Laut Polizeigesetz von Baden-Württemberg ist Videoüberwachung des öffentlichen Raums erlaubt, wenn dort besonders viel Kriminalität stattfindet und das auch in Zukunft zu erwarten ist. Boris Palmer, Ex-Grüner und nun parteiloser Oberbürgermeister von Tübingen, wollte auf Basis dieses Gesetzes Kameras im Bereich vor dem Hauptbahnhof errichten lassen.

Doch der Landesdatenschutzbeauftragte von Baden-Württemberg, Tobias Keber, stellte sich gegen den Plan. In dem Areal finde gar nicht übermäßig viel Kriminalität statt, zuletzt seien die Zahlen sogar gesunken, argumentierte er. „Bei der Videoüberwachung handelt es sich um eine Maßnahme mit hoher Eingriffsintensität, da großflächig Grundrechte von Bürgerinnen und Bürgern eingeschränkt werden, die hierfür keinen Anlass gegeben haben. Ein solcher Grundrechtseingriff kann ausnahmsweise gerechtfertigt sein“, schrieb er. Die Voraussetzungen für diese Ausnahme seien aber nicht erfüllt.

Auch aus Tübingen selbst gab es Widerstand. Der Verwaltungsausschuss der Stadt beschloss: „Die Stadtverwaltung wird aufgefordert, keine Kameras zur Videoüberwachung auf dem Europaplatz zu installieren.“ Der Gemeinderat strich dem Projekt die Finanzierung.

Videoüberwachung nach Datenschutzgesetz

Boris Palmer und das Tübinger Regierungspräsidium, das die Überwachungspläne unterstützt, haben daraufhin die Rechtsgrundlage gewechselt, mit der sie die Videoüberwachung rechtfertigen. Nun soll nicht mehr nach Polizeigesetz, sondern nach Landesdatenschutzgesetz überwacht werden. Demnach ist Videoüberwachung erlaubt, um Personen zu schützen, die sich in öffentlichen Einrichtungen oder deren Nähe bewegen, oder um Kulturgüter, Gebäude und Sachen zu sichern.

Anfang Februar wurde die Novelle des Landesdatenschutzgesetzes vom Landtag beschlossen. Tübingen soll nun zum Vorreiter in der Nutzung dieses Gesetzes zur Videoüberwachung werden.

Ob dessen sehr niedrige Eingriffsschwelle reicht, um die massiven Persönlichkeitsrechtsverletzungen aller Passant*innen an diesem belebten Areal zu rechtfertigen, ist fragwürdig. Gerade prüft der Landesdatenschutzbeauftragte das Vorgehen.

Sechs Kameras geplant

Das Regierungspräsidium teilte dem Reutlinger General-Anzeiger (GEA) mit, „dass die Videoüberwachung am Europaplatz in Tübingen mit den im Landesdatenschutzgesetz genannten Zielen begründet werden kann und es der polizeirechtlichen Begründung nicht mehr bedarf“. Die Überwachung werde deshalb nun eingeführt. Die Stadtverwaltung ließ GEA wissen, dass man bereits Angebote für die Installation von sechs Kameras einhole.

Und auch die Tatsache, dass der Gemeinderat die finanziellen Mittel für die Überwachng gesperrt hat, will die Verwaltung unter Boris Palmer umgehen. Sie verkündete gegenüber dem SWR, dass man ja Mittel umschichten könne, bis zu 70.000 Euro könne Palmer auch freihändig investieren. 20.000 Euro sollen die sechs Kameras kosten.

Dabei gab Palmer in einer Stellungnahme gegenüber dem Jugendgemeindebeirat zu, dass es auch andere Möglichkeiten gäbe, das Sicherheitsgefühl der Bevölkerung vor dem Bahnhof zu steigern, die weniger in das Persönlichkeitsrecht eingreifen: Notrufsäulen, verbesserte Beleuchtung, verstärkte Bestreifung.

Die kriminelle Online-Bande ShinyHunters hat Daten von Nutzern und Nutzerinnen bei dem Fahrzeug-Verkaufsdienstleister CarGurus Inc. kopiert. Nach offenbar fehlgeschlagenem Erpressungsversuch des seit 2017 auch in Deutschland aktiven Unternehmens sind die Daten nun öffentlich. Das Prüfangebot Have-I-Been-Pwned (HIBP) von Troy Hunt hat die Daten aufgenommen. Wer die Plattform genutzt hat, kann dort jetzt prüfen, ob die eigenen Informationen betroffen sind.

