Der ADB Podcast #45- (k)eine Brandmauer im BT, DSA+ Desinfo + Wahlen, unsichere Patientenakte, IT-Sicherheit im Bund, NIS2, Digitales + Linke zur BTW25

, ,

Diesmal ein noch wilderer Mix aus Digital und Politikgeschehen – die letzte Sitzungswoche dieser Legislatur war v.a. eins: völlig crazy. Möchtegern Kanzler Merz reißt Mittwoch, 28.1.25, die Brandmauer ein, als hätte er in Geschichte nix begriffen, der Digitalausschuss ist eine Farce, VLOPs schwänzen, EU-Komm berichtet zu DSA und Wahlen, das Ende ist abrupt und unwürdig. Am Donnerstag besucht der ZPS- Adenauer Spezialtransporter den Bundestag, wir MdB verhindern den Platzverweis, ich halte meine 3. „letzte Rede“ (Thema: TechBro Milliardäre + nötige Alternativen). Freitag verliert Merz sein Pokerspiel u. nur die Linke freut sich erkennbar. Außerdem: Neues zur ePatientenakte, zu IT-Sicherheitsstellen im Bund, widerlegte Behauptungen zur NIS-2 Umsetzung (mit oder ohne Kommunen?) und last but not least: was die Linke so Digitales im Wahlprogramm zur Bundestagswahl zu bieten hat.

Transkript (KI-generiert und kann daher Fehler aufweisen) 📜

Transkript_adb-podcast_45Herunterladen

Kapitelmarken:
00:00:07 Intro
00:01:50 29.1. Als die Brandmauer fiel
00:06:00 30.1. ZPS, Merkel, AfD-Verbot
00:17:46 31.1. Zustrombegrenzungsgesetz, Wehrt Euch Demos
00:23:09 Dig-Ausschuss: Intro Desinfo, Broligarchy, X, Meta
00:30:40 EUKOM u Durchsetzung DSA, TikTok, Stresstest Wahlen
00:36:57 EUKOM DSA Jugend, Forschung, meine Fragen, Tech-Bro Rede
00:48:22 Schriftl. Fragen: Sicherheitslücken elektr. Pat-Akte, 38C3
00:56:38 Schriftl. Fragen: IT-Stellen im Bund, Meldestelle Botaccounts
01:00.57 Gutachten Wiss. Dienst zu NIS2 und Kommunen
01:02:47 Die Linke: Digitales im Wahlprogr. BTW25 + Digitalpapier Linke im Bundestag
01:06:15 Outro

Weiterführende Links:

Dammbruch im Bundestag – Die Brandmauer ist gefallen:

Debatte zur Regierungserklärung und den Anträge der Union zu Abstimmung am 29.01.25

5 Punkte Antrag der Union

Abstimmungsverhalten 5 Pkt Antrag

27 Punkte Antrag der Union

Meine Pressemitteilung 27 Pkt Antrag, 28.01.25

Abstimmungsverhalten 27 Pkt Antrag

Merkels Kritik an Merz, 30.01.25

Debatte zum Zustrombegrenzungsgesetz

Gesetzentwurf zum Zustrombegrenzungsgesetz

Abstimmungsverhalten Zustrombegrenzungsgesetz, 31.1.2025

Igor Levit fragt sich, wo er noch hingehen kann, BlueSky Post, 29.01.25

Der Adenauer SRP+ (umgebauter Gefangenentransporter) mit Beweisen für Verfassungswidrigkeit der AfD) vom Zentrum für Politische Schönheit
ZPS insta-post vom 31.01.25

Die Linke im Politbarometer Forschungsgruppe Wahlen Politische Stimmung auf 8%; 30.01.25

Massendemos gegen Merz, CDU und AfD:

Übersicht

Teilnehmenden-Ticker mit DE-Karte

Antrag AfD-Überprüfung:

fraktionsübergreifender Antrag zur Prüfung der Verfassungswidrigkeit der AfD vom 13.11.24

Durchsetzung Digital Services Act – Schutz vor Desinformation bei Wahlen:

Öff. Teil des Digitalausschusses, 29.01.25, Mediathek

Meine allerletzte Rede: Schutz vor Wahlbeeinflussung durch Tech-Milliardäre und Trollfabriken, 30.01.25

Rede: Schutz vor Wahlbeeinflussung durch Tech-Milliardäre und Trollfabriken

DerADBPodcast Folge #43 zu Desinformation, 12/2024

Tweaking von Elon Musk posts auf X, The Verge, 15.02.23

Zuckerberg – Kulturwandel bei Meta, Insta, 07.01.25

Trump drohte Zuckerberg 2024 mit Haft, Politico-Artikel vom 28.08.24

Hashtag Manipulation bei Instagram:
Threads-posts, 21.01.25
ZDF Bericht, 21.01.25

Presseerklärung BNetzA zu Stresstest, 31.1.25

Kampagne FreeOurFeeds für alternatives, besseres soziales Netz

Fediverse, bestehende, dezentrale Open-Source-Alternative

Vance droht EU wg DSA Sanktionen gg X, FR, 10.11.24

Druck aus USA wg DMA-Verfahren, Drohungen Trumps zu höheren Zöllen, Tagesschau, 14.01.25

Mutmaßlicher Whistleblower zu Pushen rechter Inhalte auf X, 10.01.25

Correctiv-Recherche: 100 Webseiten für Wahlmanipulation durch Putin

Schriftl. Fragen Elektronische Patientenakte

Meine 4 Schriftl. Fragen zur ePA – Pressemitteilung

Antworten der BuReg

ZEIT Artikel, Eva Wolfangel, 15.01.2025, zur Reaktion Gematik u. BuReg auf Sicherheitslücken der ePA

DerADBPodcast Folge #44 live vom 38C3

#38c3-Talk „Konnte bisher noch nie gehackt werden“: Die elektr. Patientenakte kommt – jetzt für alle!

Sicherheitsgutachten „ePA für alle“, Fraunhofer SIT

IT-Sicherheit /Botnetz-Meldungen / KRITIS / NIS-2:

Schriftl. Frage zu IT-Sicherheitsstellen im Bund

Schriftl. Frage zu Meldung von Botnetzen an Sicherheitsbehörden

Gutachten Wiss. Dienst zu NIS-2 und Kommunen

Blogbeitrag NIS-2 ZUmsetzung

Digitalpolitik von Die Linke:

Wahlprogramm BTW25 „Digitalisierung für das Gemeinwohl statt für Konzernprofite“

Die Linke im Bundestag – Papier „Grundzüge linker Digitalpolitik“

Für mehr von mir und Feedback von euch zum #DerADBPodcast:

/von

NIS-2 UMSETZUNG IN DEN SAND GESETZT – KOMMUNEN IM STICH GELASSEN

, , , , , , ,

Die vor inzwischen 2 Jahren in Kraft getretene NIS-2-Richtline der EU, die wichtige Standards für mehr IT-Sicherheit bringt, hätte bis zum Oktober 2024 in nationales Recht umgesetzt werden müssen. Dass die Bundesregierung ausgerechnet bei diesem sicherheitskritischen Thema bummelt und bereits ein Vertragsverletzungsverfahren gegen Deutschland eröffnet werden musste, ist verantwortungslos und auch nicht mit dem Ampel-Aus im November zu erklären. Aber das ist nur die Spitze des Eisbergs: Der Entwurf der Bundesregierung wird außerdem der gestiegenen Gefährdungslage nicht gerecht, sondern hangelt sich kläglich nur an den absoluten Minimalanforderungen der EU entlang: So soll es zwar einen Bundes-CISO geben, aber er soll von vorneherein als zahnloser Tiger angelegt werden, ohne angemessene Ressourcen und ohne Vetorecht – mehr Sicherheit wird diese Rolle so kaum schaffen können.

Auch die von NIS-2 geforderte Entkriminalisierung der IT-Sicherheitsforschung konnte die Bundesregierung trotz Koalitionsversprechen nicht auf den Weg bringen, und so bleiben vermutlich aufgedeckte Sicherheitslücken trotzdem unbekannt und können nicht geschlossen werden, weil Sicherheitsforschende weiterhin mit einem Bein im Knast stehen.

