„Welche Maßnahmen zur Erhöhung der Sicherheit und Integrität des Prozesses zur Erfassung und Weiterleitung von Wahlergebnissen unternahm die Bundesregierung, seitdem erstmals 2017 vom Chaos Computer Club und zuletzt im Dezember 2024 von CCC-Mitgliedern beim 38. Chaos Communication Congress Sicherheitsmängel der für das Schnellmelden von Wahlergebnissen verwendeten Software „Elect“ öf- fentlich gemacht wurden (www.golem.de/news/bundestagswahlen-wahlsoftwareim- mer- noch-unsicher-2412-192004.html) und warum setzt die Bundesregierung nicht auf eine Open Source Lösung, die idealerweise auf der OpenCode Plattform des Zentrums für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) veröffent- licht ist, also einen sicheren Ursprung hat, um gerade bei einem der wichtigsten de- mokratischen Prozesse eine unabhängige Prüfung und maximale Transparenz zu gewährleisten, wie sie dem Prinzip der „Öffentlichkeit der Wahl“ angemessen wäre?“
Antwort der Bundesregierung vom 19.02.2025:
„Die Gesamtverantwortung für die ordnungsgemäße Durchführung der Bundestags- wahl liegt bei der Bundeswahlleiterin. Bei der Wahrnehmung ihrer Aufgaben ist sie als Wahlorgan unabhängig und nicht an Weisungen gebunden. Zwischen dem Bun- desamt für Sicherheit in der Informationstechnik (BSI) und Bundeswahlleiterin finden (wie auch bei vorangegangenen Wahlen, z. B. der Europawahl 2024) regelmäßig Ab- stimmungen statt. Dabei prüft das BSI in Zusammenarbeit mit der Bundeswahlleiterin den Kernwahlprozess der Bundestagswahl auf mögliche Schwachstellen. Der Kern- wahlprozess selbst, das sogenannten Wahlabwicklungssystems, ist nicht über das Internet erreichbar. Für alle anderen notwendigen Informationen und Verfahren im Zusammenhang mit der Bundestagswahl, die auf Bundesebene über das Internet er- reichbar sein müssen, hat das BSI bereits Webchecks durchgeführt. Darüber hinaus hat das BSI einen Prozess entwickelt, der eine Zusammenarbeit für den Fall von IT-Sicherheitsvorfällen zwischen den Computer Emergency Response Teams (CERTs) von Bund und Ländern sicherstellt. Für die Wahlbehörden in den Ländern wurde ein Webinar-Programm im Dezember 2024 / Januar 2025 durchge- führt. Hierbei wurde der Schwerpunkt auf die Informationen zu den Meldewegen selbst, die Umsetzung des BSI IT-Grundschutzprofil Schnellmeldung in den Ländern mit den entsprechenden Meldewegen, sowie der Sensibilisierung der Zielgruppe ge- legt.
Die auf Bundesebene für die Bundestagswahl eingesetzte Software wurde vom ex- ternen Dienstleister „Votegroup GmbH“ für die Bundeswahlleiterin entwickelt. Die Bundeswahlleiterin geht sensibel mit den ihr vorliegenden Informationen um. Die Herausgabe sicherheitsrelevanter Informationen und Hintergründe muss daher je- weils einzelfallbasiert entschieden werden. Als besonders schützenswert eingestufte Informationen werden grundsätzlich nicht herausgegeben. Die Bundeswahlleiterin wird auch zukünftig faktenbasiert prüfen, wie angesichts der hohen, auch sicher- heitskritischen Relevanz mit dem Quellcode der auf Bundesebene eingesetzten Soft- ware für bundesweite Wahlen umzugehen ist. Die Sitzverteilungsberechnung lässt sich im Internetangebot der Bundeswahlleiterin nachvollziehen. Die Sitzberechnung der Bundestagswahl 2025 wird nach Vorliegen des vorläufigen und endgültigen Er- gebnisses zur Nachvollziehung der Berechnung veröffentlicht, siehe hier vergleichs- weise die Berechnung zur BTW2021: https://www.bundeswahlleite- rin.de/dam/jcr/bf33c285-ee92-455a-a9c3-8d4e3a1ee4b4/btw21_sitzberechnung.pdf.“
Zum vierten Mal seit 2021 erfragte DIE LINKE im Bundestag die Bundesregierung zur Nachhaltigkeit der Bundes-IT und nimmt eine Gesamtbewertung für die ablaufende Legislatur vor. Die ehemalige Ampelregierung war mit hohen Ansprüchen angetreten, schrieb sich Nachhaltigkeit in den Titel des Koalitionsvertrages und versprach nachhaltigere Rechenzentren, 100% Ökostrom bis Ende 2024, Einkauf von IT-Produkten und Dienstleistungen unter Berücksichtigung des Blauen Engels und die Fortsetzung der Reduktion der Rechenzentren im Rahmen der IT-Konsolidierung des Bundes. In der vorliegenden Kleinen Anfrage beantwortete die Bundesregierung auch Fragen zum erheblichen Einkaufsvolumen des Bundes für IT Produkte und Dienstleistungen, zur Umsetzung des Energieffizienzgesetzes und zum (extrem angestiegenen) Gesamtenergieverbrauch der Bundes-IT. Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der LINKEN im Bundestag:
Krachend gescheitert: Umsetzung der Nachhaltigkeitsziele für die Bundes-IT
Meine vierte Kleine Anfrage zur Nachhaltigkeit der Bundes-IT offenbart eine verheerende Bilanz der scheidenden Bundesregierung, die mit hohen Ansprüchen angetreten war, aber an jeglicher Umsetzung scheiterte. Der Energieverbrauch durch IT ist massiv angestiegen, die unglaubliche Marktmacht des Bundes von fast 10 Milliarden Euro Einkaufsvolumen wurde einfach nicht für die Bevorzugung nachhaltiger IT genutzt und seit 10 Jahren nicht erreichte Ziele wurden plötzlich für überflüssig erklärt, Beschlüsse ignoriert, Zielerreichungen nicht gemessen sowie Zielverfehlungen nicht sanktioniert. Auch die Umsetzung des Energieeffizienzgesetzes scheint völlig egal, niemand fühlt sich verantwortlich, schon gar nicht das BMWK. Die Ampel ist an der Umsetzung ihrer Nachhaltigkeitsziele krachend gescheitert, aber ich fürchte, in einer Koalition unter Merz wird das Thema Nachhaltigkeit der Digitalisierung schon an der mangelnden Zielsetzung scheitern.
Energieverbrauch der Bundes-IT extrem gestiegen, Ökostrom-Ziel verfehlt
Um 63 GWh stieg der Energieverbrauch der Bundes-IT in 2023. Allein damit könnte man 18.000 Mehrpersonenhaushalte mit Strom versorgen. Insgesamt wurden 2023 sogar 407 GWh verbraten – das würde für sämtliche ca. 116.000 Einwohner Göttingens reichen. Das bereits in 2017 vereinbarte Ziel, unter einem Verbrauch von 350 GWh zu bleiben, wurde damit erstmalig seit 2016 verfehlt, und gleich um 57 GWh. Der Anstieg des IT-Energieverbrauchs um 18 Prozent geht laut Bundesregierung vorwiegend auf den Energiehunger der Rechenzentren zurück. Trotzdem ergab meine Kleine Anfrage: nur jedes 10. RZ des Bundes nutzt ein Energiemanagement und nur ca. 70 Prozent der RZ verwenden 100 Prozent Ökostrom.
Trotz Klimakrise ignorierte die Bundesregierung die eigene Verantwortung und sorgte weder ausreichend für einen geringeren Energieverbrauch, noch für mindestens 100% Ökostrom. Dabei war es ihr erklärtes Ziel, dass bis Ende 2024 alle Liegenschaften des Bundes nur saubere Energie nutzen. Trotzdem werden einige RZ „nicht vor 2028“ und andere sogar erst „spätestens bis 2045“ auf Ökostrom umstellen – das wäre 21 Jahre nach der Deadline! Solche Antworten müssten interne Konsequenzen haben, haben sie aber nicht und hatten sie nie und das ist Teil des Problems.
Chance verpasst: 10 Milliarden Euro Einkaufsmacht des Bundes bei IT ohne Impact
Der Bund könnte allein mit seiner immensen Marktmacht Einfluss darauf nehmen, wie nachhaltig die IT in ganz Deutschland ist, denn bei über 2.000 Vergaben in 2023 gab er fast 10 Mrd Euro für IT-Produkte und Dienstleistungenaus. Aber das passiert einfach nicht, weil es zwar Beschlüsse, Leitfäden und Vorgaben gibt, aber keinerlei Verbindlichkeit, keine Transparenz zur Umsetzung und niemanden, der sich wirklich dafür verantwortlich fühlt. Allein für Software Beschaffung wurden 4,8 Mrd Euro in 2023 ausgegeben. In weiteren 3,7 Milliarden für IT-Dienste sind außerdem Vergaben für Software-Entwicklung enthalten. Laut Umweltbundesamt ist das Ressourceneinsparpotenzial von Software immens, aber trotzdem hat der Bund in dieser Legislatur bei mehr als 1700 vergebenen Software-Entwicklungsaufträgen kein einziges Mal die Einhaltung der Kriterien des Blauen Engel für energieeffiziente Software verlangt oder bei Eigenentwicklungen vergeben, nicht mal das Klima- und das Umweltministerium.
Auch bei keiner der 118 Vergaben von Cloud Dienstleistungen war der Blaue Engel eine Bedingung für den Einkauf. Hier könnte der Markt wirklich mal etwas regeln, aber eben nur, wenn der Bund seine Marktmacht auch nutzt. Ein Ministerium, das Wirtschafts- und Klimathemen vereint, könnte dabei Vorreiter sein, aber im BMWK ignoriert man nicht nur die eigene Marktmacht, sondern auch die Macht der Regulierung. NachVerabschiedung des abgeschwächten Energieeffizienzgesetzes scheint sich das BMWK nämlich dafür nicht mehr zu interessieren, denn es hat laut Antwort der Bundesregierung auf meine Fragen dazu u.a. „keine Kenntnis“ davon, ob und wie sich Unternehmen oder selbst der Bund daran halten, z.B. durch Beteiligung am RZ-Register.
Die 135 Rechenzentren des Bundes nutzen kaum Abwärme und klimafreundliche Kältemittel
Bei der Senkung der negativen Klimawirkung von Rechenzentren wurde weder bei der Nachnutzung der Abwärme noch bei der Art der Kältemittel eine nennenswerte Verbesserung im Vergleich zum Vorjahr erreicht. Bei Bestands-Rechenzentren ist eine Veränderung nicht einfach und manchmal gar nicht umzusetzen. Aber offensichtlich schöpft der Bund seine Möglichkeiten nicht aus, denn nur jedes 8. Rechenzentrum nutzt einen Teil seiner Abwärme und nur jedes 6. Rechenzentrum setzt klimafreundliche Kältemittel ein und für etwa jedes Dritte RZ wurde nicht einmal eine Antwort auf diese simplen Fragen gegeben.
Fazit zur Betriebskonsolidierung des Bundes: immer mehr statt weniger Rechenzentren
Seit 10 Jahren soll die Anzahl der Rechenzentren des Bundes um 90 Prozent sinken, von 100 RZ in 2015 auf 10 RZ in 2025. Stattdessen zeigen meine Kleinen Anfragen seit Jahren, dass keine Konsolidierung stattfindet. Für Ende 2024 gab der Bund 135 RZ an und noch in diesem Jahr sollen daraus sogar 139 werden, bevor es irgendwann weniger werden sollen. In 2028 sollen es 123 RZ sein, also immer noch 23 Prozent mehr, als bei Beginn der Konsolidierung, statt 90 Prozent weniger. Noch 2023 wurde mir im Digitalausschuss das alte Ziel der Konsolidierung auf künftig nur noch 10 RZ als weiterhin gültig versichert. Da war sogar von nur noch 3 Master-RZ die Rede. Aber nun kapituliert der Bund einfach komplett und erklärt nach einem Jahrzehnt Fehlentwicklung, dass die Anzahl der RZ ganz egal und ihre Reduktion kein Ziel mehr sei, man schaue jetzt nur noch auf die Konsolidierbarkeit von Anwendungen. Da die IT-Konsolidierung des Bundes eines der teuersten IT-Projekte mit einem Volumen von über 3 Milliarden Euro ist, ist diese Bankrotterklärung nicht nur peinlich, sondern auch ein unfassbar laxer Umgang mit Steuergeldern. Der Bundesrechnungshof kritisiert die mangelnde Umsetzung schon seit Jahren völlig zu Recht, aber leider auch völlig ohne Wirkung.
Kaum Transparenz, ein (noch?) disfunktionales Berichtswesen, fehlende Tools als Ausrede
Ich glaube an den Grundsatz „You get what you measure“, denn wenn man Ziele nicht messbar definiert und den Grad ihrer Erreichung nicht erhebt, ist die Wahrscheinlichkeit hoch, dass man sie verfehlt. Deshalb habe ich das Fehlen messbarer Ziele bei der Digitalstrategie von Anfang an kritisiert. Auch die Umsetzungsschwäche bei der Nachhaltigkeit der Digitalisierung hat viel mit vagen Zielen und/oder mangelnder Transparenz zu tun. Wieder war eine besonders häufige Antwort auf meine Fragen „Keine Angabe“ oder „keine Kenntnis“. Man kann nur spekulieren, ob das an Unfähigkeit oder am Unwillen liegt, diese Daten bereitzustellen. Manchmal ist die Ursache klar, wie bei der grottigen Ressourceneffizienz von Websites des Bundes. Den Klima-Impact seiner laut Antwort der Bundesregierung 2.160 Websiten ignoriert der Bund nämlich deshalb komplett, weil man die existierenden Tools zur Messung ihrer Ressourceneffizienz nicht gut genug findet. Dabei könnte der Bund selbst Tools entwickeln und zertifizieren lassen. Alternativ könnten eigene Vorgaben des Bundes dafür sorgen, dass Websiten von BMI und BMWK nicht mehr bei Messwerkzeugen wie websitecarbon.com schlechter abschneiden, als über 90 Prozent aller Websiten weltweit.
