„Wir können erst etwas tun, wenn etwas passiert ist.“ Das ist ein Satz, den Annette Lindt-Lange häufig gehört hat, als sie bei verschiedenen Stellen Unterstützung gesucht hat. „Und dann ist eben irgendwann ‚etwas passiert‘“, sagt sie am Telefon. Ein psychisch erkrankter Angehöriger von ihr hat eine Straftat begangen und ist im Maßregelvollzug gelandet.

Lindt-Lange ist Sozialpädagogin und engagiert sich im Vorstand des hessischen Landesverbandes der Angehörigen und Freunde von Menschen mit psychischen Erkrankungen. Dorthin wandte sie sich nach der Unterbringung ihres Familienmitglieds.

„Wir hatten damals schon eine fünf Jahre lange Vorgeschichte hinter uns. Immer wieder Zwangseinweisungen, immer wieder Entlassungen ohne Nachbetreuung“, erzählt sie. Ein klassischer Weg der „Forensifizierung“, sagt Lindt-Lange heute. Damit meint sie: Erkrankte werden immer wieder kurzfristig in psychiatrischen Kliniken untergebracht, eine langfristige, niedrigschwellige Hilfe, die zu ihnen passt und sie stabilisiert, finden sie dabei häufig nicht.

Weil die Betroffenen zudem oft schlechte Erfahrungen mit Zwangshospitalisierungen machen, hält sie das teils davon ab, sich selbst in Behandlung zu begeben. Es kommt zu Behandlungs- und Therapieabbrüchen und einer möglichen Chronifizierung ihrer Erkrankungen – im schlimmsten Fall kann das am Ende zu einer Eskalation führen, bei der sie sich selbst oder anderen schaden.

Eskalation mit Schlagzeilen

Dass Menschen mit einer psychischen Erkrankung straffällig und insbesondere gewalttätig werden, ist sehr selten. Laut Forschenden wie der kanadischen Sozialepidemiologin Heather Stuart ist der Zusammenhang zwischen psychischen Erkrankungen und Gewalttaten in der öffentlichen Wahrnehmung überschätzt. „Es ist sehr viel wahrscheinlicher, von einem psychisch gesunden Menschen verletzt zu werden“, schreibt die Bundespsychotherapeutenkammer. Nur bei einigen wenigen Erkrankungen ist das Risiko für eine Gewalttat erhöht, beispielsweise bei Substanzmissbrauch oder in psychotischen Phasen, vor allem wenn die Betroffenen nicht in Behandlung sind.

Kommt es zu entsprechenden Gewalttaten, machen Eskalationen teils bundesweit Schlagzeilen. In den letzten Monaten ist das mehrmals passiert: ein Anschlag auf einen Weihnachtsmarkt in Magdeburg, ein Messerangriff in einem Aschaffenburger Park, Brandsätze auf eine Synagoge. In all diesen und weiteren Fällen berichteten Medien nicht nur über die Taten, sondern auch über die psychiatrische Vorgeschichte der Verdächtigen.

Einige waren bereits zuvor aufgefallen, waren teils bereits wegen Straftaten verurteilt worden oder kurz zuvor aus einer psychiatrischen Klinik entlassen worden. In einigen Fällen wurden die Verdächtigen nach ihrer Festnahme nicht in Untersuchungshaft, sondern in ein psychiatrisches Krankenhaus gebracht. So wurden die Taten in der öffentlichen Wahrnehmung mit mutmaßlichen Erkrankungen verknüpft.

Das führte zu Fragen: Wieso konnten die Taten nicht verhindert werden? Hätte nicht auffallen müssen, dass die mutmaßlichen Täter:innen sich in einer psychischen Krise befunden haben? Hätte nicht irgendjemand eingreifen können? Und wie lässt sich so etwas in Zukunft verhindern?

Schnelle Antworten auf komplexe Probleme

Vermeintlich schnelle Antworten auf diese komplexen Probleme hatten nach den Ereignissen vor allem Politiker:innen parat: CDU-Generalsekretär Carsten Linnemann forderte im Januar ein Register für „psychisch kranke Gewalttäter“, verpflichtende Meldungen psychisch kranker „Gefährder“ wollte Thüringens Innenminister Georg Maier (SPD). Seitdem diskutiert die Innenministerkonferenz über einen intensiveren Datenaustausch zu erkrankten Personen zwischen Gesundheits-, Sicherheits-, Justiz- und Ausländerbehörden sowie ein „integriertes Risikomanagement“.

