Sicherheitslücken sollte man beheben – besonders gravierende Sicherheitslücken sollte man besonders schnell beheben. An sich eine Selbstverständlichkeit, aber woher weiß man, welche Lücken man sich besonders dringend ansehen muss? CVE-Nummern eignen sich dafür nicht, sie dienen lediglich der eindeutigen Identifizierung von Lücken. Aber um diese Nummern herum hat sich eine Vielzahl an Bewertungssystemen, Zusatzmetriken und Entscheidungsbäumen gebildet, die selbst Fachleute regelmäßig ins Grübeln bringt. In Folge 60 nimmt sich der Podcast eine ganze Episode Zeit für diverse verbreitete Sicherheits-Kennzahlen.

Als roter Faden dient eine konkrete, recht kritische Sicherheitslücke der jüngeren Vergangenheit: CVE-2026-41940. Anhand dieses Beispiels (und ein paar anderer Anekdoten) arbeiten sich die Hosts durch die verschiedenen Bewertungssysteme, angefangen bei CVSS, dem Common Vulnerability Scoring System: Christopher erklärt, was diese Scores in Version 3.1 und 4.0 jeweils abbilden – und was eben nicht. Denn zumindest der Base-Score von CVSS beschreibt die theoretische Gefährlichkeit einer Lücke auf einem System ohne jegliche Schutzmaßnahmen. Mit dem tatsächlichen Risiko in einer konkreten Umgebung und zu einem konkreten Zeitpunkt hat das oft wenig zu tun.

Daher versuchen optionale Erweiterungen von CVSS, solche veränderlichen Faktoren zu erfassen. Noch weiter gehen die ebenfalls im Podcast thematisierte Stakeholder-Specific Vulnerability Categorization (SSVC) und EPSS, das Exploit Prediction Scoring System. Letzteres soll die Wahrscheinlichkeit der tatsächlichen Ausnutzung einer Lücke berechnen. Auch die Common Weakness Enumeration (CWE) und die Common Platform Enumeration (CPE) kommen, einschließlich ihrer Probleme, zur Sprache.

Grundsätzlich erläutern die Hosts, warum es oft schwierig bis unmöglich ist, Sicherheitslücken unstrittig Schweregrade zuzuweisen. Unter anderem am Beispiel des berüchtigten „Scope“-Parameters in CVSS 3.1 illustriert Sylvester, dass die Bewertung mitunter zum Münzwurf verkommt. Am Ende steht die Frage, was all diese Kennzahlen letztlich nützen, und ob es nicht ein Irrweg ist, immer noch mehr Kennzahlen aus noch mehr Parametern zu errechnen. Einig sind sich die Hosts, dass Scores bei der Triage helfen mögen, aber keine der Metriken die Frage beantwortet, ob und wie schwer eine Lücke die eigene Organisation betrifft.

Die neue Folge von „Passwort – der Podcast von heise security“ steht seit Mittwoch auf den üblichen Podcast-Plattformen bereit.

(syt)

Der Ausschuss für Wirtschaft und Währung (Econ) im Europäischen Parlament hat heute für die Einführung des Digitalen Euro (D€) gestimmt und damit den Weg für das Trilog-Verfahren zwischen EU-Parlament, Rat und Kommission freigemacht.

Sollte der Digitale Euro als gesetzliches Zahlungsmittel eingestuft werden, müssen ihn die meisten Unternehmen und Händler im Euro-Währungsraum annehmen.

Die Mitgliedstaaten hatten sich bereits im Dezember 2025 auf eine Position geeinigt. Die Einigung hatte sich hingezogen. Grund waren strittige Fragen zwischen Abgeordneten der konservativen EVP-Fraktion auf der einen Seite und den Mitgliedern der sozialdemokratischen, liberalen und grünen Fraktionen auf der anderen.

EU-Parlament will mehr Datenschutz

Das Europäische Parlament will durch den Digitalen Euro Datenschutz und Privatsphäre bei digitalen Zahlungen verbessern.

Die Grundsätze „Privacy by Design“ und „Privacy by Default“ würden integriert werden. Mit Technologien wie „Zero-Knowledge-Proofs“ können Transaktionen überprüft werden, ohne dass personenbezogene Daten offengelegt werden müssen. Diese würden nur in dem Umfang verarbeitet, der für das Funktionieren des Systems unbedingt erforderlich ist. Die EZB hätte keinen Zugriff auf personenbezogene Daten, heißt es in der Pressemitteilung des EU-Parlaments.

