Im Firewall-Betriebssystem SonicOS von SonicWall haben IT-Forscher drei Sicherheitslücken entdeckt. Angreifer können dadurch unter Umständen etwa unberechtigt auf das Management-Interface zugreifen.

Davor warnt SonicWall in einer Sicherheitsmitteilung. Am schwersten wiegt eine Schwachstelle, die die Entwickler als schwache Authentifizierung einstufen. Dadurch können Angreifer unbefugt auf bestimmte, nicht genannte Management-Interface-Funktionen zugreifen – unter ebenfalls nicht genannten Umständen (CVE-2026-0204, CVSS 8.0, Risiko „hoch“). Angemeldete Nutzerinnen und Nutzer können zudem eine Path-Traversal-Schwachstelle ausnutzen und dadurch mit eigentlich zugriffsbeschränkten Diensten interagieren (CVE-2026-0205, CVSS 6.8, Risiko „mittel“). Und schließlich ist SonicOS für einen Denial-of-Service anfällig, da angemeldete User einen Stack-basierten Pufferüberlauf provozieren und so die Firewall abstürzen lassen können (CVE-2026-0206, CVSS 4.9, Risiko „mittel“).

Alle drei Lücken wurden von CrowdStrike gemeldet. Sie scheinen noch nicht attackiert zu werden, dazu schreibt SonicWall nichts.

Fehlerkorrekturen

Die Sicherheitslücken stopft SonicWall mit den Versionen 6.5.5.2-28n für die Gen6-Hardware-Firewalls, 7.3.2-7010 für Gen7-Geräte und 8.2.0-8009 für die Gen8-Firewalls des SonicOS-Betriebssystems. Für die Firmware 6.5.5.2-28n merkt SonicWall an, dass ein Downgrade auf vorherige Firmware-Versionen damit nicht unterstützt wird – wer das versucht, läuft Gefahr, alle LDAP-User und MFA-Einstellungen zu löschen respektive zurückzusetzen.

IT-Admins, die SonicWall-Firewalls und SSLVPNs einsetzen, können als temporäre Gegenmaßnahme bis zum Anwenden der Aktualisierungen das Management-Interface komplett deaktivieren und SSLVPN auf allen Interfaces abschalten. Die Verwaltung sollen sie dann auf den SSH-Zugang beschränken.

Admins sollten jedoch zügig aktiv werden. Sicherheitslücken in SonicWall-Firmware sind auch bei Cyberkriminellen hoch im Kurs – vergangenen Dezember haben sie eine Schwachstelle in SMA1000-Appliances attackiert.

(dmk)

Mehr Sicherheit sollen drei Gesetzentwürfe bringen, die das Bundeskabinett am heutigen Mittwoch beschlossen hat. Der „Gesetzentwurf zur Stärkung digitaler Ermittlungsbefugnisse in der Polizeiarbeit“, der „Gesetzentwurf zur Stärkung digitaler Ermittlungsbefugnisse zur Abwehr von Gefahren des internationalen Terrorismus“ und der „Gesetzentwurf zur Änderung der Strafprozessordnung“ legen die Grundlage dafür, dass Ermittlungsbehörden Gesichtsbilder mit Aufnahmen aus dem Internet abgleichen können und automatisierte Datenanalysen durchführen dürfen. Warum sie das brauchen? Unter anderem wegen der „hohen abstrakten Bedrohungslage“, erklärt der Vorspann der Entwürfe.

Dass dieses Paket jede Menge neue Überwachungsbefugnisse bringen soll und tief in Grundrechte eingreift, haben Datenschützer:innen und Bürgerrechtsorganisationen überdeutlich und immer wieder kritisiert. Darauf hören will die Bundesregierung offenkundig nicht.

Eingeschränktes Sicherheitsverständnis

Damit offenbart sie nicht nur, dass ihr die fachlichen Einwände egal sind und sie in Kauf nimmt, dass das heute geplante Gesetz später vor einem Verfassungsgericht wieder fallen könnte. Sie präsentiert auch ein hochgradig beschränktes Verständnis von Sicherheit. Und das gefährdet uns alle.

Sicherheit ist in der Welt der Merz-Regierung ein Schlagwort, um Kontroll- und Ordnungspolitik durchzusetzen. Das ist kein neuer Kurs, auch Vorgängerregierungen setzten auf immer mehr Gesetzesverschärfungen im Namen der Sicherheit, während andere Sicherheitsbereiche aus dem Blick gerieten.

