Seit 12. Oktober führen die EU-Mitgliedstaaten das neue Ein- und Ausreisesystem (EES) an ihren Außengrenzen ein. Es dient dazu, die Aufenthaltsdauer von Personen aus Drittstaaten elektronisch zu erfassen und zu überprüfen, wenn diese für einen Kurzaufenthalt von bis zu 90 Tagen (innerhalb von 180 Tagen) in den Schengen-Raum reisen. Die visafrei ankommenden Drittstaatsangehörigen werden seitdem elektronisch erfasst, inklusive vier Fingerabdrücken und Gesichtsbild. Zusammen mit den Pass- und Reisedaten werden diese Informationen drei Jahre lang gespeichert.
Das EES gilt in den 29 Schengen-Staaten, darunter 25 EU-Länder sowie Island, Liechtenstein, Norwegen und die Schweiz. Seit November sei es zu mindestens drei größeren Ausfällen des Systems gekommen, heißt es aus EU-Kreisen. In einem Fall sei das EES sogar zwei Tage nicht verfügbar gewesen. Schwierigkeiten treten vor allem bei nationalen Anbindungen und lokalen Systemkomponenten auf. Angriffe auf das Zentralsystem oder andere sicherheitsrelevante Vorfälle gibt es aber, soweit bekannt, nicht.
Das EES ist Teil des sogenannten Smart-Borders-Pakets der EU. Ziel ist es, die bislang analogen Passstempel zu ersetzen und Aufenthaltsüberschreitungen automatisiert zu erkennen. Die technische Verantwortung liegt bei der EU-Agentur eu-LISA. Wegen jahrelanger Verzögerungen erfolgt die Einführung stufenweise. Ab dem 10. April 2026 soll das System schengenweit vollständig laufen.
Am 10. Dezember begann die zweite Einführungsphase. Seitdem gilt die Vorgabe, dass mindestens zehn Prozent aller Grenzübergänge in jedem EU-Mitgliedstaat mit dem EES ausgestattet sein müssen. Dazu müssen alle biometrischen Funktionen verfügbar sein und alle neu angelegten Personenakten im System Fingerabdrücke und Gesichtsbild enthalten.
Soweit bekannt erfüllen aber mindestens Italien und die Niederlande diese Zehn-Prozent-Anforderung derzeit nicht. Dort fehlen entweder die notwendige Infrastruktur, geschultes Personal oder die Technik zur biometrischen Erfassung.
Grundsätzlich ist das EES derzeit nur dort einsetzbar, wo Selbstbedienungs-Terminals und nachgelagerte E-Gates installiert wurden. Das betrifft fast ausschließlich große internationale Flughäfen, einzelne Seehäfen sowie wenige internationale Bahnhöfe. Selbst dort ist der Betrieb aber nicht flächendeckend gewährleistet. An kleineren Grenzübergängen, insbesondere im Straßenverkehr, wird weiterhin überwiegend mit Passstempeln gearbeitet.
Eine von Frontex für alle EES-Staaten entwickelte „Travel-to-Europe-App“ ist bislang ebenfalls kaum verbreitet – derzeit ist sie nur in Schweden nutzbar. Dort können Reisende vorab Passdaten, ein Gesichtsbild sowie einen Einreisefragebogen („Answer a few questions about your travel plans“) übermitteln. Die App ist in Apples App-Store und bei Google Play erhältlich. Andere EU-Staaten können sie später einführen, sind dazu aber nicht verpflichtet.
Neben technischen Problemen beschäftigt die EU-Kommission die Frage nach Ausnahmen von der Registrierungspflicht im EES. Als befreundet geltende Drittstaaten wie die USA drängen darauf, bestimmten Personengruppen Sonderregelungen zu ermöglichen. Dazu zählen unter anderem hochrangige Militärangehörige, etwa aus dem NATO-Umfeld, Diplomat*innen oder Angehörige von Königshäusern – also besonders prominente Personen oder sehr vermögende Reisende.
Ähnliche Probleme bestehen bei verdeckten Ermittler*innen, die mit echten biometrischen Merkmalen, aber falschen Identitäten reisen. In solchen Fällen wird das nationale Grenzpersonal bislang oft vorab durch vorausreisende Polizeiführer*innen informiert – ein Vorgehen, das mit dem automatisierten EES nur schwer vereinbar ist.