„Menschen mit psychischer Erkrankung sind viel häufiger Opfer von Gewalttaten, als dass sie Täter werden“, sagt Andreas Jung. Er ärgert sich über solche Diskussionen. Jung war in der Vergangenheit selbst mehrmals wegen einer psychischen Erkrankung in einer Klinik. Heute setzt er sich für die Interessen von Psychiatriebetroffenen ein, als Mitglied im Psychiatriebeirat Hessen, als zertifizierter Genesungsbegleiter und Mitarbeiter der unabhängigen Marburger Psychiatrie-Beschwerdestelle.

Den Einwand von Jung bestätigen mehrere Datenerhebungen. Eine Befragung aus Großbritannien unter Menschen in psychiatrischer Behandlung etwa kam zu dem Ergebnis, dass schwer psychisch erkrankte Frauen im Vergleich zu einer Kontrollgruppe einem vier Mal so hohen Risiko ausgesetzt sind, Opfer von sexualisierter Gewalt zu werden. Bei einer anderen Auswertung zeigte sich, dass sich Opfer von Tötungsdelikten überdurchschnittlich oft vorher in psychiatrischer Behandlung befunden hatten.

Ein falscher Eindruck

Über diese Missstände gibt es kaum Berichte und noch weniger öffentliche Diskussionen. Das ist ein Problem. In einem Leserbrief, den die unabhängige Beschwerdestelle Psychiatrie in Marburg im Juni an hessische Medien richtete, heißt es: Durch die Berichterstattung über vermutete oder gesicherte psychische Erkrankungen von Täter:innen werde „der Eindruck erweckt, dass von Menschen mit einer psychischen Erkankung eine besondere Gefahr ausgehe“. Das kritisiert die Beschwerdestelle. Wenn medial immer wieder ein Zusammenhang zwischen Taten und psychischer Verfassung hergestellt werde, könne das zu einer „feindseligen Stimmung“ gegenüber kranken Personen führen.

Wozu die Diskussionen über vermeintliche Gefahren noch führen: Es wirkt, als sei die psychische Verfassung von Menschen vor allem ein Thema für die Sicherheitspolitik geworden. Und so bekommen Forderungen nach Datenaustausch und „Risikomanagement“ mehr Aufmerksamkeit als Kritik an der psychosozialen Versorgung für Betroffene.

Hessen, wo sowohl Andreas Jung als auch Annette Lindt-Lange wohnen, ist dabei besonders aktiv. Seit Beginn des Jahres arbeitet dort eine Taskforce des Landeskriminalamts daran, 1.600 psychisch erkrankte Personen, die in einer Polizeidatenbank entsprechend markiert sind, zu überprüfen und das mit ihnen verbundene Risiko zu bewerten. „Psychisch Auffällige / Vielschreiber / Gewalttäter“ ist der Name der Arbeitsgruppe.

Nach einem Gesetzentwurf von CDU und SPD sollen künftig außerdem Polizei und Ordnungsamt informiert werden, wenn eine unfreiwillig hospitalisierte Person aus einer Psychiatrie entlassen wird und Ärzte ohne medizinische Betreuung eine Fremdgefährung fürchten.

Andreas Jung ist sich sicher, dass dies zu einer Verschlechterung für hilfesuchende Menschen führen würde. „Solche Regelungen haben schwere Folgen für das Vertrauensverhältnis vom Patienten zum Arzt“, sagt er. „Das stört die Behandlung, baut Barrieren auf und macht es noch schwieriger, Hilfe zu suchen.“

Wie es sich anfühlt, wenn solche Barrieren entstehen, hat Volker Scherer erlebt. Er ist psychiatrieerfahren und war das letzte Mal vor anderthalb Jahren freiwillig für einige Tage in einer Klinik. Scherer erlebt immer wieder technische Einmischungen und erzählt im Gespräch, dass er mit Schalltriggern angegriffen werde. „Eine Kombination von Kriminalität und Überwachung“, sagt er. Er selbst schreibe wegen deswegen viele Briefe an Behörden und frage sich, ob er nun auch als „Vielschreiber“ gilt. „Da werden nur die Menschen als Problem gesehen und gar keine äußeren Umstände betrachtet.“

Bei seinem letzten Klinikaufenthalt habe er eine rechtliche Betreuung „reingeknallt bekommen“, sagt Scherer. Eine solche Betreuung soll je nach Einzelfall dabei unterstützen, beispielsweise Behördendinge und Wohnungsangelegenheiten zu regeln. Ganz unzufrieden war Scherer am Ende damit nicht, es habe ihm „etwas geholfen“, sagt er. Später wurde die Betreuung auf seinen Antrag hin wieder aufgehoben.