Wie Hunt auf der Have-I-Been-Pwned-Übersichtsseite zu den Datenlecks schreibt, umfassen die veröffentlichten Daten mehr als 12 Millionen E-Mail-Adressen in mehreren Dateien. Zudem sind Nutzerkonten-IDs enthalten, Daten aus finanziellen Vorprüfungen, Händlerkonten sowie Abo-Informationen. Hunt führt weiter aus, dass auch Namen, Telefonnummern, Anschriften und IP-Adressen sowie der Ausgang von Finanzierungsanfragen betroffen sind.

CarGurus: Umfangreicher Datensatz kopiert

Laut der Leaksite von ShinyHunters im Darknet sind die Daten komprimiert 6,1 GByte groß und umfassen mehr als 12,4 Millionen Einträge – das deckt sich mit den Angaben von Troy Hunt. Die Cyberbande hat die Daten demnach am vergangenen Samstag veröffentlicht. Hunt hat sie am gestrigen Sonntag in die HIBP-Datensammlung eingepflegt.

ShinyHunters fielen etwa Mitte Dezember auf, als die Kriminellen Daten von einem Dienstleister von Pornhub abgegriffen hatten und mit deren Veröffentlichung drohten. Diese gehörten etwa zu Nutzern des Premium-Angebots der Pornografie-Plattform. Zu dem Zeitpunkt war der Darknet-Auftritt der Gruppe offline. Nun ist er jedoch wieder erreichbar.

Wer prüfen möchte, ob die eigene E-Mail-Adresse in diesem oder anderen Datenlecks enthalten ist, kann das einfach auf der Webseite des Have-I-Been-Pwned-Projekts machen. Der Identity Leak Checker des Hasso-Plattner-Instituts bietet einen vergleichbaren Dienst an, ebenso die Universität Bonn mit ihrem eigenen Identity Leak Checker. Anfang November vergangenen Jahres hatte das Have-I-Been-Pwned-Projekt 1,3 Milliarden neu geleakter E-Mail-Adressen zu dem Datenfundus hinzugefügt. Sie stammten von Datensammlungen, die Infostealer-Malware angelegt hatte.

(dmk)

Bei der Verarbeitung von bestimmten Dateitypen durch GIMP kann es zu Fehlern kommen. Das ist ein Einstiegspunkt für Angreifer, um Schadcode auf Computer zu schieben und auszuführen. Eine dagegen abgesicherte Version steht zum Download bereit.

Die Gefahren

Sicherheitsforscher von Trend Micros Zero Day Initiative führen die Lücken in ihrem Portal auf. Wie aus mehreren Warnmeldungen (CVE-2026-2044 „hoch“, CVE-2026-2045 „hoch“, CVE-2026-2047 „hoch“, CVE-2026-2048 „hoch“) hervorgeht, können entfernte Angreifer für Schadcode-Attacken an den Schwachstellen ansetzen. Ob davon alle Betriebssysteme bedroht sind, geht aus den Beiträgen nicht hervor.

Die Fehler finden sich bei der Verarbeitung von ICNS-, PGM- oder XWD-Dateien. Dabei kommt es zu Speicherfehlern und es gelangt Schadcode auf PCs. Das geschieht aber nicht ohne Weiteres: Dazu müssen Angreifer den Opfern eine präparierte Datei unterschieben, die diese dann öffnen. Alternativ können Angreifer präparierte Dateien auf einer von ihnen kontrollierten Website zum Download bereitstellen.

In den Beiträgen der Sicherheitsforscher gibt es keine Hinweise, dass Angreifer die Schwachstellen bereits ausnutzen. Unklar bleibt auch, an welchen Parametern man bereits attackierte Systeme erkennen kann.

Hintergründe

Die Zero Day Initiative gibt an, dass die Sicherheitslücken bereits im November vergangenen Jahres an die GIMP-Entwickler gemeldet wurden. Die Warnmeldungen wurden erst jüngst veröffentlicht. Aus dem Changelog zu GIMP 3.0.8 von Ende Januar dieses Jahres geht hervor, dass die Entwickler die Sicherheitsprobleme gelöst haben. Nutzer sollten sicherstellen, dass sie mindestens diese Version installiert haben.

Zuletzt sorgte GIMP im IT-Security-Kontext im Oktober 2025 für Schlagzeilen, als die Entwickler ebenfalls Schadcode-Schlupflöcher geschlossen haben.

(des)