Kommunen im Gesetzentwurf zur NIS-2 Umsetzung ausgeschlossen

Besonders irritierend ist aber der Ausschluss der Kommunen in der geplanten Umsetzung, obwohl gerade Kommunen vielfach von Cyberattacken betroffen sind und ohne Frage zur kritischen Infrastruktur zählen. Wenn die kommunale Ebene wegen einer Cyberattacke lahm gelegt ist, geht vor Ort nichts mehr. Deshalb wurde im Landkreis Anhalt-Bitterfeld nach einer Ransomware Attacke sogar der Katastrophenfall ausgerufen. Wenn Geburten nicht mehr gemeldet, Sozialleistungen nicht mehr abgerufen, Kitaplätze nicht mehr verwaltet und Gehälter nicht mehr gezahlt werden können, ist das ein Riesenproblem.
Das habe ich deshalb auch in meiner Rede zur NIS-2 Umsetzung am 11.10.24 im Bundestag kritisiert. Kritik kam auch von der AG KRITIS und der VITAKO, dem Verband der kommunalen IT-Dienstleister.

BMI: „Kommunen? Das erlaubt EU-Recht gar nicht“

Ich habe schon viele schräge Begründungen für schlechte Gesetze gehört, aber vom BMI gab es für den Ausschluss der Kommunen einen echten Tiefpunkt: Andreas Reisen, Referatsleiter CI 3 „Cybersicherheit für Wirtschaft und Gesellschaft“ beim BMI entgegnete auf mein Plädoyer für den Einbezug der Kommunen bei der NIS-2 Umsetzung in Deutschland auf dem VOICE Entscheiderforum im November 2024, dass die NIS-2-Richtlinie der EU die Beteiligung von Kommunen gar nicht erlaube. Weil ich das reichlich seltsam fand, habe ich den Wissenschaftlichen Dienst des Bundestags beauftragt, diese Aussage wissenschaftlich zu prüfen.

Gutachten Wiss. Dienst: „Kommunen? Gar kein Problem mit EU-Recht!“

Der Sachstand des Wissenschaftlichen Dienstes des Bundestages ist eindeutig: Kommunen können explizit einbezogen werden, das ist Sache der Umsetzung in den Mitgliedsstaaten und nichts in der NIS-2-Richtline spricht dagegen, dies zu tun! Im Gutachten wird sogar hin- und her interpretiert, ob sich ggf. eine Verpflichtung ergeben könnte, die Kommunen unbedingt einzubeziehen, aber da gäbe es Spielräume und eine Pflicht sei unwahrscheinlich.

Dass die Bundesregierung NIS-2 und damit die Sicherheit kritischer Infrastrukturen vernachlässigt, ist das eine, das aber auch noch mit angeblichen EU-Hürden zu begründen und sich auf diese Weise herauszureden, ist wirklich dreist!

Weiterführende Links:

Pressemitteilung der EU-Kommission zu den Vertragsverletzungsverfahren vom 28.11.2024

https://germany.representation.ec.europa.eu/news/cybersicherheit-und-resilienz-kritischer-einrichtungen-vertragsverletzungsverfahren-gegen-2024-11-28_de

Entwurf der Bundesergierung zu Umsetzung der NIS-Richtlinie:

https://dserver.bundestag.de/btd/20/131/2013184.pdf

Meine Rede zur NIS-Umsetzungim Bundestag am 11.10.2024:

https://mdb.anke.domscheit-berg.de/2024/10/rede-zum-nis-2/

Stellungnahme der AG KRITIS vom 27.10.2024:

https://ag.kritis.info/wp-content/uploads/2024/10/20241027-Stellungnahme-NIS2UmsuCG-RefE-v02102024-AG-KRITIS-v1.1.pdf

Stellungnahme des VITAKO vom 12.6.2024:

https://vitako.de/wp-content/uploads/2024/06/2024-06-12_VITAKO_Kommunale_IT_gemeinsam_schuetzen_-_Resilienz_und_Cybersicherheit_im_Fokus_final.pdf

VOICE-Entscheider Forum:

https://voice-entscheiderforum.org

Gutachten des Wissenschaftlichen Dienstes zur NIS-Umsetzung für Kommunen vom 22.01.2025:

https://mdb.anke.domscheit-berg.de/wp-content/uploads/250122_WD_Bewertung-NIS2-Kommunen.pdfHerunterladen
/von

Rede: Schutz vor Wahlbeeinflussung durch Tech-Milliardäre und Trollfabriken

,

Deutschland ist ungenügend geschützt gegen massenhafte Wahlbeeinflussung durch Trollarmeen und Desinformationskampagnen fremdstaatlicher Akteure oder Tech-Milliardäre mit rechtsextremen Einstellungen wie Elon Musk. Für wirksamen Schutz braucht es Dreierlei: Tax The Rich, Regulierung von Plattformen als Medien und EU-finanzierte soziale Netze, ohne Datenhandel und Profitinteresse.

Meine Rede im Wortlaut: 

Sehr geehrter Präsident! Liebe Kolleginnen und Kollegen! In den USA spricht man schon von „The Nerd Reich“ und von „Broligarchie“, weil Tech-Bro-Milliardäre großer digitaler Konzerne mit ihrer Macht die Demokratie aushebeln und fremdenfeindliche Politik unterstützen.

Elon Musk, einer von Iihnen, ist mit 417 Milliarden Dollar der reichste Mensch der Welt. Das ist so viel Geld, dass jemand, der vor der letzten Eiszeit damit angefangen hätte, jeden einzelnen Tag 10 000 Dollar auszugeben, heute, 114 000 Jahre später, immer noch Kohle übrig hätte. So absurder Reichtum ist gefährlich. Denn er führte unter anderem dazu, dass Elon Musk denkt, er könne nicht nur Jachten und Raketen kaufen, sondern auch Demokratien und Gesetzeslosigkeit.

(Zuruf der Abg. Beatrix von Storch (AfD))

Rechtsextreme Parteien unterstützt er, weil sie Kapitalismus pur mit wenig Steuern und Regulierung versprechen; so steht es ja auch im Wahlprogramm der AfD. Und als Profiteur der südafrikanischen Apartheid ist für ihn auch ihr Rassismus völlig okay.

So wie es Elon Musk egal ist, was das für die Sicherheit von Menschen bedeutet, die irgendwie nach einem Migrationshintergrund aussehen, queer sind oder antifaschistisch, so war das gestern Union und FDP egal, als sie gemeinsam und geplant die Brandmauer einrissen, um mit der AfD gemeinsame Sache zu machen – einer laut Tausender Beweise verfassungswidrigen Partei. Putins und Elons Trollarmeen haben nun noch leichteres Spiel; denn gestern wurde unsere Demokratie von innen beschädigt.

(Detlef Seif (CDU/CSU): Oijoijoi!)

Vor solch illegitimer ausländischer Einflussnahme in Deutschland sind wir leider schlecht geschützt, nicht nur wegen mangelnder Medienkompetenz, sondern auch, weil die für die Umsetzung des Digital Services Act zuständige Behörde Bundesnetzagentur nicht einmal ein Viertel der notwendigen Stellen bekam. Wirklich effektiv verhindert man eine Manipulation politischer Diskurse auf digitalen Plattformen aber nur durch drei strukturelle Maßnahmen.

Erstens: Tax the Rich!

(Beifall bei der Linken)

Zweitens: eine Einstufung digitaler Plattformen als Medien. In Medien wie dem Fernsehen ist zum Beispiel Wahlwerbung streng reguliert. Dennoch kann Elon auf seiner Plattform X, deren Algorithmen er ganz persönlich beeinflussen kann, in seinem Kanal mit 200 Millionen Followern mit mehr Reichweite als der öffentlich-rechtliche Rundfunk eine Debatte mit Frau, wie er sie nennt, „Wiedel“ ausstrahlen, die Spitzenkandidatin einer Partei mit faschistischem Führungspersonal ist, und unberührt davon Desinformation verbreiten.