Offline-Funktion nur in physischer Nähe

Besonders datenschutzfreundlich soll die Offline-Funktionalität des Digitalen Euro werden. Transaktionen von Mobilgerät zu Mobilgerät sollen ohne aktive Internetverbindung möglich sein. Dabei soll auf Datenspeicherung verzichtet werden, was die gleiche Anonymität wie bei Bargeldzahlungen ermögliche.

Die Offline-Funktion läuft über das Herunterladen von „Tokens“ auf das Endgerät, die zur Bezahlung von Gerät-zu-Gerät versendet werden. Für die Offline-Transaktionen soll es Zahlungslimits geben können, um illegalen Aktivitäten wie Geldwäsche vorzubeugen.

Eine konkrete Grenze bei der physischen Distanz zwischen den Nutzungsgeräten ist nicht vorgesehen. Dadurch werden die maximalen Übertragungsgrenzen von Technologien wie Bluetooth, NFC oder WLAN vollständig nutzbar sein.

Gebühren sollen geringer als bei Privatanbietern ausfallen

Das EU-Parlament möchte zudem einen „no-worse-off“-Grundsatz, wonach Händler für den Digitalen Euro auf keinen Fall höhere Kosten tragen müssen als bei Kreditkarten oder andere vergleichbare Zahlungsmittel privater Anbieter.

Für die Festlegung der Zahlungsgebühren soll eine Übergangsfrist von mindestens fünf Jahren gelten: Innerhalb dieses Zeitraums sollen die Gebühren anhand der durchschnittlichen Kosten vergleichbarer Zahlungsmittel gedeckelt werden.

Gemeinsam mit der Verordnung zum Digitalen Euro beschloss der Ausschuss auch seine Position zur Bargeld-Verordnung. Damit will die EU die Rolle von Euro-Scheinen und Münzen als gesetzliches Zahlungsmittel stärken. Zudem soll weiterhin verpflichtend gelten, dass Standorte mit sogenannten essenziellen Dienstleistungen Bargeld annehmen müssen, „selbst wenn dort nur noch Automaten stehen, sei es jetzt am Bahngleis oder im Supermarkt“, sagt der Europaabgeordnete Damian Boeselager (Volt) gegenüber netzpolitik.org.

EU-Kommission und EZB sollen Haltelimits festlegen

Ein Kernpunkt der bisherigen Verhandlungen war eine Begrenzung der maximalen Summe, die eine Person am D€ halten dürfe. Haltelimits sollen verhindern, dass die Nutzer:innen zu viel Bankguthaben in Digitale Euros umtauschen und den Banken damit die privaten Einlagen ausgehen. Die Bankenlobby befürchtet damit eine Verdrängung ihres Fiatgelds. Expert:innen und die Europäische Zentralbank (EZB) befürchten hingegen, dass zu geringe Haltelimits den Digitalen Euro weniger attraktiv machen.

Das EU-Parlament fordert, dass die EZB einen technischen Bericht mit einer empfohlenen Obergrenze erstellt. Die Kommission soll auf dieser Grundlage dann eine Obergrenze per delegiertem Rechtsakt festlegen. Das konkrete Haltelimit soll abschließend zwar von der EZB festgelegt werden, dieses Limit bewegt sich aber im Rahmen der Obergrenze, die von der Kommission vordefiniert wird.

Ihr Haltelimit sollen Nutzer:in auf mehrere Konten aufteilen können. Unternehmen oder Vereine hingegen sollen keine D€ halten dürfen. Entsprechende Geldtransfers an diese würden demnach auf ihre regulären Bankkonten überwiesen.

Trilog-Verhandlungen kommen

Laut des Fortschrittsberichts der EZB soll es erste Pilot-Ausgaben des Digitalen Euro ab Mitte 2027 geben. Eine öffentliche Ausgabe des Digitalen Euro zum 1. Januar 2029 sei demnach noch möglich, „wenn wir es schaffen, uns bis Ende 2026 mit den Mitgliedsstaaten noch zu einigen im Trilog”, so Boeselager.

