Für eine dreistellige Millionensumme sollen SAP und Telekom eine „KI-Cloud“ für die öffentliche Verwaltung bauen. Digitalminister Karsten Wildberger nennt das souverän. Unabhängig wird Deutschlands Verwaltung damit nicht, warnen Opposition und Fachleute.
Karsten Wildberger freut sich auf die KI-Cloud für die Verwaltung. (Symbolbild) – Alle Rechte vorbehalten: IMAGO / dts Nachrichtenagentur
Für 250 Millionen Euro sollen deutsche Konzerne IT-Infrastruktur für die öffentliche Verwaltung aufbauen. Im Mittelpunkt steht eine „KI-Cloud“. Das sind Server, auf denen KI-Software laufen soll.
Damit setzt Digitalminister Karsten Wildberger (CDU) seinen KI-freundlichen Kurs fort. Zuletzt hatte er den Agentic AI Hub gestartet. Sogenannte KI-Agenten sollen Beamt*innen zum Beispiel dabei helfen, Dokumente auf Vollständigkeit zu prüfen. Im Gegensatz zu Sprachmodellen wie ChatGPT geben KI-Agenten nicht nur Antworten, sondern erfüllen Aufgaben mit digitalen Werkzeugen.
Die neue „KI-Cloud“ soll nun „zur zentralen Schaltstelle für die öffentliche Verwaltung werden“, erklärt das Digitalministerium. Zunächst soll die KI-Plattform KIPITZ dorthin umziehen. Die Cloud sei das „Rückgrat einer souveränen, digitalen und KI-fähigen Verwaltung“, sagt der Digitalminister. Die dafür veranschlagten 250 Millionen Euro will sein Ministerium an zwei Konsortien verteilen: 70 Prozent erhalten die Telekom-Tochter T‑Systems und SAP; weitere 30 Prozent ein Konsortium um den Wiesbadener IT-Dienstleister SVA.
Wie die Deutsche Presse-Agentur berichtet, sei der Auftrag „bewusst zweigeteilt“ worden, um die Abhängigkeit von nur einem Anbieter zu umgehen. Wildberger sprach von einer „Infrastruktur, die wir selbst kontrollieren“. Telekom-Chef Tim Höttges sagte: „Zusammen sorgen wir dafür, dass Deutschland und Europa die digitale Zukunft selbst in der Hand haben.“ Das soll unter anderem mit SAPs „Business AI Platform“ geschehen. SAP-Chef Christian Klein zeigte sich zufrieden, dass seine KI-Cloud „Teil des Deutschland-Stacks“ werden soll.
Bund zahlt hunderte Millionen für Lizenzen
SAP profitiert bereits in großem Stil von Steuergeldern: Allein im Haushaltsjahr 2025 überwies der Bund an das deutsche Softwareunternehmen 110 Millionen Euro für Lizenzen und weitere 71 Millionen Euro für Produkte und Dienstleistungen. Das zeigt die Antwort der Bundesregierung auf eine Schriftliche Frage von Sonja Lemke von der Linksfraktion, die netzpolitik.org vorliegt.
Zum Vergleich: Im selben Jahr hat der Bund 481 Millionen Euro für Microsoft-Lizenzen ausgegeben. Die Kosten sind im Vergleich zu den beiden Vorjahren stetig gestiegen: 2023 waren es noch rund 274 Millionen Euro, ein Jahr später bereits rund 348 Millionen.
Nicht nur Lizenzen großer US-Unternehmen sind „ein wahnsinniger Kostenfaktor“, kommentiert die Abgeordnete gegenüber netzpolitik.org.
Warnung vor Lock-in-Effekt
Die Projekte aus dem Digitalministerium zeigen: Künftig könnte vermehrt Geld an deutsche oder europäische Konzerne fließen. Das entspricht dem Tenor aus dem Gipfel zur europäischen digitalen Souveränität im November: „buy european“, kauft in Europa ein. Kritik daran gibt es von der Opposition und von Fachleuten. Sie warnen vor neuen Abhängigkeiten durch andere Konzerne.
So kritisiert Linken-Abgeordnete Lemke: US-Konzerne hätten kein Patent darauf, Kunden von sich abhängig zu machen. Sie warnt vor dem Lock-in-Effekt – also davor, dass die Verwaltung von einem einmal gewählten Anbieter nicht mehr loskommt. Dieser Effekt richtet sich nicht danach, wo ein Unternehmen sitzt, sondern danach, wie das IT-Produkt gestaltet ist. „Wer einmal SAP nutzt, kann die eigenen Daten nicht mehr einfach zu einem anderen Anbieter umziehen“, warnt Lemke.
Deshalb fordert sie ein Umdenken: „Digitalisierung muss endlich heißen, eigene Infrastrukturen aufzubauen.“ Dafür brauche es eigene Rechenzentren sowie eigene Betriebssysteme und Software, über die die öffentliche Hand selbst verfügen kann. Die Verwaltung brauche mehr IT-Kompetenz, um weniger von externen Beraterfirmen abhängig zu sein.
Ähnlich argumentiert die Free Software Foundation Europe. Mit Blick auf die Debatte um digitale Souveränität in Deutschland pocht der gemeinnützige Verein auf das Credo „Public Money, Public Code“.
Dahinter steht der Gedanke: Wenn Bürger*innen mit ihren Steuern eine Software zahlen, dann sollte sie allen gehören und öffentlich einsehbar sein. „Nur so lässt sich die strukturelle Abhängigkeit öffentlicher Verwaltungen von proprietärer Software und ihren Herstellern beenden und technologische Souveränität erreichen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Das Digitalministerium hatte die Zivilgesellschaft aufgerufen, sich beim Deutschland-Stack einzubringen. Doch in beiden Konsultationsphasen wurde deren Expertise nicht gefragt. Dabei bringt die Zivilgesellschaft Fragen ein, die sonst untergehen. Das zeigt der Workshop zu „KI in der Verwaltung“ des Bündnisses F5.
In der Kommunikation mit dem Digitalministerium: Zivilgesellschaft steht vor Rätseln. (Symbolbild) – CC-BY-SA 2.0 Flickr/Captain of the Burning Ship; Bearbeitung: netzpolitik.org
Der Deutschland-Stack ist das Großprojekt des jungen Bundesministeriums für Digitales und Staatsmodernisierung schlechthin. Damit will Karsten Wildberger (CDU) ein „digitales Update“ (€) für Deutschland. Mit der „einheitlichen IT-Infrastruktur mit Basiskomponenten wie Cloud- und IT-Diensten und klar definierten Schnittstellen“ adressiert er die grundlegenden Versäumnisse der seit Jahren schleppenden Digitalisierung der öffentlichen Verwaltung.
Eigentlich könnte das Ministerium hier aus dem Vollen zivilgesellschaftlicher Expertise schöpfen. Viele zivilgesellschaftliche Akteure beobachten die scheiternde Verwaltungsdigitalisierung nicht nur seit Jahrzehnten, sondern bringen ihr Wissen und ihre Erfahrungen häufig ehrenamtlich in Digitalisierungsprojekte und nachhaltige Lösungswege ein.
Zum Start des Konsultationsprozesses im Herbst erhielt das Ministerium zunächst viel Lob. Öffentlich rief es Gruppen, Verbände, aber auch Einzelpersonen dazu auf, über die Plattform openCode ihr Feedback zum Stack einzubringen. Der Zugang dazu ist niedrigschwellig und die einzelnen Beiträge sind öffentlich einsehbar. Die volle Transparenz hebt hier die Konsultation stark von bisherigen Beteiligungsformaten ab.
