Sind Attacken auf das Netzwerkanalysetool Wireshark erfolgreich, können Angreifer Systeme abstürzen lassen oder sogar Schadcode ausführen. Dagegen stehen abgesicherte Ausgaben zum Download bereit.

DoS- und Schadcodelücken

Im Changelog für die Versionen 4.4.15 und 4.6.5 versichern die Entwickler, die Schwachstellen geschlossen zu haben. Der Großteil der Lücken ist mit dem Bedrohungsgrad „mittel“ eingestuft (etwa CVE-2026-6520). Nach erfolgreichen Attacken können Angreifer etwa im Kontext des OpenFlow-v6-Protokolls DoS-Zustände auslösen, was zu Abstürzen führt.

In vier Fällen (CVE-2026-5402 „hoch“, CVE-2026-5403 „hoch“, CVE-2026-5405 „hoch“, CVE-2026-5656 „hoch“) können Angreifer auch Schadcode einschleusen und die Systeme kompromittieren. Bislang sind keine aktiven Angriffe bekannt. Admins sollten die Updates dennoch zeitnah installieren.

(des)

Die Maintainer der zum anonymen Surfen im Netz gedachten Linux-Distribution Tails haben Version 7.7.1 veröffentlicht. Es handelt sich um ein Notfallupdate, das Sicherheitslücken schließt.

In der Versionsankündigung zu Tails 7.7.1 erklären die Programmierer, dass sie den zentralen Tor-Browser auf Version 15.0.11 aktualisiert haben. Der schließt mehrere Schwachstellen, die der zugrundeliegende Firefox 140.10.1 beseitigt. Es handelt sich dabei unter anderem um als kritisches Sicherheitsrisiko eingestufte Schwachstellen, die die Speichersicherheit betreffen. Die Mozilla-Entwickler halten sich mit Details zurück, schätzen das Risiko jedoch als „kritisch“ ein, während die US-amerikanische IT-Sicherheitsbehörde CISA auf einen CVSS-Wert von 7.3, mithin Risikostufe „hoch“, kommt (CVE-2026-7322). Die Tails-Entwickler betonen, dass ihnen noch kein Missbrauch der Schwachstellen aus der Praxis bekannt ist.

Der Mail-Client Thunderbird ist in Version 140.10.0 dabei – allerdings ist die Software noch verwundbar für die Speichersicherheitslücken. Die Mozilla-Stiftung hat inzwischen Thunderbird 140.10.1 veröffentlicht und die CVE-Schwachstellenbeschreibung ergänzt.

ISO-Image auf USB-Stick

Tails stellt eigene Images zum Verfrachten auf USB-Sticks bereit, so auch für die aktuelle Fassung. Das ist die am weitesten verbreitete Art und Weise, Tails zu nutzen. Das Projekt verteilt auch weiterhin ISO-Images, mit denen Tails von DVD oder in einer virtuellen Maschine gestartet werden kann. Bislang funktionierten die ISO-Abbilder auch auf USB-Sticks hervorragend, wenn auch mit Einschränkungen etwa bezüglich automatischer Upgrades oder des persistenten Speichers. Damit diejenigen, die USB-Sticks nutzen, sich nicht verwirren lassen, haben die Tails-Programmierer die ISO-Images einige MByte verkleinert und den Support dafür entfernt, die Images starten nicht mehr von USB.

Tails 7.7 erschien vor etwa zwei Wochen und brachte eine neue Warnung vor ablaufenden respektive abgelaufenen Secure-Boot-Zertifikaten mit.

(dmk)

Ermittlungsbehörden und Justizbeamte haben erneut falsche Zahlen zum staatlichen Hacken gemeldet. Sechs Bundesländer mussten ihre Statistiken korrigieren, nachdem wir nachgefragt haben.

Das Bundesamt für Justiz veröffentlicht jedes Jahr Statistiken zur Telekommunikationsüberwachung. Im August hat die Behörde zeitversetzt die Zahlen für 2023 veröffentlicht. Wir haben darüber berichtet: Polizei hackt alle fünf Tage mit Staatstrojanern.

