IT-Forscher haben in Aviras Antimalware-Software Sicherheitslücken entdeckt, durch die Angreifer verwundbare Systeme kompromittieren können. Dazu müssen sie teils lediglich Dateien an bestimmte, von Nutzern und Nutzerinnen zugreifbare Orte im Dateisystem ablegen, was zur Ausführung von beliebigem Code mit Systemrechten führt.

Konkret führen die Quarkslab-Analysten die Schwachstellen anhand der kostenlosen „Avira Free Security“-Software vor, allerdings ist auch Avira Internet Security und weitere Software mit den genutzten Komponenten anfällig. Bei allen setzen die Angreifer auf eine Technik, die durch Löschen bestimmter Dateien durch die attackierte Software das Ausführen von Code ermöglicht. Trend Micros Zero-Day-Initiative (ZDI) liefert eine umfassende Erläuterung der Missbrauchsmöglichkeiten.

Avira: Drei hochriskante Sicherheitslücken

In der Updater-Komponente der Software fehlt eine Prüfung, ob eine Datei unter „C:\ProgramData“ ein symbolischer Link ist. Angreifer können einen bösartigen Link erstellen, um dadurch beliebige Dateien im System zu löschen – aufgrund der Löschung durch den Dienst mit „SYSTEM“-Rechten. Das erlaubt die Ausweitung der Rechte und vollständige Kompromittierung des Systems (CVE-2026-27748, CVSS4 8.5, Risiko „hoch“). Die System-Speedup-Komponente hingegen deserialisiert Daten aus einer Datei in dem vorgenannten Ordner, ohne etwaige Prüfung oder Sicherheitsmaßnahmen. Standardmäßig können lokale User diese Datei anlegen oder verändern. Angreifer können das direkt lokal oder etwa mittels Social Engineering aus dem Netz gegen arglose Opfer missbrauchen, um beliebigen Code mit „SYSTEM“-Rechten auszuführen (CVE-2026-27749, CVSS4 8.5, Risiko „hoch“).

Die dritte Sicherheitslücke betrifft die Optimizer-Komponente und ist zeitbasiert: Eine Datei wird dabei zwar überprüft, kann vor der Nutzung noch einmal verändert werden (time-of-check time-of-use, TOCTOU). Zunächst scannt der privilegierte Dienst, welche Ordner sich zur Systembereinigung löschen lassen, und löscht die dann später in einem zweiten Durchgang. Angreifer können ein bereits gescanntes Verzeichnis durch eine Junction oder einen sogenannten Reparse Point (auf Deutsch „Analysepunkt“) ersetzen und den Dienst so dazu bringen, beliebige Dateien oder Ordner mit den höchsten Rechten zu löschen, mit den bekannten Folgen (CVE-2026-27750, CVSS4 8.5, Risiko „hoch“).

Die Schwachstellen betreffen Avira-Versionen bis einschließlich 1.1.109.1990. Die Fassung 1.1.114.3113, die offenbar Anfang Februar 2026 verfügbar wurde, soll die Sicherheitslecks stopfen. Wer Avira einsetzt, sollte daher zügig sicherstellen, dass die Software tatsächlich auf aktuellem Stand ist. Bereits im Mai vergangenen Jahres haben TuneUp und weitere Dienste in Avira, aber auch in AVG- und Norton-Produkten Sicherheitslücken in Windows-Systemen aufgerissen.

(dmk)

Am Freitag endet die NIS2-Frist für alle Behörden, Unternehmen und sonstigen Einrichtungen, die schon bei Inkrafttreten der unter die geänderten Regeln für Kritische Infrastrukturen gefallen sind. Sie müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) anzeigen, dass sie betroffen sind. Aber auch weitere technische Angaben zu betroffenen kritischen Komponenten, öffentlichen IP-Adressbereichen und Details zu Anlagen, wie es in §33 BSI-Gesetz vorgeschrieben ist, sind fällig.

Wer unter die Regeln der geänderten IT-Sicherheitsvorgaben der Europäischen Union fällt, muss ab heute, drei Monate nach dem Inkrafttreten, also damit rechnen, dass das BSI unter Verweis auf die Registrierungspflicht anklopft und die entsprechenden Angaben verlangt. Die Nichtregistrierung kann eine bußgeldbewehrte Ordnungswidrigkeit darstellen.

