MEINE SCHRIFTLICHE FRAGE ZUM STAND DER REGISTERMODERNISIERUNG

, , , , ,

Frage:

Wie ordnet sich der aktuelle Status der Umsetzung der Registermodernisierung hinsichtlich Anzahl Register, Datenschutz-Cockpit, NOOTS und Einhaltung der Fristen der Single-Digital-Gateway-Verordnung in den Zeitplan derselben ein (also was ist bereits erreicht bzw. was soll bis wann umgesetzt werden), und wie ist technisch und/oder organisatorisch ausgeschlossen, dass einzelne Behörden (z. B. Behörden mit Sicherheitsaufgaben) Schattendatenbanken anlegen, deren Datenabfragen dadurch nicht im Datenschutz-Cockpit auftauchen?

Antwort der Bundesregierung vom 6.2.2025:

Der Umsetzungsstand der Registermodernisierung inklusive des National-Once-Only-Technical-System (NOOTS) kann dem Bericht der Gesamtsteuerung Registermodernisierung an den IT-Planungsrat vom November 2024 entnommen werden.

Dieser ist öffentlich unter https://www.it-planungsrat.de/beschluss/beschluss-2024-57 einsehbar. Die Anforderungen der Single-Digital-Gateway-Verordnung (SDG-VO) sind umfassend, aber nicht abschließend erfüllt. Erste Komponenten zur Einrichtung eines EU Once-Only-Technical-Systems (EU-OOTS) wurden erbaut und erfolgreich getestet.

Der flächendeckende Anschluss von betroffenen Registern und Online-Diensten an das EU-OOTS steht noch aus. Darüber hinaus kann der Umsetzungsstand der SDG-VO dem Bericht an den IT-Rat vom September 2024 entnommen werden:https://www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/it-rat/beschluesse/beschluss_2024_03_Anlage.html.

50 Register müssen die Identifikationsnummer speichern. Sie sind in der Anlage zum Identifikationsnummerngesetz (IDNrG) aufgeführt. Der Roll-out der Identifikationsnummer in die Bundesregister richtet sich nach dem Beschluss des IT-Rates „Rollout der Identifikationsnummer nach § 1 des IDNrG in Bundesregistern“ (Beschluss Nr. [2023/6], https://www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/it-rat/beschluesse/beschluss_2023_06_IT-Rat_Rollout_IDNr.pdf?__blob=publicationFile&v=6).

Der Roll-out der Identifikationsnummer in Register in Verantwortung der Länder wird aktuell in Abstimmung mit den Registermodernisierungskoordinatoren der Länder geplant. Innerhalb der Roll-out-Vorhaben werden der Anschluss an den Identitätsdatenabruf (IDA) und das Datenschutzcockpit (DSC) gemeinsam betrachtet und die Meilensteine aufeinander abgestimmt, sodass dieser möglichst parallel erfolgt.

Vor dem Hintergrund des dargestellten Umsetzungsstands ist die Anlage einer „Schattendatenbank“ ausgeschlossen. Die Sicherheitsbehörden führen kein in der Anlage zu § 1 Identifikationsnummerngesetz (IDNrG) genanntes Register. Darüber hinaus gibt es keine Rechtsgrundlage, die einen Abruf der Identifikationsnummer aus den in der Anlage zu § 1 IDNrG genannten Register durch die Sicherheitsbehörden gestattet.

Antwortschreiben im Original (geschwärzt):

SF433_GeschwärztHerunterladen

/von

MEINE SCHIRFTLICHE FRAGE NACH DER VERÖFFENTLICHUNG VON OPEN SOURCE PROJEKTEN DES BUNDES

, , , , ,

Frage:

Auf welchen Plattformen wie z. B. OpenCode und GitHub wurden die laut Antwort der Bundesregierung auf meine Schriftliche Frage 57 auf Bundestagsdrucksache 20/12484 durch den Bund als Open Source beauftragten Software-Entwicklungen bisher veröffentlicht (bitte jeweils die Anzahl je Plattform nennen, ggf. nur Anzahl für OpenCode, GitHub und „Sonstige“ nennen), und was sind die fünf häufigsten Gründe, weshalb bei den übrigen als Open Source Software entwickelten Lösungen keine Veröffentlichung des Quellcodes auf OpenCode bzw. auf anderen öffentlich zugänglichen Plattformen erfolgte (bitte nach OpenCode und anderen Plattformen unterscheiden)?

Antwort der Bundesregierung vom 31.01.2025:

Im Folgenden wird die Verteilung der durch den Bund als Open Source beauftragten und veröffentlichten Software-Entwicklungen auf verschiedenen Plattformen dargestellt. Die Übersicht zeigt die Anzahl der Veröffentlichungen auf den Plattformen OpenCode, GitHub sowie weiteren Plattformen, die als „Sonstige“ zusammengefasst wurden. Es erfolgten insgesamt Rückmeldungen zu 144 durch den Bund als Open Source beauftragten Software-Entwicklungen (Anmerkung: Die Anzahl der bei dieser Schriftlichen Fragen durch das Bundesministerium für Ernährung und Landwirtschaft zurückgemeldeten Projekte ist wesentlich geringer als die der Bundestagsdrucksache 20/12484, Frage 57.