Drittens braucht es ein gemeinwohlorientiertes soziales Netz: offen, interoperabel, ohne Datenhandel und Manipulation, mit einer verlässlichen Finanzierung durch die Europäische Union, im Fediverse oder als Variante von Bluesky, wie es die „Free Our Feeds“-Initiative plant. Diese wichtige Infrastruktur der digitalen Gesellschaft muss Daseinsvorsorge sein –

Vizepräsident Wolfgang Kubicki:

Frau Kollegin, kommen Sie zum Schluss bitte.

Anke Domscheit-Berg (Die Linke):

– und kein Instrument zur Bereicherung rücksichtsloser Milliardäre. – Das ist nun wirklich meine letzte Rede.

Vizepräsident Wolfgang Kubicki:

Frau Kollegin, bitte.

Anke Domscheit-Berg (Die Linke):

Und deshalb erlaube ich mir noch einen Satz.

Vizepräsident Wolfgang Kubicki:

Einen Satz, ja.

Anke Domscheit-Berg (Die Linke):

Ich hoffe, die Wähler/-innen werden vor und bei der Wahl gegen Rechtsextreme und ihre Steigbügelhalter auf die Barrikaden gehen und mit ihrem Kreuz dafür sorgen, dass es im nächsten Bundestag eine starke Linksfraktion mit verlässlich antifaschistischer Politik gibt.

Vielen Dank.

(Beifall bei der Linken)

/von

BUND BAUT IT-SICHERHEITSSTELLEN AB

, , , , , ,

„UPDATE: wenige Stunden nach Veröffentlichung eines dpa Textes zu den nachstehenden Informationen meldete sich das BMI mit Korrekturen zu seinen Zahlen in der Antwort der Bundesregierung auf meine Anfragen in den Jahren 2024 und 2023. Daher ist die nachstehende Analyse nicht mehr zutreffend u muss aktualisiert werden. Ich werde mich zeitnah darum bemühen. Die korrigierten Zahlen des BMI werde ich mitteilen sobald sie mir final vorliegen“

Pressemitteilung

Zum ersten Mal seit sechs Jahren baut der Bund insgesamt IT-Sicherheitsstellen ab, insbesondere beim BMI und dem ihm nachgeordneten Bundesamt für Sicherheit in der Informationstechnik, wo innerhalb von 12 Monaten 344 IT-Sicherheitsstellen (14 Prozent) wegfielen, obwohl sowohl Ministerin Nancy Faeser als auch das BSI die aktuelle Cybersicherheitslage als ‚besorgniserregend‘ bezeichnen. In Zeiten hybrider Kriegsführung, massiver Desinformationskampagnen und ständiger Cyberattacken auf kritische Infrastrukturen ist diese Entwicklung irrational und gefährlich, denn auch der Bund ist eine kritische Infrastruktur und braucht nicht weniger, sondern mehr IT-Sicherheitskompetenzen.

Selbst der erneut starke Zuwachs von 163 IT-Sicherheitsstellen im Geschäftsbereich des BMVg und kleine Zuwächse in übrigen Ministerien konnten den Stellenabbau nicht ausgleichen. Betrachtet man die letzten sechs Jahre seit 2020, wurden immerhin 1.599 Stellen für IT-Sicherheit aufgebaut, aber der Anteil ziviler Stellen verringerte sich dabei, denn schon 2020 war jede vierte IT-Sicherheitsstelle im militärischen Bereich angesiedelt, jetzt ist es sogar jede dritte Stelle. Fast Zweidrittel aller seit 2020 neu entstandenen IT-Sicherheitsstellen sind dem BMVg zuzuordnen. Hybride Bedrohungen sind eine Realität, aber dagegen müssen sich alle Bundesbehörden schützen, nicht nur das BMVg und die Bundeswehr. Die Verteidigung informationstechnischer Systeme und damit der Arbeitsfähigkeit des Bundes und seiner Behörden ist keine militärische Aufgabe, sondern notwendiger ziviler Schutz.

Ich finde die Vorstellung seltsam, bei einem erfolgreichen Cyberangriff auf eine Bundesbehörde wie der deutschen Rentenversicherung, der BaFin oder der Bundesagentur für Arbeit die Bundeswehr um Amtshilfe bitten zu müssen, weil es nicht genug eigene IT-Sicherheitsexpertise gibt, wie das beim Ausruf des Katastrophenfalls nach einer Ransomware-Attacke im Landkreis Anhalt Bitterfeld der Fall war. In den letzten Tagen dieser Legislatur überbieten sich Union und SPD mit Anträgen, die mehr Sicherheit versprechen, aber wirkungslose Symbolpolitik sind und z.T. sowohl gegen EU-Recht als auch gegen das Grundgesetz verstoßen. Was wir dringend brauchen, ist Sachpolitik, die Probleme wirklich löst. Ein Abbau von über 344 IT-Sicherheitsstellen beim zuständigen Bundesministerium löst kein Problem, sondern verschärft es.

Immerhin berichteten 2025 sieben Ministerien einen Anteil unbesetzter Stellen von 0-10 Prozent, was seit Erhebung der Daten ein Positiv-Rekord ist. Das neue BMWSB und das BMZ meldeten sogar 100% besetzter Stellen – allein mit Fachkräftemangel ist also nicht zu erklären, dass das BMG wie in allen Erhebungen seit 2020 erneut Schlusslicht ist, mit mehr 50 Prozent offener IT-Sicherheitsstellen. Dass IT-Sicherheit im Hause Lauterbach keine besondere Priorität genießt, zeigten auch die zahlreichen Sicherheitslücken, die vor der Einführung der ‚ePA für alle‘ aufgedeckt wurden.

Die Digitalbilanz dieser Legislatur zur IT-Sicherheit ist insgesamt verheerend: die Cybersicherheitsagenda nicht ansatzweise umgesetzt, die überfällige NIS2-Richtlinie nicht verabschiedet, die IT-Sicherheitsforschung nicht entkriminalisiert, kein Bundes CISO mit den nötigen Kompetenzen – das sind 3,5 verlorene Jahre für notwendige Fortschritte in der IT-Sicherheit, obwohl wir uns keinen einzigen Tag davon leisten können.

Meine Auswertung der aktuellen Angaben der Bundesregierung:

Zum 1. Mal seit Erhebung der Daten vor 6 Jahren (2020) werden IT-Sicherheitsstellen abgebaut – trotz steigender IT-Sicherheitsrisiken.

  • Das BSI beschreibt die IT-Sicherheitslage als „besorgniserregend“, Nancy Faeser erklärte erst im Nov. ‘24, dass Wirtschaft, Verwaltung und Politik von erpresserischen Ransomware-Angriffen, von Cyberkriminalität, von Cybersabotage und von Cyberspionage bedroht sind
  • gleichzeitig streicht das für IT-Sicherheit zuständige BMI mit nachgeordneter Behörde BSI mehr als jede 7. IT-Sicherheitsstelle – ca 344 Stellen (14%) und setzt damit nicht nur ein völlig falsches Signal!
  • in Zeiten hybrider Kriegsführung, massiver Desinformationskampagnen, ständiger Cyberattacken auch auf kritische Infrastrukturen, stark verzögerter Umsetzung von EU–RL zur Stärkung der Cybersicherheit von KRITIS, ist diese Entwicklung irrational und gefährlich – wir brauchen mehr und nicht weniger IT-Sicherheitskompetenzen!
  • alle anderen Ministerien zusammen legen gemeinsam immerhin um 189 Stellen zu, so dass insgesamt der Abbau „nur“ 155 Stellen (-3% zum Vorjahr) beträgt
  • außer BMI hat nur das BMWK hat auch IT-Sec Stellen abgebaut: um 4% (2,75 Stellen)

Im gesamten zivilen Bereich wurde in den letzten 12 Mon. etwa jede 10. IT-Sec Stelle abgebaut, während es im militärischen Bereich 11% Zuwachs gab.