Immerhin könnte es künftig zuverlässigere Daten geben, denn ein neues Berichtswesen für die Nachhaltigkeit der RZ ist geplant. Ein Tool dafür soll irgendwann in 2025 entwickelt werden. Allerdings steht und fällt der Erfolg damit, ob die Anwendung verbindlich ist und sich die Behörden daranhalten. Vorgaben gibt es jetzt auch schon viele, sie werden nur leider folgenlos ignoriert. Der Gipfel ist jedoch der Umgang des Bundes mit verfehlten Zielen. Denn dann wird die Berichterstattung einfach verschleppt, wie beim Monitoringbericht zum Maßnahmeprogramm Nachhaltigkeit, der für 2023 immer noch nicht vorgelegt wurde und für 2024 „wegen Evaluierung“ gar nicht mehr geplant wird. Oder das Ziel wird insgesamt für obsolet erklärt, wie bei der Konsolidierung der Anzahl der Rechenzentren. Mehr Bankrotterklärung geht eigentlich gar nicht.
In der letzten Sitzung des Digitalausschusses hatten wir zu dem wichtigen Thema „Die Durchsetzung des Digital Services Act und des europäischen Rechts sowie Maßnahmen zum Schutz vor Desinformation und der Integrität von Wahlen“ die Generaldirektorin der EU-Kommission für Kommunikationsnetzwerke, Inhalte und Technologie, Renate Nikolay, zu Gast. Aufgrund des Sitzungsabbruchs konnte ich meine Fragen loider trotzdem nur schriftlich stellen. Meine Fragen und Antworten habe ich in dem obigem Blogpost veröffentlicht (vgl. oben https://mdb.anke.domscheit-berg.de/2025/02/eu-kom-durchsetzung-dsa/).
Die Antworten der Kommission zeigen, dass man dort die immense Tragweite des Problems noch immer nicht verstanden hat. Wenn wir die europäischen Demokratien und Werte vor einem Zerfall – wie er in den USA in vollem Gange ist – schützen wollen, müssen wir dringend und mit höchster Priorität dafür sorgen, dass wir uns auch von den großen Tech-Firmen aus den USA unabhängig machen. Es hilft nicht (mehr), kleinere Nischenprodukte für alternative Communities hier und da zu fördern, denn was wir brauchen, ist eine starke Alternative für ein wirklich soziales Netz, das auch eine Chance hat, sich gegen X und Co durchzusetzen: offen, interoperabel und transparent, über das wir öffentliche Diskurse auch ohne Manipulationen und Datenverkauf für kommerzielle Interessen führen können. Die EU muss dafür echte Verantwortung übernehmen und eine solches Netzwerk so unterstützen, dass es nutzerfreundlich, sicher und auskömmlich finanziert ist.
Gleichzeitig muss sich die EU mit den großen Plattformen anlegen, wenn sie unsere Demokratie gefährden. Der DSA legt dafür gute Grundlagen, in dem er von sehr großen Plattformen verlangt, ihre systemischen Risiken zu benennen sowie aktiv zu verringern und sie sanktioniert, wenn das nicht erfolgt. Dass die Eigentümerkontrolle eines Milliardärs über ein sehr großes soziales Netz ein systemisches Risiko per se ist, sollte völlig unstrittig sein, denn natürlich besteht bei derartiger Kontrolle durch eine Einzelperson das prinzipielle Risiko, dass diese Machtoption missbraucht wird, z.B. für Manipulationen von Diskursen in verschiedenen Ländern, auch im Vorfeld von Wahlen. Daher finde ich die Antwort der Kommission, dies sei nicht als Fall im DSA spezifisch geregelt, sehr seltsam. Wie kann man darauf nicht klipp und klar antworten: „Ja, die EU-KOM sieht das als systemisches Risiko und bezieht dieses Risiko in ihre Bewertung von X ein“?
Mich beruhigt dabei auch nicht, dass es bereits seit über einem Jahr ein Ermittlungsverfahren gegen X gibt. Wenn wir unsere angegriffene Demokratie effektiv verteidigen wollen, haben wir nicht beliebig viel Zeit. In den USA sieht man ja bereits, wie schnell Zerstörungsprozesse ablaufen können. Dass die EU eines der Grundprobleme nicht als solches anerkennen kann, nämlich die Risiken durch Tech-Giganten und ihre Milliardärseigentümer, die nicht ohne Grund als Broligarchie bezeichnet werden, ist beunruhigend und zeigt, dass man in Europa die Gefahren durch extreme Kapitalkonzentration unterschätzt. Dabei spürt man die Auswirkungen davon auch am extrem-Lobbyismus der Tech-Giganten in Brüssel. Wer wie Musk offen zur Wahl einer rechtsextremistischen Partei oder wie US-Vizepräsident Vance zur Kooperation mit ihr aufruft, will doch ganz offensichtlich die europäische Demokratie zerstören. Fakt ist: Große soziale Plattformen in der Hand von einzelnen Milliardären, die massiv Einfluss auf den Verbreitungsgrad von Medien und bestimmte Arten von Inhalten nehmen, sind ein strukturelles Risiko und eine Bedrohung für unsere Meinungsfreiheit und die Demokratie.
Seltsam ist auch, dass die EU-Kommission die Antwort verweigerte auf meine Frage, ob es stimmt, dass es wegen Druck aus den USA eine Überprüfung und Aussetzung von Bußgeldern bezüglich der laufenden DMA-Ermittlungen gegen Apple, Meta & Co gäbe. Was soll ich als Parlamentarierin denn davon halten? Wie ein Dementi klingt das jedenfalls nicht. Deshalb habe ich auch vor ein paar Tagen auf der Munich Cyber Security Conference die Vizepräsidentin der EU-Kommission, Henna Virkkunen, zuständig für technische Souveränität, Sicherheit und Demokratie, angesprochen und gefragt, ob die Gefahr besteht, dass sich die EU-Kommission von den USA durch deren diversen Druckmittel erpressen lässt. Sie betonte, dass sich die EU niemals von der EU erpressen lassen würde und laufende Ermittlungsverfahren mit Hochdruck weiterverfolgt werden. Ich hoffe sehr, dass das auch so ist und es zeitnah Urteile gibt, die dem Ausmaß der Rechtsverletzung auch Rechnung tragen. Denn ein Bußgeld in Milliardenhöhe ist vermutlich das einzige Argument, dass bei einem Milliardär noch gehört wird.
/von Birgit
https://mdb.anke.domscheit-berg.de/wp-content/uploads/signal-desktop-mac-universal-5.62.0-e1696580587591.png162533Birgithttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngBirgit2025-02-28 18:58:002025-02-28 18:58:01EU-KOMMISSION IGNORIERT GEFAHREN DURCH TECH-BROS
Der Digitalausschuss hatte sich in seiner letzten Sitzung der Legislaturperiode am 29. Januar 2025 auf meine Anregung ein enorm wichiges Thema vorgenommen, nämlich die Durchsetzung des Digital Services Act und des europäischen Rechts sowie Maßnahmen zum Schutz vor Desinformation und der Integrität von Wahlen. Die eingeladenen Unternehmen Meta, TikTok und X haben die Teilnahme kurzfristig verweigert, aber zumindest stand die Generaldirektorin der EU-Kommission für Kommunikationsnetzwerke, Inhalte und Technologie, Renate Nikolay, dem Ausschuss für Fragen zur Verfügung.
Leider stand die Sitzung ganz unter dem Eindruck des Ergebnisses der Abstimmung über den 5-Punkte-Plan von Friedrich Merz, auch bekannt als Fall der Brandmauer. Die Sitzung wurde während der Befraung von Frau Nicolay für spontane Fraktionssitzungen abgebrochen, weshalb ich meine Fragen vor Ort nicht stellen konnte. Ich hatte nur die Möglichkeit, diese im Nachgang schriftlich einzureichen. Die Antworten stelle ich hier online:
Frage 1:
Da immer mehr globale digitale Plattformen in der Hand von Tech Milliardären dem Rechtsruck unterliegen, vulnerable Gruppen weniger schützen und Desinformationen hemmungsloser verbreiten wollen, wäre es schön, wenn die EU eine gemeinwohlorientierte Alternative dafür schafft, z.B. auf der Basis des Fediverse oder von BlueSky, wie die freeourfeeds Initiative gerade plant. Eine Plattform, die wirklich werbefrei ist, keiner individuellen Agenda dient, sondern open source, interoperabel, transparent, mit hoher Nutzerautonomie und ohne Einflussnahme durch Staaten oder Privatpersonen, die einfach nur die Vernetzung und Kommunikation ermöglicht, ohne unsere Daten zu verkaufen oder uns zu manipulieren, ist eine riesige Marktlücke. Sie könnte zur sozialen Infrastruktur der digitalen Gesellschaft werden und verhindern, dass digitale Monopole in Milliardärshand unsere Demokratien ihrem Profitinteresse opfern. Gibt es dazu eine Debatte in der EUKOM und denkt man über Regulierung existierender Plattformen hinaus?
Antwort der EU-Kommission vom 14. Februar 2025:
„Die Kommission fördert alternative digitale Plattformen seit mehreren Jahren. Im Rahmen der Initiative „Next Generation Internet“ (NGI) inklusive Finanzierung durch das Programm Horizon Europe hat die Kommission dezentrale soziale Medienplattformen „made in Europe“ und „Fediverse“-Initiativen unterstützt. Mehr als 40 Projekte wurden bereits finanziert, darunter Mastodon für Mikroblogging, aber auch Alternativen zu YouTube (Peertube) und Instagram (pixelfed). Darüber hinaus existiert seit 2024 ein Pilotprojekt zum Fediverse („Fediversity“), um alternative dezentrale und Open-Source-Lösungen mit zugehöriger Infrastruktur und Unterstützung bereitzustellen.“
Frage 2:
Sehr große digitale Kommunikationsplattformen müssen laut DSA der EU-KOM strukturelle Risiken und Maßnahmen zu ihrer Reduzierung melden. Betrachtet die EU-KOM den Umstand, dass eine VLOP einem Milliardär gehört, der diese Plattform mitsamt ihren Algos zur einseitigen u massenhaften Beeinflussung der pol. Meinungsbildung bei Wahlen in einem EU Land einsetzen kann, einerseits als strukturelles Risiko nach DSA, das andererseits im Fall von Elon Musk nicht im Sinne des DSA minimiert, sondern aktuell maximiert wird – zB durch Verbreitung von Desinformation und massenhafter Werbung für Frau Weidel und ihre rechtsextreme AfD und gibt es diesbezüglich Ermittlungen?
Antwort der EU-Kommission vom 14. Februar 2025:
„Der spezifische Fall, den das Mitglied des Bundestags in dieser Frage beschreibt, ist im DSA nicht in dieser Detailtiefe geregelt. Daher ist eine fallbezogene Bewertung auf Basis der konkreten Fakten und Umstände jedes Einzelfalls erforderlich. In diesem Zusammenhang ist wichtig zu betonen, dass die Kommission bereits am 18. Dezember 2023 ein Verfahren gegen X wegen Risiken negativer Auswirkungen auf die gesellschaftliche Debatte und auf Wahlprozesse eingeleitet hat. Zudem wurden am 17. Januar zusätzliche Ermittlungsmaßnahmen im Hinblick auf die Empfehlungssysteme von X eingeleitet.“
Frage 3:
Können wir uns auf das europäische Wertesystem und die geltende Regulierung verlassen, auch wenn Trump seine Drohungen ernst meint, Zölle zu erhöhen oder die NATO hängen zu lassen, falls der DSA seine Zähne zeigt und US-Tech-Milliardäre für die Risiken ihrer Plattformen bestraft? Und stimmt der Bericht der Financial Times, wonach derzeit eine Überprüfung und Aussetzung von Bußgeldern bezügl. der laufenden DMA-Ermittlungen gegen Apple, Meta & Co laufe, wg Druck aus den USA?
Antwort der EU-Kommission vom 14. Februar 2025:
„Die Europäische Kommission handelt unabhängig und wird ihre Arbeit bei der Durchsetzung von DSA und DMA auch weiterhin ausschließlich auf Fakten und Beweisen basieren. Die Durchsetzung des europäischen Rechts erfolgt ausschließlich im Einklang mit den geltenden Verfahren. Alle Untersuchungen laufen ohne Unterbrechung oder Verzögerung. Zu den zitierten Presseberichten der Financial Times können die Kommissionsdienste keine Stellung nehmen.“
Frage 4:
Geht die EU KOM Hinweisen nach, dass es gezielte pushes für bestimmte rechtsgerichtete politische Inhalte auf X vor der Präsidentschafts-Wahl in den USA gab bzw. in Deutschland aktuell gibt, wie es der mutmaßliche Whistleblower „concerned bird“ am 11. Januar 2025 auf seinem Blog behauptete?
