Aufgrund von mehreren Softwareschwachstellen können Angreifer Switches mit HPE Aruba Networking AOS-CX attackieren. Im schlimmsten Fall sind Geräte im Anschluss vollständig kompromittiert. Sicherheitsupdates stehen zum Download bereit. Derzeit gibt es noch keine Berichte über Attacken.

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler insgesamt fünf Sicherheitslücken geschlossen. Sie geben an, dass die AOS-CX-Versionen 10.10.1180, 10.13.1161, 10.16.1030 und 10.17.1001 repariert sind. Alle vorigen Ausgaben sind angreifbar. Die Entwickler weisen darauf hin, dass nicht mehr im Support befindliche Versionen ebenfalls verwundbar sind. Dafür gibt es aber keine Sicherheitspatches mehr. An dieser Stelle müssen Admins auf eine noch unterstützte Ausgabe umsteigen.

Kritische Admin-Lücke

Am gefährlichsten gilt eine „kritische“ Lücke (CVE-2026-23813) im Web-Managementinterface. Setzen entfernte Angreifer erfolgreich an der Schwachstelle an, können sie Admin-Kennwörter zurücksetzen. Wie eine solche Attacke konkret ablaufen könnte, ist bislang unklar. Klappt solch ein Angriff, ist davon auszugehen, dass Angreifer die volle Kontrolle über Geräte erlangen. Können Admins den Sicherheitspatch nicht sofort installieren, sollten sie Instanzen durch eine strenge Zugriffskontrolle abschotten.

Über drei Schwachstellen mit dem Bedrohungsgrad „hoch“ (CVE-2026-23814, CVE-2026-23815, CVE-2026-23816) kann ein Angreifer eigene Kommandos ausführen. Dafür müssen sie aber in allen drei Fällen bereits angemeldet sein.

Durch das erfolgreiche Ausnutzen der verbleibenden Lücke (CVE-2026-23817 „mittel“) können Angreifer Opfer auf eine von ihnen kontrollierte URL umleiten.

(des)

Cisco hat Sicherheitsmitteilungen zu Schwachstellen in dem Betriebssystem IOS XR veröffentlicht. Angreifer können ihre Rechte ausweiten oder Dienste mittels Denial-of-Service-Angriffen lahmlegen. Zudem sind Ciscos Contact-Center-Produkte von Cross-Site-Scripting-Lücken betroffen.

Am gravierendsten stuft Netzwerkausrüster Cisco Schwachstellen in IOS XR ein, die lokalen authentifizierten Angreifern das Ausführen von Befehlen als root oder die Übernahme der vollen Kontrolle ermöglichen. Ursachen sind unter anderem unzureichende Filter für Parameter in Kommandozeilen-Befehlen (CVE-2026-20040, CVSS 8.8, Risiko „hoch“) oder ein fehlerhaftes Mapping von Befehlen zu Aufgabengruppen, wodurch sich Checks für diese Aufgabengruppen umgehen lassen (CVE-2026-20046, CVSS 8.8, Risiko „hoch“). In der Sicherheitsmitteilung nennt Cisco die korrigierten Software-Versionen und weitere Details.

Zudem hat Cisco eine Meldung zu einer Denial-of-Service-Lücke in der Intermediate-System-to-Intermediate-System (IS-IS) Multi-Instanz-Routing-Funktion mit zugehörigen Updates herausgegeben (CVE-2026-20074, CVSS 7.4, Risiko „hoch“). Eine weitere Sicherheitsnotiz behandelt eine Schwachstelle im Egress Packet Network Interface (EPNI) „Aligner Interrupt“. Angreifer aus dem Netz können das ebenfalls für Denial-of-Service-Angriffe auf den Netzwerkprozessor und ASIC missbrauchen (CVE-2026-20118, CVSS 6.8, Risiko „mittel“). Abweichend von der CVSS-Einstufung verortet Cisco darin jedoch einen hohen Bedrohungsgrad.

Weitere Schwachstelle in Cisco Contact Center

Daneben warnt Cisco in einer weiteren Sicherheitsmitteilung vor Cross-Site-Scripting-Schwachstellen in den Contact-Center-Produkten Finesse, Packaged Contact Center Enterprise (Packaged CCE), Unified Contact Center Enterprise (Unified CCE), Unified Contact Center Express (Unified CCX) und Cisco Unified Intelligence Center. Bösartige Akteure können die Cross-Site-Scripting-Lücken ohne Authentifizierung aus dem Netz gegen Nutzer und Nutzerinnen des Interfaces etwa für eine Server-Side Request-Forgery-Attacke (SSRF) missbrauchen (CVE-2026-20116, CVE-2026-20117, CVSS 6.1, Risiko „mittel“).