  • Stärkster Zuwachs erfolgt im militärischen Bereich: +163 Stellen auf 1686 Stellen = 38% aller IT-Sec Stellen sind im BMVg angesiedelt (2024: 33%, 2020: 24% )
    • IT-Sicherheitskompetenzen im militärischen Bereich werden ausgebaut (+163 Stellen/+11%)
    • IT-Sicherheitskompetenzen im zivilen Bereich werden abgebaut (-318 Stellen/-10,4%)
    • gefährliche Verschiebung!

Langzeitbetrachtung: Seit 2020 gab es einen starken Zuwachs von IT-Sec Stellen (+57%), der aber zu 63% (1006 Stellen von 1.599) auf das BMVg entfiel.

  • Der starke Anstieg von IT-Sicherheitsstellen im Bereich des BMVg passt zum Ausbau des Kommando Cyber- und Informationsraums (CIR) der Bundeswehr, das sich auch mit Bedrohungen durch hybride Kriegsführung befasst
  • auf das BMI entfielen nur 22% der neuen Stellen seit 2020 (351 Stellen von 1.599)

Die Anpassung der Ministerien an die gestiegene Bedrohungslage ist weiterhin extrem heterogen.

  • Vorreiter-Ressorts wie das Auswärtige Amt verdreifachten ihre IT Sicherheitsstellen seit 2020, während z.B. BMBF und BMUV auf niedrigem Niveau nur etwa 10% Zuwachs schafften, bei beiden Ministerien ist das nicht mal eine ganze Stelle mehr
  • Auf BMVg + BMI entfällt Löwenanteil der IT-Sec Stellen des Bundes: 3.828 von 4.421 Stellen in 2025 (87% = 3838 Stellen), dito beim Zuwachs seit 2020: 85% = 1357 Stellen

Laternenträger ist erneut das BMG: jede 2. IT-Sicherheitsstelle ist dort unbesetzt, in den letzten 4 Jahren waren es sogar mehr als 75%.

  • Auch wenn das BMG 1,5 neue Stellen schuf und damit in 2025 über knapp 13 IT-Sec Stellen verfügt, ist der weiterhin ungewöhnlich hohe Anteil unbesetzter Stellen beunruhigend u mit Fachkräftemangel nicht zu erklären
  • Dies spricht für ein anhaltend geringes IT-Sicherheitsbewußtsein an der Spitze des Hauses und trägt vermutlich zu den zahlreichen Skandalen um IT-Sicherheitslücken z.B. bei der neuen „ePA für alle“ bei – es fehlt einfach an IT-Sicherheitskompetenz

Insgesamt hat sich der Stand besetzter IT-Sec-Stellen bei den Bundesministerien verbessert.

  • Erstmals gibt es 7 Ressorts, die maximal 10% dieser Stellen nicht besetzt haben (2024: 3 Ressorts)
  • BMZ und das neue BMWSB haben sogar 100% ihrer Stellen besetzen können
  • Nur ein einziges Ministerium – das BMG – hat mit 53% mehr mehr als 25% unbesetzte Stellen, in 2024 waren es noch 4 Ministerien (neben BMG: BMAS, BMFSFJ, BMDV)

Die wichtigsten Ressorts nach IT-Sicherheitsstellen in 2025:

  • BMI: 2152 (48,7 % aller Stellen)
  • BMVg: 1686 (38,1 %)
  • BMF: 235 (5,3 %)
  • BMDV: 118 (2,7 %)
  • 2 Ministerien kommen noch über 1% Anteil (BMWK: 1,5% bei 68 Stellen, AA 1,4% bei 60 Stellen)
  • 9 weitere Ressorts bleiben unter 1% Anteil mit unter 20 Stellen, 5 sogar unter 10 Stellen

Die Angaben der Bundesregierung in tabellarischer Übersicht:

Antwortschreiben auf meine bisherigen schriftlichen Fragen im Original (geschwärzt):

Antwort der Bundesergierung vom 23.01.2025 auf meine schriftliche Frage zur Besetzung von IT-Sicherheitsstellen:

250123_Aw_IT-Sec-StellenHerunterladen

Mein Beitrag zu unbesetzten Sicherheitsstellen vom Janaur 2024

Mein Beitrag zu unbesetzen Sicherheitsstellen vom Janaur 2023

Meine Frage zu unbesetzten Sicherheitsstellen vom Februar 2022

Mein Beitrag zu unbesetzen Sicherheitsstellen vom Februar 2021

Mein Beitrag zu unbesetzten Sicherheitsstellen vom Febraur 2020

/von

Meine Rede zur Prüfung eines AfD-Verbots

, ,

Meine am 30.01.25 im Bundestag zu Protokoll gegebene Rede zum Gruppenantrag „Feststellung der Verfassungswidrigkeit der AfD“ im Wortlaut:

Sehr geehrte Präsident:in, liebe Kolleg:innen,

Die Mütter und Väter des Grundgesetzes waren noch unter dem Eindruck des Hitler-Regimes, als sie unsere Verfassung so schrieben, dass sie unsere Demokratie vor einer Wiederholung des Faschismus schützt, denn überall in Deutschland erinnerten noch Kriegsruinen an die Schrecken des Nazi-Herrschaft. Das ist lange her, aber noch leben Menschen, die davon erzählen können, wie Roman Schwarzman in der Auschwitz-Gedenkstunde an diesem Mittwoch. Nach seiner Rede bekam er standing Ovations im Bundestag, aber was hat er wohl empfunden, als nur ein paar Stunden später die Brandmauer der Demokratie durch Union und FDP mit Beihilfe des BSW gestürzt wurde und erstmalig seit Kriegsende eine Mehrheit unter Beteiligung einer mutmaßlich rechtsextremen Partei herbeigeführt wurde, um migrationsfeindliche und zum Teil rechtswidrige Forderungen zu verabschieden?

Wie fühlen sich Nachkommen von Überlebenden oder von Opfern jetzt? Oder Menschen mit Migrationshintergrund, jüdischem oder muslimischem Glauben, queere Menschen oder Menschen, die sich für Antifaschismus oder Feminismus engagieren? Wie fühlen ihre Angehörigen und Freunde? Die Brandmauer war nicht nur eine theoretische Schutzmauer, sie hatte eine reale Schutzfunktion, sie war ein wichtiges Signal an alle von Ausgrenzung, Diskriminierung und Gewalt bedrohten Menschen, dass man sie nicht im Stich lassen wird und verhindert, dass sich rechtsextreme Fantasien durchsetzen können. Der Fall der Brandmauer und die Übernahme wesentlicher politischer Forderungen der AfD zeigt, dass sie das Potenzial hat, unsere Demokratie mit den Mitteln der Demokratie zu zerstören. Und für solche Fälle gibt es das Sicherheitsnetz in unserem Grundgesetz, das bei mutmaßlich verfassungswidrigen Parteien ein Verbotsverfahren vorsieht, über das das Bundesverfassungsgericht entscheidet.

Dass die AfD verfassungswidrig ist, belegen Tausenden Beweise, die u.a. zeigen, dass sie Menschen nach Herkunft und Religion unterschiedlich behandeln und z.B. muslimische Menschen, Menschen mit dunkler Hautfarbe und Menschen mit bestimmten Migrationshintergründen diskriminieren und aus Deutschland verdrängen oder gar nicht erst hereinlassen möchte. Die AfD ist der parlamentarische Arm der extremen Rechten, in ihren Reihen finden sich diverse einschlägig verurteilte Straftäter, sie ist eng vernetzt mit gewalttätigen Gruppierungen und hat das Potenzial unsere freiheitlich demokratische Grundordnung abzuschaffen. Deshalb ist es unsere ausdrückliche Pflicht als Abgeordnete des Deutschen Bundestages, das Bundesverfassungsgericht mit der Prüfung der Verfassungswidrigkeit der AfD zu beauftragen, weil erst danach ihr Verbot möglich ist.

