Aufgrund von mehreren Softwareschwachstellen können Angreifer IBM Db2 attackieren und Instanzen im schlimmsten Fall vollständig kompromittieren. Um dem vorzubeugen, sollten Admins die abgesicherten Versionen installieren.

Schadcode-Schlupfloch

Am gefährlichsten gilt eine Sicherheitslücke (CVE-2025-33092 „hoch„), durch die Schadcode schlüpfen kann. Die Basis für solche Attacken ist ein von Angreifern ausgelöster Speicherfehler. Wie ein solcher Angriff konkret ablaufen könnten, ist bislang unklar. Davon sind einer Warnmeldung zufolge die Client- und Server-Editionen von Db2 bedroht. Das betrifft die Db2-Versionen 11.5.0 bis einschließlich 11.5.9 und 12.1.0 bis einschließlich 12.1.2.

Um Systeme gegen die geschilderte Attacke zu rüsten, müssen Admins in der Warnmeldung verlinkte Special Builds installieren.

Eine weitere Schwachstelle (CVE-2025-24970) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Sie betrifft das Application Framework Netty. An dieser Stelle können Angreifer Abstürze provozieren. Auch hier soll ein Special Build Abhilfe schaffen.

Weitere Gefahren

Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad „mittel“ versehen. An diesen Stellen können Angreifer meist ohne Authentifizierung DoS-Zustände erzeugen, was Abstürze nach sich zieht. Die dagegen gerüsteten Versionen finden Admins in den verlinkten Warnmeldungen (nach Bedrohungsgrad absteigend sortiert):

(des)

Eine Sicherheitslücke im WordPress-Theme Alone macht damit ausgestattete Websites verwundbar. Angreifer nutzen die „kritische“ Lücke bereits aus und führen Schadcode aus. Eine dagegen abgesicherte Version steht zum Download bereit.

Backoor-Attacken

Vor den Attacken warnen Sicherheitsforscher von Wordfence in einem Beitrag. Sie geben an, in der Spitze mehr als 120.000 Angriffsversuche beobachtet zu haben. Setzen Angreifer erfolgreich an der Sicherheitslücke (CVE-2025-5394) an, können sie ohne Authentifizierung aufgrund von mangelnden Überprüfungen Zip-Dateien mit Schadcode hochladen und ausführen.

Die Forscher erläutern, dass Angreifer versuchen, mit Schadcode verseuchte Plug-ins auf erfolgreich attackierten Websites zu installieren, um Hintertüren einzurichten. Admins sollten also nach ihnen unbekannten Plug-ins Ausschau halten.

Die Entwickler geben an, das Sicherheitsproblem in Alone – Charity Multipurpose Non-profit WordPress Theme 7.8.5 gelöst zu haben.

(des)

Die Bundesregierung plant ein neues Gesetz für die Bundespolizei. Das Bundesinnenministerium hat einen Gesetzentwurf erarbeitet und an Verbände geschickt. Wir veröffentlichen das 170-seitige Dokument als PDF: Entwurf eines Gesetzes zur Modernisierung des Bundespolizeigesetzes.

Das neue Gesetz soll das aktuelle Bundespolizeigesetz vollständig ersetzen. Das ist aus dem Jahr 1994 und damit laut Bundesregierung veraltet. Das neue Bundespolizeigesetz gibt der größten deutschen Polizei „zeitgemäße und moderne“ sowie „zusätzliche und neue Befugnisse“.

Staatstrojaner und Quellen-TKÜ plus

Das Gesetz erlaubt der Bundespolizei erstmals die Überwachung von Telekommunikation. Die Polizei soll Personen präventiv überwachen, um Gefahren abzuwehren – auch wenn „noch kein Tatverdacht begründet ist“.

Die Befugnis ermöglicht nicht nur klassische Telefon-Überwachung, sondern auch den Einsatz von Staatstrojanern. Die Polizei soll Smartphones und Computer hacken und infizieren, um verschlüsselte Kommunikation „wie beispielsweise Skype oder Whatsapp“ auszuleiten.