Workshops ohne die Zivilgesellschaft
Doch um Feedback zu bekommen, fährt das Ministerium von Anfang an zweigleisig. Denn zeitgleich zur offenen Konsultation plante es Workshops mit Verbänden aus den Bereichen Start-ups, Wissenschaft, IT- und Digitalwirtschaft sowie weiteren. Mit von der Partie waren vor allem Wirtschaftsverbände. Dabei erhielt die Zivilgesellschaft bislang keinen Zugang.
Was bei den Workshops herauskam, ist nicht bekannt. Die hätten „generell im Haus intern und auf Arbeitsebene stattgefunden – zu diesen gibt es keine öffentliche Berichterstattung“, erklärt ein Sprecher des BMDS gegenüber netzpolitik.org.
Wie aus der Antwort (PDF) der Bundesregierung auf eine Kleine Anfrage von Sonja Lemke (Die Linke) hervorgeht, gab es im November fünf Workshops – zu den Themen Markt und Integrationsplattform, Startups und Agentic AI. Sie wurden unter anderem ausgerichtet von eco, dem KI-Verband, Bitkom und Databund. Die Bundesregierung betonte, sie habe Expertise zum Thema „technische Standards und Technologien des Deutschland-Stacks“ angefragt, aber an den Workshops lediglich als „Impulsgeber“ teilgenommen.
Digitalministerium lässt sich bitten
Bei der Terminvergabe ging die Zivilgesellschaft leer aus, sowohl in der ersten Konsultationsphase vom 1. Oktober bis zum 30. November als auch in der zweiten vom 16. Januar bis zum 15. Februar. Dabei hatte das Bündnis F5 bereits im Herbst beim Ministerium nach einem Termin gefragt, so Kai Dittmann. Er leitet die Advocacy- und Policyarbeit bei der Gesellschaft für Freiheitsrechte (GFF) und koordiniert das Bündnis.
Zu diesem Bündnis haben sich die Organisationen Reporter ohne Grenzen, AlgorithmWatch, Wikimedia Deutschland, Open Knowledge Foundation Deutschland und GFF zusammengeschlossen, sie setzen sich für eine gemeinwohlorientierte Digitalpolitik ein.
„Wir hatten gehofft, dass das BMDS von sich aus einen Konsultationsworkshop zum Deutschland-Stack anbietet“, sagt Dittmann, „um zunächst ein paar grundlegende Informationen zu vermitteln, etwa was zum Stack gehört und was nicht. Es wäre sinnvoll gewesen, zu Beginn darüber zu diskutieren, bei welchen Fragestellungen die Zivilgesellschaft aktiv eingebunden sein sollte“, etwa bei der Frage nach dem Einsatz digitaler Identitäten und danach, wie der sich auf Grundrechte auswirkt und wie er eingeschränkt werden müsste. Auch zur Frage einer sinnvollen Datenhaltung, um diesen Deutschland-Stack zu befüllen, hätte das BMDS von der Expertise von Wikimedia profitieren können, so Dittmann.
F5-Workshop zu KI in der Verwaltung
Schließlich fand Ende März ein Workshop mit F5 statt. Das Thema: „KI in der Verwaltung“. Doch wie das BMDS auf Anfrage erklärt, habe der Workshop „keinen speziellen Bezug zum Deutschland-Stack“. Das überrascht in doppelter Hinsicht. Denn laut Antwort der Bundesregierung vom Dezember sei ein Workshop mit der Zivilgesellschaft „in Klärung“ und als Organisation benannte sie das Bündnis F5. Das suggeriert, dass der F5-Workshop im Kontext des Deutschland-Stacks geplant war.
Zweitens waren bei diesem Workshop laut BMDS nicht nur Vertreter:innen aus der Zivilgesellschaft eingeladen, sondern auch aus der Wirtschaft. Überraschend ist die „Klarstellung“ des Ministeriums auch, weil KI im überarbeiteten „Gesamtbild“ ausdrücklich Teil des Deutschland-Stacks ist.
Agentische KI soll Verwaltungsaufgaben künftig erleichtern und teilweise übernehmen. Dazu hat das BMDS einen eigenen Hub gegründet und fördert eine Reihe an Pilotprojekten. Eines davon setzt agentische KI beim Antragsverfahren für Wohnberechtigungsscheine ein. Sie betrifft einen sensiblen Bereich, in dem es um die Existenz von Menschen geht. Fehler wären hier verheerend. Das veranschaulicht das Beispiel um die Kindergeldaffäre in den Niederlanden.
„Ins Machen kommen“ braucht klare Grenzen
„Im Workshop haben wir viele Fragen erst angerissen“, so Dittmann. Wie gehen Verwaltungen und Mitarbeiter:innen etwa damit um, wenn was schief geht? Wer trägt die Verantwortung für den Fall, dass Fehler passieren, die unter Umständen gravierende Konsequenzen haben? Der Sachbearbeiter, die Software-Hersteller, der IT-Dienstleister, die Behörde, die das KI-System eingekauft hat, oder der Minister, der das Ganze vorangetrieben hat? Wer ist zuständig, wenn entsprechende KI-Systeme nicht die gewünschten Ergebnisse liefern?
Was passiert, wenn ein einzelner Sachbearbeiter mithilfe von KI-Agenten immer mehr Anträge bearbeitet und etwas übersieht? „Müssen wir mit einer Verantwortungsdiffusion in diesem System rechnen?“, fragt Dittmann. Denn klar sei, die Maschine kann keine Verantwortung tragen.
Das alles seien gesellschaftliche Fragen, über die wir sprechen und die wir klären müssten. Angesichts des Mottos „ins Machen kommen“ seien sie bislang untergegangen. Ins Machen zu kommen, heiße aber auch zu entscheiden, „was wir alles nicht machen“ und Grenzen abzustecken, so Dittmann.
Aufsuchende Beteiligung
Dass das BMDS im Rahmen des D-Stacks die Zivilgesellschaft auf Abstand hält, ist umso unverständlicher, als es laut Sprecher beim KI-Transformationsprozess ausdrücklich darum gehe, deren Perspektiven einzubeziehen.
Auch wenn die Kommunikation des Ministeriums bislang unstet war, den Workshop Ende März sieht Dittmann als Startschuss dafür, zivilgesellschaftliche Expertise nicht nur einzubeziehen, sondern auch als Ressource zu begreifen. Die könne das Ministerium noch mehr nutzen, wenn es sich um eine aufsuchende Beteiligung bemüht.
Das kann bedeuten, die Expertise engagierter Menschen über andere Wege einzuholen. Denn die arbeiten häufig ehrenamtlich und können Workshops nicht wahrnehmen, wenn die an einem Werktag zu normalen Geschäftszeiten stattfinden. Das betrifft zum Beispiel Ehrenamtliche von D64, dem Zentrum für digitalen Fortschritt, vom Chaos Computer Club oder InÖG, dem Innovationsverbund öffentliche Gesundheit.
Das Ministerium könnte Forschungsmittel bereitstellen oder bei Forschenden anfragen, welche Personen oder ehrenamtlichen Organisationen sich bei bestimmten Fragen besonders gut auskennen. Beispielsweise könne das BMDS auch nach Erfahrungen fragen, die ehrenamtliche Digitalisierungsprojekte in Berlin, auf Bundesebene, aber auch in Städten und kleineren Gemeinden eingeholt haben.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Datenatlas soll die Bundesverwaltung effizienter machen. Ein wissenschaftliches Gutachten zeigt nun jedoch, dass er mitunter nicht einmal dem Stand der Technik aus dem Jahr 1986 entspricht. Anstatt den Gutachter zu konsultieren, erwägt die zuständige Bundesdruckerei „rechtliche Schritte“ gegen ihn.