Natürlich reicht ein Verbot nicht aus, wir werden auf vielen Wegen um alle AfD Wähler:innen kämpfen müssen, die das Vertrauen in die Demokratie verloren haben. Aber ein Verbot entzieht der AfD wesentliche Einflussmöglichkeiten und Finanzierungsmittel, es macht klar, dass die AfD keine normale Partei ist und es schützt vor der Umsetzung ihrer verfassungswidrigen Ziele.

Ich wohne im Norden von Brandenburg in einer kleinen Stadt mit knapp 6.000 Einwohnenden, mindestens 200 davon sind Geflüchtete. Bei uns leben mehr als 50 Nationen. Mir ist kein einziger Fall bekannt, wo ein Migrant eine Straftat verübte. Auch bei uns haben seit einiger Zeit Menschen Angst, allein unterwegs zu sein, denn allein in den letzten Monaten passierten mehrere Gewalttaten. Menschen wurden bedroht und verletzt. Wir haben ein akutes Sicherheitsproblem, aber die Täter kommen aus dem rechten Spektrum und sie berufen sich auf die Parolen der AfD.

Mir sind 3 syrische Mädchen sehr ans Herz gewachsen, sie wurden Teil unserer Familie, wir feiern Weihnachten zusammen und am liebsten essen sie die Schnitzel, die mein Mann kocht. Je stärker die AfD wird, umso mehr habe ich Angst um ihre Sicherheit, um ihre Chance auf eine gute Zukunft in unserem Land, das seit 9 Jahren ihr Zuhause geworden ist. Ich liege nachts wach, weil ich fürchte, dass der Faschismus wiederkehrt und ich Riim, Rana und Riham nicht vor Hass und Gewalt schützen kann. Ich überlege, wohin man fliehen könnte, wenn es so weit kommt – aber schon diesen Gedanken finde ich falsch, denn man sollte nicht fliehen, solange man kämpfen kann und deshalb bin ich Mitunterzeichnerin dieses Antrags auf Feststellung der Verfassungswidrigkeit der AfD. Das Sicherheitsnetz in unserer Verfassung kann ja nur dann Wirkung entfalten, wenn man es einsetzt und dafür ist es höchste Zeit.

Deshalb hoffe ich auf eine demokratische Mehrheit, damit wir uns erfolgreich wehren können, solange das überhaupt noch geht. Denn mindestens das sollten wir alle aus der Geschichte gelernt haben, dass der Weg, auf den die AfD Deutschland bringen will, unser Land ins Verderben stürzt und dass wir das gemeinsam verhindern müssen.

Vielen Dank

/von

MERZ VERSTÖSST MIT NEUEN ÜBERWACHUNGSFORDERUNGEN GEGEN KI-VERORDNUNG UND GRUNDGESETZ

, , , , , , ,

Pressemitteilung

Zum aktuellen 27-Punkte Antrag der Union „Für einen Politikwechsel bei der Inneren Sicherheit“, der Maßnahmen zu Asyl und Migration, aber auch zu digitalen Methoden der Überwachung und Datenverarbeitung enthält, erklärt die digitalpolitische Sprecherin der Linken im Bundestag:

„In einer Zeit, in der wir lösungsorientierte Politik und Rechtsstaatlichkeit am dringendsten brauchen, um das Vertrauen in die Demokratie zu stärken, agiert Kanzlerkandidat Merz wie ein Haufen aufgescheuchter Hühner und legt einen Antrag mit einem Sammelsurium an Maßnahmen vor, die weder lösungsorientiert noch rechtsstaatlich sind, sondern vorsätzliche Verstöße gegen das Grundgesetz und Europarecht enthalten, auch bei den digitalpolitischen Vorschlägen.

Mit diesem Antrag fordert die Union einen massiven Ausbau des Überwachungsstaates bei gleichzeitigem Abbau wesentlicher ‚Checks and Balances‘, und will so offensichtlich die Korrekturmechanismen gegen Fehlentwicklungen in einer Demokratie außer Kraft setzen. Statt durch das Agieren von US-Präsident Trump täglich daran erinnert zu werden, was die Grundwerte einer Demokratie sind und diese bei uns mit aller Kraft zu verteidigen, fordert Merz z.B. die Abschaffung der vom Bundesverfassungsgesetz seit 2010 verlangten und von der Ampel geplanten Überwachungsgesamtrechnung, denn die Grundrechtskonformität von Überwachungsmaßnahmen hängt von ihrer Gesamtbelastung für die Gesellschaft ab. Ausufernde Überwachung ist der Anfang und die Grundlage für ein autoritäres Regime. Genau deshalb braucht es mehr denn je eine Überwachungsgesamtrechnung, damit wir bei allen Überwachungsmaßnahmen Maß und Mitte behalten!

Die Einführung der Kennzeichnungspflicht für Bundespolizisten will Merz stoppen und den neu eingerichteten Polizeibeauftragten des Bundes wieder abschaffen, obwohl es regelmäßig Schlagzeilen zu illegitimer Polizeigewalt gibt, die sich wie kürzlich in Riesa sogar gegen parlamentarische Beobachter richtet. Er zerstört damit Vertrauen in den Schutz durch demokratische Prozesse.

Gleichzeitig fordert Merz mit der biometrischen Gesichtserkennung in Echtzeit im öffentlichen Raum einen Einsatz künstlicher Intelligenz (anders wäre die Forderung technisch nicht umsetzbar), für die ab 2. Februar 2025 ein absolutes Verbot durch die KI-Verordnung der EU auch für Deutschland und auch für Friedrich Merz gilt und die auch mit dem Grundgesetz durch den massiven Grundrechtseingriff nicht vereinbar wäre. Gerade beim Einsatz von KI braucht es wegen der hohen Missbrauchsgefahr und Fehlerquoten mit belegter Diskriminierung rechtliche Rahmenbedingungen und Rote Linien, die es mit der KI-Verordnung gibt. Sie offen zu ignorieren, direkt zum Zeitpunkt ihres in-Kraft-Tretens, zeugt von besonderer Verachtung rechtsstaatlicher Prinzipien und der EU selbst. Ein Spitzenpolitiker kann nicht ständig Abschiebungen oder Ausbürgerungen wegen Rechtsverletzungen fordern, wenn er nicht einmal selbst auf dem Boden des Grundgesetzes und von EU-Recht steht.

Auch die erneute Forderung einer in ihrer Ausgestaltung verfassungswidrigen Vorratsdatenspeicherung zeigt, dass die Union auch nach diversen Urteilen durch den EUGH und das BVerfG nicht in der Lage ist zu verstehen, wo die Grenzen des rechtlich Zulässigen verlaufen. Mit ihren Wünschen nach mehr Quellen-Telekommunikationsüberwachung und Online-Durchsuchung meint die Union den vermehrten Einsatz von Staatstrojanern, die aber nur mit dem Offenhalten von Sicherheitslücken einsetzbar sind und damit, statt unsere Sicherheit zu erhöhen, unser aller IT-Sicherheit gefährden. Diese Maßnahmen sind daher nicht nur ‚Sicherheitsesotherik’, weil sie gar nichts zur Stärkung der Sicherheit beitragen, sondern äußerst gefährlich, denn statt demokratische Rechte zu verteidigen, greift sie Friedrich Merz direkt an und tritt den Rechtsstaat und Grundrechte mit Füßen. Das ist völlig inakzeptabel und die Linke wird mit aller Kraft dagegen kämpfen.“

Weiterführende Links:

/von

Der ADB Podcast #44 – Das Best-of-38C3 Special mit Marlies Wiegand

, , , , ,

Diese Folge ist ein Special – live aufgezeichnet im Sendezentrum des Chaos Communication Congress 38C3 des Chaos Computer Clubs – der größten Hacker-und Haecksen-Convention Europas und seit 2010 mein Highlight des Jahres. Dort traf ich Marlies Wiegand, die nicht nur nerdig drauf ist, sondern auch Bundestagskandidatin für die Linke in Schleswig-Holstein. Wir nahmen spontan diese Sonderfolge auf, um unsere Eindrücke zu teilen. Im Hintergrund wuselt der 38c3, während wir Euch verraten, was unsere liebsten Talks waren, denn die könnt Ihr Euch in der Mediathek des CCC noch ansehen. Wir erzählen von krassen Sicherheitslücken der elektron. Patientenakte, illegalen Sammlungen von Bewegungsdaten durch VW, von Anne Brorhilkers Talk zum Cum Ex/Cum Cum Steuerraub (die ich im Podcast versehentlich als ehemalige Staatssekretärin statt als Ex-Staatsanwältin bezeichne – oops!), es geht um Desinformation, KI und Kapitalismus, Eat the Rich, Bezahlkarten und Digitalzwang, aber lachen könnt Ihr auch, z.B. bei KI-Karma next Level, versprochen!

