In Bremen läuft in 14 Tram-Bahnen KI-gestützte Videoüberwachung, ab April soll das System auf die übrigen Bahnen und Busse ausgerollt werden. Das haben die Verkehrsbetriebe (BSAG) vergangene Woche im Rahmen einer Projektvorstellung bekannt gemacht. Das System versucht zu erkennen, wie die abgebildeten Menschen handeln, um so aggressives Verhalten zu detektieren.

80 Prozent der Kosten von 10.000 Euro je Bahn zahlt das Bundesverkehrsministerium, das hier offenbar ein Leuchtturmprojekt sieht. Laut der Verkehrsbetriebe ist Bremen damit das erste Bundesland mit KI-Überwachung im öffentlichen Nahverkehr. Die Bremer Polizei hat ebenfalls Interesse an der Technologie angemeldet, die sie im öffentlichen Raum einsetzen möchte. Zahlreiche Bundesländer bohren dafür gerade ihre Polizeigesetze auf.

Die für die KI-Analyse nötige Videoüberwachung stünde in Bremen bereit. An 40 Standorten wird der öffentliche Raum mit Kameras kontrolliert. Doch die Bremer Polizei wird noch warten müssen. Am Mittwoch soll eine Novelle des Polizeigesetzes in der Bremischen Bürgerschaft debattiert werden. Die Erlaubnis, Verhaltensscanner zu nutzen, beinhaltet sie nicht. Dafür erlaubt der Gesetzentwurf der Polizei aber den heimlichen Einsatz von Videodrohnen.

Bremer Polizei soll heimlich Überwachungsdrohnen einsetzen

Die Überwachung mit Videodrohnen soll in drei Stufen stattfinden: Livestream zur Lagebeurteilung, Aufzeichnung, verdeckter Einsatz – mit jeweils immer höheren Eingriffsschwellen. Dem verdeckten Einsatz muss beispielsweise ein Richter zustimmen – außer es liegt eine Gefahr für „Leib, Leben oder Freiheit“ einer Person vor. Dann darf die Polizei auch freihändig agieren.

Die Entwicklung ist besonders interessant, da Bremen seit 2007 von einer Koalition aus SPD, Grünen und Linken regiert wird, die sich eigentlich ein besonders liberales Polizeigesetz gegeben hatte. In Bremen kann man etwa nach einer Polizeikontrolle eine Quittung verlangen, die den Grund für die Kontrolle verrät und die Polizist*innen im Land tragen eine individuelle Kennzeichnung.

Nun folgt also auch dieses Land zumindest ein Stück weit dem bundesweiten Trend zur Verschärfung der Polizeigesetze. So soll beispielsweise mit dem neuen Polizeigesetz ein Satz wegfallen, der Zivilpolizist*innen im Rahmen einer Maßnahme dazu verpflichtet, sich unaufgefordert auszuweisen.

Präventiver Einsatz von elektronischen Fußfesseln

Primär geht es in dem Entwurf um den Schutz von Opfern häuslicher Gewalt. Dazu soll der Aufenthaltsort der Täter*innen mit elektronischen Fußfesseln überwacht werden. Nach dem „Spanischen Modell“ sollen sich auch die Opfer freiwillig überwachen lassen können, um bei einer Annäherung des Täters gewarnt zu werden.

Das GPS-Tracking darf nicht nur gegen Ausübende häuslicher Gewalt eingesetzt werden, sondern auch gegen Menschen, denen die Polizei zutraut, dass sie einen Terroranschlag begehen. Der Einsatz ist präventiv möglich, ohne dass es vorher zu einer Straftat gekommen sein muss.

Mit dem neuen Polizeigesetz will Bremen auch die Hürden für Videoüberwachung des öffentlichen Raums senken. Während bislang noch eine erhöhte Kriminalitätsbelastung nötig ist, damit ein bestimmtes Areal überwacht werden kann, soll es künftig reichen, dass die örtlichen Verhältnisse Straftaten erwartbar machen. Dann reicht die Annahme, dass dort irgendwann mal etwas passiert, um ein Areal zu überwachen. Das bringt die Legitimation der Videoüberwachung von einer faktischen, zahlenbasierten Grundlage in die freihändige Einschätzung der zuständigen Polizeikräfte.

Der DNS-basierte Werbeblocker Pi-hole stopft in aktualisierter Fassung zwei Sicherheitslücken. Außerdem haben die Programmierer Änderungen umgesetzt, die der Performance insbesondere auf älteren Raspberry Pis auf die Sprünge helfen.

In einem Blog-Beitrag auf der Pi-hole-Webseite haben die Entwickler die neuen Versionen der Komponenten angekündigt. Die darin geschlossenen Sicherheitslücken betreffen das Web-Interface von Pi-hole. Zum einen hätten als Admin angemeldete Angreifer eine „Stored HTML-Injection“-Schwachstelle missbrauchen können, um HTML-Code einzuschleusen, der bei der Anzeige der DNS-Eintragstabelle angezeigt wird (CVE-2026-26952, CVSS 5.4, Risiko „mittel“). Zum anderen gelingt dies auch auf der API-Einstellungswebseite (CVE-2026-26953, CVSS 5.4, Risiko „mittel“).

Aktualisierte Pi-hole-Komponenten

Die aktuellen Pi-hole-Komponenten FTL 6.5, Web 6.4.1 und Core 6.4 stopfen die Sicherheitslecks in der Web-Oberfläche. Wer Pi-hole einsetzt, sollte generell sicherstellen, dass die Web-GUI nicht offen im Internet steht und gegebenenfalls den Zugriff auf die Admin-Rechner beschränken.