Schwere Last: der Datenatlas der Bundesdruckerei (Symbolbild)
Die Verwaltung sollte wissen, was die Verwaltung weiß. Doch Informationen liegen mal diesem Ministerium, mal jener Behörde vor. Damit interne Daten innerhalb der Bundesverwaltung besser aufgefunden werden können, setzt die Bundesdruckerei seit dem Jahr 2022 das Projekt Datenatlas Bund um.
Der „souveräne Datenkatalog für die Bundesverwaltung“ soll erstmals ressortübergreifend Metadaten bereitstellen. Metadaten sind Daten über Daten, also Zusatzinformationen wie etwa das Erstellungsdatum, der Dateityp oder der Speicherort. Die Federführung für das Projekt hat das Bundesfinanzministerium, in den jeweiligen Ministerien sind die Datenlabore für den Atlas zuständig. Grundlage dafür bildet die Bundesdatenstrategie aus dem Jahr 2021.
Modern, digital souverän und KI-fähig soll der Datenatlas sein, schreibt die Bundesdruckerei auf ihrer Website. Doch diese Versprechen kann sie nicht einlösen, wie David Zellhöfer in einem wissenschaftlichen Gutachten schreibt, das er pro bono – also eigeninitiativ und unentgeltlich – verfasst hat. Zellhöfer ist Professor an der Hochschule für Wirtschaft und Recht Berlin und lehrt zu Digitale Innovation in der öffentlichen Verwaltung.
Das Projekt basiert laut Gutachten auf proprietärer Software, greift wahrscheinlich nicht auf übliche Standards zurück und auch für die Einbindung von KI-Anwendungen sei es ungeeignet. Denn die Daten seien weder von verlässlicher Qualität noch maschinenlesbar. Damit falle der Datenatlas teilweise hinter den Stand der Technik von 1986 zurück, so Zellhöfers Resümee. „Aufgrund der eklatanten Mängel ist das Software-Entwicklungsprojekt Datenatlas mit sofortiger Wirkung zu stoppen“, so seine Empfehlung, „um nicht weitere Mittel in eine technisch und konzeptionell wenig überzeugende Lösung zu investieren, welche kaum den Stand der Technik erreicht.“
Die Reaktion der Bundesdruckerei auf das Gutachten fällt deutlich aus. Sie zieht die Seriosität Zellhöfers in Zweifel und erwägt, „nach eingehender Prüfung des Gutachtens“ rechtliche Schritte einzuleiten. Als wir David Zellhöfer davon in Kenntnis setzen, nimmt er das Gutachten vorübergehend offline, um die Vorwürfe selbst rechtlich prüfen zu lassen. Inzwischen ist das Gutachten wieder online abrufbar.
Großprojekt für datengetriebene Verwaltung
Der Titan Atlas schultert in der griechischen Mythologie den gesamten Kosmos. Der Datenatlas soll „nur“ die internen Daten der Bundesverwaltung schultern und es der öffentlichen Verwaltung erlauben, ressort- und behördenübergreifend Daten auszutauschen. Dafür nutzt und ergänzt das Projekt bestehende Verwaltungsdatenübersichten wie die Verwaltungsdaten-Informationsplattform (VIP) des Statistischen Bundesamtes, die Registerlandkarte des Bundesverwaltungsamtes oder das Metadatenportal GovData zu offenen Daten von Bund, Ländern und Kommunen.
Auf den Datenatlas kann standardmäßig nur die Bundesverwaltung zugreifen. Laut Bundesdruckerei seien inzwischen die Ressorts des Bundesfinanzministerium, des Bundesinnenministeriums und weitere an den Datenatlas angeschlossen. Nutzen können sie ihn im Intranet des Bundes. Dafür müssen sich die einzelnen Mitarbeiter:innen registrieren. Bürger:innen, die organisierte Zivilgesellschaft und die Wissenschaft haben damit keinen Einblick in den Datenatlas, wie der Pressesprecher der Bundesdruckerei auf Anfrage unterstreicht.
Bislang hat der Datenatlas laut Zellhöfers Grobschätzung mindestens 2,3 Millionen Euro gekostet. Allerdings lägen die Kosten mutmaßlich deutlich darüber, wie anonyme Quellen Zellhöfer gegenüber sagten. Die tatsächlichen Kosten legt die Bundesdruckerei auf Anfrage von netzpolitik.org nicht offen.
Wie Technik aus dem vergangenen Jahrtausend
Das Stichwort „Stand der Technik“ taucht im Gutachten gut einhundert Mal auf. Ausführlich zeichnet Zellhöfer nach, welche Funktionen der Datenatlas aus informationswissenschaftlicher Sicht im Jahr 2025 haben sollte. Zellhöfer zufolge bleibt der Datenatlas weit hinter den Erwartungen zurück.
Titelwortabfrage im historischen digitalen Katalog der ETH Zürich (15.04.1986) - CC-BY-SA 4.0 ETH Zürich
Besonders deutliche Defizite weisen demnach die Anfragemöglichkeiten auf. So sollen Beschäftigte der Bundesverwaltung in der Datenbank gezielt Metadaten recherchieren können. Für diese Suche sind andernorts verschiedene Hilfsmittel üblich, etwa das Suchen mittels Boolscher Operatoren wie „UND“, „ODER“ oder „NICHT“. Ebenso gängig sind sogenannte Wildcards, Sonderzeichen wie das Sternchen- oder Fragezeichen-Symbol, die als Platzhalter für eine beliebige Zahl an Zeichen dienen.
Nutzer:innen kennen solche Möglichkeiten der gezielten Suche etwa von gewöhnlichen Internetsuchmaschinen. Der Datenatlas verfügt über diese Funktionen allerdings nicht. Damit biete er erheblich weniger Funktionen als vergleichbare Datenbanksysteme aus dem Jahr 1986, konstatiert Zellhöfer.
Gefangen in proprietärer Software
Auch dem Ziel der Bundesdatenstrategie werde der Datenatlas nicht gerecht, nämlich einen „Beitrag zur digitalen Souveränität Europas“ zu leisten.
Vielmehr mache sich die Bundesverwaltung vom IT-Dienstleister abhängig, den die Bundesdruckerei mit dem Projekt des Datenatlas beauftragt hat. Denn der Datenatlas baue auf proprietärer Software auf, obwohl verfügbare Open-Source-Lösungen nach informationswissenschaftlicher Expertise teilweise ausgereifter seien. Als Beispiele nennt Zellhöfer die Open-Source-Lösungen Fedora und Piveau.
Der Bundesdruckerei verpasse damit die Chance, verlässlicher zu wirtschaften. Denn die laufenden Kosten ließen sich mit einer Open-Source-Lösung besser kalkulieren. Auch die Gefahr eines sogenannten Vendor Lock-in ließen sich so vermeiden. Vendor Lock-in bezeichnet die starke Abhängigkeit von einem bestimmten Anbieter, bei der ein Wechsel zu einem anderen Anbieter nur mit unverhältnismäßig hohem Aufwand oder zu hohen Kosten möglich ist.
Es drohen weitere Datensilos
Die Gefahr der Abhängigkeit steige zusätzlich, wenn der Datenatlas keine gebrauchsüblichen Datenstandards oder Schnittstellen nutze. Stattdessen habe der beauftragte IT-Dienstleister auf eigene Entwicklungen zurückgegriffen.
Das aber erschwert es Nutzer:innen aus der Verwaltung, ihre eigenen Datensätze in den Datenatlas zu überführen, weil sie diese zuvor noch anpassen müssen. Und auch der Datenexport wird unnötig behindert, etwa für den Fall, dass Nutzer:innen das System wechseln wollen.