Die Wahrscheinlichkeit dafür, dass das BSI mindestens erinnern muss, ist dabei hoch: Laut Auskunft des zuständigen Bundesinnenministeriums auf eine Anfrage der Grünen-Digitalpolitikerin Jeanne Dillschneider hatten zwei Wochen vor dem heutigen Stichtag gerade einmal 4856 „wichtige und besonders wichtige Einrichtungen“ ihre Registrierung beim BSI vorgenommen. Die Bundesregierung rechnete bei der Gesetzesverabschiedung allerdings mit etwa 30.000 betroffenen Stellen.

Grüne fordert weniger Gecyber und mehr IT-Sicherheit vom Innenminister

Ein „Armutszeugnis“ ist das für die Grünenpolitikerin: „Die NIS2-Richtlinie wird nicht nur mittelmäßig umgesetzt, es fehlt auch jede ernsthafte Idee, um die Vorgaben wirksam durchzusetzen.“ Wirkung könnte das Gesetz nur entfalten, wenn es auch umgesetzt würde. Sie erwartet von der Bundesregierung mehr Unterstützung für betroffene Organisationen, um den anspruchsvollen Registrierungsprozess abzuschließen. Politisch verantwortlich ist dafür Bundesinnenminister Alexander Dobrindt (CSU). „Offenbar ist der Innenminister so beschäftigt damit, von Cyberdomes und aktiver Cyberabwehr zu träumen, dass er ganz die Cybersicherheit im eigenen Land vergisst“, kritisiert die Grünen-Abgeordnete Dillschneider.

Das Bundesamt für Sicherheit in der Informationstechnik hält im sogenannten BSI-Portal umfangreiche Anleitungen und Hinweise bereit. Allerdings erfordert die Registrierung dort zuvor das Anlegen eines Unternehmenskontos auf Elster-Organisationszertifikatbasis im Portal „Mein Unternehmenskonto“ (MUK).

(dahe)

Mit Buchhandlungen verbinden viele den Geruch von Papier, gedämpfte Gespräche, Lese-Abende oder die Vorfreude in eine andere Welt einzutauchen. Jüngst hat Kulturstaatsminister Wolfram Weimer (parteilos) mehrere Buchhandlungen vom deutschen Inlandsgeheimdienst, dem Verfassungsschutz, durchleuchten lassen – um zu prüfen, ob sie von „Extremist:innen“ unterwandert sind.

In der Folge wurden drei Buchhandlungen nachträglich vom Deutschen Buchhandlungspreis ausgeschlossen, einer renommierten Auszeichnung für inhabergeführte Buchläden. Getroffen hat es „The Golden Shop“ in Bremen, die „Rote Straße“ in Göttingen und den Buchladen „Zur schwankenden Weltkugel“ in Berlin.

Das Ergebnis war ein Aufschrei; für sein Vorgehen wurde der Kulturstaatsminister als „Bundescanceler“ und „Kulturkämpfer“ bezeichnet. Ein „Hauch von McCarthy“ wehe durchs Land, schrieb Verleger Jo Lendle vom Hanser Verlag. Gemeint ist der ehemalige US-Senator Joseph McCarthy, der nach dem zweiten Weltkrieg eine prägende Kampagne gegen die angebliche Unterwanderung durch Kommunist:innen vorangetrieben hatte.

Auch der Börsenverein des Deutschen Buchhandels hat sich eingeschaltet und Weimer Intransparenz und fragwürdiges Vorgehen vorgeworfen – und „erhebliche Zweifel“ am sogenannten Haber-Verfahren angemeldet. Dieses Haber-Verfahren ist die Grundlage für das Vorgehen des Verfassungsschutzes gegen Buchhandlungen und andere Akteur:innen.

In diesem Überblick zeigen wir nicht nur die dünne Rechtsgrundlage des Haber-Verfahrens und welche Grundrechte dadurch betroffen sind, sondern beleuchten dessen fatale politischen und gesellschaftlichen Auswirkungen. Wie kann es sein, dass Minister:innen einfach so den Inlandsgeheimdienst auf Buchläden ansetzen können? Gerade in Verbindung mit der neuen Extremismusklausel zeichnet sich ein Muster ab: die systematische Einschüchterung demokratischer Zivilgesellschaft.

