Der Meta-Konzern hat mit seinem KI-Support eine deftige Sicherheitslücke aufgemacht. Angreifer konnten fremde Instagram-Accounts übernehmen, ohne Zugriff auf die originale Mailadresse des Kontos zu haben.
Intelligent geht anders: Meta AI hat die Sicherheit sträflich vernachlässigt. – Alle Rechte vorbehalten: IMAGO / SOPA Images
Meta hat die Sicherheitslücke mittlerweile bestätigt und nach eigenen Angaben behoben. Es ist nicht bekannt, wie viele Accounts mit dieser Methode übernommen wurden.
In einem Video, das in sozialen Medien kursierte, wird klar, wie simpel der Angriff funktionierte. Der Angreifer täuschte mit einem VPN vor, aus der Region des Ziel-Accounts zu stammen und nutzte dann die „Passwort vergessen“-Funktion. Danach gab er dem Meta-Chatbot eine neue Mailadresse für den fremden Account und forderte den Bot auf, mit dieser zu kommunizieren. An diese Adresse schickte Meta dann fahrlässigerweise einen Verifikationscode, mit dem der Angreifer den anvisierten Instagram-Account übernehmen konnte.
Zu keinem Zeitpunkt musste der Angreifer Zugriff auf die echte Mailadresse des Accounts haben. Die Nutzung der originalen Mailadresse soll grundlegend vor Accountübernahmen schützen, da sich Angreifer in der Regel Zugriff auf diese Adressen verschaffen müssen. Hilfreich gegen Account-Übernahmen ist auch die Aktivierung einer weiter gehenden 2‑Faktor-Authentifizierung.
Der Vorfall zeigt einmal mehr, dass so genannte Künstliche Intelligenz nicht nur Sicherheitslücken entdecken, sondern selbst grobe Sicherheitslücken eröffnen kann. Meta hatte den „KI Support Assistenten“ weltweit am Anfang dieses Jahres für Facebook und Instagram eingeführt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die schwarz-rote Koalition will ein Gesetzespaket verabschieden, das ein neues Zeitalter der Überwachung einläutet. Was steckt da konkret alles drin? Wir haben es durchgesehen, damit ihr es nicht tun müsst.
Bundesinnenminister Dobrindt (links) und Vizekanzler Klingbeil: Große Einigkeit in der Großen Koalition, dass Polizeibehörden weitere Ermittlungsbefugnisse brauchen. – Alle Rechte vorbehalten: IMAGO / dts Nachrichtenagentur
Eigentlich war es ja eine Idee der Ampel-Regierung, der deutschen Polizei die Suche nach Gesichtern im Internet zu erlauben sowie Software einzusetzen, die so viele Daten wie möglich zusammenführt und auswertet. Beides sind Überwachungstechnologien, die auf sogenannter Künstlicher Intelligenz basieren. Auf Bundesebene gibt es derartiges noch nicht, die Ampel hatte es nicht mehr durchgekriegt. Zugleich haben inzwischen zahlreiche Bundesländer ihren Polizeien Gesichtersuchmaschinen und die Datenanalysen genehmigt.
Nun zieht die inzwischen schwarz-rot geführte Bundesregierung nach: Sie will der Bundespolizei und dem Bundeskriminalamt (BKA) beide Instrumente in die Hand geben. Das zugehörige Gesetzespaket hat sie Ende April im Kabinett verabschiedet. Daten, die nötig sind, um die Überwachungstools zu füttern, sollen demnach die Bundesbürger*innen liefern. Bürgerrechtsorganisationen wie die Gesellschaft für Freiheitsrechte (GFF) warnen vor „Instrumenten zur Massenüberwachung“ und halten das Paket für verfassungswidrig.
Wir klären die wichtigsten Fragen rund um das Überwachungspaket in diesen FAQ.
Die Polizei soll Fahndungsfotos mit öffentlich zugänglichen Bildern aus dem Internet abgleichen dürfen. Also auch mit Selfies auf Social Media, dem Teamfoto deiner Handballmannschaft und einem Stockfoto der Innenstadt von Hannover, auf dem du aus Versehen im Hintergrund zu sehen bist. Sie soll mit dieser Suche die Identität abgebildeter Personen herausfinden dürfen. Dabei bekäme sie Zugriff auf potenziell äußerst persönliche Informationen.
Davor warnt auch die GFF: Die Behörden könnten durch den Abgleich Rückschlüsse auf besonders sensible Daten wie politische Einstellungen und sexuelle oder religiöse Orientierung ziehen, z.B. bei Aufnahmen von Demos, Veranstaltungen oder Gottesdiensten. Das Internet mache mittlerweile einen erheblichen Teil des öffentlichen Raumes aus, so die Bürgerrechtsorganisation. Mit den neuen Befugnissen werde die Anonymität in diesem digitalen öffentlichen Raum faktisch unmöglich gemacht. Das sei mit enormen Abschreckungseffekten verbunden und habe erhebliche Auswirkungen auf die Ausübung von Grundrechten, kritisiert die GFF.
Laut den Plänen soll die Polizei die biometrische Fahndung einsetzen dürfen, um die Identität oder den Aufenthaltsort von Beschuldigten, aber auch von Zeug*innen festzustellen. Im Zweifel muss man also nicht mal selbst einer Straftat verdächtig sein, um zum Fahndungsziel zu werden. Erlaubt sein soll das beim Verdacht einer Straftat von erheblicher Bedeutung – das sind etwa Mord und Vergewaltigung, aber auch Steuerhinterziehung, Geldwäsche oder Drogendelikte.
Das Problem: Um im öffentlichen Internet nach Personen fahnden zu können, müssen Ermittlungsbehörden die öffentlich im Netz verfügbaren Fotos von Gesichtern zunächst durchsuchen, sammeln und in Templates umrechnen. Dabei entsteht eine Datenbank mit den biometrischen Entsprechungen von möglicherweise Milliarden von Gesichtern.
Das Ministerium betont, dass diese Vergleichsdatenbank bei dem geplanten „Ad-hoc-Abgleich“ nicht dauerhaft gespeichert würde. Die Templates müssten stattdessen für jeden Abgleich neu erstellt werden. Damit sei die „Erstellung einer dauerhaften Datenbank, die aus dem Internet erhobene Lichtbilder und/oder zugehörige Templates vorhält, […] ausgeschlossen“.
Allerdings steht das so nicht explizit im Gesetzentwurf. Dieser legt nur fest, dass die „beim Abgleich erhobenen und verarbeiteten Daten“ im Anschluss „unverzüglich“ zu löschen sind, wenn sie für die weiteren Ermittlungen nicht relevant sind. Die Referenzdatenbank selbst erwähnt der Text nicht explizit.
Hinzu kommt: Artikel 5 der KI-Verordnung der EU verbietet „das Inverkehrbringen, die Inbetriebnahme […] oder die Verwendung von KI-Systemen, die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen erstellen oder erweitern“.
Aber eine zielgerichtete Suche wäre demnach wohl durchaus möglich. Beispielsweise: Vergleiche dieses Bild mit allen Menschen, die sich auf Social Media für das Wacken-Festival interessieren.
Eine Gesichtersuchmaschine hat die deutsche Polizei ja bereits: Das Gesichtserkennungsystem (GES) des BKA, das eingespeiste Bilder mit, unter anderem, Menschen vergleicht, die erkennungsdienstlich behandelt wurden. Über fünf Millionen Menschen sind dort drin. Die Fotofahndung im Netz wäre für dieses System ein Riesen-Upgrade, weil damit theoretisch fast alle Menschen identifiziert und gefunden werden können. Wer hat schon keine Fotos von sich im Netz?
Was ist das Problem mit der automatisierten Datenanalyse?
Geplant ist eine Super-Datenbank. Die Datenanalyse soll verschiedene Datenquellen verbinden und die aggregierten Daten sinnvoll aufbereiten. Damit können Polizist*innen Fragen nachgehen wie: Wer gehört zu einer bestimmten Gruppe? Oder: Wo wird wohl demnächst eingebrochen?
Das Problem an dieser Datenbank: Da sind nicht nur Daten von Verurteilten oder zumindest Verdächtigen drin, sondern auch die von Opfern und Zeugen von Straftaten oder Kontaktpersonen von Verdächtigen. Also potenziell: wir alle. Die Quellen, aus denen die Daten dazu stammen dürfen, sind im Gesetzpaket auch nicht beschränkt. Daten, auf die beispielsweise das BKA „zur Erfüllung seiner Aufgaben zugreifen“ darf, dürfte es auch in die Super-Datenbank kippen.
Denkbar sind also Standortdaten, Fingerabdrücke, Genproben, abgehörte Gespräche, wer wann mit wem wie lange telefonierte, sowie natürlich sämtliche polizeiinterne Vorgangsdaten. Außerdem kann die Datenbank live an polizeiliche Datenbanken anderer EU-Staaten angeschlossen werden.
Amnesty International und ein Dutzend andere Organisationen warnen, dass die Daten von Opfern, Zeug:innen und gänzlich unbeteiligten Personen Teil derselben „Super-Datenbank“ werden würden. Das Resultat wären demnach „tiefgreifende Persönlichkeitsprofile auf der Basis algorithmisch ausgewerteter massenhafter Datenbestände.“
„Automatisierte Datenanalysen sind mächtige Überwachungsmaßnahmen“, schreibt die GFF in ihrer Stellungnahme zum Gesetzespaket. Deswegen seien strenge Beschränkungen zum Schutz der Grundrechte nötig. Doch diese sieht die Bundesregierung nicht vor.
Was ist das Problem am KI-Training?
Laut der Gesetzentwürfe dürfen Beamt*innen sogenannte KI mit deinen Daten füttern. Die Trainingsdaten müssen beispielsweise dann nicht an- oder pseudonymisiert werden, wenn das „einen unverhältnismäßigen Aufwand“ bedeuten würde. Die Polizei darf bei ihr vorhandene personenbezogene Daten zum KI-Training auch weitergeben, beispielsweise an privatwirtschaftliche Unternehmen. Das Problem: Sprachmodelle können die Informationen, mit denen sie trainiert werden, nahezu perfekt wiedergeben. Das kam im Rahmen von Urheberrechtsstreitigkeiten heraus.
Das heißt: Informationen, die in derartiger Software landen, können nicht nur von der Software gegen dich verwendet werden – indem sie dich einem Verdacht aussetzt – sondern auch von jedem Menschen, der Zugriff auf die Software hat, rekonstruiert werden. Das ist ein Problem, wenn die Polizei anfängt, wahllos persönliche Informationen in Überwachungssoftware zu füttern. Die Hersteller der Programme sind ja meist auch privatwirtschaftliche Unternehmen, die unsere Informationen womöglich gewinnbringend weiterverarbeiten. So entwickelt beispielsweise Datenanalyse-Marktführer Palantir seine Produkte auch auf Basis realweltlicher Daten.
Ist das nicht alles verfassungswidrig?
Die Gesellschaft für Freiheitsrechte (GFF) nennt in ihrer aktuellen Stellungnahme zum Sicherheitspaket (PDF) die Gesetzesvorhaben der Bundesregierung zur biometrischen Fahndung im Internet und zur automatisierten Datenanalyse „zum Großteil verfassungswidrig“. Die Bürgerrechtsorganisation lehnt deshalb die Einführung der darin vorgeschlagenen Befugnisse und Änderungen fast rundweg ab.
Systeme zur automatisierten Analyse könnten umfassende Persönlichkeitsprofile erzeugen, die Daten Unbeteiligter würden mitverarbeitet und es drohten falsche Treffer und Fehlverdächtigungen. Die GFF verweist dabei auf ein Urteil des Bundesverfassungsgericht von 2023, das ähnliche Regelungen in Hessen und Hamburg bereits teilweise kassiert hat. Karlsruhe stellte damals klar: Automatisierte Datenanalyse greift schwerwiegend in das Recht auf informationelle Selbstbestimmung ein und braucht deshalb enge gesetzliche Grenzen. Diese sehe das aktuelle Entwurf nicht vor.
Auch im Fall der Foto-Fahndung sieht die Organisationen Grundrechte in Gefahr, etwa weil auch hier die Daten vieler Unbeteiligter betroffen wären und die Maßnahmen nicht ausreichend auf schwerste Straftaten begrenzt sind.
Auch AlgorithmWatch kommt zu einem ähnlichen Urteil. Die Pläne der Bundesregierung, die digitalen Ermittlungsbefugnisse von Sicherheitsbehörden auszuweiten, sind nach Meinung der Organisation europarechtswidrig und stehen im Konflikt mit verfassungsrechtlichen Mindestanforderungen und datenschutzrechtlichen Grundsätzen. Dabei kommt AlgorithmWatch – wie auch schon die GFF – zu dem Schluss, dass man dieses Gesetz nicht mit ein paar Änderungen verbessern könnte.
Die verfassungs- und menschenrechtliche Unverhältnismäßigkeit lasse „ausschließlich die Empfehlung zu, die Gesetzentwürfe zurückzuziehen und ein grundsätzliches gesetzliches Verbot des Einsatzes biometrischer Massenerkennungssysteme für öffentliche und private Stellen einzuführen“, so die Zusammenfassung der Stellungnahme zum Gesetz (PDF).
Was sind die Unterschiede zum Ampel-Sicherheitspaket?
Das Gesetzespaket ist nicht der erste Anlauf, um Gesichtserkennung und Big-Data-Analysen auf Bundesebene einzuführen. Nach dem Messeranschlag in Solingen haben die Ampel-Fraktionen im Bundestag bereits ein „Sicherheitspaket“ beschlossen, das allen Polizeibehörden den Einsatz von Gesichtserkennung und KI erlauben sollte.
