Angreifer können die volle Kontrolle über Cisco Secure Firewall Management Center (FMC) erlangen. Diese und weitere Sicherheitsprobleme in Secure Firewall Adaptive Security Appliance (ASA) und weiteren Produkten haben die Entwickler mit nun veröffentlichten Sicherheitspatches gelöst. Bislang gibt es keine Hinweise, dass Angreifer bereits Netzwerke attackieren.

Root-Schwachstellen

FMC ist gleich über zwei „kritische“ Sicherheitslücken mit Höchstwertung (CVE-2026-20079, CVE-2026-20131 jeweils CVSS Score 10 von 10) angreifbar. Im ersten Fall können entfernte Angreifer ohne Authentifizierung mit präparierten HTTP-Anfragen an der Schwachstelle ansetzen. Klappt das, können sie Skripte mit Root-Rechten ausführen.

Im zweiten Fall sind Attacken ebenfalls aus der Ferne und ohne Authentifizierung möglich. Hier können Angreifer Schadcode mit Root-Rechten ausführen. In beiden Fällen ist davon auszugehen, dass Instanzen im Anschluss als vollständig kompromittiert gelten. Um die jeweils passenden Sicherheitsupdates zu finden, müssen Admins in den unter den CVE-Nummern verlinkten Warnmeldungen in einem Auswahlmenü unter anderem ihre Firewall-Modelle angeben.

Weitere Gefahren

Über sieben weitere mit dem Bedrohungsgrad „hoch“ eingestufte Lücken in ASA und FMC können Angreifer DoS-Attacken auslösen oder auf eigentlich abgeschottete Daten zugreifen. Zusätzlich haben die Entwickler noch mehrere mit „mittel“ eingestufte Sicherheitslücken geschlossen. An diesen Stellen sind neben DoS- auch XSS-Attacken möglich.

In Webex wurde ebenfalls eine XSS-Lücke (CVE-2026-20149 „mittel“) geschlossen. Weitere Informationen zu den Schwachstellen und Sicherheitspatches listet Cisco im Sicherheitsbereich seiner Website auf.

(des)

„Sie haben mich festgehalten und etwa 12 Stunden lang verhört. In meinem Handy haben sie auf irgendeine Art und Weise den Chat mit meinem Bruder gefunden, wo ich mich deutlich äußerte, dass Russland Unrecht tut. Sie nahmen meine biometrischen Daten auf, meine Fingerabdrücke, zogen mich aus und fotografierten meinen Körper. Zwei Mal. Einer von ihnen drohte mir, dass er mir einen Elektroschocker in den Hintern stecken würde“, sagt Ari.

So erzählt die heute 39-jährige trans Frau, wie sie bei ihrem Fluchtversuch am russischen Grenzübergang misshandelt wurde. Es war ihr erster Versuch, aus einem kleinen Dorf im Norden der Region Luhans’k zu fliehen. Unweit der russischen Grenze gelegen, fand es sich mit dem Beginn des Krieges gegen die gesamte Ukraine unter russischer Besatzung wieder. In der Region fanden aktive Kampfhandlungen statt, Geschützfeuer war zu hören. Ari wollte über Russland und später Estland nach Schweden gelangen, um dort internationalen Schutz zu beantragen.

Damals hatte sie noch nicht mit der Hormontherapie begonnen, ihr Aussehen entsprach ihren Dokumenten. Als die russischen Grenzschützer Ari verhörten und misshandelten, wussten sie nichts von ihrer Transidentität. „Das wäre wahrscheinlich auch lebensgefährlich gewesen“, sagt sie.

Sie störten sich daran, dass Ari vor vielen Jahren bei den ukrainischen Streitkräften war und unterstellten ihr, sie wolle in Russland Sabotageakte verüben. Mitarbeiter des russischen Geheimdienstes FSB seien angerückt, um ihr Handy zu durchsuchen. Sie haben den Chat mit ihrem Bruder und andere Daten wiederhergestellt, obwohl Ari sie im Vorfeld gelöscht und das Handy anderweitig bereinigt hatte. Schließlich ließen sie sie gehen. Nach Russland einreisen durfte sie nicht.