Antwort der EU-Kommission vom 14. Februar 2025:
„Zunächst weisen wir auf ein spezielles Whistleblower-Tool für den DSA hin, über das jede Person anonym vertrauliche Dokumente zu möglichen Verstößen gegen den DSA einreichen kann: https://digital-services-act-whistleblower.integrityline.app/ Bezüglich der von einem mutmaßlichen Whistleblower am 11. Januar 2025 geäußerten Behauptungen verfolgt die Kommission alle relevanten Hinweise mit der gebotenen Sorgfalt. Falls belastbare Beweise für Verstöße gegen den DSA oder andere europäische Regeln vorliegen, werden entsprechende Maßnahmen ergriffen werden.“
Und dann hatte ich noch eine Frage an das BMI:
Correctiv berichtete von ca. 100 dt. sprach. Fake-News-Websiten, die vermutlich für Einflussnahme auf BTW aufgebaut wurden, überwiegend inaktiv sind, aber einige bereits zur Verbreitung von Desinfo genutzt wurden, z.B. Behauptung 1,9 Kenianer kämen nach Abkommen mit Kenia nach DE oder BW mobilisiert 0,5 Mio. Soldaten für Osteuropa Einsatz. KI genutzt für DeepFakes. Verbreitung durch pro-russ. Influencer. Dahinter soll russischen Operation Storm 1516 u ein russ. Geh. Dienst stecken – gleiches Netzwerk verbreitete Desinfo zur US-Wahl. Was unternimmt die BuReg mit welchen Instanzen konkret zur Prüfung u ggf. zur Abschaltung? Was ist der Kenntnisstand?
Antwort des BMI vom 7. Februar 2025:
„Die Einflussoperation „Storm-1516“ ist dem BMI und den nachgeordneten Sicherheitsbehörden bekannt und wird im Rahmen der Analyse von Desinformations- und Einflusskampagnen, auch mit Blick auf die anstehende Bundestagswahl, bearbeitet. Die bei SIM Networks gehosteten Domains sind nach wie vor online. Die klandestine Verbreitung von Desinformation durch ausländische staatliche Stellen in Deutschland ist grundsätzlich nicht strafbar. Dies erschwert behördliche Anweisungen an deutsche Provider für Abschaltungen, wie hier im Falle von SIM Networks.“
/von Birgit
https://mdb.anke.domscheit-berg.de/wp-content/uploads/signal-desktop-mac-universal-5.62.0-e1696580587591.png162533Birgithttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngBirgit2025-02-28 18:56:042025-02-28 18:56:06EU-KOMMISSION: WIE HÄLTST DU’S MIT X & CO?
Wie ordnet sich der aktuelle Status der Umsetzung der Registermodernisierung hinsichtlich Anzahl Register, Datenschutz-Cockpit, NOOTS und Einhaltung der Fristen der Single-Digital-Gateway-Verordnung in den Zeitplan derselben ein (also was ist bereits erreicht bzw. was soll bis wann umgesetzt werden), und wie ist technisch und/oder organisatorisch ausgeschlossen, dass einzelne Behörden (z. B. Behörden mit Sicherheitsaufgaben) Schattendatenbanken anlegen, deren Datenabfragen dadurch nicht im Datenschutz-Cockpit auftauchen?
Antwort der Bundesregierung vom 6.2.2025:
Der Umsetzungsstand der Registermodernisierung inklusive des National-Once-Only-Technical-System (NOOTS) kann dem Bericht der Gesamtsteuerung Registermodernisierung an den IT-Planungsrat vom November 2024 entnommen werden.
Dieser ist öffentlich unter https://www.it-planungsrat.de/beschluss/beschluss-2024-57 einsehbar. Die Anforderungen der Single-Digital-Gateway-Verordnung (SDG-VO) sind umfassend, aber nicht abschließend erfüllt. Erste Komponenten zur Einrichtung eines EU Once-Only-Technical-Systems (EU-OOTS) wurden erbaut und erfolgreich getestet.
Der Roll-out der Identifikationsnummer in Register in Verantwortung der Länder wird aktuell in Abstimmung mit den Registermodernisierungskoordinatoren der Länder geplant. Innerhalb der Roll-out-Vorhaben werden der Anschluss an den Identitätsdatenabruf (IDA) und das Datenschutzcockpit (DSC) gemeinsam betrachtet und die Meilensteine aufeinander abgestimmt, sodass dieser möglichst parallel erfolgt.
Vor dem Hintergrund des dargestellten Umsetzungsstands ist die Anlage einer „Schattendatenbank“ ausgeschlossen. Die Sicherheitsbehörden führen kein in der Anlage zu § 1 Identifikationsnummerngesetz (IDNrG) genanntes Register. Darüber hinaus gibt es keine Rechtsgrundlage, die einen Abruf der Identifikationsnummer aus den in der Anlage zu § 1 IDNrG genannten Register durch die Sicherheitsbehörden gestattet.
https://mdb.anke.domscheit-berg.de/wp-content/uploads/signal-desktop-mac-universal-5.62.0-e1696580587591.png162533Birgithttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngBirgit2025-02-13 16:12:522025-02-13 16:12:52MEINE SCHRIFTLICHE FRAGE ZUM STAND DER REGISTERMODERNISIERUNG
Auf welchen Plattformen wie z. B. OpenCode und GitHub wurden die laut Antwort der Bundesregierung auf meine Schriftliche Frage 57 auf Bundestagsdrucksache 20/12484 durch den Bund als Open Source beauftragten Software-Entwicklungen bisher veröffentlicht (bitte jeweils die Anzahl je Plattform nennen, ggf. nur Anzahl für OpenCode, GitHub und „Sonstige“ nennen), und was sind die fünf häufigsten Gründe, weshalb bei den übrigen als Open Source Software entwickelten Lösungen keine Veröffentlichung des Quellcodes auf OpenCode bzw. auf anderen öffentlich zugänglichen Plattformen erfolgte (bitte nach OpenCode und anderen Plattformen unterscheiden)?
Antwort der Bundesregierung vom 31.01.2025:
Im Folgenden wird die Verteilung der durch den Bund als Open Source beauftragten und veröffentlichten Software-Entwicklungen auf verschiedenen Plattformen dargestellt. Die Übersicht zeigt die Anzahl der Veröffentlichungen auf den Plattformen OpenCode, GitHub sowie weiteren Plattformen, die als „Sonstige“ zusammengefasst wurden. Es erfolgten insgesamt Rückmeldungen zu 144 durch den Bund als Open Source beauftragten Software-Entwicklungen (Anmerkung: Die Anzahl der bei dieser Schriftlichen Fragen durch das Bundesministerium für Ernährung und Landwirtschaft zurückgemeldeten Projekte ist wesentlich geringer als die der Bundestagsdrucksache 20/12484, Frage 57.
Dies hat den Grund, dass eine Behörde bei der damaligen Anfrage jeden einzelnen Wartungs- und Entwicklungsauftrag separat benannt hatte, welche allerdings lediglich auf drei Projekte entfallen, die eine Neuentwicklung zum Inhalt haben. Die übrigen Aufträge dienten der Wartung und Pflege vorhandener Anwendungen.
Plattform
OpenCode
GitHub
Sonstige
Anzahl der veröffentlichten Software-Entwicklungen
14
47
10
Die fünf häufigsten Gründe für eine Nichtveröffentlichung des Quellcodes, unterschieden nach OpenCode und anderen Plattformen, lauten wie folgt (enthält Mehrfachnennungen):
Gründe für Nichtveröffentlichung auf Open Code:
Verarbeitung sicherheitsrelevanter Aspekte und / oder sensibler Informationen
Anwendung zu behördenspezifisch, fehlender Mehrwert für die Allgemeinheit
https://mdb.anke.domscheit-berg.de/wp-content/uploads/signal-desktop-mac-universal-5.62.0-e1696580587591.png162533Birgithttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngBirgit2025-02-13 16:10:262025-02-13 16:10:27MEINE SCHIRFTLICHE FRAGE NACH DER VERÖFFENTLICHUNG VON OPEN SOURCE PROJEKTEN DES BUNDES
Die vor inzwischen 2 Jahren in Kraft getretene NIS-2-Richtline der EU, die wichtige Standards für mehr IT-Sicherheit bringt, hätte bis zum Oktober 2024 in nationales Recht umgesetzt werden müssen. Dass die Bundesregierung ausgerechnet bei diesem sicherheitskritischen Thema bummelt und bereits ein Vertragsverletzungsverfahren gegen Deutschland eröffnet werden musste, ist verantwortungslos und auch nicht mit dem Ampel-Aus im November zu erklären. Aber das ist nur die Spitze des Eisbergs: Der Entwurf der Bundesregierung wird außerdem der gestiegenen Gefährdungslage nicht gerecht, sondern hangelt sich kläglich nur an den absoluten Minimalanforderungen der EU entlang: So soll es zwar einen Bundes-CISO geben, aber er soll von vorneherein als zahnloser Tiger angelegt werden, ohne angemessene Ressourcen und ohne Vetorecht – mehr Sicherheit wird diese Rolle so kaum schaffen können.
Auch die von NIS-2 geforderte Entkriminalisierung der IT-Sicherheitsforschung konnte die Bundesregierung trotz Koalitionsversprechen nicht auf den Weg bringen, und so bleiben vermutlich aufgedeckte Sicherheitslücken trotzdem unbekannt und können nicht geschlossen werden, weil Sicherheitsforschende weiterhin mit einem Bein im Knast stehen.
Kommunen im Gesetzentwurf zur NIS-2 Umsetzung ausgeschlossen
Besonders irritierend ist aber der Ausschluss der Kommunen in der geplanten Umsetzung, obwohl gerade Kommunen vielfach von Cyberattacken betroffen sind und ohne Frage zur kritischen Infrastruktur zählen. Wenn die kommunale Ebene wegen einer Cyberattacke lahm gelegt ist, geht vor Ort nichts mehr. Deshalb wurde im Landkreis Anhalt-Bitterfeld nach einer Ransomware Attacke sogar der Katastrophenfall ausgerufen. Wenn Geburten nicht mehr gemeldet, Sozialleistungen nicht mehr abgerufen, Kitaplätze nicht mehr verwaltet und Gehälter nicht mehr gezahlt werden können, ist das ein Riesenproblem. Das habe ich deshalb auch in meiner Rede zur NIS-2 Umsetzung am 11.10.24 im Bundestag kritisiert. Kritik kam auch von der AG KRITIS und der VITAKO, dem Verband der kommunalen IT-Dienstleister.
BMI: „Kommunen? Das erlaubt EU-Recht gar nicht“
Ich habe schon viele schräge Begründungen für schlechte Gesetze gehört, aber vom BMI gab es für den Ausschluss der Kommunen einen echten Tiefpunkt: Andreas Reisen, Referatsleiter CI 3 „Cybersicherheit für Wirtschaft und Gesellschaft“ beim BMI entgegnete auf mein Plädoyer für den Einbezug der Kommunen bei der NIS-2 Umsetzung in Deutschland auf dem VOICE Entscheiderforum im November 2024, dass die NIS-2-Richtlinie der EU die Beteiligung von Kommunen gar nicht erlaube. Weil ich das reichlich seltsam fand, habe ich den Wissenschaftlichen Dienst des Bundestags beauftragt, diese Aussage wissenschaftlich zu prüfen.
Gutachten Wiss. Dienst: „Kommunen? Gar kein Problem mit EU-Recht!“
Der Sachstand des Wissenschaftlichen Dienstes des Bundestages ist eindeutig: Kommunen können explizit einbezogen werden, das ist Sache der Umsetzung in den Mitgliedsstaaten und nichts in der NIS-2-Richtline spricht dagegen, dies zu tun! Im Gutachten wird sogar hin- und her interpretiert, ob sich ggf. eine Verpflichtung ergeben könnte, die Kommunen unbedingt einzubeziehen, aber da gäbe es Spielräume und eine Pflicht sei unwahrscheinlich.
Dass die Bundesregierung NIS-2 und damit die Sicherheit kritischer Infrastrukturen vernachlässigt, ist das eine, das aber auch noch mit angeblichen EU-Hürden zu begründen und sich auf diese Weise herauszureden, ist wirklich dreist!
Weiterführende Links:
Pressemitteilung der EU-Kommission zu den Vertragsverletzungsverfahren vom 28.11.2024
https://mdb.anke.domscheit-berg.de/wp-content/uploads/signal-desktop-mac-universal-5.62.0-e1696580587591.png162533Birgithttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngBirgit2025-02-04 13:48:542025-02-04 13:48:55NIS-2 UMSETZUNG IN DEN SAND GESETZT – KOMMUNEN IM STICH GELASSEN
Diese Folge ist ein Special – live aufgezeichnet im Sendezentrum des Chaos Communication Congress 38C3 des Chaos Computer Clubs – der größten Hacker-und Haecksen-Convention Europas und seit 2010 mein Highlight des Jahres. Dort traf ich Marlies Wiegand, die nicht nur nerdig drauf ist, sondern auch Bundestagskandidatin für die Linke in Schleswig-Holstein. Wir nahmen spontan diese Sonderfolge auf, um unsere Eindrücke zu teilen. Im Hintergrund wuselt der 38c3, während wir Euch verraten, was unsere liebsten Talks waren, denn die könnt Ihr Euch in der Mediathek des CCC noch ansehen. Wir erzählen von krassen Sicherheitslücken der elektron. Patientenakte, illegalen Sammlungen von Bewegungsdaten durch VW, von Anne Brorhilkers Talk zum Cum Ex/Cum Cum Steuerraub (die ich im Podcast versehentlich als ehemalige Staatssekretärin statt als Ex-Staatsanwältin bezeichne – oops!), es geht um Desinformation, KI und Kapitalismus, Eat the Rich, Bezahlkarten und Digitalzwang, aber lachen könnt Ihr auch, z.B. bei KI-Karma next Level, versprochen!
