Connect with us

Datenschutz & Sicherheit

Datenpanne bei Schöffenwahl in Berlin: Exponiert im Ehrenamt


Im Jahr 2023 bewirbt sich Marie als Schöffin in Berlin. „Ich wollte aktiv Verantwortung in der Gesellschaft übernehmen und an diesem demokratischen Prozess mitwirken“, sagt sie, die in Wirklichkeit anders heißt. Eine juristische Vorbildung hat sie nicht. Doch die ist auch gar nicht notwendig, um ehrenamtliche Richterin zu werden.

Mehr als 60.000 Menschen in Deutschland sind Schöff:innen. Die ehrenamtlichen Richter:innen begleiten Strafverfahren an Amts- und Landgerichten und sind formal den Berufsrichter:innen gleichgestellt, gewählt werden sie für eine Dauer von 5 Jahren. Wer als Schöff:in bestimmt wird, kann das nur mit einer besonderen Begründung ablehnen. Die aktuelle Amtszeit geht bundesweit von 2024 bis 2028.

Wie andernorts in Deutschland bereiten sich auch die Berliner Bezirke im Jahr 2023 auf die Wahl der neuen Schöff:innen an Strafgerichten und zusätzlich der ehrenamtlichen Richter:innen an Verwaltungsgerichten vor. Viele Menschen bewerben sich wie Marie freiwillig auf das Schöff:innen-Amt. Da, wo in der Bundeshauptstadt nicht genügend freiwillige Bewerber:innen zusammenkommen, unter anderem in Berlin-Mitte, werden zusätzlich zufällig ausgewählte Personen auf eine Vorschlagsliste aufgenommen.

Bei einer Sitzung im Frühjahr 2023 beschließt das Bezirksamt Mitte dann seine finale Vorschlagsliste, über die später die Bezirksverordnetenversammlung abstimmen wird. Der Vorgang wird, wie andere Beschlüsse, auf der Website des Bezirksamts veröffentlicht. Doch aus Versehen geraten auch die kompletten Vorschlagslisten ins Netz, auf ihnen eine Menge personenbezogene Daten: „Schöffenvorschlagsliste 2023 männlich freiwillig“ oder „Ehrenamt Richterin“ heißen diese. Gemeinsam enthalten sie mehr als 700 Namen mit Postleitzahl des Wohnorts, Geburtsjahr, teils erlerntem und ausgeübtem Beruf sowie bei einer der Listen sogar die genaue Anschrift und das exakte Geburtsdatum von 16 Personen. Eine Datenpanne.

Aus Versehen „Ja“ eingetragen

Im Gerichtsverfassungsgesetz ist zwar festgelegt, dass die Vorschlagslisten für neue Schöff:innen eine Woche lang zur Einsicht in der Gemeinde ausgelegt werden. In dem Formular für die Berliner Kandidat:innen heißt es jedoch extra, diese Listen würden „nur in gedruckter Form“ zur Einsicht bereitgestellt. Auch die Wochenfrist der Auslage überschreitet die Veröffentlichung des Bezirksamts deutlich.

Doch wie konnte es zu der Veröffentlichung kommen? Auf Anfrage von netzpolitik.org antwortet das Bezirksamt Mitte: „Im Protokoll der entsprechenden Bezirksamtssitzung war unter der Rubrik ‚Veröffentlichung‘ versehentlich ‚Ja‘ eingetragen worden.“ Dieser Fehler sei nicht aufgefallen, „weder dem Bezirksamts-Gremium bei der finalen Freigabe des Protokolls  noch später im Geschäftsbereich, aus dem die Bezirksamts-Vorlage kam, noch im Büro der Bezirksbürgermeisterin, das die Bezirksamts-Vorlage ins Netz geladen hat“.

So stehen die Listen im Jahr 2023 mehrere Wochen online, bis jemand einen Hinweis gibt. „Eine betroffene Person wandte sich seinerzeit an das Wahlamt“, schreibt das Bezirksamt Mitte. Man nimmt daraufhin die Listen aus dem Netz. Wann genau das geschah, kann das Bezirksamt nicht mehr sagen, „jedenfalls zeitnah nach Veröffentlichung“, heißt es auf Anfrage. Eine Meldung an die Berliner Datenschutzbehörde erfolgt damals nicht, auch die Betroffenen bekommen keine Benachrichtigung.