„Es gab überhaupt keine Informationen darüber, wie man fliehen kann. Kurz nach der Invasion haben die Besatzer die gesamte Region vollständig vom Internet abgeschnitten und den Mobilfunk abgeschaltet“, erinnert sich Ari im Gespräch mit netzpolitik.org.

Beim zweiten Fluchtversuch einige Wochen später fuhr Ari dann doch ins Zentrum des Kriegsgeschehens, in der Hoffnung, dort auf einen offiziellen Evakuierungsbus zu treffen. Doch diese fuhren nicht mehr, diese Information war veraltet. Gescheitert und auf dem Rückweg nach Hause musste sie nochmals unzählige Checkpoints passieren, an denen lokale Separatisten und russische Soldaten kontrollierten. Aris Handy wurde erneut überprüft, doch diesmal hatte sie es auf Werkeinstellungen zurückgesetzt. An einem Kontrollpunkt wurde sie wieder genötigt, sich zu entkleiden. Russische Soldaten zwingen die Menschen dazu, um sie vermeintlich nach nationalistischen Tätowierungen abzusuchen.

Erzwungene Nacktheit sowie Androhung von Vergewaltigung sind nur einige Formen sexualisierter Gewalt, die russische Besatzer gegen die ukrainische Zivilbevölkerung einsetzen.

Erst beim dritten Anlauf gelang ihr die Flucht auf von der ukrainischen Regierung kontrolliertes Gebiet. Sie war eine von etwa 100 Personen, die mutige Busfahrer auf eigene Faust über Felder und vorbei an russischen Checkpoints evakuiert haben. Unabhängig überprüfen lassen sich Aris Schilderungen nicht.

„Mobiltelefone wurden sehr streng kontrolliert“

Dass russische Militärs an Checkpoints nicht nur Dokumente kontrollieren, sondern auch Handys durchsuchen, ist aus anderen besetzten und ehemals besetzten Gebieten wie Kherson bekannt. „Auch Mobiltelefone wurden sehr streng kontrolliert“, sagt Marina Usmanova, Menschenrechtsaktivistin und Gründerin der NGO „Insha“ – was auf ukrainisch so viel wie „die Andere“ heißt. Seit 2014 setzt sich die NGO für die Rechte von queeren Menschen in Kherson ein. Die Stadt liegt im Süden der Ukraine und zählte einst rund 300.000 Einwohner*innen.

Usmanova selbst konnte vor dem Einmarsch der Besatzungstruppen, der sich mit Beginn der Vollinvasion mit rasender Geschwindigkeit ereignete, fliehen. Aus ihrem Berliner Exil stand sie im engen Kontakt mit der Community. Rund 300 queere Personen habe Insha finanziell und logistisch bei der Flucht aus dem damals besetzten Kherson unterstützt, erzählt sie.

„Die meisten, die wir bei der Ausreise unterstützt haben, haben das Handy entweder versteckt oder, denn das Leben ist kostbar, kein Smartphone mitgenommen“. Wollten Menschen aus der Stadt in Richtung ukrainisch kontrolliertes Territorium ausreisen, mussten sie an Dutzenden russischen Checkpoints vorbei.

Eine der empfohlenen Strategien war laut Usmanova, alte Tastenhandys mitzunehmen, auf denen Apps wie Facebook oder Instagram gar nicht laufen können. „Damit die Militärs es wirklich nicht schaffen, etwas auszugraben. Denn aus Smartphones haben sie alles ausgegraben, was auch immer man zuvor gelöscht hat“. Wie genau die Besatzer gelöschte Dateien und Apps wiederherstellen, sei unklar. Mitarbeiter des russischen Geheimdienstes FSB seien mitunter daran beteiligt, so die Vermutung.