Transkript (KI-generiert und kann damit Fehler aufweisen) 📜:
00:00:07 Intro: Wer ist Marlies, was mache ich und was ist der 38C3? 00:12:57 Desinformation, Doppelgänger-Initiative, Wahlbeeinflussung 00:16:53 Unsere liebsten Talks 00:20:54 Outro: Gemeinwohlorientierte Digitalpolitik kann man wählen
https://mdb.anke.domscheit-berg.de/wp-content/uploads/Anke-feat-Marlies-Wiegand-.jpg400400Melissa Meyerhttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngMelissa Meyer2025-01-24 13:49:132025-01-27 11:34:50Der ADB Podcast #44 – Das Best-of-38C3 Special mit Marlies Wiegand
Nach 20 Jahren Planung und erfolglosem Rollout von Vorgängervarianten startete am 15. Januar 2025 der Test der sogenannten „ePA für alle“, der elektronischen Patientenakte 3.0, in vorerst knapp 300 ausgewählten Praxen in Hamburg, Franken und NRW. Ob der geplante bundesweite Rollout wie geplant im Februar starten soll, steht aktuell in den Sternen, nachdem Ende Dezember aus dem Umfeld des Chaos Computer Clubs verschiedene Sicherheitslücken öffentlich präsentiert wurden, die theoretisch einen illegitimen Zugriff auf alle künftigen etwa 70 Mio. Patientenakten ermöglichen könnten. Auf diverse Fragen der Bundestagsabgeordneten der Linken, Anke Domscheit-Berg, antwortete die Bundesregierung entweder gar nicht, ausweichend, oder irritierend.
Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:
„Die Antworten der Bundesregierung auf meine Fragen zeigen, dass das Gesundheitsministerium (BMG) immer noch nicht bereit ist, sich ehrlich zu machen und transparent mit dem anhaltend mangelnden Sicherheitsniveau der ePA umzugehen. Dazu gehört, auf klare Fragen auch vollständig und verständlich zu antworten, statt unliebsame Fragen einfach zu ignorieren und bei anderen verklausuliert um den heißen Brei herumzureden. Das ist schlechter Führungsstil und eine Missachtung parlamentarischer Verfassungsrechte.
Bei einem Großprojekt mit hochsensiblen Gesundheitsdaten eines Großteils der Bevölkerung, das nur erfolgreich sein kann, wenn die Daten sicher und das Vertrauen der Patient:innen hoch ist, muss man gerade Probleme und IT-Sicherheitsrisiken transparent kommunizieren und das findet weiterhin nicht statt. Wenn Patient:innen aber immer wieder erleben, dass Minister Lauterbach die ePA als sicher anpreist, während Schlagzeilen von erschütternd einfach auszunutzenden Sicherheitslücken berichten, wie die Übertragung wichtiger Identifikationsdaten ohne Verschlüsselung und das einfache Hochzählen von Kartennummern, dann wird jedes Mal Vertrauen in die ePA zerstört und werden Menschen sie nicht nutzen wollen, die von ihr profitieren könnten. Ich fühle mich inzwischen als Patientin nur noch auf den Arm genommen, wenn mir das BMG selbst jetzt noch antwortet, dass Deutschland eine der sichersten Infrastrukturen im Gesundheitswesen in Europa habe.
Viel sagt auch der Fakt, dass meine Frage nach den konkreten Forderungen der Bundesbeauftragten für den Datenschutz (BfDI) zur neuen ePA komplett unbeantwortet blieb, wohl weil es sonst peinlich würde für die Bundesregierung, denn diese Forderungen wurden schon im Sommer gestellt und offensichtlich ignoriert. Leider wurde das Veto-Recht von BSI und BfDI bei der ePA zugunsten eines bloßen Rechts auf Anhörung aufgehoben, das BMG kann sie daher einfach ignorieren und ihre Forderungen schlicht unter den Teppich kehren.
Auffällig ist auch die fehlende Antwort auf meine Frage, ob das BSI auch Geheimnisträger:innen mit sensiblen Gesundheitsdaten die Nutzung der ePA zum Zeitpunkt ihrer Einführung empfehlen würde. Angesichts der extrem hohen Bedrohungslage durch fremdstaatliche Akteure ist das eine wichtige Frage, zumal das BMG behauptet, dass Risiken fremdstaatlicher Akteure im Sicherheitsgutachten vom Fraunhofer SIT berücksichtigt wurden, während man in diesem Gutachten das genaue Gegenteil davon lesen kann, nämlich dass der Auftraggeber gematik, dessen Mehrheitsgesellschafter das BMG ist, diese Risikobetrachtung nicht relevant fand, weshalb sie ausgeklammert wurde.
Leider löst diese ePA ihr Nutzenversprechen nicht ein, da sie nur mit rudimentären Funktionen kommt, gleichzeitig sind die Risiken für die darin gespeicherten Daten zwar hoch, aber Patient:innen völlig ungenügend darüber informiert. Dabei erfordert gerade der Paradigmenwechsel von der Einwilligungslösung zur Widerspruchslösung höchste Transparenz über den Nutzen und die Risiken für alle – ähnlich der Beipackzettel bei Medikamenten – damit eine informierte Entscheidung für oder gegen die Nutzung überhaupt getroffen werden kann.
Wenn die „ePA für alle“ nicht mit Datenskandalen zum Rohrkrepierer werden soll, muss Minister Lauterbach endlich klar und offen kommunizieren und den Flächenrollout per Opt Out so lange verschieben, bis die Angriffsrisiken auch durch fremdstaatliche Akteure sorgfältig evaluiert wurden, alle aktuell bekannten Sicherheitslücken tatsächlich geschlossen wurden – technische und organisatorische – und sichergestellt ist, dass alle Patient:innen tatsächlich umfassend über den Nutzen und die Risiken der „ePA für alle“ informiert sind. Eine Augen-zu-und-durch-Strategie aus Gründen der Wahlkampftaktik ist in Zeiten hybrider Kriegsführung und steigender Bedrohungsintensität jedenfalls indiskutabel.“
Frage zur Aufklärung der Patient:innen zu Risiken der ePA und zur Evaluation des Informationsstands in der Bevölkerung
Frage zur fehlenden Berücksichtigung der Risiken durch fremdstaatliche Akteure im Sicherheitsgutachten von Fraunhofer und zur Empfehlung der ePA für Geheimnisträgerinnen
Frage zum konkreten Handlungsbedarf nach der Aufdeckung von Sicherheitslücken durch den CCC und zu einer möglichen Verschiebung des bundesweiten Rollouts oder eines Wechsels von Opt Out zurück zu Opt In
Frage zur Bewertung der nach Bekanntwerden der Sicherheitslücken durch den CCC veröffentlichten Maßnahmen der Gematik durch das BSI und zu den Forderungen der BfDI
Die Umsetzung der EU Verordnung für eID-Wallets (digitale Brieftaschen für elektronische Ausweise) muss unbedingt mit „Null-Wissen-Beweis“ erfolgen, und so, dass Überidentifikation verhindert wird. Mit Sorgfalt umgesetzt, können digitale Identitäten zum Vertrauensanker werden und digitalen Verbraucherschutz sicherstellen und Identitätsdiebstähle verringern.
Meine letzte Rede im Wortlaut:
Sehr geehrte Präsidentin! Liebe Kollegen und Kolleginnen! Wenn Pornoplattformen oder Mediatheken von Usern eingescannte Ausweise fordern, um Minderjährige zu schützen, ist das eine ganz schlechte Idee. Jugendschutz erfordert nämlich nicht die Aufhebung der Anonymität im Internet. Mein Name, mein Geburtsdatum, meine Adresse sind dafür nicht relevant, sondern nur der Fakt: Bin ich mindestens so und so alt? Diese Frage mit Ja oder Nein zu beantworten statt mit dem Geburtsdatum, nennt man einen Null-Wissen-Beweis oder Zero Knowledge Proof.
Bei der Umsetzung der EU-Verordnung für digitale Ausweisbrieftaschen muss dieser Zero Knowledge Proof in Deutschland verpflichtend sein, um eine Überidentifikation zu verhindern.
(Beifall bei der Linken)
Die eIDAS-Verordnung lässt dafür Spielräume. Deshalb unterstützt Die Linke die Forderung der Union, alle Spielräume für mehr Schutz der Privatsphäre auch auszunutzen. Schließlich sind Ausweisdaten hoheitliche Daten, und staatlich verifiziert werden sie zum Goldstaub im legalen und illegalen Datenhandel. Deshalb ist die Vermarktung attraktiv für Plattformen, aber auch für kriminelle Hacker. Gefährlich sind sie für Nutzer/-innen. Immerhin hat die Union nach der versemmelten ID-Wallet in der letzten Legislatur viel dazugelernt. Ihr Antrag enthält viele gute Vorschläge. Herzlichen Glückwunsch.
(Beifall bei der Linken)
Bei digitalen Identitäten ist nämlich die Sorgfalt entscheidend. Die Linke will sie gut gemacht, mit hohen Standards und ausreichend Ressourcen. Dann werden sie zum Vertrauensanker im Internet, erhöhen den digitalen Verbraucherschutz und werden Treiber für Innovationen.
(Beifall bei der Linken)
Bis zur Wahl ist die Umsetzung der Vorschläge der Union ziemlich sicher ausgeschlossen. Aber Die Linke wird die Union gerne an den Inhalt erinnern, sollte sie nach der Wahl eventuell auf der Regierungsbank sitzen und damit selbst Probleme haben.
Meinen Abschied vom Bundestag habe ich schon in der letzten Sitzungswoche angekündigt. Deshalb hier und heute nur ganz kurz: Es war mir eine Ehre. Für fast acht Jahre bedingungslose Unterstützung möchte ich meinem Mann Daniel herzlich danken. Ohne ihn hätte es linke Digitalpolitik mit mir im Bundestag nicht gegeben.
Dankeschön.
(Beifall bei der Linken, der SPD, der CDU/CSU, dem BÜNDNIS 90/DIE GRÜNEN und der FDP)
Meine Schriftliche Frage zur Wahl-Software von Votegroup
Aktuelles, Digitalisierung und Staat, Diverses, eGovernment, IT-Sicherheit, Open Government, Parlamentarische Initiativen, Schriftliche Frage, Themen, VerbraucherschutzMeine Frage:
„Welche Maßnahmen zur Erhöhung der Sicherheit und Integrität des Prozesses zur
Erfassung und Weiterleitung von Wahlergebnissen unternahm die Bundesregierung,
seitdem erstmals 2017 vom Chaos Computer Club und zuletzt im Dezember 2024
von CCC-Mitgliedern beim 38. Chaos Communication Congress Sicherheitsmängel
der für das Schnellmelden von Wahlergebnissen verwendeten Software „Elect“ öf-
fentlich gemacht wurden (www.golem.de/news/bundestagswahlen-wahlsoftwareim-
mer- noch-unsicher-2412-192004.html) und warum setzt die Bundesregierung nicht
auf eine Open Source Lösung, die idealerweise auf der OpenCode Plattform des
Zentrums für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) veröffent-
licht ist, also einen sicheren Ursprung hat, um gerade bei einem der wichtigsten de-
mokratischen Prozesse eine unabhängige Prüfung und maximale Transparenz zu
gewährleisten, wie sie dem Prinzip der „Öffentlichkeit der Wahl“ angemessen wäre?“
Antwort der Bundesregierung vom 19.02.2025:
„Die Gesamtverantwortung für die ordnungsgemäße Durchführung der Bundestags-
wahl liegt bei der Bundeswahlleiterin. Bei der Wahrnehmung ihrer Aufgaben ist sie
als Wahlorgan unabhängig und nicht an Weisungen gebunden. Zwischen dem Bun-
desamt für Sicherheit in der Informationstechnik (BSI) und Bundeswahlleiterin finden
(wie auch bei vorangegangenen Wahlen, z. B. der Europawahl 2024) regelmäßig Ab-
stimmungen statt. Dabei prüft das BSI in Zusammenarbeit mit der Bundeswahlleiterin
den Kernwahlprozess der Bundestagswahl auf mögliche Schwachstellen. Der Kern-
wahlprozess selbst, das sogenannten Wahlabwicklungssystems, ist nicht über das
Internet erreichbar. Für alle anderen notwendigen Informationen und Verfahren im
Zusammenhang mit der Bundestagswahl, die auf Bundesebene über das Internet er-
reichbar sein müssen, hat das BSI bereits Webchecks durchgeführt.
Darüber hinaus hat das BSI einen Prozess entwickelt, der eine Zusammenarbeit für
den Fall von IT-Sicherheitsvorfällen zwischen den Computer Emergency Response
Teams (CERTs) von Bund und Ländern sicherstellt. Für die Wahlbehörden in den
Ländern wurde ein Webinar-Programm im Dezember 2024 / Januar 2025 durchge-
führt. Hierbei wurde der Schwerpunkt auf die Informationen zu den Meldewegen
selbst, die Umsetzung des BSI IT-Grundschutzprofil Schnellmeldung in den Ländern
mit den entsprechenden Meldewegen, sowie der Sensibilisierung der Zielgruppe ge-
legt.