Das Ampel-Paket bestand aus zwei Gesetzen. Das eine – in dem es um Messerverbote und verschärfte Asylregelungen ging – trat in Kraft. Das andere – mit erweiterten Befugnissen für Sicherheitsbehörden – scheiterte. Genau diese gescheiterten Instrumente tauchen jetzt in verschärfter Form im Kabinettsentwurf wieder auf: biometrische Gesichtserkennung und automatisierte Datenanalyse. Das Paket holt also nach, was im ersten Anlauf nicht durchkam.
Was sagen die Kritiker*innen?
Clara Bünger, stellvertretende Vorsitzende der Linken im Bundestag:
Die Bundesregierung treibt den Ausbau digitaler Kontrollwerkzeuge massiv voran und hebelt damit den Schutz unserer Privatsphäre mithilfe künstlicher Intelligenz aus. Besonders die biometrische Gesichtserkennung erfordert den Aufbau riesiger Datensammlungen, die alle Menschen unter Generalverdacht stellen und gegen geltendes europäisches Recht verstoßen. Dieser Weg führt geradewegs in einen digitalen Überwachungsstaat.
Donata Vogtschmidt, digitalpolitische Sprecherin der Linken im Bundestag:
Mehr Überwachung kann Ursachen von Kriminalität und sozialen Problemen nicht lösen. Das Sicherheitspaket 2.0 ist in der Summe nichts weiter als der höchst zweifelhafte Versuch, durch ein Gefühl der ständigen Überwachung im öffentlichen Raum die Handlungsfreiheit der Menschen zu ersticken und KI auch dort zu entfesseln, wo sie gesellschaftlich besonders großen Schaden anrichten kann. Diese fundamentale Fehlentwicklung sollte und muss endlich wachrütteln!
Konstantin von Notz, Stellvertretender Fraktionsvorsitzender der Grünen:
Die geplanten neuen Befugnisse ermöglichen tiefe Grundrechtseingriffe und betreffen dabei keineswegs nur Personen im direkten Fokus von Sicherheitsbehörden, sondern potenziell alle, auch gänzlich unbescholtene, Bürger.
Matthias Spielkamp, Geschäftsführer der NGO AlgorithmWatch:
Damit macht die Bundesregierung den Weg dafür frei, die Fotos aller Menschen, die im Internet verfügbar sind, ob von der Familienfeier oder dem Sommerurlaub, biometrisch zu speichern und auszuwerten. Zudem sollen mit KI-Software wie der von Palantir alle Daten ausgewertet werden, die die Behörden über uns gesichert haben. Davon träumen sonst nur autoritäre Regierungen.
Kai Kempgens vom vom Deutschen Anwaltverein:
Polizeibehörden erhielten damit Zugriff auf eine KI-generierte ‚Gigadatenbank‘ mit darin enthaltenen zum Teil höchstpersönlichen Daten. Ein unkontrollierter Zugriff auf solche faktischen Vorratsdaten lässt sich angesichts der massiven Tiefe des Grundrechtseingriffs nicht ansatzweise rechtfertigen und würde eine Überwachungsdystopie verwirklichen, die massiv dem Rechtsstaatsprinzip zuwiderläuft.
Wer tut etwas dagegen?
Das Netzwerk „Sicherheit ohne Überwachung“ agitiert gegen die Gesetzesverschärfungen auf Bundesebene: Gesichtersuchmaschine, Datenanalyse nach Palantir-Art und Vorratsdatenspeicherung. Unter anderem ist eine Demonstration in Berlin am 13. Juni 2026 um 14 Uhr an der Warschauer Straße / Marchlewskistraße geplant.
Update, 5.5.2026, 15.25 Uhr: In einer vorherigen Fassung schrieben wir, dass im GES des BKA alle Menschen verzeichnet seien, die je erkennungsdienstlich behandelt wurden. Das ist nicht korrekt. Teilweise werden die dabei erhobenen Daten nach einer gewissen Zeit wieder gelöscht.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die von der Polizei erfasste Kriminalität geht in vielen Feldern deutlich herunter. Dennoch will CSU-Innenminister Dobrindt mehr Überwachungmaßnahmen und schärfere Gesetze.
Bundesinnenminister Alexander Dobrindt (CSU) bei der Vorstellung der Statistik. – Alle Rechte vorbehalten IMAGO / dts Nachrichtenagentur
Die von der Polizei registrierte Kriminalität ist laut der heute veröffentlichten Polizeilichen Kriminalstatistik im Jahr 2025 gegenüber dem Vorjahr um 5,6 Prozent gesunken, bei Zuwanderern sogar um 7,2 Prozent. Dennoch versendete das Bundesinnenministerium eine Pressemitteilung, welche das Thema nicht-deutsche Straftaten in den Mittelpunkt stellt.
Die jährliche Statistik, hier die Zusammenfassung, steht wegen wegen ihrer Anfälligkeit zur Instrumentalisierung und auch rassistischen Stimmungsmache schon länger in der Kritik. Bei grober Betrachtung der polizeilichen Zahlen fallen sowohl demographische als auch soziale Faktoren unter den Tisch. Auch dass die Polizei einen verstärkten Fokus auf bestimmte Tätergruppen hat und die Bevölkerung je nach Tätergruppe unterschiedliches Anzeigeverhalten zeigt, bleibt dabei unbeachtet.
Daneben ist die Kriminalstatistik auch nur ein Ausschnitt der Kriminalitätsentwicklung, die nicht zeigt, wie viele Straftaten später tatsächlich zu einer Verurteilung durch ein Gericht führen. Sie ist deshalb immer mit Vorsicht zu genießen, wie wir im Vorfeld der Veröffentlichung beschrieben haben.
Das Bundesinnenministerium weist darauf hin, dass ein Teil des Rückgangs auf die Teillegalisierung von Cannabis zurückgeht, doch auch ohne diese ist die erfasste Kriminalität um 4,7 Prozent zurückgegangen. Auch der Anteil an Kindern (-6,4 Prozent) und Jugendlichen (-10,4 Prozent) an Tatverdächtigen ist zurückgegangen. Auch die Gewaltkriminalität ist laut Bundeskriminalamt (BKA) um 2,3 Prozent rückläufig. Die Aufklärungsquote aller Straftaten bleibt mit 57,9 Prozent stabil (Vorjahr 58 Prozent).
Angestiegen ist die Zahl der Sexualdelikte um etwa 2,8 Prozent. Hier erklärt das BKA den Anstieg mit veränderten Gesetzen, die den Schutz der sexuellen Selbstbestimmung verbessern, sowie mit einer steigenden Bereitschaft, Sexualdelikte auch zur Anzeige zu bringen. Sexualdelikte haben in der Regel ein hohes Dunkelfeld, die Steigerung der registrierten Fälle muss nicht heißen, dass es mehr Fälle insgesamt gibt.
Im Bereich der Internet- und Betrugskriminalität weist das BKA auf einen Rückgang von Taten aus Deutschland hin, aber eine Steigerung von solchen, die aus dem Ausland heraus in Deutschland begangen werden. Die Fallzahlen glichen sich mittlerweile an.
Dobrindt will es trotzdem härter
BKA-Präsident Holger Münch spricht von einem „differenzierten Bild“, das die Statistik wiedergebe. „Die registrierte Kriminalität ist 2025 gesunken, wir sehen Rückgänge bei Gewaltkriminalität und bei der Zahl der Tatverdächtigen.“ Gleichzeitig verändere sich Kriminalität, sie würde digitaler, internationaler und in manchen Bereichen auch brutaler, so Münch weiter.
Der insgesamt starke Rückgang der polizeilich erfassten Kriminalität führt nicht dazu, dass sich Innenminister Alexander Dobrindt (CSU) zufrieden zeigt. In einem verbreiteten Statement verweist er stattdessen auf die „gefühlte Sicherheit“ und fordert weitere Maßnahmen wie einen „harten Aktionsplan gegen Organisierte Kriminalität“ sowie „konsequente Abschiebungen von Intensivtätern“ und „klare, unmissverständliche Gesetze zum Schutz unserer Polizistinnen und Polizisten“.
Beide Projekte stehen in der Kritik. Zivilgesellschaftliche Organisationen wie Amnesty International, die GFF und AlgorithmWatch weisen daraufhin, dass die Gesetzespläne verfassungswidrig seien und eine neue Form der Massenüberwachung darstellen. Sie alle warnen vor massiven Grundrechtseingriffen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die Pläne, im Internet mit Biometrie nach jedweder Person zu suchen, verstoßen laut AlgorithmWatch gegen Europarecht und die Verfassung. Sie seien so unverhältnismäßig, dass man sie nicht verbessern, sondern nur zurückziehen könne.
Die schwarz-roten Gesetzespläne kommen einer Totalüberwachung des digitalen öffentlichen Raumes gleich. (Symbolbild) – CC-BY 4.0Stefanie Loos
Die Pläne der Bundesregierung, die digitalen Ermittlungsbefugnisse von Sicherheitsbehörden auszuweiten, sind nach Meinung der Organisation AlgorithmWatch europarechtswidrig und stehen im Konflikt mit verfassungsrechtlichen Mindestanforderungen und datenschutzrechtlichen Grundsätzen.
Dabei kommt AlgorithmWatch – wie auch schon zuvor die Gesellschaft für Freiheitsrechte (GFF) – zu dem Schluss, dass man dieses Gesetz nicht mit ein paar Änderungen verbessern könnte. Die verfassungs- und menschenrechtliche Unverhältnismäßigkeit lasse „ausschließlich die Empfehlung zu, die Gesetzentwürfe zurückzuziehen und ein grundsätzliches gesetzliches Verbot des Einsatzes biometrischer Massenerkennungssysteme für öffentliche und private Stellen einzuführen“, so die Zusammenfassung der Stellungnahme zum Gesetz (PDF).
„Flächendeckende Verfolgung aller Menschen im digitalen Raum“
Die schwarz-rote Koalition plant in ihrem „Sicherheitspaket“ einerseits eine biometrische Massenfahndung im Internet zu erlauben sowie andererseits die Zusammenführung und Auswertung polizeilicher Daten mittels automatisierter Datenbankanalyse. Die Stellungnahme der Nichtregierungsorganisation fokussiert sich auf die biometrische Fahndung.
Diese biometrische Internetfahndung sieht die NGO sehr kritisch:
Der biometrische Abgleich ermöglicht die Identifizierung von Personen im öffentlichen Raum und im Internet auf Basis biometrischer Merkmale und schafft somit die technischen Voraussetzungen für eine flächendeckende Verfolgung aller Menschen im (digitalen) öffentlichen Raum.
Laut AlgorithmWatch berührt die Überwachungsmaßnahme zwangsläufig die Grundrechte aller Menschen, sie sei weder erforderlich noch verhältnismäßig. Betroffen seien dabei insbesondere die Grundrechte auf informationelle Selbstbestimmung und freie Meinungsäußerung.
Rückschlüsse auf politische Einstellungen
Die NGO kritisiert, dass die Maßnahme heimlich erfolgt und eine extrem hohe Streubreite hat: Es seien einfach alle Menschen betroffen, deren Gesichtsbilder im Internet zu finden sind. Das ist heute ein großer Teil der Bevölkerung. Zudem gebe es erhebliche Diskriminierungsrisiken, wenn sensible Daten erfasst und verarbeitet werden, wie Aufnahmen von Demonstrationen, Parteiveranstaltungen, Pride-Events, Gewerkschaftskundgebungen oder Gottesdiensten. Solche Aufnahmen lassen Rückschlüsse zu auf politische Haltungen, Parteizugehörigkeit, sexuelle oder religiöse Einstellungen.
Darüber hinaus könnten durch die biometrische Internetfahndung auch Bilder aus dem Kernbereich privater Lebensführung ausgewertet werden wie etwa Kindergeburtstage oder private Familienfeiern. Dieser Kernbereich ist verfassungsrechtlich besonders geschützt. Die öffentliche Verfügbarkeit der Daten, die für einen Abgleich herangezogen werden, ändere nichts daran, dass Schutzbereiche der Grundrechte berührt sind.
In der Stellungnahme verweist AlgorithmWatch darauf, dass das Bundesverfassungsgericht bei Kfz-Kennzeichen, die deutlich weniger sensibel als biometrische Merkmale seien, hohe verfassungsrechtliche Anforderungen aufgestellt habe.
Auch seien die Anforderungen für die geplante massenhafte Verarbeitung biometrischer Daten zu unspezifisch sowie die Einsatzzwecke und Tatbestandsmerkmale zu breit und nicht gewichtig genug, als dass eine grundrechtskonforme Anwendung realistisch erscheine. Hier verweist die Organisation auf den Straftatenkatalog des § 100a Abs. 2 StPO , der regelmäßig erweitert und angepasst werde und sich deshalb nicht zur klaren Begrenzung der Maßnahmen auf schwerwiegende Straftaten eigne. Diese Kritik hatte auch die GFF geäußert.
Technische Ausgestaltung unklar
Der Gesetzentwurf lege außerdem „völlig unzureichend“ dar, wie die Überwachungsmaßnahme technisch vonstattengehen soll. Einerseits sollen die die im Rahmen des biometrischen Abgleichs erhobenen und verarbeiteten Daten nach dessen Durchführung „unverzüglich” gelöscht werden, auf der anderen Seite bleibe der Gesetzentwurf schuldig, wie die Sache technisch funktionieren soll.
Klar ist: Für einen biometrischen Abgleich braucht es eine Datenbank, die mit einem gesuchten Bild verglichen werden muss. Bisherige Systeme von privaten Firmen zur Gesichtssuche im Internet wie beispielsweise PimEyes funktionieren so, dass sie meist illegal alle möglichen Gesichtsbilder aus dem Internet sammeln, auswerten und die biometrischen Merkmale sowie die Fundstellen und Metadaten und Zusatzinformationen dieser Bilder in einer Datenbank hinterlegen. Suche ich nun nach einem Gesicht, werden die biometrischen Merkmale dieses Gesichts mit den in der Datenbank hinterlegten Daten abgeglichen – und die jeweiligen Ergebnisse ausgespuckt.