Die EU-Kommission prüft derzeit, welche Personenkreise künftig Ausnahmen geltend machen können und wie diese technisch umgesetzt werden könnten. Bereits bekannt sind zudem Registrierungsprobleme im Bereich der Privatfliegerei – denn an kleinen Flughäfen müssen nach derzeitigem Stand keine Fingerabdrücke oder Gesichtsbilder abgegeben werden. Auch hierzu hat die Kommission nun einen Fragebogen an die Mitgliedstaaten versendet.
Schwachstellen in Hitachis Analyse- und IT-Managementsoftware Infrastructure Analytics und Ops Center unter Linux gefährden Systeme. Zumindest ein Sicherheitspatch steht zum Download bereit.
Weiterlesen nach der Anzeige
Die in einer Warnmeldung aufgelisteten Sicherheitslücken (CVE-2025-66444, CE-2025-66445) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Dabei kann im Zuge einer Cross-Site-Scripting-Attacke (XSS) Schadcode ausgeführt werden. Über die zweite Schwachstelle können Angreifer die Authentifizierung umgehen. Wie Angriffe in beiden Fällen ablaufen könnten, ist bislang nicht bekannt.
In der Warnmeldung erwähnen die Entwickler nur die reparierte 11.0.5-00-Version von Ops Center Analyzer. Ob es auch für Infrastructure Analytics Advisor einen Patch gibt, ist derzeit nicht bekannt.
(des)
Derzeit attackieren Angreifer WatchGuard Firebox und kompromittieren Geräte. Sicherheitspatches sind verfügbar, aber offensichtlich bislang nicht flächendeckend installiert. Admins sollten umgehend handeln, damit Angreifer nicht in Netzwerke von Unternehmen einsteigen können.
Weiterlesen nach der Anzeige
Sicherheitsforscher von Shadowserver zeigen in einer Grafik vom vergangenen Sonntag, dass weltweit noch mehr als 117.000 Instanzen verwundbar sind. Die „kritische“ Sicherheitslücke (CVE-2025-14733) steckt im Fireware OS und betrifft Firebox-Firewalls. Diese sind verwundbar, wenn Mobile User VPN mit IKEv2 und Branch Office VPN mit IKEv2 mit einem dynamischen Gateway-Peer konfiguriert ist. Die Schwachstelle ist seit wenigen Tagen bekannt.
Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Dann führen Angreifer Schadcode aus und übernehmen die Kontrolle. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. Mit mehr als 57.000 bislang noch ungepatchter Instanzen befindet sich der Großteil in Europa. Einer Grafik von Shadowserver zufolge sind das in Deutschland mehr als 11.000 Firewalls.
Um Geräte abzusichern, müssen Admins Fireware OS 12.3.1_Update4 (B728352), 12.5.15, 12.11.6 oder 2025.1.4 installieren. Ist das nicht umgehend möglich, müssen Admins ihre Netzwerke temporär über einen Workaround schützen. Wie das geht, führt WatchGuard in einem Beitrag aus.
In einer Warnmeldung führt der Hersteller verschiedene Parameter wie IP-Adressen und bestimmte Logeinträge auf, an denen Admins bereits attackierte Firewalls erkennen können. In diesem Beitrag gibt es auch weiterführende Informationen zur Lücke und betroffenen Modellen.
(des)
Hunderte Restaurant-Websites der Firma Karvi Solutions weisen weiterhin zahlreiche Sicherheitslücken auf. Dadurch werden Daten von zehntausenden Kunden öffentlich zugänglich – von Anfang 2024 bis heute. Betroffen sind vollständige Namen, Adressen, E-Mail-Adressen, Handynummern und Bestelldetails, wie „!!!!!! Ohne Jalapenos !!!!!!!!!“. Trotz mehrfacher Hinweise scheint das Unternehmen die Lücken nicht angemessen zu beheben.
Weiterlesen nach der Anzeige
Über eine ungesicherte API lassen sich nach wie vor SMS verschicken.
(Bild: heise medien)
Die Analyse des Quellcodes „Karvi-geddon: How a Restaurant Ordering Platform Became a Security Catastrophe“ zeigt grobe Mängel in der Sicherheitsarchitektur. Am 15. Dezember 2025 ist wohl eine SMS an Betroffene verschickt worden zu sein, mit dem Hinweis auf ein Git-Repository, das eine Analyse der Schwachstellen enthält: „Es gibt ein Datenleck bei Karvi Solutions. Erneut. Mehr Details auf GitHub“. Noch immer lassen sich SMS über eine ungesicherte API an Kunden verschicken. Auch aktive API-Schlüssel für die von Karvi eingesetzten Cloud-Plattformen Twilio und AWS sind weiterhin zugänglich.