Dies hat den Grund, dass eine Behörde bei der damaligen Anfrage jeden einzelnen Wartungs- und Entwicklungsauftrag separat benannt hatte, welche allerdings lediglich auf drei Projekte entfallen, die eine Neuentwicklung zum Inhalt haben. Die übrigen Aufträge dienten der Wartung und Pflege vorhandener Anwendungen.

PlattformOpenCodeGitHubSonstige
Anzahl der
veröffentlichten
Software-Entwicklungen		144710

Die fünf häufigsten Gründe für eine Nichtveröffentlichung des Quellcodes, unterschieden nach OpenCode und anderen Plattformen, lauten wie folgt (enthält Mehrfachnennungen):


Gründe für Nichtveröffentlichung auf Open Code:

  1. Verarbeitung sicherheitsrelevanter Aspekte und / oder sensibler Informationen
  2. Anwendung zu behördenspezifisch, fehlender Mehrwert für die Allgemeinheit
  3. Projekt befindet sich noch im Entwicklungsstadium
  4. Fehlende behördenspezifische Veröffentlichungsregelungen
  5. Fehlende Lizenzen / Urheberrechte für den Code oder einzelne Komponenten

Gründe für Nichtveröffentlichung auf anderen Plattformen:

  1. Verarbeitung sicherheitsrelevanter Aspekte und / oder sensibler Informationen
  2. Anwendung zu behördenspezifisch, fehlender Mehrwert für die Allgemeinheit
  3. Projekt befindet sich noch im Entwicklungsstadium
  4. Fehlende behördenspezifische Veröffentlichungsregelungen
  5. Fehlende Lizenzen / Urheberrechte für den Code oder einzelne Komponenten

Antwortschreiben der Bundesregierung im Original:

250131-Antw_SF318_Veroeff.-OS-Code_geschwaerztHerunterladen

Meine in Bezug genommene Schriftliche Frage:

https://mdb.anke.domscheit-berg.de/2024/08/meine-schriftliche-frage-zum-anteil-von-open-source-an-entwicklungsauftraegen-fuer-software/

/von

MEINE SCHRIFTLICHE FRAGE ZUR MÖGLICHKEIT FÜR BÜRGER:INNEN, BOTNETZTE AN SICHERHEITSBEHÖRDEN ZU MELDEN

, , , , ,

Meine Frage:

Welche Meldewege an staatliche Stellen (also unabhängig von einer Meldung an die Plattform selbst) gibt es für Bürgerinnen und Bürger, denen im Internet (z. B. in sozialen Medien wie X oder Facebook) mutmaßliche Botaccounts mit Links oder Screenshots vergleichbar der mutmaßlich von Russland gesteuerten Doppelgänger-Kampagne (www.auswaertiges-amt.de/resource/blob/2660362/73bcc0184167b438173e554ba2be2636/technischer-bericht-desinformationskampagne-doppelgaenger-data.pdf) auffallen, und in welcher Art und Weise werden diese Meldewege der Bevölkerung bekannt gemacht, um möglichst frühzeitig Desinformationskampagnen z. B. mit dem Ziel der illegitimen Einflussnahme auf die Bundestagswahlen aufdecken und entsprechende Gegenmaßnahmen ergreifen zu können?

Antwort der Bundesregierung vom 27.01.2025:

Das Bundesamt für Verfassungsschutz informiert auf seinen Webseiten über verschiedene Phänomene der staatlichen Einflussnahme. Hinweise können Bürgerinnen
und Bürger per Kontaktformular, E-Mail und telefonisch abgeben. Weitere Hinweise finden Sie hier: https://www.verfassungsschutz.de/SharedDocs/kurzmeldungen/DE/2024/2024-05-29-hinweistelefon.html.


Darüber hinaus finden Sie im Vorfeld der Bundestagswahl 2025 Informationen auf der Schwerpunktseite des Bundesministeriums des Innern und für Heimat:
https://www.bmi.bund.de/SharedDocs/schwerpunkte/DE/desinformation-bei-bt-wahl/desinfo-bei-bt-wahl-artikel.html.

Antwortschreiben im Original (geschwärzt):

250128-AW_SF_Meldestellen-Botnetze_geschwaerztHerunterladen
/von

BUND BAUT IT-SICHERHEITSSTELLEN AB

, , , , , ,

„UPDATE: wenige Stunden nach Veröffentlichung eines dpa Textes zu den nachstehenden Informationen meldete sich das BMI mit Korrekturen zu seinen Zahlen in der Antwort der Bundesregierung auf meine Anfragen in den Jahren 2024 und 2023. Daher ist die nachstehende Analyse nicht mehr zutreffend u muss aktualisiert werden. Ich werde mich zeitnah darum bemühen. Die korrigierten Zahlen des BMI werde ich mitteilen sobald sie mir final vorliegen“

Pressemitteilung

Zum ersten Mal seit sechs Jahren baut der Bund insgesamt IT-Sicherheitsstellen ab, insbesondere beim BMI und dem ihm nachgeordneten Bundesamt für Sicherheit in der Informationstechnik, wo innerhalb von 12 Monaten 344 IT-Sicherheitsstellen (14 Prozent) wegfielen, obwohl sowohl Ministerin Nancy Faeser als auch das BSI die aktuelle Cybersicherheitslage als ‚besorgniserregend‘ bezeichnen. In Zeiten hybrider Kriegsführung, massiver Desinformationskampagnen und ständiger Cyberattacken auf kritische Infrastrukturen ist diese Entwicklung irrational und gefährlich, denn auch der Bund ist eine kritische Infrastruktur und braucht nicht weniger, sondern mehr IT-Sicherheitskompetenzen.