Wegen schwuler Dating-App im Folterkeller

Selbst innerhalb der Stadt und auf den Straßen war man vor solchen Kontrollen nicht sicher. Bei den Handydurchsuchungen haben die Militärs Kontakte geprüft, mit wem man schreibt, in welchen Gruppen bei Facebook man ist und welche Telegram-Kanäle man abonniert hat, sagt Usmanova. „Es gab viele Fälle, in denen Menschen in den Folterkeller gerieten oder Probleme bekamen, weil sie Grindr auf ihrem Handy hatten.“

In einem Bericht hat Insha, gemeinsam mit der Menschenrechtsorganisation Projector, Verbrechen des russischen Militärs gegen queere Menschen im besetzten Kherson dokumentiert. „Russische Soldaten suchten gezielt nach Angehörigen der LGBTIQ-Community“, heißt es darin. Die Besatzer hätten bei Kontrollen Männer gezwungen, sich auszuziehen und ihre Smartphones nach queeren Dating-Apps durchsucht, bestätigt der Bericht.

Einige dokumentierte Menschenrechtsverletzungen können als Kriegsverbrechen und Verbrechen gegen die Menschlichkeit eingestuft werden, so die juristische Analyse von Projector. Die NGO hat ihren Sitz in der Nachbarstadt Odessa und bietet Betroffenen rechtliche und soziale Unterstützung an. Acht solcher Opfergeschichten stellt der Bericht näher vor.

„Wir hatten schon fast keine Hoffnung mehr, Oleksii jemals lebend wiederzusehen“

Einer von ihnen ist Oleksii Polukhin. Der damals 22-jährige wurde an einem Checkpoint in Kherson aufgehalten, bevor die russischen Besatzer ihn in eine Folterkammer verschleppten.

In Kherson pflegte ein Aktivist damals eine interaktive Karte mit Standorten russischer Checkpoints. Sie sollte den Einwohner*innen helfen, sich sicher in der Stadt zu bewegen und den Kontakt zu russischen Soldaten möglichst zu vermeiden. Doch Polukhin wurde an einem mobilen Checkpoint aufgehalten, den die Besatzer anlässlich der Feierlichkeiten zum Tag des Sieges am 9. Mai, einem für die russische Propaganda wichtigen Tag, aufstellten.

Bei der Durchsuchung seines Handys fanden sie Fotos und Videos von russischen Militärfahrzeugen, die Polukhin sammelte, um sie an ukrainische Streitkräfte weiterzugeben. Außerdem stießen sie auf mehrere LGBTI-Gruppen in Telegram. Polukhin ist LGBTI-Aktivist und engagierte sich unter anderem bei Insha. In aller Öffentlichkeit zwangen sie ihn, sich zu entkleiden. Sie entdeckten ein Tattoo mit dem ukrainischen Wappen und der Flagge auf seinem Unterarm.

64 Tage hielten ihn die Besatzer in Gefangenschaft. Zum ersten Verhör mit einem FSB-Offizier zwangen sie ihn, ein rotes Kleid anzuziehen. Im Verhör forderten sie von Polukhin Adressen von anderen LGBTI-Aktivist*innen und Organisationen. Insgesamt wurde er fünf Mal verhört. „Man wurde dort von morgens bis abends geschlagen. Ich habe einmal den Verhörraum geputzt, dort war sehr viel Blut“, erzählte Polukhin der Ukrainischen Helsinki-Vereinigung für Menschenrechte.

„Drei Tage lang wurden die Gefangenen in den Flur gebracht, bekamen eine blau-gelbe Flagge und ein Teppichmesser und mussten sie in Stücke schneiden, die sie schlucken konnten. Aber nur so, dass das Stück nicht kleiner als eine Handfläche war. So habe ich etwa die Hälfte der Flagge gegessen“, sagte Polukhin weiter.

„Ehrlich gesagt hatten wir schon fast keine Hoffnung mehr, Oleksii jemals lebend wiederzusehen“, erinnert sich Marina Usmanova.

Sexualisierte Gewalt in russischer Gefangenschaft

Die Folterkammer, in der Polukhin gefangen gehalten wurde, war ein ehemaliges Untersuchungsgefängnis der ukrainischen Polizei. Russische Militärs wandelten es zur größten Folterkammer der Stadt um, die nach Khersons Befreiung als eine der berüchtigten Folterzellen von Kherson bekannt wurde. Sexualisierte Gewalt war hier laut ukrainischen Angaben an der Tagesordnung. Um etwa duschen zu dürfen, wurden die Gefangenen laut Polukhin zu sexuellen Handlungen gezwungen.

