Ubuntu's Yaru theme will closely follow the vanilla GNOME Shell design in the upcoming 26.04 release, as its developers aim to reduce the maintenance burden.
You're reading Ubuntu 26.04 Will Look More Like Vanilla GNOME Shell, a blog post from OMG! Ubuntu. Do not reproduce elsewhere without permission.
Biometrische Gangerkennung soll Menschen aus der Ferne identifizieren können, selbst wenn sie ihr Gesicht verhüllen. Unser Überblick zeigt, wie die Technologie funktioniert und wo sie bereits eingesetzt wird. Menschenrechtler*innen fordern ein Verbot.
Unser Gang ist besonders. Wir unterscheiden uns zum Beispiel darin, wie wir unsere Füße aufsetzen, unsere Arme beim Gehen schlenkern lassen oder wie lange unsere Schritte dauern. Solche Merkmale sind individuell und potenziell auch verräterisch, denn sie werden wie beiläufig bei der Videoüberwachung mit aufgezeichnet. Und anders als bei der biometrischen Gesichtserkennung kann man nicht einfach eine Maske aufsetzen, um den eigenen Gang zu verschleiern.
Wenn man Menschen auch von Weitem anhand ihrer Körpermerkmale erkennt, nennt man das biometrische Fernidentifizierung. In der öffentlichen Debatte darüber geht es meist um Gesichtserkennung. Dabei gibt es noch weitere Möglichkeiten, Menschen biometrisch zu erkennen. Eine solche Methode ist die biometrische Gangerkennung.
Verboten ist der Einsatz der Technologie in der EU nicht, im Gegenteil. Dort, wo die KI-Verordnung (AI Act) den Staaten Spielraum für biometrische Gesichtserkennung lässt, können Behörden auch andere biometrische Technologien einsetzen – auch wenn darüber selten diskutiert wird.
Dieser Artikel erklärt, was Gangerkennung bereits kann, und wo sie schon angewandt wird. Die Organisationen Amnesty International und AlgorithmWatch warnen vor der Technologie – die beispielsweise die Polizei bereits auf dem Schirm hat. Und im Auftrag der Europäischen Union erkunden Forscher*innen in Österreich ihren Einsatz an der EU-Grenze.
Auch Menschen können andere Personen anhand ihres Gang identifizieren. Unter anderem in Großbritannien werden dafür Sachverständige vor Gerichte geladen, um etwa die Identität eines Tatverdächtigen festzumachen. Einer Studie über diese forensische Gangerkennung aus dem Jahr 2018 zufolge würden solche Gang-Expert*innen allerdings noch wenig mit Software arbeiten.
Inzwischen gibt es zunehmend technisch gestützte Methoden für Gangerkennung, die gemeinhin als „KI“ bezeichnet werden. Einer der Menschen, der dazu forscht, ist Simon Hanisch. „Gangerkennung funktioniert mittlerweile sehr gut mithilfe von Deep Learning und Objekterkennung“, erklärt der Forscher, der am Karlsruher Institut für Technologie zur Anonymisierung biometrischer Daten arbeitet.
Im Gespräch mit netzpolitik.org beschreibt er eine Art, wie Gangerkennung per Software heutzutage funktionieren kann: Zuerst zerlegt die Software das Video einer laufenden Person in einzelne Frames, also Momentaufnahmen. So lassen sich etwa die Phasen eines Schritts nachvollziehen, die Bewegungen von Armen und Beinen. Danach stellt die Software die Umrisse der Person frei. Sie sieht dann so ähnlich aus wie ein Ampelmännchen. Schließlich legt die Software die Umrisse aus mehreren Frames in Graustufen übereinander. Das sieht dann aus wie ein Ampelmännchen mit vielen Armen und Beinen.
Auf diese Weise sollen möglichst einzigartige Profile entstehen, anhand derer sich Menschen voneinander unterscheiden lassen – und wiedererkennen.
Zu Gangerkennung sind in den vergangenen Jahren viele Studien erschienen. Sie beschreiben mehrere Verfahren, die verschieden genau sind. Manche Forschende verweisen auf äußere Faktoren, die Einfluss auf unseren Gang haben und deshalb die Wiedererkennung erschweren würden. Zum Beispiel könnten Schuhe, die Beschaffenheit des Bodens oder Taschen das Gangprofil verändern.
So stellten auch die Autor*innen der oben erwähnten Studie zur forensischen Gangerkennung fest: Der Beweiswert eines menschlichen Gang-Gutachtens vor Gericht sei relativ niedrig. Das war jedoch im Jahr 2018. Mittlerweile sind die technischen Mittel ausgereift genug, um Personen auch trotz sich ändernder Bedingungen zu identifizieren, wie Simon Hanisch erklärt. Die Software könnte auch Veränderungen des Gangs einbeziehen.
Eine KI ist jedoch nur so gut wie die Daten, mit denen sie trainiert wurde. „Für das Training benötigt man viele Daten“, sagt Hanisch, „die entsprechenden Datensätze gibt es aber heute schon“. Um nur eine einzelne Person anhand ihres Gangs über mehrere Überwachungskameras hinweg zu verfolgen, brauche es nicht sehr viele Daten, so der Forscher. Zur Identifikation würden bereits einige Beispiele genügen, die zeigen, wie diese Person geht.
Anders sehe es aus, wenn eine beliebige Person in einem Video eindeutig identifiziert werden soll, erklärt Hanisch. Dafür „wäre eine große Datenbank erforderlich, in der Gangbeispiele aller Personen vorhanden sind – analog zu einer Datenbank mit Gesichtsbildern oder Fingerabdrücken.“ Im Moment gibt es allerdings keine Anzeichen dafür, dass in Deutschland größere Datenbanken mit biometrischen Gangprofilen existieren.