Würde der Einsatz des Datenatlas verpflichtend, „führte dies unmittelbar zu der Bildung eines weiteren, wenig interoperablen Datensilos“, warnt Zellhöfer in seinem Gutachten. Obendrein ein Silo mit Daten von minderer Qualität. Denn die Nutzer:innen können die Metadaten-Felder mit frei wählbaren Beschreibungen belegen. Das mache es zusätzlich kompliziert, einzelne Datensätze wiederzufinden, etwa wenn sich Rechtschreibfehler einschleichen.
Bundesdruckerei erwägt rechtliche Schritte
Auf unsere Anfrage an die Bundesdruckerei, wie sie die Ergebnisse des Gutachtens bewerte, ging die bundeseigene GmbH nicht ein. Stattdessen zweifelt sie in ihrer Antwort die Neutralität des Gutachters an. „Wir können aktuell nur mutmaßen, dass der Autor für sein Werk womöglich unseriöse Quellen benutzt haben könnte“, schreibt die Bundesdruckerei an netzpolitik.org, „und zudem einen unlauteren Zweck verfolgt: die Reputation unseres Unternehmens zu schädigen.“ Und sie kündigt an, gegebenenfalls rechtlich gegen das Gutachten vorzugehen: „Sollten sich nach eingehender Prüfung dieses ‚Gutachtens‘ unsere Mutmaßungen erhärten, werden wir die Einleitung rechtlicher Schritte erwägen“.
Als wir Zellhöfer über die Reaktion der Bundesdruckerei informierten, nimmt er sein Gutachten vorübergehend offline. „Ich war unmittelbar eingeschüchtert“, sagt er gegenüber netzpolitik.org, „obwohl die Antwort der Bundesdruckerei in keiner Weise sachlich nachvollziehbar ist.“ Die Reaktion kann er sich nicht erklären. „Der Datenatlas ist ein Nischenthema“, sagt er, „das hätten sie auch einfach aussitzen können.“
„Wenn man es positiv sehen will, könnte der Datenatlas als Projekt eines Retro-Computing-Enthusiasten durchgehen“, sagt Zellhöfer. Aber vermutlich müsse man den Datenatlas in seiner jetzigen Form vielmehr als „einen zynischen Kommentar zur Verwaltungsmodernisierung“ sehen. „Super ist, dass sie methodisch sinnvoll eine Dateninventur gemacht haben.“
Weder das BMF noch das Bundesministerium für Digitales und Staatsmodernisierung wollten das Gutachten auf Anfrage bewerten. Das Bundesdigitalministerium soll die Federführung für den Datenatlas übernehmen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Internationale Gerichtshof will sich von Microsoft unabhängig machen und schwenkt auf openDesk um, die Open-Source-Bürosoftware des Zentrums für Digitale Souveränität. Die Bundesregierung könnte sich daran ein Beispiel nehmen. Denn während openDesk bei europäischen Nachbarn gefragt ist, fremdelt die Bundesverwaltung noch immer damit.
Karim Khan, Chefankläger beim Internationalen Strafgerichtshof, will sich mit seiner Organisation von Microsoft unabhängig machen. – Alle Rechte vorbehalten Karim Khan: IMAGO/UPI Photo; Bearbeitung: netzpolitik.org
Der Internationale Strafgerichtshof (IStGH) will Microsoft-Anwendungen aus seiner Verwaltung verbannen und stattdessen die Open-Source-Lösung openDesk nutzen. Entwickelt hat diese das Zentrum für Digitale Souveränität (ZenDiS) in Deutschland, eine GmbH des Bundes, die 2022 auf Initiative des Bundesinnenministeriums gegründet wurde.
Die Entscheidung des IStGH hängt laut einem Bericht des Handelsblatts mit einem Vorfall im Mai zusammen. Damals konnte der Chefankläger Karim Khan nicht mehr auf sein E-Mail-Postfach zugreifen, das Microsoft bereitstellte. Microsoft-Präsident Brad Smith widersprach daraufhin Anschuldigungen, wonach der US-Konzern Dienstleistungen für den IStGH eingestellt oder ausgesetzt habe.
Wenige Wochen zuvor, im Februar dieses Jahres, hatte US-Präsident Donald Trump US-Sanktionen gegen Khan erlassen. Hintergrund sind Haftbefehle gegen den israelischen Premierminister Benjamin Netanjahu und dessen früheren Verteidigungsminister Joaw Gallant, die der Gerichtshof beantragt hatte.
EU-Initiative für öffentlich genutzte Software
Die Entscheidung des IStGH wirft ein Licht auf ein seit Jahrzehnten bestehendes Problem: die Abhängigkeit der digitalen öffentlichen Infrastruktur von IT-Konzernen wie Microsoft, Oracle, Google und Amazon. Vor allem Microsofts Bürosoftware ist für Behörden meist die erste Wahl: Outlook für E-Mails, Teams für Videokonferenzen und Word als Schreibprogramm.
Um der Dominanz von Microsoft-Produkten vor allem in öffentlichen Behörden etwas entgegenzusetzen, arbeiten Frankreich, die Niederlande, Italien und Deutschland schon länger zusammen. Sie wollen europäische IT-Lösungen als Teil einer gemeinsamen IT-Infrastruktur mit offenen Standards fördern. Am Mittwoch bestätigte die EU-Kommission die Gründung eines „Digital Commons European Digital Infrastructure Consortium“ (EDIC), mit dem die Partnerländer in digitale Gemeingüter investieren wollen.
In Deutschland arbeiten die Sovereign Tech Agency und das ZenDiS an diesem Ziel. Auch die Bundesregierung unterstützt die Initiative. Thomas Jarzombek, Staatssekretär beim Bundesminister für Digitales und Staatsmodernisierung, begrüßte die Entscheidung der Kommission: „Wir fördern offene Technologien und bauen eine gemeinsame digitale Infrastruktur.“ Nicht nur die an dem Konsortium beteiligten Länder sind von openDesk überzeugt. Auch die Schweiz, Tschechien und weitere EU-Nachbarn haben Interesse geäußert.
Bundesregierung hält sich zurück
Die Bundesregierung selbst setzt openDesk bislang kaum ein. Dabei ist gerade die Bundesverwaltung stark von Microsoft-Anwendungen abhängig. Dass der IStGH nun openDesk nutzt, könnte dies ändern. Zumindest zeige der Fall, dass es Lösungen gibt, sagt Sonja Lemke, Sprecherin für Digitale Verwaltung und Open Government der Bundestagsfraktion Die Linke. Sie fordert die Bundesregierung dazu auf, die eigene Verwaltung konsequent flächendeckend auf openDesk umzustellen.
Gleichzeitig mahnt Lemke an, endlich den Beitritt der Länder zum ZenDiS zu ermöglichen. Damit könnten auch die Landes- und kommunalen Verwaltungen openDesk nutzen. Bislang hat der Bund eine Länderbeteiligung nicht zugelassen, obwohl Schleswig-Holstein, Berlin und Thüringen schon im September 2022 Beitrittsgesuche gestellt hatten.
Am Ende würde die Verwaltung auch viel Geld für Lizenzkosten sparen, so Lemke. „Das Auftragsvolumen für das bundeseigene ZenDiS bewegt sich im einstelligen Millionenbereich.“ Für Microsoft-Lizenzen zahlen allein der Deutsche Bundestag sowie sämtliche Ministerien jährlich rund 200 Millionen Euro.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zuletzt haben die EU und die deutsche Politik wiederholt eine Vorratsdatenspeicherung diskutiert. Dabei hat Deutschland bis heute nicht das E-Evidence-Paket umgesetzt. Mit seinen Instrumenten sollen sich digitale Beweise schnell sichern lassen, bevor sie gelöscht werden.
