Cisco Evolved Programmable Network Manager, Meeting Management, Prime Infrastructure, Secure Web Appliance und TelePresence Collaboration Endpoint sind verwundbar. Sind Attacken erfolgreich, kann Schadcode auf Systeme gelangen. Es kann außerdem zu Abstürzen kommen. Zurzeit gibt es seitens Cisco keine Hinweise darauf, dass Angreifer die Lücken bereits ausnutzen.

Mehrere Sicherheitslücken

Am gefährlichsten gilt eine Lücke (CVE-2026-20098 „hoch“) in Cisco Meeting Management. Für eine Attacke müssen Angreifer aber bereits authentifiziert sein. Ist diese Hürde genommen, können sie aufgrund von unzureichenden Überprüfungen über präparierte HTTP-Anfragen Systemdateien überschreiben. Klappt eine solche Attacke, sind Angreifer Root-Nutzer und kompromittieren Systeme aus dieser Position vollständig.

Eine DoS-Lücke (CVE-2026-20119) in TelePresence Collaboration Endpoint Software und RoomOS Software ist mit dem Bedrohungsgrad „hoch“ eingestuft. An dieser Stelle kann eine manipulierte Meetingeinladung Abstürze auslösen. So wie sich die Beschreibung der Lücke liest, muss ein Opfer dafür nicht mitspielen. Eine Annahme so einer Einladung ist demzufolge nicht nötig.

Nutzen Angreifer die verbleibenden Schwachstellen erfolgreich aus, sind XSS-Attacken (Prime Infrastructure, CVE-2026-20111 „mittel“) und Umleitungen auf eine bösartige Website möglich (Evolved Programmable Network Manager und Cisco Prime Infrastructure, CVE-2026-20123 „mittel“). Zusätzlich ist das Umgehen des Malware-Scanners im Kontext von Secure Web Appliance vorstellbar (CVE-2026-20056 „mittel“).

Weiterführende Informationen zu den Lücken und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:

(des)

Die Thüringer Brombeer-Koalition aus CDU, BSW und SPD will nun ebenfalls ein High-Tech-Ermittlungsarsenal für ihre Landespolizei. Eine entsprechende Novelle des Polizeigesetzes wurde heute erstmals im Landtag beraten.

Unter den zahlreichen neuen Befugnissen findet sich beispielsweise das Recht zur Nutzung eines Systems, das anhand von Videobildern illegales Verhalten automatisch erkennen soll. Mit solchen Systemen wird für gewöhnlich öffentlicher Raum überwacht, in Thüringen soll der Verhaltensscanner auch in Gefängnissen zum Einsatz kommen dürfen und dort Gefahrensituationen registrieren.

Ein Prototyp einer Verhaltensscanner-Software wird seit 2018 in Mannheim mit den Bildern oft nichts ahnender Passant*innen trainiert. Die Polizei kann keinen einzigen Fall nennen, bei dem es eine Ermittlung unterstützt hätte. Dennoch wollen immer mehr Bundesländer das System einführen. In Hamburg läuft es bereits, Baden-Württemberg und Berlin haben kürzlich die Gesetzesgrundlage dazu geschaffen, in Schleswig-Holstein und Sachsen ist eine solche geplant.

„Wir wären wie eine Insel für Kriminelle“

Der thüringische Innenminister Georg Maier, SPD, sagt zum geplanten polizeilichen KI-Einsatz: „Es wäre fatal, wenn wir als einziges Bundesland darauf verzichten würden. Wir wären wie eine Insel für Kriminelle, die hier geringeren Ermittlungsdruck spüren würden.“

Katharina König-Preuss von Die Linke sagt: „Das Problem ist, wer irgendwann in der Lage sein wird, solche Software zu nutzen.“ Sie verweist beispielhaft auf totalitäre Bestrebungen in den USA. In dem debattierten Gesetzespaket sieht sie einen „massiven Grundrechtseingriff“.

Ähnlich umstritten ist eine weitere Befugnis aus dem geplanten Thüringer Polizeigesetz: das Recht, automatisierte Datenanalysen durchzuführen, wie sie beispielsweise mit Produkten von Palantir möglich sind. Die Einführung dieser Befugnis hatte in Baden-Württemberg viele Menschen im Protest auf die Straße getrieben. In Thüringen scheint sie weniger Interesse zu erregen. Derartige automatisierte Datenanalysen werden in den USA beispielsweise dazu genutzt, um Informationen über Menschen zu sammeln, die deportiert werden sollen. In Thüringen dürfen bei Gefahr für die öffentliche Sicherheit auch Daten in die Analyse einfließen, die bei der verdeckten Überwachung von Wohnraum oder Privatgeräten zusammengetragen wurden.

Ausschluss des Marktführers

Thüringens Innenminister Maier stellt in der Debatte klar, dass er keine Produkte des verrufenen Software-Herstellers Palantir für derartige Big-Data-Analysen nutzen möchte. Eine andere Firma soll dabei zum Zuge kommen. „Eine wie auch immer geartete Zusammenarbeit mit der US-amerikanischen Firma Palantir wird es mit mir nicht geben“, sagt er.