Ein durch AlgorithmWatch beauftragtes Gutachten hat festgestellt, dass ein biometrischer Abgleich zwischen Bildern gesuchter Personen und im Internet verfügbaren Fotos ohne Verwendung einer Datenbank nicht sinnvoll umsetzbar ist. Für die NGO ist damit klar, dass das Vorhaben verboten ist, weil die KI-Verordnung der EU eine mittels Künstlicher Intelligenz erstellte Gesichterdatenbank verbieten würde.
Ein Gutachten der Wissenschaftlichen Dienste des Deutschen Bundestages kommt allerdings zu einem leicht anderen Schluss. Demnach verbiete die KI-Verordnung nicht den Aufbau einer Datenbank, sondern nur das „ungezielte Auslesen von Gesichtsbildern mittels KI […], da es die Privatsphäre und den Datenschutz der Betroffenen erheblich beeinträchtigt und das Gefühl ständiger Überwachung erzeugt“.
Das in der KI-Verordnung festgelegte Verbot gelte demnach nur dann, wenn die Strafverfolgungsbehörden die Datenbanken mit Hilfe von KI-Systemen erstellen. Werden dafür keine solchen Systeme verwendet, greife die Verordnung nicht. Genau dieses Schlupfloch könnte die Bundesregierung nutzen wollen, sie lässt aber offen, wie das technisch funktionieren soll.
Auslagerung an Private als Schlupfloch?
AlgorithmWatch kritisiert, dass der Gesetzentwurf eine Art Auslagerungsbefugnis enthalte, für den Fall, dass Polizei- und Strafverfolgungsbehörden den Abgleich technisch nicht selbst durchführen können. Sie erlaubt ausdrücklich eine Übermittlung von Daten zum Zweck eines biometrischen Abgleichs an öffentliche Stellen und private Anbieter sowohl im Inland als auch im Ausland sowie innerhalb wie außerhalb der Europäischen Union.
Auch das könnte ein Schlupfloch sein. Die NGO sagt dazu: „Eine Erlaubnis für solch eine Auslagerung des biometrischen Abgleichs ins (Nicht-EU-)Ausland führt sämtliche durch die Gesetzestexte eingeführten Beschränkungen ad absurdum.“ Damit würde der in den Gesetzentwürfen beschriebene Vorgang des Löschens aller verarbeiteten Daten nach jeder einzelnen Suchanfrage zur theoretischen Fassade, heißt es in der Stellungnahme. „Aus diesem Grund, so die Vermutung, wird auf die Übermittlung von Daten an Dritte verwiesen, welche den Abgleich im Auftrag deutscher Behörden durchführen würden. Ins Spiel kommen könnten dann solche Anbieter wie PimEyes oder Clearview AI.
Der Staat dürfe aber, so die Stellungnahme, selbst keine rechtswidrigen Angebote Dritter nutzen. „Ein Delegieren der Umsetzung ins Ausland stellt entsprechend keine europa- und grundrechtskonforme Lösung dar.“ Dazu komme, dass derart schwerwiegende Grundrechtseingriffe nicht an private Unternehmen oder öffentliche Stellen in Drittstaaten ausgelagert werden dürften.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die Kritik am Überwachungspaket der Bundesregierung reißt nicht ab. Die Gesellschaft für Freiheitsrechte warnt vor „Eingriffen in die Grundrechte aller Menschen“ und „mächtigen Überwachungsmaßnahmen“.
Automatisierte Gesichtserkennung ist wegen ihrer Eingriffstiefe in Grundrechte hoch umstritten. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Shotshop
Die Gesellschaft für Freiheitsrechte (GFF) nennt in ihrer aktuellen Stellungnahme zum Sicherheitspaket (PDF) die Gesetzesvorhaben der Bundesregierung zur biometrischen Fahndung im Internet und zur automatisierten Datenanalyse „zum Großteil verfassungswidrig“. Die Bürgerrechtsorganisation lehnt deshalb die Einführung der darin vorgeschlagenen Befugnisse und Änderungen fast rundweg ab.
Es handle sich bei den geplanten Befugnissen nicht nur um Werkzeuge, die zu schwerwiegenden Grundrechtseingriffen führen, sondern um „Instrumente zur potenziellen Massenüberwachung“, weil es sich eben nicht um gezielte Maßnahmen handle. Gleichzeitig würden keinerlei Nachweise vorliegen, dass diese Befugnisse tatsächlich zu einer effektiven Polizeiarbeit beitragen würden, so die GFF.
Staatliche Souveränität vollkommen ausgeblendet
Besonders besorgniserregend sei auch, dass die Referentenentwürfe staatliche digitale Souveränität vollkommen ausblenden würden, heißt es in der Stellungnahme. Das liege daran, dass der Gesetzentwurf vorsieht, dass biometrische Abgleiche im Internet auch von privaten Unternehmen im Ausland durchgeführt werden dürfen. Zu solchen Unternehmen gehört zum Beispiel das umstrittene PimEyes, über das netzpolitik.org oftmals berichtet hat. Solche Unternehmen haben die Gesichtsbiometrie von Millionen Menschen gegen alle Regeln des europäischen Datenschutzes erlangt, indem sie ohne zu fragen Gesichtsbilder im Internet ausgewertet und gespeichert haben.
Darüber hinaus ist laut der GFF auf Grundlage des Entwurfs auch der Einsatz von Softwaretools privater Anbieter für eine Datenanalyse möglich, wie etwa die Software Gotham des US-Unternehmens Palantir. Trotz dieser Möglichkeit sieht der Entwurf laut der GFF keinerlei Vorgaben vor, die sensibelste Polizeidaten vor Fehlern, Datenlecks, unberechtigtem Zugriff, missbräuchlicher Nutzung oder Manipulation schützen. Sogar zum Training von KI-Systemen dürften polizeiliche Daten an private Unternehmen übermittelt werden.
Der biometrische Abgleich mit Daten aus dem Internet ermögliche „schwerwiegende Eingriffe in das Recht auf informationelle Selbstbestimmung“ – und das bei einer enormen Streubreite. Das ermächtige die Bundespolizei zu Eingriffen in die Grundrechte potenziell aller Menschen, kritisiert die GFF. Denn diese könnten nur begrenzt beeinflussen, ob zum Beispiel Bild- und Videomaterial oder Tonaufnahmen von ihnen gegen ihren Willen im Internet veröffentlicht werden.
Außerdem könnten durch den Abgleich Rückschlüsse auf besonders sensible Daten wie politische Einstellungen und sexuelle oder religiöse Orientierung gezogen werden, z.B. bei Aufnahmen von Demos, Veranstaltungen oder Gottesdiensten.
Das Internet mache mittlerweile einen erheblichen Teil des öffentlichen Raumes aus. Mit den neuen Befugnissen werde die Anonymität in diesem digitalen öffentlichen Raum faktisch unmöglich gemacht. Das sei mit enormen Abschreckungseffekten verbunden und habe erhebliche Auswirkungen auf die Ausübung von Grundrechten, kritisiert die GFF.
Kritik haben die Bürgerrechtler:innen auch an der Eingriffsschwelle für die Nutzung der Instrumente, die laut der schwarz-roten Koalition ab „erheblichen Straftaten“ gelten soll. Doch diese genügten nicht dem verfassungsrechtlich notwendigen Gewicht einer besonders schweren Straftat. Zudem würden die erfassten Straftaten im Gesetzentwurf nicht hinreichend konkretisiert.
„Mächtige Überwachungsmaßnahmen“ mit Palantir & Co.
Bei der automatisierten Datenanalyse, wie sie etwa Palantir durchführt, sollen große Mengen auch bislang ungefilterter oder getrennt gespeicherter Daten mit weiteren Daten verbunden und verarbeitet werden. Die Polizei erhofft sich durch die Zusammenführung neue Erkenntnisse.
„Dabei besteht die Gefahr, dass aufgrund von Fehlern im Analyseprogramm, insbesondere aufgrund diskriminierender Algorithmen, Menschen fälschlicherweise ins Visier der Sicherheits- und Strafverfolgungsbehörden geraten, obwohl sie dafür keinen Anlass geboten haben“, kritisiert die GFF. Sie warnt zudem vor Einschüchterungseffekten und davor, dass aufgrund des Ausbaus der Überwachung immer mehr sensible Daten bei den Behörden gespeichert werden dürfen. „Automatisierte Datenanalysen sind mächtige Überwachungsmaßnahmen“, folgert die Organisation. Deswegen seien strenge Beschränkungen zum Schutz der Grundrechte nötig.
Die GFF fordert deswegen:
Die Datenanalyse sollte dabei insbesondere ausdrücklich auf einfach-automatisierte Abgleiche und reine Suchvorgänge begrenzt werden. Algorithmische Sachverhaltsbewertungen, Profiling und KI-basierte Analysen müssen ausgeschlossen werden. Die Menge der einbezogenen Daten ist stark zu begrenzen. Die Eingriffsschwellen für automatisierte Datenanalysen müssen erhöht und Schutzmaßnahmen gegen Fehler, Diskriminierung und Intransparenz aufgenommen werden.
In der 30 Seiten starken Stellungnahme, welche die GFF im Rahmen der Verbändebeteiligung abgegeben hat, sind zahlreiche weitere Bedenken hinsichtlich der Verfassungsmäßigkeit der Überwachungspläne der Bundesregierung gelistet. Auch andere Organisationen aus der Zivilgesellschaft wie Amnesty International oder der Chaos Computer Club haben massive Kritik an dem Vorhaben der Bundesregierung.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Beim Umgang mit Domains kann einiges schiefgehen. Einige Probleme ließen sich leicht verhindern, das würde die IT-Sicherheit verbessern und es Betrüger:innen schwerer machen. Doch bei Bundesbehörden deckt ein Sicherheitsforscher immer wieder Probleme auf.
.de, .ee – ziemlich nah beieinander. – Gemeinfrei-ähnlich freigegeben durch unsplash.com D: Girl with red hat, E: Greg Rosenke, Tastatur: Stefen Tan, Bearbeitung: netzpolitik.org
Mehrmals hat Tim Philipp Schäfers in den vergangenen Monaten gezeigt, welche Folgen ein leichtfertiger Umgang mit Domains haben kann: Anfang des Jahres entdeckte der Sicherheitsforscher von Mint Secure, dass sich das Bundesamt für Migration und Flüchtlinge (BAMF) ein Sicherheitsproblem schuf, weil es Test-Accounts für seine Systeme mit fiktiven E-Mail-Adressen auf einer Domain anlegte, die das Bundesamt nicht kontrollierte: testtraeger.de. Schäfers holte sich die bis dahin unregistrierte Domain und erhielt so Zugriff auf einen Administrator-Account eines Test-Systems.
Im Dezember folgte eine weitere Recherche: Frühere Behörden-Domains wurden leichtfertig abgestoßen, auch hier im Fall des BAMF. Das hieß früher BAFl und ließ die Domain bafl.de offenbar einfach auslaufen. Als Schäfers die Domain einige Jahre später für sich registrierte, stellte er fest, dass weiterhin regelmäßig automatisierte sowie manuelle Anfragen aus dem IP-Adress-Bereich von Bundesbehörden bei der Domain ankamen. Mittlerweile hat Schäfers die Domain zum BAMF zurückübertragen, berichtete er in einem Vortrag zum Thema auf dem 39. Chaos Communication Congress.
Eine Kleine Anfrage zeigte außerdem, dass Dritte abgelegte Behörden-Domains für sich registrieren und offenbar deren vormalige Vertrauenswürdigkeit ausnutzen, um dort Werbung für illegales Glücksspiel zu platzieren oder gar Schadsoftware zu verteilen. Eine Liste aller Bundesdomains zu veröffentlichen, verweigerte die Bundesregierung jedoch.
All das zeigt: Ein achtloser Umgang mit Domains ist sowohl ein Risiko für IT-Sicherheit als auch ein Einfallstor für Manipulation und Desinformation.
Deutschland und Estland sind Nachbarn auf der Tastatur
Auf dem 39. Chaos Communication Congress fasst Schäfers seine Erkenntnisse zusammen und präsentiert ein neues Problem: die Gefahr durch sogenannte Typosquatting- und Bitsquatting-Domains. Also Domains, die echten Web-Adressen ähnlich sind und die schnell durch Tippfehler und Fehler in der Datenverarbeitung entstehen.
Schäfers registrierte eine solche Domain. Sie heißt: bund.ee. Nur ein Buchstabe unterscheidet sie von bund.de, einer wichtigen Domain, die die deutsche Bundesregierung verwaltet und mindestens seit 1998 nutzt. Statt der Länder-Domain von Deutschland steht also dort diejenige von Estlands.
Bei einem Besuch von bund.de leitet die Seite auf das Bundesportal weiter. Darüber sollen Bürger:innen auf Verwaltungsleistungen von Bund, Ländern und Kommunen zugreifen können. Auf den zahlreichen Subdomains von bund.de finden sich beispielsweise Websites von Ministerien wie die des Innenministeriums unter bmi.bund.de. Auf anderen Unterseiten wie id.bund.de können sich Bürger:innen mit der BundID anmelden. Das ist ein zentrales Konto, über das sie etwa Bescheide von Behörden empfangen oder sich online ausweisen können. Unter gesund.bund.de befindet sich eine Service-Seite des Gesundheitsministeriums mit Informationen zur Arztsuche oder zu Diagnosen.
Schäfers war also gespannt, welche Anfragen bei bund.ee ankommen würden.
