake-Check Geldanlage“ ist auf der Webseite der Verbraucherzentrale Nordrhein-Westfalen zugänglich. Es handelt sich um ein kostenloses Online-Tool, das eine erste Einschätzung liefert, „ob ein konkretes Investment-Angebot unseriös sein könnte“.

Verlockende, professionell aufgemachte Angebote

Das Problem ist, dass viele betrügerische Angebote verlockend sind und zudem auch professionell aufgemachte Webseiten einen seriösen Eindruck vermitteln. Dabei führen unseriöse Angebote, die etwa durch aggressive Werbung in sozialen Medien und Versprechen von schnellen Gewinnen auffallen, „immer wieder zu hohen Verlusten bei Verbraucherinnen und Verbrauchern“, erklären die Verbraucherzentralen. Häufig finden solche Betrugsversuche mit vermeintlichen Krypto-Investments, Forex-Trading (Devisenhandel) oder spekulativen CFDs (Contract for Difference, Differenzkontrakt) statt.

Die Anbieter versprechen hohe und schnell erreichbare Renditen und bieten mit „Brokern“ vermeintlich professionelle Unterstützung; zudem bieten sie angeblich einfache Möglichkeiten, etwa aus Bitcoin- oder anderen Kursbewegungen Profit zu schlagen. Daraus ergeben sich bereits Warnsignale: Versprechen hoher Gewinne bei keinem oder geringem Risiko, das Aufbauen von Zeitdruck, Kontaktaufnahme über Telefon, Messenger, soziale Medien oder E-Mail, und das Verzögern oder Blockieren von Auszahlung oder deren Verknüpfung mit weiteren Bedingungen. „Bei den Verbraucherzentralen häufen sich Fälle, in denen Sparerinnen und Sparer große Teile ihres Ersparten über solche Online-Trading-Plattformen verlieren“, erklären die Verbraucherzentralen.

Um dem etwas entgegenzusetzen, haben die Verbraucherschützer nun den „Fake-Check Geldanlage“ ins Leben gerufen. Der lässt sich kostenlos, anonym und ohne Registrierung nutzen, um ein Investment-Angebot auf potenzielle Warnzeichen für betrügerische Machenschaften abzuklopfen. Dazu stellt das Tool Fragen, die die typischen Warnzeichen betreffen, und liefert am Ende eine Einschätzung, ob solche Warnzeichen vorliegen.

Sofern der „Fake-Check Geldanlage“ vor Betrug warnt, sollten Nutzerinnen und Nutzer kein weiteres Geld überweisen. Vielmehr sollten sie alle Daten zum Anbieter notieren und Unterlagen, E-Mails, Chatverläufe und Kontoauszüge sichern und den Kontakt zur Plattform abbrechen, raten die Autoren. Dazu sollen potenzielle Opfer keinen Fernzugriff auf den Rechner zulassen und keine zusätzlichen Apps installieren, die die Plattform empfiehlt. Anschließend sollten Betroffene die verdächtige Geldanlage der Polizei oder gar der BaFin melden. Außerdem können sie Hilfe bei der Verbraucherzentrale vor Ort erhalten.

(dmk)