Bundesjustizministerin Stefanie Hubig (SPD) will das E-Evidence-Paket der EU umsetzen. – Alle Rechte vorbehalten IMAGO / dts Nachrichtenagentur
Im Kern geht es um zwei neue Instrumente für europäische Polizeien: Mit der Europäischen Sicherungsanordnung lassen sich Daten bei einem EU-Online-Dienst einfrieren und später wieder auftauen, wenn sie für Ermittlungen gebraucht werden. Das heißt: Der Diensteanbieter darf sie erst einmal nicht löschen. Alternativ können Ermittlungsbehörden mit der Europäischen Herausgabeanordnung digitale Beweismittel direkt bei Anbietern in anderen EU-Ländern anfordern. Dabei kann es um Informationen gehen, welchem Kunden etwa eine bestimmte IP-Adresse zugeordnet war, angefragt werden können aber auch Inhaltsdaten wie E-Mails.
Beschlossen hatte die EU das Paket – eine unmittelbar geltende Verordnung sowie eine ergänzende Richtlinie – im Jahr 2023. EU-Ländern bleibt bis zum Sommer 2026, es vollständig umzusetzen. Über einen Referentenentwurf war Ex-Justizminister Marco Buschmann nicht hinausgekommen. Auf dessen Entwurf von Oktober setzt nun der Vorschlag auf, den seine Amtsnachfolgerin, die SPD-Politikerin Stefanie Hubig, Mitte Juni vorgestellt hat.
Schnelle Sicherung digitaler Beweise
Insgesamt soll es EU-Polizeien deutlich schneller gelingen, an digitale Beweismittel zu kommen. Dazu lösen die neuen Instrumente den bislang üblichen Prozess über Rechtshilfeabkommen in der EU ab: In der Vergangenheit mussten Ermittlungsbehörden zunächst bei den Justizbehörden des Landes vorstellig werden, wo der betreffende Online-Dienst sitzt. Dies soll nun weitgehend entfallen: Herausgabeanordnungen sollen in der Regel innerhalb von zehn Tagen befolgt werden, in Notfällen gilt eine Frist von nur acht Stunden.
Dabei unterscheidet das Gesetz zwischen Teilnehmer-, Verkehrs- und Inhaltsdaten. Für die erste der Datenkategorien, die etwa Namen und Anschrift von Verdächtigen umfassen kann, gelten die niedrigsten Hürden. Der aktuelle Entwurf des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) stellt nun klarer, wer Herausgabeanordnungen auf dieser Basis erlassen kann: Neben dem Bundeskriminalamt zählt etwa auch das Zollkriminalamt dazu. Solche Anordnungen muss zudem die Staatsanwaltschaft validieren.
Höhere Anforderungen gelten bei sensiblen Verkehrs- und Inhaltsdaten, deren Sicherung ein Gericht bewilligen muss. Es muss sich hierbei um Taten handeln, die mit einer Mindesthöchststrafe von drei Jahren belegt sind, oder die in bestimmte Kategorien von Straftaten wie sexueller Missbrauch von Kindern oder Terrorismus fallen. Neben dem Diensteanbieter muss zudem die zuständige Behörde im Vollstreckungsstaat benachrichtigt werden. Diese hat zehn Tage Zeit, um die Anordnung zu prüfen und kann sie gegebenenfalls ablehnen. Weitere Sicherungen sollen für Berufsgeheimnisträger:innen wie Rechtsanwält:innen oder Journalist:innen gelten.
Ein Puzzlestück unter vielen
Die neuen Regeln fallen in eine Zeit, in der die EU die Zügel im digitalen Raum merklich strafft. Das E-Evidence-Paket macht dabei nur den Auftakt und ist ein Puzzlestück unter vielen: Seit Jahren arbeitet sich die EU an diversen Baustellen ab, die aus ihrer Sicht digitale Ermittlungen erschwerten. Ihre Überlegungen hat die seit vergangenem Winter amtierende EU-Kommission unter Ursula von der Leyen in einer „ProtectEU“ genannten Strategie zur inneren Sicherheit zusammengefasst.
Eine Zahl betont die EU-Kommission dabei immer wieder. So würden rund 85 Prozent der strafrechtlichen Ermittlungen auf elektronischen Beweismitteln beruhen. Zu oft seien diese Daten jedoch nicht mehr verfügbar, wenn sie gesichert werden sollen. Ohne eine EU-weite Umsetzung des E-Evidence-Pakets abzuwarten, hatte die Kommission erst jüngst eine Konsultation über einen gemeinsamen EU-Rechtsrahmen für eine Vorratsdatenspeicherung durchgeführt. Noch in diesem Jahr will sie eine Folgenabschätzung dieser anlasslosen Massenüberwachung präsentieren, ein konkretes Gesetz womöglich im kommenden Jahr. Parallel dazu hat Bundesinnenminister Alexander Dobrindt (CSU) einen nationalen Alleingang bei der Vorratsdatenspeicherung angekündigt.
In einem letzte Woche veröffentlichten Fahrplan macht die Kommission zudem verschlüsselte Daten als Problemfeld aus. Sie stützt sich dabei auf die Empfehlungen einer Arbeitsgruppe, die zuletzt das sogenannte „Going Dark“-Phänomen untersucht und vage Vorschläge zum Zugang zu verschlüsselten Inhalten in den Raum gestellt hatte. Wie und ob sich ein Ansatz findet lassen kann, der nicht die gesamte IT-Sicherheit untergräbt, soll im Jahr 2026 feststehen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
LKA-Mitarbeiterinnen beim Start des Hinweistelefons zu sexuellem Missbrauch von Kindern und Jugendlichen in NRW. – Alle Rechte vorbehalten IMAGO / Future Image
Anfang Dezember enthüllten Journalisten des ARD-Politikmagazins Panorama und des NDR-Reportageformats STRG_F (funk) gemeinsam mit dem Spiegel, dass Fotos und Videos, die schweren sexuellen Missbrauch von Kindern zeigen, oft jahrelang im Netz bleiben, obwohl Ermittlungsbehörden sie löschen lassen könnten. Opferschutzorganisationen sowie Kinder- und Jugendpsychologen sprachen im Anschluss von einer „Ohrfeige für Betroffene“, auch eine Gruppe von EU-Abgeordneten bemüht sich mittlerweile um Aufklärung.
In ihrem Gastbeitrag schildern Robert Bongen und Daniel Moßbrucker, die Teil des Rechercheteams waren, warum ein Strategiewechsel im Kampf gegen Kindesmissbrauch nicht nur eine ermittlungstaktische, sondern auch eine politische Frage wäre.
Bei einem seiner letzten Auftritte im November 2021 wurde der damals geschäftsführende Bundesinnenminister Horst Seehofer ungewohnt emotional. Auf der Herbsttagung des Bundeskriminalamts (BKA) hob Seehofer einen Bereich hervor, der ihm persönlich große Sorgen bereite: Die Verbreitung von Darstellungen sexuellen Missbrauchs von Kindern. Deren Zahl steige von Jahr zu Jahr enorm an – und dieser Trend müsse mit allen Mitteln gestoppt werden. Denn hinter den Darstellungen stehe fast immer auch ein realer Missbrauch:
Was für ein unermessliches Leid, das die Täter den Kindern zufügen! Das Bild- oder Videomaterial darf auf keinen Fall dauerhaft abrufbar sein. Die Betroffenen werden sonst immer wieder zum Opfer, und zwar ein Leben lang. Die Löschung dieser Bilder und Videos ist daher unverzichtbar.
