Vertreter*innen des Europaparlaments und der EU-Länder haben sich am Montagabend auf eine neue Rückführungsverordnung geeinigt. Das Ziel: mehr und effizientere Abschiebungen von Drittstaatsangehörigen ohne regulären Aufenthalt.

Einen ersten Entwurf für das Gesetz, das auch als „Abschiebeverordnung“ bekannt ist, hat die EU-Kommission bereits im vergangenen Jahr vorgestellt. Sie soll die Reform des Gemeinsamen Europäischen Asylsystems (GEAS) ergänzen, die in der gesamten EU am 12. Juni wirksam wird.

Trotz massiver Kritik von Jurist*innen und Menschenrechtsorganisationen halten die EU-Institutionen dabei an ihrem harten Kurs fest. So sollen Menschen künftig in Abschiebezentren außerhalb des EU-Territoriums gebracht werden können, auch ohne eine vorherige Verbindung zu dem Land. Menschen ohne Papiere sollen außerdem länger inhaftiert, mit langen Einreiseverboten belegt und für fehlende Kooperation bestraft werden können. Auch sollen ihre Wohnungen leichter durchsucht werden können, sie sollen verstärkt digital überwacht und ihre Datenträger durchleuchtet und beschlagnahmt werden.

EU-Innen- und Migrationskommissar Magnus Brunner bezeichnete die Einigung als „einen wichtigen Schritt in der europäischen Migrationswende“. Sarah Chandler von der Initiative „We Keep Us Safe“ sprach gegenüber netzpolitik.org hingegen von einem Gesetzestext, der es „rechtsextremistischen Fraktionen ermöglicht, ein von Überwachung geprägtes Abschieberegime ihrer Träume zu errichten“.

Abschiebezentren und verlängerte Abschiebehaft

Mit der Verordnung hat die EU den Weg für sogenannte „return hubs“ geebnet, in die Menschen abgeschoben werden sollen, deren Abschiebung bisher scheitert. Das kann an einer Vielzahl von Gründen liegen, beispielsweise wenn Menschen keinen Pass haben, das Herkunftsland die Wiedereinreise verweigert oder keine diplomatischen Beziehungen bestehen.

Solche Abschiebezentren sollen zum einen als Transitzentren dienen, um die „Weiterreise in das Herkunftsland oder ein anderes Drittland zu erleichtern“. Gleichzeitig schließt der Rat nicht aus, dass Abschiebezentren das endgültige Ziel darstellen könnten – also auf unbestimmte Zeit. Während unbegleitete Minderjährige von der Abschiebung in solche Zentren verschont bleiben, können Familien mit Kindern dort festgehalten werden. Das gilt als menschenrechtlich sehr umstritten.

Bundesinnenminister Alexander Dobrindt (CSU) hat angekündigt, gemeinsam mit anderen EU-Staaten – darunter Österreich, Dänemark und Griechenland – bis Ende des Jahres Deals zur Errichtung solcher Zentren mit Drittstaaten aushandeln zu wollen. Bis auf Uganda, das eine solche Vereinbarung mit den Niederlanden getroffen hat, gibt es bisher keine konkreten Beschlüsse. Im Gespräch sind Länder wie Ruanda, Libyen, Mauretanien, Usbekistan und Äthiopien.

Zusätzlich gibt die Verordnung grünes Licht, unbegleitete Kinder sowie Familien mit Kindern innerhalb der EU in Abschiebehaft zu nehmen. So hat Polen beispielsweise die Inhaftierung von unbegleiteten Kindern ab 15 Jahren bereits seit Anfang des Jahres durch nationales Recht erlaubt. Mit der Verordnung wird zudem die Dauer der Abschiebehaft auf 24 Monate ausgeweitet und kann um weitere sechs Monate verlängert werden, wenn sich die Zusammenarbeit mit dem betreffenden Drittland verbessert oder die Behörden der Ansicht sind, dass Fluchtgefahr besteht.

