Fast die Hälfte der Asylverfahren werden mittlerweile mit Hilfe einer Blockchain verwaltet, zumindest von Registrierung bis Anhörung. Immer mehr Bundesländer nutzen das Assistenzsystem des Bundesamts für Migration und Flüchtlinge, die Behörde wird zunehmend zum Software-Anbieter.
Goldene Ketten sind besonders teuer (Symbolbild). – Gemeinfrei-ähnlich freigegeben durch unsplash.com Vishnu Prasad
Seit 2018 arbeitet das Bundesamt für Migration und Flüchtlinge an einem Blockchain-System, das mittlerweile den blumigen Namen FLORA trägt. FLORA, das steht für „Föderale Blockchain Infrastruktur Asyl“. Ziel des Assistenzsystems ist vor allem, verschiedene beteiligte Behörden bei „Registrierung, Aktenanlage und Anhörung“ zu unterstützen. Über das System sollen sie den Status von Asylverfahren abrufen können – zumindest in der Zeit zwischen der Registrierung etwa bei einer Ausländerbehörde und der Anhörung durch das BAMF.
2021 startete der Pilotbetrieb für FLORA, ab 2022 wurde das System produktiv genutzt – zuerst in Sachsen und Brandenburg. Mittlerweile kommt das Blockchain-Projekt zusätzlich in Rheinland-Pfalz, Baden-Württemberg, Niedersachsen, Mecklenburg-Vorpommern, Hessen und Thüringen zum Einsatz. „Derzeit werden ca. 47 Prozent der bundesweit bearbeiteten Asylverfahren mit Unterstützung durch FLORA durchgeführt“, so eine Sprecherin des BAMF gegenüber netzpolitik.org. Bayern, Nordrhein-Westfalen, Berlin und Sachsen-Anhalt sollen folgen, bis Ende 2027 soll die Anbindung der interessierten Länder abgeschlossen sein.
Ausbau der Funktionen liegt auf Eis
Eigentlich sollte die Blockchain-Lösung auf Basis des Open-Source-Frameworks Hyperledger Fabric nicht nur räumlich, sondern auch funktional noch weiter ausgebaut werden: beispielsweise auf die Verteilung von Geflüchteten auf Landkreise und Kommunen oder EU-weit bei der Koordination, welcher Mitgliedstaat für ein Asylverfahren zuständig ist. Doch diese Pläne, so das BAMF, liegen vorerst auf Eis. Oder wie die Behörde es ausdrückt: wurden „zurückgestellt“.
Grund dafür sei, dass die Priorität auf einem bundesweiten Roll-out des Systems liege. „Maßgeblich für diese Entscheidung“, so das BAMF, „waren die umfangreichen Haushaltskürzungen zu Beginn des Jahres 2024“. Damals fehlten im Kernhaushalt rund 17 Milliarden Euro, die von der damaligen Ampel-Regierung an verschiedenen Stellen gekürzt wurden. Dem fiel auch die funktionale Ausweitung des Blockchain-Projekts zum Opfer.
FLORA indes hat sein ganz zu Beginn geplantes Budget schon seit langem gesprengt. 2019, nach der Machbarkeitsstudie, waren für das Projekt „Verwaltung von Asylprozessen in der Blockchain“ noch insgesamt 4,53 Millionen Euro veranschlagt gewesen. Mittlerweile liegen die Gesamtkosten für Entwicklung und Betrieb von FLORA bis Ende 2025 bei 25.710.867,50 Euro, das ist mehr als das Fünffache. Die ursprünglich geplanten Beträge waren schon 2020 erreicht, noch bevor es einen ersten Pilotbetrieb gab.
Der Aufwand, eine datenschutzkonforme, Blockchain-basierte Lösung für die Koordinierung von Prozessen zu konzipieren, die jede Menge personenbezogener Daten involvieren, war hoch. Juristen und Informatiker suchten nach Wegen, das zu realisieren. Sie erstellten Machbarkeitsstudien und Gutachten und am Ende lautete das Fazit – vereinfacht gesagt: Das ist eine Menge Aufwand, aber möglich. Dass es geht, hat das BAMF mittlerweile gezeigt. Dass das Projekt entsprechend teuer geworden ist, auch.