Eine psychosoziale Unterstützung wurde ihm zwar auch angeboten, aber „da ging das Vertrauen wieder verloren“. „Man war nicht bereit, dort meine Probleme und die Schalleinmischungen ernst zu nehmen“, sagt er.

Unklare Kriterien

Der Genesungsbegleiter Andreas Jung sieht noch ein Problem für das Vertrauensverhältnis: „Die Kriterien für die Meldungen, die in Hessen künftig gemacht werden sollen, sind völlig unklar.“ Und warum sollte eine Person überhaupt aus einer Klinik entlassen werden, wenn ein Arzt davon ausgeht, dass sie noch selbst- oder fremdgefährend sein könnte? „Wenn ein untergebrachter Patient nicht kooperativ und einsichtig ist, wird in der Regel sowieso der Beschluss zu seiner Unterbringung verlängert“; wirft Jung ein.

Manche Ärzte würden künftig vielleicht kaum etwas melden, weil sie das Vertrauen ihrer Patient:innen nicht gefährden wollen. Andere wiederum könnten die Behörden über sehr viele Entlassene informieren – um auf Nummer sicher zu gehen. Das zumindest vermutet Constantin von Gatterburg. Er hat viele Jahre beim sozialpsychiatrischen Dienst des Gesundheitsamtes im hessischen Kreis Bergstraße gearbeitet. Nun ist er im Ruhestand, engagiert sich aber weiterhin unter anderem als Sprecher der hessischen Landesarbeitsgemeinschaft der Gesellschaft für Soziale Psychiatrie.

„Psychiatrie ist zu wesentlichen Teilen Beziehungsarbeit, Vertrauen ist zentral für die Genesung“, sagt von Gatterburg. „Das steht für den Arzt im Vordergrund, nicht, dass er noch mehr sicherheitsrechtliche Aufgaben übernimmt.“ Von Gatterburg hat zwar nicht prinzipiell etwas dagegen, dass sich verschiedene Institutionen über erkrankte Personen austauschen. Ihm ist aber wichtig: „Das muss unter dem Aspekt der Hilfe passieren und nicht für eine Gefährdungsanalyse.“

Denn klar ist: Um Erkrankte bei einer Genesung und Stabilisierung zu unterstützen und das Risiko zu verringern, dass sie sich oder anderen Schaden zufügen, braucht es vor allem passende Behandlungsangebote und Prävention. Doch daran fehlt es überall.

Es fehlt an allen Stellen

Wenn man beispielsweise Annette Lindt-Lange fragt, was Betroffenen und Angehörigen helfen würde, fallen der Angehörigen einer Person im Maßregelvollzug schnell viele Dinge ein: flächendeckende, aufsuchende Krisendienste zum Beispiel. Die könnten Erkrankte zu Hause besuchen und sie in ihrem eigenen Umfeld unterstützen.

Es fehlten auch mehr Angebote für betreutes Wohnen, sagt sie. Therapien seien mit hohen Wartezeiten verbunden. Sich einen Platz zu suchen, erfordert viel Eigenmotivation von den Erkrankten. Problematisch sei auch, was nach Aufenthalten in einer Psychiatrie passiert. Der Übergang führe oft zu Problemen. „Manche Menschen werden in die Obdachlosigkeit entlassen“, sagt Lindt-Lange. „Nach ihrer Klinikzeit haben sie dann gar keinen Halt mehr.“

Das kann Andreas Jung bestätigen: „Das Entlassmanagement funktioniert überhaupt nicht. Oft ist unklar, was nach dem Klinikaufenthalt passiert, Menschen warten monatelang auf einen ambulanten Therapieplatz.“ Das führe, so Jung, vielerorts zu einer „Drehtürpsychiatrie“, bei der Klinikaufenthalte sich mit Entlassungen abwechseln.

Die eine passende Lösung für alle Betroffenen gibt es aber nicht. „Die Betreuung nach der Klinik muss zu der jeweiligen Person passen“, sagt von Gatterburg. Manche bräuchten eine Tagesbetreuung, andere würden von aufsuchenden Hilfen profitieren.

Woran scheitern psychosoziale Angebote?

Ein Problem beobachtete er in seiner Arbeit immer wieder: „Krisen passieren oft in Zeiten, wo die klassischen Dienstleister und Angebote nicht aktiv sind.“ Um beispielsweise rund um die Uhr erreichbare Krisendienste einzurichten, müsste es aber erst eine gesicherte Finanzierung geben.

