Finanzminister Lars Klingbeil (SPD) will „eine härtere Gangart“ gegen Schwarzarbeit einlegen. Die wenigen, „die sich auf Kosten der Allgemeinheit bereichern“, sollen „auch dingfest gemacht werden“, kündigte der Minister an. Helfen soll dabei der Gesetzentwurf „zur Modernisierung und Digitalisierung der Schwarzarbeitsbekämpfung“, den das Bundeskabinett gestern beschlossen hat.

Unter Schwarzarbeit werden Arbeitsverhältnisse verstanden, die nicht der Sozialversicherung und dem Finanzamt gemeldet werden. Laut Zoll verursachte diese Form der illegalen Arbeit im vergangenen Jahr einen Schaden in Höhe von insgesamt 766 Millionen Euro.

Der nun verabschiedete Entwurf sieht unter anderem vor, die Finanzkontrolle Schwarzarbeit (FKS) zu einer zentralen Prüfungs- und Ermittlungsbehörde auszubauen. Diese Arbeitseinheit des Zolls soll dafür polizeiähnliche Befugnisse erhalten und noch stärker als „kleine Staatsanwaltschaft“ agieren, wie Klingbeil sagt.

Außerdem soll der Zoll künftig ein durch Künstliche Intelligenz unterstütztes „Risikomanagement“ betreiben und dafür in großem Stil auf Daten anderer Behörden zugreifen.

Polizeiähnliche Befugnisse für die „kleine Staatsanwaltschaft“

Die FKS hat die Aufgabe, „Schwarzarbeit, illegale Beschäftigung und Sozialleistungsbetrug“ zu bekämpfen, indem sie etwa Kontrollen in Betrieben durchführt und Ermittlungen einleitet. Schon jetzt arbeitet sie dabei eng mit der Staatsanwaltschaft, der Polizei und der Bundespolizei zusammen. Künftig soll sie aber ebenbürtig mit anderen Ermittlungsbehörden tätig sein.

Dafür will die Bundesregierung etwa den Katalog der Straftaten so ausweiten, dass die FKS auch Telekommunikation überwachen kann. Sie dürfte dann Gespräche zwischen Personen aufzeichnen, die die „fortgesetzte Erstellung“ von Scheinrechnungen verabreden oder illegale Zahlungen vereinbaren.

Außerdem soll die FKS zu einer „kleinen Staatsanwaltschaft“ ausgebaut werden. Sie könnte dann Verfahren, die sich „auf einfach gelagerte Sachverhalte“ beziehen, eigenständig abschließen und auf diese Weise, so die Absicht der Bundesregierung, die Justiz entlasten.

Direkter Draht zum polizeilichen Informationsverbund

Die FKS soll zudem Zugang zum polizeilichen Informationsverbund erhalten. So soll sie Verdächtige schneller und ohne Amtshilfe der Polizei identifizieren können. Das zentrale Informationssystem dient dem „Austausch von Personen-, Fall- und Sachdaten“ und wird vom Bundeskriminalamt betrieben.

Schon jetzt darf der Zoll eingeschränkt Daten aus dem polizeilichen Informationsverbund abfragen – bislang allerdings nur schriftlich oder telefonisch und in Einzelfällen. Geht es nach der Bundesregierung, darf der Zoll personenbezogene Daten künftig automatisiert abrufen sowie mit den ihm vorliegenden Daten abgleichen.

Dies würde es der FKS ermöglichen, „auf Augenhöhe mit den weiteren Verbundteilnehmern wie bspw. den Polizeien und der Steuerfahndung zu agieren“, heißt es in der Begründung des Gesetzes.

Automatische Datenauswertung fürs Risikomanagement

Erheblich mehr Daten sollen auch beim sogenannten Risikomanagement zum Einsatz kommen. Dafür soll die bisherige Generalzolldirektion zuständig sein, die das Gesetz zur „Zentralstelle der Behörden der Zollverwaltung“ umwandeln würde. Die Zentralstelle soll für die FKS größere Datenmengen auch mit Hilfe von sogenannter Künstlicher Intelligenz automatisiert auswerten.

Als Grundlage für die Risikoanalysen soll ein neues operatives Informations- und Datenanalysesystem (OIDAS) dienen. Das System soll anhand spezieller Risikoindikatoren und -parameter „potentiell verdächtige oder anomale Unternehmensaktivitäten, die auf Schwarzarbeit und illegale Beschäftigung hindeuten, frühzeitig […] erkennen.“

Die dafür erforderlichen personenbezogenen Daten darf die Zentralstelle „mindestens einmal halbjährlich automatisiert“ abrufen und in OIDAS speichern. Als Datenquellen dienen die Datenbanken der Rentenversicherung, der Landesfinanzbehörden und der Zollverwaltung. Daten, die nicht zu Risikohinweisen führen, soll die Zentralstelle umgehend löschen müssen, alle weiteren Daten nach spätestens einem Jahr.

