Eine Frau, die auf der Ausländerbehörde von vier Polizist*innen erwartet wird. Sie durchsuchen sie und nehmen ihr das Handy ab, das sie in einer Tasche bei sich trägt. Sie weint und fleht, sie beteuert, nichts verbrochen zu haben.

Ein Mann, der beim Amtstermin seine Handys in die Plastikschale an der Sicherheitsschleuse legt. Als er sie zurückfordert, hört er: Seine Geräte würden eingezogen, um darauf nach Hinweisen zu seiner Identität zu suchen. Er schreit, springt auf, zittert.

Solche Szenen sind schwer aus dem Kopf zu bekommen. Sie gehören inzwischen aber offenbar zum Alltag auf deutschen Ausländerbehörden. In ganz Deutschland durchsuchen diese inzwischen die Geräte. Allein in Köln hat das Ausländeramt seit Jahresbeginn 130 „Datenträger“ auf solchen Wegen eingezogen, teilt die Stadt mit.

In den Händen der Behörden nichts verloren

Dass das Aufenthaltsrecht schon seit fast zehn Jahren erlaubt, bei ausreisepflichtigen Menschen ohne Papiere auch deren digitales Leben zu durchsuchen, ist schlimm genug. Auf einem Handy, einem Laptop finden sich intimste Details. Dating-Chats, Krankheitsdiagnosen, die Kommunikation mit der eigenen Anwältin oder dem Therapeuten. All das hat in den Händen von Behörden nichts verloren. Selbst für mutmaßliche Straftäter*innen gilt: Beschlagnahme und Auswertung eines Handys geht nur mit Durchsuchungsbefehl und wenn ein gut begründeter Verdacht vorliegt.

Im Falle von ausreisepflichtigen Menschen ohne gültige Papiere gilt aber schon seit langem: Das Grundrecht auf Privatsphäre ist für sie ausgehebelt. Und es geht nicht nur um Privatsphäre und das Kommunikationsgeheimnis. Das Mobiltelefon ist oft der einzige Kontakt in die alte Heimat, dort stehen alle Adressen und Nummern. Es ist der Zugang zum Bank-Account, enthält alle digitalen Schlüssel. Ohne sein Handy kann man heute fast nichts mehr.

Das Amt kann ganz nach eigenem Ermessen entscheiden, dass dieser Zugang zum digitalen Leben gekappt und durchsucht werden soll – die Anordnung eines Gerichts ist dazu nicht nötig. „Mitwirkungspflicht“ nennt sich das. Das Aufenthaltsrecht macht es möglich.

Jurist*innen warnen seit Jahren vor den Folgen dieser Eingriffe. Die noch dazu weitgehend nutzlos sind, was das erklärte Ziel des Paragrafen angeht: die Identitätsfeststellung. Botschaften, die vorher nicht kooperierten, produzieren nicht plötzlich Ausweispapiere, bloß weil das Ausländeramt mit einer Liste von Anrufen nach Eritrea wedelt oder weil „Mama“ mit einer Nummer in Afghanistan eingespeichert ist. Verändert an der Gesetzeslage haben all diese Warnrufe nichts.

Überbietungswettbewerb der Härte

Im Gegenteil. Jede Bundesregierung versucht offenbar, die Befugnisse der Ausländerbehörden noch weiter auszudehnen. Statt nur die Daten auf den Handys zu durchsuchen, dürfen Behörden seit vergangenem Jahr auch an die Daten aus der Cloud holen. Und statt die Smartphones und Laptops nach der Durchsuchung zurückzugeben, dürfen sie sie jetzt einfach behalten – „bis zur Ausreise“.

Für die Betroffenen kann das Jahre bedeuten. Abschiebeverfahren ziehen sich oft über lange Zeiträume hin. In manchen Fällen werden die Hürden nie vollständig ausgeräumt. Und dann? Wer garantiert, dass das Amt nicht jedes neue Gerät erneut einzieht?