Die Bundesländer als „Kunden“
Die Kosten würden sich, so das BAMF, aus dem Roll-out und der Anbindung von Bundesländern ergeben. Außerdem habe es 2024 eine Neuentwicklung der FLORA-Cloudversion gegeben. In einem wissenschaftlichen Bericht von Forschenden der Universitäten von Luxembourg und Arkansas klingt an, was wohl den größeren Aufwand verursacht hat: Das BAMF hatte zu Beginn auf dezentrales Hosting von FLORA gesetzt und mehr Verantwortung bei den Bundesländern gesehen. Die Forschenden schreiben: „Diese Bemühungen gerieten jedoch ins Stocken, als die Bundesländer eine schnelle Einführung des FLORA-Systems forderten. Daraufhin beschloss das FLORA-Team, seinen (De-)Zentralisierungskompromiss weiter zu formalisieren.“
Die Länder wollten also offenbar nicht alles selbst machen, sondern am liebsten eine fertige Lösung nach ihren Anforderungen nutzen, schlüsselfertig und ohne Zusatzaufwand. Das BAMF übernahm so immer mehr Verantwortung für die FLORA-Infrastruktur, die Bundesländer wurden immer mehr zu „Kunden“ des Bundesamts – die Anpassungen bestellten, um ihre eigenen Prozesse abzubilden.
Zahlen müssen die Bundesländer dafür praktischerweise nicht. Das BAMF schreibt: „Hier entstehen für die Bundesländer keine eigenen Kosten, da das BAMF die Anwendung an die Anforderungen des einzelnen Bundeslands anpasst und die benötigte Infrastruktur zur Nutzung bereitstellt.“
Weitere Kosten, so die Sprecherin des BAMF, sind angefallen, weil die Reform des europäischen Asylsystems (GEAS) Änderungen im System erforderlich macht. Derartige Anpassungen werden in diesem Jahr weiterhin erforderlich sein, denn die nationale Umsetzung von GEAS in Deutschland ist längst nicht abgeschlossen. Obwohl die EU-Regeln ab Juni 2026 in allen EU-Staaten anwendbar sein sollen, hat Deutschland bisher seine Anpassungsgesetze nicht verabschiedet, sie liegen weiterhin zur Beratung im Bundestag.
Und bevor die genauen nationalen Regeln nicht klar sind, lassen sich die IT-Systeme nicht so einfach aktualisieren. Die Zeit wird knapp, es bleiben nur noch vier Monate. Die Bundesregierung sieht „eine erhebliche Herausforderung“ darin, die GEAS-Regelungen rechtzeitig umzusetzen, schrieb sie im Januar – was längst nicht nur FLORA betrifft, sondern eine Vielzahl von IT-Systemen von BAMF und anderen Behörden.
Interesse eingeschlafen
Das BAMF will unterdessen FLORA „zur Unterstützung des Fristenmanagements“ weiterentwickeln. Durch GEAS würden sich Bearbeitungsfristen für das BAMF „zum Teil deutlich verkürzen“. Wie lange die Fristen etwa zur Entscheidung von Asylanträgen letztlich in Deutschland sein werden, ist noch nicht festgelegt. Die EU-Regeln geben den Mitgliedstaaten einen Spielraum, die Details müssen in einem nationalen Gesetz definiert werden.
Auf europäischer Ebene, so wirkt es, ist das Interesse an der Asyl-Blockchain mittlerweile eingeschlafen. „Die Kontaktaufnahme mit anderen EU-Staaten wurde im Zuge der Neuausrichtung des Projekts zu Beginn 2024 zurückpriorisiert“, so das BAMF. Aktuell seien keine weiteren Aktivitäten bekannt oder Gespräche geplant“. Ein gemeinsames Projekt mit Frankreich, eine Blockchain-basierte Lösung für die Zuständigkeitsbestimmung von EU-Ländern im bisherigen Dublin-Verfahren zu nutzen, wurde eingestellt, „da das EU-Partnerland das Projekt nicht weiterbetrieben hat“.
Während der allgemeine Blockchain-Hype also deutlich abgeflacht ist, arbeitet das BAMF unbeirrt weiter an der Technologie. Und wird, wie es aussieht, auch in den nächsten Jahren jede Menge Support für die involvierten Bundesländer-Kunden leisten müssen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Wenn Behörden nicht mehr benötigte Domains aufgeben, kann das zu Problemen führen: Die vormals staatlich genutzten Adressen sind attraktiv und lassen sich für Desinformation nutzen. Einheitliche Regeln für den Umgang mit den Domains hat der Bund nicht. Auch ein Überblick fehlt.