Eine wichtige Komponente könne auch die Zeitspanne sein. Wie verändert sich der Gang eines Menschen über Jahrzehnte? Es gibt „noch nicht genug Forschung, um sagen zu können, wie gut die Gangerkennung über die Zeit funktioniert“, sagt Hanisch. „Wahrscheinlich wird es einen großen Einfluss haben; allerdings sind mir keine Studien bekannt, die das wirklich gut untersucht haben.“
Für eine realistische Anwendung von Gangerkennung brauche es noch mehr Forschung. „Meiner allgemeinen Vermutung nach würde die Gangerkennung in einem realistischen Setting außerhalb des Labors wahrscheinlich eher mäßig gut funktionieren.“
Trotzdem warnt Hanisch vor der Technologie: „Man sollte nicht vergessen, dass sich biometrische Merkmale kombinieren lassen, um bessere Ergebnisse zu erzielen, beispielsweise Gangerkennung mit Gesichtserkennung.“ Das Potenzial für staatliche Überwachung sieht Hanisch durchaus. Besonders sei es für Behörden vorteilhaft, Gangerkennung einzusetzen, weil „man seinen Gang nur schwer verstecken kann“.
Wir haben bei deutschen Polizeibehörden nachgefragt, ob sie biometrische Gangerkennung einsetzen oder sich zumindest damit beschäftigen. Die Landeskriminalämter (LKAs) aus 16 Bundesländern sowie das Bundeskriminalamt (BKA) haben den Einsatz computergestützter biometrischer Gangerkennung verneint.
Laut der Pressestelle des LKA Hessen „fehlt es an einer Datenbank, gegen die ein solches System Daten abgleichen könnte“. Gangerkennung hätten die Beamt*innen in Hessen allerdings auf dem Schirm. „Denkbar wären 1:1 Vergleiche, beispielsweise den Gang einer unbekannten Person mit dem Gang einer bekannten Person abzugleichen“, schreibt die Pressestelle. Dies könne „als Sachbeweis in einem laufenden Ermittlungsverfahren herangezogen werden“.
Das LKA Berlin hat sich ebenso mit Gangerkennung beschäftigt, allerdings nicht computerbasiert. Stattdessen würden Gutachten des kriminaltechnischen Instituts (KTI) des LKA Berlin „nach der Methode der beobachtenden Gangbildanalyse erstellt, wie sie auch in der Medizin und der Sportwissenschaft angewandt wird“. Auch das LKA Rheinland-Pfalz wende sich für solche Gutachten an das LKA Berlin.
Das LKA Saarland hat sich nach eigenen Angaben bereits mit biometrischer Gangerkennung beschäftigt, und zwar im Rahmen einer Fortbildung durch das BKA. Das BKA wiederum teilt mit, die angesprochene Fortbildung sei eine Online-Vortragsreihe der Deutschen Hochschule der Polizei gewesen. Dort habe man Vertreter*innen der Polizeien von Bund und Ländern über aktuelle Entwicklungen in der Kriminaltechnik informiert.
Gangerkennung findet wohl auch Verwendung in der freien Wirtschaft. Bereits 2024 berichtete netzpolitik.org von einem Rewe-Supermarkt in Berlin, der seine Besucher*innen mit hunderten Überwachungskameras durch den Laden verfolgt, die mitgenommenen Waren erkennt und dann an der Kasse abrechnet. Dabei arbeitet Rewe mit der israelischen Firma Trigo zusammen, die es sich zur Mission gemacht hat, den Einzelhandel mit sogenannter KI zu optimieren.
Im Rewe-Supermarkt soll es allerdings keine Gesichtserkennung geben, wie Rewe und Trigo betonten. Stattdessen würden Kameras die schematische Darstellung des Knochenbaus der Besucher*innen erfassen, um sie voneinander zu unterscheiden. Auch das kann eine Form biometrischer Gangerkennung sein, wie sie etwa in einer Studie der TU München beschrieben wird. Demnach könne Gangerkennung per Skelettmodell sogar besser funktionieren als über die Silhouette. Die Strichmännchen mit Knotenpunkten an den Gelenken aus der Münchner Studie ähneln optisch dem Pressematerial von Trigo.
Auf Anfrage von netzpolitik.org verneint Trigo allerdings den Einsatz von Gangerkennung: „Unser System unterscheidet zwischen Käufer*innen mittels computerbasiertem Sehen (‚computer vision‘)“, schreibt die Pressestelle. „Aus wettbewerbstechnischen Gründen können wir nicht tiefer auf technologische Details eingehen, aber wir nutzen keine Gangerkennung oder biometrische Identifikation.“
Ohne die technologischen Details, die Trigo vorenthält, lässt sich die Technologie nicht abschließend bewerten. Bereits 2024 hatten wir den Biometrie-Experten Jan Krissler (alias starbug) um eine Einschätzung gebeten. Er sagte mit Blick auf Trigo: „Körpermerkmale erfassen ist der Inbegriff von Biometrie – und das passiert hier.“
Die Technologie, deren Details das Unternehmen geheimhalten will, wird nach Angaben von Trigo schon in mehreren europäischen Länder eingesetzt. Wo genau? Auch hierzu verweigert die Pressestelle eine Antwort, wieder mit Verweis auf Wettbewerber*innen.