Laut Gesetzentwurf soll die Bundespolizei dabei auch auf gespeicherte Daten zugreifen. Im Koalitionsvertrag haben Union und SPD vereinbart, den „Zugriff auf retrograd gespeicherte Daten“ nicht zu erlauben. Gegen diese „Quellen-TKÜ plus“ laufen mehrere Verfassungsbeschwerden.

Fluggastdaten ohne Anordnung

Seit 2017 müssen Fluglinien sämtliche Passagierdaten von Flügen aus oder nach Deutschland an das Bundeskriminalamt übermitteln, das sie in einer Datenbank speichert und rastert. Die Bundespolizei kann Fluglinien anordnen, ihr Passagierdaten von Flügen über die Schengen-Außengrenzen zu übermitteln.

Das neue Gesetz verpflichtet Fluglinien, sämtliche Passagierdaten von Flügen über die Schengen-Außengrenzen an die Bundespolizei zu schicken. Eine Anordnung ist nicht mehr nötig. Laut Innenministerium entfallen damit „aufwendige Verwaltungs-(streit-)verfahren und der Aufwand für die Identifizierung von Risikoflugstrecken“.

Wegfall der Errichtungsordnung

Wenn die Bundespolizei eine „automatisierte Datei mit personenbezogenen Daten“ anlegt, muss sie bisher eine Errichtungsanordnung erstellen. Das Bundesinnenministerium muss zustimmen, die Bundesdatenschutzbeauftragte wird angehört.

Das neue Gesetz streicht die Errichtungsordnung. Laut Innenministerium führt das „zur effizienteren und bürokratiearmen Wahrnehmung polizeilicher Arbeit“. Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert das als „Wegfall eines wichtigen datenschutzrechtlichen Kontrollinstruments“.

Zusätzliche, neue Befugnisse

Der Gesetzentwurf umfasst eine ganze Reihe neuer Befugnisse. Die Bundespolizei soll Bestands-, Nutzungs- und Verkehrsdaten erheben, eigene Drohnen fliegen und fremde Drohnen abwehren, stille SMS verschicken, IMSI-Catcher einsetzen sowie Meldeauflagen und Aufenthaltsverbote aussprechen.

Zudem weitet das Gesetz existierende Befugnisse weiter aus. Das betrifft beispielsweise das Filmen mit Bodycams, das Scannen von Kfz-Kennzeichen, den Einsatz von V-Personen und Verdeckten Ermittlern sowie eine DNA-Datenbank.

Keine Kennzeichnung, keine Quittung

Schon die Ampel-Regierung wollte das Bundespolizeigesetz reformieren. Ende 2023 hatte sie einen eigenen Entwurf beschlossen. Im Bundestag haben Abgeordnete und Sachverständige diesen Entwurf kritisiert.

Die Ampel wollte eine pseudonyme Kennzeichnung von Polizisten einführen, um „polizeiliches Handeln für alle Bürger:innen transparenter zu machen“. Zudem sollten sich kontrollierte Personen „Kontrollquittungen ausstellen lassen“, um „das Vertrauen in die Arbeit der Sicherheitsbehörden zu stärken“. Beide Ideen hat die aktuelle Regierung wieder gestrichen.

In Richtung autoritärer Kontrolle

Das Gesetz ist aktuell ein Referentenentwurf des Bundesinnenministeriums. Das Ministerium hat den Entwurf Ende letzter Woche an Länder und Verbände geschickt. Die dürfen jetzt Stellungnahmen abgeben – bis Ende nächster Woche. Zwei Wochen für 170 Seiten – in Ferien und Sommerpause.

Die innenpolitische Sprecherin der Linken im Bundestag Clara Bünger kritisiert gegenüber netzpolitik.org: „Die Pläne der Bundesregierung zur Ausweitung der Befugnisse der Bundespolizei sind ein klarer Schritt in Richtung autoritärer Kontrolle. Statt mehr Überwachung und weniger Transparenz brauchen wir eine stärkere demokratische und justizielle Kontrolle der Polizei.“