Ein Sprecher der Berliner Datenschutzbehörde bestätigt auf Nachfrage von netzpolitik.org, dass ein Vorfall standardmäßig „binnen 72 Stunden nach Bekanntwerden zu melden“ ist. Warum das damals nicht geschah, lässt sich heute nicht mehr nachvollziehen. Doch das Bezirksamt versäumt noch etwas anderes und denkt nicht daran, dass die Listen auch noch andernorts zu finden sein könnten, etwa im Internet Archive. Das Projekt hat sich der Langzeitarchivierung digitaler Daten verschrieben und bietet unter anderem Einblicke in historische Versionen von Websites. Und so bleiben auch die Vorschlagslisten für Schöff:innen weitere Jahre im Netz. Bis zu einem weiteren Hinweis aus unserer Redaktion Anfang Januar 2026.

Betroffene fühlen sich verunsichert und verwundbar

Diesmal reagiert das Bezirksamt umfangreich und informiert seine interne Datenschutzbeauftragte. Die meldet den Sachverhalt an die Berliner Datenschutzbehörde. Auch an das Internet Archive habe man sich direkt gewandt, heißt es gegenüber netzpolitik.org, und eine „unverzügliche Löschung beantragt“. Betroffene seien ebenfalls per Brief informiert worden. Nach unseren Informationen ist dies mittlerweile auch bei einigen der Menschen auf der Liste passiert, wie stichprobenartige Nachfragen ergeben haben.

Marie, die sich 2023 für das Schöff:innen-Amt beworben hatte, war „fassungslos“, als sie erfuhr, dass ihre persönlichen Daten im Netz veröffentlicht waren. „Ich war davon ausgegangen, dass sensible Informationen verantwortungsvoll geschützt werden“, sagt sie im Gespräch. Dass das bei der Vorschlagsliste offenbar nicht geklappt hat, habe in ihr Verunsicherung und ein Gefühl von Hilflosigkeit sowie Verwundbarkeit ausgelöst. Denn im Gegensatz zur zeitlich begrenzten öffentlichen Auslage in der Gemeinde gebe es bei der Veröffentlichung im Netz ein viel größeres Publikum – „eines, das man damit nie erreichen wollte“.

Die Tragweite des Vorfalls ist auch dem Bezirksamt offenbar bewusst. „Aus datenschutzrechtlicher Sicht handelt es sich um eine unbeabsichtigte Offenlegung personenbezogener Daten“, schreibt das Bezirksamt gegenüber netzpolitik.org. In der zugehörigen Meldung an die Berliner Datenschutzbehörde gibt das Amt unter der Frage „Welche Folgen für die Betroffenen halten Sie für wahrscheinlich?“ folgende Punkte an: „Gesellschaftliche Nachteile, Identitätsdiebstahl oder -betrug, Bedrohung, Erpressung im Kontext der Tätigkeit als Schöff:innen/Richter:innen“.

Wir sind communityfinanziert

Unterstütze auch Du unsere Arbeit mit einer Spende.

Schöff:innen verdienen besonderen Schutz

Potenzielle Schöff:innen sind in Strafverfahren besonders exponiert. Das zeigt etwa ein beinahe historischer Fall aus dem Jahr 1995. Mehrere ehrenamtliche Richter:innen verweigerten damals die Zusammenarbeit mit einem Mannheimer Richter, der in einer Urteilsbegründung den damaligen NPD-Chef und Holocaustleugner Günter Deckert „Charakterstärke, tadellose Eigenschaften und einen vorzüglichen persönlichen Eindruck“ attestiert hatte. Einige der verweigernden Schöff:innen bekamen daraufhin Drohungen.

Und erst im vergangenen Jahr zeigte ein weiterer Fall in Berlin, wie sehr Schöff:innen ins Visier geraten können. Damals verfolgte ein Angeklagter aus der sogenannten Querdenker-Szene einen Schöffen im Anschluss an seine Verhandlung. Er bedrängte den Ehrenamtsrichter vor dem Gerichtsgebäude und wollte ihn festhalten. Dem Schöffen gelang es aber, sich in Sicherheit zu bringen.

