Die EU setzt ein Zeichen gegen staatlich gestützte Cyberkriminalität: Sie hat am Montag weitreichende Sanktionen gegen drei Organisationen sowie zwei Einzelpersonen aus dem Iran und China verhängt.

Cyberangriff auf Charlie Hebdo

Im Zentrum der Maßnahmen steht die iranische Gruppe Emennet Pasargad, die für eine Cyberattacke auf das französische Satiremagazin Charlie Hebdo verantwortlich sein soll. Nachdem die Zeitschrift Karikaturen des damaligen obersten Führers des Iran veröffentlicht hatte, drangen die Angreifer in die Abonnentendatenbank ein und boten sensible Daten im Dark Web zum Verkauf an.

Über diesen Racheakt hinaus war die Emennet Pasargad laut dem EU-Rat an der Manipulation digitaler Werbetafeln beteiligt, die während der Olympischen Spiele 2024 in Paris zur Verbreitung von Desinformation missbraucht wurden. Auch an einem Angriff auf einen schwedischen SMS-Dienst soll die Firma beteiligt gewesen sein, was weitreichende Auswirkungen auf EU-Bürger hatte.

Chinesische Akteure

Parallel nimmt die EU chinesische Akteure ins Visier, die im großen Stil digitale Infrastrukturen unterwandert haben sollen. Die Integrity Technology Group soll technische Mittel geliefert haben, mit denen zwischen 2022 und 2023 mehr als 65.000 Geräte in sechs EU-Mitgliedstaaten gehackt wurden. Die Tarnfirma wird zudem mit der Spionagegruppe Flax Typhoon in Verbindung gebracht.

Zugleich sanktioniert die EU nach Großbritannien das Unternehmen Anxun Information Technology (i-Soon) sowie die Mitgründer Chen Cheng und Wu Haibo. Vorwurf: gezielte Angriffe auf kritische Infrastrukturen und staatliche Funktionen in Europa, der Verkauf gestohlener klassifizierter Informationen als „Hack-for-Hire“-Dienstleistung. Die US-Justiz hatte bereits im März 2025 Anklage gegen Beteiligte dieses Netzwerks erhoben, da es im Auftrag chinesischer Sicherheitsdienste agiert haben soll.

Sämtliche Vermögenswerte der Betroffenen innerhalb der EU werden eingefroren. Bürgern aus der Gemeinschaft sowie dort ansässigen Firmen ist es untersagt, ihnen Gelder oder wirtschaftliche Ressourcen zur Verfügung zu stellen. Für die natürlichen Personen gelten ferner strikte Einreise- und Durchreiseverbote für das gesamte Hoheitsgebiet der Mitgliedstaaten. Mit diesem Schritt, der im Rahmen der „Cyber Diplomacy Toolbox“ erfolgt, umfasst die Sanktionsliste nun insgesamt 19 Personen und sieben Organisationen. Die EU unterstreicht damit ihre Entschlossenheit, böswillige Cyberaktivitäten nicht länger unbeantwortet zu lassen und die eigene Sicherheit sowie die Integrität ihrer Partner besser zu schützen.

(vbr)

Eine Schwachstelle in den Standard-Installationen von Ubuntu Desktop ermöglicht Angreifern, auf verwundbaren Systemen root-Rechte zu erlangen. Damit können bösartige Akteure anfällige Systeme vollständig kompromittieren. Aktualisierte Pakete stehen bereit.

Die IT-Forscher von Qualys haben die Schwachstelle entdeckt. In einem Blog-Beitrag erklären sie das Problem, das auf nicht beabsichtigten Wechselwirkungen von zwei Werkzeugen mit erhöhten Rechten basiert. „snap-confine“ soll Snap-Apps in einer Art Sandbox isolieren und die Sicherheit etwa durch das Einrichten von privaten Namespaces gewährleisten, mit set-user-ID-root (SUID). Der Dienst „systemd-tmpfiles“ entrümpelt temporäre Dateien und Verzeichnisse, die älter als ein definierter Zeitraum sind.

Ein Angriff ist durch den langen Zeitraum, den Angreifer bis zum potenziellen Erfolg warten müssen, als komplex eingestuft. In Ubuntu 24.04 dauert es bis zu 30 Tage, in jüngeren Versionen 10 Tage, bis der systemd die kritischen „/tmp/.snap“-Verzeichnisse löscht. Sofern das Verzeichnis gelöscht wurde, können bösartige Akteure es mit niedrigen Rechten im System neu erstellen und bösartigen Code dort ablegen. Bei der nächsten Initialisierung der snapd-Sandbox durch „snap-confine“ bindet das Tool diese Dateien als root ein, wodurch beliebiger Code im root-Kontext ausgeführt werden kann (CVE-2026-3888, CVSS 7.8, Risiko „hoch“).

Updates stopfen das Sicherheitsleck

Ubuntu stellt aktualisierte snapd-Pakete bereit, die die Schwachstelle ausbessern. Für Ubuntu 24.04 LTS löst snapd 2.73+ubuntu24.04.1 das Problem, in 25.10 snapd 2.73+ubuntu25.10.1, in der derzeit in Entwicklung befindlichen 26.04 LTS (Dev) hingegen snapd 2.74.1+ubuntu26.04.1; im Upstream von snapd sind Versionen ab 2.75 fehlerbereinigt. Auch, wenn ältere Ubuntu-Versionen von 16.04 bis 22.04 LTS in der Standardeinstellung nicht verwundbar sind, empfiehlt Qualys die Installation der aktualisierten snapd-Pakete.

