Das Sicherheits- und Computer-Notfallteam des Elektrotechnik- und IT-Verbands VDE spielt international seit wenigen Tagen eine wichtigere Rolle. Die Branchenvereinigung teilte am Freitag mit, dass das eigene Computer Emergency Response Team CERT@VDE zur zentralen Stelle im Kampf gegen IT-Sicherheitslücken im Bereich der Industrieautomation mit Fokus auf kleine und mittlere Unternehmen aufgestiegen sei. Dessen Arbeit zur Koordination von Security-Problemen in diesem Sektor erhält damit eine weltweite Bedeutung.

Sicherheitslücken in Industrieprodukten haben bereits etwa in der Strom- und Wasserversorgung, in Krankenhäusern oder in großen Fertigungsstätten für teils existenzielle Bedrohungen gesorgt. Wenn Angreifer solche Schwachstellen ausnutzen, kann das weitreichende und schwerwiegende Folgen für Mensch, Umwelt und Gesellschaft haben. Um das zu verhindern, müssen diese Lücken weltweit bekannt gemacht und behoben werden.

Schwachstellen-Datenbank

Dafür gibt es das CVE-System (Common Vulnerabilities and Exposures), das vor über 25 Jahren in den USA eingeführt wurde. Es fungiert wie eine große Datenbank, in der jede bekannte Sicherheitslücke eine eigene, eindeutige Nummer hat. Das soll dabei helfen, Missverständnisse bei der Behebung von Problemen zu vermeiden, da jeder genau weiß, welche Schwachstelle gemeint ist. Seit 1999 gilt das CVE-System als wichtiger globaler Standard, der IT-Sicherheitsexperten und Unternehmen hilft.

Doch nicht jeder soll einfach CVE-IDs vergeben können, um Chaos zu vermeiden. Dazu berechtigt sind nur bestimmte Organisationen und Firmen. Sie sind als „CVE Numbering Authorities (CNAs)“ bekannt. Diese teilen sich die Zuständigkeiten für verschiedene Produkte und Bereiche auf. CERT@VDE ist bereits seit 2020 eine solche CNA für seine Partner. Das Zentrum hat sich dafür im Rahmen von Prüfungen durch die US-Normungsbehörde NIST einen hohen Qualitätsstandard für seine CVEs erarbeitet. Die NIST betreibt auch die NVD (National Vulnerability Database), eine staatliche Datenbank, die das CVE-System um technische Details und Bewertungen ergänzt.

CERT@VDE übernimmt Spitzenposition

Über den normalen CNAs gibt es noch sogenannte Root-CNAs. Das sind die Schaltzentralen, die die Arbeit der untergeordneten Zulieferer koordinieren und überwachen. Zu diesen Root-CNAs gehören bereits große Namen wie MITRE, die US-Cybersicherheitsbehörde CISA, Google und Red Hat aus den USA, das japanische JPCERT/CC, das spanische INCIBE Cert sowie der französische Konzern Thales. Seit Mitte Juli dient nun CERT@VDE als die erste deutsche Root-CNA.

In dieser neuen Funktion wird das Notfallzentrum laut dem VDE das CVE-System für seine Partner in Deutschland strukturieren, beaufsichtigen und koordinieren. Das bedeutet konkret: Das CERT-Team sucht, selektiert und betreut neue CNAs aus dem Kreis ihrer Partner. Die Mitarbeiter schulen diese Instanzen und helfen ihnen beim Start. Sie sollen ferner sicherstellen, dass alle sich an die CVE-Regeln und -Prozesse halten. Weitere Aufgabe ist die Fortentwicklung von Abläufen und Standards für die Vergabe und Verwaltung von CVE-IDs. Bei Unklarheiten oder Streitigkeiten zwischen CNAs über Zuständigkeiten wird CERT@VDE vermitteln und die Qualität der CVE-Einträge prüfen.