Es geht längst nicht mehr nur um den Verlust von Daten. Mit diesen Verschärfungen nimmt das Aufenthaltsrecht den Menschen ihr zentralstes Kommunikationsmittel – für unbestimmte Zeit.

Wenn Ausländerbehörden zu Ermittler*innen werden

Was passiert, wenn Verwaltungsbehörden die Befugnisse von Ermittler*innen bekommen? Ein Blick nach Bayern, Baden-Württemberg, Nordrhein-Westfalen oder Hessen zeigt es: Landesregierungen haben ihre Behörden technisch aufgerüstet – mit denselben Geräten und Software, die sonst Polizei und Staatsanwaltschaften zur Strafverfolgung einsetzen.

Dabei geht es nicht um organisierte Kriminalität oder schwere Steuerhinterziehung. Es geht um Menschen, die wegen fehlenden Ausweispapieren nicht aus Deutschland ausreisen können, mehr nicht. Diese Praxis ist kein Versehen und kein Missverständnis. Sie ist politisch gewollte Schikane – ein Signal der Härte, das in Wahrheit Schwäche verrät. Ein Staat, der Geflüchteten die Handys entzieht, um Handlungsfähigkeit zu demonstrieren, zeigt vor allem eines: dass er das Maß längst verloren hat.

Denn solche Maßnahmen schaffen keine Sicherheit und keine Ordnung. Sie zerstören Vertrauen – und gefährden das, was sie eigentlich schützen sollten: die Idee eines Rechtsstaats, der für alle gilt.

Eine Sicherheitslücke im Dolby Digital Plus Unified Decoder machte Android, iOS, macOS und Windows anfällig für Angriffe. Sie ermöglichte etwa Zero-Click-Attacken auf Android-Geräte. Aktualisierungen zum Stopfen des Sicherheitslecks stehen bereits zur Verfügung.

Darüber berichtet Googles Project Zero in einem Bug-Eintrag. Aufgrund eines Integer-Überlaufs bei der Verarbeitung von Daten durch den DDPlus Unified Decoder können Schreibzugriffe in einen Heap-artigen Puffer über die vorgesehenen Speichergrenzen hinaus erfolgen. Dadurch lassen sich Strukturen wie Zeiger überschreiben. „Unter Android führt dies zu einer Zero-Click-Schwachstelle, da Android lokal alle Audio-Nachrichten und -Anhänge zur Transkription dekodiert, mit diesem Decoder, und das ohne, dass Nutzer mit dem Gerät interagieren“, erklären die Programmierer dort.

Zero-Click-Code-Ausführung auf Android-Handy

Sie haben Beispieldateien erstellt, die die Lücke demonstrieren und einen Absturz anfälliger Geräte auslösen. Getestet haben die IT-Forscher Googles Pixel 9 sowie Samsungs S24, die mit einem SIGSEGV (Segmentation Fault) abstürzten. MacBook Air M1 mit macOS 26.0.1 und iOS 26.0.1 auf einem iPhone 17 Pro stürzten hingegen mit einer „-bounds-safety trap“ ab, also Sicherheitsmechanismen in der verwendeten Programmierumgebung. Die IT-Sicherheitsspezialisten haben eingeschleusten Code durch diese Schwachstelle auf Googles Pixel 9 mit Android 16 und Firmware BP2A.250605.031.A2 ausführen können.

Die Schwachstelle gilt dem Bug-Eintrag zufolge als gefixt. Microsoft hat sie vergangene Woche mit den Oktober-Sicherheitsupdates für diverse Windows-Versionen ausgebessert(CVE-2025-54957, CVSS 7.0, Risiko „hoch„). Für ChromeOS hat Google dafür Mitte September eine Betriebssystemaktualisierung verteilt.