ICE-ähnliche Hausdurchsuchungen und elektronische Überwachung

Andere geplante Maßnahmen sind unter zivilgesellschaftlichen Organisationen nicht weniger umstritten. So übte Sarah Chandler von der Initiative „We Keep Us Safe“ harte Kritik an den Plänen. Asyl und Legalisierung würden damit zu Tabus, Hausdurchsuchungen, invasive Datenerhebung und ‑weitergabe würden zur Norm. „Anstatt in Fürsorge und Schutz zu investieren, werden öffentliche Mittel dazu verwendet, internationale und EU-Rechtsstandards vollständig auszuhöhlen.“

Dazu gehört beispielsweise das Grundrecht auf die Unverletzlichkeit der Wohnung. So stattet die Verordnung die Mitgliedstaaten mit weitreichenden Befugnissen aus, private Wohnungen von Drittstaatsangehörigen ohne gültigen Aufenthalt und andere „relevanten Räumlichkeiten“ zu durchsuchen. Diese Regelung könne Menschenjagden auf Migrant*innen nach Vorbild der USA nach sich ziehen sowie ganze Communitys rassistischer Diskriminierung aussetzen, warnten zuletzt UN-Menschenrechtsexpert*innen sowie mehr als 100 zivilgesellschaftliche Organisationen.

„Auf der anderen Seite des Atlantiks sehen wir die Gewalt und Angst, die durch die brutale Einwanderungskontrolle der ICE verursacht wird“, sagte Silvia Carta von der Platform for International Cooperation on Undocumented Migrants (PICUM), eine der rund 100 kritischen Organisationen. „Europa sollte aus den Schäden dieses Modells lernen, anstatt eine eigene Version aufzubauen“, so Carta weiter.

Behörden dürfen laut den Plänen außerdem Handys, Computer sowie andere elektronische Geräte von Menschen ohne Papiere durchsuchen und beschlagnahmen – eine Praxis, die in einzelnen deutschen Bundesländern bereits verbreitet ist, wie Recherchen von netzpolitik.org gezeigt haben.

Weitere Zwangsmaßnahmen sehen vor, dass Menschen in Abschiebeverfahren sich nur an einem bestimmten Ort aufhalten, Ausgangssperren unterziehen oder regelmäßigen Meldepflichten nachkommen müssen. Als sogenannte Alternativen zur Inhaftierung können außerdem das Hinterlegen einer Geldsumme oder elektronische Überwachung auferlegt werden. Bei der letzteren handelt es sich laut Fachleuten nur vermeintlich um eine Alternative. Denn diese kommt aufgrund ihrer tief in die Privatsphäre eingreifenden Wirkung de facto einer Haft gleich und kann außerdem zusätzlich zur ausgedehnten Abschiebehaft verhängt werden. Denkbar sind dafür etwa eine elektronische Fußfessel oder GPS-Ortung.

Neue Europäische Rückkehrentscheidung vorerst ohne Wirkung

Das Kernstück der Verordnung ist die „Europäischen Rückkehrentscheidung“ (ERO). Diese enthält ein standardisiertes digitales Datenblatt mit Informationen zur Abschiebeentscheidung. Alle Mitgliedstaaten sollen dieses Datenblatt über das Schengener Informationssystem abrufen können.

Die gegenseitige Anerkennung von Abschiebeentscheidungen bleibt aber vorerst freiwillig: Ein EU-Land kann die erlassene Entscheidung eines anderen EU-Landes anerkennen und vollstrecken, muss es aber nicht. In diesem Aspekt waren sich das Parlament und die Mitgliedstaaten im Vorfeld uneinig. Während das Parlament auf eine verpflichtende Anerkennung ab 2027 pochte, war dieser Punkt unter den Mitgliedstaaten umstritten.

Laut der Pressemitteilung des Parlaments wird die EU-Kommission die gegenseitige Anerkennung innerhalb von zwei Jahren prüfen und dann gegebenenfalls die verpflichtende Anerkennung vorschlagen, laut den Mitgliedstaaten soll dies nach drei Jahren passieren. Der finale geeinigte Gesetzestext liegt noch nicht vor.

Mit ERO werden personenbezogene Daten von Menschen in Abschiebeverfahren für Tausende Polizeibeamt*innen in der gesamten EU zugänglich, warnen Menschenrechtsorganisationen. Das Schengener Informationssystem II, das größte Migration- und Polizeidaten-Austauschsystem der EU, sei für wiederholten Datenmissbrauch und die systematische Verweigerung der Datenschutzrechte bekannt. Es gibt dokumentierte Fälle, in denen Polizei- und Einwanderungsbehörden sich nicht an Vorschriften gehalten haben. Die Verordnung baut direkt auf dieser Architektur auf und verstärkt ihre Eingriffsintensität.