Die auf Bundesebene für die Bundestagswahl eingesetzte Software wurde vom ex-
ternen Dienstleister „Votegroup GmbH“ für die Bundeswahlleiterin entwickelt. Die
Bundeswahlleiterin geht sensibel mit den ihr vorliegenden Informationen um. Die
Herausgabe sicherheitsrelevanter Informationen und Hintergründe muss daher je-
weils einzelfallbasiert entschieden werden. Als besonders schützenswert eingestufte
Informationen werden grundsätzlich nicht herausgegeben. Die Bundeswahlleiterin
wird auch zukünftig faktenbasiert prüfen, wie angesichts der hohen, auch sicher-
heitskritischen Relevanz mit dem Quellcode der auf Bundesebene eingesetzten Soft-
ware für bundesweite Wahlen umzugehen ist. Die Sitzverteilungsberechnung lässt
sich im Internetangebot der Bundeswahlleiterin nachvollziehen. Die Sitzberechnung
der Bundestagswahl 2025 wird nach Vorliegen des vorläufigen und endgültigen Er-
gebnisses zur Nachvollziehung der Berechnung veröffentlicht, siehe hier vergleichs-
weise die Berechnung zur BTW2021: https://www.bundeswahlleite-
rin.de/dam/jcr/bf33c285-ee92-455a-a9c3-8d4e3a1ee4b4/btw21_sitzberechnung.pdf.“
Antwortschreiben im Original (geschwärzt):
Pressemitteilung: Verheerende Nachhaltigkeitsbilanz der Bundes-IT
Aktuelles, Digitalisierung und Staat, eGovernment, Kleine Anfrage, Nachhaltigkeit, Parlamentarische Initiativen, Pressemitteilung, ThemenZum vierten Mal seit 2021 erfragte DIE LINKE im Bundestag die Bundesregierung zur Nachhaltigkeit der Bundes-IT und nimmt eine Gesamtbewertung für die ablaufende Legislatur vor. Die ehemalige Ampelregierung war mit hohen Ansprüchen angetreten, schrieb sich Nachhaltigkeit in den Titel des Koalitionsvertrages und versprach nachhaltigere Rechenzentren, 100% Ökostrom bis Ende 2024, Einkauf von IT-Produkten und Dienstleistungen unter Berücksichtigung des Blauen Engels und die Fortsetzung der Reduktion der Rechenzentren im Rahmen der IT-Konsolidierung des Bundes. In der vorliegenden Kleinen Anfrage beantwortete die Bundesregierung auch Fragen zum erheblichen Einkaufsvolumen des Bundes für IT Produkte und Dienstleistungen, zur Umsetzung des Energieffizienzgesetzes und zum (extrem angestiegenen) Gesamtenergieverbrauch der Bundes-IT. Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der LINKEN im Bundestag:
Krachend gescheitert: Umsetzung der Nachhaltigkeitsziele für die Bundes-IT
Meine vierte Kleine Anfrage zur Nachhaltigkeit der Bundes-IT offenbart eine verheerende Bilanz der scheidenden Bundesregierung, die mit hohen Ansprüchen angetreten war, aber an jeglicher Umsetzung scheiterte. Der Energieverbrauch durch IT ist massiv angestiegen, die unglaubliche Marktmacht des Bundes von fast 10 Milliarden Euro Einkaufsvolumen wurde einfach nicht für die Bevorzugung nachhaltiger IT genutzt und seit 10 Jahren nicht erreichte Ziele wurden plötzlich für überflüssig erklärt, Beschlüsse ignoriert, Zielerreichungen nicht gemessen sowie Zielverfehlungen nicht sanktioniert. Auch die Umsetzung des Energieeffizienzgesetzes scheint völlig egal, niemand fühlt sich verantwortlich, schon gar nicht das BMWK. Die Ampel ist an der Umsetzung ihrer Nachhaltigkeitsziele krachend gescheitert, aber ich fürchte, in einer Koalition unter Merz wird das Thema Nachhaltigkeit der Digitalisierung schon an der mangelnden Zielsetzung scheitern.
Energieverbrauch der Bundes-IT extrem gestiegen, Ökostrom-Ziel verfehlt
Um 63 GWh stieg der Energieverbrauch der Bundes-IT in 2023. Allein damit könnte man 18.000 Mehrpersonenhaushalte mit Strom versorgen. Insgesamt wurden 2023 sogar 407 GWh verbraten – das würde für sämtliche ca. 116.000 Einwohner Göttingens reichen. Das bereits in 2017 vereinbarte Ziel, unter einem Verbrauch von 350 GWh zu bleiben, wurde damit erstmalig seit 2016 verfehlt, und gleich um 57 GWh. Der Anstieg des IT-Energieverbrauchs um 18 Prozent geht laut Bundesregierung vorwiegend auf den Energiehunger der Rechenzentren zurück. Trotzdem ergab meine Kleine Anfrage: nur jedes 10. RZ des Bundes nutzt ein Energiemanagement und nur ca. 70 Prozent der RZ verwenden 100 Prozent Ökostrom.
Trotz Klimakrise ignorierte die Bundesregierung die eigene Verantwortung und sorgte weder ausreichend für einen geringeren Energieverbrauch, noch für mindestens 100% Ökostrom. Dabei war es ihr erklärtes Ziel, dass bis Ende 2024 alle Liegenschaften des Bundes nur saubere Energie nutzen. Trotzdem werden einige RZ „nicht vor 2028“ und andere sogar erst „spätestens bis 2045“ auf Ökostrom umstellen – das wäre 21 Jahre nach der Deadline! Solche Antworten müssten interne Konsequenzen haben, haben sie aber nicht und hatten sie nie und das ist Teil des Problems.
Chance verpasst: 10 Milliarden Euro Einkaufsmacht des Bundes bei IT ohne Impact
Der Bund könnte allein mit seiner immensen Marktmacht Einfluss darauf nehmen, wie nachhaltig die IT in ganz Deutschland ist, denn bei über 2.000 Vergaben in 2023 gab er fast 10 Mrd Euro für IT-Produkte und Dienstleistungen aus. Aber das passiert einfach nicht, weil es zwar Beschlüsse, Leitfäden und Vorgaben gibt, aber keinerlei Verbindlichkeit, keine Transparenz zur Umsetzung und niemanden, der sich wirklich dafür verantwortlich fühlt. Allein für Software Beschaffung wurden 4,8 Mrd Euro in 2023 ausgegeben. In weiteren 3,7 Milliarden für IT-Dienste sind außerdem Vergaben für Software-Entwicklung enthalten. Laut Umweltbundesamt ist das Ressourceneinsparpotenzial von Software immens, aber trotzdem hat der Bund in dieser Legislatur bei mehr als 1700 vergebenen Software-Entwicklungsaufträgen kein einziges Mal die Einhaltung der Kriterien des Blauen Engel für energieeffiziente Software verlangt oder bei Eigenentwicklungen vergeben, nicht mal das Klima- und das Umweltministerium.
Auch bei keiner der 118 Vergaben von Cloud Dienstleistungen war der Blaue Engel eine Bedingung für den Einkauf. Hier könnte der Markt wirklich mal etwas regeln, aber eben nur, wenn der Bund seine Marktmacht auch nutzt. Ein Ministerium, das Wirtschafts- und Klimathemen vereint, könnte dabei Vorreiter sein, aber im BMWK ignoriert man nicht nur die eigene Marktmacht, sondern auch die Macht der Regulierung. Nach Verabschiedung des abgeschwächten Energieeffizienzgesetzes scheint sich das BMWK nämlich dafür nicht mehr zu interessieren, denn es hat laut Antwort der Bundesregierung auf meine Fragen dazu u.a. „keine Kenntnis“ davon, ob und wie sich Unternehmen oder selbst der Bund daran halten, z.B. durch Beteiligung am RZ-Register.
Die 135 Rechenzentren des Bundes nutzen kaum Abwärme und klimafreundliche Kältemittel
Bei der Senkung der negativen Klimawirkung von Rechenzentren wurde weder bei der Nachnutzung der Abwärme noch bei der Art der Kältemittel eine nennenswerte Verbesserung im Vergleich zum Vorjahr erreicht. Bei Bestands-Rechenzentren ist eine Veränderung nicht einfach und manchmal gar nicht umzusetzen. Aber offensichtlich schöpft der Bund seine Möglichkeiten nicht aus, denn nur jedes 8. Rechenzentrum nutzt einen Teil seiner Abwärme und nur jedes 6. Rechenzentrum setzt klimafreundliche Kältemittel ein und für etwa jedes Dritte RZ wurde nicht einmal eine Antwort auf diese simplen Fragen gegeben.
Fazit zur Betriebskonsolidierung des Bundes: immer mehr statt weniger Rechenzentren
Seit 10 Jahren soll die Anzahl der Rechenzentren des Bundes um 90 Prozent sinken, von 100 RZ in 2015 auf 10 RZ in 2025. Stattdessen zeigen meine Kleinen Anfragen seit Jahren, dass keine Konsolidierung stattfindet. Für Ende 2024 gab der Bund 135 RZ an und noch in diesem Jahr sollen daraus sogar 139 werden, bevor es irgendwann weniger werden sollen. In 2028 sollen es 123 RZ sein, also immer noch 23 Prozent mehr, als bei Beginn der Konsolidierung, statt 90 Prozent weniger. Noch 2023 wurde mir im Digitalausschuss das alte Ziel der Konsolidierung auf künftig nur noch 10 RZ als weiterhin gültig versichert. Da war sogar von nur noch 3 Master-RZ die Rede. Aber nun kapituliert der Bund einfach komplett und erklärt nach einem Jahrzehnt Fehlentwicklung, dass die Anzahl der RZ ganz egal und ihre Reduktion kein Ziel mehr sei, man schaue jetzt nur noch auf die Konsolidierbarkeit von Anwendungen. Da die IT-Konsolidierung des Bundes eines der teuersten IT-Projekte mit einem Volumen von über 3 Milliarden Euro ist, ist diese Bankrotterklärung nicht nur peinlich, sondern auch ein unfassbar laxer Umgang mit Steuergeldern. Der Bundesrechnungshof kritisiert die mangelnde Umsetzung schon seit Jahren völlig zu Recht, aber leider auch völlig ohne Wirkung.
Kaum Transparenz, ein (noch?) disfunktionales Berichtswesen, fehlende Tools als Ausrede
Ich glaube an den Grundsatz „You get what you measure“, denn wenn man Ziele nicht messbar definiert und den Grad ihrer Erreichung nicht erhebt, ist die Wahrscheinlichkeit hoch, dass man sie verfehlt. Deshalb habe ich das Fehlen messbarer Ziele bei der Digitalstrategie von Anfang an kritisiert. Auch die Umsetzungsschwäche bei der Nachhaltigkeit der Digitalisierung hat viel mit vagen Zielen und/oder mangelnder Transparenz zu tun. Wieder war eine besonders häufige Antwort auf meine Fragen „Keine Angabe“ oder „keine Kenntnis“. Man kann nur spekulieren, ob das an Unfähigkeit oder am Unwillen liegt, diese Daten bereitzustellen. Manchmal ist die Ursache klar, wie bei der grottigen Ressourceneffizienz von Websites des Bundes. Den Klima-Impact seiner laut Antwort der Bundesregierung 2.160 Websiten ignoriert der Bund nämlich deshalb komplett, weil man die existierenden Tools zur Messung ihrer Ressourceneffizienz nicht gut genug findet. Dabei könnte der Bund selbst Tools entwickeln und zertifizieren lassen. Alternativ könnten eigene Vorgaben des Bundes dafür sorgen, dass Websiten von BMI und BMWK nicht mehr bei Messwerkzeugen wie websitecarbon.com schlechter abschneiden, als über 90 Prozent aller Websiten weltweit.
Immerhin könnte es künftig zuverlässigere Daten geben, denn ein neues Berichtswesen für die Nachhaltigkeit der RZ ist geplant. Ein Tool dafür soll irgendwann in 2025 entwickelt werden. Allerdings steht und fällt der Erfolg damit, ob die Anwendung verbindlich ist und sich die Behörden daranhalten. Vorgaben gibt es jetzt auch schon viele, sie werden nur leider folgenlos ignoriert. Der Gipfel ist jedoch der Umgang des Bundes mit verfehlten Zielen. Denn dann wird die Berichterstattung einfach verschleppt, wie beim Monitoringbericht zum Maßnahmeprogramm Nachhaltigkeit, der für 2023 immer noch nicht vorgelegt wurde und für 2024 „wegen Evaluierung“ gar nicht mehr geplant wird. Oder das Ziel wird insgesamt für obsolet erklärt, wie bei der Konsolidierung der Anzahl der Rechenzentren. Mehr Bankrotterklärung geht eigentlich gar nicht.
Antwort der Bundesregierung
Antwortschreiben der Bundesregierung im Original (geschwärzt)
Anlage 1 (Anzahl RZ 2022-2028, Eigenbetrieb ja/nein)
Anlage 2 (Einhaltung der Kriterien des Blauen Engels durch RZ des Bundes)
Anlage 3 (Gesamtenergieverbrauch der RZ, Bezug von Ökostrom)
Anlage 4 (verwendete Kältemittel in RZ, geplante Umrüstung)
Anlage 5 (Abwärmenutzung durch RZ, Energy Reuse Factor, geplante Umstellung)
Anlage 6 (Nachhaltigkeit bei Verträgen für Rechenzentrums-Dienstleistungen)
Anlage 7 (Liste der Website-Adressen des Bundes)
Tabellengrafiken (Auswertung der Anlagen)
Umfassende Analyse der Antwort der Bundesregierung mit Zahlen, Daten, Fakten
Weiterführende Informationen
Kleine Anfrage Nachhaltigkeit der Bundes-IT 2023
Kleine Anfrage Nachhaltigkeit der Bundes-IT 2022
Kleine Anfrage Nachhaltigkeit der Bundes-IT 2021
Schriftliche Frage zur Anzahl Entwicklungsaufträge für Software 2021-2024
Kritik des Bundesrechnungshof an der IT Konsolidierung des Bundes
Mein Talk auf dem 37C3-Kongress „Klimafreundliche Digitalisierung – Koalitionsvertrag versus Wirklichkeit“, 2023
EU-KOMMISSION IGNORIERT GEFAHREN DURCH TECH-BROS
Aktuelles, Ausschuss Digitale Agenda, Blogpost, Bundestag, Digitale Monopole, Digitalisierung und StaatIn der letzten Sitzung des Digitalausschusses hatten wir zu dem wichtigen Thema „Die Durchsetzung des Digital Services Act und des europäischen Rechts sowie Maßnahmen zum Schutz vor Desinformation und der Integrität von Wahlen“ die Generaldirektorin der EU-Kommission für Kommunikationsnetzwerke, Inhalte und Technologie, Renate Nikolay, zu Gast. Aufgrund des Sitzungsabbruchs konnte ich meine Fragen loider trotzdem nur schriftlich stellen. Meine Fragen und Antworten habe ich in dem obigem Blogpost veröffentlicht (vgl. oben https://mdb.anke.domscheit-berg.de/2025/02/eu-kom-durchsetzung-dsa/).