Der Digitale Euro würde in der Folge auch die Abhängigkeit der Eurozone von US-amerikanischen Kreditkartenanbietern reduzieren. Politisch motivierte Sanktionen gegen Einzelpersonen – wie zuletzt bei einem Richter des Internationalen Strafgerichtshofs – könnten damit eingeschränkt werden.

Ausländerbehörden melden mutmaßliche Hinweise auf Straftaten, die sie bei der Durchsuchung von Computern und Handys von abzuschiebenden Personen finden, an die Polizei oder den Zoll. Das zeigen die Antworten der zuständigen Behörden und Ministerien in den Bundesländern auf Anfrage von netzpolitik.org.

In Bayern kam es etwa in den vergangenen fünf Jahren zu 12 solcher Meldungen, teilt ein Sprecher des zuständigen Landesamtes für Rückführungen mit. „Die Mitteilung strafrechtlich relevanter ‚Zufallsfunde’ erfolgt jeweils in Form einer Verdachtsmeldung an die sachlich zuständige Polizeidienststelle sowie an die zuständige Ausländerbehörde.“

In Nordrhein-Westfalen liegt die Aufgabe seit 2022 bei der Zentralen Ausländerbehörde Essen. Dort arbeiten drei Personen in einer „Stabsstelle Datenforensik“ an der Durchsuchung. 2024 kam es in sieben Fällen zu Zufallsfunden während der Auswertung, im Jahr 2025 in sechs Fällen, schreibt eine Sprecherin der Stadt Essen. Gebe es Anhaltspunkte für eine Straftat, würden diese angezeigt – als Beispiele nennt sie „Fälle von Kinderpornographie oder Tötungsaufzeichnungen“.

Auch Berlin, Hessen und Niedersachsen bringen Zufallsfunde zur Anzeige. Allerdings erfassen die Länder nicht, wie oft das geschieht. In Hamburg sei es bislang zu keinem Fall gekommen.

Dafür schreibt die Sprecherin aus Niedersachsen, an welche Art von Behörden die Meldungen gehen, darunter: „Polizei, Staatsanwaltschaft, Finanzverwaltung oder Zoll“.

Was das Aufenthaltsrecht vorsieht

Ausländerbehörden dürfen seit mehr als zehn Jahren die Datenträger von ausreisepflichtigen Personen durchsuchen, die abgeschoben werden sollen. Voraussetzung ist, dass die Identität oder Herkunft der Person nicht mit anderen Mitteln geklärt werden kann. Die Durchsuchungen sind in vielen Bundesländern inzwischen Standard.

Nachdem die Behörden dafür anfangs bei den jeweiligen Landeskriminalämtern andockten, haben inzwischen mehrere Bundesländer eigene Abteilungen für die forensischen Untersuchungen etabliert. Die Ausländerbehörden können die Datenträger einziehen und zur Auswertung einschicken.

Laut Aufenthaltsrecht dienen die Durchsuchungen dazu, Hinweise auf die Identität oder Herkunft einer Person zu erlangen. Anhand von angerufenen Telefonnummern, Dokumenten auf einem Handy oder verwendeten Sprachen soll die Behörde darauf schließen, welches Herkunftsland für die Person Passpapiere ausstellen könnte. Zahlen dazu, wie erfolgreich dieses Vorgehen im Sinne der Behörden ist, werden nicht erfasst.

Eine Weitergabe von Informationen an Ermittlungsbehörden ist im Aufenthaltsrecht nicht vorgesehen. Die Betroffenen sind auch keiner Straftat beschuldigt, sie haben lediglich keine Papiere, die ihre Herkunft bestätigen könnten.

Laut den Behörden ist dies aber auch nicht notwendig. Die Sprecherin der Stadt Essen verweist etwa auf das nordrhein-westfälische Datenschutzgesetz als Rechtsgrundlage.

Die Sprecherin der Landesaufnahmestelle Niedersachsen schreibt: „Einschlägig sind die rechtlichen Normen der Strafprozessordnung, des Niedersächsischen Datenschutzgesetzes, des Bundesdatenschutzgesetzes und des Aufenthaltsgesetzes.“

„Kein Verbot“ als Freifahrtschein

Auch das Landesamt für Rückführungen in Bayern legt ein fehlendes Verbot im zuständigen Paragrafen im Aufenthaltsrecht als Erlaubnis aus: Die „Zulässigkeit einer Datenweitergabe“ bemesse sich an den allgemeinen Datenschutzregeln im Bundesland (BayDSG). Dieses erlaube die Weitergabe, „da die Daten zur Erfüllung der Aufgaben der Polizei zur Verfolgung von Straftaten oder Ordnungswidrigkeiten erforderlich sind“.