Kritik an zunehmender Machtfülle der FKS

Der Gesetzentwurf sieht vor, dass die Risikoindikatoren und -parameter nur „im Benehmen“, nicht aber „im Einvernehmen“ mit der Bundesdatenschutzbeauftragten (BfDI) Louisa Specht-Riemenschneider festgelegt werden. Sie dürfte also mitreden, aber nicht mitentscheiden.

Die Bundesdatenschutzbeauftragte fordert eine stärkere Beteiligung. Die umfangreiche Datenverarbeitung und der Einsatz von KI seien mit tiefen Eingriffen in Grundrechte verbunden. Daher sei eine Mitentscheidung bei der Festlegung der Risikoparameter umso wichtiger, „denn wir können die Risiken für das Grundrecht auf informationelle Selbstbestimmung am besten einschätzen“, so ein Behördensprecher gegenüber Tagesspiegel Background.

Der Deutsche Anwaltverein (DAV) kritisiert die wachsende Machtfülle der FKS. Der Gesetzesentwurf greife „in vielfältiger Weise in Freiheitsrechte ein, ohne dass damit der Sozialstaat und/oder die wirtschaftliche Situation (einschließlich der sozialen Sicherheit) der Betroffenen verbessert wird.“

Die Erhebung, Speicherung und Verwendung der Daten „auf der Grundlage eines ‚risikobasierten Ansatzes‘ [sei] höchst bedenklich“, schreibt der DAV in seiner Stellungnahme. Dass der Zoll automatisiert Daten „von jedermann“ abgleichen soll, erinnere „an eine Rasterfahndung, die vom Bundesverfassungsgericht zu Recht unter den Vorbehalt ganz spezieller Anlässe gestellt wurde.“ Unterm Strich lehnt der DAV die vorgesehenen Regelungen ab, einzelne Änderungen erscheinen aus seiner Sicht sogar verfassungswidrig.

Der Bundesverband Paket- und Expresslogistik kritisiert ebenfalls die „extreme Erweiterung der Befugnis“ der FKS. Außerdem sei die geplante Risikobewertung „letztlich eine Blackbox“. Der Verband hält es daher für ausreichend, dass „zur Weiterführung der Ermittlungen entsprechende Dokumente auf Anforderung elektronisch übermittelt werden – ohne automatisierten und umfassenden Zugang“.

Die Polizei darf Staatstrojaner künftig nur noch zur Aufklärung von schweren Straftaten einsetzen. Der Einsatz wegen Straftaten, auf die weniger als drei Jahre Höchststrafe stehen, ist nicht verhältnismäßig und deshalb unzulässig. Das teilte heute das Bundesverfassungsgericht in Karlsruhe mit.

Der erste Senat des Gerichts entschied über zwei Klagen, die die Bürgerrechtsorganisation Digitalcourage zusammen mit Journalist:innen, Rechtsanwält:innen und Künstler:innen gegen gesetzliche Regeln zum Einsatz von Staatstrojanern durch die Polizei eingelegt hatte. Das Gericht erklärte dabei manche Teile der Verfassungsbeschwerden für unzulässig, folgte der Argumentation der Kläger:innen jedoch in anderen.

So erklärte das Gericht Teile der Strafprozessordnung aus inhaltlichen und formellen Gründen für verfassungswidrig. Zum einen muss es sich um schwere Straftaten handeln, um für Ermittlungen die laufende Kommunikation von digitalen Geräten überwachen zu dürfen. Zum anderen genügten die Regeln zur Online-Durchsuchung nicht dem Zitiergebot. Demnach muss der Gesetzgeber eingeschränkte Grundrechte ausdrücklich nennen, was in diesem Fall nicht passiert sei.

Regelungen zum präventiven Einsatz von Staatstrojanern durch die Polizei von Nordrhein-Westfalen im dortigen Polizeigesetz seien hingegen verfassungsrechtlich nicht zu beanstanden. Da die Eingriffsschwelle hier ins Vorfeld einer konkreten Gefahr verlagert wurde, dürften die Staatstrojaner nur in besonderem Fällen zum Einsatz kommen, etwa in Zusammenhang mit der Abwehr terroristischer Gefahren. Gemessen an ihrem Eingriffsgewicht würden die Regeln „den Anforderungen an die Verhältnismäßigkeit“ genügen, so das Gericht.