Ein Sprecher der Berliner Datenschutzbeauftragten schreibt: „Angemessene Datenschutzvorkehrungen sind bei ehrenamtlichem Engagement in öffentlich exponierten Ämtern wie dem Schöffenamt essenziell, insbesondere um die betroffenen Personen vor Belästigung, Bedrohung oder unzulässiger Einflussnahme zu schützen. Gerade Ehrenamtliche, die sich ohne gesonderte Vergütung oder neben ihrem Hauptberuf für das Gemeinwohl einsetzen, verdienen besonderen Schutz ihrer Privatsphäre, damit ihr Engagement nicht zu persönlichen Nachteilen oder Gefährdungen führt.“ Der Sprecher betont weiter, dass es sich beim Schöff:innen-Amt um eine „Bürgerpflicht“ handele. Die Vorgeschlagenen müssten sich auf eine rechtskonforme Datenverarbeitung verlassen können, „unabhängig davon, ob sie sich freiwillig gemeldet haben oder ausgelost wurden“.

Für die Zukunft müsse es „geeignete organisatorische Maßnahmen“ geben, um derartige Vorfälle zu verhindern, so das Bezirksamt. Es will nun nachbessern. Als Beispiele nennt es „die Erarbeitung von Regeln und Prüfschritten für Veröffentlichungsprozesse und verstärkte Sensibilisierung der Beschäftigten für datenschutzrechtliche Anforderungen bei Anlagen mit personenbezogenen Daten“.

Dass das Bezirksamt seine Prozesse überarbeitet, wünscht sich auch Marie. „Da muss eine Aufarbeitung stattfinden, damit sensible Daten bestmöglich geschützt werden.“ Auch eine Entschuldigung und eine Erklärung, wie das passieren konnte, würde sie sich wünschen. Ob sie sich nach dem Datenschutzvorfall noch einmal auf das Schöff:innen-Amt bewerben würde? Nein, sagt Marie. An dieser Entscheidung hat auch der Datenschutz-Vorfall einen großen Anteil. Und sie fürchtet, dass solche Vorkommnisse auch andere abhalten könnten, sich freiwillig zu melden.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

CPUID: Angreifer haben über Webseite Malware-Installer verteilt


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Wer am Donnerstag oder Freitag vergangener Woche, also dem 9. oder 10. April 2026, die System-Analysewerkzeuge von der CPUID-Webseite wie CPU-Z oder HWMonitor heruntergeladen hat, sollte den Rechner auf Malware-Befall untersuchen. Die Webseite lieferte an diesen Tagen für mehrere Stunden zufällig Links auf Malware anstatt auf die regulären Installationspakete aus.

Weiterlesen nach der Anzeige

Den genauen Vorfall mit tiefgehender Malware-Analyse beschreibt ein Dokument des IT-Forschers mit Handle nemesis auf GitHub. Demnach konnten Angreifer die CPUID-Webseite über eine Schwachstelle in einer API kompromittieren. Die Webseite hatte dadurch demnach zufällig bösartige Links angezeigt. Die signierten Originaldateien wurden allerdings nicht verändert.

Manipulierte Download-Pakete

Die Analyse beschreibt, dass die Malware-Pakete glaubwürdige Dateinamen wie „cpu-z_2.19-en.zip“ trugen und die legitimen CPU-Z-Dateien enthielten, nebst einer bösartigen CRYPTBASE.dll. Die missbraucht die Standard-Windows-Suchreihenfolge, die diese Datei zunächst im aktuellen Verzeichnis und erst dann in Systemverzeichnissen sucht. Dadurch gelangt der Schadcode durch diese sogenannte „DLL Sideloading“-Schwachstelle zur Ausführung. Nach der Ausführung folgt eine mehrstufige Infektionskette. Eine von Kaspersky als „Backdoor.Win64.Alien“ erkannte Backdoor wird dabei persistent im System verankert. Die Analyse liefert diverse Anzeichen für erfolgreiche Angriffe (Indicators of Compromise, IOC).