Die Novelle des Polizeigesetzes soll den Thüringer Beamt*innen noch weitere datenschutzrechtlich problematische Befugnisse bringen. So sollen beispielsweise Personen, die vom Verhaltensscanner bei einer Straftat ertappt werden, automatisch über mehrere Kameras hinweg verfolgt werden können.

Außerdem soll der Gesetzentwurf den Aufbau einer Gesichtersuchmaschine ermöglichen, die mit frei zugänglichen Bildern aus dem Internet gefüttert wird. Dabei verbietet der AI-Act der EU das Anlegen von Datenbanken, die ungezielt Gesichtsbilder aus dem Internet auslesen. Nach dem Gesetzentwurf dürfte die Polizei auch Stimmen-Samples aus dem Netz extrahieren, um diese automatisiert mit anderen Stimmproben zu vergleichen.

Drohnen, die Handys jagen

Auch den Einsatz von Kennzeichenscannern ermöglicht der Gesetzentwurf. Damit dürften von Fahrzeugen, die zur Kontrolle ausgeschrieben sind, sogar Bewegungsprofile erstellt werden.

Ein weiteres Spielzeug, das das thüringische Innenministerium den Polizist*innen des Bundeslandes zur Verfügung stellen möchte, sind Videodrohnen, die zum Beispiel bei öffentlichen Veranstaltungen eingesetzt werden sollen. Außerdem könnten dem Gesetz nach Drohnen die Funktion eines IMSI-Catchers übernehmen und Standorte sowie Geräte- und Kartennummern von Mobiltelefonen ermitteln. Derartige Standortabfragen sollen künftig auch bei Mobiltelefonen erlaubt sein, deren Besitzer*innen nicht kriminell sind, sondern als vermisst gemeldet wurden.

Elektronische Fußfesseln sollen dem Gesetz nach nicht nur gegen Sexualstraftäter eingesetzt werden, sondern beispielsweise auch bei Menschen, die „eine Gefahr für Anlagen mit unmittelbarer Bedeutung für das Gemeinwesen“ darstellen. Demnach könnten die Tracker wohl theoretisch auch Menschen angelegt werden, die planen, eine Straße zu blockieren.

Zudem erlaubt das geplante Polizeigesetz den Einsatz von Distanzelektroimpulsgeräten, auch Taser genannt. Die werden oft gegen Menschen in psychischen Ausnahmesituationen genutzt und führen immer wieder zu Todesfällen.

Wer einen Instagram- oder Facebook-Account besitzt und Nachrichten auf tagesschau.de liest, Unterkünfte über AirBnB bucht, Medikamente bei DocMorris.de bestellt, Partner über parship.de sucht oder Unterstützung auf krebshilfe.de oder nie-wieder-alkohol.de, der wird vermutlich von Meta dabei ausspioniert, sagt eine Liste des Mainzer Landgerichts. Der Konzern trackt nämlich das Verhalten seiner Nutzer*innen auch auf diesen und vielen weiteren Seiten. Wenn Websites „Business Tools“ von Meta einsetzen, fließen Daten an den Konzern ab – ohne Zustimmung der Website-Besucher*innen.

Das ist illegal. Vier Betroffene haben deswegen gerade je 1.500 Euro Entschädigung vom Oberlandesgericht (OLG) Dresden zugesprochen bekommen. Interessant an dem Urteil: Die Betroffenen müssen nicht nachweisen, dass sie auf bestimmten Seiten ausspioniert wurden. Es reicht, dass sie einen Facebook- oder Instagram-Account haben und dass Meta diese extreme Form der Datensammlung tatsächlich praktiziert.

Tausende solcher Klagen gegen Meta sind aktuell anhängig. Menschen, die keine Rechtsschutzversicherung besitzen und trotzdem kostenfrei an eine Entschädigung von Meta kommen wollen, können sich einer Sammelklage anschließen.

Ein Urteil mit Strahlkraft

Das OLG Dresden hat keine Revision zum Bundesgerichtshof (BGH) zugelassen. Das Urteil ist damit rechtskräftig. Es ist allerdings möglich, dass Meta eine Nichtzulassungsbeschwerde beim BGH einreicht. Wegen des geringen Streitwerts der vier Fälle wäre eine solche allerdings wohl relativ aussichtslos.

Das Urteil ist ein Leuchtturm, den andere Gerichte auf dem Schirm haben werden, wenn sie Entscheidungen zur Meta-Überwachung zu fällen haben. Demnächst werden zum Beispiel Urteile vom OLG Naumburg in Sachsen-Anhalt und einem Münchner OLG-Senat erwartet.

Das Landgericht Leipzig hatte Meta-Nutzer*innen zuvor sogar 5.000 Euro zugesprochen. Hingegen sah der 14. Senat des OLG München nur 750 Euro Entschädigung als angebracht.