Staatliches Hacking nimmt zu

Konkret verhandelte das Gericht über Maßnahmen zur sogenannten Quellen-Telekommunikationsüberwachung und zur Onlinedurchsuchung. Erstere meint die Überwachung laufender Kommunikation von digitalen Endgeräten, beispielsweise Nachrichten oder Telefonaten über verschlüsselte Messenger. Die Onlinedurchsuchung ist deutlich eingriffsintensiver, da sie auch das Auslesen gespeicherter Daten umfasst, etwa alte Chats oder in der Cloud gespeicherte Fotos.

Beide Maßnahmen erfolgen durch das unbemerkte Eindringen der Polizei in die Geräte der Zielpersonen. Angesichts der weiten Verbreitung digitaler Kommunikationsmöglichkeiten haben Ermittler:innen dank des Staatstrojaners sehr umfassenden Einblick in das Leben der Überwachten sowie ihrer Kommunikationspartner:innen. Umstritten sind Staatstrojaner auch deshalb, weil staatliche Stellen hierbei Sicherheitslücken in IT-Systemen ausnutzen, um die Spionageprogramme auf die Geräte verdächtigter Personen zu bringen, anstatt die Schwachstellen zu schließen.

2017 hatte die damals regierende Große Koalition unter Bundeskanzlerin Angela Merkel die Strafprozessordnung geändert, um der Polizei den großflächigen Einsatz von Staatstrojanern zu ermöglichen. Der heutige Präsident des 1. Senats am Verfassungsgericht, Stephan Harbarth, war zu diesem Zeitpunkt CDU-Bundestagesabgeordneter. Der Verfassungsrichter musste also – nicht zum ersten Mal – über ein Gesetz urteilen, das er selbst mit verabschiedet hat.

In den vergangenen Jahren hat der polizeiliche Einsatz von Staatstrojanern deutlich zugenommen. Laut Justizstatistik wurden 2023 insgesamt 130 Quellen-Telekommunikationsüberwachungen und Online-Durchsuchungen angeordnet, 68 wurden tatsächlich durchgeführt. Seit 2019 haben sich die Zahlen mehr als verdoppelt, damals wurden 64 Staatstrojaner genehmigt und 15 tatsächlich eingesetzt.

Polizeigewerkschaft ist zufrieden

Die heutige Entscheidung des Bundesverfassungsgerichts wird in ersten Reaktionen sehr unterschiedlich aufgenommen. Das Gericht selbst betont in seiner Pressemitteilung, die Regeln hielten der „verfassungsrechtlichen Überprüfung weitgehend Stand“. Weite Teile der Beschwerden wurden von dem Gericht für nicht zulässig befunden, bei den zugelassenen Aspekten folgte das Gericht den Beschwerdeführer:innen nur in Teilen.

Entsprechend zufrieden gibt sich beispielsweise die Gewerkschaft der Polizei. „Das Urteil des Bundesverfassungsgerichts ist aus meiner Sicht grundsätzlich positiv zu bewerten“, sagte deren Bundesvorsitzender Jochen Kopelke dem Redaktionsnetzwerk Deutschland. Im Kern bestätige das Verfassungsgericht die Notwendigkeit und Verfassungsmäßigkeit des Einsatzes von Staatstrojanern.

Da die Einschränkungen bei der Quellen-TKÜ nur kleinere Kriminalität betreffe, seien die Einschränkungen zu verkraften. Sie „wurde in den vergangenen Jahren vor allem bei Ermittlungen zu Drogenkriminalität eingesetzt“ und das sei weiterhin möglich, so Kopelke. Die Online-Durchsuchung werde zudem nicht grundlegend infrage gestellt, sondern sei lediglich aus formellen Gründen verfassungswidrig. Das sei ein „formaler, aber durchaus lösbarer Mangel“.

Grundsätzliches Problem besteht weiter

Von einem „Erfolg“ spricht in einer Pressemitteilung allerdings auch der Verein Digitalcourage. Frank Braun, einer der Prozessbevollmächtigten, sieht in der Entscheidung „eine Klarstellung mit Signalwirkung“. Das Urteil gewährleiste, „dass IT-Systeme nur noch beim Verdacht wirklich schwerwiegender Delikte von staatlichen Ermittlern gekapert werden“. Außerdem verhinderte es, dass der Gesetzgeber weiterhin „Alltagskriminalität“ als „schwere Straftaten“ verkaufe, um den Einsatz von Staatstrojanern zu rechtfertigen.