Im Hintergrund sind Domains, die Bundesinstitutionen nutzen. Aber was, wenn sie nicht mehr gebraucht werden? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Karten: Thilak Lees, Liste von Domain: https.jetzt
Wenn eine Behörde einen anderen Namen bekommt, verursacht das jede Menge Aufwand: Vom Hinweisschild bis zum Briefpapier müssen viele Details aktualisiert werden. Nicht zuletzt bekommen die Ämter dann meist auch eine neue Domain.
So lief es auch beim BAMF, dem Bundesamt für Migration und Flüchtlinge. Bis 2005 hieß die Asylbehörde noch Bundesamt für die Anerkennung ausländischer Flüchtlinge, kurz: BAFl. Der neue Name sollte widerspiegeln, dass das jetzige BAMF auch für Migration und Integration zuständig ist und sich seine Aufgaben erweitert hatten. Und so wechselte das Bundesamt auch die Adresse, unter der es im Netz erreichbar war.
Aus bafl.de wurde bamf.de. Noch einige Jahre nach der offiziellen Umbenennung, mindestens bis zum Jahr 2013, leitete die alte Domain Besucher:innen auf die neue BAMF-Seite weiter. Doch irgendwann stieß der Bund die nicht mehr benötigte Web-Adresse ab. Der neue Name hatte sich längst etabliert. Die alte Domain geriet in Vergessenheit.
Hartnäckige Altlasten
Wenn öffentliche Stellen Domains aufgeben, kann das zum Problem werden. Denn die alten Domains verschwinden nicht völlig. Nachrichtenmedien, wissenschaftliche Papiere oder Adresslisten von Vereinen und Verbänden verlinken auf die früheren Behörden-Websites, lange über deren aktive Nutzung hinaus. In Suchmaschinen sind sie leicht zu finden. Sie genießen Vertrauen.
Gerade diese Faktoren machen abgelegte Adressen staatlicher Stellen zum attraktiven Ziel für Aufmerksamkeitssuchende oder gar Betrüger. Unter den Domains früherer Behördenseiten finden sich heute Werbung für illegales Glücksspiel, Casinos und Schadsoftware. Und manchmal schaffen es staatliche Stellen auch nach mehreren Jahren nicht, alle Abhängigkeiten von den längst verlassenen Domains aus ihren Systemen zu entfernen.
Letzteres auch beim BAMF, das seit 20 Jahren nicht mehr BAFl heißt. Auf der alten Domain passierte lange nichts, bis sich ab August 2022 vorübergehend eine andere Website unter bafl.de fand.
Ein neues BAFl taucht auf
Die Website, die über Asyl informierte und sich angeblich für vertriebene Familien engagierte, wirkt eigenartig. Ein Impressum gab es nicht, die Bilder stammten teils aus kostenlosen Stockfoto-Datenbanken. Verlinkungen erschienen wahllos, aber nicht irreführend. Die Beschreibungen der vermeintlichen Teammitglieder, etwa Mike als „Praktikantin für digitales Eigenkapital“, irritieren. Eine seltsame, aber offenbar nicht schädliche Website.
Dieser Inhalt war zwischenzeitlich unter der Domain bafl.de zu finden. - Screenshot: archive.org
Im Sommer 2025 lief die Domainregistrierung erneut aus. Wer auch immer bafl.de zuvor kontrollierte, legte offenbar keinen Wert darauf, die Seite weiterzuführen. Der IT-Sicherheitsforscher Tim Philipp Schäfers nutzte diese Gelegenheit und holte sich Ende August die Domain bafl.de. Er wollte wissen, ob noch Aufrufe an die Domain gehen.