Menschen und Maschinen „vertippen“ sich
Dass Menschen aus Versehen versuchen würden, eine bund.ee-Adresse aufzurufen, war absehbar: Die Buchstaben D und E liegen auf den meisten Tastaturen direkt nebeneinander, schnell hat man sich vertippt und eine Mail nicht an beispielsweise „bewerbung@bmg.bund.de“, sondern „bewerbung@bmg.bund.ee“ verschickt. Das sind menschliche Fehler. Treten die nicht nur bei einmaligen Vertippern auf, sondern haben sie sich in eine Konfigurationsdatei geschlichen, besteht der Fehler permanent, solange er nicht entdeckt wird.
Aber auch Maschinen versuchen teils, die falsche Domain bund.ee zu erreichen, etwa wenn es durch eine Fehlfunktion in der Übertragung zu einem falschen Bit kommt. In ASCII-Kodierung entspricht die „00110100“ einem „d“, die „00110101“ einem „e“. Also nur das letzte Bit ist anders, ein „Bitflip“. Damit liegen „d“ und „e“ auf Bitebene ähnlich nah aneinander wie auf vielen Tastaturen.
Alte Domains sind interessant.
Dass es zu einem Datenverarbeitungsfehler kommt, ein Bit „umkippt“ und dann ein Gerät die falsche Adresse ansteuert, kann unterschiedliche Ursachen haben. Große Hitze beeinträchtigt mitunter die Funktion von Computern und Bauteilen, sodass es zu Fehlern kommt. Intensive kosmische Strahlung, etwa nach Sonnenstürmen, ebenfalls. IT-Sicherheitsforscher von Cisco zeigten auf einer Konferenz im Jahr 2021, dass Bitsquatting-Domains ein Problem werden können.
Welche genauen Ursachen die Anfragen hatten, die Schäfers an bund.ee erfasste, lässt sich nicht feststellen. Sie zeigen aber: Würde ein böswilliger Angreifer Tipp- und Verarbeitungsfehler ausnutzen, sich eine entsprechende Domain registrieren und eine Weile mitlauschen, was auf der Adresse passiert, könnte er eine Menge Informationen erfahren, die nicht für ihn bestimmt sind.
So zeigte Schäfers in seinem Vortrag, dass er Anfragen von einem Webmail-System des Bundesamtes für Risikoermittlung erhielt und Hostnamen interner Systeme mitgeteilt bekam. Außer wurden offenbar Mails versucht zuzustellen – unter anderem zu bnd.bund.ee.
Probleme lassen sich vermeiden
Schäfers Sicherheitsforschung zeigt: Behörden – und andere – sollten sorgfältig mit Domains umgehen. Aus den Problemen, die er in diesem Jahr fand, lassen sich einige hilfreiche Lehren ziehen.
Man sollte niemals Domains für Test-Accounts nutzen, die man nicht selbst kontrolliert. Die Ausnahme: explizit dafür vorgesehene Domain-Endungen oder Adressen. Dazu gehören etwa die Top-Level-Domains „.test“ oder „.example“. Auch „example.com“ kann sicher genutzt werden, da sie dauerhaft reserviert ist und nicht frei registriert werden darf. Test-Domains sollten auch sorgfältig dokumentiert, Test-Accounts regelmäßig auf notwendige Berechtigungen geprüft werden.
Domains, die nicht mehr benötigt werden, sollten nicht einfach achtlos wieder freigegeben werden. Schon bei der Registrierung einer neuen Domain sollten öffentliche Stellen überlegen, wie sie im späteren Verlauf damit umgehen. Verweise auf die Domain müssen aus anderen Systemen entfernt werden. Ist das Risiko zu hoch, dass Dritte die Domain missbräuchlich nutzen, sollte sie dauerhaft unter Kontrolle der Behörde bleiben. Um den Umgang mit Domains zu regeln, sollte es mindestens einheitliche Handlungsempfehlungen geben. Diese fehlen Bundesbehörden-übergreifend bislang.
Um zu vermeiden, zahllose extra registrierte Domains zu verwalten, sollten öffentliche Stellen auf Subdomains vertrauenswürdiger Adressen zurückgreifen, die eindeutig als Web-Auftritt staatlicher Institutionen zu erkennen sind. Für Bundesbelange steht dafür bund.de zur Verfügung. Die Domain gov.de ist Bestandteil einer „digitalen Dachmarke“, die auch Institutionen auf Länder- und kommunaler Ebene nutzen können. Sie ist aber noch sehr wenig verbreitet.
Behörden sollten klassische Vertipper- oder Bitsquatting-Domains im Blick haben, Methoden zur Vermeidung entsprechender Fehler implementieren und sie gegebenenfalls auch registrieren.
Geheimhaltung, welche Domains öffentliche Stellen nutzen, hilft nicht weiter. Sie verhindert Sicherheitsforschung und erschwert es Nutzenden zu prüfen, welche Domains zu staatlichen Stellen gehören.
Geheimhaltung löst keine Probleme
Um etwas Licht ins Dunkle zu bringen, veröffentlicht Tim Philipp Schäfers gemeinsam mit FragDenStaat nun eine Liste mit 2.000 derzeit bekannten Behörden-Domains und Subdomains: von 60-jahre-sozialstaat.de über brexit-training.it.bund.de bis punktereform.de.
Die Liste ergänzt bereits bestehende Domain-Listen, die Menschen teils mit Informationsfreiheitsanfragen erhalten hatten. Strukturiert Domains mithilfe des Informationsfreiheitsgesetzes herauszufinden, ist jedoch nicht erfolgversprechend. Das Verwaltungsgericht Köln urteilte in einem Verfahren gegen das Bundesgesundheitsministerium, dass Behörden ihre Domain-Listen nicht offenbaren müssen.
Doch auch alternative Methoden geben Informationen über die Web-Adressen des Staates: „Suchmaschinen, automatisierte DNS-Scans, Zertifikatstransparenz-Logs, Fehlkonfigurationen oder einfache Leaks führen häufig dazu, dass solche Domains früher oder später entdeckt werden“, schreibt Schäfers auf FragDenStaat. „Die Annahme, eine unbekannte Domain bleibe dauerhaft unsichtbar, ist daher realitätsfern.“
Generell lehnt er den Ansatz der Geheimhaltung ab. Die bringe keine Sicherheit vor gezielten Angriffen. „Moderne IT-Sicherheit folgt deshalb dem Grundsatz, dass Systeme auch dann sicher sein müssen, wenn ihre Architektur und ihre Adressen bekannt sind“, so Schäfers. Denn: „Sicherheit entsteht nicht durch Verbergen – sondern durch Transparenz.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Wenn ein IT-System veraltet oder kaputt ist und jemand darauf hinweist, verursacht das erstmal Stress. Aber den Status um jeden Preis aufrechtzuerhalten ist nicht der beste Umgang, findet unsere Kolumnistin. Sie schlägt einen anderen Weg für ein stressfreies digitales Zusammenleben vor.
Wie geht man gut damit um, wenn etwas nicht in Ordnung ist? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Luis Villasmil
In der heutigen Degitalisierung geht es um Stress. Aber eigentlich auch wieder nicht. Das mag paradox klingen, hat aber mit einer ganz besonderen Art von Stress zu tun, dem Statusstress. Statusstress ist nicht nur ein wunderschönes Bild von einem Wort, sondern leider auch eine allzu treffende Bezeichnung des Umgangs mit dem Status der Digitalisierung in Deutschland und möglicher Kritik daran.
Besonders häufig zu finden ist der Statusstress in der Verwaltung, zum Teil aber auch im Gesundheitswesen oder bei Unternehmen, die in den beiden Branchen Dienstleistungen erbringen. Um Statusstress genauer zu verstehen, bedarf es einiger prägnanter Beispiele. Aus nicht ganz erfindlichen Gründen kommen ein paar der aktuellen Beispiele für diese Kolumne schwerpunktmäßig aus Berlin.
Das heißt aber nicht, dass Statusstress nicht auch in anderen Regionen in Deutschland, speziell im Kontext der Digitalisierung, vorkommt, es ist eher eine besondere Häufung der Nachrichten der letzten Tage.
Versuch einer Definition
Normalerweise ist Stress eine natürliche Alarmreaktion des menschlichen Körpers auf Belastungen, auf Stressoren. Die Auslöser von Stress können Umstände wie Zeitdruck, Lampenfieber oder lebensverändernde kritische Ereignisse sein, etwa ein möglicher Jobverlust. Kurzfristig setzt der menschliche Körper dann Stresshormone wie Adrenalin frei, um mit der kurzfristigen Belastung besser umgehen zu können – in Vorbereitung auf eine kurzfristige Fight-or-Flight-Situation: entweder der Situation stellen oder fliehen.
Stress ist also eigentlich auch ein Mittel, um mit schwierigen Situationen besser umgehen zu können. Ein Mittel, um sich einer gewissen anstrengenden und schwierigen Situation besser stellen zu können. Meist ist eine Situation dann zwar stressig, wir haben höheren Puls und Blutdruck, aber nach dem Ablassen des Stresses haben wir oftmals eine unangenehme Situation erfolgreich gemeistert und mehr erreicht, als wir vorher gedacht hätten.
Nun gibt es solche Stresssituationen auch für die Politik oder der Politik nahestehende Organisationen, für die Verwaltung oder der Verwaltung nahestehende Unternehmen etwa. Stressig kann es oftmals werden, wenn das jeweilige Handeln kritisiert wird, wenn Fehler offensichtlich werden. Auch hier gibt es dann eine Vorbereitung auf eine Fight-or-Flight-Situation. Fehler zugeben, beheben oder doch lieber erst mal kleinreden? Häufig fällt die Entscheidung auf die Aufrechterhaltung des Status Quo, auch wenn es durchweg sehr anstrengend und – titelgebend – stressig sein kann, den Status Quo als richtig darzustellen.
Nur ist die ohnehin schon stressige Aufrechterhaltung des ungenügenden Status Quo auf lange Sicht gar nicht mal so sinnvoll oder gesund, wie ein paar Beispiele aus der Digitalisierung der letzten Tage zeigen.
Im Gutachten geht es aber nicht um die Beschreibung, dass der Datenatlas der Bundesdruckerei den Stand der Technik auch erreiche. Es geht wissenschaftlich aufbereitet darum, dass der Datenatlas eben nicht mal den Stand der Technik erreiche. Schlimmer noch, es sei dabei nicht mal der Stand der Technik von heute, sondern der Stand der Technik von vor knapp 40 Jahren.
Eine durchaus harte Kritik, beim genaueren Lesen des Gutachtens finden sich aber viele Anhaltspunkte, wie es besser ginge. Es wird umfangreich aufbereitet, an welchen Stellen Details der Umsetzung des Datenatlas diesen Stand der Technik unterschreiten und welche Umsetzungsalternativen es geben würde. Mit etwas Abstand betrachtet mag das Gutachten zwar nicht nett klingen – es liefert aber zahlreiche Verbesserungsvorschläge, um einen möglichen besseren Datenatlas schaffen zu können. Eigentlich.
Das Gutachten von Zellhöfer mag bei den Beteiligten zu sofortigem Statusstress geführt haben, anders wäre die Prüfung rechtlicher Mittel gegen das Gutachten nicht erklären zu gewesen. Fehler zugeben und diese ausmerzen – oder eben mit viel Aufwand jegliche Kritik am zweifelhaften Status abschmettern. Fight or flight. Statusstress.
Im Falle des Datenatlas und der Bundesdruckerei lässt sich aber nicht genau ermessen, wie viel mehr Aufwand dieser Statusstress am Ende ausmachen wird. Anders ist das bei der zweifelhaften Aufrechterhaltung veralteter IT-Systeme.
415 Prozent
In der letzten Woche wurde bekannt, dass der IT-Dienstleister des Landes Berlin, das IT-Dienstleistungszentrum (ITDZ) Berlin, stark unterfinanziert ist. Zwei Kredite in Höhe von 40 Millionen Euro sind nötig gewesen, um den laufenden Betrieb aufrechtzuerhalten. Bemerkenswert daran ist auch, dass die Behörden, die beim Dienstleister Auftragsverhältnisse haben, mit 16,8 Millionen in der Miese stehen. Die finanzielle Lage des Kommunaldienstleisters ist also eigentlich düster, aber als Anstalt öffentlichen Rechts kann das ITDZ nicht so einfach pleitegehen wie normale kommerzielle Unternehmen.
Woher kommt das finanzielle Problem? Einerseits aus der schlechten Finanzlage von Kommunen und Ländern. Andererseits auch vom Statusstress, diesmal in Bezug auf IT-Systeme.
In der Verwaltung werden oftmals sehr viele unterschiedliche Fachverfahren betrieben, spezialisierte Programme für bestimmte Verwaltungstätigkeiten. Programme für das Meldewesen etwa oder Programme zur Verwaltung kommunaler Aufgaben wie der Abfallentsorgung. Beim ITDZ sammeln sich ganz schön viele unterschiedliche Fachverfahren, der Tagesspiegel [€] schreibt von 415 unterschiedlichen Fachverfahren, die Berliner Behörden laut Senatskanzlei nutzen würden.
Auffällig dabei: Das ITDZ gibt einen mittleren zweistelligen Millionenbetrag im Jahr dafür aus, um die Risiken des Weiterbetriebs der Programme zu reduzieren, so ein Bericht der Chief Digital Officer (CDO) Martina Klement an das Berliner Abgeordnetenhaus. Die Kosten für die Risikoreduzierung des Betriebs liegen Klement zufolge bei durchschnittlich 415 Prozent der ursprünglichen Betriebskosten des jeweiligen Verfahrens. Statusstress. Die Aufrechterhaltung des Status Quo wird irgendwann wirtschaftlich so stressig, dass Weglaufen finanziell eigentlich gar nicht mehr funktioniert.