Menschen ohne Papiere „wie Straftäter behandelt“

Scharfe Kritik gab es auch von Abgeordneten im EU-Parlament. Mélissa Camara, Schattenberichterstatterin der Grünen für die Rückführungsverordnung, bezeichnete die erzielte Einigung als „beschämend“. Den Standpunkt des Parlaments hatte die konservative EVP-Fraktion unter der Führung des deutschen CSU-Politikers Manfred Weber mit rechtsaußen Parteien wie der AfD im März verhandelt und verabschiedet. „Dieser Text verankert fremdenfeindliche Ideen und Rhetorik auf Kosten der Grundrechte von Migranten, deren einziger Fehler darin bestand, mit dem falschen Pass geboren zu sein“, so Camara. „Grundrechte stehen an der Spitze der Normenhierarchie und dürfen nicht einfach mit Füßen getreten werden.“

Auch die innenpolitische Sprecherin der europäischen Sozialdemokrat*innen Birgit Sippel äußerte sich kritisch zur Verordnung. „Parlament und Mitgliedstaaten haben im Hau-Ruck-Verfahren eine Einigung gefunden und damit trotz sinkender Ankunftszahlen der Panikmache der Rechten in Europa nachgegeben“, sagte sie. „Alle Betroffenen werden de facto wie Straftäterinnen und Straftäter behandelt.“

Die neuen Abschieberegeln müssen vom EU-Parlament und den EU-Staaten noch formal abgesegnet werden. Die Verordnung tritt in Kraft, sobald sie im Amtsblatt der EU veröffentlicht wurde. Einige Bestimmungen, darunter solche zu den Abschiebezentren, gelten dann sofort. Andere Regelungen werden nach einer Übergangszeit von zwölf Monaten angewandt.

Ob die Verordnung tatsächlich zu höheren Abschiebezahlen führen wird, bleibt indes fraglich. Mehr als 250 Organisationen gehen davon aus, dass sie den gegenteiligen Effekt haben wird: Da Abschiebung zur Standardoption für Menschen ohne legalen Aufenthalt wird, werde die Verordnung die Zahl der ausreisepflichtigen Menschen eher künstlich in die Höhe treiben. Auch die von der Politik häufig bemühte Erzählung einer Vollzugslücke – etwa dass es einen massiven Rückstand an Abschiebungen gebe und nur jede fünfte Person, gegen die eine Ausreiseanordnung ergangen ist, tatsächlich abgeschoben werde – basiert auf falschen Zahlenspielen und statistischen Verzerrungen, kritisieren Wissenschaftler*innen.

Angreifer können mehrere Sicherheitslücken in IBM WebSphere Application Server und Business Automation Workflow ausnutzen und im schlimmsten Fall die volle Kontrolle über Systeme erlangen. Sicherheitsupdates schaffen Abhilfe.

Bislang gibt es seitens des Softwareherstellers keine Warnung, dass Angreifer die Lücken bereits ausnutzen. Da beide Anwendungen in Unternehmen zentrale Prozesse bereitstellen und automatisieren, sollten Admins die Sicherheitspatches jedoch zeitnah installieren.

Verschiedene Gefahren

Die meisten Softwareschwachstellen betreffen IBM WebSphere Application Server. Als am gefährlichsten gelten drei „kritische“ Sicherheitslücken (CVE-2026-9311, CVE-2026-9319, CVE-2026-8644).

Im ersten Fall können Angreifer Sicherheitskontrollen umgehen und im Anschluss Schadcode ausführen. Die zweite Lücke betrifft ausschließlich JAX-WS Endpoints mit WS-Security. Aufgrund von unzureichenden Überprüfungen werden eigentlich nicht vertrauenswürdige Daten verarbeitet und so kann Schadcode auf PCs gelangen. Im dritten Fall können sich Angreifer die Rolle eines anderen Nutzers aneignen und dann böse Dinge tun. Durch die verbleibende Schwachstelle (CVE-2026-9330 „hoch“) kann Schadcode schlüpfen. Bis der vollständige Patch IBM zufolge im dritten Quartal erscheint, müssen Admins Instanzen über eine Zwischenlösung in Form eines Interim Fixes absichern.