Die Antworten der Kommission zeigen, dass man dort die immense Tragweite des Problems noch immer nicht verstanden hat. Wenn wir die europäischen Demokratien und Werte vor einem Zerfall – wie er in den USA in vollem Gange ist – schützen wollen, müssen wir dringend und mit höchster Priorität dafür sorgen, dass wir uns auch von den großen Tech-Firmen aus den USA unabhängig machen.
Es hilft nicht (mehr), kleinere Nischenprodukte für alternative Communities hier und da zu fördern, denn was wir brauchen, ist eine starke Alternative für ein wirklich soziales Netz, das auch eine Chance hat, sich gegen X und Co durchzusetzen: offen, interoperabel und transparent, über das wir öffentliche Diskurse auch ohne Manipulationen und Datenverkauf für kommerzielle Interessen führen können. Die EU muss dafür echte Verantwortung übernehmen und eine solches Netzwerk so unterstützen, dass es nutzerfreundlich, sicher und auskömmlich finanziert ist.
Gleichzeitig muss sich die EU mit den großen Plattformen anlegen, wenn sie unsere Demokratie gefährden. Der DSA legt dafür gute Grundlagen, in dem er von sehr großen Plattformen verlangt, ihre systemischen Risiken zu benennen sowie aktiv zu verringern und sie sanktioniert, wenn das nicht erfolgt. Dass die Eigentümerkontrolle eines Milliardärs über ein sehr großes soziales Netz ein systemisches Risiko per se ist, sollte völlig unstrittig sein, denn natürlich besteht bei derartiger Kontrolle durch eine Einzelperson das prinzipielle Risiko, dass diese Machtoption missbraucht wird, z.B. für Manipulationen von Diskursen in verschiedenen Ländern, auch im Vorfeld von Wahlen. Daher finde ich die Antwort der Kommission, dies sei nicht als Fall im DSA spezifisch geregelt, sehr seltsam. Wie kann man darauf nicht klipp und klar antworten: „Ja, die EU-KOM sieht das als systemisches Risiko und bezieht dieses Risiko in ihre Bewertung von X ein“?
Mich beruhigt dabei auch nicht, dass es bereits seit über einem Jahr ein Ermittlungsverfahren gegen X gibt. Wenn wir unsere angegriffene Demokratie effektiv verteidigen wollen, haben wir nicht beliebig viel Zeit. In den USA sieht man ja bereits, wie schnell Zerstörungsprozesse ablaufen können. Dass die EU eines der Grundprobleme nicht als solches anerkennen kann, nämlich die Risiken durch Tech-Giganten und ihre Milliardärseigentümer, die nicht ohne Grund als Broligarchie bezeichnet werden, ist beunruhigend und zeigt, dass man in Europa die Gefahren durch extreme Kapitalkonzentration unterschätzt. Dabei spürt man die Auswirkungen davon auch am extrem-Lobbyismus der Tech-Giganten in Brüssel. Wer wie Musk offen zur Wahl einer rechtsextremistischen Partei oder wie US-Vizepräsident Vance zur Kooperation mit ihr aufruft, will doch ganz offensichtlich die europäische Demokratie zerstören. Fakt ist: Große soziale Plattformen in der Hand von einzelnen Milliardären, die massiv Einfluss auf den Verbreitungsgrad von Medien und bestimmte Arten von Inhalten nehmen, sind ein strukturelles Risiko und eine Bedrohung für unsere Meinungsfreiheit und die Demokratie.
Seltsam ist auch, dass die EU-Kommission die Antwort verweigerte auf meine Frage, ob es stimmt, dass es wegen Druck aus den USA eine Überprüfung und Aussetzung von Bußgeldern bezüglich der laufenden DMA-Ermittlungen gegen Apple, Meta & Co gäbe. Was soll ich als Parlamentarierin denn davon halten? Wie ein Dementi klingt das jedenfalls nicht. Deshalb habe ich auch vor ein paar Tagen auf der Munich Cyber Security Conference die Vizepräsidentin der EU-Kommission, Henna Virkkunen, zuständig für technische Souveränität, Sicherheit und Demokratie, angesprochen und gefragt, ob die Gefahr besteht, dass sich die EU-Kommission von den USA durch deren diversen Druckmittel erpressen lässt. Sie betonte, dass sich die EU niemals von der EU erpressen lassen würde und laufende Ermittlungsverfahren mit Hochdruck weiterverfolgt werden. Ich hoffe sehr, dass das auch so ist und es zeitnah Urteile gibt, die dem Ausmaß der Rechtsverletzung auch Rechnung tragen. Denn ein Bußgeld in Milliardenhöhe ist vermutlich das einzige Argument, dass bei einem Milliardär noch gehört wird.
EU-KOMMISSION: WIE HÄLTST DU’S MIT X & CO?
Aktuelles, Ausschuss Digitale Agenda, Blogpost, Bundestag, Digitale Monopole, Digitalisierung und Staat, ThemenMeine letzten Fragen an die EU-Kommission
Der Digitalausschuss hatte sich in seiner letzten Sitzung der Legislaturperiode am 29. Januar 2025 auf meine Anregung ein enorm wichiges Thema vorgenommen, nämlich die Durchsetzung des Digital Services Act und des europäischen Rechts sowie Maßnahmen zum Schutz vor Desinformation und der Integrität von Wahlen. Die eingeladenen Unternehmen Meta, TikTok und X haben die Teilnahme kurzfristig verweigert, aber zumindest stand die Generaldirektorin der EU-Kommission für Kommunikationsnetzwerke, Inhalte und Technologie, Renate Nikolay, dem Ausschuss für Fragen zur Verfügung.
Leider stand die Sitzung ganz unter dem Eindruck des Ergebnisses der Abstimmung über den 5-Punkte-Plan von Friedrich Merz, auch bekannt als Fall der Brandmauer. Die Sitzung wurde während der Befraung von Frau Nicolay für spontane Fraktionssitzungen abgebrochen, weshalb ich meine Fragen vor Ort nicht stellen konnte. Ich hatte nur die Möglichkeit, diese im Nachgang schriftlich einzureichen. Die Antworten stelle ich hier online:
Frage 1:
Da immer mehr globale digitale Plattformen in der Hand von Tech Milliardären dem Rechtsruck unterliegen, vulnerable Gruppen weniger schützen und Desinformationen hemmungsloser verbreiten wollen, wäre es schön, wenn die EU eine gemeinwohlorientierte Alternative dafür schafft, z.B. auf der Basis des Fediverse oder von BlueSky, wie die freeourfeeds Initiative gerade plant. Eine Plattform, die wirklich werbefrei ist, keiner individuellen Agenda dient, sondern open source, interoperabel, transparent, mit hoher Nutzerautonomie und ohne Einflussnahme durch Staaten oder Privatpersonen, die einfach nur die Vernetzung und Kommunikation ermöglicht, ohne unsere Daten zu verkaufen oder uns zu manipulieren, ist eine riesige Marktlücke. Sie könnte zur sozialen Infrastruktur der digitalen Gesellschaft werden und verhindern, dass digitale Monopole in Milliardärshand unsere Demokratien ihrem Profitinteresse opfern. Gibt es dazu eine Debatte in der EUKOM und denkt man über Regulierung existierender Plattformen hinaus?
Antwort der EU-Kommission vom 14. Februar 2025:
„Die Kommission fördert alternative digitale Plattformen seit mehreren Jahren. Im Rahmen der Initiative „Next Generation Internet“ (NGI) inklusive Finanzierung durch das Programm Horizon Europe hat die Kommission dezentrale soziale Medienplattformen „made in Europe“ und „Fediverse“-Initiativen unterstützt. Mehr als 40 Projekte wurden bereits finanziert, darunter Mastodon für Mikroblogging, aber auch Alternativen zu YouTube (Peertube) und Instagram (pixelfed). Darüber hinaus existiert seit 2024 ein Pilotprojekt zum Fediverse („Fediversity“), um alternative dezentrale und Open-Source-Lösungen mit zugehöriger Infrastruktur und Unterstützung bereitzustellen.“
Frage 2:
Sehr große digitale Kommunikationsplattformen müssen laut DSA der EU-KOM strukturelle Risiken und Maßnahmen zu ihrer Reduzierung melden. Betrachtet die EU-KOM den Umstand, dass eine VLOP einem Milliardär gehört, der diese Plattform mitsamt ihren Algos zur einseitigen u massenhaften Beeinflussung der pol. Meinungsbildung bei Wahlen in einem EU Land einsetzen kann, einerseits als strukturelles Risiko nach DSA, das andererseits im Fall von Elon Musk nicht im Sinne des DSA minimiert, sondern aktuell maximiert wird – zB durch Verbreitung von Desinformation und massenhafter Werbung für Frau Weidel und ihre rechtsextreme AfD und gibt es diesbezüglich Ermittlungen?
Antwort der EU-Kommission vom 14. Februar 2025:
„Der spezifische Fall, den das Mitglied des Bundestags in dieser Frage beschreibt, ist im DSA nicht in dieser Detailtiefe geregelt. Daher ist eine fallbezogene Bewertung auf Basis der konkreten Fakten und Umstände jedes Einzelfalls erforderlich. In diesem Zusammenhang ist wichtig zu betonen, dass die Kommission bereits am 18. Dezember 2023 ein Verfahren gegen X wegen Risiken negativer Auswirkungen auf die gesellschaftliche Debatte und auf Wahlprozesse eingeleitet hat. Zudem wurden am 17. Januar zusätzliche Ermittlungsmaßnahmen im Hinblick auf die Empfehlungssysteme von X eingeleitet.“
Frage 3:
Können wir uns auf das europäische Wertesystem und die geltende Regulierung verlassen, auch wenn Trump seine Drohungen ernst meint, Zölle zu erhöhen oder die NATO hängen zu lassen, falls der DSA seine Zähne zeigt und US-Tech-Milliardäre für die Risiken ihrer Plattformen bestraft? Und stimmt der Bericht der Financial Times, wonach derzeit eine Überprüfung und Aussetzung von Bußgeldern bezügl. der laufenden DMA-Ermittlungen gegen Apple, Meta & Co laufe, wg Druck aus den USA?
Antwort der EU-Kommission vom 14. Februar 2025:
„Die Europäische Kommission handelt unabhängig und wird ihre Arbeit bei der Durchsetzung von DSA und DMA auch weiterhin ausschließlich auf Fakten und Beweisen basieren. Die Durchsetzung des europäischen Rechts erfolgt ausschließlich im Einklang mit den geltenden Verfahren. Alle Untersuchungen laufen ohne Unterbrechung oder Verzögerung. Zu den zitierten Presseberichten der Financial Times können die Kommissionsdienste keine Stellung nehmen.“
Frage 4:
Geht die EU KOM Hinweisen nach, dass es gezielte pushes für bestimmte rechtsgerichtete politische Inhalte auf X vor der Präsidentschafts-Wahl in den USA gab bzw. in Deutschland aktuell gibt, wie es der mutmaßliche Whistleblower „concerned bird“ am 11. Januar 2025 auf seinem Blog behauptete?
Antwort der EU-Kommission vom 14. Februar 2025:
„Zunächst weisen wir auf ein spezielles Whistleblower-Tool für den DSA hin, über das jede Person anonym vertrauliche Dokumente zu möglichen Verstößen gegen den DSA einreichen kann: https://digital-services-act-whistleblower.integrityline.app/ Bezüglich der von einem mutmaßlichen Whistleblower am 11. Januar 2025 geäußerten Behauptungen verfolgt die Kommission alle relevanten Hinweise mit der gebotenen Sorgfalt. Falls belastbare Beweise für Verstöße gegen den DSA oder andere europäische Regeln vorliegen, werden entsprechende Maßnahmen ergriffen werden.“
Und dann hatte ich noch eine Frage an das BMI:
Correctiv berichtete von ca. 100 dt. sprach. Fake-News-Websiten, die vermutlich für Einflussnahme auf BTW aufgebaut wurden, überwiegend inaktiv sind, aber einige bereits zur Verbreitung von Desinfo genutzt wurden, z.B. Behauptung 1,9 Kenianer kämen nach Abkommen mit Kenia nach DE oder BW mobilisiert 0,5 Mio. Soldaten für Osteuropa Einsatz. KI genutzt für DeepFakes. Verbreitung durch pro-russ. Influencer. Dahinter soll russischen Operation Storm 1516 u ein russ. Geh. Dienst stecken – gleiches Netzwerk verbreitete Desinfo zur US-Wahl. Was unternimmt die BuReg mit welchen Instanzen konkret zur Prüfung u ggf. zur Abschaltung? Was ist der Kenntnisstand?