Vorteile für deutsche Unternehmen und Kritik

Laut dem Abteilungsleiter von CERT@VDE, Andreas Harner, hat die Beförderung Vorteile für deutsche Firmen: Das Zentrum sei damit nicht nur die direkte Kontaktstelle in derselben Zeitzone für Mitstreiter in Mitteleuropa, sondern auch Teil des internationalen CVE-Systems. Angeschlossene könnten ihren Kunden so noch besser zeigen, dass sie ein ausgereiftes Sicherheitsmanagement haben. Zugleich behielten sie die Kontrolle darüber, wann und wie CVEs für Schwachstellen in ihren Produkten veröffentlicht werden.

Die CVE-Datenbank stand im Frühjahr wegen Unstimmigkeiten zwischen CISA und MITRE aufgrund Sparvorgaben aus dem Umfeld der Trump-Regierung kurzzeitig vor dem Aus. Die EU beteiligte sich an der Suche nach Alternativen. Das mit CVE eng verknüpfte Schwachstellenbewertungssystem CVSS (Common Vulnerability Scoring System) steht generell in der Kritik wegen seiner Anfälligkeit für Fehleinschätzungen. Die CISA gelobte voriges Jahr, den Informationsrückstau bei der von der NIST geführten Mutter aller Schwachstellendatenbanken mit einem flexibleren Ansatz anzugehen.

(vbr)

Die MyASUS-App kann zum Einfallstor für Angreifer werden. Schuld sind zwei Sicherheitslücken, die aber mittlerweile geschlossen sind. Wer das Tool nicht aktualisiert, riskiert unbefugte Zugriffe auf bestimmte Services.

Systeme vor möglichen Attacken schützen

Das geht aus einer Warnmeldung des Computerherstellers hervor. Von den beiden Schwachstellen (CVE-2025-4569 „hoch„, CVE-2025-4579 „mittel„) sind Computer des Herstellers aus den Bereichen All-in-One-PCs, Desktop, NUCs und Laptops betroffen.

Aufgrund von hartkodierten Zugangsdaten in Form eines Tokens können Attacken stattfinden. Damit ausgestattet können Angreifer auf bestimmte, nicht näher spezifizierte Dienste zugreifen. Die Entwickler geben an, die Sicherheitsprobleme in den Ausgaben 4.0.36.0 (x64) und 4.2.35.0 (ARM) gelöst zu haben. Ob es bereits Attacken gibt, ist zurzeit nicht bekannt.

(des)

Das Bundesinnenministerium plant, die Hürden für den Einsatz von Gesichter-Suchmaschinen im Asylverfahren weiter zu senken. Die Änderung am Asylgesetz ist Teil eines Gesetzespakets aus dem Haus von Innenminister Alexander Dobrindt (CSU). Es soll dem Bundesamt für Migration und Flüchtlinge (BAMF) erlauben, die Fotos von Asylsuchenden „mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet“ biometrisch abzugleichen, wenn diese keine Ausweispapiere vorlegen.

Eine entsprechende Regelung im Asylgesetz war bereits im vergangenen Oktober als Teil des sogenannten Sicherheitspakets verabschiedet worden – mit den Stimmen der Ampel-Regierung. Das BAMF darf also schon die biometrische Gesichtersuche im Asylverfahren einsetzen.

Biometrische Suche statt milderer Mittel

Das akutelle Gesetz sieht allerdings eine Reihe von Hürden vor. Der Einsatz ist als Ultima Ratio vorgesehen, wenn das BAMF die Identität nicht mithilfe „milderer Mittel“ klären kann. Das könnte etwa eine Heiratsurkunde oder andere Dokumente sein, die Name und Staatsangehörigkeit der Betroffenen nachweisen. Diese Einschränkung ist im neuen Referentenentwurf aus dem BMI gestrichen.

Auch ist bisher vorgeschrieben, dass die Betroffenen vorab über „den Zweck, Umfang und die Durchführung“ informiert werden müssen. Wann und mit welchem Programm der Abgleich erfolgte, muss protokolliert werden. Nach Abschluss der Maßnahme muss die zuständige Datenschutzaufsicht davon erfahren.