Transkript (KI-generiert und kann damit Fehler aufweisen) 📜:

Transkript_adb_podcast_44Herunterladen

Kapitelmarken:

00:00:07 Intro: Wer ist Marlies, was mache ich und was ist der 38C3?
00:12:57 Desinformation, Doppelgänger-Initiative, Wahlbeeinflussung
00:16:53 Unsere liebsten Talks
00:20:54 Outro: Gemeinwohlorientierte Digitalpolitik kann man wählen

Weiterführende Links:

Meine Co-Podcasterin Marlies Wiegand (smarties) auf Mastodon

Meine Webseite

Alle aufgezeichneten Talks vom 38C3 zum Nachschauen

Unsere Favoriten und Hintergrundinfos:

CyberCyer, Datenschutz, Überwachung, Informationsfreiheit

38C3 Talk -Martin Tschirsich und Bianca Kastl „Konnte bisher noch nie gehackt werden“ Die elektronische Patientenakte kommt – jetzt für alle!“

38C3 Talk – Michael Kreil und Flüpke „Wir wissen, wo Dein Auto steht – Volksdaten von Volkswagen“

38C3 Talk – anne und Chris Klöver „Autoritäre Zeitenwende im Zeitraffer“

38C3 Talk – „Das IFG ist tot – Best of Informationsfreiheit, Gefangenenbefreiung & Machtübernahme“ von Arne Semsrott

Desinformation

38C3 Talk – Hendrik Heuer und Josefine Schmitt „Von Augustus bis Trump – Warum Desinformation ein Problem bleibt und was wir trotzdem dagegen tun können“

38C3 Talk – Niko Dekens „OSINT – How Ai fuels desinformation“

Technischer Bericht des Auswärtigen Amtes zur von Russland gesteuerten Doppelgänger-Initiative

Anti-Rechts, Pro Demokratie, Migration

38C3 Talk – Jean Peters „Correctiv-Recherche „Geheimplan gegen Deutschland“ – 1 Jahr danach“

38C3 Talk – unsösterreichts.jetzt and Alexander Muigg „Die Brandmauer gegen rechts – Schutz oder Gefahr für die Demokratie?“

38C3 Talk – ABC Belarus „Resistance against dictatorship in Belarus in times of war [EN]“

38C3 Talk – Hafid: Life in the Lager. How it is and how to support

38C3 Talk – Munir und Jot „Nein zur Bezahlkarte – Rechte Symbolpolitik mit Solidarität aushebeln“

Tausch-Initiativen zur Bezahlkarte

Anti-Kapitalismus, Finanzen, Soziales, Klima

38C3 Talk – Anne Brorhilker „Der Milliarden-Steuerraub Cum/Ex Wie schädlich ist Wirtschaftskriminalität für unsere Gesellschaft?“

38C3 Talk – Malte Engeler und Sandra Sieron „KI nach dem Kapitalismus: Hat ChatGPT in der besseren neuen Welt einen Platz?“

38C3 Talk – Helena Steinhaus „Eat the Rich! Die Menschen wollen soziale Sicherheit aber kriegen „Deutschland den Deutschen“

38C3 Talk – Anja Höfner and Rainer Rehak (Bits und Bäume) „Kein Spaß am Gerät auf ’nem toten Planet(en)!“

Nicht aufgezeichneter 38C3 Talk: „Don’t let them take abortion offline!“, von Women on Web: https://www.womenonweg.org und insta: @abortionpil

Digitalzwang

38C3 Talk – Scherrie – „Fehlercode 406: Request not acceptable. Digitalzwang als Human Security-Problem“

38C3 Talk – Anne Roth „Digitalisierung mit der Brechstange“

Antrag der Linken im Bundestag „Für ein Offlinezugangsgesetz“ (10/2023)

Unterhaltsames

38C3 Talk – Katharina Nocun „KI-Karma next Level: Spiritueller IT-Vertrieb“

Mehr von mir und Feedback von euch zu #DerADBPodcast:

https://open.spotify.com/show/6pAKTUZKESc0AIQ9FCzMn8?si=4a808bf859004136
/von

Abschied mit einem Dankeschön für Ehrenamtliche: Meine letzte Besuchergruppe im politischen Berlin

, , , , , , , ,

Mit der vorgezogenen Neuwahl endet mein Bundestagsmandat früher als erwartet. Da ich nicht erneut für den Bundestag kandidiere, hatte ich am 16. und 17. Januar 2025 zum letzten Mal die Freude, eine Besuchergruppe im Rahmen einer Bundespresseamtsfahrt aus meinem Wahlkreis in Berlin zu empfangen. Diese Fahrten haben mir stets viel bedeutet – sie waren eine wunderbare Gelegenheit, Zeit mit Menschen aus meinen Wahlkreisen zu verbringen.

Gruppenfoto (Foto: Bundesregierung / StadtLandMensch-Fotografie)

Dieses Mal hatte ich ehrenamtlich engagierte Bürgerinnen und Bürger aus meinem Wahlkreis eingeladen. In der Gruppe waren unter anderem Mitglieder des Märkischen Sozialvereins, der Initiative „Willkommen in Gransee“, der Initiative Barrierefreier Bahnhof Fürstenberg, Engagierte in der Kommunalpolitik und auch eine Ukrainerin und eine Syrerin, die für Projekte des Verstehbahnhofs in Fürstenberg ehrenamtlich aktiv sind und z.B. gemeinsam für ein leckeres ukrainisch-syrisches Catering bei Veranstaltungen im Verstehbahnhof sorgen. Mit dieser Einladung wollte ich den Ehrenamtlichen für ihr wichtiges Engagement danken. Mehr als 800.000 Menschen, also etwa jede:r dritte Bürger:in, engagieren sich in Brandenburg ehrenamtlich, da kann man schon sagen, dass diese freiwillige Arbeit in allen Lebensreichen dafür sorgt, dass unsere Gesellschaft funktioniert!

Weiterlesen
/von

ICH FRAGE: PATIENTENAKTE SICHER? BUND ANTWORTET: 🙈

, , , , , , , , ,

Pressemitteilung

Nach 20 Jahren Planung und erfolglosem Rollout von Vorgängervarianten startete am 15. Januar 2025 der Test der sogenannten „ePA für alle“, der elektronischen Patientenakte 3.0, in vorerst knapp 300 ausgewählten Praxen in Hamburg, Franken und NRW. Ob der geplante bundesweite Rollout wie geplant im Februar starten soll, steht aktuell in den Sternen, nachdem Ende Dezember aus dem Umfeld des Chaos Computer Clubs verschiedene Sicherheitslücken öffentlich präsentiert wurden, die theoretisch einen illegitimen Zugriff auf alle künftigen etwa 70 Mio. Patientenakten ermöglichen könnten. Auf diverse Fragen der Bundestagsabgeordneten der Linken, Anke Domscheit-Berg, antwortete die Bundesregierung entweder gar nicht, ausweichend, oder irritierend.

Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:

„Die Antworten der Bundesregierung auf meine Fragen zeigen, dass das Gesundheitsministerium (BMG) immer noch nicht bereit ist, sich ehrlich zu machen und transparent mit dem anhaltend mangelnden Sicherheitsniveau der ePA umzugehen. Dazu gehört, auf klare Fragen auch vollständig und verständlich zu antworten, statt unliebsame Fragen einfach zu ignorieren und bei anderen verklausuliert um den heißen Brei herumzureden. Das ist schlechter Führungsstil und eine Missachtung parlamentarischer Verfassungsrechte.