Aufrufe an längst vergangene Systeme
Zu Schäfers Überraschung gab es solche Aufrufe und zwar aus den Netzen von Bundesbehörden. Von dort erreichten täglich Anfragen bafl.de, das sich nun unter seiner Kontrolle befand. Schäfers meldete sich beim CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Er vermutete, interne IT-Systeme könnten weiter automatisiert Signale an bafl.de senden, etwa durch eine Fehlkonfiguration. Das CERT ist eine Anlaufstelle, wenn es zu IT-Sicherheitsproblemen kommt. Das CERT antwortete ihm, die Meldung erhalten zu haben und sie an die zuständigen Stellen weiterzuleiten. Auf Anfrage von netzpolitik.org bestätigt ein Sprecher des BSI, „einen entsprechenden Hinweis binnen 24 Stunden an die zuständige Behörde weitergeleitet“ zu haben. Doch die Anfragen an Schäfers Domain hörten nicht auf, zwei Wochen später fragte Schäfers erneut nach.
Ende Oktober, einen Monat nach der ersten Meldung an das CERT, meldete sich nun das BAMF selbst zurück, bedankte sich für den Hinweis und beteuerte, der Sache nachgehen zu wollen. Man nahm die Sache offenbar ernst. Auch ein Sprecher des BAMF bestätigt das gegenüber netzpolitik.org:
Das BAMF teilt die Einschätzung des Sicherheitsforschers Herrn Schäfers, dass ein fortbestehender Verweis (Verwendung einer Domain außerhalb der Kontrolle der Behörde) auf ehemalige Domains ein Sicherheitsrisiko darstellt.
Die Aufrufe hören einfach nicht auf
Man könne Gefahren und Missbrauch dadurch begegnen, „dass keine Dienste mehr eine ehemalige Domain oder Sub-Domain wie bafl.de verwenden“, so der Sprecher weiter. Daher habe das BAMF „eine Löschung von bafl.de aus allen Konfigurationen durch ITZBund“ veranlasst. Das „Informationstechnikzentrum Bund“ ist zentraler IT-Dienstleister für die Bundesverwaltung und verwalte, so ein Sprecher der Asylbehörde, in der Regel Domains im Auftrag der jeweiligen Behörden.
Doch nach außen hin passierte nicht mehr viel. Selbst nach der Presseanfrage an das BAMF reißen die regelmäßigen Anfragen nicht ab. Seit September 2025 habe es tausende solcher Anfragen gegeben. „Einige finden täglich und automatisiert statt, andere offenbar durch manuelle Pings oder Anfragen an IT-Systeme“, schreibt Schäfers in seiner Analyse.
Was ist das Risiko, wenn ein Dienst aus den Netzen von Bundesbehörden offenbar wiederholt versucht, eine nicht mehr kontrollierte Domain zu erreichen? Schäfers sieht darin ein mehrstufiges Problem. Angreifende könnten versuchen, durch die beständigen Anfragen auszuforschen, wie die interne IT-Infrastruktur aufgebaut ist. Und wenn sie passende Antworten auf die Anfragen geschickt hätten, wäre es vielleicht sogar möglich gewesen, Systeme zu manipulieren.
Lieber reservieren als riskieren
Der Sicherheitsforscher sagt gegenüber netzpolitik.org: „Im Fall von bafl.de wurde die Domain über 10 Jahre aktiv genutzt und ist – offenbar bis zum heutigen Tage – tief in den IT-Systemen des BAMF verankert.“ Dass eine Domain einfach abgestoßen wird und somit für Dritte nutzbar ist, wenn in internen Systemen weiter Verweise auf die Adresse existieren, kann er nicht nachvollziehen: „Eine solche Domain sollte man erst dann freigeben, wenn man absolut sichergestellt hat, dass sie intern auf keinem System mehr verwendet wird oder sicherheitshalber reserviert halten, wenn man das nicht garantieren kann.“ Auch ein Sprecher des BAMF schreibt: „Es ist erforderlich, nicht mehr genutzte Domains aus Sicherheitsgründen weiter zu registrieren.“ Passiert ist das bei bafl.de offenbar nicht.
Doch wenn Bundesbehörden Domains aufgeben, lauern darin nicht nur potenzielle Gefahren für die IT-Sicherheit der Systeme. Gerade wenn Domains mehrere Jahre von Behörden genutzt wurden oder zu bekannten Kampagnen gehörten, ergeben sich große Risiken für Desinformation, Phishing oder Betrug. Dass das kein theoretisches Szenario ist, zeigt die Antwort der Bundesregierung auf eine Kleine Anfrage der Linken-Abgeordneten Donata Vogtschmidt.