Das ist das Haber-Verfahren

Mit dem von der ehemaligen Staatssekretärin Emily Haber im Jahr 2017 vorgelegten Verfahren (Originaldokument) können bundesstaatliche Stellen Organisationen, Personen und Veranstaltungen, die staatlich gefördert werden sollen, mittels einer Anfrage beim Verfassungsschutz untersuchen lassen. Die Idee hinter dem Verfahren ist, dass der Staat keine gegen die sogenannte freiheitlich-demokratische Grundordnung gerichteten Projekte fördern will.

Zunächst sollen die jeweiligen Stellen die zu fördernden Organisationen prüfen, und zwar aus ihnen zugänglichen Quellen, wie etwa den jährlichen Verfassungsschutzberichten des Bundes und der Länder. Danach gibt es aber einen zweiten Schritt, wie ein Gutachten des Wissenschaftlichen Dienstes des Bundestages ausführt:

Soweit hiernach eine Klärung nicht möglich sein sollte, können die Ressorts ihre Anfragen zu möglichen verfassungsschutzrelevanten Erkenntnissen über Organisationen, Personen und Veranstaltungen […] unmittelbar an das BfV und nachrichtlich an das BMI richten.

Die Abkürzungen meinen das Bundesamt für Verfassungsschutz (BfV) und das Bundesinnenministerium (BMI). Der eingeschaltete Verfassungsschutz gibt dann eine Rückmeldung, ob „verfassungsschutzrechtliche Erkenntnisse“ zur Anfrage vorliegen. Falls ja, empfiehlt das Innenministerium, von einer Förderung abzusehen. „Im Einzelfall“ lassen sich weitere Erkenntnisse abfragen.

In der Regel dürfte es für den Ausschluss aus einer Förderung genügen, wenn der Verfassungsschutz Erkenntnisse anmeldet. Die betroffenen Projekte und Personen selbst werden weder vorab noch nachträglich über die Abfrage beim Verfassungsschutz informiert, heißt es in dem Gutachten weiter.

Seit 2020 haben Ministerien 1.200 zivilgesellschaftliche Organisationen und 1.300 Personen mit diesem Haber-Verfahren durchleuchten lassen. Es bleibt die Frage: Dürfen sie das?

Familienministerin will Demokratieprojekte mit Verfassungsschutz durchleuchten

Fehlende Rechtsgrundlage

Die Rechtsgrundlage für das Haber-Verfahren ist mehr als dünn. Der frühere Bundesdatenschutzbeauftragte Ulrich Kelber nannte in einer als „Nur für den Dienstgebrauch“ eingestuften datenschutzrechtlichen Bewertung (PDF) aus dem Jahr 2019 das Haber-Verfahren „datenschutzrechtswidrig“.

Kelber zufolge fehle eine hinreichende „Rechts- und damit Ermächtigungsgrundlage“ für die Übermittlung personenbezogener Daten von den Ministerien an den Verfassungsschutz. Sie fehle auch für dessen Recherche und für die Übermittlung der Daten an die Ministerien zurück. Betroffen ist hier unter anderem das Grundrecht auf informationelle Selbstbestimmung.

Als „grundsätzlich unverhältnismäßig“ bezeichnete der damalige Bundesdatenschutzbeauftragte zudem die tiefergehende nachrichtendienstliche Überprüfung von Personen, wenn das Ergebnis lautete: „Es liegen keine Erkenntnisse vor“.

Auch der Wissenschaftliche Dienst des Bundestages schreibt von Zweifeln, ob es für die Datenabfrage seitens der anfragenden Behörde eine Rechtsgrundlage gebe: „Eine solche ergibt sich nicht aus dem BVerfSchG, auch fehlt es an einer spezialgesetzlichen Befugnis entsprechend z. B. der Regelungen im Luftsicherheitsgesetz, Atomgesetz oder Waffengesetz. Es bestehen große Bedenken, dass die Generalklausel des § 3 BDSG hierfür genügt.“

Hinter der Abkürzung „BVerfSchG“ steckt das Gesetz, auf dessen Grundlage der deutsche Inlandsgeheimdienst arbeitet; das „BDSG“ wiederum ist das Bundesdatenschutzgesetz, das es öffentlichen Stellen generell erlaubt, Daten zu verarbeiten, wenn er zur Erfüllung ihrer Aufgaben notwendig ist.