Experten bezeichnen die Sicherheitsarchitektur als fahrlässig abgesichert. Das System speicherte laut Codeanalyse zudem möglicherweise vollständige Kreditkartennummern, Ablaufdaten und die dreistelligen Prüfnummern (CVV), wobei letzteres gegen die Sicherheitsstandards der Kreditkartenindustrie (PCI DSS) verstößt.
„Was wir hier festgestellt haben, geht über Inkompetenz hinaus. Die völlige Weigerung, auf Sicherheitsmeldungen zu reagieren, in Verbindung mit der dokumentierten Historie von Sicherheitsmängeln lässt auf ein Unternehmen schließen, das sich einfach nicht um die Sicherheit oder den Schutz der Daten seiner Kunden kümmert.“
(Bild: Github)
Die Software enthält Schwachstellen, die SQL-Injection erlauben. Nutzereingaben werden so ungefiltert in Datenbankabfragen eingefügt. So können Angreifer die Datenbank vollständig auslesen oder manipulieren. Ferner ermöglicht eine fehlerhafte Funktion zur Sprachdateiverwaltung eine vollständige Übernahme des Servers: Angreifer laden ohne Anmeldung beliebigen PHP-Code hoch und führen ihn aus.
Untersuchungen zeigen, dass eine Website Bestellbestätigungen als ungeschützte Textdateien auf dem Server speichert. Die Dateinamen sind leicht zu erraten. Dadurch lassen sich Bestelldetails wie Name, Adresse, Telefonnummer und Zahlungsinformationen einfach abrufen. Zwischenzeitlich war auch der komplette Quellcode als zip-Archiv öffentlich erreichbar.
Weiterlesen nach der Anzeige
Wegen der anhaltenden Sicherheitsmängel bereitet der Hamburgische Datenschutzbeauftragte, Thomas Fuchs, rechtliche Schritte vor. Eine Sprecherin erklärte: „Wir befinden uns mit Karvi Solutions in einem bereits länger laufenden Prozess, in dem es darum geht, Sicherheitslücken zu schließen, und der auch zu gewissen Verbesserungen geführt hat. Trotzdem stellen wir weiterhin Schwachstellen fest, die einen Zugriff auf personenbezogene Daten von Kund:innen ermöglichen. Wir bereiten daher jetzt rechtliche Schritte gegen das Unternehmen vor, um die erforderlichen Maßnahmen durchzusetzen.“
Bereits Anfang 2025 machte der Chaos Computer Club auf gravierende Sicherheitslücken aufmerksam. Sie betrafen über 500 Restaurants, die Software von Karvi Solutions einsetzten. Schon zu diesem Zeitpunkt reichten die Probleme von ungeschützten Backends über SQL-Injection bis zu frei zugänglichen Backups mit Quellcode und Kundendaten. Geschäftsführer Vitali Pelz erklärte damals, alle Lücken seien geschlossen.
Karvi Solutions weist die Vorwürfe zurück. Das Unternehmen spricht, wie schon im Sommer, von einer gezielten Kampagne zur Rufschädigung. Nach eigener Darstellung wurden die Daten über Schwachstellen bei Drittanbietern oder über Restaurant-APIs abgegriffen. Die Kernsysteme seien laut Karvi Solutions nie kompromittiert worden.
Auch die Speicherung von Kreditkartendaten bestreitet die Firma. Zahlungen würden ausschließlich über Pop-ups von Zahlungsdienstleistern erfolgen. Die gefundene SQL-Injection-Lücke sei ein Einzelfall auf einer alten Kundenwebsite. Die GitHub-Analyse bezeichnet das Unternehmen als „übertrieben“ und „manipuliert“. Man habe sämtliche Websites überprüft. Nach eigenen Angaben bestehen seit Mitte des Jahres keine Sicherheitslücken mehr. Diese Darstellung widerspricht jedoch sowohl unseren technischen Analysen als auch den Aussagen der Datenschutzbehörde.
(mack)
Illustrierte Reise nach New York City › PAGE online
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
SK Rapid Wien erneuert visuelle Identität
Neue PC-Spiele im November 2025: „Anno 117: Pax Romana“
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Donnerstag: Deutsches Flugtaxi-Start-up am Ende, KI-Rechenzentren mit ARM-Chips
Arndt Benedikt rebranded GreatVita › PAGE online