Selbst der erneut starke Zuwachs von 163 IT-Sicherheitsstellen im Geschäftsbereich des BMVg und kleine Zuwächse in übrigen Ministerien konnten den Stellenabbau nicht ausgleichen. Betrachtet man die letzten sechs Jahre seit 2020, wurden immerhin 1.599 Stellen für IT-Sicherheit aufgebaut, aber der Anteil ziviler Stellen verringerte sich dabei, denn schon 2020 war jede vierte IT-Sicherheitsstelle im militärischen Bereich angesiedelt, jetzt ist es sogar jede dritte Stelle. Fast Zweidrittel aller seit 2020 neu entstandenen IT-Sicherheitsstellen sind dem BMVg zuzuordnen. Hybride Bedrohungen sind eine Realität, aber dagegen müssen sich alle Bundesbehörden schützen, nicht nur das BMVg und die Bundeswehr. Die Verteidigung informationstechnischer Systeme und damit der Arbeitsfähigkeit des Bundes und seiner Behörden ist keine militärische Aufgabe, sondern notwendiger ziviler Schutz.

Ich finde die Vorstellung seltsam, bei einem erfolgreichen Cyberangriff auf eine Bundesbehörde wie der deutschen Rentenversicherung, der BaFin oder der Bundesagentur für Arbeit die Bundeswehr um Amtshilfe bitten zu müssen, weil es nicht genug eigene IT-Sicherheitsexpertise gibt, wie das beim Ausruf des Katastrophenfalls nach einer Ransomware-Attacke im Landkreis Anhalt Bitterfeld der Fall war. In den letzten Tagen dieser Legislatur überbieten sich Union und SPD mit Anträgen, die mehr Sicherheit versprechen, aber wirkungslose Symbolpolitik sind und z.T. sowohl gegen EU-Recht als auch gegen das Grundgesetz verstoßen. Was wir dringend brauchen, ist Sachpolitik, die Probleme wirklich löst. Ein Abbau von über 344 IT-Sicherheitsstellen beim zuständigen Bundesministerium löst kein Problem, sondern verschärft es.

Immerhin berichteten 2025 sieben Ministerien einen Anteil unbesetzter Stellen von 0-10 Prozent, was seit Erhebung der Daten ein Positiv-Rekord ist. Das neue BMWSB und das BMZ meldeten sogar 100% besetzter Stellen – allein mit Fachkräftemangel ist also nicht zu erklären, dass das BMG wie in allen Erhebungen seit 2020 erneut Schlusslicht ist, mit mehr 50 Prozent offener IT-Sicherheitsstellen. Dass IT-Sicherheit im Hause Lauterbach keine besondere Priorität genießt, zeigten auch die zahlreichen Sicherheitslücken, die vor der Einführung der ‚ePA für alle‘ aufgedeckt wurden.

Die Digitalbilanz dieser Legislatur zur IT-Sicherheit ist insgesamt verheerend: die Cybersicherheitsagenda nicht ansatzweise umgesetzt, die überfällige NIS2-Richtlinie nicht verabschiedet, die IT-Sicherheitsforschung nicht entkriminalisiert, kein Bundes CISO mit den nötigen Kompetenzen – das sind 3,5 verlorene Jahre für notwendige Fortschritte in der IT-Sicherheit, obwohl wir uns keinen einzigen Tag davon leisten können.

Meine Auswertung der aktuellen Angaben der Bundesregierung:

Zum 1. Mal seit Erhebung der Daten vor 6 Jahren (2020) werden IT-Sicherheitsstellen abgebaut – trotz steigender IT-Sicherheitsrisiken.

  • Das BSI beschreibt die IT-Sicherheitslage als „besorgniserregend“, Nancy Faeser erklärte erst im Nov. ‘24, dass Wirtschaft, Verwaltung und Politik von erpresserischen Ransomware-Angriffen, von Cyberkriminalität, von Cybersabotage und von Cyberspionage bedroht sind
  • gleichzeitig streicht das für IT-Sicherheit zuständige BMI mit nachgeordneter Behörde BSI mehr als jede 7. IT-Sicherheitsstelle – ca 344 Stellen (14%) und setzt damit nicht nur ein völlig falsches Signal!
  • in Zeiten hybrider Kriegsführung, massiver Desinformationskampagnen, ständiger Cyberattacken auch auf kritische Infrastrukturen, stark verzögerter Umsetzung von EU–RL zur Stärkung der Cybersicherheit von KRITIS, ist diese Entwicklung irrational und gefährlich – wir brauchen mehr und nicht weniger IT-Sicherheitskompetenzen!
  • alle anderen Ministerien zusammen legen gemeinsam immerhin um 189 Stellen zu, so dass insgesamt der Abbau „nur“ 155 Stellen (-3% zum Vorjahr) beträgt
  • außer BMI hat nur das BMWK hat auch IT-Sec Stellen abgebaut: um 4% (2,75 Stellen)

Im gesamten zivilen Bereich wurde in den letzten 12 Mon. etwa jede 10. IT-Sec Stelle abgebaut, während es im militärischen Bereich 11% Zuwachs gab.