Der psychiatrische Notdienst in Darmstadt beispielsweise, der an Wochenenden und Feiertagen abends erreichbar ist, wird zwar finanziell von Stadt und Landkreis unterstützt, ist aber darüber hinaus auf Spenden angewiesen. Und nicht überall gibt es überhaupt flächendeckende Akutangebote. Ein wenig besser ist die Situation beispielsweise in Bayern, wo es ein Netzwerk an Krisendiensten gibt, das 24 Stunden am Tag telefonisch erreichbar ist.

Scheitert so etwas in Ländern wie Hessen am verfügbaren Budget? Annette Lindt-Lange vermutet, dass es daran eigentlich nicht liegen könne. Denn wenn es im schlimmsten Fall zu einer Eskalation kommt, ist das zum einen zuallererst tragisch und schockierend für alle Betroffenen. Aber eben auch sehr kostspielig. „Die Unterbringung im Maßregelvollzug ist extrem teuer“, sagt Lindt-Lange. Mehr als 300 Euro pro Tag zahlt das Land Hessen für eine untergebrachte Person, die Einrichtungen sind überbelegt. „Prävention ist immer günstiger“, so die Angehörige.

Dafür bräuchte es ihrer Meinung nach eine Strategie und Prioritätensetzung aus der hessischen Landesregierung. Doch auf die wartet sie vergeblich. Stattdessen diskutieren vor allem Innenministerien und Sicherheitsbehörden über den Umgang mit psychisch erkrankten Straffälligen. „Dabei sollte das etwas sein, womit sich vor allem die Sozial- und Gesundheitsministerien beschäftigen“, wünscht Lindt-Lange sich. Damit etwas passiert. Aber diesmal etwas, was Betroffenen hilft und Eskalationen vorbeugen kann.

Am Donnerstag der vergangenen Woche hat Fortinet Sicherheitsupdates veröffentlicht – die gravierendste Schwachstelle betrifft FortiWeb. Angreifer können eine SQL-Injection-Schwachstelle in nicht aktualisierten Systemen missbrauchen. IT-Forscher haben als Proof-of-Concept Exploit-Code veröffentlicht. Bösartige Akteure können verwundbare Systeme damit attackieren – IT-Verantwortliche sollten die Updates daher rasch installieren.

Die Sicherheitslücke in FortiWeb ermöglicht nicht angemeldeten Nutzern aus dem Netz, SQL-Befehle mit manipulierten HTTP- oder HTTPS-Anfragen einzuschleusen. Die werden nicht ausreichend von der Web-Application-Firewall (WAF) gefiltert und ermöglichen dadurch den Missbrauch, der Angreifern das Ausführen beliebigen Codes erlaubt (CVE-2025-25257, CVSS 9.6, Risiko „kritisch“). Die FortiWeb-Versionen 7.6.4, 7.4.8, 7.2.11 sowie 7.0.11 und neuere stopfen das Sicherheitsleck und stehen zum Herunterladen bereit.

Detailanalyse und Proof-of-Concept (PoC)

Die IT-Sicherheitsforscher von Watchtowr haben die Sicherheitslücke genauer untersucht. Sarkastisch leiten sie ihre Analyse mit den Worten ein: „Um fair zu bleiben, die Secure-by-Design-Zusicherung hat von Unterzeichnern nicht verlangt, dass sie SQL-Injections vermeiden sollen, daher haben wir nichts zu sagen.“ Die Secure-by-Design-Kampagne der US-Behörden CISA und FBI hat den SQL-Injections jedoch sogar ein eigenes Dokument mit Empfehlungen und Hilfestellung gewidmet. Dementsprechend ist die Watchtowr-Analyse lang und ausufernd, die Forensiker haben eine Menge zu sagen.

Die Watchtowr-Analysten beschreiben etwa, wie sie sich an das Einschleusen von SQL-Befehlen herangetastet haben, mit einem einfachen Befehl, für fünf Sekunden zu schlafen, und anhand der Antwortzeit den Erfolg ablesen. Trotz vorbereiteter SQL-Abfragen (prepared statements, eine der empfohlenen Maßnahmen, SQL-Injection-Lücken zu vermeiden) auf der FortiWeb-Appliance gelingt ihnen das Einschleusen eigener Befehle.

