Im Jahr 2017 begann das Bundesamt für Migration und Flüchtlinge (BAMF), die Smartphones von Asylsuchenden auszulesen. Immer dann, wenn diese keinen Pass oder andere anerkannte Identitätsdokumente vorlegen konnten, durften ihre Geräte analysiert werden. Das Ziel: Hinweise auf Identität und Herkunftsland gewinnen – selbst wenn an den Angaben der Antragstellenden noch gar keine Zweifel bestanden.

2018 kam die Behörde mit der neuen Praxis auf über 11.000 ausgelesene Datenträger, 2023 waren es rund 12.500. Damit ist jetzt offenbar Schluss. Laut der Antwort der Bundesregierung auf eine Kleine Anfrage der Linken-Abgeordneten Clara Bünger erfolge das Auslesen von Handydaten „nur noch einzelfallbezogen auf Entscheidung der Entscheiderin oder des Entscheiders“.

Zuvor las das BAMF schon sehr früh im Asylverfahren die Daten aus, in der Regel weit vor der Asylanhörung. Die „damit verbundene ressourcenintensive Auswertung“ sei ab dem Jahr 2024 „ausgesetzt“ worden. Das führt zu deutlich rückgängigen Zahlen: Im ersten Halbjahr 2025, so die Bundesregierung, sind lediglich noch 338 Datenträger ausgelesen worden.

Die Auswertungen sind nutzlos und aufwändig

Der Nutzen der Auswertungen stand schon seit Beginn der Maßnahmen in Frage. Zu Beginn scheiterte in rund einem Viertel der Fälle das Auslesen bereits auf einer technischen Ebene.

Bei den erfolgreichen Auslese- und Auswertevorgängen waren wiederum die meisten Ergebnisse bis zuletzt völlig unbrauchbar. So lieferten die Auswertungen im Jahr 2023 in 73,4 Prozent der Fälle „keine verwertbaren Erkenntnisse“. Nur in 1,7 Prozent der Fälle stützten die Ergebnisberichte die Angaben der Antragstellenden nicht – das heißt, es gab Hinweise darauf, dass ihre Angaben eventuell nicht korrekt sein könnten.

Das ist zum einen viel Aufwand und zum anderen ein tiefer Eingriff in Grundrechte und Privatsphäre für eine Maßnahme mit mehr als fragwürdigem Nutzen. Fragestellerin Clara Bünger kommentiert dazu gegenüber netzpolitik.org: „Die aktuelle Antwort der Bundesregierung zeigt, dass diese negative Bilanz inzwischen offenbar auch im BAMF so gesehen wird.“

Der Wandel geht laut Bundesregierung zurück auf ein „Maßnahmenpaket zur Bewältigung der Asyllage“, das BAMF und Bundesinnenministerium miteinander abgestimmt hätten. Im Gegensatz zur Praxis hat sich die gesetzliche Grundlage der Handydurchsuchungen jedoch verschärft. Durch das 2024 verabschiedete Gesetz zur Verbesserung der Rückführung könnten BAMF und Ausländerbehörden auch Cloud-Speicher von entsprechenden Personen auslesen.

Der Kurs steht weiter auf Verschärfung

Diese Verschärfung beschloss die Bundesregierung kurz nachdem das Bundesverwaltungsgericht im Februar 2023 im Fall einer afghanischen Klägerin Grenzen gesetzt hatte: Das BAMF darf laut dem Urteil erst dann Smartphones auswerten, wenn es keine milderen Mittel gibt, um Hinweise auf Identität und Herkunft der Betroffenen zu bekommen. Das könnten beispielsweise offizielle Papiere neben Ausweisdokumenten sein oder andere Wege, Aussagen der Geflüchteten zu überprüfen.

Bünger fordert, auch andere politische Entwicklungen zu überdenken, um bessere Asylverfahren zu ermöglichen: „Es muss endlich Schluss sein mit den ausgrenzenden Missbrauchsdebatten, den permanenten Asylrechtsverschärfungen und der andauernden Entrechtung von Schutzsuchenden.“

Die Realität jedoch sieht offenkundig anders aus. Mit dem aktuellen Entwurf zur deutschen Umsetzung des Gemeinsamen Europäischen Asylsystems etwa schießt die Bundesregierung noch über die repressiven EU-Vorgaben hinaus. Im Koalitionsvertrag von Union und SPD ist angekündigt, dass sich auch in verwaltungsrechtlichen Asylverfahren einiges zum potenziellen Nachteil von Geflüchteten ändern soll. Die Regierungspartner wollen, dass die Asylsuchenden vor Gericht selbst etwa politische und soziale Faktoren in ihrem Herkunftsland einbringen müssen, wenn die im Verfahren berücksichtigt werden sollen – selbst wenn diese bereits öffentlich oder bei Gericht bekannt sind. Bünger findet: „Das ist das genaue Gegenteil von dem, was jetzt wichtig wäre: pragmatische Vorschläge für zügige und zugleich faire Asylverfahren.