Zu allen genannten Sicherheitsmitteilungen schreibt Cisco, dass sie nach aktuellem Kenntnisstand noch nicht im Internet attackiert werden. IT-Verantwortliche sollten dennoch nicht zögern und die bereitgestellten Aktualisierungen rasch anwenden.

In der vergangenen Woche hatte Cisco bereits Aktualisierungen unter anderem für Secure Firewall Management Center und Webex veröffentlicht. Damit haben die Entwickler weitere Sicherheitslecks geschlossen.

(dmk)

Wenn sie nicht mit der AfD stimmen will, kann Thüringens Brombeerkoalition ihr Polizeigesetz nur mit Hilfe der Linken verabschieden. Denn das Bündnis aus CDU, BSW und SPD hat keine eigene Mehrheit im Landtag. Heute wurde im Innenausschuss der Fahrplan für die Anhörungen zum Gesetz verhandelt. Ronald Hande, der innenpolitische Sprecher der Landtagsfraktion, erklärt, unter welchen Bedingungen die Abgeordneten seiner Partei dem Entwurf zustimmen könnten.

netzpolitik.org: Es sieht so aus, als sei ohne Ihre Partei das neue Thüringer Polizeigesetz nicht durchzubringen. Was sagen Sie als innenpolitischer Sprecher der Landtagsfraktion zu den KI-gestützten Überwachungstools, die der Entwurf beinhaltet: Verhaltensscanner, Gesichtersuchmaschine, Datenanalyse nach Palantir-Art.

Ronald Hande: Das sind keine harmlosen Werkzeuge, sondern Bausteine einer neuen Überwachungsarchitektur. Solche Systeme können Bewegungen, Kontakte und Verhaltensmuster tausender unbeteiligter Menschen analysieren und damit das Prinzip der Unschuldsvermutung untergraben. Sicherheit darf nicht bedeuten, dass ganze Bevölkerungsgruppen präventiv durchleuchtet werden. Deshalb sehen wir diese Technologien und den vorgelegten Gesetzentwurf sehr kritisch.

netzpolitik.org: Sollte die Polizei überhaupt sogenannte Künstliche Intelligenz nutzen dürfen?

Ronald Hande: Aus unserer Sicht braucht die Polizei moderne Werkzeuge, aber sie müssen verhältnismäßig sein: geeignet, angemessen und vor allem erforderlich. KI kann für die Polizei durchaus nützlich sein, etwa wenn Beamt:innen in Strafverfahren zu Kinderpornografie beschlagnahmte Datenträger schneller auswerten müssen. Aber hier bewegen wir uns im Strafrecht. Dafür braucht es keine neuen gefahrenabwehrrechtlichen Befugnisse. Wir müssen also klar trennen: Wo sind legitime Einsatzmöglichkeiten und wo liegen auch die Grenzen.

„Social-Media-Daten können Gegenstand der Analyse werden“

netzpolitik.org: Die Palantir-artige Datenanalyse ist umso invasiver, je mehr Datenquellen eingebunden werden. Was wäre denn in Thüringen dem Gesetzentwurf nach alles möglich?

Ronald Hande: Die Regierung sagt zwar, sie wolle keine Audio-Dateien oder DNA-Identifizierungsmuster in solche Systeme einspeisen. Was sie aber nicht offen sagt: Anders als die Rohdaten können sehr wohl die Abschriften aufgezeichneter Abhöroperationen in solche Analysen einfließen, dazu Funkzellenabfragen, Observationsfotos, Berichte von V-Personen, Kennzeichenscanner-Daten. Hinzu kommen Daten aus Leitstellen, etwa wann Zeugen den Notruf gewählt haben, sowie Informationen über Menschen, die lediglich Geschädigte eines Unfalls waren oder Begleitpersonen bei einer Fahrzeugkontrolle.

Fraglich ist auch der Umgang mit Social-Media-Daten. Ausgeschlossen ist nur der unmittelbare automatisierte Abgleich direkt im Netz. Wenn solche Informationen bereits in Kriminalakten oder Fallbearbeitungssystemen stehen, könnten sie trotzdem Gegenstand der Analyse werden. Das ist eine hochgefährliche Machtverschiebung bei vergleichsweise niedrigen Eingriffsschwellen, etwa schon bei einfachen Gefahren für die Gesundheit oder für sogenannte Anlagen mit unmittelbarer Bedeutung für das Gemeinwesen.

netzpolitik.org: Das ist ein Haufen Daten. Und man muss nicht einmal verdächtig sein, um in dem System zu landen?

Ronald Hande: Diese Datenanalyse kehrt die Unschuldsvermutung praktisch um: Aus Bürgerinnen und Bürgern werden nicht nur gläserne Menschen, sondern Datenspuren in einer Maschine, die automatisiert neue Verdächtige berechnet und immer tiefer in das Leben auch gänzlich unbeteiligter Menschen eindringt.