Bei einem Großprojekt mit hochsensiblen Gesundheitsdaten eines Großteils der Bevölkerung, das nur erfolgreich sein kann, wenn die Daten sicher und das Vertrauen der Patient:innen hoch ist, muss man gerade Probleme und IT-Sicherheitsrisiken transparent kommunizieren und das findet weiterhin nicht statt. Wenn Patient:innen aber immer wieder erleben, dass Minister Lauterbach die ePA als sicher anpreist, während Schlagzeilen von erschütternd einfach auszunutzenden Sicherheitslücken berichten, wie die Übertragung wichtiger Identifikationsdaten ohne Verschlüsselung und das einfache Hochzählen von Kartennummern, dann wird jedes Mal Vertrauen in die ePA zerstört und werden Menschen sie nicht nutzen wollen, die von ihr profitieren könnten. Ich fühle mich inzwischen als Patientin nur noch auf den Arm genommen, wenn mir das BMG selbst jetzt noch antwortet, dass Deutschland eine der sichersten Infrastrukturen im Gesundheitswesen in Europa habe.

Viel sagt auch der Fakt, dass meine Frage nach den konkreten Forderungen der Bundesbeauftragten für den Datenschutz (BfDI) zur neuen ePA komplett unbeantwortet blieb, wohl weil es sonst peinlich würde für die Bundesregierung, denn diese Forderungen wurden schon im Sommer gestellt und offensichtlich ignoriert. Leider wurde das Veto-Recht von BSI und BfDI bei der ePA zugunsten eines bloßen Rechts auf Anhörung aufgehoben, das BMG kann sie daher einfach ignorieren und ihre Forderungen schlicht unter den Teppich kehren.

Auffällig ist auch die fehlende Antwort auf meine Frage, ob das BSI auch Geheimnisträger:innen mit sensiblen Gesundheitsdaten die Nutzung der ePA zum Zeitpunkt ihrer Einführung empfehlen würde. Angesichts der extrem hohen Bedrohungslage durch fremdstaatliche Akteure ist das eine wichtige Frage, zumal das BMG behauptet, dass Risiken fremdstaatlicher Akteure im Sicherheitsgutachten vom Fraunhofer SIT berücksichtigt wurden, während man in diesem Gutachten das genaue Gegenteil davon lesen kann, nämlich dass der Auftraggeber gematik, dessen Mehrheitsgesellschafter das BMG ist, diese Risikobetrachtung nicht relevant fand, weshalb sie ausgeklammert wurde.

Leider löst diese ePA ihr Nutzenversprechen nicht ein, da sie nur mit rudimentären Funktionen kommt, gleichzeitig sind die Risiken für die darin gespeicherten Daten zwar hoch, aber Patient:innen völlig ungenügend darüber informiert. Dabei erfordert gerade der Paradigmenwechsel von der Einwilligungslösung zur Widerspruchslösung höchste Transparenz über den Nutzen und die Risiken für alle – ähnlich der Beipackzettel bei Medikamenten – damit eine informierte Entscheidung für oder gegen die Nutzung überhaupt getroffen werden kann.

Wenn die „ePA für alle“ nicht mit Datenskandalen zum Rohrkrepierer werden soll, muss Minister Lauterbach endlich klar und offen kommunizieren und den Flächenrollout per Opt Out so lange verschieben, bis die Angriffsrisiken auch durch fremdstaatliche Akteure sorgfältig evaluiert wurden, alle aktuell bekannten Sicherheitslücken tatsächlich geschlossen wurden – technische und organisatorische – und sichergestellt ist, dass alle Patient:innen tatsächlich umfassend über den Nutzen und die Risiken der „ePA für alle“ informiert sind. Eine Augen-zu-und-durch-Strategie aus Gründen der Wahlkampftaktik ist in Zeiten hybrider Kriegsführung und steigender Bedrohungsintensität jedenfalls indiskutabel.“

Weiterführende Links:

Antworten auf meine Schriftlichen Fragen rund um die Einführung der elektronischen Patientenakte an die Bundesregierung: https://mdb.anke.domscheit-berg.de/2025/01/4-schriftl-fragen-zur-epa/

  • Frage zur Aufklärung der Patient:innen zu Risiken der ePA und zur Evaluation des Informationsstands in der Bevölkerung
  • Frage zur fehlenden Berücksichtigung der Risiken durch fremdstaatliche Akteure im Sicherheitsgutachten von Fraunhofer und zur Empfehlung der ePA für Geheimnisträgerinnen
  • Frage zum konkreten Handlungsbedarf nach der Aufdeckung von Sicherheitslücken durch den CCC und zu einer möglichen Verschiebung des bundesweiten Rollouts oder eines Wechsels von Opt Out zurück zu Opt In
  • Frage zur Bewertung der nach Bekanntwerden der Sicherheitslücken durch den CCC veröffentlichten Maßnahmen der Gematik durch das BSI und zu den Forderungen der BfDI

Aufzeichnung des Vortrags beim 38C3 zu Sicherheitslücken der ePA: „Konnte bisher noch nie gehackt werden“: Die elektronische Patientenakte kommt – jetzt für alle! – media.ccc.de

/von

4 SCHRIFTLICHE FRAGEN ZUR ELEKTRONISCHEN PATIENTENAKTE

, ,

Frage:

Wie bewertet die Bundesregierung den Umstand, dass nach Aussage des Leiters der Abteilung Secure Software Engineering, der die von der gematik GmbH beim Fraunhofer-Institut für Sichere Informationstechnologie SIT (Fraunhofer SIT) in Auftrag gegebene Sicherheitsstudie zum ePA System betreut hat, die gematik als Auftraggeberin entschieden hat, fremdstaatliche Akteure wegen fehlender Relevanz nicht in die Sicherheitsbetrachtung einzubeziehen, obwohl das Fraunhofer SIT in eben dieser Studie selbst angibt, dass fremdstaatliche Akteure sowohl über hohe finanzielle, als auch über hohe technische Ressourcen verfügen und daher mit „hoher Relevanz“ zu bewerten wären (vgl. Sicherheitsanalyse des Gesamtsystems ePA für alle, www.gematik.de/media/gematik/Medien/ePA_fuer_alle/Abschlussbericht_Sicherheitsana-
lyse_ePA_fuer_alle_Frauenhofer_SIT.pdf, S. 22 und www.zeit.de/digital/datenschutz/2024-12/elektronische-patientenakte-it-sicherheit-datenschutz-geheimdienste), und würden die Bundesregierung und das Bundesamt für Sicherheit in der Informationstechnik vor diesem Hintergrund auch Geheimnisträgerinnen und Geheimnisträgern, vor allem solchen mit besonders sensiblen Gesundheitsinformationen, die Nutzung der elektronischen Patientenakte 3.0 angesichts der bestehenden Risikolage mit hybrider Kriegsführung, u. a. durch staatliche Akteure aus Russland, zum Zeitpunkt ihrer Einführung empfehlen?

Antwort:

Fremdstaatliche Akteure und deren Angriffsvektoren werden sowohl im Gutachten vom Fraunhofer-Institut für Sichere Informationstechnologie als auch in den Sicherheitsanalysen der gematik berücksichtigt. Den im Bereich der Telematikinfrastruktur bestehenden Bedrohungen wird bereits wirkungsvoll entgegengewirkt. Technisch werden derzeit weitere Sicherheitskomponenten eingebaut, die internationalen Angreifern das massenhafte Abgreifen von Daten unmöglich machen. Im europäischen Vergleich verfügt Deutschland damit über eine der sichersten Infrastrukturen im Gesundheitswesen überhaupt, welche unter Einbeziehung der
obersten Sicherheits- und Datenschutzbehörden konzipiert wurden.