Der Analyse von vxunderground auf Bluesky zufolge wurde der Angriff etwa ab 1 Uhr morgens am Freitag nach mitteleuropäischer Ortszeit (7 pm EST) entdeckt. Auch das HWMonitor-Paket lag dadurch in manipulierter Fassung als Download vor. Ein weiterer Kommentar weist auf eine Stellungnahme des CPU-Z- und HWMonitor-Maintainers @d0cTB. Demnach dauerten die Untersuchungen noch an, jedoch scheint eine API für sekundäre Funktionen der Webseite für etwa sechs Stunden kompromittiert gewesen zu sein. Dadurch habe die Hauptseite zufällig bösartige Links angezeigt. Die signierten Originaldateien wurden dabei nicht kompromittiert. Der Einbruch wurde entdeckt und daraufhin gestoppt.

Laut der tiefergehenden Analyse von nemesis handelt es sich um einen Lieferkettenangriff, bei dem die offizielle CPUID-Download-Infrastruktur bösartige Dateien ausgeliefert habe. Die Download-Links wurden dabei auf einen Cloudflare-C2-Speicher umgeleitet, anstatt auf die Standard-Infrastruktur von CPUID zu verweisen. Die Angreifer lieferten ihre eigenen trojanisierten Pakete aus, die durch russischsprachige Installer auffielen; die signierten Original-Installer wurden nicht manipuliert. Es gab also zwei Varianten der manipulierten Pakete, einmal die ausführbaren InnoSetup-Installer und dann die neu verpackten .zip-Dateien mit der zusätzlichen bösartigen CRYPTBASE.dll. Die Analyse erwähnt zudem eine ähnliche Malware-Kampagne gegen FileZilla Anfang März 2026, was auf dieselben Angreifer deute.

Wer im fraglichen Zeitraum die Software von CPUID heruntergeladen hat, sollte prüfen, ob es sich um die bekannten Malware-Varianten handelt. Auf VirusTotal sollten die Scanner inzwischen zu einem Großteil darauf anschlagen.

Weiterlesen nach der Anzeige

Lieferketten- oder auch Supply-Chain-Angriffe treffen viele Unternehmen. So konnten Angreifer vor rund zwei Wochen durch eine Supply-Chain-Attacke auf LiteLLM auf interne Cisco-Daten zugreifen. Dabei sollen Quellcode und Kundendaten gestohlen worden sein.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

SAP-Patchday: Eine kritische SQL-Injection-Lücke – und 18 weitere


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

SAP kümmert sich am April-Patchday in 19 neuen Sicherheitsnotizen um Schwachstellen in diversen Produkten. Eine davon gilt als kritisch und erlaubt Angreifern das Einschleusen von SQL-Befehlen, eine weitere als hochriskant. Einen Großteil der Sicherheitslecks hat das Unternehmen als mittleres Risiko eingestuft, zwei sogar nur als niedrigen Bedrohungsgrad.

Weiterlesen nach der Anzeige

Die Patchday-Übersicht für den April von SAP listet die einzelnen Schwachstellen sowie zugehörige CVE-Schwachstelleneinträge auf. Am schwerwiegendsten ist eine unzureichende Autorisierungsprüfung in SAP Business Planning and Consolidation sowie in SAP Business Warehouse, durch die authentifizierte Nutzer und Nutzerinnen manipulierte SQL-Statements zum Lesen, Verändern und Löschen von Datenbank-Daten ausführen können (CVE-2026-27681, CVSS 9.9, Risiko „kritisch“).

Als hochriskant gilt den Entwicklern eine fehlende Autorisierungsprüfung in SAP ERP und SAP S/4HANA sowohl in der Private Cloud als auch On-Premise. Die ermöglicht angemeldeten Angreifern, einen bestimmten ABAP-Report auszuführen und damit jeden bestehenden achtstelligen ausführbaren ABAP-Report unbefugt zu überschreiben. Dadurch kann bei überschriebenen Reports die eigentlich angedachte Funktion nicht mehr verfügbar sein (CVE-2026-34256, CVSS 7.1, Risiko „hoch“).