Dem ist eigentlich nichts hinzuzufügen. Und doch: Die Worte haben uns in ihrer Vehemenz überrascht. Denn zu diesem Zeitpunkt hatten wir unsere Recherche schon abgeschlossen. Und nur wenige Tage später berichteten wir, dass ausgerechnet das Bundeskriminalamt – das in Deutschland als Zentralstelle besondere Rechte und Pflichten beim Kampf gegen Kindesmissbrauch hat – Seehofers Forderung seit Jahren allenfalls teilweise erfüllt.
Fotos und Videos werden meistens bei gewöhnlichen Speicherdiensten abgelegt, die Download-Links in Darknet-Foren geteilt. Doch das BKA meldet diese Links nicht systematisch an diese Speicherdienste, obwohl damit illegales Material, das schweren Kindesmissbrauch dokumentiert, aus dem Netz verschwinden würde.
Wie kann es sein, dass eine Behörde, die dem Bundesinnenministerium untersteht, genau das unterlässt, was der zuständige Minister öffentlich als „unverzichtbar“ bezeichnet?
(Fast) alles ist erlaubt
Die Welt, in der sich die Ermittler:innen des BKA bewegen, ist verstörend. Ein Beispiel: Wer sich im Internet bei einem Online-Dienst registriert, muss in der Regel die „Allgemeinen Geschäftsbedingungen“ akzeptieren. Die sind meist so lang und komplex, dass sie niemand liest.
Auf der weltweit größten Plattform im Darknet, auf der sich Pädokriminelle treffen, ist es anders. Hier bestehen die AGB aus nur einem einzigen Satz: Wer ins Forum wolle, solle niemals persönliche Informationen über sich posten. Ansonsten, so ahnt man, ist hier alles erlaubt, was auf immer größeren Anklang stößt: Allein in diesem Forum waren Ende 2021 rund 3,7 Millionen Nutzerkonten registriert, unter dem zweifelhaften Slogan: „For Child Lovers“.
Ermittlungsbehörden lassen die Foren groß werden
Dieses Forum stand im Mittelpunkt unserer Recherchen. Nie zuvor in der Geschichte des Internets hat es eine größere Plattform dieser Art gegeben. Zum Vergleich: Das Forum „Boystown“, das deutsche Behörden im April 2021 abschalten konnten, hatte zum Schluss „nur“ rund 400.000 Nutzer:innenkonten. Man sollte diese Zahlen nicht mit Menschen gleichsetzen, denn viele Pädokriminelle eröffnen mit jedem Login einen neuen Account, den sie danach nie wieder gebrauchen. Dennoch spricht viel dafür, dass es diese Darknet-Foren insbesondere in den vergangenen zwei bis drei Jahren geschafft haben, gewaltige Zuwachsraten zu verzeichnen. Die User:innen der Plattform mit dem Slogan „For Child Lovers“ hatten die dortigen Inhalte zum Zeitpunkt unserer Recherche rund 1,7 Milliarden mal angeklickt, Tendenz stark steigend.
Für den Aufstieg dieser Foren gibt es technische Gründe, zum Beispiel ist das dahinterliegende Tor-Netzwerk in den vergangenen Jahren immer schneller geworden. Vor allem aber – und das ist die zentrale Erkenntnis unserer Recherche – lassen Ermittlungsbehörden aus vielen Ländern, darunter auch das deutsche Bundeskriminalamt, diese Plattformen unfreiwillig immer attraktiver werden, weil es dort immer mehr Inhalte zum Herunterladen gibt – ohne dass die Ermittler:innen einschreiten.
Darknet übernimmt die Vermittlungsrolle
Allein in dem größten Forum „For Child Lovers“ standen unseren datenjournalistischen Analysen zufolge im November über 20 Terabyte – das sind über 20.000 Gigabyte – zum Download. Und diese Menge könnte binnen kürzester Zeit gelöscht werden.
Dies hängt mit der besonderen Architektur dieser pädokriminellen Netzwerke zusammen. Zwar agieren die Betreiber:innen der Pädo-Plattformen im anonymen Darknet, um dort einen digitalen Treffpunkt für pädokriminelle Menschen aufzubauen. Die Datenmengen der illegalen Aufnahmen, die dort von jedem getauscht werden können, sind allerdings zu groß, um auf den Darknet-Plattformen selbst gespeichert werden zu können. Daher wählen die Pädokriminellen stattdessen Speicherdienste im gewöhnlichen Internet, sogenannte One-Click-Filehoster.
Sie legen ihr Material dafür in einen Ordner, den sie als sogenanntes Archiv mit einem Passwort verschlüsseln, und dieses Archiv laden sie beim Filehoster hoch. Aus Sicht des Filehosters wurde also ein verschlüsselter Datenberg hochgeladen. Im Darknet-Forum teilen die Pädokriminellen dann den entsprechenden Download-Link und das dazugehörige Passwort. Die Filehoster ahnen also meist nichts davon, weil mögliche Upload-Filter durch den Passwortschutz nicht greifen.
Selbst müssen sie laut Rechtslage nicht danach suchen. Mehr noch: Es wäre sogar illegal, würden Betreiber:innen eines Filehosters im Internet gezielt nach Fotos und Videos suchen, auf denen Kindesmissbrauch zu sehen ist. Die Filehoster sind also darauf angewiesen, dass sie einen Hinweis erhalten.
97 Prozent der Inhalte liegen im Clearweb
Das Canadian Center for Child Protection (C3P) schätzt, dass nur etwa drei Prozent der Fotos und Videos, die Kindesmissbrauch dokumentieren, im Darknet selbst gehostet werden. 97 Prozent hingegen liegen im Clearweb, also dem Teil des Internets, der mit gewöhnlichen Browsern wie Firefox oder Chrome ansteuerbar ist.
Die kanadische Charity-Organisation C3P unterhält unter anderem eine Hotline, bei der Verdachtsfälle auf Kindesmissbrauch gemeldet werden können. Außerdem sucht die Organisation gezielt nach Missbrauchsdarstellungen und meldet diese an die zuständigen Internetfirmen.
Nach eigener Darstellung ist C3P auch im Darknet aktiv und sucht in Foren nach verlinkten Archiven, die zu Clearweb-Hostern führen. Übernimmt die NGO also den Job, sodass sich Strafverfolgungsbehörden um die Ermittlung der Täter:innen kümmern können?
Deutschen Sicherheitsbehörden ist ihre Arbeit gut bekannt, manche Ermittler:innen sprechen gar vom „kanadischen Ansatz“. Wie es dann sein kann, dass ausgerechnet im größten dieser Darknet-Foren erkennbar niemand systematisch die Inhalte meldet, beantwortet C3P auf Nachfrage ausweichend. Allgemein heißt es:
Wir stimmen mit Ihrer Feststellung überein, dass nicht genug getan wird und dieses Problem weitgehend ignoriert wird. Wie in Ihrem Bericht dargelegt, bringt diese Untätigkeit die Opfer weiterhin in Gefahr und führt zu einem anhaltenden Trauma.
Eine NGO soll das Internet reinigen
Außerdem, so C3P, wolle man alle Inhalte erst entschlüsseln und genau prüfen. Filterhoster müssten darauf vertrauen können, dass nur illegales Material gemeldet würde. Dies koste aber Zeit. „Als relativ kleine Wohltätigkeitsorganisation haben wir nur begrenzte Ressourcen, um die Menge an Medien zu bewältigen, die wir finden“, schreibt C3P.
In der Tat mutet es grotesk an, dass über 30 Jahre nach der Entwicklung des World Wide Web eine einzige Non-Profit-Organisation mit überschaubarem Team und Budget die Aufgabe haben soll, das gesamte Internet von Missbrauchsdarstellungen zu reinigen. C3P, das zwar unabhängig agiert, aber etwa zur Hälfte von überwiegend kanadischen Regierungsgeldern abhängig ist, fordert regelmäßig Internetunternehmen auf, konsequenter gegen die Inhalte auf ihren Servern vorzugehen. Ein Problem der Internetbranche also?