Diese Auflagen will das BMI streichen. Gleichzeitig soll das BAMF neue Befugnisse bekommen. Es soll personenbezogene Daten jetzt auch international übermitteln dürfen, wenn es um den „Schutz der nationalen Sicherheit“ geht. Damit können die biometrischen Daten der Personen gemeint sein oder auch die Informationen, die das BAMF durch den Einsatz der Gesichter-Suchmaschinen erlangt hat.

Superdatenbanken mit Milliarden Gesichtern

Biometrische Gesichter-Suchmaschinen wie Clearview oder PimEyes erlauben es, mit einem beliebigen Foto einer Person weitere Treffer zu ihrem Gesicht im öffentlichen Internet zu finden, auch wenn diese verwackelt sind oder die Person in einer größeren Menschenansammlung aufgenommen wurde. Das können etwa Aufnahmen auf Facebook, YouTube oder PornHub sein – oder ein Bild, das am Rande einer Demo oder Sportveranstaltung geschossen wurde.

Um den Abgleich in Sekunden durchführen zu können, erstellen die Betreiber der Suchmaschinen große Datenbanken, in denen sie die biometrischen Daten von Milliarden Gesichtern als mathematische Repräsentation speichern. Dafür durchsuchen sie massenweise und anlasslos das öffentliche Internet und verarbeiten die gefundenen Gesichter. Das geschieht ohne Einwilligung der betroffenen Personen.

Solche kommerziellen Gesichter-Suchmaschinen sind in der EU verboten. Die KI-Verordnung untersagt „die Verwendung von KI-Systemen, die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsmaterial erstellen oder erweitern“. Auch die Datenschutzgrundverordnung erlaubt die Verarbeitung von biometrischen Daten nur in Ausnahmefällen. Das BAMF müsste daher zunächst eine legale technische Lösung entwickeln lassen. Die Bundesdatenschutzbeauftragte nannte eine solche Umsetzung „unrealistisch“.

Laut den Plänen des Bundesinnenministeriums sollen auch das Bundeskriminalamt und die Bundespolizei mit Hilfe des biometrischen Abgleiches im Internet nach Personen fahnden dürfen. Das BKA soll damit nicht nur Verdächtige suchen, sondern auch Opfer und Zeugen. Bei Befragungen im Bundestag konnten die Behördenvertreter nicht beantworten, wie der Abgleich geschehen soll, ohne gegen die EU-Gesetzgebung zu verstoßen. In der Begründung des neuen Entwurfes heißt es dazu nur, die Vorgaben aus der KI-Verordnung seien zu beachten.

„Gesichtsbilder sind höchstpersönliche Daten, deren biometrische Verarbeitung die Datenschutzgrundverordnung nur in wenigen Ausnahmen zulässt“, sagt Eric Töpfer, der am Deutschen Institut für Menschenrechte zu Grundrechten im Migrationsprozess arbeitet und schon die Änderung des Asylgesetzes im vergangenen Herbst für den Bundestag kommentiert hat. „Bereits die Befugnis fürs BAMF zum Internetabgleich aus dem ersten Sicherheitspaket war unverhältnismäßig“, sagt er. „Nun sollen offensichtlich auch die letzten Garantien zum Schutz von Betroffenenrechten geschleift werden.“

Noch in der Abstimmung

Die Pläne sind in einem frühen Stadium. Das Bundesinnenministerium hat sie zur Abstimmung an andere Ministerien verschickt. Danach folgt eine Länder- und Verbändebeteiligung, bevor das Kabinett das Paket beschließt und es an den Bundestag geht.

Das Bundesinnenministerium hat das neue Gesetzespaket in zwei Teile geteilt. Die Neufassung des Asylgesetzes befindet sich im ersten Teil, der keine Zustimmung des Bundesrates braucht.

Auszug aus dem Referentenentwurf „Entwurf eines ersten Gesetzes zur Stärkung digitaler Ermittlungsbefugnisse in der Polizeiarbeit“ des BMI vom 25. Juli 2025

§ 15b – Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

(1) Das nach § 16 Absatz 1 Satz 1 und 2 erhobene biometrische Lichtbild des Ausländers darf mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgeglichen werden, wenn es zur Feststellung der Identität oder Staatsangehörigkeit erforderlich ist, da der Ausländer keinen gültigen Pass oder Passersatz besitzt. Die öffentlich zugänglichen Daten aus dem Internet dürfen nicht in Echtzeit erhoben werden.