Dolby hat eine eigene Sicherheitsmitteilung veröffentlicht, in der das Unternehmen das Sicherheitsrisiko mit einem CVSS-Wert von 6.7 lediglich als „mittel“ einstuft. Betroffen sind demnach die Softwareversionen UDC v4.5 bis v4.13. Der Hersteller fordert Anbieter auf, deren Geräte Dolby Digital Plus einsetzen, ihren Dolby-Repräsentanten zu kontaktieren, um die jüngsten Dolby-Digital-Plus-Dateien zu erhalten. Endkunden sollten sicherstellen, dass ihre Geräte auf dem aktuellen Stand sind.

Zuletzt gab es etwa Ende August in WhatsApp eine Zero-Click-Lücke, die iOS- und macOS-Geräte ohne Nutzerbestätigung verwundbar machte.

(dmk)

WhatsApp will Spam den Kampf ansagen. Dazu plant die Messenger-Plattform, die Anzahl an Nachrichten einzuschränken, die Privatnutzer und Unternehmen senden können, wenn (unbekannte) Empfänger darauf nicht reagieren.

Das hat das Magazin TechCrunch in Erfahrung gebracht. Demnach rechnet WhatsApp alle Nachrichten, die Nutzer und Unternehmen versenden, auf ein monatliches Budget an – außer, die Absender erhalten eine Antwort. Wie hoch die maximale Anzahl an unbeantworteten Nachrichten vor der Sperre ist, nannte WhatsApp nicht. Die App soll jedoch ein Pop-up-Fenster als Warnung anzeigen, sofern sich Betroffene dem Limit nähern, sodass sie möglicherweise die Blockade noch abwenden können.

Gegenüber TechCrunch hat WhatsApp erklärt, die Funktion „in mehreren Ländern in den kommenden Wochen“ scharfzuschalten. Durchschnitts-User seien nicht betroffen, da sie üblicherweise die Grenzen nicht erreichen. Der Mechanismus sei dafür ausgelegt, effektiv gegen Menschen und Geschäfte vorzugehen, die massig Nachrichten verschicken und Leute zuspammen.

Spamschutz ist sinnvoll

Spam-Versand in WhatsApp scheint ein lukratives Geschäftsmodell zu sein. Die IT-Forscher von Socket haben eine Kampagne entdeckt, bei der der Chrome Web Store mit 131 Klonen einer WhatsApp-Web-Automatisierungs-Erweiterung geflutet wurde. Im Visier der Spammer sind derzeit insbesondere brasilianische Nutzerinnen und Nutzer.

Wie die IT-Sicherheitsforscher von Socket in einem Blog-Beitrag berichten, injiziert sich der Code der Browser-Erweiterungen direkt in die WhatsApp-Webseite und läuft dort neben den eigenen Skripten von WhatsApp. Er automatisiert Massenkontakte und plant diese so, dass sie die Anti-Spam-Maßnahmen von WhatsApp unterlaufen. Die Autoren der Original-Erweiterung suchen Kunden, die für die Massen-Spams zahlen – dafür versprechen sie ein Vielfaches an Gewinn – und ihre Marken sowie Webseiten zur Verfügung stellen. Daher ist der gleiche Code mit unterschiedlichen Marken als Aufmacher den Forschern zufolge bereits 131 Mal im Chrome Web Store aufgetaucht. In der Analyse zählen sie alle bösartigen Erweiterungen in den Indizien für eine Infektion (Indicators of Compromise, IOCs) auf. Zudem haben sie die Erweiterungen an Google gemeldet, damit sie aus dem Store entfernt werden.

Bereits im April hat WhatsApp erste Maßnahmen gegen unerwünschte Werbebotschaften ergriffen. Dazu hat die Messenger-Plattform die Broadcast-Funktion eingeschränkt, mit der Nutzer und Unternehmen viele Nutzer auf einmal erreichen können. Zu dem Zeitpunkt hat WhatsApp noch die passenden Limits ausgetestet. Die damals aktuelle Beta-Version erlaubte 30 Broadcast-Nachrichten im Monat. Für weitere Mitteilungen empfahl WhatsApp, dass Betroffene Status-Updates oder Kanäle nutzen sollten.

(dmk)