Das war einmal anders. In seiner Regierungserklärung im Jahr 1969 sagte Willy Brandt: „Dauerhafte Sicherheit kann es in einer entwickelten Gesellschaft nur durch Veränderung geben.“ Und er sprach danach zuerst von Bildungspolitik und finanzieller Stabilität. Sein Verständnis und das der damaligen Politik machten nicht an Polizeibefugnissen und militärischer Stärke halt. Ja, auch Verbrechensbekämpfung und Militärbündnisse kamen in seiner Rede vor. Aber sie waren nicht die einzigen Aspekte eines Sicherheitsbegriffs, sondern zwei Faktoren von vielen, die in einer Gesellschaft wichtig sind.

Sicherheit ist mehr als Verbrechensbekämpfung

Wenn wir Sicherheit nur auf Verbrechensbekämpfung beziehen, verlieren wir die Gesamtheit unserer Lebensgrundlagen aus dem Blick.

Sicherheit ist, dass Menschen in Ruhe gesunden können, wenn sie krank geworden sind – ohne dass sie Nachteile fürchten müssen. Und nicht, dass ein Bundeskanzler ihnen Müßiggang unterstellt und sie dazu aufruft, mehr zu arbeiten.

Sicherheit ist, wenn sich eine Regierung darum kümmert, dass Menschen sich auch in Zukunft Strom, Heizung und Mobilität leisten können. Und nicht, dass sie sich mit einer fossilverliebten Energiepolitik an den untergangsgeweihten Status Quo klammert.

Sicherheit ist, wenn Menschen sich ohne Angst frei entfalten und an der Gesellschaft teilhaben können – egal wo sie herkommen, wer sie sind oder ob sie in der Mehrheitsgesellschaft auffallen. Dazu passt weder der Kurs der Merz-Regierung zum Selbstbestimmungsgesetz noch zum Asylrecht und vielen anderen Bereichen.

Sicherheit ist kein Supergrundrecht

Und das wichtigste: Grundrechte müssen die Basis für jegliche Sicherheitspolitik sein. Denn ohne Grundrechte gefährden wir unsere Demokratie. Und eine Bundesregierung darf nicht selbst an deren Schwächung arbeiten. Sicherheit ist kein Supergrundrecht, wie der einstige CSU-Innenminister Hans-Peter Friedrich es vor mehr als zehn Jahren zu kolportieren versuchte.

Wenn es schon ein Supergrundrecht geben soll, ist das zweifelsohne die unantastbare Menschenwürde. Sicherheit kommt in der Liste der Grundrechte so nicht vor. Doch umgekehrt sind die Rechte, die in unserer Verfassung verankert sind, Basis für jede Sicherheit, die wir als Menschen in einem demokratischen Staat haben können.

Grundrechte können eingeschränkt werden, das stimmt. Aber dafür gibt es Voraussetzungen: Die entsprechenden Maßnahmen müssen geeignet, erforderlich und verhältnismäßig sein. Und dass das im Fall der derzeit vorgelegten Gesetzentwürfe der Fall wäre, daran – damit wieder zurück zur Kritik vom Anfang – zweifeln Fachleute stark.

Ein Gegenteil von Sicherheit ist Verunsicherung

Wir dürfen nicht aufhören, diese Kritik zu üben. An jeder einzelnen Maßnahme, die Grundrechte im Übermaß beschneiden. Wir dürfen auch nicht aufhören zu fordern, dass wir eine evidenzbasierte sogenannte Sicherheitspolitik brauchen, die sich aus mehr speist als performativer Innovationsinszenierung und schnellen technischen, vermeintlichen Antworten auf tieferliegende Probleme.

Aber wir dürfen dabei nicht vergessen, dass Sicherheit mehr ist als das, was in Polizei- und Strafgesetzen steht. Wer Menschen immer wieder verunsichert, versteht Sicherheit falsch. Und das kann schnell gefährlich werden.

Die EU-Institutionen können sich weiter nicht auf eine abgeschwächte Fassung der KI-Verordnung einigen. Medienberichten zufolge sind gut zwölfstündige Trilog-Verhandlungen zwischen dem Europäischen Parlament, dem Rat und der Kommission am Dienstag gescheitert.

