Jedes Jahr sind Millionen Menschen in Deutschland von einer psychischen Erkrankung betroffen. Allein 4,3 Millionen antragspflichtige Einzel-Psychotherapien meldete das Zentralinstitut für die kassenärztliche Versorgung im Jahr 2023. Im Jahr 2024 wurden mehr als 850.000 Menschen in psychiatrischen und psychosomatischen Kliniken behandelt. Der Großteil der Betroffenen tut das freiwillig.

Eine bundesweite Übersicht, wie viele Menschen hingegen gegen ihren Willen in eine Psychiatrie eingewiesen werden, gibt es nicht. Eine Zwangseinweisung ist nur unter engen Voraussetzungen möglich. Es muss beispielsweise die akute Gefahr bestehen, dass eine Person sonst sich selbst oder andere gefährden würde. Den Rahmen für sogenannte öffentlich-rechtliche Unterbringungen geben die Länder in ihren Psychisch-Kranken-Gesetzen (PsychKG) vor. Die regeln, wann eine unfreiwillige Unterbringung möglich ist, wie sie dokumentiert wird und ob Zahlen dazu öffentlich verfügbar sein sollen.

An einem neuen PsychKG arbeitet derzeit das Land Niedersachsen. Es soll dazu führen, dass unter anderem Polizei und Kliniken leichter Daten austauschen können. Der dortige Sozialminister Andreas Philippi (SPD) kündigte es als Reaktion auf einen Messerangriff am Hamburger Hauptbahnhof im Mai 2025 an. Damals verletzte eine Frau mehrere Menschen mit einem Messer, als sie anscheinend wahllos auf Umstehende einstach. Kurz vor der Tat war die Frau aus einer Psychiatrie entlassen worden. Dort habe es zum Zeitpunkt der Entlassung keinen medizinischen Befund gegeben, der eine weitere zwangsweise Unterbringung gerechtfertigt hätte.

Bundesweite Diskussion über psychisch erkrankte Personen

Diese und andere Taten mutmaßlich psychisch erkrankter Täter:innen führten zu einer bundesweiten Diskussion. Im Dezember wollen die Innenminister:innen erneut über den Umgang mit psychisch erkrankten Personen beraten. Dann soll die Bund-Länder-Arbeitsgruppe „Früherkennung und Bedrohungsmanagement“ erneut berichten. Es geht dabei darum, wie mögliche Gewalttaten durch psychisch erkrankte Personen verhindert werden können und wie Behörden dazu Daten austauschen können.

Im Rahmen dieser Diskussion erschienen Menschen mit bestimmten psychischen Erkrankungen politisch und medial immer wieder als Sicherheitsrisiko. Grundsätzlich geht jedoch von psychisch Erkrankten kein höheres Gewaltrisiko aus, vielmehr sind sie selbst überdurchnittlich häufig Opfer von Straftaten. Statistisch erhöhte Werte gibt es bei bestimmten Konstellationen, etwa bei gleichzeitigem Substanzmissbrauch oder bei nicht angemessener Behandlung psychotischer Erkrankungen. Gewichtige Einflüsse auf Gewaltpotenziale von Menschen liegen in soziodemografischen und sozioökonomischen Faktoren, unabhängig von einer möglichen Erkrankung. Doch gerade oftmals intensive mediale Berichterstattung mit Mutmaßungen zu psychischen Erkrankungen von Täter:innen trägt zu einer verzerrten Gefahrenwahrnehmung bei.

Und sie führt zu zahlreichen politischen Forderungen und Aktionen – von besserer psychiatrischer und sozialer Versorgung über Register für psychisch erkrankte Gewalttäter:innen bis zur Einzelüberprüfung bereits polizeilich aufgefallener Menschen.

Ein Fall für die Polizei

Auch Niedersachsen, das Nachbarbundesland Hamburgs, wollte offenbar nicht auf die nächste Runde der Innenminister:innen warten. Am 4. November einigte sich die Landesregierung auf ein neues niedersächsisches Psychisch-Kranken-Gesetz (NPsychKG), zu dem derzeit Verbände Stellung nehmen können und der bald im Landtag besprochen werden soll.