Antwort des BMI vom 7. Februar 2025:
„Die Einflussoperation „Storm-1516“ ist dem BMI und den nachgeordneten Sicherheitsbehörden bekannt und wird im Rahmen der Analyse von Desinformations- und Einflusskampagnen, auch mit Blick auf die anstehende Bundestagswahl, bearbeitet. Die bei SIM Networks gehosteten Domains sind nach wie vor online. Die klandestine Verbreitung von Desinformation durch ausländische staatliche Stellen in Deutschland ist grundsätzlich nicht strafbar. Dies erschwert behördliche Anweisungen an deutsche Provider für Abschaltungen, wie hier im Falle von SIM Networks.“
MEINE SCHRIFTLICHE FRAGE ZUM STAND DER REGISTERMODERNISIERUNG
Aktuelles, Digitalisierung und Staat, eGovernment, Parlamentarische Initiativen, Schriftliche Frage, ThemenFrage:
Wie ordnet sich der aktuelle Status der Umsetzung der Registermodernisierung hinsichtlich Anzahl Register, Datenschutz-Cockpit, NOOTS und Einhaltung der Fristen der Single-Digital-Gateway-Verordnung in den Zeitplan derselben ein (also was ist bereits erreicht bzw. was soll bis wann umgesetzt werden), und wie ist technisch und/oder organisatorisch ausgeschlossen, dass einzelne Behörden (z. B. Behörden mit Sicherheitsaufgaben) Schattendatenbanken anlegen, deren Datenabfragen dadurch nicht im Datenschutz-Cockpit auftauchen?
Antwort der Bundesregierung vom 6.2.2025:
Der Umsetzungsstand der Registermodernisierung inklusive des National-Once-Only-Technical-System (NOOTS) kann dem Bericht der Gesamtsteuerung Registermodernisierung an den IT-Planungsrat vom November 2024 entnommen werden.
Dieser ist öffentlich unter https://www.it-planungsrat.de/beschluss/beschluss-2024-57 einsehbar. Die Anforderungen der Single-Digital-Gateway-Verordnung (SDG-VO) sind umfassend, aber nicht abschließend erfüllt. Erste Komponenten zur Einrichtung eines EU Once-Only-Technical-Systems (EU-OOTS) wurden erbaut und erfolgreich getestet.
Der flächendeckende Anschluss von betroffenen Registern und Online-Diensten an das EU-OOTS steht noch aus. Darüber hinaus kann der Umsetzungsstand der SDG-VO dem Bericht an den IT-Rat vom September 2024 entnommen werden:https://www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/it-rat/beschluesse/beschluss_2024_03_Anlage.html.
50 Register müssen die Identifikationsnummer speichern. Sie sind in der Anlage zum Identifikationsnummerngesetz (IDNrG) aufgeführt. Der Roll-out der Identifikationsnummer in die Bundesregister richtet sich nach dem Beschluss des IT-Rates „Rollout der Identifikationsnummer nach § 1 des IDNrG in Bundesregistern“ (Beschluss Nr. [2023/6], https://www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/it-rat/beschluesse/beschluss_2023_06_IT-Rat_Rollout_IDNr.pdf?__blob=publicationFile&v=6).
Der Roll-out der Identifikationsnummer in Register in Verantwortung der Länder wird aktuell in Abstimmung mit den Registermodernisierungskoordinatoren der Länder geplant. Innerhalb der Roll-out-Vorhaben werden der Anschluss an den Identitätsdatenabruf (IDA) und das Datenschutzcockpit (DSC) gemeinsam betrachtet und die Meilensteine aufeinander abgestimmt, sodass dieser möglichst parallel erfolgt.
Vor dem Hintergrund des dargestellten Umsetzungsstands ist die Anlage einer „Schattendatenbank“ ausgeschlossen. Die Sicherheitsbehörden führen kein in der Anlage zu § 1 Identifikationsnummerngesetz (IDNrG) genanntes Register. Darüber hinaus gibt es keine Rechtsgrundlage, die einen Abruf der Identifikationsnummer aus den in der Anlage zu § 1 IDNrG genannten Register durch die Sicherheitsbehörden gestattet.
Antwortschreiben im Original (geschwärzt):
MEINE SCHIRFTLICHE FRAGE NACH DER VERÖFFENTLICHUNG VON OPEN SOURCE PROJEKTEN DES BUNDES
Aktuelles, Digitalisierung und Staat, Diverses, Open Government, Schriftliche Frage, ThemenFrage:
Auf welchen Plattformen wie z. B. OpenCode und GitHub wurden die laut Antwort der Bundesregierung auf meine Schriftliche Frage 57 auf Bundestagsdrucksache 20/12484 durch den Bund als Open Source beauftragten Software-Entwicklungen bisher veröffentlicht (bitte jeweils die Anzahl je Plattform nennen, ggf. nur Anzahl für OpenCode, GitHub und „Sonstige“ nennen), und was sind die fünf häufigsten Gründe, weshalb bei den übrigen als Open Source Software entwickelten Lösungen keine Veröffentlichung des Quellcodes auf OpenCode bzw. auf anderen öffentlich zugänglichen Plattformen erfolgte (bitte nach OpenCode und anderen Plattformen unterscheiden)?
Antwort der Bundesregierung vom 31.01.2025:
Im Folgenden wird die Verteilung der durch den Bund als Open Source beauftragten und veröffentlichten Software-Entwicklungen auf verschiedenen Plattformen dargestellt. Die Übersicht zeigt die Anzahl der Veröffentlichungen auf den Plattformen OpenCode, GitHub sowie weiteren Plattformen, die als „Sonstige“ zusammengefasst wurden. Es erfolgten insgesamt Rückmeldungen zu 144 durch den Bund als Open Source beauftragten Software-Entwicklungen (Anmerkung: Die Anzahl der bei dieser Schriftlichen Fragen durch das Bundesministerium für Ernährung und Landwirtschaft zurückgemeldeten Projekte ist wesentlich geringer als die der Bundestagsdrucksache 20/12484, Frage 57.
Dies hat den Grund, dass eine Behörde bei der damaligen Anfrage jeden einzelnen Wartungs- und Entwicklungsauftrag separat benannt hatte, welche allerdings lediglich auf drei Projekte entfallen, die eine Neuentwicklung zum Inhalt haben. Die übrigen Aufträge dienten der Wartung und Pflege vorhandener Anwendungen.
veröffentlichten
Software-Entwicklungen
Die fünf häufigsten Gründe für eine Nichtveröffentlichung des Quellcodes, unterschieden nach OpenCode und anderen Plattformen, lauten wie folgt (enthält Mehrfachnennungen):
Gründe für Nichtveröffentlichung auf Open Code:
Gründe für Nichtveröffentlichung auf anderen Plattformen:
Antwortschreiben der Bundesregierung im Original:
Meine in Bezug genommene Schriftliche Frage:
https://mdb.anke.domscheit-berg.de/2024/08/meine-schriftliche-frage-zum-anteil-von-open-source-an-entwicklungsauftraegen-fuer-software/
NIS-2 UMSETZUNG IN DEN SAND GESETZT – KOMMUNEN IM STICH GELASSEN
Aktuelles, Blogpost, Digitale Infrastruktur, Digitalisierung und Staat, Diverses, IT-Sicherheit, Themen, VerbraucherschutzDie vor inzwischen 2 Jahren in Kraft getretene NIS-2-Richtline der EU, die wichtige Standards für mehr IT-Sicherheit bringt, hätte bis zum Oktober 2024 in nationales Recht umgesetzt werden müssen. Dass die Bundesregierung ausgerechnet bei diesem sicherheitskritischen Thema bummelt und bereits ein Vertragsverletzungsverfahren gegen Deutschland eröffnet werden musste, ist verantwortungslos und auch nicht mit dem Ampel-Aus im November zu erklären. Aber das ist nur die Spitze des Eisbergs: Der Entwurf der Bundesregierung wird außerdem der gestiegenen Gefährdungslage nicht gerecht, sondern hangelt sich kläglich nur an den absoluten Minimalanforderungen der EU entlang: So soll es zwar einen Bundes-CISO geben, aber er soll von vorneherein als zahnloser Tiger angelegt werden, ohne angemessene Ressourcen und ohne Vetorecht – mehr Sicherheit wird diese Rolle so kaum schaffen können.
Auch die von NIS-2 geforderte Entkriminalisierung der IT-Sicherheitsforschung konnte die Bundesregierung trotz Koalitionsversprechen nicht auf den Weg bringen, und so bleiben vermutlich aufgedeckte Sicherheitslücken trotzdem unbekannt und können nicht geschlossen werden, weil Sicherheitsforschende weiterhin mit einem Bein im Knast stehen.
Kommunen im Gesetzentwurf zur NIS-2 Umsetzung ausgeschlossen
Besonders irritierend ist aber der Ausschluss der Kommunen in der geplanten Umsetzung, obwohl gerade Kommunen vielfach von Cyberattacken betroffen sind und ohne Frage zur kritischen Infrastruktur zählen. Wenn die kommunale Ebene wegen einer Cyberattacke lahm gelegt ist, geht vor Ort nichts mehr. Deshalb wurde im Landkreis Anhalt-Bitterfeld nach einer Ransomware Attacke sogar der Katastrophenfall ausgerufen. Wenn Geburten nicht mehr gemeldet, Sozialleistungen nicht mehr abgerufen, Kitaplätze nicht mehr verwaltet und Gehälter nicht mehr gezahlt werden können, ist das ein Riesenproblem.
Das habe ich deshalb auch in meiner Rede zur NIS-2 Umsetzung am 11.10.24 im Bundestag kritisiert. Kritik kam auch von der AG KRITIS und der VITAKO, dem Verband der kommunalen IT-Dienstleister.
BMI: „Kommunen? Das erlaubt EU-Recht gar nicht“
Ich habe schon viele schräge Begründungen für schlechte Gesetze gehört, aber vom BMI gab es für den Ausschluss der Kommunen einen echten Tiefpunkt: Andreas Reisen, Referatsleiter CI 3 „Cybersicherheit für Wirtschaft und Gesellschaft“ beim BMI entgegnete auf mein Plädoyer für den Einbezug der Kommunen bei der NIS-2 Umsetzung in Deutschland auf dem VOICE Entscheiderforum im November 2024, dass die NIS-2-Richtlinie der EU die Beteiligung von Kommunen gar nicht erlaube. Weil ich das reichlich seltsam fand, habe ich den Wissenschaftlichen Dienst des Bundestags beauftragt, diese Aussage wissenschaftlich zu prüfen.
Gutachten Wiss. Dienst: „Kommunen? Gar kein Problem mit EU-Recht!“
Der Sachstand des Wissenschaftlichen Dienstes des Bundestages ist eindeutig: Kommunen können explizit einbezogen werden, das ist Sache der Umsetzung in den Mitgliedsstaaten und nichts in der NIS-2-Richtline spricht dagegen, dies zu tun! Im Gutachten wird sogar hin- und her interpretiert, ob sich ggf. eine Verpflichtung ergeben könnte, die Kommunen unbedingt einzubeziehen, aber da gäbe es Spielräume und eine Pflicht sei unwahrscheinlich.
Dass die Bundesregierung NIS-2 und damit die Sicherheit kritischer Infrastrukturen vernachlässigt, ist das eine, das aber auch noch mit angeblichen EU-Hürden zu begründen und sich auf diese Weise herauszureden, ist wirklich dreist!
Weiterführende Links:
Pressemitteilung der EU-Kommission zu den Vertragsverletzungsverfahren vom 28.11.2024
https://germany.representation.ec.europa.eu/news/cybersicherheit-und-resilienz-kritischer-einrichtungen-vertragsverletzungsverfahren-gegen-2024-11-28_de
Entwurf der Bundesergierung zu Umsetzung der NIS-Richtlinie:
https://dserver.bundestag.de/btd/20/131/2013184.pdf
Meine Rede zur NIS-Umsetzungim Bundestag am 11.10.2024:
https://mdb.anke.domscheit-berg.de/2024/10/rede-zum-nis-2/
Stellungnahme der AG KRITIS vom 27.10.2024:
https://ag.kritis.info/wp-content/uploads/2024/10/20241027-Stellungnahme-NIS2UmsuCG-RefE-v02102024-AG-KRITIS-v1.1.pdf
Stellungnahme des VITAKO vom 12.6.2024:
https://vitako.de/wp-content/uploads/2024/06/2024-06-12_VITAKO_Kommunale_IT_gemeinsam_schuetzen_-_Resilienz_und_Cybersicherheit_im_Fokus_final.pdf
VOICE-Entscheider Forum:
https://voice-entscheiderforum.org
Gutachten des Wissenschaftlichen Dienstes zur NIS-Umsetzung für Kommunen vom 22.01.2025:
Der ADB Podcast #44 – Das Best-of-38C3 Special mit Marlies Wiegand
Aktuelles, Digitalisierung und Staat, Featured, Herzensthemen, Podcast, VerbraucherschutzDiese Folge ist ein Special – live aufgezeichnet im Sendezentrum des Chaos Communication Congress 38C3 des Chaos Computer Clubs – der größten Hacker-und Haecksen-Convention Europas und seit 2010 mein Highlight des Jahres. Dort traf ich Marlies Wiegand, die nicht nur nerdig drauf ist, sondern auch Bundestagskandidatin für die Linke in Schleswig-Holstein. Wir nahmen spontan diese Sonderfolge auf, um unsere Eindrücke zu teilen. Im Hintergrund wuselt der 38c3, während wir Euch verraten, was unsere liebsten Talks waren, denn die könnt Ihr Euch in der Mediathek des CCC noch ansehen. Wir erzählen von krassen Sicherheitslücken der elektron. Patientenakte, illegalen Sammlungen von Bewegungsdaten durch VW, von Anne Brorhilkers Talk zum Cum Ex/Cum Cum Steuerraub (die ich im Podcast versehentlich als ehemalige Staatssekretärin statt als Ex-Staatsanwältin bezeichne – oops!), es geht um Desinformation, KI und Kapitalismus, Eat the Rich, Bezahlkarten und Digitalzwang, aber lachen könnt Ihr auch, z.B. bei KI-Karma next Level, versprochen!