Andere Foltermethoden umfassten Waterboarding, schwere Schläge mit Knüppeln und Stöcken sowie Elektroschocks und Stromschläge an Genitalien, heißt es im Bericht. Die Khersoner Staatsanwaltschaft gibt gegenüber netzpolitik.org an, bislang Kenntnis von 305 Personen zu haben, die hier rechtswidrig gefangen gehalten und brutal misshandelt wurden. Bei 24 Personen von ihnen wurde die Folter durch Stromschläge an Genitalien offiziell bestätigt. Die Dunkelziffer liegt aber viel höher. Insgesamt gehen die Ermittlungsbehörden von rund 500 Menschen aus, die in dieser Folterkammer waren. Die Identität der weiteren Opfer wird noch ermittelt.

Ein Urteil gegen einen russischen Militärangehörigen, der Polukhin und andere Gefangene in dieser Folterkammer misshandelt hat, erging im vergangenen Herbst. Der 22-jährige Ruslan Alikhamov aus Wolgograd von der russischen Nationalgarde war so etwas wie ein Wachmann in der Anstalt. Er wurde wegen Folter und Beihilfe zum Mord vom Stadtgericht Kherson zu lebenslanger Haft verurteilt. Das Verfahren und die Urteilsverkündung fanden in seiner Abwesenheit statt. Das Urteil ist laut Projector noch nicht rechtskräftig. Gegen sechs weitere Angeklagte laufen derzeit Gerichtsverfahren, in denen Polukhin als Opfer anerkannt ist.

Misstrauen gegenüber Strafverfolgungsbehörden ist groß

Polukhin blieb in Kherson, bis die russischen Militärs nach der achtmonatigen Besatzung der Stadt auf die andere Seite des Flusses Dnipro vor den ukrainischen Befreier*innen flüchten mussten. Heute lebt er in der Westukraine. Er war der erste queere Überlebende russischer Verbrechen, der über die grausame Behandlung öffentlich erzählte. Er ist auch einer der wenigen, die Aussagen bei Behörden machten.

Aus Misstrauen gegenüber ukrainischen Strafverfolgungsbehörden und aus Angst vor queerfeindlicher Diskriminierung sehen viele Betroffene von einer Anzeige ab. Hinzu kommt, dass nicht alle Opfer sexualisierter Gewalt bereit sind, Anzeige zu erstatten.

„Viele Menschen wollen darüber überhaupt nicht sprechen“, sagt Usmanova. „Ich persönlich kenne mehr als ein Dutzend queerer Personen, die in diesem Folterkeller waren. Oleksii haben sie über zwei Monate lang festgehalten, andere wurden dort zu einem kurzen Gespräch hingebracht, eingeschüchtert und wieder freigelassen. Andere wiederum wurden geschlagen und mehrere Tage dort festgehalten“.

Die Khersoner Staatsanwaltschaft sagt hingegen auf Anfrage: „Derzeit liegen keine Informationen über die Inhaftierung und Folter von LGBT-Personen an diesem Ort vor.“ Denn Verbrechen gegen queere Personen erfasst die Staatsanwaltschaft nicht gesondert von anderen Verbrechen. Derzeit ermittelt sie lediglich in zwei Fällen mutmaßlicher Kriegsverbrechen, in denen „Anzeichen für Straftaten gegen Menschen aus der LGBT-Community festgestellt“ wurden. Einer davon ist der gewaltsame Einbruch von vier bewaffneten russischen Soldaten in die Büroräume von Insha, der von Videokameras aufgezeichnet wurde.