Die EU erforscht den Einsatz von Gangerkennung an der Grenze, Projektname: PopEye. Das Projekt läuft von Oktober 2024 bis September 2027. Auf der Projektwebsite gibt es beim Klick auf „Ergebnisse“ noch nichts zu sehen. In der dazugehörigen Beschreibung heißt es auf Englisch: „Das von der EU geförderte Projekt PopEye zielt darauf ab, die Sicherheit an den EU-Grenzen durch den Einsatz fortschrittlicher biometrischer Technologien zur Identitätsüberprüfung in Bewegung zu erhöhen“. Eine dieser Technologien ist Gangerkennung.
Die Grenzagentur Frontex listet PopEye als eines von mehreren Forschungsprojekten auf der eigenen Website auf. Bereits 2022 hatte Frontex Gangerkennung in einer Studie über biometrische Technologien beschrieben. Demnach benötige Gangerkennung „keine Kooperation der betreffenden Person und kann aus mittlerer Entfernung zum Subjekt funktionieren“. In der Studie schätzt Frontex: Bis biometrische Gangerkennung im Alltag ankommt, würden noch mindestens zehn Jahre vergehen.
Frontex ist auch an illegalen Pushbacks beteiligt. Das heißt, Beamt*innen verhindern, dass schutzsuchende Menschen an der EU-Grenze Hilfe bekommen. Auf Anfrage von netzpolitik.org will sich Frontex nicht zu PopEye äußern und verweist auf das AIT, das Austrian Institute of Technology. Das Institut aus Österreich koordiniert das Projekt im Auftrag der EU.
Das AIT wiederum erklärt auf Anfrage, selbst nicht im Bereich Gangerkennung zu arbeiten. Allerdings sei Gangerkennung eines von mehreren biometrischen Verfahren, die im Rahmen von PopEye erforscht würden. In dem Projekt würden biometrische Methoden entwickelt, die auch dann funktionieren, wenn sich eine Person bewegt und etwas entfernt ist. Kurzum: Man will Menschen identifizieren können, auch wenn sie gerade nicht aktiv ihr Gesicht vor eine Kamera halten oder ihren Finger auf einen Sensor legen. Das könne etwa die Wartezeit von Reisenden verkürzen, so das AIT.
Weiter erklärt das AIT, man wolle die Technologie verstehen, ihre Einschränkungen und Risiken. Ohne, dass wir ausdrücklich danach gefragt hätten, betont das AIT mehrfach, nichts Verbotenes zu tun. „Wir verpflichten uns, alle geltenden Vorschriften einzuhalten und die Werte der EU sowie die Grundrechte zu fördern und zu wahren.“ Sollte das nicht selbstverständlich sein?
Die gemeinnützige Organisation AlgorithmWatch kritisiert Gangerkennung an der Grenze, gerade mit Blick auf einen möglichen Einsatz bei Geflüchteten. „Wie so häufig wird also die Entwicklung digitaler Überwachungstools an Menschen auf der Flucht getestet, die sich kaum dagegen wehren können“, schreibt Referentin Pia Sombetzki auf Anfrage.
Die chinesische Regierung treibt Forschung zu Gangerkennung voran. Einer der größeren Datensätze mit Gangprofilen ist Gait3D, der auf Videodaten aus einem Supermarkt basiert. Das im Jahr 2022 veröffentliche Projekt hat China mit staatlichen Mitteln gefördert.
Nach Berichten der Agentur AP News soll China bereits 2018 Überwachung per Gangerkennung eingeführt haben, und zwar durch Polizeibehörden in Beijing und Shanghai. Die Technologie komme von der chinesischen Überwachungsfirma Watrix. Nach Angaben des CEOs gegenüber AP News könne das System Personen aus bis zu 50 Metern Entfernung identifizieren. Das System lasse sich angeblich nicht täuschen, etwa durch Humpeln.
In einer Spiegel-Reportage aus dem Jahr 2019 erklärte eine Pressesprecherin von Watrix, das System würde weitere Informationen nutzen, um Menschen zu identifizieren, etwa Körpergröße und Statur. Angeblich erkenne die Software Menschen in einer Sekunde. „Zwei Schritte reichen.“ Auch in Gruppen von bis zu 100 Leuten könne die Software Menschen erkennen, deren Gangprofil dem System bekannt sei. Es ist üblich, dass Überwachungsfirmen die Fähigkeiten ihrer Produkte überhöhen. Auf unsere Fragen hat Watrix nicht reagiert.
Auch das russische Regime soll biometrische Gangerkennung einsetzen. Im Jahr 2020 berichtete das russische Exilmedium Meduza von entsprechenden Plänen für das Folgejahr. Die Technologie sollte demnach Teil der staatlichen Kameraüberwachung in Moskau werden. Im Jahr 2021 schreib das staatliche Propaganda-Medium Rossiyskaya Gazeta von einem solchen Überwachungssystem im Auftrag des Innenministeriums. Angeblich könne die Gangerkennung eine Person aus einer Entfernung von bis zu 50 Metern identifizieren. Es fehlt allerdings eine unabhängige Prüfung, um festzustellen, viel davon Einschüchterung ist und wie viel korrekt.
Menschenrechtsorganisationen betrachten Gangerkennung schon länger kritisch. Privacy International warnte bereits 2021 vor den Gefahren von Gangerkennung bei Protesten. Auch Amnesty International beschäftigt sich damit. Gangerkennung funktioniere aus der Ferne und bleibe dadurch unbemerkt, schreibt Lena Rohrbach auf Anfrage von netzpolitik.org. Sie ist Referentin für Menschenrechte im digitalen Zeitalter bei Amnesty International in Deutschland.