Server-Motherboards und Rechenzentrumshardware von Supermicro sind verwundbar. Nach erfolgreichen Attacken können Angreifer sich dauerhaft über eine Hintertür Zugriff verschaffen. Admins sollten ihre Instanzen zeitnah absichern.

Unvollständiger Patch

Wie aus einem Beitrag hervorgeht, sind Sicherheitsforscher von Binarly auf zwei Sicherheitslücken (CVE-2025-7937 „hoch„, CVE-2025-6198 „hoch„) gestoßen. In beiden Fällen können Angreifer Sicherheitsprüfungen des Baseboard Management Controllers (BMC) umgehen und mit Schadcode präparierte Firmwareimages installieren. Im Anschluss sind Systeme dauerhaft vollständig kompromittiert.

Supermicro listet die Schwachstellen, die betroffenen Motherboards und die Sicherheitsupdates in einer Warnmeldung auf. In dem Beitrag versichern sie, dass sie bislang keine Hinweise auf laufende Attacken entdeckt haben.

Die erste Lücke geht auf eine Schwachstelle (CVE-2025-10237 „hoch„) von Anfang dieses Jahres zurück. Wie die Sicherheitsforscher eigenen Angaben zufolge herausfanden, war der Sicherheitspatch unvollständig und sie konnten den Schutz umgehen. Die zweite Schwachstelle haben sie neu entdeckt.

Hintergründe

Aufgrund von Fehlern bei der Überprüfung von Firmwareimages ist es nach wie vor möglich, Images mit Schadcode zu versehen, ohne dass Sicherheitschecks anschlagen. Den Sicherheitsforschern zufolge stuft der BMC manipulierte Images als korrekt signiert und gültig ein und installiert sie.

Durch das erfolgreiche Ausnutzen der neuen Lücke können Angreifer zusätzlich die BMC-Sicherheitsfunktion Root of Trust (RoT) umgehen. Die prüft beim Booten, ob die Firmware legitim ist. Wie das im Detail abläuft, führen die Sicherheitsforscher in einem Beitrag aus.

(des)

Derzeit nutzen unbekannte Angreifer zwei Sicherheitslücken in Cisco Secure Firewall Adaptive Security Appliance (ASA) Software und Cisco Secure Firewall Threat Defense (FTD) Software aus. Darüber verschaffen sie sich Zugriff auf eigentlich geschützte Bereiche oder führen sogar Schadcode aus. Sicherheitsupdates sind verfügbar.

In welchem Umfang die Attacken ablaufen, ist zurzeit unklar. Um passende Patches zu finden, müssen Admins in den unterhalb dieses Beitrags verlinkten Warnmeldungen bestimmte Rahmenbedingungen in Formularfelder eingeben, sodass als Ergebnis das jeweils passende Update angezeigt wird.

Root-Attacken

Die beiden ausgenutzten Schwachstellen (CVE-2025-20333 „kritisch„, CVE-2025-20362 „mittel„) betreffen die VPN-Web-Server-Komponente von ASA und FTD. In beiden Fällen sind Attacken aus der Ferne möglich, zum Ausnutzen der kritischen Lücke müssen Angreifer aber bereits authentifiziert sein.

Verfügt ein Angreifer über gültige VPN-Zugangsdaten, kann er präparierte HTTP(S)-Anfragen an verwundbare Instanzen schicken. Im Anschluss ist die Ausführung von Schadcode mit Root-Rechten möglich. Das führt in der Regel zu einer vollständigen Kompromittierung von Systemen.

Im Fall der anderen attackierten Lücke ist keine Authentifizierung vonnöten, und Angreifer können über einen identischen Angriffsweg auf eigentlich abgeschottete URL-Endpoints zugreifen.

Weitere Sicherheitsupdates

Weiterhin haben die Entwickler noch eine weitere „kritische“ Schwachstelle (CVE-2025-20363) in ASA, FTD, IOS, ISO XE und IOS XR geschlossen. Auch hier werden HTTP-Anfragen nicht ausreichend überprüft, sodass Schadcode auf Instanzen gelangen kann.

Erst kürzlich sorgten Root-Sicherheitslücken in Ciscos Netzwerkbestriebssystem IOS und IOS XE für Schlagzeilen.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)