Weitere bedachte SAP-Sicherheitslücken

15 weitere Sicherheitslücken erhalten die Einstufung als mittleres Risiko. Sie betreffen

  • SAP BusinessObjects Business Intelligence Platform
  • SAP Human Capital Management for SAP S/4HANA
  • SAP Business Analytics and SAP Content Management
  • SAP S/4HANA OData Service (Manage Reference Equipment)
  • SAP S/4HANA Backend OData Service (Manage Reference Structures)
  • SAP S/4HANA Frontend OData Service (Manage Reference Structures)
  • SAP Supplier Relationship Management (SICF Handler in SRM Catalog)
  • SAP NetWeaver Application Server Java (Web Dynpro Java)
  • SAP NetWeaver Application Server ABAP
  • SAP HANA Cockpit und HANA Database Explorer
  • SAP S/4HANA (Private Cloud und On-Premise)
  • Material Master Application
  • SAP S/4HANA OData Service (Manage Technical Object Structures)
  • SAP BusinessObjects Business Intelligence Platform

Außerdem hat SAP eine ältere Sicherheitsnotiz SAP S4CORE (Manage Journal Entries) aus dem November 2025 aktualisiert. Die beiden als niedriges Risiko eingestuften Schwachstellen betreffen SAP NetWeaver Application Server ABAP und SAP Landscape Transformation.

IT-Verantwortliche sollten prüfen, ob sie die verwundbare Software einsetzen, und gegebenenfalls die angebotenen Aktualisierungen anwenden. Am SAP-Patchday im März dieses Jahres hatten Admins von SAP Flicken zum Ausbessern von 15 Schwachstellen erhalten. Davon galten zwei als kritische Bedrohung.

Weiterlesen nach der Anzeige


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Sicherheitslücke: wolfSSL-Bibliothek winkt manipulierte Zertifikate durch


Aufgrund einer Sicherheitslücke in der TLS-Bibliothek wolfSSL können Angreifer Opfer unter dem Deckmantel einer vertrauenswürdig wirkenden Verbindung auf von ihnen kontrollierte Server locken. Um das zu unterbinden, sollten Admins die dagegen abgesicherte Version installieren. In einer aktuellen Ausgabe haben die Entwickler noch weitere Lücken geschlossen.

Weiterlesen nach der Anzeige

Mehrere Sicherheitsprobleme

Wie aus dem Changelog der aktuellen Version 5.9.1 hervorgeht, haben die Entwickler sich insgesamt um 21 Sicherheitsprobleme gekümmert. Am gefährlichsten gilt eine „kritische“ Lücke (CVE-2026-5194), die den Umgang mit Zertifikaten betrifft. Weil es bei über etwa ECDSA/ECC oder DSA ausgestellte Signaturen zu Fehlern kommt, können Angreifer Zertifikate manipulieren, die dann als gültig durchgewinkt werden. So können Angreifer etwa Opfer im Rahmen einer vertrauenswürdig aussehenden Verbindung auf von ihnen kontrollierte Server locken.

Neun weitere Softwareschwachstellen sind mit dem Bedrohungsgrad „hoch“ eingestuft. Nutzen Angreifer diese Lücken erfolgreich aus, können sie Speicherfehler auslösen (etwa CVE-2026-5264). Das führt in der Regel zu Abstürzen, oft gelangt in so einem Kontext aber auch Schadcode auf Systeme.

Setzen Angreifer an den verbleibenden Schwachstellen an, kann es ebenfalls zu Speicherfehlern (etwa CVE-2026-5392 „mittel“) kommen oder Angreifer können eigentlich verschlüsselte Inhalte im Klartext sehen (CVE-2026-5504 „mittel“).

Sicherheitspatch installieren

Bislang gibt es keine Hinweise auf Attacken. Admins sollten mit der Installation der gegen die geschilderten möglichen Angriffe gerüsteten Ausgabe aber nicht zu lange zögern. Andernfalls ist die Sicherheit von Verbindungen nicht gewährleistet.

Weiterlesen nach der Anzeige


(des)



Source link

Weiterlesen

Beliebt