Behörden könnten Gangerkennung etwa ergänzend zu Gesichtserkennung einsetzen, um Menschen auch auf Distanz zu identifizieren. „Überwachung durch Gangerkennung ist ein tiefgreifender Eingriff in Menschenrechte und geht mit umfassenden Risiken einher“, warnt Rohrbach. „Jede Form biometrischer Fernidentifizierung ist potenziell geeignet, zur Repression genutzt zu werden und die freie und unbeobachtete Bewegung im öffentlichen Raum vollständig zu beenden.“
Amnesty International setze sich deshalb für ein umfassendes Verbot biometrischer Fernidentifizierung zur Überwachung des öffentlichen Raums ein – inklusive Gangerkennung. Die EU hat die Gelegenheit verpasst, ein solches Verbot im Rahmen der KI-Verordnung zu beschließen.
In Deutschland befasst sich die Organisation AlgorithmWatch mit den Auswirkungen sogenannter KI auf Menschenrechte. Auf Anfrage vergleicht Referentin Pia Sombetzki Gangerkennung mit Gesichtserkennung. „Die Anonymität im öffentlichen Raum wird effektiv aufgehoben, und Menschen dürften es sich tendenziell eher zweimal überlegen, an welcher Versammlung sie noch teilnehmen“, schreibt sie. Neben Demonstrierenden könnten zum Beispiel auch Obdachlose oder Suchtkranke beobachtet werden.
Das Problem betreffe grundsätzlich alle, die sich in der Öffentlichkeit frei bewegen wollten. Rufe nach mehr KI in der Polizeiarbeit könnten in eine Sackgasse führen, warnt Sombetzki. „Denn je mehr die Freiheitsrechte auch hierzulande eingeschränkt werden, desto weniger bleibt von der demokratischen Gesellschaft übrig, die es eigentlich zu schützen gilt.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Vor ein paar Wochen, zum Release von GIMP 3.0, hatte ich mir bereits ein Theme angesehen, das den modernen LibAdwaita-Look von GNOME auf die frisch aktualisierte Bildbearbeitung überträgt. GIMP basiert bekanntlich noch auf GTK 3, weshalb es optisch nicht ganz in den aktuellen GNOME-Desktop passt.
Das Theme schloss diese Lücke recht elegant, doch nach der ersten Veröffentlichung gab es keine Updates mehr und das Projekt schien eingeschlafen zu sein. Umso mehr hat es mich gefreut, als ich jetzt über einen frisch überarbeiteten Fork gestolpert bin, der die Arbeit weiterführt: adw-gimp3 auf Github.
Damit GIMP sich in den GNOME-Desktop einfügt, müsst ihr zuerst das adw-gtk3-Theme installieren. Dieses kümmert sich darum, dass alle GTK-3-Programme den LibAdwaita-Stil übernehmen und damit konsistenter aussehen. Ihr findet das Paket in den Repositories vieler Distributionen oder direkt auf Github.
Aktiviert es anschließend mit den GNOME-Tweaks als Theme für „veraltete Anwendungen“. Ohne diesen Schritt funktioniert das eigentliche GIMP-Theme nicht. Hinweise zur Installation unter Arch Linux und weitere Details dazu findet hier im Blog im vorherigen Artikel zum Thema.
Das eigentliche Theme für GIMP bezieht ihr dann vom Github-Fork. Die Installation unterscheidet sich nicht vom ursprünglichen Vorgehen. Ihr klont das Repository, wechselt in den Ordner und verschiebt die Dateien nach ~/.config/GIMP/3.0/themes. Nach einem Neustart von GIMP steht euch das Theme in den Einstellungen zur Verfügung.
$ git clone https://github.com/RichardSepsi/adw-gimp3
$ cd adw-gimp3
$ mv adw-gimp3 ~/.config/GIMP/3.0/themesIn GIMP selbst aktiviert ihr das Theme über den Menüpunkt Bearbeiten » Oberfläche » Thema. Darüber hinaus lohnt sich ein Blick in die Einstellungen unter Bearbeiten » Bildfenster » Menüleiste und Titelleiste. Dort könnt ihr die klassische Menüleiste mit der Fensterleiste kombinieren und so mehr Platz für die eigentliche Bildbearbeitung schaffen. Gerade auf kompakten Notebooks macht sich das bemerkbar, wenn ihr unterwegs an Fotos oder Illustrationen arbeitet.
Im Alltag macht das Theme einen deutlichen Unterschied. Die Menüs und Dialoge wirken stimmiger und GIMP fügt sich viel besser in den restlichen Desktop ein. Der Eindruck ist moderner, ruhiger und weniger technisch aus der Zeit gefallen. Natürlich löst ein Theme nicht die strukturellen Unterschiede, die aus der GTK-3-Basis resultieren, doch bis GIMP den Sprung auf GTK 4 schafft, ist dieser Fork eine sehr gelungene Zwischenlösung. Schön zu sehen, dass die Arbeit an dem Projekt wieder aufgenommen wurde und Nutzerinnen und Nutzer von GNOME damit weiterhin eine konsistente Oberfläche bekommen.
I won’t lie: it’s easy to add or remove startup apps, commands, and scripts in Ubuntu. Just open the Startup Applications tool, click ‘Add’, and away you go. But while Ubuntu’s utility is adequate, it’s not as user-friendly as similar tools available elsewhere. Sure, Startup Applications is equipped with the critical customisation fields a user will need to curate a set of software/services to start at login — SSH agent, VPN app, password manager, backup script, resolution tweaks, and so on — but it’s rather rote. Take the way you add an app to start at login: Ubuntu’s Startup Applications […]
You're reading Ignition is a Modern Startup Applications Utility for Linux, a blog post from OMG! Ubuntu. Do not reproduce elsewhere without permission.