Per Informationsfreiheitsgesetz haben wir die Daten angefragt, die das Bundesamt von den Ländern bekommen hat und aus denen es die Berichte erstellt. Diese Daten haben wir auch erhalten, für Telekommunikationsüberwachung und Online-Durchsuchung.

Wieder falsche Zahlen

Doch diese Dokumente enthielten andere Zahlen als die veröffentlichten Statistiken. Anfang September haben wir dem Bundesamt die Widersprüche mitgeteilt und um Prüfung gebeten. Im Januar hat das Amt die Statistiken zum ersten Mal korrigiert. Im Februar nochmal.

Mit der „Quellen-Telekommunikationsüberwachung“ hacken Ermittler Geräte, um Kommunikation auszuleiten. Dieser „kleine Staatstrojaner“ wurde im Jahr 2023 96 Mal angeordnet und 57 Mal eingesetzt. Korrigieren mussten sich Bayern, Hamburg, Hessen, Sachsen und Thüringen.

Mittels „Online-Durchsuchung“ hacken Ermittler Geräte, um sämtliche Daten auszuleiten. Dieser „große Staatstrojaner“ wurde im gleichen Zeitraum 31 Mal angeordnet und sieben Mal eingesetzt. Nordrhein-Westfalen hatte ursprünglich behauptet, die Online-Durchsuchung nicht genutzt zu haben. Tatsächlich gab es fünf Anordnungen in zwei Verfahren und einen Einsatz.

Abhören und Hacken verwechselt

Die veröffentlichten Zahlen zu staatlichem Hacken sind fast immer falsch. Seit fünf Jahren enthalten die Statistiken zur Telekommunikationsüberwachung auch Angaben zum Einsatz von Staatstrojanern. Schon im ersten Jahr waren die Zahlen falsch. Im zweiten Jahr wieder. Und im Dritten. Und jetzt wieder.

Das Bundesjustizamt hat nicht nur die gemeldeten Daten falsch übertragen. Die Länder haben auch falsche Daten geliefert. Das Bundesjustizamt verschickt Fragebögen mit ausführlichen Erklärungen. Landesjustizverwaltungen und Generalbundesanwalt füllen die aus.

Schon bei der ersten Statistik haben die Landesämter „Kreuzchen/Häkchen versehentlich falsch gesetzt“. Das setzt sich bis heute fort. In Sachsen ergab die Überprüfung, dass ursprünglich gemeldete Einsätze der Quellen-TKÜ doch nur „Maßnahmen der klassischen Telekommunikationsüberwachung“ waren.

Die Ermittler haben das Mithören von Telefonie mit heimlichem Hacken verwechselt.

Jura-Trick gegen Grundrecht

Diese Verwirrung ist bereits im Gesetz angelegt. Die Strafprozessordnung enthält einen Paragrafen zur Telekommunikationsüberwachung, der eigentlich das Abhören von Telefonaten regelt. 2017 haben Union und SPD zwei Sätze eingefügt, mit denen Ermittler auch Endgeräte hacken dürfen, um Kommunikation abzuhören.

Das Bundesverfassungsgericht hat staatliches Hacken auf absolute Ausnahmefälle beschränkt und extra ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von IT-Systemen erfunden. Die Quellen-TKÜ ist ein juristischer Trick, um diese strengen Vorgaben zu umgehen.

Befürworter behaupten einfach, dass staatliches Hacken nur die moderne Version der normalen Telefonüberwachung sei.

Dabei ist das heimliche Hacken von Smartphones und Computern ein viel tiefergehender Eingriff in die Grundrechte der Betroffenen. Und Staatstrojaner halten Sicherheitslücken offen, um sie auszunutzen statt sie zu schließen – das gefährdet die Sicherheit aller Menschen.

Die juristische Gleichsetzung von Abhören und Hacken führt auch dazu, dass selbst Staatsanwälte die beiden Maßnahmen miteinander verwechseln. Dabei sind sie Strafrechts-Experten – und ordnen den Einsatz dieser Maßnahmen an.