(2) Die im Rahmen des Abgleichs nach Absatz 1 erhobenen Daten sind nach Durchführung des Abgleichs unverzüglich zu löschen, sofern sie für die Feststellung der Identität oder Staatsangehörigkeit nicht mehr erforderlich sind.

(3) Bei der Übermittlung im innerstaatlichen Bereich sowie an Mitgliedsstaaten der Europäischen Union kann das Bundesamt personenbezogene Daten an öffentliche und nichtöffentliche Stellen übermitteln, sofern dies zur Durchführung des Abgleichs nach Absatz 1 erforderlich ist.

(4) Im internationalen Bereich kann das Bundesamt personenbezogene Daten an Öffentliche und nichtöffentliche Stellen übermitteln, sofern dies zur Durchführung des Abgleichs nach Absatz 1 erforderlich ist und von § 81 Absatz 1 Nummer 3 und Absatz 4 des Bundesdatenschutzgesetzes abweichen, sofern dies zum Zweck des Schutzes der nationalen Sicherheit erforderlich ist.

Bisherige Fassung des § 15b Asylgesetz (im neuen Entwurf gestrichene Passagen von netzpolitik.org markiert)

§ 15b – Nachträglicher biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

(1) Das nach § 16 Absatz 1 Satz 1 und 2 erhobene biometrische Lichtbild des Ausländers darf mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgeglichen werden, wenn der Ausländer keinen gültigen Pass- oder Passersatz besitzt, der Abgleich für die Feststellung der Identität oder Staatsangehörigkeit des Ausländers erforderlich ist und der Zweck der Maßnahme nicht durch mildere Mittel erreicht werden kann. Liegen tatsächliche Anhaltspunkte für die Annahme vor, dass durch eine Maßnahme nach Satz 1 allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt wird, ist die Maßnahme unzulässig. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung, die durch den Abgleich erlangt wurden, dürfen nicht verwertet werden. Aufzeichnungen hierüber sind unverzüglich zu löschen. Die Tatsache ihrer Erlangung und Löschung ist aktenkundig zu machen. Ein Abgleich mit Daten nach Satz 1 aus im Internet öffentlich zugänglichen Echtzeit-Lichtbild- und Echtzeit-Videodateien ist ausgeschlossen.

(2) Die Treffer des Abgleichs sind durch Inaugenscheinnahme zu überprüfen. Zweifel an der Richtigkeit der Treffer gehen nicht zu Lasten des Ausländers.

(3) Die im Rahmen des Abgleichs nach Absatz 1 erhobenen Daten sind nach Durchführung des Abgleichs unverzüglich zu löschen, sobald sie für die Feststellung der Identität oder Staatsangehörigkeit nicht mehr erforderlich sind. Der Abgleich und das Löschen von Daten ist in der Asylakte zu dokumentieren.

(4) Bei jeder Maßnahme nach Absatz 1 sind die Bezeichnung der eingesetzten automatisierten Anwendung zur Datenverarbeitung, der Zeitpunkt ihres Einsatzes und die Organisationseinheit, die die Maßnahme durchführt, zu protokollieren. Nach Beendigung einer Maßnahme nach Absatz 1 ist die Stelle zu unterrichten, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz bei öffentlichen Stellen zuständig ist.

(5) Die betroffene Person ist über den Zweck, den Umfang und die Durchführung des biometrischen Abgleichs vorab in verständlicher Weise zu informieren.

(6) Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass kein unberechtigter Zugriff auf die erhobenen Daten erfolgt.

(7) Für die in den Absätzen 1 bis 6 genannten Maßnahmen ist das Bundesamt zuständig. Es hat dabei sicherzustellen, dass diskriminierende Algorithmen weder herausgebildet noch verwendet werden. Soweit technisch möglich, muss die Nachvollziehbarkeit des verwendeten Verfahrens sichergestellt werden.