If you love the look of libadwaita and want to bring its style to older apps on your desktop, check out the new adw-gtk theme by designer ~lassekongo83.
This post, This Theme Brings the libadwaita Look to Older GTK Apps is from OMG! Ubuntu!. Do not reproduce elsewhere without permission.
We run through the many design tweaks made to GNOME Shell for the GNOME 42 release due for release in March. From darker colours to tighter margins.
This post, Early Look at GNOME Shell’s New Look is from OMG! Ubuntu!. Do not reproduce elsewhere without permission.
Über welche Trojaner verfügen deutsche Behörden? Spätestens nachdem durch journalistische Recherchen ans Licht kam, dass Bundeskriminalamt und Bundesnachrichtendienst Versionen des NSO-Trojaners Pegasus nutzen, steht diese Frage im Raum. Die Bundesregierung möchte sie nicht beantworten. Aus der Antwort auf eine Kleine Anfrage der Linken-Abgeordneten Martina Renner wird nun aber deutlich: Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) interessierte sich offenbar für Trojaner des israelischen Herstellers Candiru.
Seit 2018 steht die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) mit Vertretern des Unternehmens in Kontakt, antwortet das Bundesinnenministerium. „Zur Erhaltung und Weiterentwicklung von Cyberfähigkeiten der Sicherheitsbehörden im Bereich der informationstechnischen Überwachung führt die ZITiS fortlaufende Erhebungen des aktuellen Produktportfolios bei verschiedenen Anbietern und Herstellern im Rahmen von Marktsichtungen durch“, heißt es in der Antwort außerdem.
Es gibt wenige öffentliche Informationen über Candiru, das Unternehmen wechselte seinen Namen und heißt mittlerweile Saito Tech. Sicherheitsforscher:innen von Microsoft und Citizen Lab entdeckten Candirus Trojaner auf den Geräten von Menschenrechtsaktivist:innen und Politiker:innen in verschiedenen Ländern, darunter bei einer politisch aktiven Person aus Westeuropa.
Ob deutsche Behörden Produkte von Candiru getestet, gekauft oder gar eingesetzt haben, beantwortet das Ministerium nicht. Dadurch wäre das Staatswohl in Gefahr, Betroffene könnten beispielsweise ihr Kommunikationsverhalten ändern, wenn sie wüssten, welche Mittel den Behörden zur Verfügung stehen. Ob das Bundesamt für Sicherheit in der Informationstechnik eingebunden wurde? Unklar. Es wird „im Rahmen der geltenden Rechtslage sowie gegebenenfalls zusätzlich auf Basis eigener Bedarfe“ eingebunden.
Fragestellerin Renner prangert die Geheimhaltung über das Staatstrojaner-Portfolio deutscher Behörden an: „Der Pegasus-Skandal legt nahe, dass es nach der Marktsichtung von Candiru in 2018 auch zum Ankauf und Einsatz von deren Spionagesoftware kam.“ So möchte das Ministerium seine Antworten jedoch nicht verstanden wissen. „Dabei ist der Umstand, dass die Beantwortung verweigert wird, weder als Bestätigung noch als Verneinung des jeweiligen angefragten Sachverhalts zu werten“, heißt es in der Vorbemerkung.
Doch es gibt Hinweise dafür, dass es nicht nur bei einer Marktsichtung geblieben sein könnte: Eine aktuelle Recherche der israelischen Tageszeitung Haaretz nennt zehn Länder, die Kunden von Candiru sein sollen. Dabei steht neben Saudi-Arabien und den Vereinigten Arabischen Emiraten auch Deutschland.
Hier klicken, um den Inhalt von Twitter anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von Twitter.
ZITiS versteht sich als „Dienstleister der deutschen Sicherheitsbehörden“ und soll für die Behörden Werkzeuge bereitstellen, etwa um Geräte zu infiltrieren und Verschlüsselung auszuhebeln. Selbst Überwachungsoperationen durchführen darf ZITiS nicht. Laut Innenministerium muss sich ZITiS auch nicht mit den rechtlichen Implikationen der entsprechenden Technologien auseinandersetzen. „Die Befassung mit rechtlichen Fragen des verfassungskonformen Einsatzes von Produkten und Leistungen im Bereich der informationstechnischen Überwachung obliegt den Behörden, die die ITÜ-Maßnahmen [informationstechnische Überwachung] aufgrund gesetzlicher Befugnisse durchführen“, heißt es in der Antwort.
Fragestellerin Renner ärgert das: „Wer die verfassungsmäßige Prüfung und den rechtskonformen Einsatz zum Beispiel dem Inlandsgeheimdienst überlässt, gibt seine Rolle als Rechtsaufsicht komplett auf“, so die Innenpolitikerin gegenüber netzpolitik.org.
ZITiS interessierte sich nicht nur für Candirus Überwachungstechnologie, sondern sichtete Staatstrojaner mehrerer Unternehmen. Aus früheren Anfragen wurde bekannt, dass dazu das Unternehmen DSIRF gehörte, das den Staatstrojaner Subzero vermarktet. Ebenso zog der Hersteller Quadream das Interesse der deutschen Hackerbehörde auf sich.