Transkript (KI-generiert und kann damit Fehler aufweisen) 📜:
Kapitelmarken:
00:00:07 Intro: Wer ist Marlies, was mache ich und was ist der 38C3?
00:12:57 Desinformation, Doppelgänger-Initiative, Wahlbeeinflussung
00:16:53 Unsere liebsten Talks
00:20:54 Outro: Gemeinwohlorientierte Digitalpolitik kann man wählen
Weiterführende Links:
Meine Co-Podcasterin Marlies Wiegand (smarties) auf Mastodon
Meine Webseite
Alle aufgezeichneten Talks vom 38C3 zum Nachschauen
Unsere Favoriten und Hintergrundinfos:
CyberCyer, Datenschutz, Überwachung, Informationsfreiheit
38C3 Talk -Martin Tschirsich und Bianca Kastl „Konnte bisher noch nie gehackt werden“ Die elektronische Patientenakte kommt – jetzt für alle!“
38C3 Talk – Michael Kreil und Flüpke „Wir wissen, wo Dein Auto steht – Volksdaten von Volkswagen“
38C3 Talk – anne und Chris Klöver „Autoritäre Zeitenwende im Zeitraffer“
38C3 Talk – „Das IFG ist tot – Best of Informationsfreiheit, Gefangenenbefreiung & Machtübernahme“ von Arne Semsrott
Desinformation
38C3 Talk – Hendrik Heuer und Josefine Schmitt „Von Augustus bis Trump – Warum Desinformation ein Problem bleibt und was wir trotzdem dagegen tun können“
38C3 Talk – Niko Dekens „OSINT – How Ai fuels desinformation“
Technischer Bericht des Auswärtigen Amtes zur von Russland gesteuerten Doppelgänger-Initiative
Anti-Rechts, Pro Demokratie, Migration
38C3 Talk – Jean Peters „Correctiv-Recherche „Geheimplan gegen Deutschland“ – 1 Jahr danach“
38C3 Talk – unsösterreichts.jetzt and Alexander Muigg „Die Brandmauer gegen rechts – Schutz oder Gefahr für die Demokratie?“
38C3 Talk – ABC Belarus „Resistance against dictatorship in Belarus in times of war [EN]“
38C3 Talk – Hafid: Life in the Lager. How it is and how to support
38C3 Talk – Munir und Jot „Nein zur Bezahlkarte – Rechte Symbolpolitik mit Solidarität aushebeln“
Tausch-Initiativen zur Bezahlkarte
Anti-Kapitalismus, Finanzen, Soziales, Klima
38C3 Talk – Anne Brorhilker „Der Milliarden-Steuerraub Cum/Ex Wie schädlich ist Wirtschaftskriminalität für unsere Gesellschaft?“
38C3 Talk – Malte Engeler und Sandra Sieron „KI nach dem Kapitalismus: Hat ChatGPT in der besseren neuen Welt einen Platz?“
38C3 Talk – Helena Steinhaus „Eat the Rich! Die Menschen wollen soziale Sicherheit aber kriegen „Deutschland den Deutschen“
38C3 Talk – Anja Höfner and Rainer Rehak (Bits und Bäume) „Kein Spaß am Gerät auf ’nem toten Planet(en)!“
Nicht aufgezeichneter 38C3 Talk: „Don’t let them take abortion offline!“, von Women on Web: https://www.womenonweg.org und insta: @abortionpil
Digitalzwang
38C3 Talk – Scherrie – „Fehlercode 406: Request not acceptable. Digitalzwang als Human Security-Problem“
38C3 Talk – Anne Roth „Digitalisierung mit der Brechstange“
Antrag der Linken im Bundestag „Für ein Offlinezugangsgesetz“ (10/2023)
Unterhaltsames
38C3 Talk – Katharina Nocun „KI-Karma next Level: Spiritueller IT-Vertrieb“
Mehr von mir und Feedback von euch zu #DerADBPodcast:
ICH FRAGE: PATIENTENAKTE SICHER? BUND ANTWORTET: 🙈
Aktuelles, Digitalisierung und Staat, Diverses, eGovernment, IT-Sicherheit, Parlamentarische Initiativen, Pressemitteilung, Schriftliche Frage, Themen, VerbraucherschutzPressemitteilung
Nach 20 Jahren Planung und erfolglosem Rollout von Vorgängervarianten startete am 15. Januar 2025 der Test der sogenannten „ePA für alle“, der elektronischen Patientenakte 3.0, in vorerst knapp 300 ausgewählten Praxen in Hamburg, Franken und NRW. Ob der geplante bundesweite Rollout wie geplant im Februar starten soll, steht aktuell in den Sternen, nachdem Ende Dezember aus dem Umfeld des Chaos Computer Clubs verschiedene Sicherheitslücken öffentlich präsentiert wurden, die theoretisch einen illegitimen Zugriff auf alle künftigen etwa 70 Mio. Patientenakten ermöglichen könnten. Auf diverse Fragen der Bundestagsabgeordneten der Linken, Anke Domscheit-Berg, antwortete die Bundesregierung entweder gar nicht, ausweichend, oder irritierend.
Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:
„Die Antworten der Bundesregierung auf meine Fragen zeigen, dass das Gesundheitsministerium (BMG) immer noch nicht bereit ist, sich ehrlich zu machen und transparent mit dem anhaltend mangelnden Sicherheitsniveau der ePA umzugehen. Dazu gehört, auf klare Fragen auch vollständig und verständlich zu antworten, statt unliebsame Fragen einfach zu ignorieren und bei anderen verklausuliert um den heißen Brei herumzureden. Das ist schlechter Führungsstil und eine Missachtung parlamentarischer Verfassungsrechte.
Bei einem Großprojekt mit hochsensiblen Gesundheitsdaten eines Großteils der Bevölkerung, das nur erfolgreich sein kann, wenn die Daten sicher und das Vertrauen der Patient:innen hoch ist, muss man gerade Probleme und IT-Sicherheitsrisiken transparent kommunizieren und das findet weiterhin nicht statt. Wenn Patient:innen aber immer wieder erleben, dass Minister Lauterbach die ePA als sicher anpreist, während Schlagzeilen von erschütternd einfach auszunutzenden Sicherheitslücken berichten, wie die Übertragung wichtiger Identifikationsdaten ohne Verschlüsselung und das einfache Hochzählen von Kartennummern, dann wird jedes Mal Vertrauen in die ePA zerstört und werden Menschen sie nicht nutzen wollen, die von ihr profitieren könnten. Ich fühle mich inzwischen als Patientin nur noch auf den Arm genommen, wenn mir das BMG selbst jetzt noch antwortet, dass Deutschland eine der sichersten Infrastrukturen im Gesundheitswesen in Europa habe.
Viel sagt auch der Fakt, dass meine Frage nach den konkreten Forderungen der Bundesbeauftragten für den Datenschutz (BfDI) zur neuen ePA komplett unbeantwortet blieb, wohl weil es sonst peinlich würde für die Bundesregierung, denn diese Forderungen wurden schon im Sommer gestellt und offensichtlich ignoriert. Leider wurde das Veto-Recht von BSI und BfDI bei der ePA zugunsten eines bloßen Rechts auf Anhörung aufgehoben, das BMG kann sie daher einfach ignorieren und ihre Forderungen schlicht unter den Teppich kehren.
Auffällig ist auch die fehlende Antwort auf meine Frage, ob das BSI auch Geheimnisträger:innen mit sensiblen Gesundheitsdaten die Nutzung der ePA zum Zeitpunkt ihrer Einführung empfehlen würde. Angesichts der extrem hohen Bedrohungslage durch fremdstaatliche Akteure ist das eine wichtige Frage, zumal das BMG behauptet, dass Risiken fremdstaatlicher Akteure im Sicherheitsgutachten vom Fraunhofer SIT berücksichtigt wurden, während man in diesem Gutachten das genaue Gegenteil davon lesen kann, nämlich dass der Auftraggeber gematik, dessen Mehrheitsgesellschafter das BMG ist, diese Risikobetrachtung nicht relevant fand, weshalb sie ausgeklammert wurde.
Leider löst diese ePA ihr Nutzenversprechen nicht ein, da sie nur mit rudimentären Funktionen kommt, gleichzeitig sind die Risiken für die darin gespeicherten Daten zwar hoch, aber Patient:innen völlig ungenügend darüber informiert. Dabei erfordert gerade der Paradigmenwechsel von der Einwilligungslösung zur Widerspruchslösung höchste Transparenz über den Nutzen und die Risiken für alle – ähnlich der Beipackzettel bei Medikamenten – damit eine informierte Entscheidung für oder gegen die Nutzung überhaupt getroffen werden kann.
Wenn die „ePA für alle“ nicht mit Datenskandalen zum Rohrkrepierer werden soll, muss Minister Lauterbach endlich klar und offen kommunizieren und den Flächenrollout per Opt Out so lange verschieben, bis die Angriffsrisiken auch durch fremdstaatliche Akteure sorgfältig evaluiert wurden, alle aktuell bekannten Sicherheitslücken tatsächlich geschlossen wurden – technische und organisatorische – und sichergestellt ist, dass alle Patient:innen tatsächlich umfassend über den Nutzen und die Risiken der „ePA für alle“ informiert sind. Eine Augen-zu-und-durch-Strategie aus Gründen der Wahlkampftaktik ist in Zeiten hybrider Kriegsführung und steigender Bedrohungsintensität jedenfalls indiskutabel.“
Weiterführende Links:
Antworten auf meine Schriftlichen Fragen rund um die Einführung der elektronischen Patientenakte an die Bundesregierung: https://mdb.anke.domscheit-berg.de/2025/01/4-schriftl-fragen-zur-epa/
Aufzeichnung des Vortrags beim 38C3 zu Sicherheitslücken der ePA: „Konnte bisher noch nie gehackt werden“: Die elektronische Patientenakte kommt – jetzt für alle! – media.ccc.de
Digitale Ausweis-Brieftaschen: Ja, aber nur sicher umgesetzt!
Aktuelles, Digitalisierung und Staat, Diverses, Rede, VerbraucherschutzDie Umsetzung der EU Verordnung für eID-Wallets (digitale Brieftaschen für elektronische Ausweise) muss unbedingt mit „Null-Wissen-Beweis“ erfolgen, und so, dass Überidentifikation verhindert wird. Mit Sorgfalt umgesetzt, können digitale Identitäten zum Vertrauensanker werden und digitalen Verbraucherschutz sicherstellen und Identitätsdiebstähle verringern.
Meine letzte Rede im Wortlaut:
Sehr geehrte Präsidentin! Liebe Kollegen und Kolleginnen! Wenn Pornoplattformen oder Mediatheken von Usern eingescannte Ausweise fordern, um Minderjährige zu schützen, ist das eine ganz schlechte Idee. Jugendschutz erfordert nämlich nicht die Aufhebung der Anonymität im Internet. Mein Name, mein Geburtsdatum, meine Adresse sind dafür nicht relevant, sondern nur der Fakt: Bin ich mindestens so und so alt? Diese Frage mit Ja oder Nein zu beantworten statt mit dem Geburtsdatum, nennt man einen Null-Wissen-Beweis oder Zero Knowledge Proof.
Bei der Umsetzung der EU-Verordnung für digitale Ausweisbrieftaschen muss dieser Zero Knowledge Proof in Deutschland verpflichtend sein, um eine Überidentifikation zu verhindern.
(Beifall bei der Linken)
Die eIDAS-Verordnung lässt dafür Spielräume. Deshalb unterstützt Die Linke die Forderung der Union, alle Spielräume für mehr Schutz der Privatsphäre auch auszunutzen. Schließlich sind Ausweisdaten hoheitliche Daten, und staatlich verifiziert werden sie zum Goldstaub im legalen und illegalen Datenhandel. Deshalb ist die Vermarktung attraktiv für Plattformen, aber auch für kriminelle Hacker. Gefährlich sind sie für Nutzer/-innen. Immerhin hat die Union nach der versemmelten ID-Wallet in der letzten Legislatur viel dazugelernt. Ihr Antrag enthält viele gute Vorschläge. Herzlichen Glückwunsch.
(Beifall bei der Linken)
Bei digitalen Identitäten ist nämlich die Sorgfalt entscheidend. Die Linke will sie gut gemacht, mit hohen Standards und ausreichend Ressourcen. Dann werden sie zum Vertrauensanker im Internet, erhöhen den digitalen Verbraucherschutz und werden Treiber für Innovationen.
(Beifall bei der Linken)
Bis zur Wahl ist die Umsetzung der Vorschläge der Union ziemlich sicher ausgeschlossen. Aber Die Linke wird die Union gerne an den Inhalt erinnern, sollte sie nach der Wahl eventuell auf der Regierungsbank sitzen und damit selbst Probleme haben.
Meinen Abschied vom Bundestag habe ich schon in der letzten Sitzungswoche angekündigt. Deshalb hier und heute nur ganz kurz: Es war mir eine Ehre. Für fast acht Jahre bedingungslose Unterstützung möchte ich meinem Mann Daniel herzlich danken. Ohne ihn hätte es linke Digitalpolitik mit mir im Bundestag nicht gegeben.
Dankeschön.
(Beifall bei der Linken, der SPD, der CDU/CSU, dem BÜNDNIS 90/DIE GRÜNEN und der FDP)