Bei der Beschönigung des nicht mehr funktionierenden Status Quo hilft dann auch keine kreative Antwortfindung seitens der Verwaltung auf Anfragen mehr. Kreativ hervorgetan hat sich etwa das Bezirksamt Charlottenburg-Wilmersdorf bei der Definition von Mehrfaktor-Authentifizierung. Neben einem ersten Faktor „Wissen“, einem Passwort, sei in der Verwaltung ja auch ein zweiter Faktor „Besitz“ vorhanden, weil Computersysteme „nur in Dienstzimmern zu benutzen“ seien, die mit einem Schließsystem gesichert seien. Schwammig wird die Definition dann dadurch, dass dazu auch Privatwohnungen für die „Telearbeit“ gehören sollen.
Mit anerkannten Regeln der Informationssicherheit hat das zwar nichts zu tun, aber irgendwie muss der Status Quo aufrechterhalten werden können. Die Informationssicherheit ist dabei aber zumindest gedanklich in der Überwindung von Statusstress bereits einen Schritt weiter, in Teilen jedenfalls.
Novellierung des Computerstrafrechts
In der Informationssicherheit gibt es in Deutschland schon länger immer wieder Beispiele von Statusstress auf Basis des Computerstrafrechts. Nach der Gesetzgebung um den sogenannten Hackerparagrafen kann seit 2007 das „Vorbereiten des Ausspähens und Abfangens von Daten“ unter Strafe gestellt werden. Auch wenn das erst einmal logisch klingt, führt dies in der Praxis von gutartigen, ethischen Hacker*innen immer wieder zu Problemen. Menschen also, die auf Sicherheitslücken hinweisen, ohne diese bösartig auszunutzen, damit diese geschlossen werden können und somit die Sicherheit steigt.
Da bereits die Vorbereitung von Hacks zu Strafen führen kann, kommt es durch den Hackerparagrafen zu absonderlichen Verurteilungen. Im Fall Modern Solutions etwa wurde ein gutartiger Hacker rechtskräftig verurteilt, weil er die entsprechende Firma darauf hinwies, dass ein Passwort unverschlüsselt in einer ausführbaren Datei einer Middleware-Software gespeichert war. Daraus erwuchs ein erhebliches Sicherheitsrisiko, weil mit diesem einen Passwort ein Zugriff auf die Daten aller Modern-Solutions-Kunden möglich war.
Allerdings findet im Kontext des Hackerparagrafen inzwischen ein Umdenken nach. In der letzten Legislatur wurde eine Novellierung des Computerstrafrechts im parlamentarischen Prozess zumindest begonnen, BSI-Präsidentin Claudia Plattner forderte im November eine rechtliche Absicherung von gutartigen Hacker*innen.
Wege zu einem stressfreien Leben
Es gibt also bereits erste Ansätze, besser mit Statusstress zurechtzukommen. Nur wird es in vielen Bereichen der Digitalisierung noch viele Anläufe eines besseren Umgangs mit Kritik und einer offenen Fehlerkultur brauchen, um im Moment der Kritik oder Fehlermeldung richtig mit dem aufkommenden Stress umzugehen. Oftmals ist es in den Momenten, in denen Statusstress entsteht, nämlich gar nicht so düster, wie Menschen oftmals meinen, die einen mangelhaften Status Quo verteidigen wollen.
Professoren wie David Zellhöfer schreiben keine mehr als 100-seitigen Gutachten, nur um stumpfe Kritik an Vorhaben wie dem Datenatlas zu äußern. Es geht auch in als harsch wahrgenommener Kritik um Impulse, Dinge besser zu machen. Das Infragestellen veralteter IT-Systeme in der Verwaltung und kritische Fragen zur IT-Sicherheit sind, auch wenn sie als hart empfunden werden, Fragen danach, wie unsere gemeinsame digitale öffentliche Daseinsvorsorge besser werden kann. Ethischen Hacker*innen, die sich Tage und Nächte Zeit nehmen, Sicherheitslücken in fremden Systemen zu finden und zu dokumentieren, geht es nicht ums Kaputtmachen, es geht darum, dass Systeme nicht von anderen, bösartigen Mächten angegriffen werden können.
Diese Erkenntnis ist oftmals nicht so einfach, sie ist aber der erste Schritt zu einem stressfreien digitalen Zusammenleben.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Wenn Behörden nicht mehr benötigte Domains aufgeben, kann das zu Problemen führen: Die vormals staatlich genutzten Adressen sind attraktiv und lassen sich für Desinformation nutzen. Einheitliche Regeln für den Umgang mit den Domains hat der Bund nicht. Auch ein Überblick fehlt.
Im Hintergrund sind Domains, die Bundesinstitutionen nutzen. Aber was, wenn sie nicht mehr gebraucht werden? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Karten: Thilak Lees, Liste von Domain: https.jetzt
Wenn eine Behörde einen anderen Namen bekommt, verursacht das jede Menge Aufwand: Vom Hinweisschild bis zum Briefpapier müssen viele Details aktualisiert werden. Nicht zuletzt bekommen die Ämter dann meist auch eine neue Domain.
So lief es auch beim BAMF, dem Bundesamt für Migration und Flüchtlinge. Bis 2005 hieß die Asylbehörde noch Bundesamt für die Anerkennung ausländischer Flüchtlinge, kurz: BAFl. Der neue Name sollte widerspiegeln, dass das jetzige BAMF auch für Migration und Integration zuständig ist und sich seine Aufgaben erweitert hatten. Und so wechselte das Bundesamt auch die Adresse, unter der es im Netz erreichbar war.
Aus bafl.de wurde bamf.de. Noch einige Jahre nach der offiziellen Umbenennung, mindestens bis zum Jahr 2013, leitete die alte Domain Besucher:innen auf die neue BAMF-Seite weiter. Doch irgendwann stieß der Bund die nicht mehr benötigte Web-Adresse ab. Der neue Name hatte sich längst etabliert. Die alte Domain geriet in Vergessenheit.
Hartnäckige Altlasten
Wenn öffentliche Stellen Domains aufgeben, kann das zum Problem werden. Denn die alten Domains verschwinden nicht völlig. Nachrichtenmedien, wissenschaftliche Papiere oder Adresslisten von Vereinen und Verbänden verlinken auf die früheren Behörden-Websites, lange über deren aktive Nutzung hinaus. In Suchmaschinen sind sie leicht zu finden. Sie genießen Vertrauen.
Gerade diese Faktoren machen abgelegte Adressen staatlicher Stellen zum attraktiven Ziel für Aufmerksamkeitssuchende oder gar Betrüger. Unter den Domains früherer Behördenseiten finden sich heute Werbung für illegales Glücksspiel, Casinos und Schadsoftware. Und manchmal schaffen es staatliche Stellen auch nach mehreren Jahren nicht, alle Abhängigkeiten von den längst verlassenen Domains aus ihren Systemen zu entfernen.
Letzteres auch beim BAMF, das seit 20 Jahren nicht mehr BAFl heißt. Auf der alten Domain passierte lange nichts, bis sich ab August 2022 vorübergehend eine andere Website unter bafl.de fand.
Ein neues BAFl taucht auf
Die Website, die über Asyl informierte und sich angeblich für vertriebene Familien engagierte, wirkt eigenartig. Ein Impressum gab es nicht, die Bilder stammten teils aus kostenlosen Stockfoto-Datenbanken. Verlinkungen erschienen wahllos, aber nicht irreführend. Die Beschreibungen der vermeintlichen Teammitglieder, etwa Mike als „Praktikantin für digitales Eigenkapital“, irritieren. Eine seltsame, aber offenbar nicht schädliche Website.
Dieser Inhalt war zwischenzeitlich unter der Domain bafl.de zu finden. - Screenshot: archive.org
Im Sommer 2025 lief die Domainregistrierung erneut aus. Wer auch immer bafl.de zuvor kontrollierte, legte offenbar keinen Wert darauf, die Seite weiterzuführen. Der IT-Sicherheitsforscher Tim Philipp Schäfers nutzte diese Gelegenheit und holte sich Ende August die Domain bafl.de. Er wollte wissen, ob noch Aufrufe an die Domain gehen.
Aufrufe an längst vergangene Systeme
Zu Schäfers Überraschung gab es solche Aufrufe und zwar aus den Netzen von Bundesbehörden. Von dort erreichten täglich Anfragen bafl.de, das sich nun unter seiner Kontrolle befand. Schäfers meldete sich beim CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Er vermutete, interne IT-Systeme könnten weiter automatisiert Signale an bafl.de senden, etwa durch eine Fehlkonfiguration. Das CERT ist eine Anlaufstelle, wenn es zu IT-Sicherheitsproblemen kommt. Das CERT antwortete ihm, die Meldung erhalten zu haben und sie an die zuständigen Stellen weiterzuleiten. Auf Anfrage von netzpolitik.org bestätigt ein Sprecher des BSI, „einen entsprechenden Hinweis binnen 24 Stunden an die zuständige Behörde weitergeleitet“ zu haben. Doch die Anfragen an Schäfers Domain hörten nicht auf, zwei Wochen später fragte Schäfers erneut nach.
Ende Oktober, einen Monat nach der ersten Meldung an das CERT, meldete sich nun das BAMF selbst zurück, bedankte sich für den Hinweis und beteuerte, der Sache nachgehen zu wollen. Man nahm die Sache offenbar ernst. Auch ein Sprecher des BAMF bestätigt das gegenüber netzpolitik.org:
Das BAMF teilt die Einschätzung des Sicherheitsforschers Herrn Schäfers, dass ein fortbestehender Verweis (Verwendung einer Domain außerhalb der Kontrolle der Behörde) auf ehemalige Domains ein Sicherheitsrisiko darstellt.
Die Aufrufe hören einfach nicht auf
Man könne Gefahren und Missbrauch dadurch begegnen, „dass keine Dienste mehr eine ehemalige Domain oder Sub-Domain wie bafl.de verwenden“, so der Sprecher weiter. Daher habe das BAMF „eine Löschung von bafl.de aus allen Konfigurationen durch ITZBund“ veranlasst. Das „Informationstechnikzentrum Bund“ ist zentraler IT-Dienstleister für die Bundesverwaltung und verwalte, so ein Sprecher der Asylbehörde, in der Regel Domains im Auftrag der jeweiligen Behörden.
Doch nach außen hin passierte nicht mehr viel. Selbst nach der Presseanfrage an das BAMF reißen die regelmäßigen Anfragen nicht ab. Seit September 2025 habe es tausende solcher Anfragen gegeben. „Einige finden täglich und automatisiert statt, andere offenbar durch manuelle Pings oder Anfragen an IT-Systeme“, schreibt Schäfers in seiner Analyse.
Was ist das Risiko, wenn ein Dienst aus den Netzen von Bundesbehörden offenbar wiederholt versucht, eine nicht mehr kontrollierte Domain zu erreichen? Schäfers sieht darin ein mehrstufiges Problem. Angreifende könnten versuchen, durch die beständigen Anfragen auszuforschen, wie die interne IT-Infrastruktur aufgebaut ist. Und wenn sie passende Antworten auf die Anfragen geschickt hätten, wäre es vielleicht sogar möglich gewesen, Systeme zu manipulieren.
Lieber reservieren als riskieren
Der Sicherheitsforscher sagt gegenüber netzpolitik.org: „Im Fall von bafl.de wurde die Domain über 10 Jahre aktiv genutzt und ist – offenbar bis zum heutigen Tage – tief in den IT-Systemen des BAMF verankert.“ Dass eine Domain einfach abgestoßen wird und somit für Dritte nutzbar ist, wenn in internen Systemen weiter Verweise auf die Adresse existieren, kann er nicht nachvollziehen: „Eine solche Domain sollte man erst dann freigeben, wenn man absolut sichergestellt hat, dass sie intern auf keinem System mehr verwendet wird oder sicherheitshalber reserviert halten, wenn man das nicht garantieren kann.“ Auch ein Sprecher des BAMF schreibt: „Es ist erforderlich, nicht mehr genutzte Domains aus Sicherheitsgründen weiter zu registrieren.“ Passiert ist das bei bafl.de offenbar nicht.
Doch wenn Bundesbehörden Domains aufgeben, lauern darin nicht nur potenzielle Gefahren für die IT-Sicherheit der Systeme. Gerade wenn Domains mehrere Jahre von Behörden genutzt wurden oder zu bekannten Kampagnen gehörten, ergeben sich große Risiken für Desinformation, Phishing oder Betrug. Dass das kein theoretisches Szenario ist, zeigt die Antwort der Bundesregierung auf eine Kleine Anfrage der Linken-Abgeordneten Donata Vogtschmidt.
Dort benennen mehrere Ministerien, dass vormals durch ihnen zugeordnete Behörden genutzte Domains mittlerweile von Dritten registriert wurden, die sie für unerwünschte Zwecke nutzen.
Wettanbieter statt Landwirtschaft
Ein Beispiel ist eine Website, die bis 2020 von der Fachagentur Nachwachsende Rohstoffe (FNR) für das Landwirtschaftsministerium betrieben wurde. Sie diente der Information über sogenannte Energiepflanzen, die beispielsweise für die Biogas-Produktion angebaut werden. Wer heute die Domain besucht, erhält auf den ersten Blick weiterhin Informationen über entsprechende Biomassenutzung, doch in den Webauftritt mischen sich Links zu Glücksspiel- und Wettanbietern.
Neben vermeintlichen Infos zu Energiepflanzen finden sich Links zu Online-Casinos. - Screenshot
„Aktuell verlinkt die Domain auf eine missbräuchliche abgewandelte Abbildung der damaligen FNR-Webseite“, schreibt die Bundesregierung dazu. „Hiergegen konnte bislang nicht erfolgreich vorgegangen werden“, heißt es weiter.