Seit dem Pegasus-Skandal stehen mehrere Staatstrojaner-Hersteller unter öffentlichem Druck. Immer wieder wird Spähsoftware wie die der NSO Group auf den Geräten von Aktivist:innen und Oppositionellen gefunden – zuletzt in Polen. Die USA setzten vor kurzem sowohl NSO Group als auch Candiru auf eine Restriktionsliste, da von ihnen mutmaßlich „schädliche Cyberaktivitäten“ ausgingen. Sie hätten „Spionagesoftware entwickelt und an ausländische Regierungen geliefert, die dieses Tool nutzten, um Regierungsbeamte, Journalisten, Geschäftsleute, Aktivisten, Akademiker und Botschaftsmitarbeiter böswillig ins Visier zu nehmen“, heißt es in der Begründung.
Die Bundesregierung nahm das zur Kenntnis, Anlass zur Änderung sieht sie jedoch offenbar bisher nicht.
BT-Drucksache 20/131
Vorbemerkung der Fragesteller:
Im Juli diesen Jahres war bekannt geworden, dass weltweit Journalisten, Menschenrechtsaktivistinnen, Geschäftsleute und Regierungspolitiker Opfer von Überwachungsmaßnahmen mithilfe des Programms „Pegasus“ der u.a. in Israel beheimateten Firma „NSO Group Technologies“ geworden waren (vgl. Bundestagsdrucksache 19/32246, Antwort der Bundesregierung auf eine Kleine Anfrage der Fraktion DIE LINKE, „Einsatz der Spionagesoft-ware „Pegasus“ in Deutschland“, Vorbemerkung).
Inzwischen wurde öffentlich, dass sowohl das Bundeskriminalamt (BKA) als auch der Bundesnachrichtendienst (BND) die Software der NSO Group einsetzen. (tagesschau.de vom 7. September 2021, „BKA soll Seehofer nicht informiert haben“; ZEIT online vom 8. Oktober 2021, „Bundesnachrichtendienst setzt umstrittene Cyberwaffe ein“). Die US-Regierung gab am 03. November 2021 bekannt, dass die NSO Group, deren Produkte durch Bundesbehörden eingesetzt werden, auf die US-Sanktionsliste gesetzt wurde. Denn der Einsatz von „Pegasus“ habe sich u.a. gegen befreundete Politiker und Regierungen, Journalisten und Menschenrechtsaktivisten und damit gegen die Interessen der USA gerichtet (https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list; https://www.sueddeutsche.de/wirtschaft/nso-pegasus-spaehsoftware-usa-1.5455882). Neben der NSO Group wurde auch die israelische Softwarefirma „Candiru Limited“ (seit 2020 „Saito Tech Limited“) wegen derselben Vorwürfe auf die Sanktionsliste gesetzt. Die von jener Firma entwickelte und vertriebene Spyware soll sich insbesondere gegen Desktopanwendungen und Computer mit Windows-Betriebssystem richten. Verschiedene IT-Sicherheitsforscher des „Citizen Lab“ der Universität Toronto/Kanada aber auch von Microsoft selbst haben inzwischen den Einsatz der Spionagesoft-ware gegen mindestens 100 betroffene Politiker, Journalisten, Menschenrechtsaktivisten oder Dissidenten aufgedeckt, auch in Westeuropa (https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/, https://netzpolitik.org/2021/penisfisch-bundesregierung-verweigert-auskunft-ueber-israelischen-staatstrojaner-candiru/).
Die Software von Candiru wird also offenkundig in einem vergleichbaren, mindestens den Interessen der US-Regierung widersprechenden Rahmen eingesetzt.
Die Bundesregierung hat zuletzt die Auskunft darüber verweigert, ob Bundesbehörden Lizenzen der Spyware von „Candiru Limited“ (seit 2020 „Saito Tech Limited“) erworben haben bzw. Leistungen dieser Firma nutzen (Bundestagsdrucksache 19/32490, Frage 39). Angesichts der Entscheidung der US-Regierung erscheint trotz berührter Staatswohlbelange eine öffentliche Positionierung der Bundesregierung erforderlich. Denn die Zusammenarbeit mit den von US-Sanktionen betroffenen Unternehmen und der Einsatz ihrer Produkte durch Behörden des Bundes wird nach Ansicht der Fragestellerinnen und Fragesteller die Zusammenarbeit und Beziehungen zu US-amerikanischen Behörden und Diensten belasten und seinerseits Belange des Staatswohls nachhaltig beschädigen. Angesichts dessen scheint aus Sicht der Fragestellerinnen und Fragesteller eine weitere Verweigerung entsprechender Auskünfte aufgrund des überragenden öffentlichen und parlamentarischen Interesses ausgeschlossen.
Vorbemerkung der Bundesregierung:
Soweit die Fragen nicht explizit an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) gerichtet sind, geht die Bunderegierung im Kontext der Fragestellung davon aus, dass sich die Fragen auf die Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes, sowie der Nachrichtendienste des Bundes beziehen. Dementsprechend werden ausschließlich diese in die Beantwortung einbezogen.
Soweit parlamentarische Anfragen Umstände betreffen, die aus Gründen des Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann.
Nach sorgfältiger Abwägung ist die Bundesregierung zu der Auffassung gelangt, dass eine Beantwortung der Fragen 1, 2, 5, 7 bis 12 und 14 bis 17 bezüglich der Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes sowie der Nachrichtendienste des Bundes nicht bzw. gegebenenfalls nicht vollständig erfolgen kann. Einer vollständigen Beantwortung dieser Fragen stehen überwiegende Belange des Staatswohls entgegen.