Auch Jurist David Werdermann von der Gesellschaft für Freiheitsrechte kann dem Urteil Gutes abgewinnen. So bricht das Verfassungsgericht ihm zufolge mit früherer Rechtsprechung, weil es erstmal deutlich mache, „dass der Einsatz von Staatstrojanern immer einen besonders schwerwiegenden Eingriff in das IT-Grundrecht bedeutet – auch wenn die Polizei ‚nur‘ auf Kommunikationsdaten zugreifen will.“ Cloud- und Online-Dienste seien heute so weit verbreitet, dass Kommunikationsdaten einen tiefgreifenden Einblick in das Leben der Überwachten erlauben.

In einem Nebensatz weise das Bundesverfassungsgericht darauf hin, dass das Gefährdungspotential von Staatstrojanern besonders ausgeprägt sei, wenn sich Behörden privater Dritter bedienen, um die Infiltration zu vollziehen. „Das kann als Aufforderung an die staatlichen Stellen verstanden werden: Die Zusammenarbeit mit zwielichtigen Unternehmen wie der NSO Group, die ihren Pegasus-Trojaner auch an Diktaturen verkauft, muss ein Ende haben“, so Werdermann.

Ein grundsätzliches Problem von Staatstrojanern aber hat das Verfassungsgericht nicht thematisiert, wie die politische Geschäftsführerin von Digitalcourage, Rena Tangens, einräumt. „Um Staatstrojaner einzusetzen, müssen Sicherheitslücken ausgenutzt werden – und diese Schwachstellen gefährden die IT-Sicherheit von uns allen. Statt diese zu melden und zu schließen, hält der Staat sie offen, um sie selbst zu nutzen. (…) Ein Staat, der Sicherheit für seine Bürgerinnen und Bürger will, muss solche Sicherheitslücken den Herstellern melden, damit sie geschlossen werden.“

Wie jedes Jahr trifft sich die globale Sicherheits-Community zu den Black Hat Briefings in Las Vegas. Die Keynote hielt Mikko Hyppönen, ehemaliger Malware-Analyst von F-Secure und jetzt bei WithSecure. Der Finne gab einen Rückblick auf 30 Jahre Malware und hielt eine alte 5,25″-Floppy hoch. Damit zeigte er den Prozess, wie früher Teenager Bootsektor-Viren geschrieben haben, und wie sich das über Cybercrime-Gangs bis hin zu Malware von Regierungen weiterentwickelte.

Hyppönen ist der Meinung, dass die Software immer sicherer wird – hat aber auch den Satz geprägt: „If it’s smart, it’s vulnerable“. Wenn es also smart ist, hat es auch Schwachstellen – von der Smartwatch bis hin zur Smart-City.

Übrigens konnten die Besucher seinem Vortrag dank der neuen Simultanübersetzung auch auf Spanisch, Japanisch, Mandarin, Französisch und Koreanisch folgen. Grund ist die hohe Präsenz der Besucher aus Asien; auch bei den Speakern sind dieses Jahr wieder viele aus Asien und Israel dabei.

Raus aus dem VMware-Gast

Ausbruch aus dem Hypervisor-Gast die nächste: VMware hat beim Patchen des virtuellen xHCI-Interface die Schwachstelle aus dem Jahr 2023 nicht beseitigt. Die Forscher Yuhao Jiang und Ziming Zhang von der ANT Group aus China zeigten, wie man aus einem VMware-Gastsystem ausbrechen kann und durch das Ausnutzen der „use after free“-Schwachstelle im Ringbuffer der VM auf den Host kommen kann. Außerdem stellten sie noch einen vmKernel-Heap-Exploit vor, mit passendem Shellcode vom VMware-Gast erhielten sie einen SSH-Login unter root auf dem ESXi-Server.

Wieder zeigt es sich, dass eine Hardware-Sparsamkeit auch bei VMs geboten ist. Wenn man kein USB benötigt, sollte man auch keine virtuellen USB-Hosts bei VM-Gastsystemen einbinden.

Der Worm im Apfel

Gal Elbaz, Avi Lumelsky und Uri Katz von Oligo Security haben sich gewundert, warum lokal auf dem Port 7000 der Zugriff von fast allen Apple-Geräten möglich ist. Der Port wird von AirPlay und CarPlay benutzt, um Medien auf Lautsprecher oder Fernseher zu streamen. Bei der Analyse haben die Forscher haarsträubende Sicherheitslücken in dem Protokoll gefunden – und noch viel schlimmer: In dem Apple SDK stießen sie auf eine Zero-Click RCE, also eine Möglichkeit, beliebigen Programmcode auszuführen. Das SDK nutzen die Hersteller von Endgeräten, um CarPlay und AirPlay zu implementieren.