Es gibt noch mehr Zweifel. So kommt auch ein juristisches Gutachten der Rechtsanwältin Anna Luczak zum Schluss, dass es „keine rechtliche Grundlage für derartige Überprüfungen im Bereich der Demokratieförderung“ gebe.

Luczak sieht durch die Überprüfung Eingriffe in die Grundrechte auf informationelle Selbstbestimmung, Meinungsfreiheit, Versammlungs- und Vereinigungsfreiheit sowie Berufsfreiheit und Gleichheitsgrundsatz. Ihre Schlussfolgerung:

Die in einer Überprüfung und eventuellen Versagung von Förderung aufgrund von Speicherungen beim Verfassungsschutz liegenden Grundrechtseingriffe sind und wären – gemessen am Verhältnismäßigkeitsgrundsatz – verfassungsrechtlich nicht zu rechtfertigen.

Durchleuchtung der Zivilgesellschaft als politisches Instrument

Neben der dünnen Rechtsgrundlage gibt es auch eine gesellschaftliche und politische Dimension. Es hat eine öffentliche Wirkung, wer mit dem Haber-Verfahren ins Visier genommen wird und wer nicht. Der Jurist Jannik Jaschinski von der Gesellschaft für Freiheitsrechte (GFF) sagt gegenüber netzpolitik.org: „Die Bundesregierung entdeckt die Förderungspraxis – wie auch jetzt im Fall der Buchhandlungen – als politisches Instrument, mit dem gespielt wird, um zivilgesellschaftliche Akteure einzuengen. Das geschieht auch auf Druck der AfD.“

Jaschinski zufolge bewegen sich Überprüfungen mit dem Haber-Verfahren „weg von tatsächlichen sicherheitspolitischen Überlegungen“. Stattdessen würden zunehmend auch kleine Förderungen ins Visier genommen würden, wie jetzt bei den Buchläden.

„Man schustert dabei letztlich Befugnisse über die Zivilgesellschaft dem Verfassungsschutz zu, der nun den Daumen heben oder senken kann.“ Zwar entschieden in letzter Instanz die Ministerien, ein Votum des Verfassungsschutzes dürfte Jaschinski zufolge aber schwer wiegen.

„Einschüchterungseffekte gegen die Zivilgesellschaft“

Der Jurist warnt: „Im Zusammenspiel mit der neuen Extremismusklausel, die bei der Förderung beispielsweise von Demokratieprojekten angewendet wird, entstehen Einschüchterungseffekte gegen die Zivilgesellschaft.“ Die Extremismusklausel ist ein weiteres wichtiges Instrument in diesem Kontext.

Laut dieser neu eingeführten Klausel müssen geförderte Projekte nun sicherstellen, „dass eine Unterstützung extremistischer Strukturen durch die Gewährung materieller Leistungen (hier: Fördermittel des Bundes) oder immaterieller Leistungen vermieden wird.“

Einerseits sei die Klausel unbestimmt, warnt Jaschinski. Auf der anderen Seite könnten die geförderten Projekte selbst nicht wissen, ob sie mit Extremist:innen zusammenarbeiten, da die Klausel nicht nur auf einschlägig im Verfassungsschutzbericht benannte Organisationen und Personen abstelle. „Das führt zu einer Verunsicherung und verminderten Handlungsfähigkeit der Zivilgesellschaft“, sagt Jaschinski.

Anschaulich machen lässt sich das mit einem Beispiel: Vielleicht möchte sich eine staatlich geförderte Organisation an einem kommunalen Bündnis gegen Rechtsextremismus beteiligen. Verschiedene Akteure und Organisationen aus unterschiedlichen politischen Spektren arbeiten hier zusammen, um trotz politischer Verschiedenartigkeit für die Demokratie einzustehen. ABer was macht es mit den Menschen dieser geförderten Organisation, wenn sie wissen: Ein falscher Bündnispartner könnte ihre Förderung – und damit ihre Existenz – bedrohen? Fahren sie ihr Engagement lieber zurück? Über staatlich-geförderten Organisationen hängt somit ein Damoklesschwert.