Der schwierige Kampf um Gerechtigkeit

Bei den Verbrechen sehe man „keine systematische Verfolgung von Personen aufgrund ihrer Zugehörigkeit zur LGBT-Community“, so die Behörde. Handydurchsuchungen und Identifizierung über soziale Netzwerke zielten ihr zufolge nicht speziell darauf ab, queere Personen zu finden. „Solche Maßnahmen wurden hauptsächlich mit dem Ziel durchgeführt, patriotisch gesinnte Bürger, Informationen über die Unterstützung der ukrainischen Streitkräfte und die Beteiligung an Partisanenbewegungen aufzuspüren.“ Auch die Generalstaatsanwaltschaft der Ukraine führt nach eigenen Angaben keine Statistik darüber, wie viele queere Personen von sexualisierter Gewalt durch russische Besatzer betroffen waren oder sind.

Die NGO Projector argumentiert dagegen, dass Gewalt gegen LGBTI-Personen charakteristisch für die russische Invasion und Kriegsführung ist. Die Organisation arbeitet mit Hochdruck daran, die systematische Verfolgung von queeren Menschen nachzuweisen. Aktuell begleiten die Jurist*innen 19 Fälle im Rahmen ihrer Projekte, sagt Yelyzaveta Barashkova von Projector. In neun von ihnen wurden bereits Strafverfahren eingeleitet, die Ermittlungen laufen noch. Gleichzeitig betont Barashkova, dass die Datenbank mit möglichen Zeugen und Opfern von Verbrechen wesentlich umfangreicher sei. Sie umfasse aktuell 153 Personen.

Den Jurist*innen geht es darum, zunächst eine Rechtsprechung auf nationaler Ebene zu etablieren, die die Gräueltaten gegen queere Menschen als Kriegsverbrechen anerkennt und ahndet. Diese kann dann in Zukunft als Grundlage für internationale Prozesse dienen, beispielsweise vor dem Internationalen Strafgerichtshof in Den Haag, sollte sich das Ausmaß solcher Verbrechen in der Ukraine bestätigen.

„Ich habe meine Chats in Telegram jeden Tag gelöscht“

Der andere von zwei Fällen, in denen die Staatsanwaltschaft wegen Verbrechen gegen queere Personen ermittelt, ist der von Mileriia Afanasiievska. Als einzige trans Frau lebte sie in der kleinen Stadt Oleschky, am gegenüberliegenden Ufer des Dnipro, bevor die russische Armee einmarschiert ist. Afanasiievska kann ihre Geschichte erzählen, weil sie, wie Ari, geschafft hat zu fliehen. Denn anders als die Stadt Kherson befindet sich Oleschky – wie der Großteil der Region – nach wie vor unter russischer Besatzung und erlebt aktuell eine humanitäre Katastrophe.

„Jeden Tag habe ich meine Chats in Telegram gelöscht und den Cache geleert. Besonders wenn ich aus dem Fenster gesehen habe, dass russische Soldaten vorbeigingen, habe ich das mehrmals pro Minute gemacht“, erzählt Afanasiievska. Unter der Besatzung herrschte eine bedrückende Atmosphäre der Angst und Zensur. „Ich habe gleich verstanden, dass ich mir auf die Zunge beißen muss, bei dem, was ich sage“. Wenn sie mit Verwandten aus dem ukrainisch kontrollierten Gebiet telefonierte, passte sie auf, nichts über Raketeneinschläge, Soldaten oder Politik zu sagen. „Wir unterhielten uns, als gäbe es keinen Krieg“.

Der Terror, das Verschwinden und Foltern von Aktivist*innen, Journalist*innen und Lokalpolitiker*innen zwang die Menschen dazu, sich auch in persönlichen Offline-Gesprächen mit Unbekannten zu zensieren.