Besonders schlecht ist es, da sich der Port bei Apple per mDNS (Multicast) im Netz meldet. Durch die Sicherheitslücken haben es die Forscher geschafft, eine Root-Shell auf einem Bose-Lautsprecher zu erhalten, und dann davon in ein Autoradio von Panasonic einzubrechen. Somit kann man sich von einem AirPlay- und CarPlay-Gerät zum nächsten hacken.

Außerdem beschwerten sich die Forscher, dass Apple ein Rate-Limit zum Übermitteln von Schwachstellen hat – nach 16 CVEs gibt es die Meldung, man könne weitere Lücken erst am nächsten Tag melden. Dabei hat Apple zusammen mit den Forschern die Lücken schnell auf iOS behoben. Wer also seine Apple-Produkte aktualisiert, hält sie wenigstens sicher.

Auch Cisco hat die Apple-SDK-Schwachstellen schnell beseitigt. Ganz anders sieht es bei den mehr als 800 AirPlay-Geräten aus Asien aus, dasselbe gilt für die vielen Autoradios, die auch keine Updates mehr bekommen.

Und gleich noch ein Container-Ausbruch

Andres Riancho, Hillai Ben-Sasson und Ronen Shustin von Wiz zeigten, wie man aus einem Nvidia-Container, wie sie gerne von IaaS-KI-Rechenzentren auf Kubernetes-Basis eingesetzt werden, schnell ausbrechen kann. Bei manchen Anbietern haben sie es sogar geschafft, die Daten von anderen Kunden zu erbeuten.

Wieder einmal zeigt sich: Wenn man KI datenschutzkonform machen möchte, kommt man nicht um eigene Hardware herum. Mietinfrastruktur in der Cloud ist keinesfalls sicher und dort gehören keine Kundendaten hin.

Eine neue UEFI-Malware-Technik

Kazuki Matsuo von FRRI präsentierte, wie man es auf UEFI-BIOS-Level schafft, Speicher so zu reservieren, dass der Inhalt auch nach dem Booten vom Betriebssystem weiter benutzt werden kann – und Funktionen vom UEFI parallel zum Betriebssystem, wie URL- und Port-Zugriff, vom BIOS durchgeführt werden können.

Intel hatte zuvor die SMM-Schwachstellen (System Management Mode) abgesichert, die vorherige UEFI-BIOS-Malware ausnutzte. Allerdings nutzt Matsuo eine neue Methode, um Code vor dem OS zu verstecken, der auch nicht mehr vom Betriebssystem benutzt wird. Der Speicher ist einfach nicht mehr logisch zugreifbar vom OS.

In einer Live-Demo zeigte er, wie man durch diese Funktionen eine Socket-Kommunikation trotz geblocktem Port bei der Defender-Firewall durchführen kann, komplett vorbei am Betriebssystem. Auch bei UEFI-Malware bleibt es also ein ewiges Katz-und-Maus-Rennen.

Zugriff auf Axis-Kameras

Noam Moshe schaute sich die Kameraserver der Firma Axis an, genauer gesagt deren Protokolle und die Authentifizierung. Dabei fand er einen Authentication Bypass (CVE-2025-30026), womit er die volle Kontrolle über alle Kameras und den Management-Server erhielt. Dafür musste er nur _/ an die URL vom alternativen Port 55754 zum Default-Protokoll-Port anhängen. Hinzu kommt, dass Axis auch die Host- und NTLM-Informationen über das Protokoll ausgeben kann.

Damit hat er bei zahlreichen Kameraservern im Internet angeklopft und viele Schulen, Krankenhäuser und Firmen gefunden, bei denen man einfach die volle Kontrolle über die Kameras bekommen kann. Nach den USA steht Deutschland auf Platz zwei bei den so angreifbaren Axis-Systemen.

Auch hier zeigt sich erneut: IoT und Kameras gehören in ein separates Netz oder zumindest ein VLAN mit einem VPN und einer Hardware-Firewall – und nicht einfach ans Internet angeschlossen. Sonst wird man schnell zu einem unfreiwilligen Big Brother für alle Internethacker.

Ein Überblick der Black Hat Briefings findet sich hier.

(fo)