Die aktualisierten Teile von Pi-hole haben jedoch noch mehr zu bieten. Die Performance haben die Entwickler nach eigenen Angaben darin verbessert. Das Starten geht nun schneller, da FTL den Anfragenverlauf asynchron aus der Datenbank importiert. Bislang blieb die DNS-Auflösung blockiert, bis der komplette Anfrageverlauf in den Speicher geladen wurde. Jetzt akzeptiert FTL Anfragen umgehend und importiert die alten Daten in einem Hintergrund-Thread. Um die Konsistenz sicherzustellen, startet der Garbage Collector erst, wenn der Import abgeschlossen wurde.

Außerdem bringt die neue Konfigurationsoption database.forceDisk FTL dazu, die eigentlich im Speicher vorgehaltene SQLite3-Datenbank auf das Speicherlaufwerk zu verfrachten. Das reduziert den Speicherverbrauch und ist insbesondere auf älteren Raspberry Pis hilfreich. Die Programmierer weisen darauf hin, dass das besonders für Pi-hole-Instanzen taugt, deren Web-Interface nur selten genutzt wird. Wo lediglich SD-Karten genutzt werden, sorgt das unter Umständen für Geschwindigkeitseinbußen, auf Systemen mit NVMe-Laufwerk waren jedoch keine Unterschiede messbar. Der Standardwert ist „false“, lässt sich aber etwa mittels Aufruf von sudo pihole-FTL --config database.forceDisk true aktivieren.

Zudem soll das Update der Blocklisten, also des Gravity-Systems, zügiger ablaufen. Die Domain-Prüfungsschleife ist nun effizienter – Tests mit fünf Millionen Einträgen aus mehreren Listen senkten die Update-Zeit von 27 auf 23 Sekunden, was einem Geschwindigkeitsgewinn von 16 Prozent Echtzeit entspricht – bei der CPU-Zeit sogar um 22 Prozent.

Der praktische Test über wenige Tage auf einem Raspberry Pi Zero W zeigt, dass die Entwickler nicht zu viel versprechen. Wo sonst täglich mehrere Warnungen über zu hohe Systemlast in Pi-hole auftauchten, schnurrt das System nun ohne derartige Beschwerden und größere Auslastung vor sich hin. Bestehende Installationen lassen sich durch den Aufruf von „sudo pihole -up“ auf den aktuellen Stand bringen.

Vor einem Jahr hatten die Pi-hole-Entwickler die Major-Version 6 veröffentlicht. Auch diese sollte bereits die DNS-Filtersoftware verschlanken. Die nun veröffentlichten Updates legen insbesondere in diesem Belang jedoch spürbar nach.

(dmk)

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf die quelloffene Software Roundcube Webmail. Es handelt sich um eine kritische und eine hochriskante Schwachstelle, die Kriminelle nun offenbar ins Visier nehmen.

Die Warnung der CISA ist wie üblich äußerst knapp. Angriffe wurden demnach auf eine Schwachstelle bei der Deserialisierung von nicht vertrauenswürdigen Daten (CVE-2025-49113, CVSS 9.9, Risiko „kritisch“) sowie eine Cross-Site-Scripting-Lücke (CVE-2025-68461, CVSS 7.2, Risiko „hoch“) beobachtet. Wie die Angriffe aussehen und in welchem Umfang sie erfolgen, bleibt unklar. IT-Verantwortliche sollten jedoch nicht zögern und auf die jüngste fehlerbereinigte Fassung von RoundCube Webmail aktualisieren.

Die als „kritisch“ eingestufte Sicherheitslücke wurde vom NIST lediglich mit einem CVSS-Wert von 8.8 als hohes Risiko verortet. Allerdings tauchte Anfang Juni vergangenen Jahres bereits ein Beispiel-Exploit auf, der den Missbrauch der Lücke demonstriert. Angreifer können durch die Schwachstelle beliebige Befehle auf verwundbaren Systemen ausführen. Dazu ist ein gültiges Mailkonto nötig. Diese Sicherheitslücke hat Roundcube Webmail 1.5.10 und 1.6.11 geschlossen.

Roundcube Webmail: Zwei attackierte Sicherheitslücken

Die zweite Sicherheitslücke wurde kurz vor Weihnachten bekannt. Sie ermöglicht Cross-Site-Scripting-Angriffe. Die Schwachstelle betrifft die Verarbeitung des „Animate“-Tag in SVG-Dateien. Auch hier hat das NIST zunächst eine Einstufung als mittleres Risiko mit einem CVSS-Wert von 6.1 abgegeben, MITRE hingegen sieht ein hohes Risiko mit der Gefahrenstufe „hoch“ und einem CVSS-Wert 7.2. Die beobachteten Angriffe sprechen offenbar für letztere Einschätzung.

IT-Verantwortliche sollten ihre Systeme absichern, indem sie zumindest auf die fehlerkorrigierten Versionen 1.5.12 und 1.6.12 installieren. Darin haben die Entwickler die Cross-Site-Scripting-Lücke geschlossen. Hinweise für erfolgreiche Angriffe (Indicators of Compromise, IOCs) liefert die CISA ebenfalls nicht, mit denen Admins prüfen könnten, ob ihre Instanzen attackiert wurden.

(dmk)