Stimmen die Voraussetzungen, können Angreifer WordPress-Websites mit dem Plug-in Dokan Pro attackieren, um Admin-Accounts zu übernehmen und Seiten zu kompromittieren.

Die Gefahr

Mit dem Plug-in setzt man Onlineshops auf, in denen sich Nutzer als Verkäufer mit eigenen Marktplatzshops registrieren können. Nun weisen Sicherheitsforscher von Wordfence in einem Beitrag auf eine mittlerweile geschlossene Sicherheitslücke (CVE-2025-5931 „hoch„) hin.

Um eine Attacke einleiten zu können, müssen Angreifer aber bereits authentifiziert sein. Ist das gegeben, können sie am fehlerhaften Code, über den sich Nutzer als Marktplatzverkäufer registrieren können, ansetzen und einen neuen Nutzer mit Adminrechten anlegen. Im Anschluss können sie ein eigenes Passwort festlegen und weitreichend auf die Website zugreifen. Darüber können sie etwa Hintertüren in Onlineshops verankern.

Sicherheitspatch verfügbar

Die Entwickler versichern, dass sie die Version 4.0.6 gegen die geschilderte Attacke abgesichert haben. Alle vorigen Ausgaben sollen verwundbar sein. Unklar ist derzeit, ob es bereits Attacken gibt. Admins von WordPress-Websites mit diesem Plug-in sollten in den Einstellungen Ausschau nach unbekannten Accounts halten. Werden sie fündig, sollten sie die Konten umgehend löschen.

Zuletzt wurden Sicherheitslücken im WordPress-Plug-in UiCore Elements mit rund 40.000 aktiven Installationen geschlossen. An dieser Stelle konnten Angreifer eigentlich abgeschottete Informationen auf Servern einsehen.

(des)

Der brandenburgische Polizeipräsident Oliver Stepien ist offen für den Einsatz von Künstlicher Intelligenz in der Polizeiarbeit – unter bestimmten Voraussetzungen. „Wir müssen KI mit Nachdruck betreiben, weil das der Beginn einer Entwicklung ist, glaube ich, deren Umfang und abschließende Wirkung überhaupt noch nicht absehbar ist. Dem müssen wir uns stellen“, sagte Stepien der Deutschen Presse-Agentur in Potsdam. „Wir müssen dafür offen sein.“

Innenminister: Polizei muss mehr Möglichkeiten bei KI bekommen

Per Polizeigesetz, das bis Ende 2027 reformiert werden soll, muss die Polizei aus Sicht von Innenminister René Wilke mehr Möglichkeiten auch in Sachen KI und bei der Verwertung von Daten bekommen. „Da ist, glaube ich, noch ein Stückchen Weg vor uns, wo wir uns auch modernisieren müssen“, sagte der parteilose Politiker vor Kurzem der dpa.

Zuletzt war eine Debatte um eine umstrittene Analyse-Software des US-Unternehmens Palantir zur Verbrechensbekämpfung entbrannt. Datenschützer warnen, dass sensible Daten abgezweigt werden könnten. Die Polizei in einigen Bundesländern nutzt die Software – Brandenburg nicht.

Innenminister Wilke äußerte sich zuletzt skeptisch dazu. Mit der Software namens Gotham, die in Bundesländern als angepasste Version unter den Namen Hessendata, DAR und VeRA läuft, kann die Polizei große Mengen an Daten auswerten und Verbindungen herstellen.

KI bislang bei Vernehmungen in Brandenburg im Einsatz

Die Polizei in Brandenburg nutze bislang KI beispielsweise zur Transkription von audiovisuellen Vernehmungen, aber noch keine Systeme, die etwa eigenständig Straftaten oder Straftäter an deren Verhalten erkennen könnten, so Stepien. „Für eine abschließende Strategie brauchen wir zuerst ein einheitliches Begriffsverständnis von KI, klare Rechtsgrundlagen und bestimmte Eingriffsbefugnisse.“ Es müssten immer auch ethische Fragen geklärt werden.

„Bislang wurde eine Zeugenvernehmung abgetippt und ausgedruckt. Aber je mehr wir solche Dinge vereinfachen und erleichtern, desto mehr Zeit ist ja für die eigentliche Kriminalitätsbekämpfung da“, sagte Innenminister Wilke der dpa.

Debatte um Gesichtserkennungs-Software

Er wie auch Polizeipräsident Stepien halten eine Gesichtserkennungs-Software zur Strafverfolgung für hilfreich. „Aber dann steckt der Teufel auch im Detail“, meinte der Polizeipräsident. „Also nicht alles, was geht, dürfen wir.“

Der Innenminister befürwortet ein System zur automatisierten Gesichtserkennung (PerlS) zur Unterstützung der Ermittlungsarbeit etwa, wenn Täter auf der Flucht sind. „Es darf kein Freifahrtschein sein, aber die Fähigkeiten müssen wir uns für spezielle Fälle geben“, so Wilke.

(dmk)

Die Bundesdatenschutzbeauftragte will im Streit um Facebook-Seiten der Bundesregierung nicht nachgeben. Daher legt sie Berufung gegen ein Urteil des Verwaltungsgerichts Köln ein, wie die Behörde am Freitag in einer Pressemitteilung mitteilte. Ziel sei eine Klärung der Frage, ob und unter welchen Bedingungen staatliche Stellen offizielle Profile in Sozialen Medien betreiben dürfen.