Firmen nehmen über 13 Terabyte aus dem Netz
Anfangs hatten wir noch vermutet, dass die Verantwortung für die Massen an Inhalten, die in den Darknet-Foren verlinkt werden, bei den Filehostern zu suchen ist. Als wir jedoch stichprobenartig einige Links an die Dienste schickten und häufig nach wenigen Minuten die Info erhielten, dass alles entfernt worden sei, begann das Narrativ von den anrüchigen, anonymen One-Click-Hostern zu bröckeln.
Am Ende sammelten wir in einer konzentrierten Aktion automatisiert rund 80.000 funktionierende Links ein, die Pädokriminelle auf einer Plattform gepostet hatten. Dahinter lagen rund 13,55 Terabyte an Daten. Das ist in etwa so viel, als wenn sich ein Mensch ein Jahr lang ein Video anschauen würde, in dem ein Kind missbraucht wird, Tag und Nacht, in HD-Qualität.
Nachdem wir die Links an die Filehoster geschickt hatten, entfernten diese das Material spätestens nach 48 Stunden von ihren Servern. Zuvor standen die Inhalte im Schnitt rund eineinhalb Jahre im Netz. Der älteste Link, den wir gefunden haben, war über sechs Jahre online und führte zu einem Video, auf dem ein Junge misshandelt und vergewaltigt wird.
Einem deutschen Bilder-Hoster schickten wir Links zu rund 100.000 Fotos, die er binnen drei Stunden von seinen Servern holte. Auch diese Fotos schlummerten zuvor teils jahrelang auf seinen Servern, ohne dass er darüber nach eigener Aussage von deutschen Behörden informiert worden war.
Behördliche Statistik mit undurchsichtiger Datengrundlage
Diese Zahlen stehen in enormer Diskrepanz zu dem, was das Bundeskriminalamt jährlich an Inhalten aus dem Netz holt. Seit einem Entschluss des Bundestages aus dem Jahr 2011 ist das BKA gehalten, die illegalen Inhalte möglichst umfassend aus dem Internet löschen zu lassen. Der Ansatz „Löschen statt Sperren“ gilt seither als Alternative zu Netzsperren, die in Anlehnung an die damalige Familienministerin Ursula von der Leyen unter dem Titel „Zensursurla“ heftig diskutiert worden waren, weil Kritiker:innen den Einstieg in eine staatliche Internetzensur befürchteten.
Laut Jahresbericht ging das BKA im Jahr rund 6.800 Hinweisen auf Links nach, hinter denen sich Aufnahmen von Kindesmissbrauch verbargen. Überwiegend gelang es den Strafverfolger:innen demnach, die Links binnen weniger Tage löschen zu lassen. Der Ansatz „Löschen statt Sperren“ gilt angesichts solcher Zahlen auch in der Politik als erfolgreich. Die damalige Justiz- und Familienministerin Christine Lambrecht kommentierte den Jahresbericht des BKA entsprechend:
Die hohen Löschquoten und die vergleichsweise kurzen Bearbeitungszeiten belegen, dass das Konzept ‚Löschen statt Sperren‘ insgesamt wirkungsvoll ist.
Allerdings sind die rund 6.800 Fälle des BKA, die in der offiziellen Statistik auftauchen, nur ein Bruchteil der Massen, die wir in den großen Darknet-Foren fanden. Viele Links werden vom BKA also offenbar erst gar nicht gemeldet. Wieso nicht?
Die Mär vom „Server im Ausland“
Im Zuge der Recherche begegneten wir weltweit keinem einzigen Hoster, der nicht auf unsere Meldungen reagierte. Die Hoster, die am meisten von den Pädokriminellen missbraucht wurden, sitzen in Deutschland, Frankreich, Schweden, Island oder geben ihren Geschäftssitz gar nicht an – kooperiert haben sie jedoch alle.
Überraschend – aber auch äußerst irritierend schnell und einfach. Warum machen das die Strafverfolgungsbehörden nicht? In Gesprächen mit Ermittler:innen hörten wir immer wieder, dass die „Server im Ausland“ ein zentrales Problem seien. Ob dies für andere Rechtsbereiche wie Urheberrechtsverstöße oder Online-Betrug gilt, können wir nicht beurteilen. Bei den verlinkten Inhalten, die in den Darknet-Foren zum Tausch von Kindesmissbrauchsmaterial kursieren, ist der Serverstandort jedoch definitiv kein Hindernis.
Schon 2009 stellte der Wissenschaftliche Dienst des Bundestages fest, dass das BKA eine „Abuse E-Mail“ an ausländische Dienste schicken könne, um sie über illegale Inhalte zu informieren. Sollte das BKA die ausländischen Hoster nicht direkt informieren können oder wollen, könnten sie im Zweifel ausländische Strafverfolgungsbehörden um Unterstützung bitten.
Täter:innen fassen, Fotos lassen?
Obwohl es also technisch einfach möglich wäre und rechtlich erlaubt (einige Jurist:innen halten es sogar für zwingend), meldet das Bundeskriminalamt den Filehostern die illegalen Inhalte so gut wie nie. Übrigens auch nicht den wenigen deutschen Speicherdiensten.
Besonders frappierend: Auch nachdem das BKA gemeinsam mit der Generalstaatsanwaltschaft Frankfurt am Main im April 2021 das Forum „Boystown“ abgeschaltet hatte, ließ es die dort geteilten Links nicht löschen. Als Folge daraus teilten Pädokriminelle wenige Tage nach dem Takedown schlichtweg die weiterhin funktionierenden Links in einem anderen Forum, sodass viele „Boystown“-Inhalte wieder verfügbar waren.
Für Kinder- und Jugendpsycholog:innen sowie den Deutschen Kinderschutzbund ist das nicht nachvollziehbar. „Fassungslos“ sei man darüber, dass das BKA es offenbar unterlasse, systematisch Bildmaterial aus dem Netz zu löschen, heißt es in einer gemeinsamen Erklärung als Reaktion auf die Recherche. Dies sei eine „Ohrfeige für Betroffene“:
Dass Bilder ihrer schrecklichen Erlebnisse weiter im Internet abrufbar sind, ist extrem belastend und erschwert die Bewältigung des Erlebten. Manche Betroffenen sprechen von erneutem Missbrauch, sobald jemand das Bildmaterial ihres Missbrauchs ansieht.
Doch auch die aktuelle Bundesregierung verteidigt das Vorgehen der Ermittlungsbehörden. Auf eine schriftliche Frage des Grünen-Abgeordneten Konstantin von Notz antwortete Innen-Staatssekretär Markus Richter im Dezember: „Es müssen prioritär die Inhalte, die für unmittelbar gefahrenabwehrende Maßnahmen sowie für die strafrechtliche Beweisführung benötigt werden, gesichert und ausgewertet werden.“
Es ist ein typisches Argument, das Strafverfolger:innen in der Diskussion bringen: Die Priorität liegt darauf, Täter:innen zu fassen und Beweise für eine Verurteilung zu sammeln. Dadurch könnten im Optimalfall sogar noch Kinder gerettet werden, deren Missbrauch andauert. Dagegen mutet das bloße Löschen von Fotos und Videos, die an anderer Stelle ohnehin wieder hochgeladen werden können, tatsächlich weniger relevant an.
Aber: Ist es wirklich dieses traurige Dilemma, vor dem die Behörden stehen?