IBM Business Automation Workflow ist insgesamt über zehn Schwachstellen angreifbar. Hier gilt eine Lücke (CVE-2026-33186) in gRPC-Go als „kritisch“. Damit kann die Authentifizierung umgangen werden. Die Entwickler versichern, die Sicherheitsprobleme in den Ausgaben 24.0.0-IF009, 24.0.1-IF007, 25.0.0-IF005 und 25.0.1-IF001 gelöst zu haben.

(des)

Auf der Entwicklerkonferenz Microsoft Build 2026 stellt das Unternehmen vor allem für Entwickler relevante Neuerungen vor. Es gibt aber auch Neuerungen, die die Nutzerinnen und Nutzer der Windows-Betriebssysteme selbst direkt betreffen, etwa bezüglich der IT-Sicherheit.

Ein Übersichtsbeitrag im Windows-Blog nennt diverse Änderungen, die insbesondere Developer helfen. Etwa am Ende des Artikels finden sich jedoch auch Neuerungen, die Windows für alle sicherer machen sollen. Die meisten davon lassen sich bereits in Windows-Insider-Vorschauversionen austesten. So erklären die Autoren des Beitrags, dass Windows nun die Unterstützung von Post-Quanten-Kryptografie (PQC, Post-Quantum Cryptography) über die Windows-Plattform ausweiten und sie tiefer darin verankern will. Das umfasse PQ-Hybrid-Key-Exchange im TLS-Stack von Windows sowie den Support von zusammengesetzten PQC-Algorithmen durch die Windows-Kryptografie-APIs (CNG). Die Active Directory Certificate Services (ADCS) sollen nun auch PQ-Zertifikate verteilen können. Ein Blog-Beitrag in der Microsoft Techcommunity liefert Interessierten tiefergehende Einblicke.

Hilfe beim NTLM-Ausstieg

NTLM (NT LAN Manager) ist ein Sicherheitsalbtraum. Googles Tochterfirma Mandiant liefert inzwischen Hilfestellung beim Knacken von NTLM-Hashes, was die Sicherheit von Windows-Netzen mit NTLM-Authentifizierung deutlich beeinträchtigt. Die nächste Version von Windows Server soll NTLM dann nicht mehr unterstützen. Bis dahin arbeiten Microsofts Entwickler daran, sicherere Standardeinstellungen durchzusetzen und bekannte Angriffsvektoren für die veraltete Authentifizierung abzusichern. Im WIP-Server und Client lassen sich nun „IAKerb“ und „LocalKDC“ mit Registry-Keys konfigurieren. Das soll die Nutzung von NTLM reduzieren und den Einsatz stärkerer Kerberos-basierter Authentifizierung in weiteren Szenarien ermöglichen. Auch hierzu liefert ein Beitrag im Windows-IT-Pro-Blog tiefere Einsichten.

Um sicherzustellen, dass Windows nur vertrauenswürdige Treiber lädt, erfordert Microsoft nun einen strengeren Zertifizierungsprozess. Standardmäßig lädt Windows nur noch Treiber, die im Windows Hardware Compatibility Program (WHCP) signiert wurden. Das testen die Entwickler seit März in ersten Windows-Insider-Vorschauen. Konkret bedeutet das, dass Windows keine Treiber mehr lädt, die im Cross-Signed-Root-Programm signiert wurden. Dahinter steckt eine Option, dass Certificate Authorities (CA) öffentlichen Schlüsseln anderer CAs vertrauen; solche Cross-Signed-Root-Zertifikate akzeptiert Windows nicht mehr.

Microsoft hebt weiterhin hervor, dass Windows-Geräte durch Smart App Control für Endanwender und die Business-Variante davon vor nicht vertrauenswürdigen Apps geschützt werden. Ohne weiter in Details zu gehen, soll die reputationsbasierte Durchsetzung verstärkt werden und im Enterprise-Umfeld neue APIs zur Integration sowie richtlinienbasierte Kontrolle kommen.

(dmk)