Connect with us

Datenschutz & Sicherheit

Schwarz-Rot peitscht Änderung des BKA-Gesetzes durch den Bundestag


Donnerstag spät abends hat die schwarz-rote Mehrheit im Bundestag zwei Gesetze verabschiedet, die das BKA-Gesetz ändern. Es geht dabei zum einen um vorsorgliche Datenspeicherung von Beschuldigten in der polizeilichen Datenbank INPOL und zum anderen um die Überwachung von Kontaktpersonen potenzieller Terrorist:innen.

Die bisherigen Vorgaben waren verfassungswidrig. Das hatte das Bundesverfassungsgericht letztes Jahr festgestellt und eine Änderungsfrist bis Juli gegeben. Es fehlten etwa klare Vorgaben, ab wann und wie lange Daten gespeichert werden dürfen. Anfang Juni verlängerte das Gericht die Frist bis zum 31. März 2026. Doch die Regierungsparteien hielten am ursprünglichen Zeitplan fest. Dabei äußerten Sachverständige in einer Anhörung am Montag deutliche Kritik.

Schnell, schnell – trotz Fristverlängerung

Einer der kritischen Sachverständigen ist Prof. Dr. Clemens Arzt von der Hochschule für Wirtschaft und Recht Berlin. Er bemängelt, dass weiterhin nicht klar geregelt ist, wann eine „vorsorgende Speicherung“ von Personendaten in Polizeidatenbanken erlaubt ist. Die im Gesetz formulierte Erlaubnis, wenn die Speicherung zur „Verhütung oder Verfolgung beitragen kann“, heiße nicht, dass diese auch erforderlich sei.

Arzt kommt zu dem Schluss: „Es drängt sich der Anschein auf, dass mit den eilig in diesem Gesetzgebungsverfahren vorgelegten Neuregelungsvorschlägen Zeit bis zur möglichen erneuten Beanstandung des Bundesverfassungsgerichts nach dem Ende dieser Legislaturperiode gewonnen werden soll.“ Das vorgelegte Gesetz sei „mit dem Grundrecht auf informationelle Selbstbestimmung nicht vereinbar“.

Auch die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider hatte einiges zu beanstanden. Bei der Überwachung von Kontaktpersonen etwa fehlt ein Passus, der ihre Intimsphäre schützt, den sogenannten Kernbereich privater Lebensgestaltung. In einem Gesetzentwurf der Vorgängerregierung, der wegen der geplatzten Koalition nicht mehr durch den Bundestag kam, war das noch berücksichtigt worden.

„Ausgleich zwischen Rechtsstaat und Polizei“

Specht-Riemenschneider riet in ihrer Stellungnahme daher dazu, die entsprechenden Regeln im BKA-Gesetz „aus einem Guss“ zu überarbeiten. Durch die Fristverlängerung des Bundesverfassungsgerichts sehe sie „keine zeitliche Dringlichkeit mehr“.

Die Regierungsfraktionen haben die Mahnungen der kurzfristig konsultierten Fachleute ignoriert. Christoph de Vries (CDU), parlamentarischer Staatssekretär im Innenministerium, betonte in seiner Rede im Bundestag, der Entwurf stelle „einen Ausgleich“ zwischen rechtsstaatlichen Anforderungen und Bedarfen bei der Polizeiarbeit dar. Die Verfügbarkeit von polizeilichen Daten dürfe nicht an Ländergrenzen Halt machen.

Die Gesellschaft für Freiheitsrechte, die gegen das alte BKA-Gesetz geklagt hatte, kündigte bereits Anfang Juni an, die neuen Gesetze zu prüfen und „gegebenenfalls erneut Verfassungsbeschwerde erheben“ zu wollen. Doch bevor die Regelungen gelten, muss zumindest das Änderungsgesetz zur Datenspeicherung noch den Bundesrat passieren. Widerstand aus den Ländern ist jedoch kaum zu erwarten.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

SAP Patchday: Kritische Sicherheitslücken ermöglichen Einschleusen von Schadcode


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Der August-Patchday von SAP bringt 15 neue Sicherheitsnotizen, die unter anderem kritische und hochriskante Schwachstellen in den Produkten des Unternehmens behandeln. IT-Verantwortliche sollten die bereitgestellten Aktualisierungen zügig anwenden.

Die Übersichtsseite zu den SAP-Patches zählt zudem vier aktualisierte, ältere Notizen auf. Am gravierendsten ist eine Codeschmuggel-Lücke in SAP S/4HANA, die sowohl die On-Premises- als auch die Private-Cloud-Variante betrifft. Angreifer mit Benutzerrechten können einen Fehler im Funktionsmodul missbrauchen, das über RFC angreifbar ist, und dadurch unter Umgehung „essenzieller Autorisierungsprüfungen“ beliebigen ABAP-Code ins System einschleusen. Die Schwachstelle funktioniere effektiv als Backdoor mit dem Risiko der vollständigen Kompromittierung des Systems, schreibt SAP in der Schwachstellenbeschreibung (CVE-2025-42957 / EUVD-2025-24203, CVSS 9.9, Risiko „kritisch„).

Die Fehlerbeschreibung für eine Sicherheitslücke in SAP Landscape Transformation (SLT) liest sich identisch und erreicht dieselbe Risikoeinstufung (CVE-2025-42950 / EUVD-2025-24206, CVSS 9.9, Risiko „kritisch„).