Ein zentraler Streitpunkt war offenbar eine vorgeschlagene Ausnahme für risikoreiche KI-Systeme in der Industrie, wie Table Media [€] berichtet. Das Parlament hatte demzufolge vorgeschlagen, die sektorspezifischen Regelungen zu ändern: Industriemaschinen sollten demnach aus der Hochrisiko‑Kategorie herausfallen. Entscheidend für eine Einstufung als Hochrisiko sollte stattdessen die tatsächliche Sicherheitsfunktion der KI werden. Rat und Parlament sind sich in dieser Frage jedoch uneins.

Gestritten wurde dem Bericht zufolge zudem über ein Verbot sogenannte „Nudifier“-Anwendungen. Das sind generative KI‑Systeme, die Menschen auf Foto- oder Videomaterial entkleiden können. Das Parlament möchte nicht‑einvernehmliche intime Inhalte verhindern, es konnte jedoch keine Einigung darüber erzielt werden, welche Körperteile darunterfallen.

Das kritisiert unter anderem Eva Lejla Podgoršek, Senior Policy Managerin bei AlgorithmWatch. Es sei wichtig, „dass die wenigen guten Vorschläge nicht unter die Räder geraten.“ Das geplante Verbot von KI-Systemen, die nicht einvernehmliche sexualisierende Deepfakes ermöglichen, sei ein wichtiger Baustein, um Betroffene wirksam zu schützen.

Wenn drei sich streiten, freut sich niemand

Die Anpassungen der bereits im August 2024 in Kraft getretenen KI-Verordnung sollen im Rahmen des sogenannten Digitalen Omnibus erfolgen. Mit dem von der EU-Kommission vorgeschlagenen Gesetzespaket sollen Vorschriften im digitalen Sektor vereinfacht werden, um bürokratische Hürden für Unternehmen abzubauen und Europas Wettbewerbsfähigkeit zu steigern. Das Paket ist jedoch umstritten. Es enthält auch Lockerungen der Datenschutzgrundverordnung, etwa beim Training von KI mit personenbezogenen Daten oder einer Neudefinition personenbezogener Daten.

Während die Verhandlungen über den Daten-Omnibus sich offenbar länger hinziehen, machten die Beratungen über den KI-Omnibus schnell Fortschritte. Die Zeit drängt: Zentrale Pflichten des AI Acts für besonders risikoreiche KI-Systeme werden ab dem 2. August 2026 wirksam. Diese Fristen sollen mit dem Omnibus aufgeschoben werden. Gestern sind die finalen Verhandlungen allerdings bereits zum zweiten Mal geplatzt.

Laut Table Briefings sieht die zypriotische Ratspräsidentschaft keine Schuld bei sich: „Wir sind mit einer sehr konstruktiven Haltung in die heutige Sitzung gegangen und haben konkrete Vorschläge zur Lösungsfindung unterbreitet“. Man habe während der Verhandlungen ein hohes Maß an Flexibilität gezeigt, aber keine Einigung mit dem Europäischen Parlament erzielen können. Das Ziel der Vereinfachung werde jedoch weiterhin verfolgt.

Stimmen aus dem Parlament sehen dies anders. Es sei „inakzeptabel, dass die Ratspräsidentschaft nicht bereit war, einen substanziellen Kompromiss zu machen, um die Überregulierung von KI zu beenden“, sagte die Europaabgeordnete Svenja Hahn (FDP). Michael McNamara (parteilos), Verhandlungsführer für das EU-Parlament, räumte in einem Interview mit Tech Policy Press jedoch selbst ein, dass die vorgeschlagene Verlagerung in sektorale Gesetze „eher zu Deregulierung als zu einer Vereinfachung führen könnte“.

Schwere Vorwürfe kommen von den Grünen im EU-Parlament, insbesondere gegenüber deutschen Konservativen, wie Euractiv berichtet. Sie werfen der Europäischen Volkspartei vor, das Omnibus-Gesetz bewusst zu verzögern und dabei auch die Hilfe von rechtsextremen Parteien im Parlament in Anspruch zu nehmen. Merz wolle noch weitergehende Lockerungen der KI-Regeln, als sie derzeit verhandelt würden. Das wiederholte Scheitern lassen der Verhandlungen sei ein Schachzug, um Zeit zu gewinnen und so die Positionen der EU-Mitgliedstaaten zu beeinflussen.