  • Stärkster Zuwachs erfolgt im militärischen Bereich: +163 Stellen auf 1686 Stellen = 38% aller IT-Sec Stellen sind im BMVg angesiedelt (2024: 33%, 2020: 24% )
    • IT-Sicherheitskompetenzen im militärischen Bereich werden ausgebaut (+163 Stellen/+11%)
    • IT-Sicherheitskompetenzen im zivilen Bereich werden abgebaut (-318 Stellen/-10,4%)
    • gefährliche Verschiebung!

Langzeitbetrachtung: Seit 2020 gab es einen starken Zuwachs von IT-Sec Stellen (+57%), der aber zu 63% (1006 Stellen von 1.599) auf das BMVg entfiel.

  • Der starke Anstieg von IT-Sicherheitsstellen im Bereich des BMVg passt zum Ausbau des Kommando Cyber- und Informationsraums (CIR) der Bundeswehr, das sich auch mit Bedrohungen durch hybride Kriegsführung befasst
  • auf das BMI entfielen nur 22% der neuen Stellen seit 2020 (351 Stellen von 1.599)

Die Anpassung der Ministerien an die gestiegene Bedrohungslage ist weiterhin extrem heterogen.

  • Vorreiter-Ressorts wie das Auswärtige Amt verdreifachten ihre IT Sicherheitsstellen seit 2020, während z.B. BMBF und BMUV auf niedrigem Niveau nur etwa 10% Zuwachs schafften, bei beiden Ministerien ist das nicht mal eine ganze Stelle mehr
  • Auf BMVg + BMI entfällt Löwenanteil der IT-Sec Stellen des Bundes: 3.828 von 4.421 Stellen in 2025 (87% = 3838 Stellen), dito beim Zuwachs seit 2020: 85% = 1357 Stellen

Laternenträger ist erneut das BMG: jede 2. IT-Sicherheitsstelle ist dort unbesetzt, in den letzten 4 Jahren waren es sogar mehr als 75%.

  • Auch wenn das BMG 1,5 neue Stellen schuf und damit in 2025 über knapp 13 IT-Sec Stellen verfügt, ist der weiterhin ungewöhnlich hohe Anteil unbesetzter Stellen beunruhigend u mit Fachkräftemangel nicht zu erklären
  • Dies spricht für ein anhaltend geringes IT-Sicherheitsbewußtsein an der Spitze des Hauses und trägt vermutlich zu den zahlreichen Skandalen um IT-Sicherheitslücken z.B. bei der neuen „ePA für alle“ bei – es fehlt einfach an IT-Sicherheitskompetenz

Insgesamt hat sich der Stand besetzter IT-Sec-Stellen bei den Bundesministerien verbessert.

  • Erstmals gibt es 7 Ressorts, die maximal 10% dieser Stellen nicht besetzt haben (2024: 3 Ressorts)
  • BMZ und das neue BMWSB haben sogar 100% ihrer Stellen besetzen können
  • Nur ein einziges Ministerium – das BMG – hat mit 53% mehr mehr als 25% unbesetzte Stellen, in 2024 waren es noch 4 Ministerien (neben BMG: BMAS, BMFSFJ, BMDV)

Die wichtigsten Ressorts nach IT-Sicherheitsstellen in 2025:

  • BMI: 2152 (48,7 % aller Stellen)
  • BMVg: 1686 (38,1 %)
  • BMF: 235 (5,3 %)
  • BMDV: 118 (2,7 %)
  • 2 Ministerien kommen noch über 1% Anteil (BMWK: 1,5% bei 68 Stellen, AA 1,4% bei 60 Stellen)
  • 9 weitere Ressorts bleiben unter 1% Anteil mit unter 20 Stellen, 5 sogar unter 10 Stellen

Die Angaben der Bundesregierung in tabellarischer Übersicht:

Antwortschreiben auf meine bisherigen schriftlichen Fragen im Original (geschwärzt):

Antwort der Bundesergierung vom 23.01.2025 auf meine schriftliche Frage zur Besetzung von IT-Sicherheitsstellen:

250123_Aw_IT-Sec-StellenHerunterladen

Mein Beitrag zu unbesetzten Sicherheitsstellen vom Janaur 2024

Mein Beitrag zu unbesetzen Sicherheitsstellen vom Janaur 2023

Meine Frage zu unbesetzten Sicherheitsstellen vom Februar 2022

Mein Beitrag zu unbesetzen Sicherheitsstellen vom Februar 2021

Mein Beitrag zu unbesetzten Sicherheitsstellen vom Febraur 2020

/von

ICH FRAGE: PATIENTENAKTE SICHER? BUND ANTWORTET: 🙈

, , , , , , , , ,

Pressemitteilung

Nach 20 Jahren Planung und erfolglosem Rollout von Vorgängervarianten startete am 15. Januar 2025 der Test der sogenannten „ePA für alle“, der elektronischen Patientenakte 3.0, in vorerst knapp 300 ausgewählten Praxen in Hamburg, Franken und NRW. Ob der geplante bundesweite Rollout wie geplant im Februar starten soll, steht aktuell in den Sternen, nachdem Ende Dezember aus dem Umfeld des Chaos Computer Clubs verschiedene Sicherheitslücken öffentlich präsentiert wurden, die theoretisch einen illegitimen Zugriff auf alle künftigen etwa 70 Mio. Patientenakten ermöglichen könnten. Auf diverse Fragen der Bundestagsabgeordneten der Linken, Anke Domscheit-Berg, antwortete die Bundesregierung entweder gar nicht, ausweichend, oder irritierend.

Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:

„Die Antworten der Bundesregierung auf meine Fragen zeigen, dass das Gesundheitsministerium (BMG) immer noch nicht bereit ist, sich ehrlich zu machen und transparent mit dem anhaltend mangelnden Sicherheitsniveau der ePA umzugehen. Dazu gehört, auf klare Fragen auch vollständig und verständlich zu antworten, statt unliebsame Fragen einfach zu ignorieren und bei anderen verklausuliert um den heißen Brei herumzureden. Das ist schlechter Führungsstil und eine Missachtung parlamentarischer Verfassungsrechte.

Bei einem Großprojekt mit hochsensiblen Gesundheitsdaten eines Großteils der Bevölkerung, das nur erfolgreich sein kann, wenn die Daten sicher und das Vertrauen der Patient:innen hoch ist, muss man gerade Probleme und IT-Sicherheitsrisiken transparent kommunizieren und das findet weiterhin nicht statt. Wenn Patient:innen aber immer wieder erleben, dass Minister Lauterbach die ePA als sicher anpreist, während Schlagzeilen von erschütternd einfach auszunutzenden Sicherheitslücken berichten, wie die Übertragung wichtiger Identifikationsdaten ohne Verschlüsselung und das einfache Hochzählen von Kartennummern, dann wird jedes Mal Vertrauen in die ePA zerstört und werden Menschen sie nicht nutzen wollen, die von ihr profitieren könnten. Ich fühle mich inzwischen als Patientin nur noch auf den Arm genommen, wenn mir das BMG selbst jetzt noch antwortet, dass Deutschland eine der sichersten Infrastrukturen im Gesundheitswesen in Europa habe.

Viel sagt auch der Fakt, dass meine Frage nach den konkreten Forderungen der Bundesbeauftragten für den Datenschutz (BfDI) zur neuen ePA komplett unbeantwortet blieb, wohl weil es sonst peinlich würde für die Bundesregierung, denn diese Forderungen wurden schon im Sommer gestellt und offensichtlich ignoriert. Leider wurde das Veto-Recht von BSI und BfDI bei der ePA zugunsten eines bloßen Rechts auf Anhörung aufgehoben, das BMG kann sie daher einfach ignorieren und ihre Forderungen schlicht unter den Teppich kehren.

Auffällig ist auch die fehlende Antwort auf meine Frage, ob das BSI auch Geheimnisträger:innen mit sensiblen Gesundheitsdaten die Nutzung der ePA zum Zeitpunkt ihrer Einführung empfehlen würde. Angesichts der extrem hohen Bedrohungslage durch fremdstaatliche Akteure ist das eine wichtige Frage, zumal das BMG behauptet, dass Risiken fremdstaatlicher Akteure im Sicherheitsgutachten vom Fraunhofer SIT berücksichtigt wurden, während man in diesem Gutachten das genaue Gegenteil davon lesen kann, nämlich dass der Auftraggeber gematik, dessen Mehrheitsgesellschafter das BMG ist, diese Risikobetrachtung nicht relevant fand, weshalb sie ausgeklammert wurde.

Leider löst diese ePA ihr Nutzenversprechen nicht ein, da sie nur mit rudimentären Funktionen kommt, gleichzeitig sind die Risiken für die darin gespeicherten Daten zwar hoch, aber Patient:innen völlig ungenügend darüber informiert. Dabei erfordert gerade der Paradigmenwechsel von der Einwilligungslösung zur Widerspruchslösung höchste Transparenz über den Nutzen und die Risiken für alle – ähnlich der Beipackzettel bei Medikamenten – damit eine informierte Entscheidung für oder gegen die Nutzung überhaupt getroffen werden kann.