Weitere Sicherheitslücken in SAP-Produkten

Die Risikoeinstufung „hoch“ hat zudem eine Schwachstelle in SAP Business One (SLD) erhalten. Die Autorisierung darin war kaputt und ermöglicht angemeldeten Angreifern die Ausweitung ihrer Rechte (CVE-2025-42951 / EUVD-2025-24205, CVSS 8.8, Risiko „hoch„). Mehrere Lücken in SAP Netweaver erlauben etwa, Komponenten zum Absturz zu bringen und damit einen Denial-of-Service (DoS) zu provozieren (CVE-2025-42976 / EUVD-2025-24201, CVSS 8.1, Risiko „hoch„). Eine Cross-Site-Scripting-Lücke ermöglicht unangemeldeten Angreifern zudem, Links zu erstellen, die bösartigen Code in Netweaver ausführen (CVE-2025-42975 / EUVD-2025-24202, CVSS 6.1, Risiko „mittel„).

Weitere Sicherheitslücken mit mittlerem oder niedrigem Schweregrad betreffen zudem SAP S/4HANA (Bank Communication Management), SAP NetWeaver Application Server ABAP, SAP NetWeaver ABAP Platform, SAP NetWeaver Application Server ABAP (Apps basierend auf SAP GUI for HTML), SAP GUI for Windows, SAP NetWeaver AS for ABAP und ABAP Platform(Internet Communication Manager), SAP Cloud Connector und SAP Fiori (Launchpad).

Der SAP-Patchday im Juli fiel deutlich umfangreicher aus: Die Walldorfer veröffentlichten 27 Sicherheitsnotizen, von denen gleich fünf als kritisches Risiko eingeordnete Schwachstellen behandelt haben.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Tresorschlösser von SecuRam – so einfach haben es Panzerknacker


Dass man keine Post-its mit Passwörtern an Monitore klebt, sollte inzwischen jedem klar sein. Anders ist es bei der Firma SecuRam Systems Inc.: Obwohl die digitalen Safe-Schlösser als hochsicher gelten und für Geldtresore, Arzneimittel-, Drogen- oder Waffenschränke zugelassen sind, haben diese Schlösser die Sicherheit von einem Post-it mit dem Schlüssel. Die Schlösser von SecuRam werden ebenfalls in Europa eingesetzt.

Wie Mark Omo und James Rowley in ihrer Freizeit herausgefunden haben, speichern die digitalen Schlösser sowohl den symmetrischen Schlüssel als auch die verschlüsselten PINs und Master-PINs sowie die Recovery-Informationen nicht im unzugänglichen Schloss im Safe, sondern im Keypad, das von außen leicht zugänglich ist. Per Raspberry Pi haben die beiden IoT-Sicherheitsexperten ein Tool gebaut, das aus dem Keypad alle sicherheitsrelevanten Informationen auslesen kann. Praktisch war, dass der Controller im Keypad – ein Renesas RL78/G13 – auch in der Playstation 4 verbaut ist. Somit hatte die Gamehacker-Gruppe fail0verflow! schon alle Werkzeuge wie den Memory Dumper und die Tools rund um den Debug-Port erstellt.

Dabei ist der Debug-Port extrem einfach durch das Batteriefach von außen zugänglich. Auch hat der Hersteller vergessen, den Debug-Port zu fusen, also auf dem Chip unzugänglich zu machen, und hat keinen Debug-Unlock-Pin vergeben. Über ein einfaches 0000000000 erhielten die beiden den vollen Zugriff auf den Speicher.

Obwohl der Hersteller XXTEA als Cipher benutzt, bring es in diesem Fall nichts, da der Schlüssel ebenfalls im Keypad gespeichert ist. Laut Aussage von den Forschern ist diese katastrophale Situation auch darauf zurückzuführen, dass die Standards für elektronische physische Sicherheitsgeräte wie Safes absolut veraltet sind und nicht dem aktuellen Stand der Technik entsprechen.


(fo)



Source link

Weiterlesen

Datenschutz & Sicherheit

Spendenkampagne: Der Countdown läuft


Texttafel mit Countdown: Noch 3 Tage, 164 Menschen und 1.351 Euro.

Noch wenige Tage lang tickt bei uns der Countdown.

Für unsere sommerliche Spendenkampagne haben wir uns ein klares Ziel gesetzt: In 30 Tagen wollen wir 300 neue Menschen finden, die uns mit einer monatlichen Dauerspende unterstützen. Im Schnitt sind das zehn Euro pro Monat. Das klingt nach einer überschaubaren Summe. Aber für uns macht es einen riesigen Unterschied. Jede Person, die langfristig dabei ist, hilft uns, besser planen zu können. Genau diese Planbarkeit brauchen wir, um unabhängig und stabil weiterzuarbeiten.

Warum wir jetzt deine Unterstützung brauchen

Langjährige Leser:innen wissen es: Am Jahresende klafft bei uns oft ein großes Loch in der Finanzierung. Das ist bei spendenfinanzierten Organisationen fast schon „normal“. In der Weihnachtszeit spenden Menschen besonders viel. Für uns bedeutet das jedoch: Während überall langsam Ruhe einkehrt, steigt bei uns der Puls. In den letzten Wochen eines  Jahres müssen wir noch einmal alles mobilisieren.

Das ist kräftezehrend – und vermeidbar. Je mehr Menschen uns regelmäßig unterstützen, umso gelassener können wir solchen Endspurts begegnen und unsere Energie in das stecken, was wir am besten können: Recherchieren, analysieren und kritisch berichten.

Werde Teil unserer Community

Vielleicht hast du uns schon einmal unterstützt. Dafür ein großes Dankeschön!

Nun möchten wir dich gerne einladen: Werde Teil unserer Community von Dauerspender:innen.

Eine Dauerspende bedeutet Sicherheit für unsere Recherchen. Sie finanziert unseren langen Atem – und macht es uns möglich, kritisch hinzuschauen, wo andere längst aufgegeben haben.

⬇️ Jetzt Dauerspender:in werden ⬇️



Source link

Weiterlesen

Beliebt