Dort benennen mehrere Ministerien, dass vormals durch ihnen zugeordnete Behörden genutzte Domains mittlerweile von Dritten registriert wurden, die sie für unerwünschte Zwecke nutzen.
Wettanbieter statt Landwirtschaft
Ein Beispiel ist eine Website, die bis 2020 von der Fachagentur Nachwachsende Rohstoffe (FNR) für das Landwirtschaftsministerium betrieben wurde. Sie diente der Information über sogenannte Energiepflanzen, die beispielsweise für die Biogas-Produktion angebaut werden. Wer heute die Domain besucht, erhält auf den ersten Blick weiterhin Informationen über entsprechende Biomassenutzung, doch in den Webauftritt mischen sich Links zu Glücksspiel- und Wettanbietern.
Neben vermeintlichen Infos zu Energiepflanzen finden sich Links zu Online-Casinos. - Screenshot
„Aktuell verlinkt die Domain auf eine missbräuchliche abgewandelte Abbildung der damaligen FNR-Webseite“, schreibt die Bundesregierung dazu. „Hiergegen konnte bislang nicht erfolgreich vorgegangen werden“, heißt es weiter.
Das ist kein Einzelfall, auch das Bundesinstitut für Öffentliche Gesundheit (BIÖG) kämpft mit ungenutzten Domains. Besser bekannt ist die Behörde im Geschäftsbereich des Gesundheitsministeriums vermutlich noch unter ihrem alten Namen, bis Februar hieß sie Bundeszentrale für gesundheitliche Aufklärung und startete immer wieder reichweitenstarke Informationskampagnen, von Suchtprävention bis zur Verhütung sexuell übertragbarer Krankheiten.
Casino-Werbung statt Impf-Kampagne
Für viele dieser Kampagnen registrierte man eigene, einprägsame Domains und gestaltete bunte Websites. „Das Impfbuch“ etwa sollte in der Corona-Pandemie mit Beiträgen des populären Arztes und Fernsehmoderators Eckart von Hirschhausen die Bevölkerung zu Impfungen informieren. Mittlerweile lassen sich über die Domains Wettanbieter finden, die in Deutschland gesperrten Spieler:innen dennoch das Wetten erlauben. Dasselbe gilt für weitere drei Domains, die das BIÖG untersuchte: Sie „führen auf optisch und inhaltlich gleichartige Seiten, die möglicherweise illegale Inhalte zu Online-Glücksspiel enthalten“. Und zwei dieser Seiten geben vor, dass weiterhin die Bundeszentrale für gesundheitliche Aufklärung hinter den Inhalten stecke.
Hier gab es früher Impf-Informationen aus der Bundeszentrale für gesundheitliche Aufklärung. - Screenshot
Offenbar fielen die Seiten erst durch die Kleine Anfrage auf und wurden nun dem Justiziariat der Behörde „zur Prüfung rechtlicher Schritte gemeldet“.
Schadsoftware statt Kinderlieder
Eine andere der Seiten verteilt auch Schadsoftware. Sie gehörte zu einer Initiative, die vor 15 Jahren mit kindgerechten Liedern Themen wie Liebe, Körpererfahrungen und Sexualität aufbereiten wollte. Die heute zugehörige Seite werde „durch die Netze des Bundes (NdB) blockiert, da diese Domain offenbar auf eine Seite weiterleitet, die Schadcode verbreitet“, schreibt die Bundesregierung.
Außer dem Landwirtschafts- und dem Gesundheitsministerium hat kein anderes Ressort der Bundesregierung Domains gemeldet, die nach der eigenen Nutzung von Dritten und missbräuchlich genutzt würden. „Fehlanzeige“, heißt es in der Antwort. Diese Ergebnislosigkeit irritiert. Dass es hier tatsächlich keinerlei Funde gibt, ist nicht plausibel. Allein die eingangs genannte frühere BAMF-Domain bafl.de ist ein Beispiel aus dem Geschäftsbereich des Innenministeriums und war den entsprechenden Stellen zum Zeitpunkt der Anfrage bekannt.