Die erbetenen Informationen zielen auf die kriminaltaktischen oder nachrichtendienstlichen Ermittlungs- bzw. Informationsgewinnungsinstrumente der betroffenen Sicherheitsbehörden. Mit der Beantwortung werden mittelbar bestimmte Arbeitsmethoden und Vorgehensweisen im Bereich der technischen Aufklärung offengelegt oder Rückschlüsse darauf ermöglicht. Hierdurch würden die Arbeitsfähigkeit und Aufgabenerfüllung und somit die Erfüllung des gesetzlichen Auftrags der betroffenen Sicherheits- und Strafverfolgungsbehörden sowie Nachrichtendienste erheblich gefährdet.
Schon die Angabe, mit welchen Herstellern technischer Produkte im Bereich der informationstechnischen Überwachung die betroffenen Sicherheitsbehörden in Kontakt stehen und damit mittelbar die Angabe, welche technischen Produkte die Sicherheitsbehörden in diesem sensiblen Bereich derzeit oder zukünftig einsetzen könnten, kann zu einer gezielten Änderung des Kommunikationsverhaltens der betreffenden, zu beobachtenden Personen führen, wodurch eine weitere Aufklärung der von diesen Personen verfolgten Bestrebungen und Planungen unmöglich werden würde. In diesem Fall wäre ein Ersatz durch andere Instrumente nicht möglich.
Eine VS-Einstufung und Hinterlegung der angefragten Informationen in der Geheimschutzstelle des Deutschen Bundestages kommt angesichts ihrer erheblichen Brisanz im Hinblick auf die Bedeutung der technischen Aufklärung für die Aufgabenerfüllung der Sicherheitsbehörden des Bundes nicht in Betracht. Das Risiko, dass derart sensible Informationen bekannt werden, kann unter keinen Umständen hingenommen werden. Die angefragten Informationen beschreiben die technischen Fähigkeiten der betroffenen Sicherheitsbehörden bzw. Nachrichtendiensten des Bundes aufgrund ihres Bezuges auf bestimmte Produkte bzw. Hersteller in einem derartigen Detaillierungsgrad, dass eine Bekanntgabe auch gegenüber einem begrenzten Kreis von Empfängern ihrem Schutzbedürfnis nicht Rechnung tragen würde.
Daraus folgt, dass die erbetenen Informationen derartig schutzbedürftig sind, dass auch eine Hinterlegung in der Geheimschutzstelle des Deutschen Bundestages aus Staatswohlgründen nicht in Frage kommt. In der Abwägung des parlamentarischen Informationsrechts der Abgeordneten einerseits und der staatswohlbegründeten Geheimhaltungsinteressen andererseits muss das parlamentarische Informationsrecht daher ausnahmsweise zurückstehen. Dabei ist der Umstand, dass die Beantwortung verweigert wird, weder als Bestätigung noch als Verneinung des jeweiligen angefragten Sachverhalts zu werten.
Im Übrigen ist die Feststellung der Fragesteller, dass die NSO Group und Candiru auf die US-Sanktionsliste gesetzt wurden, nicht zutreffend. Es handelt sich vielmehr um eine interne Entscheidung der zuständigen Stellen der USA zur Aufnahme von Firmen in die sog. „Entity List for Malicious Cyber Activities” des Bureau of Industry and Security (BIS), deren Entscheidungen die Bundesregierung zur Kenntnis nimmt.
1: Haben Vertreter oder Beauftragte des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) Behörden des Bundes bzw. den Vertretern von Behörden die von ihnen entwickelten und vertriebenen Softwareprodukte zur Infiltration und Überwachung informationstechnischer Systeme und Netzwerke vorgestellt, und wenn ja, wann und welchen Behörden?
2: Waren Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) Gegenstand der Marktsichtung durch die Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS) oder Bedarfsträger im Geschäftsbereich der Bundesregierung?
Zu 1 und 2: Die Fragen 1 und 2 werden im Zusammenhang beantwortet. Zur Erhaltung und Weiterentwicklung von Cyberfähigkeiten der Sicherheitsbehörden im Bereich der informationstechnischen Überwachung führt die ZITiS fortlaufende Erhebungen des aktuellen Produktportfolios bei verschiedenen Anbietern und Herstellern im Rahmen von Marktsichtungen durch. In diesem Zusammenhang steht die ZITiS seit 2018 mit Vertretern des Unternehmens in Kontakt. Im Übrigen wird auf die Vorbemerkung der Bundesregierung verwiesen.
3: Hat sich ZITiS insbesondere hinsichtlich des verfassungskonformen Einsatzes mit Produkten und Leistungen im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) zur informationstechnischen Überwachung beschäftigt, und wenn ja, wann und mit welchem Ergebnis?
4: Wer wurde von ZITiS gegebenenfalls wann über das Ergebnis dieser Prüfung unterrichtet, und wie hat die zuständige Fach- und Rechtsaufsicht sich zu diesem Prüfergebnis verhalten?
Zu 3 und 4: Die Fragen 3 und 4 werden im Zusammenhang beantwortet. Die ZITiS erhebt im Zuge der Marktsichtung fortlaufend aktuelle Produktportfolios bei verschiedenen Anbietern, Herstellern und Behörden. Die ZITiS verfügt jedoch selbst über keine operativen Befugnisse zur Durchführung von ITÜ-Maßnahmen. Die Befassung mit rechtlichen Fragen des verfassungskonformen Einsatzes von Produkten und Leistungen im Bereich der informationstechnischen Überwachung obliegt den Behörden, die die ITÜ-Maßnahmen aufgrund gesetzlicher Befugnisse durchführen.