Das ist kein Einzelfall, auch das Bundesinstitut für Öffentliche Gesundheit (BIÖG) kämpft mit ungenutzten Domains. Besser bekannt ist die Behörde im Geschäftsbereich des Gesundheitsministeriums vermutlich noch unter ihrem alten Namen, bis Februar hieß sie Bundeszentrale für gesundheitliche Aufklärung und startete immer wieder reichweitenstarke Informationskampagnen, von Suchtprävention bis zur Verhütung sexuell übertragbarer Krankheiten.
Casino-Werbung statt Impf-Kampagne
Für viele dieser Kampagnen registrierte man eigene, einprägsame Domains und gestaltete bunte Websites. „Das Impfbuch“ etwa sollte in der Corona-Pandemie mit Beiträgen des populären Arztes und Fernsehmoderators Eckart von Hirschhausen die Bevölkerung zu Impfungen informieren. Mittlerweile lassen sich über die Domains Wettanbieter finden, die in Deutschland gesperrten Spieler:innen dennoch das Wetten erlauben. Dasselbe gilt für weitere drei Domains, die das BIÖG untersuchte: Sie „führen auf optisch und inhaltlich gleichartige Seiten, die möglicherweise illegale Inhalte zu Online-Glücksspiel enthalten“. Und zwei dieser Seiten geben vor, dass weiterhin die Bundeszentrale für gesundheitliche Aufklärung hinter den Inhalten stecke.
Hier gab es früher Impf-Informationen aus der Bundeszentrale für gesundheitliche Aufklärung. - Screenshot
Offenbar fielen die Seiten erst durch die Kleine Anfrage auf und wurden nun dem Justiziariat der Behörde „zur Prüfung rechtlicher Schritte gemeldet“.
Schadsoftware statt Kinderlieder
Eine andere der Seiten verteilt auch Schadsoftware. Sie gehörte zu einer Initiative, die vor 15 Jahren mit kindgerechten Liedern Themen wie Liebe, Körpererfahrungen und Sexualität aufbereiten wollte. Die heute zugehörige Seite werde „durch die Netze des Bundes (NdB) blockiert, da diese Domain offenbar auf eine Seite weiterleitet, die Schadcode verbreitet“, schreibt die Bundesregierung.
Außer dem Landwirtschafts- und dem Gesundheitsministerium hat kein anderes Ressort der Bundesregierung Domains gemeldet, die nach der eigenen Nutzung von Dritten und missbräuchlich genutzt würden. „Fehlanzeige“, heißt es in der Antwort. Diese Ergebnislosigkeit irritiert. Dass es hier tatsächlich keinerlei Funde gibt, ist nicht plausibel. Allein die eingangs genannte frühere BAMF-Domain bafl.de ist ein Beispiel aus dem Geschäftsbereich des Innenministeriums und war den entsprechenden Stellen zum Zeitpunkt der Anfrage bekannt.
Fragestellerin Donata Vogtschmidt, Obfrau im Digitalausschuss für die Linksfraktion und Sprecherin für Digitalpolitik, kann das nicht verstehen: „Das Totalversagen bei der Sicherung eines vertrauenswürdigen und resilienten Webauftritts der Bundesregierung ist äußerst irritierend“, so die Abgeordnete. „Es vergeht kaum ein Tag, an dem die Bundesregierung nicht vor der hybriden Bedrohung warnt, auch von höchster Stelle.“ Dafür gebe es auch immer wieder „großspurige“ Ankündigungen wie den Cyberdome oder mehr KI-Nutzung. „Aber einfach mal den Webauftritt des Bundes gegen Desinformation resilient machen, scheint keine Rolle zu spielen“, kritisiert Vogtschmidt die Prioritäten der Bundesregierung.
Um systematisch zu untersuchen, wie groß das Problem ist und ob böswillige Akteure gezielt alte Bundes-Domains kaufen, müsste man wissen, welche Domains es überhaupt gibt – und welche in den vergangenen Jahren aufgegeben wurden.
Welche Bundes-Domains es gibt, bleibt geheim
Doch wie viele Domains überhaupt in Bundeshand befinden und welche Kosten damit verbunden sind, will die Bundesregierung nicht offenlegen. Sie stuft ihre Antwort dazu als Verschlusssache ein und argumentiert, eine Liste könne die Sicherheit der Bundesrepublik Deutschland gefährden. Die Informationen seien geeignet, Systeme etwa mit DDOS-Attacken anzugreifen, sie also durch gezielte massenhafte Anfragen zu überlasten.
Die schiere Menge der Domains, die sich in Bundeshand befanden oder befinden, lässt sich aus punktuellen öffentlichen Angaben daher nur schätzen. So gab es vor rund zehn Jahren systematisch Informationsfreiheitsanfragen. Viele angefragte Stellen lehnten eine Beantwortung ab. Aus den Antworten lassen sich jedoch Größenordnungen erahnen. So hielt allein der Deutsche Wetterdienst im Jahr 2015 fast hundert verschiedene Domains, das Bundesverwaltungsamt 44 unterschiedliche Adressen und das damalige Bundesministerium für Arbeit und Soziales kam auf 295 Domains. Dieser kleine, eine Dekade alte Ausschnitt zeigt, dass es sich bezogen auf alle Bundesbehörden leicht um Tausende Domains handeln dürfte, die Inhalte staatlicher Stellen enthalten oder enthielten. Mehr als 600 listet ein Projekt von robbi5 auf Github.
Schäfers schreibt gegenüber netzpolitik.org, Geheimhaltung sei beim Umgang mit Domains der falsche Ansatz. Ausschließlich intern genutzte Domains müsse man nicht für die Allgemeinheit listen. Aber in der Regel seien viele Domains durch öffentliche Nutzung oder Archivseiten ohnehin sichtbar. „Gleichzeitig erschwert vollständige Geheimhaltung internes Inventar-Management, externe Transparenz und Sicherheitsforschung“, so der Sicherheitsforscher. „Aus meiner Sicht ist ein Geheimhaltungsansatz nicht mehr zeitgemäß und schadet eher, als das er hilft.“
Wer macht Regeln für die Registrierung?
Wesentlich effektiver als Geheimhaltung sei „ein gutes Lifecycle-Management, starke Authentifizierung und Monitoring, um Missbrauch zu verhindern“. Doch Regeln dazu, wie Bundesbehörden mit nicht mehr benötigten Domains umgehen sollten, scheint es trotz der Dimension staatlicher Domainverwaltung nicht zu geben. „Es sind keine entsprechenden Vorschriften bekannt“, schreibt die Bundesregierung in ihrer Antwort. Die Zuständigkeit dafür, etwa Desinformation durch die gezielte Registrierung von Domains zu unterbinden, liege bei der jeweiligen Behörde.
Auch das BSI antwortet auf Anfrage, dass innerhalb seines Zuständigkeitsbereiches entsprechende Vorschriften nicht bekannt seien. Das Bundesamt empfiehlt jedoch: „Aus Sicht des BSI besteht bei sogenannten Vertipper-Domains und vergleichbaren Fällen das Risiko eines Datenabflusses. Bei nachgewiesenem Missbrauch sollte daher die Übernahme der Domain durch die jeweilige Behörde verfolgt werden.“
Um das Problem der ständig wechselnden Domain-Inhaber zu vermeiden, könnten Bundesinstitutionen auch Subdomains von bund.de nutzen. So sind die Ministerien des Bundes in der Regel unter „kürzel.bund.de“ erreichbar, das Gesundheitsministerium also zum Beispiel unter bmg.bund.de. Auch andere Inhalte lassen sich als Unterseiten der Bundes-Domain ansteuern, so das Infektionsradar des Gesundheitsministeriums oder die Login-Seite zur BundID. So können Nutzende schnell erkennen, dass es sich um ein echtes staatliches Angebot handelt.
Damit auch Internetauftritte von Ländern und Kommunen besser als solche erkennbar sind, gibt es seit 2024 die „Digitale Dachmarke“ für Deutschland. Sie besteht aus vier Kennzeichnungselementen: einer Website-Kopfzeile, die eine Seite als „offizielle Website“ kennzeichnet, ein dedizierter Bundesadler mit dem Schriftzug „Bund Länder Kommunen“ als Bildwortmarke, ein einheitliches Designsystem sowie ein Domainname, der auf „gov.de“ endet. Nicht alle diese Elemente müssen gleichzeitig genutzt werden, sie sollen jedoch helfen, einen Vertrauensanker zu markieren. Um die Informationen auf den Seiten als verlässlich einzustufen oder auch bevor man sensible Daten dort eingibt.
gov.de soll Vertrauen schaffen
Noch befindet sich das Projekt, so die Bundesregierung, in der Pilotierung. Nur wenige Angebote nutzen die Möglichkeit, eine Subdomain von gov.de zu beziehen. Dazu gehören das Digital- und das Verteidigungsministerium sowie der IT-Planungsrat und die Föderale IT-Kooperation FITKO. Die Website des „Veteranentags 2025“ erreicht man ebenfalls so. Eine Subdomain, um die PIN des Personalausweises zurückzusetzen, ist unter „pin-ruecksetzbrief-bestellen.gov.de“ schon vergeben, auch wenn der Inhalt der Seite auf sich warten lässt. Ab 2026, heißt es in der Antwort, soll jedoch der breitere Roll-out des Vorhabens erfolgen.
Der Digitalpolitikerin Donata Vogtschmidt von den Linken geht das nicht schnell genug. „Die Umsetzung hinkt und ist keine Pflicht, was dem Zweck widerspricht“, schreibt sie in einer Pressemitteilung. „Wer Desinformation verbreiten will, hat leichtes Spiel, und der Bundesregierung scheint die Bedeutung der Domains des Bundes nicht klar zu sein.“
Andernorts ist die konsequente Nutzung von Subdomains für staatliche Angebote deutlich etablierter. In Österreich etwa sind viele öffentliche Angebot als Subdomain von gv.at abrufbar, wer diese wie nutzen darf, ist klar geregelt. Ähnlich ist es in Großbritannien mit „gov.uk“ und in vielen anderen Ländern. Für zurückliegende Registrierung ist das zwar keine Lösung. Aber für unzählige weitere Domains, die im Laufe von Infokampagnen, Namenswechseln oder neuen Behörden künftig nötig werden, könnte das viele Probleme von Anfang an vermeiden.
Korrektur: Es hieß irrtümlich, die Anfragen würden aus den Netzen des Bundes kommen, es handelt sich aber um Netze von Bundesbehörden.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die schwarz-rote Koalition im Land Berlin setzt ihre „Law & Order“-Politik weiter fort. Nun sollen Videoüberwachung und der Einsatz von Staatstrojanern bei der Polizei ausgeweitet werden.
CDU und SPD wollen die Polizei im Land Berlin mit mehr Befugnissen ausstatten. Nach Informationen des RBB haben sich die Koalitionäre am vergangenen Wochenende auf eine Novelle des Berliner Polizeigesetzes geeinigt. Die Verschärfung des Allgemeinen Sicherheits- und Ordnungsgesetzes (ASOG) steht in einer Reihe mit zahlreichen Maßnahmen, mit denen in der Hauptstadt mehr Überwachung eingeführt und Grundrechte abgebaut werden sollen.
Laut dem RBB-Bericht soll das neue Polizeigesetz an verschiedenen Punkten mehr Überwachung bringen. So will die Koalition Videoüberwachung an sogenannten kriminalitätsbelasteten Orten, zu denen in Berlin auch Parks gehören werden, dauerhaft legalisieren. Zusätzlich zu dieser Form der Überwachung soll in Zukunft auch die automatische Erkennung von Verhaltensmustern mittels „Künstlicher Intelligenz“ erlaubt werden. Bei den Berliner Verkehrsbetrieben sollen Aufnahmen aus der Videoüberwachung in Zukunft 72 statt 48 Stunden aufgehoben werden dürfen.
Bei der Telekommunikationsüberwachung soll die Nutzung von Staatstrojanern durch die Polizei ausgeweitet werden. Der verstärkte Einsatz der Hacking-Tools, mit denen Behörden heimlich IT-Geräte wie Smartphones infiltrieren und überwachen können, hatte sich schon im Koalitionsvertrag angekündigt. Bereits seit 2017 darf jede Polizei in Deutschland Staatstrojaner wie eine normale Telefonüberwachung einsetzen. In der Novelle geht es nun darum, dass die Polizei die Hacking-Werkzeuge bereits zur Abwehr von Straftaten nutzen soll – also schon, bevor eine Straftat begangen wurde.
Kritik daran kommt aus der Opposition von Linken und Grünen. „Statt die Alltagsnöte der Polizei zu adressieren, werden mit der Novelle neue Befugnisse und Aufgaben geschaffen, die vor allem Sicherheit simulieren“, sagte der Grünen-Innenpolitiker Vasili Franco gegenüber dem RBB. Linken-Innenpolitiker Niklas Schrader wirft der Koalition laut dem Bericht vor, dass sie „jegliches Maß beim Schutz der Grundrechte verloren“ habe.
Grundrechtseinschränkungen in verschiedenen Bereichen
Zuletzt hatte die Berliner Koalition auch die Einführung des Staatstrojaners für den Landesverfassungsschutz auf den Weg gebracht und insgesamt bei der Novelle des Berliner Landesverfassungsschutzgesetzes Transparenz und Kontrolle zurückgefahren sowie die Befugnisse des Inlandsgeheimdienstes ausgebaut.