„Einen AfD-Innenminister mitdenken“

netzpolitik.org: Immerhin will der SPD-Innenminister keine Software von Palantir nutzen.

Ronald Hande: Dass der das im Plenum sagt, ist ja keine Garantie. Zum einen, weil der Minister vor einem Jahr bei der Regierungsbefragung verneint hat, dass in seinem Gesetzentwurf Videoüberwachung und V-Leute Einsatz ohne Richtervorbehalt drin sind. Genau das steht aber nun tatsächlich drin. Zum anderen kann dieser Minister schon morgen oder übermorgen ein anderer sein. Und gemessen an den Umfragen wäre es naiv, nicht einen möglichen AfD-Innenminister einer künftigen autoritären Regierung vor dem Hintergrund jeder neuen Befugnis mitzudenken.

netzpolitik.org: Es gibt Polizist*innen, die sagen würden, sie bräuchten diese modernen Werkzeuge, um effektiv arbeiten zu können.

Ronald Hande: Wir unterstützen eine Arbeitsentlastung mittels Digitalisierung im Polizeibereich. Wir haben da selbst viel auf den Weg gebracht. Aber die vorgeschlagenen Instrumente sind nicht nur eine Gefahr für Bürgerinnen und Bürger, sondern auch für Polizeibeamtinnen und Polizeibeamte. Auch sie geben ihre Grundrechte nicht ab, wenn sie morgens die Uniform anziehen. Auch ihre Daten können künftig in KI-gestützten Analysesystemen landen. Auch sie selbst werden künftig Betroffene der KI-Verhaltensüberwachung im öffentlichen Raum sein. Und ihre privaten Facebook- und Instagram-Bilder könnten biometrisch gerastert werden.

netzpolitik.org: Das heißt, so lange die KI-Tools im Gesetz stehen, werden Sie dem nicht zustimmen?

Ronald Hande: Systeme, die Menschen automatisiert zu Verdächtigen erklären oder Bewegungsprofile ganzer Gruppen erstellen können, sind mit einem Rechtsstaat schwer vereinbar. Deshalb lehnt unsere Fraktion den Gesetzentwurf in seiner jetzigen Form ab. Entscheidend wird nun die Anhörung im Innenausschuss sein. Die Linke hat dafür über 100 Sachverständige benannt. Im Ausschuss werden wir die vorgesehenen Befugnisse und Technologien im Detail prüfen. Erst danach wird sich zeigen, wie es mit dem Gesetz weitergeht.

„Weitreichende Befugnisse“

netzpolitik.org: Nach 100-prozentiger Ablehnung klingt das nicht.

Ronald Hande: Im Entwurf sind viele weitere problematische und weitreichende Befugnisse versteckt. Das reicht von einer vagen elektronischen Fußfessel weit ab von Partnerschaftsgewalt bis zu nahezu uferlosen Meldeauflagen gegen Fußfallfans, Elektroschockwaffen und mehr. Da könnten wir gegenwärtig nur mit Nein stimmen. Für eine Modernisierung, die auf dem Boden der Verfassung steht, die Bürgerrechte stärkt und auch Befugnisse zurücknimmt, wären wir aber offen. Beim Polizeirecht braucht es klare Grenzen: keine massenhafte Analyse Unbeteiligter, volle Transparenz über eingesetzte Software, wirksame unabhängige Kontrolle und einen belegbaren Nutzen für die Gefahrenabwehr.

netzpolitik.org: Die automatisierte Verhaltensanalyse basiert auf Videoüberwachung. In Erfurt stehen bereits einige Kameras, die auch dafür geeignet sind. Sie haben sich als Abgeordneter damit beschäftigt. Was haben Sie herausgefunden?

Ronald Hande: Noch bevor der Landtag über die gesetzliche Grundlage beraten hat, wurde für rund 720.000 Euro für die nächsten fünf Jahre eine Überwachungsanlage auf dem Erfurter Anger installiert und damit wurden Fakten geschaffen. Aus unserer Sicht wurde dieses Projekt auch nicht ordentlich ausgeschrieben, weshalb wir den gesamten Beschaffungsvorgang beim Landesrechnungshof angezeigt haben. Für die gleichen Kosten hätten wir zwei Polizeikräfte und eine Sozialarbeiterin oder einen Sozialarbeiter fünf Jahre lang vor Ort einsetzen können, mit spürbarem präventiven Effekt statt dieser gefährlichen Sicherheitssimulation.

Richtig absurd ist, dass 23 Polizistinnen und Polizisten mit über 17.000 Arbeitsstunden die Überwachungstechnik mit vorbereitet haben. Insgesamt sind dadurch 1.416 Einsatzschichten à zwölf Stunden im Vollzugsdienst verloren gegangen. Mit diesen Kräften hätte man bürgernah bestreifen, Präsenz zeigen und kriminalpräventiv aufklären können.