5: Inwieweit wurde ZITiS gegebenenfalls vom Einsatz, einschließlich Test- oder Erprobungseinsatz von Produkten und Leistungen im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) zur informationstechnischen Überwachung in Kenntnis gesetzt oder hat Kenntnis von technischen Fragen und Problemstellungen im Rahmen des Einsatzes (etwa zum Aufbau von know-how für zukünftige Beschaffungen in diesem Bereich) erhalten?
Zu 5: Zum Erhalt und Verbesserung von Maßnahmen der informationstechnischen Überwachung steht die ZITiS fortlaufend mit den Sicherheitsbehörden im Austausch. Weitergehende Auskünfte können mit Blick auf die Vorbemerkung der Bundesregierung zu den Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes
sowie der Nachrichtendienste des Bundes nicht erteilt werden.
6: Hat die Bundesregierung alle ggf. in Frage kommenden Gremien des Deutschen Bundestages für den Fall eines Ankaufs und eines Einsatzes von Produkten und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) durch Behörden im Zuständigkeitsbereich dieser Gremien unterrichtet? Wenn nein, warum ist eine solche Unterrichtung bislang unterblieben?
Zu 6: Die Bundesregierung berichtet den zuständigen Gremien des Deutschen Bundestages fortdauernd und anlassbezogen zu entsprechenden Themen.
7: Wurde gegebenenfalls eine technische Prüfung der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) durch das Bundesamt für Sicherheit in der Informationstechnik durchgeführt, wenn ja wann und mit welchem Ergebnis, wenn nein, warum nicht?
Zu 7: Das BSI wird von den Behörden im Rahmen der geltenden Rechtslage sowie gegebenenfalls zusätzlich auf Basis eigener Bedarfe eingebunden. Weitergehende Auskünfte können mit Blick auf die Vorbemerkung der Bundesregierung nicht erteilt werden.
8: Nach welchen Kriterien, Schemata, fachlichen Vorgaben oder Fragestellungen wurde ggf. eine Überprüfung der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) durch die einsetzenden Behörden selbst vorgenommen?
9: Hat jede einsetzende Behörde gegebenenfalls selbst eine solche Überprüfung vorgenommen, und wussten die jeweiligen Behörden von der Beschaffung und dem Einsatz in den anderen Behörden des Bundes?
10: Welche Behörden oder Einrichtungen wurden gegebenenfalls anlässlich bzw. im Nachgang eigener Überprüfungen der einsetzenden Behörden über die Ergebnisse dieser Überprüfungen unterrichtet?
Zu 8 bis 10: Auf die Vorbemerkung der Bundesregierung wird verwiesen.
11: Waren die geschäftsführenden Bundesministerien gegebenenfalls anlässlich bzw. im Nachgang über den Einsatz und über die Ergebnisse von Überprüfungen der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) informiert und wenn ja, wer wurde jeweils wann und worüber unterrichtet?
Zu 11: Die Behörden berichten der Fachaufsicht regelmäßig über relevante Sachverhalte. Weitergehende Auskünfte können mit Blick auf die Vorbemerkung der Bundesregierung zu diesen Behörden nicht erteilt werden.
12: Hat sich nach Kenntnis der Bundesregierung in Folge von möglichen Überprüfungen bzw. Auswertungen des Einsatzes ergeben, dass die Behörden des Bundes zur Verfügung gestellte Programmversionen von Produkten und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) weiterer Einschränkungen bedürfen und wenn ja, seit wann ist das bekannt geworden und wann wurde dies entsprechend umgesetzt?
Zu 12: Auf die Vorbemerkung der Bundesregierung wird verwiesen.
13: Wurden den zuständigen Kontrollgremien bzw. Gerichten Informationen über Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) zu Verfügung gestellt, die den Einsatz im Rahmen von Gefahrenabwehrvorgängen oder Strafermittlungen bzw. als nachrichtendienstliches Mittel genehmigt bzw. angeordnet haben, und wenn ja, welche?
Zu 13: Bei der Beantragung richterlicher Anordnungen zur Durchführung von Maßnahmen der informationstechnischen Überwachung werden dem anordnenden Gericht die notwendigen verfahrensbezogenen Informationen gemäß den geltenden gesetzlichen Bestimmungen zur Verfügung gestellt. Darüber hinaus wird auf die Antwort zur Frage 6 verwiesen.
14: Wurden Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) bislang eingesetzt und wenn ja, in wie vielen Fällen mit wie vielen Betroffenen und
a) wie viele dieser Vorgänge sind noch laufend,
b) wie viele dieser Vorgänge sind bereits abgeschlossen,
c) welches Ziel wurde mit dem jeweiligen Einsatz verfolgt (Fernmeldeaufklärung, nachrichtendienstliches Mittel, Gefahrenabwehr, Strafverfolgung)?
15: In wie vielen Fällen erfolgte – sofern Frage 14 bejaht wird – bislang nach Abschluss der Maßnahme eine Information an Betroffene, in wie vielen Fällen wurde vorläufig von einer Benachrichtigung abgesehen oder soll dauerhaft davon abgesehen werden?
16: Welchen Schweregrad (base score) nach dem Common Vulnerability Scoring System (CVSS) haben – sofern Frage 14 bejaht wird – die beim Einsatz der Produkte von Candiru/Saito genutzten Vektoren zur Ausleitung von Daten aus dem jeweiligen Zielsystem?
17: Welche Kosten sind gegebenenfalls jeweils durch die Beschaffung, den Betrieb und die Wartung von Produkten der „Candiru Ltd.“ bzw. „Saito Tech Ltd.“ für Behörden des Bundes bislang entstanden (bitte aufschlüsseln nach Behörde und Jahr)?
Zu 14 bis 17: Auf die Vorbemerkung der Bundesregierung wird verwiesen.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