Frage:

Wie plant die Bundesregierung bis zur Einführung der elektronischen Patientenakte 3.0 („ePA für alle“) alle betroffenen Bürgerinnen und Bürger analog zu Beipackzetteln von Medikamenten so über Risiken und Einschränkungen in den Funktionen und für die informationelle Selbstbestimmung der ePA 3.0 zu informieren, dass diese eine tatsächlich informierte Entscheidung für oder gegen die Nutzung der ePA 3.0 treffen können, wie es der Verbraucherzentralen Bundesverband am 5. Dezember 2024 öffentlich forderte (www.vzbv.de/pressemitteilungen/elektronische-patientenakte-krankenkassen-informieren-unzureichend), und plant die Bundesregierung zu evaluieren, ob sich zum Zeitpunkt der Einführung der ePA 3.0 in der Opt-Out Variante die betroffenen Versicherten ausreichend informiert sehen (vgl. Insights-Bericht der Gematik „Status quo „ePA für alle“, Ein Stimmungsbild vor dem Rollout 2025“ vom 10. Dezember 2024, wonach noch im Oktober 2024 erst 34 Prozent der Bevölkerung laut einer repräsentativen Befragung angaben, ausreichend über die ePA für alle informiert zu sein und 41 Prozent der Befragten die ePA noch nicht einmal dem Namen nach kannten: www.gematik.de/telematikinfrastruktur/ti-atlas/einblicke/insights)?

Antwort:

Die Krankenkassen als Anbieter der elektronischen Patientenakte (ePA) sind gesetzlich verpflichtet, alle Versicherten umfassend sowie gemäß § 343 Fünftes Buch Sozialgesetzbuch in präziser, transparenter, verständlicher und leicht zugänglicher Form zu informieren, bevor eine ePA zur Verfügung gestellt wird. Die gesetzlich vorgesehenen Pflichtinformationen sollen allen Versicherten die Möglichkeit für eine selbstbestimmte, eigenverantwortliche und fundierte Entscheidung über die Nutzung der elektronischen Patientenakte bieten. Die Information aller gesetzlich Versicherten durch die Krankenkassen muss bis sechs Wochen vor der Einführung der ePA für alle, die am 15. Januar 2025 eingeführt wird, erfolgt sein. Die Überwachung und die Einhaltung der Vorgaben obliegt den zuständigen Aufsichtsbehörden. Die Bundesregierung geht davon aus, dass alle gesetzlich Versicherten informiert wurden und sich auch weiterhin bei ihren Krankenkassen informieren können.


Um alle Bürgerinnen und Bürger, aber auch die Leistungserbringenden, möglichst gut zu informieren und auf die ePA vorzubereiten, ist am 30. September 2024 die Informations- und Fachkampagne des Bundesministeriums für Gesundheit gestartet. Aufgrund der bundesweiten Kampagne ist davon auszugehen, dass die Aufklärung und Information aller Versicherten weiter gesteigert werden konnte. Bis zum Start der ePA für alle am 15. Januar 2025, und auch darüber hinaus, wird die Bundesregierung weiterhin auf verschiedenen Wegen die Versicherten über die ePA für alle informieren.

Frage:

Welchen konkreten Handlungsbedarf sieht die Bundesregierung nach dem Vortrag zu Sicherheitsrisiken bei der elektronischen Patientenakte (ePA) 3.0 auf dem 38C3 in Hamburg am 27. Dezember 2024 in Bezug auf diese Sicherheitsrisiken (bitte für jede/s genannte Risiko/Sicherheitslücke den jeweiligen Handlungsbedarf spezifizieren, bzw. mit nein antworten, wo es keinen gibt), und hält sie vor dem Hintergrund dieser Gesamtrisiken entweder eine Verschiebung der Einführung der ePA 3.0 für alle (mit Opt-out-Möglichkeit) oder einen Wechsel auf Einführung der ePA 3.0 nach dem bisher geltenden Freiwilligkeitsprinzip (Opt-In) zum aktuell geplanten Zeitpunkt für denkbare Szenarien (ggf. auch eine Kombination beider Szenarien), um die Folgen möglicher Sicherheitsrisiken für Nutzende der ePA für alle zu minimieren?

Antwort:

Die Bundesregierung nimmt die durch den Chaos Computer Club (CCC) veröffentlichten Hinweise zur Sicherheit der elektronischen Patientenakte (ePA) sehr ernst. Die vom CCC beschriebenen Probleme sind länger bekannt und werden gelöst. Darüber hat sich das BMG auch vor dem Chaos Communication Congress (38C3) mit dem CCC ausgetauscht. Das BMG und die gematik stehen insbesondere im intensiven Austausch mit den zuständigen Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik und es wurden bereits technische Lösungen zum Unterbinden der Angriffsszenarien konzipiert, deren Umsetzung jeweils rechtzeitig abgeschlossen sein wird. Für die ab 15. Januar 2025 startende Pilotphase bedeutet dies, dass zunächst nur die in der Modellregion teilnehmenden und explizit gelisteten Leistungserbringer („Whitelisting“) auf die ePA der Versicherten zugreifen können.


Vor dem bundesweiten Rollout bei den Leistungserbringern werden weitere technische Lösungen umgesetzt und abgeschlossen sein. Dazu gehört insbesondere, dass organisatorisch sowohl die Prozesse zur Herausgabe als auch zur Sperrung von Karten sowie technisch das VSDM++-Verfahren nachgeschärft werden. Gleichzeitig werden zusätzliche Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung implementiert. Somit steht weder dem Start in den Modellregionen zum 15. Januar 2025 noch dem darauffolgenden bundesweiten Rollout nach Umsetzung der Maßnahmen etwas entgegen. Die ePA für alle kann sicher von Praxen, Krankenhäusern, Apotheken sowie Patientinnen und Patienten genutzt werden.

Frage:

Sind die von der gematik GmbH am 27. Dezember 2024 vorgeschlagenen Maßnahmen (vgl. www.gematik.de/newsroom/news-detail/aktuelles-stellungnahme-zum-ccc-vortrag-zur-epa-fuer-alle) aus Sicht des Bundesamt für Sicherheit in der Informationstechnik geeignet, um ein der Sensibilität von Gesundheitsdaten angemessenes Sicherheitsniveau beim Betrieb der elektronischen Patientenakte 3.0 zu erreichen, also eine Ausnutzung der in einem Vortrag auf dem 38C3 (38. Chaos Communication Congress ) in Hamburg am 27. Dezember 2024 beschriebenen Sicherheitslücken, die sämtlich in der Praxis mit z. T. sehr geringem Aufwand von Sicherheitsforschenden ausgenutzt werden konnten, künftig zu verhindern, und welche konkreten Forderungen stellte ggf. die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit seit August
2024 bis 30. Dezember 2024 im Zusammenhang mit der Sicherheit der elektronischen Patientenakte 3.0 bezogen auf den Zeitpunkt ihrer Einführung an die Bundesregierung oder an die von ihr als Mehrheitsgesellschafterin kontrollierte gematik, nachdem die gematik und damit auch die Bundesregierung als ihre Mehrheitsgesellschafterin über diverse Sicherheitsrisiken informiert worden war?

Antwort:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) war und ist eng in die Abstimmung mit der gematik eingebunden. Die von der gematik vorgeschlagenen Maßnahmen werden vom BSI als geeignet angesehen.

Von September bis Dezember 2024 fanden mehrere Termine zwischen der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem BSI und der gematik zur Bewertung des Risikos im Zusammenhang mit der dargestellten Schwachstelle statt. Hier wurde vornehmlich die Wirksamkeit der bereits getroffenen Maßnahmen sowie die Eintrittswahrscheinlichkeit besprochen. Zusätzlich war die BfDI dauerhaft in die regelmäßige Abstimmung zum Sicherheitskonzept mit gematik und BSI eingebunden.

Antworten der Bundesregierung im Original (geschwärzt):

2025-01-13_BMG-12_446-12_448-449-1_geschwaerzt-1Herunterladen
2025-01-13_AW-BMG-SF-12_447_geschwaerzt-1Herunterladen
/von