Auch an das Versammlungsrecht will die mittlerweile in der Wählergunst stark abgesackte Koalition ran. CDU und SPD haten sich eine Evaluation des bisher liberalen Berliner Versammlungsfreiheitsgesetzes in den Koalitionsvertrag geschrieben. Dies ist nun der Türöffner für mögliche Einschränkungen. Erklärtermaßen will die Koalition die „öffentliche Ordnung“ wieder als Grund ins Versammlungsgesetz aufnehmen, auf Basis dessen sich Demonstrationen einschränken lassen. Vertreter:innen der Koalition fordern, das „Versammlungsrecht so restriktiv ausgestalten, wie es das Grundgesetz zulässt“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
In wenigen Tagen beginnt die Pilotphase für die elektronische Patientenakte. Gesundheitsminister Lauterbach versichert, dass bis zu ihrem bundesweiten Start sämtliche Sicherheitsprobleme gelöst sind. Mit Gewissheit überprüfen lässt sich das nicht. Derweil wächst die Kritik aus der Ärzt:innenschaft.
Gesundheitsminister Karl Lauterbach (SPD) und Florian Fuhrmann, Geschäftsführer der gematik, auf Praxisbesuch in Köln. – Alle Rechte vorbehalten IMAGO / Political-Moments
Karl Lauterbach (SPD) ist offenbar schon in Feierlaune: „In der nächsten Woche beginnt Pilotphase. Fristgerecht, sicher. Nach 20 Jahren…“ verkündete der Bundesgesundheitsminister gestern nach einem Pressetermin in Köln. Lauterbach hatte in einer Arztpraxis die elektronische Patientenakte (ePA) präsentiert. „Die Daten der Bürger sind sicher“, so der Minister vor Ort. Gäbe es „auch nur ein Restrisiko für einen großen Hackerangriff“, würde die ePA „nicht ans Netz gehen“.
Der Gesundheitsminister bezog sich damit auf die Enthüllungen von zwei Sicherheitsforschenden auf dem 38. Chaos Communication Congress. Bianca Kastl und Martin Tschirsich hatten dort gleich mehrere Sicherheitslücken der „elektronischen Patientenakte für alle“ (ePA) präsentiert. Sie betreffen die Ausgabeprozesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende könnten aus der Ferne auf jede beliebige ePA zugreifen, so ihr Fazit.
Der Lackmustest für die ePA startet bereits in wenigen Tagen, wenn am 15. Januar die Pilotphase in Hamburg, Franken und Nordrhein-Westfalen beginnt. Mehr als 250 Arzt- und Zahnarztpraxen sowie Apotheken und Krankenhäuser setzen die ePA dann in ihrem Berufsalltag ein. Ab dann wird sich zeigen, ob es den Verantwortlichen tatsächlich gelungen ist, die ePA innerhalb weniger Wochen abzusichern.
Fest steht schon jetzt, dass es in der Vergangenheit ähnliche Versprechen gab, die sich als übereilt erwiesen. Und sicher überprüfen lassen sich die Versprechen des Bundesgesundheitsministers nicht. Denn eine unabhängige und belastbare Risikobewertung der ePA fehlt weiterhin. Auch deshalb haben Ärzt:innenverbände und die Opposition bislang nur wenig Vertrauen in die ePA. Manche fordern gar, dass Lauterbach „die Reißleine zieht“.
Gematik sieht erst jetzt Handlungsbedarf
Seit den Enthüllungen des CCC bemühen sich die politischen Verantwortlichen um Schadensbegrenzung – rhetorisch wie technisch. Das führt mitunter zu widersprüchlichen Aussagen. Einerseits werten sie die Sicherheitslücken als „theoretisches Problem“ und als „potenzielle Schwachstelle“. Andererseits beteuern sie, „mit Hochdruck“ an technischen Lösungen zu arbeiten, um diese Lücken zu schließen.
So bezeichnet die gematik die Angriffsszenarien des CCC als „nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen“. Die gematik definiert als „nationale Agentur für digitale Medizin“ unter anderem die technischen Standards für die ePA. Im November sagte gematik-Geschäftsführer Florian Hartge, dass die gematik den Start der ePA für alle – im Vergleich zur ersten ePA, des Kommunikationsdienstes KIM und des E-Rezepts – am besten vorbereitet habe.
Nach den Enthüllungen im Dezember hat die gematik nun nachbessern müssen. Dank eines Maßnahmenpakets, das die Agentur gemeinsam mit dem Bundesgesundheitsministerium (BMG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt habe, könne die ePA für alle nun „sicher von Praxen, Krankenhäusern, Apotheken und natürlich von Patient:innen genutzt werden“, so ein gematik-Sprecher gegenüber netzpolitik.org.
Dass die vom CCC aufgezeigten Sicherheitsprobleme der gematik vertraut sein sollten, verneint die Agentur auf Anfrage nicht. Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber hatte bereits im Oktober 2022 auf eine sehr ähnliche Sicherheitslücke hingewiesen wie die zuletzt demonstrierte. Diese technische Schwachstelle habe bis zum Dezember 2024 jedoch „keinen akuten Handlungsbedarf“ erfordert, so die gematik. Erst der Vortrag des CCC habe „eine neue Risikobetrachtung notwendig gemacht“.
Verzögerte Reaktion auf Sicherheitslücke
Hinzu kommt, dass die von Kastl und Tschirsich genutzte Sicherheitslücke auch einen anderen Fachdienst der gematik betrifft: das E-Rezept. Konkret geht es dabei um eine Schwachstelle im Versichertenstammdaten-Management (VSDM), das Apotheken für den Zugriff auf das E-Rezept nutzen, wie ein Sprecher der Bundesdatenschutzbeauftragten (BfDI) auf Anfrage von netzpolitik.org mitteilt. Mit ihr können Angreifende falsche Nachweise vom VSDM-Server beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt.
Nach eigenen Angaben informierten Kastl und Tschirsich die Agentur schon im vergangenen August über ihre Erkenntnisse. Doch erst vier Monate später reagierte die gematik mit einem Update. „Die Risiken, die wir auf dem Kongress in Hamburg demonstrierten, waren seit August bekannt. Aber erst mit dem praktischen Nachweis wird hektisch gehandelt“, so das Resümee von Martin Tschirsich in einem Interview mit der taz.
Der Sicherheitsforscher unterstreicht in dem Gespräch erneut, dass es für die ePA eine unabhängige und belastbare Risikobewertung brauche. Die gleiche Forderung haben Kastl und Tschirsich in ihrem Vortrag erhoben. Bislang aber haben weder das BMG, noch die gematik oder das BSI diese aufgegriffen.
Auch dem BSI sei das auf dem Chaos Communication Congress „vorgestellte Gesamtszenario“ nicht bekannt gewesen, so ein Sprecher auf Anfrage von netzpolitik.org. Das nun erstellte Maßnahmenpaket gegen die „potenzielle Schwachstelle“ begegne „sowohl auf technischer als auch organisatorischer Ebene Zugriffsversuchen durch nicht autorisierte Personen angemessen“.
Doch auch dem BSI sollte die Lücke nach den Warnungen des damaligen Bundesdatenschutzbeauftragten Ulrich Kelber ebenfalls vertraut gewesen sein. Dennoch versicherte das BSI im Juni vergangenen Jahres, die sicherheitstechnischen Anforderungen der ePA für alle gewissenhaft geprüft zu haben. „Diese Architektur garantiert ein angemessenes Sicherheitsniveau“, so das BSI damals.
Auch BSI-Präsidentin Claudia Plattner lobte die ePA im vergangenen Juni als „so sicher wie nur irgend möglich“. „Unsere Leute sind da mit der Zahnbürste drübergegangen“, so die Behörden-Chefin.
BMG: Nur noch „technische Kleinigkeiten“ lösen
Vor diesem Hintergrund ist es erstaunlich, wie zuversichtlich sich der Bundesgesundheitsminister derzeit gibt. Alle Baustellen, die für die Pilotphase relevant seien, habe man geschlossen, so Lauterbach. Während des Probelaufs könnten nur die für diesen registrierten Ärzt:innen auf die Daten ihrer Patient:innen zugreifen. Ein Missbrauch sei in dieser Zeit daher „völlig ausgeschlossen“.
Bis zum bundesweiten Rollout müsse man nur noch einige technische „Kleinigkeiten“ lösen, betont der Minister, im Zweifel brauche man „noch ein paar mehr Wochen“. Danach werde das BSI sicher „grünes Licht“ geben, so Lauterbach. Inzwischen ist auch der April als Startmonat für den Rollout im Gespräch.
Und der Minister denkt auch schon einen großen Schritt weiter. Patient:innen könnten ihre Gesundheitsdaten später dann auch in Verbindung mit sogenannter Künstlicher Intelligenz nutzen. „Das ist eine Art der Medizin, die man sich bisher noch gar nicht vorstellen kann“, so Lauterbach.
Ärzt:innen kritisieren Blindflug
Die Zuversicht des Gesundheitsministers teilen längst nicht alle. Vielmehr mehren sich in der Ärzt:innenschaft die Stimmen derer, die sich gegen die baldige Einführung der ePA aussprechen.
Der Präsident der Bundesärztekammer (BÄK), Klaus Reinhardt, sagte gegenüber dem Ärzteblatt, er könne seinen Patient:innen die ePA derzeit nicht empfehlen. Die möglichen Einfallstore seien zu groß, so Reinhardt.
Der Berufsverband Deutscher Psychologinnen und Psychologen (BDP) sowie dessen Fachsektion Verband Psychologischer Psychotherapeut*innen (VPP) prüfen derzeit, welche Empfehlungen sie ihren Verbandsmitgliedern in Zusammenhang mit ePA-Widerspruchsrechten unterbreiten, die „ethisch sinnvoll und rechtlich vertretbar“ sind. Die Verbände fordern „gesetzlich Versicherte transparent über bestehende Datenschutzrisiken aufzuklären und schließen sich den Forderungen von Sicherheitsexpert*innen nach einer ‚unabhängigen und belastbaren Bewertung von Sicherheitsrisiken‘ an.“
Noch deutlicher äußert sich der Präsident des Berufsverbands der Kinder- und Jugendärztinnen und -ärzte (BVKJ), Michael Hubmann. Er sei frustriert darüber, „wie die Verantwortlichen versuchen, eine für professionelle Angreifer leicht zu überwindende Datenlücke kleinzureden“. „Was wir hier erleben, ist nichts anderes als ein Blindflug“, so Hubmann. „Wenn der Chaos Computer Club ohne große Hürden auf alle ePAs zugreifen kann, ist es nur eine Frage der Zeit, bis andere das auch schaffen.“ Lauterbach müsse die Reißleine ziehen und ein sicheres System an den Start bringen.
Der Gesundheitsminister glaubt indes, dass sich diese Vorbehalte schon bald auflösen werden. „Ich bin ganz sicher“, sagte er auf dem gestrigen Pressetermin in Köln, „dass die Ärzteschaft, die Kinderärzte und die Ärztekammer die ePA empfehlen werden in dem Moment, wo wir in den Pilotregionen gezeigt haben, dass sie in der Praxis funktioniert und einwandfrei sicher ist.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Einem Sicherheitsforscher ist es gelungen, auf sensible Daten des Kita-Software-Anbieters KigaRoo zuzugreifen. Einmal benachrichtigt, handelte der Anbieter vorbildlich und schloss die Lücke umgehend. Der Fall zeigt, dass „Ethical Hacking“ die IT-Sicherheit verbessern kann – und warum eine Reform des Computerstrafrechts überfällig ist.
Die beim Anbieter KigaRoo liegenden Daten waren zeitweise ungenügend geschützt – auch Daten von Kindern. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Pond5 Images
Bei einem Anbieter von Software für Kindergärten, KigaRoo, ist es zu einem Sicherheitsvorfall gekommen. Über zwei Millionen Datensätze erwachsener Personen und von Kindern sollen praktisch ungeschützt im Netz gestanden haben. Das berichtet der Sicherheitsforscher Florian Hantke, der die Lücke entdeckt und an den Anbieter gemeldet hat. KigaRoo bestätigt den Vorfall und gibt an, die Sicherheitslücke inzwischen geschlossen zu haben.
KigaRoo bietet ein umfassendes Softwarepaket für Kindergärten an. Darüber lässt sich unter anderem die Mitarbeiterverwaltung abwickeln und Wartelisten für Kitaplätze verwalten. Eltern können in einem eigenen Bereich mit individuellen Zugangsdaten Details zu Kindern einsehen und etwa Abwesenheiten einstellen. Zu den Kunden zählen unter anderem die Kindertagesstätten von Villa Luna, Infanterix und Polifant.
Der Hersteller verspricht „jederzeit die größtmögliche Sicherheit Ihrer Daten“ und betont: „Niemand außer Ihnen, Ihren Mitarbeitern und freigeschalteten Bezugspersonen kann die jeweils von Ihnen individuell freigegebenen Daten Ihrer Einrichtung einsehen.“
IDs hochzählen
Offenkundig war dies bis vor Kurzem nicht der Fall. Eingeloggt mit einem kostenlosen Testaccount ließen sich über den Aufruf bestimmter URLs potenziell massenhaft Daten abziehen. „Die Schwachstellen betrafen insbesondere fehlende oder fehlerhafte Autorisierungsprüfungen“, sagt Hantke. Anders gesagt: Wer das Format der URLs kannte oder erraten hatte, musste einfach nur die Nutzer-ID ändern, um Zugriff auf den jeweiligen Datensatz zu erhalten.
Solche Abfragen ließen sich mit beliebigen IDs durchführen, die aus einer siebenstelligen Zahl bestanden. „Da alle genannten IDs numerisch waren und dadurch einfach hochgezählt werden konnten, ließen sich so vermutlich Daten aller Nutzer und Nutzerinnen abgreifen“, sagt Hantke. Dies habe Kontaktdaten, Adressen, Bankdaten und mehr beinhaltet, so der Sicherheitsforscher.