Wenn die „ePA für alle“ nicht mit Datenskandalen zum Rohrkrepierer werden soll, muss Minister Lauterbach endlich klar und offen kommunizieren und den Flächenrollout per Opt Out so lange verschieben, bis die Angriffsrisiken auch durch fremdstaatliche Akteure sorgfältig evaluiert wurden, alle aktuell bekannten Sicherheitslücken tatsächlich geschlossen wurden – technische und organisatorische – und sichergestellt ist, dass alle Patient:innen tatsächlich umfassend über den Nutzen und die Risiken der „ePA für alle“ informiert sind. Eine Augen-zu-und-durch-Strategie aus Gründen der Wahlkampftaktik ist in Zeiten hybrider Kriegsführung und steigender Bedrohungsintensität jedenfalls indiskutabel.“

Weiterführende Links:

Antworten auf meine Schriftlichen Fragen rund um die Einführung der elektronischen Patientenakte an die Bundesregierung: https://mdb.anke.domscheit-berg.de/2025/01/4-schriftl-fragen-zur-epa/

  • Frage zur Aufklärung der Patient:innen zu Risiken der ePA und zur Evaluation des Informationsstands in der Bevölkerung
  • Frage zur fehlenden Berücksichtigung der Risiken durch fremdstaatliche Akteure im Sicherheitsgutachten von Fraunhofer und zur Empfehlung der ePA für Geheimnisträgerinnen
  • Frage zum konkreten Handlungsbedarf nach der Aufdeckung von Sicherheitslücken durch den CCC und zu einer möglichen Verschiebung des bundesweiten Rollouts oder eines Wechsels von Opt Out zurück zu Opt In
  • Frage zur Bewertung der nach Bekanntwerden der Sicherheitslücken durch den CCC veröffentlichten Maßnahmen der Gematik durch das BSI und zu den Forderungen der BfDI

Aufzeichnung des Vortrags beim 38C3 zu Sicherheitslücken der ePA: „Konnte bisher noch nie gehackt werden“: Die elektronische Patientenakte kommt – jetzt für alle! – media.ccc.de

/von

4 SCHRIFTLICHE FRAGEN ZUR ELEKTRONISCHEN PATIENTENAKTE

, ,

Frage:

Wie bewertet die Bundesregierung den Umstand, dass nach Aussage des Leiters der Abteilung Secure Software Engineering, der die von der gematik GmbH beim Fraunhofer-Institut für Sichere Informationstechnologie SIT (Fraunhofer SIT) in Auftrag gegebene Sicherheitsstudie zum ePA System betreut hat, die gematik als Auftraggeberin entschieden hat, fremdstaatliche Akteure wegen fehlender Relevanz nicht in die Sicherheitsbetrachtung einzubeziehen, obwohl das Fraunhofer SIT in eben dieser Studie selbst angibt, dass fremdstaatliche Akteure sowohl über hohe finanzielle, als auch über hohe technische Ressourcen verfügen und daher mit „hoher Relevanz“ zu bewerten wären (vgl. Sicherheitsanalyse des Gesamtsystems ePA für alle, www.gematik.de/media/gematik/Medien/ePA_fuer_alle/Abschlussbericht_Sicherheitsana-
lyse_ePA_fuer_alle_Frauenhofer_SIT.pdf, S. 22 und www.zeit.de/digital/datenschutz/2024-12/elektronische-patientenakte-it-sicherheit-datenschutz-geheimdienste), und würden die Bundesregierung und das Bundesamt für Sicherheit in der Informationstechnik vor diesem Hintergrund auch Geheimnisträgerinnen und Geheimnisträgern, vor allem solchen mit besonders sensiblen Gesundheitsinformationen, die Nutzung der elektronischen Patientenakte 3.0 angesichts der bestehenden Risikolage mit hybrider Kriegsführung, u. a. durch staatliche Akteure aus Russland, zum Zeitpunkt ihrer Einführung empfehlen?

Antwort:

Fremdstaatliche Akteure und deren Angriffsvektoren werden sowohl im Gutachten vom Fraunhofer-Institut für Sichere Informationstechnologie als auch in den Sicherheitsanalysen der gematik berücksichtigt. Den im Bereich der Telematikinfrastruktur bestehenden Bedrohungen wird bereits wirkungsvoll entgegengewirkt. Technisch werden derzeit weitere Sicherheitskomponenten eingebaut, die internationalen Angreifern das massenhafte Abgreifen von Daten unmöglich machen. Im europäischen Vergleich verfügt Deutschland damit über eine der sichersten Infrastrukturen im Gesundheitswesen überhaupt, welche unter Einbeziehung der
obersten Sicherheits- und Datenschutzbehörden konzipiert wurden.

Frage:

Wie plant die Bundesregierung bis zur Einführung der elektronischen Patientenakte 3.0 („ePA für alle“) alle betroffenen Bürgerinnen und Bürger analog zu Beipackzetteln von Medikamenten so über Risiken und Einschränkungen in den Funktionen und für die informationelle Selbstbestimmung der ePA 3.0 zu informieren, dass diese eine tatsächlich informierte Entscheidung für oder gegen die Nutzung der ePA 3.0 treffen können, wie es der Verbraucherzentralen Bundesverband am 5. Dezember 2024 öffentlich forderte (www.vzbv.de/pressemitteilungen/elektronische-patientenakte-krankenkassen-informieren-unzureichend), und plant die Bundesregierung zu evaluieren, ob sich zum Zeitpunkt der Einführung der ePA 3.0 in der Opt-Out Variante die betroffenen Versicherten ausreichend informiert sehen (vgl. Insights-Bericht der Gematik „Status quo „ePA für alle“, Ein Stimmungsbild vor dem Rollout 2025“ vom 10. Dezember 2024, wonach noch im Oktober 2024 erst 34 Prozent der Bevölkerung laut einer repräsentativen Befragung angaben, ausreichend über die ePA für alle informiert zu sein und 41 Prozent der Befragten die ePA noch nicht einmal dem Namen nach kannten: www.gematik.de/telematikinfrastruktur/ti-atlas/einblicke/insights)?