Was auffällt: In der vorgelegten, vollständigen Neufassung des NPsychKG spielt die Polizei eine wesentlich größere Rolle als bisher. Denn Kliniken, in denen sich Menschen mit einer Zwangseinweisung befinden, sollen künftig den zuständigen sozialpsychiatrischen Dienst und örtliche Polizeibehörden informieren, „sofern der betroffene Mensch festgelegte Merkmale aufweist, die einen Verdacht für die Gefährdung Dritter vermuten lassen“. Damit dürfte spätestens bei einer Entlassung nicht mehr nur die Frage im Vordergrund stehen, wie die weitere Genesung einer Person unterstützt werden kann. Sondern immer auch, ob sie ein Fall für die Polizei werden könnte.

Doch auch andersherum sieht der Entwurf für ein neues NPsychKG eine mögliche Datenübermittlung vor, nämlich von der Polizei an den sozialpsychiatrischen Dienst und die entsprechende Klinik. Das soll insbesondere dann passieren, wenn eine Person aufgrund einer Fremdgefährdung und im Rahmen eines polizeilichen Vorganges zwangseingewiesen wird. Stellt eine der drei involvierten Stellen dann ein „erhebliches Fremdgefährdungspotenzial“ fest, müssten sich nach dem Entwurf diese drei und „die Wohnsitzgemeinde“ zu einer Fallkonferenz treffen und über die betroffene Person diskutieren.

Droht ein Melderegister für psychische Erkrankungen?

Niedersachsen ist mit dieser Verschiebung von medizinischer Hilfe hin zu polizeilicher Einbindung nicht allein. Eine ähnliche Gesetzesänderung diskutiert derzeit auch der hessische Landtag. Ein Unterschied: In Niedersachsen soll die Einschätzung des mutmaßlichen Gewaltrisikos anhand von Merkmalen ermittelt werden, die das zuständige Ministerium in einer öffentlichen Verwaltungsvorschrift festlegt. Hessen verweist hingegen auf eine medizinische Einschätzung bei der Entlassung.

Verbände wie die hessische Landesarbeitsgemeinschaft der Deutschen Gesellschaft für Soziale Psychiatrie kritisierten die geplante Datenweitergabe in Hessen als Stigmatisierung und einen „für die sozialpsychiatrische Arbeit erschwerenden Faktor“. Der hessische Städtetag lehnt die vorgesehene Änderung ebenfalls ab, da er die Entlassung „von einem Schritt in die Autonomie und Genesung zu einem potenziellen Sicherheitsrisiko“ mache, „das staatlicher Überwachung bedarf“.

Zum vorliegenden Entwurf in Niedersachsen äußert sich gegenüber netzpolitik.org die Deutsche Gesellschaft für Psychiatrie und Psychotherapie, Psychosomatik und Nervenheilkunde (DGPPN). Euphrosyne Gouzoulis-Mayfrank, Präsidentin der DGPPN, schreibt auf Anfrage zur Datenübermittlung an die Polizei: „Wir sehen hier die Gefahr, dass Niedersachsen durch die Hintertür ein Melderegister für psychische Erkrankungen einführt.“ Ein solches hatte unter anderem CDU-Generalsekretär Carsten Linnemann für psychisch erkrankte Gewalttäter:innen gefordert.

Die Regelung verletze „sowohl die Persönlichkeitsrechte als auch das Recht auf informationelle Selbstbestimmung“, so Gouzoulis-Mayfrank. „Es ist unklar, was diese bestimmten, festgelegten Merkmale sind. Zudem bleibt im aktuellen Entwurf offen, zu welchem Zweck die Daten weitergegeben werden sollen oder wer sie erfragen darf. Demnach ist die Verhältnismäßigkeit dieser Maßnahmen zumindest fraglich.“

„Der öffentlichen Kontrolle entzogen“

Dass die entsprechenden Merkmale für eine vermeintliche Gefährlichkeit in einer Verwaltungsvorschrift festgelegt sein sollen, kritisiert die DGPPN auch. „So ist der Vorgang der parlamentarischen und damit der öffentlichen Kontrolle entzogen. Wir halten das für verfassungsrechtlich bedenklich“, so die Präsidentin des Verbands.