Für die alten Ubuntu-Versionen können Admins im Rahmen einer Ubuntu-Pro-Lizenz noch Software-Updates bekommen. Im November 2025 gab Canonical bekannt, dass ab Ubuntu 14.04 bis zu 15 Jahre Sicherheitsupdates im Rahmen dieses Programms erhältlich sind. Damit lässt sich das alte Ubuntu bis ins Jahr 2029 sicher betreiben.

(dmk)

Mehr als 1.300 Demonstrierende kesselte die Polizei im Juni 2023 ein. Bis zu elf Stunden lang mussten die Menschen im Leipziger Kessel verharren, darunter auch unbeteiligte Anwohner:innen, Jugendliche und Kinder. Die Polizei nahm Personalien auf, teilte Anzeigen aus und leitete die Daten an den Verfassungsschutz weiter.

Bald drei Jahre später ist die Sache noch lange nicht ausgestanden. Der harte Einsatz der Polizei, die später Fehler einräumen musste, geriet in die Kritik. Zwar gab es im Umfeld der Demonstration gewalttätige Auseinandersetzungen. Im Dezember wurde indes bekannt, dass 85 Prozent der Ermittlungsverfahren wegen des Vorwurfs des schweren Landfriedensbruchs eingestellt werden mussten.

Nun klagt die Aktivistin Jona, gemeinsam mit der Gesellschaft für Freiheitsrechte (GFF), gegen den bayerischen Verfassungsschutz vor dem Verwaltungsgericht München. Ihre Daten musste sie beim Verlassen des Kessels dem Sächsischen Landeskriminalamt übergeben, der leitete sie an das Sächsische Landesamt für Verfassungsschutz weiter. Von dort flossen sie nach Bayern, wo die Aktivistin ihren Wohnsitz hat.

Stigmatisiert ohne Fehlverhalten

Obwohl Jona kein konkretes Fehlverhalten vorgeworfen wird – ein gegen sie eingeleitetes Strafverfahren wegen Landfriedensbruch wurde eingestellt –, sind ihre Daten weiterhin beim bayerischen Verfassungsschutz gespeichert. Laut der Klageschrift geht es neben ihrer Teilnahme an der Demonstration am sogenannten „Tag X“ in Leipzig auch um eine Anzeige im März 2024.

Zum einen will Jona mit der Klage erreichen, dass ihre Daten beim Verfassungsschutz gelöscht werden. Bislang weigert sich die Behörde mit der Begründung, Jona habe mit ihrer Teilnahme an der Versammlung die linksextreme Szene unterstützt. Zum anderen will die GFF grundsätzlich gerichtlich klarstellen lassen, dass die Teilnahme an einer Demonstration nicht Anlass für das Speichern von Daten beim Verfassungsschutz werden darf.

„Demokratie lebt von Protest“, sagt Luise Bublitz, Juristin und Verfahrenskoordinatorin bei der GFF. „Wenn Menschen befürchten müssen, dass ihre Daten wegen der bloßen Teilnahme an einer Demonstration beim Verfassungsschutz landen, entsteht ein Gefühl staatlicher Beobachtung.“ Politische Teilhabe dürfe nicht zum Risiko werden, so Bublitz.

Schwammige Gefahr

Dabei lässt sich das Risiko schwer einschätzen. So sei nicht klar definiert, was genau als „linksextreme Szene“ gilt, die Jona angeblich unterstützen würde, führt die GFF aus. Zwar dürfe der Verfassungsschutz Daten von Menschen speichern, aber nur dann, wenn es tatsächliche Anhaltspunkte dafür gibt, dass Personen Bestrebungen gegen die freiheitliche demokratische Grundordnung unterstützen. An einer legalen Versammlung teilzunehmen, sollte dafür nicht ausreichen, so die Grundrechteorganisation.

Was mit solchen Daten geschieht, bleibt oft unklar. So hatte etwa kürzlich der konservative Kulturstaatsminister Wolfram Weimer drei Buchhandlungen vom Deutschen Buchhandlungspreis ausgeschlossen. Im Rahmen des sogenannten Haber-Verfahrens hatte ihm der Verfassungsschutz zurückgemeldet, dass gegen die Buchhandlungen geheimdienstliche Erkenntnisse vorliegen würden.

Einträge mit Konsequenzen

Welche das genau sind, ist öffentlich nicht bekannt. Der Süddeutschen Zeitung zufolge soll einer der Buchläden einst eine Rolle im „Kommunikationsnetzwerk der RAF“ gespielt haben, ein anderer auf seiner Fassade „Deutschland verrecke“ stehen gehabt haben. Offenbar Grund genug, um die Buchhandlungen außerhalb des Verfassungsbogens zu stellen: Das Haber-Verfahren kann immer dann zum Zug kommen, wenn es um staatliche Förderung von Projekten geht, etwa von Nichtregierungsorganisationen.

Der „chilling effect“, vor dem die GFF nun warnt, der Menschen davon abschrecken könnte, ihre Grundrechte öffentlich auszuüben, könnte sich also nicht nur auf die Teilnahme an Demonstrationen beschränken. Zudem betreffe der Fall nicht nur eine einzelne Aktivistin, betont die GFF. Es gehe um die grundsätzliche Frage, wie weit Verfassungsschutzbehörden beim Erfassen und Speichern personenbezogener Daten nach Versammlungen gehen dürfen: „Die aktuelle Speicherpraxis ist eine Gefahr für die engagierte Zivilgesellschaft und die freie demokratische Meinungs- und Willensbildung“, so die GFF.