Die IT-Forensiker von Watchtowr haben dort jedoch nicht aufgehört. „SQL-Injection vor der Authentifizierung am System macht Spaß“, schreiben sie, aber „die Achterbahn der Freude beginnt – können wir die MySQL-Injection in Codeausführung aus dem Netz ausweiten?“ Und natürlich finden sie einen Weg: Die Anweisung INTO OUTFILE schreibt Inhalte mit den Rechten des Users des MySQL-Prozesses. Das sollte üblicherweise ein eigens angelegter „mysql“-User sein, jedoch frotzeln die Forensiker, dass solche Details zu keiner Zusicherung wie der „Secure by Design“ gehören und Fortinet das daher nicht wissen könne – MySQL läuft auf den FortiWeb-Appliances als root (geneigte Leser mögen sich an dieser Stelle ein wohl platziertes „Head->Desk“-Meme vorstellen).

Eine weitere Hürde gab es noch zu umschiffen, mit INTO OUTFILE lassen sich lediglich neue Dateien anlegen und keine bestehenden überschreiben oder Daten anhängen. Aber natürlich finden die IT-Sicherheitsforscher auch dafür Wege, am Ende haben sie einen Exploit, der beliebigen Code durch die Schwachstelle ausführt – im konkreten Beispiel versucht das Python-Skript lediglich herauszufinden, ob eine Instanz verwundbar ist.

Ein weiterer Proof-of-Concept-Epxloit stammt von dem IT-Sicherheitsforscher mit dem Handle „faulty *ptrrr“. Auch er kam auf die Idee, mittels INTO OUTFILE am Exploit zu arbeiten; sein Weg zum Starten eigenen Python-Codes weicht jedoch geringfügig von der Watchtowr-Variante ab.

Diesen Code können bösartige Akteure schnell in ihre Exploit-Werkzeugkästen aufnehmen. Daher sollten FortiWeb-Admins jetzt zügig die bereitstehenden Updates installieren.

(dmk)

Das Portal „nius.de“ ist am gestrigen Samstag Opfer einer Cyberattacke geworden. Dabei wurde die Webseite etwas umgestaltet (Defacement). Außerdem haben die Angreifer eine Datenbank mit mutmaßlichen Informationen etwa über Abonnenten der Plattform veröffentlicht.

Bei dem Defacement der Webseite wurden alle Überschriften auf der nius.de-Webseite durch eine URL ersetzt, ein Download-Link auf eine Datei, die json-Daten enthält. Die Datei lagert auf der Domain „direction.center“ und umfasst offensichtlich Daten von rund 5700 Abonnenten: Vornamen und Namen, E-Mail-Adressen, verkürzte respektive pseudonymisierte Kreditkarten- oder Kontoinformationen sowie Informationen zu dem gewählten Abonnement-Typ.

Auf die Abonnenten-Daten folgen in der Datei Daten zu Squidex – einem quelloffenen Content-Management-System (CMS), das nius.de anscheinend verwendet. Schließlich folgen Informationen zu Swagger, mit dem man etwa mit RESTful APIs interagieren kann. Mit dem Tool war anscheinend nicht authentifizierter Zugriff auf das nius.de-CMS und die Kundendatenbank möglich. Die Datei ist zum Meldungszeitpunkt weiterhin zugreifbar.

Vieles derzeit noch unklar

Informationen zu den Angreifern gibt es derzeit nicht. Es ist unklar, ob jemand aus dem Inneren oder eine Attacke von außen für den Einbruch verantwortlich zeichnet. Der Ursprung der Abonnenten-Daten ist ebenfalls unbekannt. Die Echtheit der Daten ist bislang nicht bestätigt.

Auf eine Anfrage von heise online hat nius.de bislang nicht reagiert. Das Portal hat jedoch offenbar mit Reparaturen begonnen. Die Webseite zeigt nun wieder die eigentlich üblichen Überschriften. Hinweise auf das Defacement, den offenbar erfolgten Cyberangriff oder Ähnliches gibt das Portal jedoch bislang nicht. Antworten auf unsere Fragen zur Echtheit der Daten und dazu, ob etwa Datenschutzbeauftragte bereits informiert wurden, stehen aus. Wir aktualisieren die Meldung, sofern wir entsprechende Informationen von nius.de erhalten.

Derartige Defacement-Angriffe auf Webseiten fanden zuletzt deutlich seltener statt. Einer der letzten größeren bekannt gewordenen Fälle betraf das Internet-Archiv „archive.org“. Das hat zum Ziel, Webseiten und Internetinhalte für die Nachwelt einem Museum gleich aufzubewahren und zugänglich zu machen. Ende vergangenen Jahres haben bösartige Akteure das Internet Archive jedoch entstellt, zeitweise mit einer DDoS-Attacke lahmgelegt und Daten von 30 Millionen archive.org-Nutzern abgegriffen.

(dmk)