Bedenklich ist auch der Eindruck, der durch eine solche Gesetzgebung entsteht. Dem Titel des Gesetzes nach geht es um die „Regelung von Hilfen für Personen mit psychischen Erkrankungen in Niedersachsen“. Durch die Änderungen drängt sich jedoch der Eindruck auf, psychisch erkrankte Menschen würden zunehmend vor allem als Sicherheitsrisiko und nicht vorrangig als unterstützungsbedürftige Personen gesehen.

Das zeigt auch eine Veränderung in NPsychKG, die Voraussetzungen für eine unfreiwillige Unterbringung in einer psychiatrischen Klinik formuliert. Bislang – so ist es im Großteil der Landesgesetze zu Zwangseinweisungen und -maßnahmen geregelt – können Menschen gegen ihren erklärten Willen in einer Klinik eingewiesen werden, wenn von ihnen eine akute Gefahr für sich selbst oder andere ausgeht.

Niedersachsen will Menschen jedoch auch bei einer sogenannten Dauergefahr für Dritte unterbringen können, „bei der der Eintritt des schädigenden Ereignisses zwar unvorhersehbar, aber wegen besonderer Umstände des Einzelfalls jederzeit zu erwarten ist“.

Kein generell erhöhtes Gewaltpotenzial

Gegen diese Aufweichung des Gefahrbegriffs hat sich die Psychotherapeutenkammer Niedersachsen in einer Resolution klar positioniert. Sie setzt sich „für eine evidenzbasierte und wissenschaftlich fundierte Diskussion rund um das Thema Gewalt im Kontext psychischer Erkrankungen ein“. Und die ergibt bei psychisch erkrankten Personen eben kein generell erhöhtes Gewaltpotenzial.

Doch auch in den sehr seltenen Fällen, in denen eine psychische Erkrankung und ein erhöhtes Gewaltpotenzial kausal zusammenhängen, wäre eine polizeiliche Erfassung betroffener Personen nicht die Lösung. Stattdessen könnte ein möglicher Datenaustausch zwischen Behandelnden und Behörden das Vertrauen von Hilfesuchenden beschädigen und sie dadurch abschrecken, sich Hilfe zu suchen. Die Folge wäre ein erhöhtes Risiko für die gesamte Gesellschaft, wenn schwere Erkrankungen unbehandelt bleiben.

„Das beste Mittel der Gewaltprävention ist die konsequente Therapie psychischer Erkrankungen.“ Zu diesem Ergebnis kommt ein Positionspapier der DGPPN aus dem Juni 2025. Der Verband fordert daher unter anderem, vor allem niedrigschwellige Behandlungsangebote für erkrankte Personen zu erweitern, soziale Integration und Teilhabe zu fördern sowie sozialpsychiatrische Dienste auszubauen.

Dazu finden sich Passagen im geplanten Gesetz, das besagt, dass Zwangseinweisungen nur dann erfolgen sollen, „wenn Hilfen keinen Erfolg versprechen“. In Niedersachsen sollen die sozialpsychiatrischen Dienste künftig etwa rund um die Uhr erreichbar sein, auch außerhalb regulärer Öffnungszeiten. Nach einem stationären Aufenthalt sollen sie ambulante Hilfen anbieten, um Betroffenen bei Bedarf weitere Unterstützung zukommen lassen zu können.

Im populären Packprogramm 7-Zip attackieren Angreifer eine Sicherheitslücke, die das Einschleusen von Schadcode und Ausführung mit erhöhten Rechten ermöglicht. Aktualisierungen zum Schließen des Sicherheitslecks stehen bereits länger bereit.

Vor beobachteten Angriffen auf die Sicherheitslücke CVE-2025-11001 warnt nun der nationale Gesundheitsdienst von England (National Health Service, NHS). „Aktive Angriffe auf CVE-2025-11001 wurden in freier Wildbahn beobachtet. Ein Sicherheitsforscher hat zudem einen Proof-of-Concept-Exploit (PoC) für CVE-2025-11001 veröffentlicht. Der PoC erlaubt Angreifern, das Handling von symbolischen Links zu missbrauchen, um Dateien außerhalb des vorgesehenen Ordners zum Entpacken zu schreiben, was in einigen Szenarien das Ausführen beliebigen Codes ermöglicht.“ Weitergehende Informationen zu den Attacken nennt der NHS jedoch nicht.