Im Juli hatte das Kölner Gericht entschieden, dass keine gemeinsame datenschutzrechtliche Verantwortung zwischen Meta und dem Bundespresseamt (BPA) für die Datensammlungen des Social-Media-Betreibers bestehe. Entsprechend sei allein Meta für die rechtssichere Verarbeitung und Einholung der Einwilligung von Betroffenen verantwortlich. Das BPA dürfe deshalb weiter die Facebook-Seite der Bundesregierung mit derzeit etwa einer Million Follower:innen betreiben.

„Selbstverständlich sehen wir, wie wichtig es für den Staat geworden ist, auf sozialen Netzwerken zu kommunizieren“, heißt es von der amtierenden Bundesdatenschutzbeauftragten Louisa Specht-Riemenschneider zu der Berufung. „Welche Bedingungen dafür gelten, ist aber bislang völlig unklar und kann nur entweder durch den Gesetzgeber oder durch ein letztinstanzliches Urteil festgelegt werden.“

Fast 15 Jahre Rechtsunsicherheit

Das Gerichtsverfahren geht zurück auf eine Entscheidung von Specht-Riemenschneiders Amtsvorgänger Ulrich Kelber. Dieser hatte nach langem Mahnen und Warnen im Jahr 2022 dem Bundespresseamt den Betrieb der Facebook-Seite der Bundesregierung untersagt. Dagegen sind sowohl das BPA als auch Meta gerichtlich vorgegangen.

Hintergrund sind die umfangreichen Datensammlungen des Meta-Konzerns, der das Verhalten seiner Nutzer:innen auf den eigenen Plattformen und darüber hinaus auswertet. Mit den gewonnenen Informationen betreibt der Konzern unter anderem seine hyperpersonalisierten Empfehlungsalgorithmen, bietet zielgerichtete Werbung an und entwickelt KI-Dienste.

Seit langem gibt es zahlreiche Rechtsstreits darum, ob Metas Verhalten datenschutzkonform ist. Insgesamt wurde der Konzern wegen Verstößen gegen die Datenschutzgrundverordnung bereits zu mehreren Milliarden Euro Bußgeld verdonnert. Im Zentrum der aktuellen Auseinandersetzung steht die Frage: Inwiefern tragen die Betreiber offizieller Facebook-Seiten, die früher „Fanpages“ hießen, eine Mitverantwortung für Datenschutzverstöße?

Bereits Anfang der 2010er-Jahre hatte die Datenschutzbehörde von Schleswig-Holstein die Schließung einer Facebook-Fanpage angeordnet, weil die Seitenbetreiber nicht sicherstellen konnten, dass Facebook sich an den Datenschutz hält. Der Fall ging bis vor den Europäischen Gerichtshof, der eine gemeinsame Verantwortung 2018 weitgehend bejahte.

Praktische Konsequenzen hatte das allerdings kaum. Meta stellte Seitenbetreibern 2019 ein „Addendum“ zur gemeinsamen Verantwortung zur Verfügung. Nach Auffassung der Datenschutzbehörden löste dies die Probleme allerdings nicht. Auch dass das BPA die Bereitstellung von Statistiken durch Facebook abstellte, hielt Kelber für unzureichend, wie er 2021 an die Bundesregierung schrieb.

Handreichung: Social Media immer nur als Parallelmedien

Für öffentliche Stellen ist das ein Dilemma, weil sie nicht nur ein Eigeninteresse haben, mit Bürger:innen zu kommunizieren, sondern dazu auch verfassungsrechtlich angehalten sind. Specht-Riemenschneider betont deshalb, dass sie Behörden nicht für die Nutzung von Sozialen Medien abstrafen wolle. Vielmehr sei es das Anliegen der BfDI, „die bislang weder gesetzlich noch höchstrichterlich geklärten Bedingungen für rechtskonforme Nutzung abschließend und unmissverständlich zu klären und dabei digitale Kommunikation mit Bürgerinnen und Bürgern zu ermöglichen“.

Um vor einer endgültigen Klärung der Frage nach der gemeinsamen Verantwortung eine möglichst datenschutzkonforme Nutzung sozialer Medien durch öffentliche Stellen zu ermöglichen, veröffentlichte die Datenschutzbeauftragte mit der Berufungsankündigung eine eher allgemein gehaltene Handreichung für Behörden.

So sollen Behörden in Sozialen Medien beispielsweise Transparenz über die eigene Verarbeitung von Daten herstellen und eine Datenschutzfolgenabschätzung vornehmen, sofern die Voraussetzungen dafür erfüllt sind. Außerdem sollten Behörden, soweit es ihnen möglich ist, für Privacy by default sorgen. Dazu könnten Maßnahmen wie die Abschaltung der Statistik-Funktion und falls möglich eine Deaktivierung der Datennutzung für KI-Training gehören. Verarbeitungsintensive Zusatzfunktionen wie Gewinnspiele, Direktwerbung und Widgets sollten gar nicht genutzt werden.

Und: „Soziale Medien dürfen von öffentlichen Stellen des Bundes nur als Parallelmedium genutzt werden.“ Bürger:innen müssten immer die Möglichkeit haben, Informationen auch über andere Kanäle zu erhalten. Das gelte ebenfalls für Stellenanzeigen und Veranstaltungsankündigungen.