Antwort:

Die Krankenkassen als Anbieter der elektronischen Patientenakte (ePA) sind gesetzlich verpflichtet, alle Versicherten umfassend sowie gemäß § 343 Fünftes Buch Sozialgesetzbuch in präziser, transparenter, verständlicher und leicht zugänglicher Form zu informieren, bevor eine ePA zur Verfügung gestellt wird. Die gesetzlich vorgesehenen Pflichtinformationen sollen allen Versicherten die Möglichkeit für eine selbstbestimmte, eigenverantwortliche und fundierte Entscheidung über die Nutzung der elektronischen Patientenakte bieten. Die Information aller gesetzlich Versicherten durch die Krankenkassen muss bis sechs Wochen vor der Einführung der ePA für alle, die am 15. Januar 2025 eingeführt wird, erfolgt sein. Die Überwachung und die Einhaltung der Vorgaben obliegt den zuständigen Aufsichtsbehörden. Die Bundesregierung geht davon aus, dass alle gesetzlich Versicherten informiert wurden und sich auch weiterhin bei ihren Krankenkassen informieren können.


Um alle Bürgerinnen und Bürger, aber auch die Leistungserbringenden, möglichst gut zu informieren und auf die ePA vorzubereiten, ist am 30. September 2024 die Informations- und Fachkampagne des Bundesministeriums für Gesundheit gestartet. Aufgrund der bundesweiten Kampagne ist davon auszugehen, dass die Aufklärung und Information aller Versicherten weiter gesteigert werden konnte. Bis zum Start der ePA für alle am 15. Januar 2025, und auch darüber hinaus, wird die Bundesregierung weiterhin auf verschiedenen Wegen die Versicherten über die ePA für alle informieren.

Frage:

Welchen konkreten Handlungsbedarf sieht die Bundesregierung nach dem Vortrag zu Sicherheitsrisiken bei der elektronischen Patientenakte (ePA) 3.0 auf dem 38C3 in Hamburg am 27. Dezember 2024 in Bezug auf diese Sicherheitsrisiken (bitte für jede/s genannte Risiko/Sicherheitslücke den jeweiligen Handlungsbedarf spezifizieren, bzw. mit nein antworten, wo es keinen gibt), und hält sie vor dem Hintergrund dieser Gesamtrisiken entweder eine Verschiebung der Einführung der ePA 3.0 für alle (mit Opt-out-Möglichkeit) oder einen Wechsel auf Einführung der ePA 3.0 nach dem bisher geltenden Freiwilligkeitsprinzip (Opt-In) zum aktuell geplanten Zeitpunkt für denkbare Szenarien (ggf. auch eine Kombination beider Szenarien), um die Folgen möglicher Sicherheitsrisiken für Nutzende der ePA für alle zu minimieren?

Antwort:

Die Bundesregierung nimmt die durch den Chaos Computer Club (CCC) veröffentlichten Hinweise zur Sicherheit der elektronischen Patientenakte (ePA) sehr ernst. Die vom CCC beschriebenen Probleme sind länger bekannt und werden gelöst. Darüber hat sich das BMG auch vor dem Chaos Communication Congress (38C3) mit dem CCC ausgetauscht. Das BMG und die gematik stehen insbesondere im intensiven Austausch mit den zuständigen Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik und es wurden bereits technische Lösungen zum Unterbinden der Angriffsszenarien konzipiert, deren Umsetzung jeweils rechtzeitig abgeschlossen sein wird. Für die ab 15. Januar 2025 startende Pilotphase bedeutet dies, dass zunächst nur die in der Modellregion teilnehmenden und explizit gelisteten Leistungserbringer („Whitelisting“) auf die ePA der Versicherten zugreifen können.


Vor dem bundesweiten Rollout bei den Leistungserbringern werden weitere technische Lösungen umgesetzt und abgeschlossen sein. Dazu gehört insbesondere, dass organisatorisch sowohl die Prozesse zur Herausgabe als auch zur Sperrung von Karten sowie technisch das VSDM++-Verfahren nachgeschärft werden. Gleichzeitig werden zusätzliche Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung implementiert. Somit steht weder dem Start in den Modellregionen zum 15. Januar 2025 noch dem darauffolgenden bundesweiten Rollout nach Umsetzung der Maßnahmen etwas entgegen. Die ePA für alle kann sicher von Praxen, Krankenhäusern, Apotheken sowie Patientinnen und Patienten genutzt werden.