Fragestellerin Donata Vogtschmidt, Obfrau im Digitalausschuss für die Linksfraktion und Sprecherin für Digitalpolitik, kann das nicht verstehen: „Das Totalversagen bei der Sicherung eines vertrauenswürdigen und resilienten Webauftritts der Bundesregierung ist äußerst irritierend“, so die Abgeordnete. „Es vergeht kaum ein Tag, an dem die Bundesregierung nicht vor der hybriden Bedrohung warnt, auch von höchster Stelle.“ Dafür gebe es auch immer wieder „großspurige“ Ankündigungen wie den Cyberdome oder mehr KI-Nutzung. „Aber einfach mal den Webauftritt des Bundes gegen Desinformation resilient machen, scheint keine Rolle zu spielen“, kritisiert Vogtschmidt die Prioritäten der Bundesregierung.
Um systematisch zu untersuchen, wie groß das Problem ist und ob böswillige Akteure gezielt alte Bundes-Domains kaufen, müsste man wissen, welche Domains es überhaupt gibt – und welche in den vergangenen Jahren aufgegeben wurden.
Welche Bundes-Domains es gibt, bleibt geheim
Doch wie viele Domains überhaupt in Bundeshand befinden und welche Kosten damit verbunden sind, will die Bundesregierung nicht offenlegen. Sie stuft ihre Antwort dazu als Verschlusssache ein und argumentiert, eine Liste könne die Sicherheit der Bundesrepublik Deutschland gefährden. Die Informationen seien geeignet, Systeme etwa mit DDOS-Attacken anzugreifen, sie also durch gezielte massenhafte Anfragen zu überlasten.
Die schiere Menge der Domains, die sich in Bundeshand befanden oder befinden, lässt sich aus punktuellen öffentlichen Angaben daher nur schätzen. So gab es vor rund zehn Jahren systematisch Informationsfreiheitsanfragen. Viele angefragte Stellen lehnten eine Beantwortung ab. Aus den Antworten lassen sich jedoch Größenordnungen erahnen. So hielt allein der Deutsche Wetterdienst im Jahr 2015 fast hundert verschiedene Domains, das Bundesverwaltungsamt 44 unterschiedliche Adressen und das damalige Bundesministerium für Arbeit und Soziales kam auf 295 Domains. Dieser kleine, eine Dekade alte Ausschnitt zeigt, dass es sich bezogen auf alle Bundesbehörden leicht um Tausende Domains handeln dürfte, die Inhalte staatlicher Stellen enthalten oder enthielten. Mehr als 600 listet ein Projekt von robbi5 auf Github.
Schäfers schreibt gegenüber netzpolitik.org, Geheimhaltung sei beim Umgang mit Domains der falsche Ansatz. Ausschließlich intern genutzte Domains müsse man nicht für die Allgemeinheit listen. Aber in der Regel seien viele Domains durch öffentliche Nutzung oder Archivseiten ohnehin sichtbar. „Gleichzeitig erschwert vollständige Geheimhaltung internes Inventar-Management, externe Transparenz und Sicherheitsforschung“, so der Sicherheitsforscher. „Aus meiner Sicht ist ein Geheimhaltungsansatz nicht mehr zeitgemäß und schadet eher, als das er hilft.“
Wer macht Regeln für die Registrierung?
Wesentlich effektiver als Geheimhaltung sei „ein gutes Lifecycle-Management, starke Authentifizierung und Monitoring, um Missbrauch zu verhindern“. Doch Regeln dazu, wie Bundesbehörden mit nicht mehr benötigten Domains umgehen sollten, scheint es trotz der Dimension staatlicher Domainverwaltung nicht zu geben. „Es sind keine entsprechenden Vorschriften bekannt“, schreibt die Bundesregierung in ihrer Antwort. Die Zuständigkeit dafür, etwa Desinformation durch die gezielte Registrierung von Domains zu unterbinden, liege bei der jeweiligen Behörde.
Auch das BSI antwortet auf Anfrage, dass innerhalb seines Zuständigkeitsbereiches entsprechende Vorschriften nicht bekannt seien. Das Bundesamt empfiehlt jedoch: „Aus Sicht des BSI besteht bei sogenannten Vertipper-Domains und vergleichbaren Fällen das Risiko eines Datenabflusses. Bei nachgewiesenem Missbrauch sollte daher die Übernahme der Domain durch die jeweilige Behörde verfolgt werden.“
Um das Problem der ständig wechselnden Domain-Inhaber zu vermeiden, könnten Bundesinstitutionen auch Subdomains von bund.de nutzen. So sind die Ministerien des Bundes in der Regel unter „kürzel.bund.de“ erreichbar, das Gesundheitsministerium also zum Beispiel unter bmg.bund.de. Auch andere Inhalte lassen sich als Unterseiten der Bundes-Domain ansteuern, so das Infektionsradar des Gesundheitsministeriums oder die Login-Seite zur BundID. So können Nutzende schnell erkennen, dass es sich um ein echtes staatliches Angebot handelt.