Licht ins Dunkel

Deshalb sind die Statistiken zur Quellen-TKÜ nur ein Anhang in der Statistik der normalen Telekommunikationsüberwachung. Damit ist nicht erkennbar, bei welchen Straftaten die Quellen-TKÜ eingesetzt wird.

Das Justizamt schreibt nur allgemein: „Wie in den vergangenen Jahren begründete vor allem der Verdacht einer Straftat nach dem Betäubungsmittelgesetz die Überwachungsmaßnahmen.“

Wir haben deshalb Abgeordnete in allen Bundesländern mit demokratischer Opposition gebeten, parlamentarische Anfragen zu stellen: Baden-Württemberg, Bayern, Hamburg, Hessen, Nordrhein-Westfalen, Sachsen, Sachsen-Anhalt, Schleswig-Holstein, Thüringen (Nachklapp) und im Bund.

Hacken wegen Drogen

Für 29 Einsätze der Quellen-TKÜ haben die Regierungen die zugrundeliegende Straftat genannt. In zehn Fällen ging es um Betäubungsmittel, also Drogen. Sieben Mal ging es um Mord, drei Mal um Waffen.

Damit bestätigen die Zahlen erneut: Die Polizei nutzt Staatstrojaner vor allem wegen Drogendelikten. Staat und Überwachungsfirmen lassen Sicherheitslücken in Milliarden Geräten offen, um ein Dutzend Drogendealer zu überwachen.

Wenn Ermittler Geräte hacken dürfen, tun sie das nicht immer. Von 96 Anordnungen wurden nur 57 tatsächlich durchgeführt. Die meisten Regierungen wollen nicht sagen, warum genehmigte Einsätze nicht stattfinden. Wenn sie antworten, nennen sie fast immer „technische Gründe“. Nur einmal gab es neben technischen auch ermittlungstaktische Gründe, an denen ein Trojaner-Einsatz scheiterte.

Mehr Einstellungen als Anklagen

Selbst wenn Trojaner zum Einsatz kommen, führen sie nicht immer zum Ermittlungserfolg. Viele Regierungen geben keine Auskunft zu dieser Frage. Verfahren laufen demnach noch oder wurden abgegeben, eine Antwort wäre zu viel Aufwand oder würde die Sicherheit gefährden.

In den beantworteten elf Fällen gab es nur zwei Urteile und eine Anklage. Vier mal haben Trojaner „keine relevanten Erkenntnisse“ geliefert, drei Verfahren wurden mangels Tatverdacht eingestellt, in einem Fall hat der Hack den ursprünglichen Tatverdacht sogar ausgeräumt.

Keine Regierung nennt die eingesetzten Trojanerprodukte.

Hessen nennt immerhin die Zielgeräte: zwei iPhones, ein Android und ein Laptop mit Windows. Auch Hamburg hat ein iPhone gehackt. Dabei „wurden 896 Dateien in einem Umfang von 0,388 Gigabyte erhoben und ausgewertet“. In einem anderen Fall „wurden Daten im Umfang von circa 70 Gigabyte erhoben und ausgewertet“.

Antwort oder Sicherheit

Die Regierungen in Hamburg und Hessen nennen sogar Kalenderwochen, in denen die Trojaner zum Einsatz kamen. Viele andere Landesregierungen verweigern Auskünfte zu Technik, Daten oder Zeitpunkt. Thüringen verweigert fast jede Antwort, demnach hat die Staatsanwaltschaft die entsprechenden Unterlagen bereits „vernichtet“.

Insgesamt antworten die Bundesländer sehr unterschiedlich. Einige Regierungen beantworten vorbildlich alle Fragen ihrer Abgeordneten. Andere verweigern viele Antworten vollständig, weil eine Auskunft angeblich die Sicherheit gefährdet. Welche Informationen die Sicherheit gefährden, scheint in Deutschland Ansichtssache der Bundesländer zu sein.