Löschen behindert Strafverfolgung nicht, sondern unterstützt sie
Bei genauerer Analyse wird deutlich, dass nichts dagegen spricht, sowohl Täter:innen zu fassen und Kinder zu retten, als auch Inhalte zu melden. Dieses „Entweder Oder“ gibt es in dieser radikalen Form gar nicht. Mehr noch: Es könnten vermutlich sogar Taten verhindert werden, wenn konsequenter gelöscht würde.
Denn mit den vielen Inhalten sind die Foren längst ein sozialer Raum geworden, in dem Pädokriminelle das Gefühl vermittelt bekommen, dass es normal sei, an Kindern sexuelle Handlungen vorzunehmen. Strafverfolger:innen, die in diesem Bereich ermitteln, sagten uns während der Recherchen selbst, dass sie eine Enthemmung feststellten auf diesen Plattformen, sodass möglicherweise mehr Menschen „Lust“ bekommen, Dinge auch im realen Leben probieren zu wollen. Dies bestätigten auch die Kinder- und Jugendpsycholog:innen sowie der Deutsche Kinderschutzbund in ihrer Erklärung.
Dass es aufwändig ist, die Links zu suchen, kann man nicht wirklich behaupten. Wir benötigten rund sechs Stunden mit einem Online-Crawler, einer Art „Suchhund fürs Netz“, um die 80.000 Links zu finden, die zu über 13 Terabyte führten. Tatsächlich waren wir ziemlich überrascht, wie einfach es ging, die Links einzusammeln, da die Pädokriminellen seinerzeit noch überhaupt keine Schutzmaßnahmen gegen automatisierte Downloads im Forum hatten.
Vernichtet Löschen wirklich Beweise?
Auch eine Beweissicherung ist möglich, wenn gelöscht wird. Nichts spricht dagegen, die automatisiert geladenen Links ebenso automatisiert anzuklicken und die verlinkten Inhalte einmalig herunterzuladen. Dann könnten Polizeibeamt:innen die Fotos und Videos zu einem späteren Zeitpunkt sichten, durch das Melden beim Filehoster aber die Verbreitung bereits eindämmen.
Dass so legale Inhalte als „Kollateralschäden“ gemeldet würden (sogenanntes „Overblocking“), ist de facto ausgeschlossen: Diese Foren sind nur dazu da, Kindesmissbrauchsmaterial zu verbreiten, andere Inhalte werden dort nicht geduldet.
Doch was hilft das Löschen, wenn Pädokriminelle das Material ja weiterhin auf ihren Festplatten haben und jederzeit erneut hochladen können? Dieses Argument hörten wir immer wieder.
Es ist nicht völlig falsch, aber nach unseren Recherchen auch nicht ganz so einseitig: Ein Upload dauert bedeutend länger als das Einsammeln eines Links. Die User:innen nutzen für den Upload nämlich meist das langsamere Tor-Netzwerk, um gegenüber dem Clearweb-Filehoster nicht ihre wahre IP-Adresse zu verraten. So verlangsamt sich die Dynamik in den Foren.
Ferner führen die Uploader auch ein normales Leben und sind nicht immer täglich im Forum, um überhaupt zu merken, dass ihre Links gelöscht wurden.
Nutzer:innen „zu Tode nerven“
Unvermutete Bestätigung bekamen wir hier im Übrigen vom Administrator des aktuell größten Forums selbst: Uns war es gelungen, mit ihm in Kontakt zu treten. Er schrieb uns, dass konsequentes Löschen die User:innen „zu Tode nerven“ könne: Wenn man lang genug lösche, könne es passieren, dass die Leute gehen und die Administratoren „den Laden dichtmachten“. Heißt also: Uploader sind genervt, weil ihre Arbeit zerstört wird, und Konsument:innen sind genervt, weil viele Links ins Leere führen.
Würden Inhalte konsequent und dauerhaft gemeldet, können auch Internetfirmen das Material für ein wiederholtes Hochladen sperren. Einige der Filehoster, die derzeit am stärksten von den Pädokriminellen missbraucht werden, haben bereits solche Uploadfilter im Einsatz. Sie produzieren dafür aus gemeldeten Inhalten einen sogenannten Hashwert und legen ihn in eine Datenbank.
Versucht ein:e User:in, eine Datei unverändert mit demselben Hashwert erneut hochzuladen, bricht der Upload sofort ab. Dies funktioniert sogar für die verschlüsselten Archivdateien der Pädokriminellen – allerdings nur, wenn die Filehoster von Behörden einen Hinweis erhalten, welche spezifischen Dateien mit den dazugehörigen Hashwerten illegal sind.
Nicht-Löschen-Lassen vergrößert Zahl der Täter:innen
Natürlich könnten User:innen ihr Material immer wieder bei neuen Filehostern mit anderen Hashwerten hochladen. Wie stark ist dieses Argument aber noch, wenn doch ein Nicht-Löschen-Lassen zweifellos auch dazu führt, dass immer mehr Menschen immer mehr Material auf ihren Festplatten bunkern können, um es dann weiterzuverteilen? Nicht-Löschen verbreitert also die Basis derjenigen, die das Material auf ihren Festplatten haben und sorgt für neue potenzielle Uploader:innen.
Die zuletzt immer größeren Dimensionen dieser Darknet-Foren lassen eine im Grundsatz vielleicht nachvollziehbare Prioritätensetzung des Bundesinnenministeriums und der Strafverfolgungsbehörden zunehmend absurd wirken: Wie klug sind Ressourcen eingesetzt, wenn wie im Fall „Boystown“ nach monatelangen Ermittlungen vier Personen verhaftet werden, aber dann die Inhalte nicht gesichert und aus dem Netz geholt werden? Sodass schon wenige Tage nach der Abschaltung „Boystown“-Inhalte an anderer Stelle wieder gepostet werden und sich tausende User:innen daran bis heute bedienen können?
Es mag eine Zeit gegeben haben, als das genau die passende Strategie gewesen sein mag: Ein Forum abschalten, um mit einem Ermittlungserfolg eine ganze Infrastruktur zu beseitigen. Aber heute wimmelt es nur so von diesen Foren, die alle munter im Clearweb versteckte Inhalte verlinken.
Unsere Recherchen zeigen, dass häufig identische Links zu Filehostern in unterschiedlichen Darknet-Foren geteilt werden. Das heißt im Umkehrschluss, dass ein Löschen bei einem Filehoster den Inhalt gleich für mehrere Darknet-Foren entfernen würde. Im Ergebnis ein effizientes Vorgehen, um strafbare Inhalte aus dem Netz zu bekommen.
Ampel-Koalition will BKA stärken
Dass das Bundeskriminalamt genau dies offenbar strukturell unterlässt, dürfte Horst Seehofer schlichtweg nicht gewusst haben, als er auf der BKA-Herbsttagung so vehement betonte, dass das Löschen der Aufnahmen „unverzichtbar“ sei. Die Ampelkoalition hat im Koalitionsvertrag angekündigt: „Im Kampf gegen Kindesmissbrauch stärken wir das Bundeskriminalamt personell.“
Es ist nun eine politische Frage, wie Seehofers Nachfolgerin Nancy Faeser (SPD) diese Mittel im BKA verteilen wird. Wenn sie das „Löschen von Missbrauchsdarstellungen“ als essenziellen Bestandteil im Kampf gegen Kindesmissbrauch ernst nimmt, dann könnte sie hier mit verhältnismäßig wenig Geld und Personal viel bewirken.
Robert Bongen arbeitet beim Norddeutschen Rundfunk und ist Redakteur beim ARD-Politikmagazin Panorama.
Daniel Moßbrucker arbeitet als Journalist zu den Themen Überwachung, Datenschutz und Internetregulierung. Außerdem ist er Trainer für digitale Sicherheit und Darknet-Recherchen.