Damit auch Internetauftritte von Ländern und Kommunen besser als solche erkennbar sind, gibt es seit 2024 die „Digitale Dachmarke“ für Deutschland. Sie besteht aus vier Kennzeichnungselementen: einer Website-Kopfzeile, die eine Seite als „offizielle Website“ kennzeichnet, ein dedizierter Bundesadler mit dem Schriftzug „Bund Länder Kommunen“ als Bildwortmarke, ein einheitliches Designsystem sowie ein Domainname, der auf „gov.de“ endet. Nicht alle diese Elemente müssen gleichzeitig genutzt werden, sie sollen jedoch helfen, einen Vertrauensanker zu markieren. Um die Informationen auf den Seiten als verlässlich einzustufen oder auch bevor man sensible Daten dort eingibt.
gov.de soll Vertrauen schaffen
Noch befindet sich das Projekt, so die Bundesregierung, in der Pilotierung. Nur wenige Angebote nutzen die Möglichkeit, eine Subdomain von gov.de zu beziehen. Dazu gehören das Digital- und das Verteidigungsministerium sowie der IT-Planungsrat und die Föderale IT-Kooperation FITKO. Die Website des „Veteranentags 2025“ erreicht man ebenfalls so. Eine Subdomain, um die PIN des Personalausweises zurückzusetzen, ist unter „pin-ruecksetzbrief-bestellen.gov.de“ schon vergeben, auch wenn der Inhalt der Seite auf sich warten lässt. Ab 2026, heißt es in der Antwort, soll jedoch der breitere Roll-out des Vorhabens erfolgen.
Der Digitalpolitikerin Donata Vogtschmidt von den Linken geht das nicht schnell genug. „Die Umsetzung hinkt und ist keine Pflicht, was dem Zweck widerspricht“, schreibt sie in einer Pressemitteilung. „Wer Desinformation verbreiten will, hat leichtes Spiel, und der Bundesregierung scheint die Bedeutung der Domains des Bundes nicht klar zu sein.“
Andernorts ist die konsequente Nutzung von Subdomains für staatliche Angebote deutlich etablierter. In Österreich etwa sind viele öffentliche Angebot als Subdomain von gv.at abrufbar, wer diese wie nutzen darf, ist klar geregelt. Ähnlich ist es in Großbritannien mit „gov.uk“ und in vielen anderen Ländern. Für zurückliegende Registrierung ist das zwar keine Lösung. Aber für unzählige weitere Domains, die im Laufe von Infokampagnen, Namenswechseln oder neuen Behörden künftig nötig werden, könnte das viele Probleme von Anfang an vermeiden.
Korrektur: Es hieß irrtümlich, die Anfragen würden aus den Netzen des Bundes kommen, es handelt sich aber um Netze von Bundesbehörden.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Nur noch in wenigen hundert Fällen las das BAMF in den letzten Monaten die Smartphones Geflüchteter aus. Das ist ein markanter Rückgang zu den fünfstelligen Zahlen aus früheren Jahren. Offenbar ist bei der Asylbehörde angekommen, dass der aufwändige und grundrechtsfeindliche Eingriff nichts bringt.
Handys durchsuchen? Das BAMF macht das immer seltener. – Alle Rechte vorbehalten BAMF: IMAGO / Panama Pictures, Handys: IMAGO / wolterfoto
Im Jahr 2017 begann das Bundesamt für Migration und Flüchtlinge (BAMF), die Smartphones von Asylsuchenden auszulesen. Immer dann, wenn diese keinen Pass oder andere anerkannte Identitätsdokumente vorlegen konnten, durften ihre Geräte analysiert werden. Das Ziel: Hinweise auf Identität und Herkunftsland gewinnen – selbst wenn an den Angaben der Antragstellenden noch gar keine Zweifel bestanden.