Dem Unternehmen hat Hantke die Lücke am vergangenen Samstag gemeldet, geschlossen wurde sie noch am Wochenende. „Für mich ist es in solchen Fällen besonders wichtig, die Schwachstellen schnell zu melden, damit sie umgehend behoben werden können“, sagt Hantke. Umso mehr habe er sich gefreut, dass „die betroffene Firma professionell reagiert hatte und nur wenige Stunden nach meiner Meldung die Schwachstellen behob.“
Aufsichtsbehörde bestätigt geschlossene Lücke
Vorschriftsgemäß hat das Unternehmen am Montag der Hamburgischen Datenschutzbehörde eine Data-Breach-Meldung geschickt, bestätigt die Aufsichtsbehörde. Es habe sich um eine klassische IDOR-Lücke (Insecure Direct Object Reference) gehandelt, so die Datenschutzbehörde. Ihr Technik-Referat konnte verifizieren, dass der Softwarefehler behoben wurde. Zusätzlich habe KigaRoo die IDs (Identifier) gegen UUIDs (Universally Unique Identifier) ausgetauscht, was das Erraten erschwere, führt eine Sprecherin aus.
„Sollte also eine erneute Fehlkonfiguration der Zugriffe eintreten, kann nicht durch bloßes Erraten einer ID der gesamte Datenraum ausgelesen werden“, sagt die Sprecherin. „Mit diesen beiden Verbesserungen wird eine solche Lücke für die Zukunft ausgeschlossen.“
Konkret betroffen war der Bereich zu Datenschutzauskünften. Damit können Nutzer:innen seit der Datenschutz-Grundverordnung die Daten anfordern, die der Anbieter von ihnen gespeichert hat. Über die passende URL ließen sich solche Auskünfte beliebiger Eltern-Nutzer:innen abrufen, sagt Hantke. Anfällig für solche unautorisierten Abfragen waren ferner die Pfade für Mitarbeiter:innen sowie die für Kinder.
Hunderttausende Accounts abrufbar
„Anhand der ID lässt sich abschätzen, dass es sich um ca. 1.290.000 Datensätze erwachsener Personen und 846.00 Datensätze von Kindern gehandelt hat, die den Bezug zu der Einrichtungsstätte plus Kontaktdaten, Adressen, Bankdaten, Flüchtlingsstatus und ähnliches beinhaltet haben“, sagt Hantke. Es sei allerdings denkbar, dass sich darunter auch Test-Accounts befunden hätten.
Wie viele Personen tatsächlich betroffen waren, lässt sich nachträglich nur schwer sagen. Entwarnung gibt es jedenfalls bei möglichen Zugriffen. Der Hamburgischen Datenschutzbehörde zufolge habe es außer dem Zugriff durch den Sicherheitsforscher keine weiteren Zugriffe auf die Daten gegeben. Dies wurde der entsprechenden Kita gemeldet. „Dort handelt es sich um drei Datensätze“, sagt die Sprecherin.
Gegenüber netzpolitik.org gibt KigaRoo an, „definitiv ausschließen“ zu können, dass es zu unberechtigten Zugriffen auf den Datenbestand gekommen ist. Zudem betont das Unternehmen, dass „keinerlei Daten offen“ standen – weil eben ein Test-Account notwendig war (KigaRoo nennt diese Accounts „Admin-Accounts“). „Die gemeldete Schwachstelle hätte potenziell Zugriff auf Auszüge einzelner in KigaRoo erfasster Personendatensätze ermöglicht, dies allerdings nur über den Umweg eines weiteren Admin-Accounts“, sagt eine Unternehmenssprecherin.
Sicherheitsforscher Hantke hält dies für eine „unklare Formulierung“. Zwar stimme es, dass man mit dem einmaligen Ändern der ID nur Zugriff auf einen anderen Datensatz hatte, so Hantke. „Es spricht aber natürlich nichts dagegen, die ID mehrmals zu ändern und mehrere Requests zu schicken, um am Ende alle IDs durchzugehen.“
Ebenfalls nicht ausreichend abgesichert waren die Bereiche zu Benachrichtigungen und zu sogenannten Tasks. Über letztere ließen sich Aufgaben mit detaillierten Beschreibungen abrufen, etwa Informationen zu einem Kind. Offen standen zudem die Kalendereinträge beliebiger Kindertagesstätten, die sich als .ics-Datei herunterladen ließen.
Rechtliche Grauzone
Bei Kitas macht das Problem indes nicht Halt, betont Hantke. „Gerade im Kontext der bevorstehenden Bundestagswahl halte ich es für wichtig, immer wieder auf die Gefahren von mangelhafter IT-Sicherheit und auf die Bedeutung von ethischen Hackern aufmerksam zu machen.“ Als „Ethical Hacking“ gilt die Praxis, Sicherheitslücken aufzudecken und zu schließen, anstatt sie beispielsweise für Ransomware-Attacken oder Wirtschaftsspionage auszunutzen.
Rechtlich handelt es sich in Deutschland seit Jahren um eine Grauzone. Forscher:innen, die auf eigene Faust Sicherheitslücken entdecken und melden, riskieren, sich strafbar zu machen. So handelte sich etwa die Sicherheitsforscherin Lilith Wittmann zunächst eine Anzeige ein, nachdem sie eine Sicherheitslücke bei der CDU entdeckt und gemeldet hatte.
Eigentlich hatte sich die mittlerweile geplatze Ampelkoalition vorgenommen, die umstrittenen Hackerparagrafen zu reformieren. Über einen erst im Oktober vorgelegten Gesetzentwurf kam sie jedoch nicht hinaus. „Angesichts der zunehmenden Bedeutung digitaler Angriffe und Spionage muss dieses Thema von einer neuen Regierung dringend angegangen werden“, fordert Hantke.
„Ethical Hacking“ verbessert IT-Sicherheit
Persönlich halte er es für einen gesellschaftlichen Gewinn, wenn jemand Schwachstellen in Anwendungen aufdeckt und verantwortungsvoll darauf hinweist, sagt Hantke. „Es ist mir deutlich lieber, ich finde und melde eine Schwachstelle, als dass ein Darknet-Händler sonst was mit den Daten anstellt. Leider kenne ich auch einige Personen, die aus Angst vor rechtlichen Konsequenzen lieber die Augen verschließen oder eine gefundene Schwachstelle nicht melden.“
Der Kita-Fall zeigt, dass es auch anders laufen kann – geradezu vorbildlich. „Wir danken für den Hinweis und schätzen sein Engagement sehr“, sagt die KigaRoo-Sprecherin über den Sicherheitsforscher.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Warten – auf die IT-Sicherheit und den Amtstermin. – Alle Rechte vorbehalten IMAGO / Shotshop
Einfach online einen neuen Personalausweis anfordern, den Wohnsitz ummelden oder Kindergeld beantragen: Das Onlinezugangsgesetz (OZG) von 2017 soll all das möglich machen – und zwar schon bis Ende 2022. Fast 600 Verwaltungsleistungen von Kommunen, Ländern und Bund sollen bis dahin digital zur Verfügung stehen, einfach zugänglich über einen Portalverbund. Das Ende von ausgebuchten Bürgerämtern und langen Schlangen.
IT-Sicherheit ist für die digitalisierten Verwaltungsleistungen wichtig, denn es werden jede Menge persönliche Daten verarbeitet. Doch mit der zugehörigen IT-Sicherheitsverordnung hat sich das zuständige Bundesinnenministerium Zeit gelassen. Sie definiert, welche Sicherheitsstandards bei der Umsetzung der Dienste zu erfüllen sind. Erst am 20. Januar trat sie in Kraft. Bis zur Umsetzungsfrist des OZG ist es also – in Verwaltungszeiträumen gesprochen – nicht mehr lange.
Angeflanschte Sicherheit
Einige der genannten Verwaltungsleistungen sind bereits digitalisiert, etwa die Arbeitslosmeldung. Bestimmte Grundregeln galten natürlich trotzdem, etwa die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum IT-Grundschutz. Aber die Systeme wurden entwickelt, bevor die konkreteren Vorgaben aus der Verordnung bekannt waren. IT-Sicherheitsexpert:innen kritisieren diese Reihenfolge.
„IT-Sicherheit kann man nicht nachträglich an ein System anflanschen. Sie muss von Anfang an mitgedacht werden, sonst bleibt sie ein Furunkel“, sagt Manuel Atug von der AG KRITIS, einer unabhängige Arbeitsgruppe, die sich für die IT-Sicherheit von Kritischer Infrastruktur wie Verwaltung und Energieversorgung stark macht. Atug arbeitet selbst seit über 23 Jahren in dem Bereich, er berät Unternehmen und auditiert IT-Systeme.
Schon 2020 hatte die AG KRITIS beim BMI nachgefragt, wie der Stand der IT-Sicherheitsverordnung ist. Damals war etwa Halbzeit für die Umsetzung des Gesetzes, aber offenbar lag nicht mal ein Entwurf vor. Warum hat es so lange gedauert? Trotz mehrmaliger Nachfrage haben wir auf diese Frage vom Innenministerium leider keine Antwort erhalten.
Dass Sicherheitsvorgaben erst nachträglich festgelegt werden, widerspricht dem Prinzip „Security by Design“. Das bedeutet, dass IT-Sicherheit schon bei der Konzeptionierung und Entwicklung eines Produktes mitgedacht werden soll – und nicht erst hinterher. Das Innenministerium und das ihm unterstellte Bundesamt für Sicherheit in der Informationstechnik (BSI) betonen das selbst. Im Lagebericht des BSI zur IT-Sicherheit 2018 heißt es etwa: „Dabei muss die Sicherheit der eingesetzten Systeme in der staatlichen Verwaltung, in der Wirtschaft und beim Endanwender durch ’security by design‘ und ’security by default‘ von vornherein gewährleistet sein.“ Außerdem: „Deutschland muss in dieser Frage eine Vorreiterrolle einnehmen.“
Schneller Umbau?
Es stellt sich die Frage, ob die bereits vorhandenen digitalen Dienstleistungen nun schnell umgebaut werden müssen. Laut der Verordnung haben die Verantwortlichen dafür Zeit. Bereits aktive Systeme oder solche, die bis Mitte 2022 in Betrieb genommen werden, dürfen von den Vorgaben abweichen – bis Ende 2022 oder „in begründeten Fällen“ sogar bis Januar 2024. Also zwei Jahre lang. Was solche Gründe für die Verlängerung sein können? Auch darauf haben wir bisher keine Antwort erhalten.
„Selbst wenn man nur einen Zettel ausfüllt, hat man die Vorgaben bis 2024 eingehalten“, kritisiert Atug. Damit meint er die vorgegebenen Selbsterklärungen. Darin sollen die Verantwortlichen auf einer Art Checkliste ausfüllen, welche Vorgaben der Verordnung und der konkretisierenden Technischen Richtlinien sie bereits umgesetzt haben. „Es sollte mittlerweile allgemein bekannt sein, dass wenn Leute ihre eigene Leistung bewerten sollen, sie wohl kaum dokumentieren, dass diese nicht zu ausreichenden Ergebnissen geführt hat“, schätzt die AG KRITIS die Selbstauskunft ein.
Nicht nur am Prozess, auch an der Ausgestaltung der Sicherheitsverordnung haben die Experten einiges zu bemängeln. Die alle drei Jahre vorgeschriebenen Penetrationstest für Systeme, die Schnittstellen zum Internet haben, seien zu wenig. Die vier Technischen Richtlinien, auf die die Verordnung etwa in Zusammenhang mit Nutzerkonten verweist, würden nicht genug Fragen abdecken.
IT-Sicherheit „mit Augenmaß“
Dass es hier nicht um das größtmögliche Maß an Sicherheit geht, legt auch eine Pressemitteilung zur neuen IT-Sicherheitsverordnung nahe: „Ein einheitliches Sicherheitsniveau ist wichtig für das Vertrauen der Bürgerinnen und Bürger sowie Unternehmen in staatliche Dienstleistungen“, heißt es dort von Bundes-CIO Markus Richter. Die Umsetzung des OZG ist unter den „innovativen Vorhaben“ seines Ressorts aufgeführt. Er sagt aber auch: „Genauso wichtig ist, dabei Augenmaß zu wahren und die mit großen Schritten voranschreitende OZG-Umsetzung nicht ohne Grund zu belasten“.
Angesichts der immer wieder auftretenden IT-Sicherheitsvorfälle in deutschen Verwaltungen verwundert diese Prioritätensetzung. Nach einem Ransomware-Befall im Landkreis Anhalt-Bitterfeld im Juli ist die dortige Datenwiederherstellung immer noch nicht abgeschlossen. Die Verwaltung war wochenlang arbeitsunfähig. Einige Dateien werden wohl für immer verloren sein, bisher sind zwei Millionen Euro Schaden entstanden. Auch der Landkreis Ludwigslust-Parchim arbeitet bis heute an der Bewältigung eines Ransomware-Falls und konnte deswegen lange etwa keine Coronazahlen melden.
Gerade vor diesem Hintergrund kann Atug den aktuellen Kurs bei der IT-Sicherheit für die Verwaltungen nicht verstehen: „BMI liefert so den kritische Infrastrukturen Sektor Staat und Verwaltung – also alle Behörden, Kommunen und Landkreise – wie auf einem Silbertablett kriminellen Banden aus. Wenn dann die Ransomware-Gangs nicht zuschlagen, weiß ich auch nicht mehr weiter.“ Ob man die aktuelle Verordnung heilen kann? Atug ist skeptisch: „Das ist prozedural schiefgelaufen. Jetzt die IT-Sicherheit nennenswert zu stärken und trotzdem den Zeitplan für das OZG einhalten, wird kaum möglich sein.“ Für ihn wirkt die Verordnung, als sei man „im Rahmen der Möglichkeiten stets bemüht“ gewesen.
Ob das für eine sichere, digitale Verwaltung reicht? Das wird sich zeigen.