Willkür und Intransparenz

Erschwerend kommt hinzu, dass sich von der Förderung ausgeschlossene Organisationen nur sehr schwer gegen eine negative Entscheidung der Ministerien wehren können. In einem Beitrag von Jannik Jaschinski und dem Juristen Klaas Müller im Verfassungsblog heißt es deswegen:

Die Ablehnung stützt sich damit allein auf Erkenntnisse, die die Behörde selbst nicht kennt. Es ist zweifelhaft, ob dies als sachgerechter Grund im Sinne des Willkürverbots ausreicht. Denn so kann die Antragstellerin nicht nachvollziehen, ob es gerechtfertigt ist, dass sie in den Datenbanken des Verfassungsschutzes auftaucht, und ob der Umstand konkret einer Förderung entgegensteht. Die betroffenen Organisationen werden weder benachrichtigt noch erhalten sie eine Möglichkeit zur Äußerung. Dieses Vorgehen führt dort zu einem blind spot, wo ein transparentes und überprüfbares Verfahren grundrechtlich wie politisch geboten wäre.

Kurzum: Zivilgesellschaftliche Organisationen tappen im Dunkeln darüber, ob sie sich korrekt verhalten oder nicht; ob sie gerade möglicherweise im Visier des Geheimdiensts stehen. Das Projekt FragdenStaat hat deswegen Musterschreiben veröffentlicht, mit denen Organisationen erfragen können, ob sie im Rahmen des Haber-Verfahrens durchleuchtet wurden.

Attacken auf die demokratische Zivilgesellschaft

Die zunehmenden Einschränkungen demokratischer Zivilgesellschaft fallen in eine Zeit, in der die Demokratie durch das Erstarken von Rechtsextremisten immer stärker unter Druck gerät. Nicht nur die rechtsradikale AfD versucht seit Jahren, die demokratische Zivilgesellschaft unter Generalverdacht zu stellen. Auch Hetzportale und rechte Medien kolportieren seit Langem, dass Deutschland von linken Nichtregierungsorganisationen quasi unterwandert sei und der Staat diese auch noch alimentiere.

Auch die Unionsparteien selbst hatten bereits vor etwa einem Jahr ins gleiche Horn gestoßen. Nur wenige Wochen nach den Protesten gegen Friedrich Merz‘ Annäherung an die AfD im Januar 2025 reichte die Union eine Kleine Anfrage im Bundestag ein. In einem umfangreichen Fragenkatalog erkundigte sie sich unter anderem nach der staatlichen Förderung für gemeinnützige NGOs. Die Anfrage wurde innerhalb der Zivilgesellschaft als Einschüchterungsversuch verstanden. Wissenschaftler:innen und Organisationen zeigten sich zutiefst beunruhigt durch das Vorgehen der Unionsfraktion; mehr als eine halbe Million Menschen unterzeichneten einen Appell an die Bundesregierung.

Falsches Feindbild

Wenn die Zivilgesellschaft unter Extremismus-Verdacht gerät, steht im Hintergrund die Frage nach der Bedrohung der Demokratie. In verschiedenen Umfragen messen Forschende, wie viel Vertrauen Menschen in Deutschland in die Demokratie haben. So schreibt die Körber-Stiftung:

Nach dem Zusammenbruch der Ampelregierung im Herbst 2024 und den Neuwahlen im Frühjahr 2025 äußern lediglich 45 Prozent großes oder sehr großes Vertrauen in die Demokratie. Zugleich stieg der Anteil derer mit geringem oder wenig Vertrauen auf 53 Prozent.

Eine Studie aus Berlin zeigt wiederum: Das Bild der Linken als Feinde der Demokratie ist wissenschaftlich kaum zu halten. Für den „Berlin Monitor“ haben Forschende untersucht, wo sich Menschen auf dem Spektrum von rechts bis links verorten und wie sie zur Demokratie stehen. Das Ergebnis: „Laut unseren Berechnungen lassen sich 66 Prozent derjenigen, die sich auf der Links-Rechts-Skala als extrem Links einordnen, als solide Demokraten bezeichnen“ – ein höherer Wert als in der politischen Mitte oder dem rechten Spektrum.

Ausgerechnet die vermeintlichen linken Staatsfeinde könnten also diejenigen sein, welche die Demokratie und demokratische Werte verteidigen. Der Journalist Erik Peter schreibt zu diesem Thema in der taz: „Das Zerrbild der Linken dient dem bürgerlichen Lager zudem dazu, die eigenen antidemokratischen und autoritären Einstellungen zu verstecken.“