2018 kam die Behörde mit der neuen Praxis auf über 11.000 ausgelesene Datenträger, 2023 waren es rund 12.500. Damit ist jetzt offenbar Schluss. Laut der Antwort der Bundesregierung auf eine Kleine Anfrage der Linken-Abgeordneten Clara Bünger erfolge das Auslesen von Handydaten „nur noch einzelfallbezogen auf Entscheidung der Entscheiderin oder des Entscheiders“.
Zuvor las das BAMF schon sehr früh im Asylverfahren die Daten aus, in der Regel weit vor der Asylanhörung. Die „damit verbundene ressourcenintensive Auswertung“ sei ab dem Jahr 2024 „ausgesetzt“ worden. Das führt zu deutlich rückgängigen Zahlen: Im ersten Halbjahr 2025, so die Bundesregierung, sind lediglich noch 338 Datenträger ausgelesen worden.
Bei den erfolgreichen Auslese- und Auswertevorgängen waren wiederum die meisten Ergebnisse bis zuletzt völlig unbrauchbar. So lieferten die Auswertungen im Jahr 2023 in 73,4 Prozent der Fälle „keine verwertbaren Erkenntnisse“. Nur in 1,7 Prozent der Fälle stützten die Ergebnisberichte die Angaben der Antragstellenden nicht – das heißt, es gab Hinweise darauf, dass ihre Angaben eventuell nicht korrekt sein könnten.
Das ist zum einen viel Aufwand und zum anderen ein tiefer Eingriff in Grundrechte und Privatsphäre für eine Maßnahme mit mehr als fragwürdigem Nutzen. Fragestellerin Clara Bünger kommentiert dazu gegenüber netzpolitik.org: „Die aktuelle Antwort der Bundesregierung zeigt, dass diese negative Bilanz inzwischen offenbar auch im BAMF so gesehen wird.“
Der Wandel geht laut Bundesregierung zurück auf ein „Maßnahmenpaket zur Bewältigung der Asyllage“, das BAMF und Bundesinnenministerium miteinander abgestimmt hätten. Im Gegensatz zur Praxis hat sich die gesetzliche Grundlage der Handydurchsuchungen jedoch verschärft. Durch das 2024 verabschiedete Gesetz zur Verbesserung der Rückführung könnten BAMF und Ausländerbehörden auch Cloud-Speicher von entsprechenden Personen auslesen.
Der Kurs steht weiter auf Verschärfung
Diese Verschärfung beschloss die Bundesregierung kurz nachdem das Bundesverwaltungsgericht im Februar 2023 im Fall einer afghanischen Klägerin Grenzen gesetzt hatte: Das BAMF darf laut dem Urteil erst dann Smartphones auswerten, wenn es keine milderen Mittel gibt, um Hinweise auf Identität und Herkunft der Betroffenen zu bekommen. Das könnten beispielsweise offizielle Papiere neben Ausweisdokumenten sein oder andere Wege, Aussagen der Geflüchteten zu überprüfen.
Bünger fordert, auch andere politische Entwicklungen zu überdenken, um bessere Asylverfahren zu ermöglichen: „Es muss endlich Schluss sein mit den ausgrenzenden Missbrauchsdebatten, den permanenten Asylrechtsverschärfungen und der andauernden Entrechtung von Schutzsuchenden.“
Die Realität jedoch sieht offenkundig anders aus. Mit dem aktuellen Entwurf zur deutschen Umsetzung des Gemeinsamen Europäischen Asylsystems etwa schießt die Bundesregierung noch über die repressiven EU-Vorgaben hinaus. Im Koalitionsvertrag von Union und SPD ist angekündigt, dass sich auch in verwaltungsrechtlichen Asylverfahren einiges zum potenziellen Nachteil von Geflüchteten ändern soll. Die Regierungspartner wollen, dass die Asylsuchenden vor Gericht selbst etwa politische und soziale Faktoren in ihrem Herkunftsland einbringen müssen, wenn die im Verfahren berücksichtigt werden sollen – selbst wenn diese bereits öffentlich oder bei Gericht bekannt sind. Bünger findet: „Das ist das genaue Gegenteil von dem, was jetzt wichtig wäre: pragmatische Vorschläge für zügige und zugleich faire Asylverfahren.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