Wenn Afanasiievska aus dem Haus ging, habe sie immer ihr altes Tastenhandy mitgenommen, ohne SIM-Karte, wie sie erzählt: Für den Fall, dass sie auf der Straße kontrolliert und ihr Mobiltelefon überprüft würde. Solche und andere Maßnahmen wie das Löschen von Chats waren essenziell für das Überleben. „Das war nicht nur für mein eigenes Überleben wichtig, sondern auch für das Überleben meines Nachbarn, meines Bekannten und anderer Menschen aus meiner Stadt, mit denen ich chattete.“

Nicht nur private Kommunikation, auch das Konsumieren von Nachrichten konnte laut Afanasiievska zum Verhängnis werden. Bestimmte pro-ukrainische Kanäle lokaler Bloger*innen auf Telegram, die die Bevölkerung über Raketeneinschläge und militärische Vorgänge informierten, seien den Besatzern besonders ein Dorn im Auge gewesen. „Ich habe Geschichten gehört, dass man, zum Beispiel, für die Gruppe „Nikolaevsky Vanyok“ erschossen wird, weil ihnen nicht gefällt, was dort geschrieben wird“, erzählt Afanasiievska.

„Erst jetzt bin ich dieses Gefühl der Paranoia losgeworden“

Länger als ein Jahr lang hat Afanasiievska es geschafft, unbemerkt und unversehrt zu bleiben – bis russische Soldaten in das Haus gegenüber einzogen. Eines Tages stürmten sie in ihren Hof, weil sie nach Wasser zum Duschen suchten. Als sie ihre Stimme hörten, fragten die Soldaten, ob sie eine Frau sei. Dann beschimpften und schlugen sie sie schwer. Dabei habe sie mehrere Zähne verloren, erzählte Afanasiievska in früheren Interviews. Laut der Khersoner Staatsanwaltschaft werde aktuell wegen eines möglichen Kriegsverbrechens gegen unbekannte russische Militärs ermittelt, die eine Person aus der LGBTI-Community mit Maschinengewehren bedroht und körperliche Verletzungen zugefügt haben.

Nachdem russische Truppen im Juni 2023 den Staudamm in Nova Kakhovka gesprengt und dabei Afanasiievskas Haus überflutet haben, beschloss sie nach Berlin zu fliehen, wo sie heute wohnt. „Ich lebe nun schon seit drei Jahren in Deutschland. Erst jetzt bin ich dieses Gefühl der Paranoia losgeworden.“ Langsam kehre das Gefühl zurück, dass sie am Telefon über alles sprechen kann, ohne ihre Aussagen zu zensieren. Bei ihrer Mutter ist das anders. Diese ermahne sie immer wieder, sie solle beim Telefonieren aufpassen, was sie über Russland sagt. „Meine Mutter leidet unter diesem Trauma, dieser Paranoia und panischer Angst, dass jemand wieder in das Haus stürmen könnte.“

Von vielen Kriegsverbrechen gegen queere Menschen, die sich weiterhin unter russischer Besatzung befinden, gibt es nach wie vor keine Kenntnis.

Sylvester ist im Urlaub, der stellvertretende c’t-Chefredakteur Jan Mahn springt ein und bringt ein Thema mit in den „Passwort“-Podcast: Bulletproof Hoster, kurz BPH. Die nutzen allerlei Tricks, um ihre oft böswilligen Kunden vor Behördenanfragen, Abschaltung und anderen Störungen ihrer Machenschaten zu schützen. Gemeinsam mit Christopher hat Jan in dieser Szene recherchiert und einen besonders krassen Fall von Identitätsdiebstahl aufgedeckt – die Spur führt in die Türkei.

Aber natürlich gibt es auch wieder reichlich PKI: Zertifikate für recht originelle Domains, erste Details zu einem neuen ACME-Mechanismus und eine deutliche Warnung vor IP-Zertifikaten sind die Themen, die die Szene in den letzten Wochen bewegten. Und auch Security-Appliances dürfen nicht fehlen, diesmal jedoch aus einem eher wirtschaftlichen Blickwinkel. Christopher erzählt, wie ein bekannter Hersteller von Security-Appliances durch Investoren erst gegründet und dann systematisch kaputtgespart wurde. Das schreibt der Branchendienst Bloomberg in einer langen Analyse. Christopher kann die nachvollziehen, zumal die Ergebnisse für sich sprechen: Schwere Sicherheitsversäumnisse ermöglichten massive Angriffskampagnen von Cyberkriminellen und ausländischen Mächten.

Die aktuelle Folge von „Passwort“ steht seit Mittwoch, dem 4. März auf allen Plattformen bereit.

(imp)