In Hessen schließlich zieht das Innenministerium das Hessische Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) heran. Es regele auch die Datenübermittlung zwischen Gefahrenabwehr– und Polizeibehörden, soweit die Kenntnis dieser Daten zur Erfüllung der Aufgaben der empfangenden Stelle erforderlich erscheint. Die Ausländerbehörden im Land gelten laut Verordnung als Gefahrenabwehrbehörden.

Schwere der Tat muss maßgeblich sein

Der Jurist Davy Wang koordiniert bei der Gesellschaft für Freiheitsrechte Fälle von Betroffenen, deren Datenträger laut Aufenthaltsrecht eingezogen oder durchsucht werden. Er sagt: Finden Ausländerbehörden bei der Durchsuchung von Datenträgern zur Feststellung der Identität oder Staatsangehörigkeit Anhaltspunkte für Straftaten und leiten diese an Ermittlungsbehörden weiter, dann sei das eine „zweckändernde Weiterverarbeitung“. „Sie begründet einen neuen Grundrechtseingriff und braucht eine eigenständige Rechtsgrundlage.“

Entscheidend sei deswegen, dass die Verantwortlichen nach der Schwere der jeweiligen Tat unterscheiden. Laut Verfassung dürften vorliegende Daten nur dann für einen neuen Zweck genutzt werden, wenn sie dafür mit vergleichbar eingriffsintensiven Mitteln hätten erhoben werden dürfen. „Die vollständige Auswertung von Datenträgern, die teilweise höchstsensible private Daten beinhalten, greift besonders tief in die Grundrechte der Betroffenen ein.“

Eine Übermittlung sei daher nur bei hinreichend schweren Straftaten zulässig, bei leichteren Delikten und Ordnungswidrigkeiten dürfte sie unverhältnismäßig sein, sagt er. „Ansonsten wird die Datenträgerauswertung im Aufenthaltsrecht zum Einfallstor für eine Strafverfolgung, die auf direktem Weg unzulässig gewesen wäre.“

Anders gesagt: Weil Ladendiebstahl, Fahren ohne Führerschein oder der Besitz von Drogen in geringen Mengen in Deutschland keine Durchsuchung von Smartphone oder Computer rechtfertigen, dürften solche Delikte auch im Fall einer zufälligen Entdeckung bei der Datenträgerdurchsuchung von den Ausländerbehörden nicht an die Polizei gemeldet werden.

Regierung hält an Durchsuchungen fest

Die Gesellschaft für Freiheitsrechte, die mit strategischen Verfahren Grundrechte schützt, hält die Durchsuchungen für nicht verfassungskonform. Vor Gericht hat der Verein gegen das BAMF gewonnen, das ebenfalls Handyforensik einsetzt: Die Behörde darf nicht mehr pauschal von allen Schutzsuchenden ohne Identitätspapiere das Handy verlangen, sondern muss prüfen, ob es mildere Mittel zur Feststellung von Identität und Herkunft gibt.

Fachleute bezweifeln, dass die Handydurchsuchungen überhaupt Vorteile für das erklärte Ziel der Identitätsfeststellung bringen. Das BAMF etwa schaut auf Anrufhistorie, Browserdaten oder auch Geodaten auf den Geräten, um Sprachen oder Länderbezüge herauszufinden. Diese seien aber wenig aufschlussreich, um auf die Identität oder Staatsbürgerschaft einer Person zu schließen, kritisiert die GFF.

Die Bundesregierung will trotzdem weiter an der Rechtsgrundlage für die Maßnahme festhalten. Zuletzt hatte die Ampelregierung das Asyl- und Aufenthaltsreicht weiter verschärft und dabei die Befugnisse der Ausländerbehörden noch erweitert: Sie dürfen nun auch in die Privaträume von Menschen eindringen, die abgeschoben werden sollen, um darin nach Dokumenten oder Geräten zu suchen. Außerdem darf neben den Daten auf Computer oder Handy nun auch alles durchsucht werden, was Betroffene in der Cloud gespeichert haben.