Ausführlichere Schwachstellenbeschreibung

Die ursprüngliche Erläuterung der Sicherheitslücke durch Trend Micros Zero Day Initiative (ZDI) war äußerst knapp. Der später veröffentlichte CVE-Eintrag liefert hingegen mehr Informationen, auch beim ZDI sind die nun zu finden. Demnach kann 7-Zip beim Verarbeiten von Archiven patzen, sodass Angreifer eine „Path Traversal“ missbrauchen können – also das Durchwandern von Verzeichnissen mit Anweisungen wie „../“ zum Zugriff auf übergeordnete Verzeichnisse. Der Umgang mit symbolischen Links in 7-Zip vor 25.00 war fehlerhaft. Dadurch konnten manipulierte Archive Code einschleusen, indem sie etwa Dienst-Dateien überschreiben und dann mit deren Rechten ausführen. Nutzerinteraktion ist erforderlich, so ein Archiv muss entpackt werden (CVE-2025-11001, CVSS 7.0, Risiko „hoch„).

Es handelt sich um eine Sicherheitslücke, die der Entwickler bereits im Juli mit Version 25.00 von 7-Zip angegangen ist. Da 7-Zip jedoch keinen integrierten Update-Mechanismus besitzt, müssen Nutzerinnen und Nutzer selbst aktiv werden und die Software auf den aktuellen Stand bringen. Sie sollten unbedingt die aktuelle Version von der Download-Seite von 7-Zip herunterladen und damit die bisher installierte Version ersetzen.

(dmk)

Angreifer haben es zum wiederholten Male auf Fortinets Web Application Firewall (WAF) FortiWeb abgesehen. Mittlerweile gibt es einen Sicherheitspatch. Es sind aber noch weitere Produkte des Anbieters von Netzwerksicherheit-Appliances angreifbar.

Admins sollten einen Blick auf den IT-Sicherheitsbereich der Fortinet-Website werfen, um die für sie relevanten Produkte ausfindig zu machen. Im Anschluss sollten sie die verfügbaren Sicherheitsupdates zeitnah installieren.

Jetzt patchen!

FortiWeb ist abermals im Visier von Angreifern. Dieses Mal schleusen Angreifer Schadcode über HTTP-Anfragen oder CLI-Kommandos auf Instanzen und kompromittieren diese. In welchem Umfang die Attacken ablaufen und was Angreifer konkret anstellen, ist derzeit nicht bekannt. Die Schwachstelle (CVE-2025-58034 „hoch„) haben die Entwickler eigenen Angaben zufolge in den folgenden Ausgaben geschlossen. Alle vorigen Versionen sollen angreifbar sein.

• FortiWeb 7.0.12
• FortiWeb 7.2.12
• FortiWeb 7.43.11
• FortiWeb 7.6.6
• FortiWeb 8.0.2

Vor den Attacken warnt bereits die US-Sicherheitsbehörde CISA. Sie stuft die Lücke als Gefahr für Bundesunternehmen ein. Erst vor wenigen Tagen wurde bekannt, dass Angreifer eine „kritische“ Softwareschwachstelle in FortiWeb ausnutzen und im Anschluss Aktionen als Admin ausführen.

Weitere Gefahren

Drei Lücken in FortiClientWindows (CVE-2025-47761, CVE-2025-46373) und FortiVoice (CVE-2025-58692) sind mit dem Bedrohungsgrad „hoch“ versehen. An diesen Stellen können Angreifer etwas ohne Authentifizierung ansetzen, um Schadcode auszuführen.

Weitere Schwachstellen bedrohen etwa FortiADC, FortiExtender und FortiSandbox. Hier können Angreifer zum Großteil ebenfalls Schadcode ausführen. Oft resultiert das in einer kompletten Übernahme von Systemen durch Angreifer.

(des)