Frage:

Sind die von der gematik GmbH am 27. Dezember 2024 vorgeschlagenen Maßnahmen (vgl. www.gematik.de/newsroom/news-detail/aktuelles-stellungnahme-zum-ccc-vortrag-zur-epa-fuer-alle) aus Sicht des Bundesamt für Sicherheit in der Informationstechnik geeignet, um ein der Sensibilität von Gesundheitsdaten angemessenes Sicherheitsniveau beim Betrieb der elektronischen Patientenakte 3.0 zu erreichen, also eine Ausnutzung der in einem Vortrag auf dem 38C3 (38. Chaos Communication Congress ) in Hamburg am 27. Dezember 2024 beschriebenen Sicherheitslücken, die sämtlich in der Praxis mit z. T. sehr geringem Aufwand von Sicherheitsforschenden ausgenutzt werden konnten, künftig zu verhindern, und welche konkreten Forderungen stellte ggf. die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit seit August
2024 bis 30. Dezember 2024 im Zusammenhang mit der Sicherheit der elektronischen Patientenakte 3.0 bezogen auf den Zeitpunkt ihrer Einführung an die Bundesregierung oder an die von ihr als Mehrheitsgesellschafterin kontrollierte gematik, nachdem die gematik und damit auch die Bundesregierung als ihre Mehrheitsgesellschafterin über diverse Sicherheitsrisiken informiert worden war?

Antwort:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) war und ist eng in die Abstimmung mit der gematik eingebunden. Die von der gematik vorgeschlagenen Maßnahmen werden vom BSI als geeignet angesehen.

Von September bis Dezember 2024 fanden mehrere Termine zwischen der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem BSI und der gematik zur Bewertung des Risikos im Zusammenhang mit der dargestellten Schwachstelle statt. Hier wurde vornehmlich die Wirksamkeit der bereits getroffenen Maßnahmen sowie die Eintrittswahrscheinlichkeit besprochen. Zusätzlich war die BfDI dauerhaft in die regelmäßige Abstimmung zum Sicherheitskonzept mit gematik und BSI eingebunden.

Antworten der Bundesregierung im Original (geschwärzt):

2025-01-13_BMG-12_446-12_448-449-1_geschwaerzt-1Herunterladen
2025-01-13_AW-BMG-SF-12_447_geschwaerzt-1Herunterladen
/von

Meine Schriftliche Frage zur Regulierung von KI im Militär

, , , , , , , ,

Meine Frage:

„Wie positioniert sich die Bundesregierung zu der Forderung, für den von der KI-Verordnung der EU (KI: Künstliche Intelligenz) wegen nationaler Zuständigkeit ausgenommenen, aber dennoch hochsensiblen Militärbereich den Einsatz von KI mit eigenen Vorschriften und Richtlinien zu regeln (bitte eventuelle Pläne inklusive Zeitrahmen näher beschreiben oder begründen, falls die amtierende Bundesregierung keine Notwendigkeit für derartige Regeln sieht), und in welcher Weise könnte und sollte eine parlamentarische und öffentliche Kontrolle ermöglicht werden hinsichtlich der Anwendung sowie der Evaluation der Wirksamkeit dieser Regeln und allgemein hinsichtlich des Einsatzes von Künstlicher Intelligenz im Geschäftsbereich des Bundesministeriums für Verteidigung?“

Antwort der Bundesregierung vom 06.12.24:

„Die Bundesregierung bekennt sich zur verantwortungsvollen Nutzung von Künstlicher Intelligenz (KI) im militärischen Bereich und setzt sich auf internationaler Ebene aktiv dafür ein, entsprechende Normen zu setzen und zu implementieren. Im Geschäftsbereich des Bundesministeriums der Verteidigung (GB BMVg) ist die Nutzung von KI seit 2019 konzeptionell geregelt und mit Vorschriften hinterlegt. Diese werden regelmäßig aktualisiert und fortgeschrieben. Eine Kontrolle der Exekutive und der von ihr in Kraft gesetzten Vorschriften sowie der von ihr vorgenommenen Handlungen findet durch Parlament und Öffentlichkeit entlang der dafür verfassungsrechtlich vorgesehenen Möglichkeiten statt. Mit dem vom BMVg jährlich veröffentlichten „Bericht zur Digitalen Transformation des Geschäftsbereichs des Bundesministeriums der Verteidigung“ werden der Deutsche Bundestag und die Öffentlichkeit sowohl über den Stand der Digitalen Transformation des GB BMVg im Allgemeinen als auch über konkrete Schwerpunktthemen und innovative Digitalisierungsaktivitäten, wozu auch KI zählt , informiert.“

Antwortschreiben im Original (geschwärzt):

241206_Aw_SF-Reulierungsbed-KI-im-Militaer_GeschwaerztHerunterladen
/von

Meine Schriftliche Frage zur Pflege des Waffenregisters

, , , , ,

Meine Frage:

„Wie wird erfasst beziehungsweise überprüft, ob im Nationalen Waffenregister als waffenbesitzend erfasste Personen verstorben sind und die Vorgaben des Waffengesetzes im Falle der Erbschaft (siehe www.bva.bund.de/SharedDocs/Downloads/DE/Buerger/Ausweis-Dokumente- Recht/Waffenrecht/Einzelerlaubnisse/merkblatt_erbwaffen.pdf) eingehalten werden (bitte auch zuständige Organisationseinheit(en) angeben), insbesondere dann, wenn durch die Erben kein waffenrechtliches Bedürfnis geltend gemacht werden konnte, und die geerbten Schusswaffen durch ein dem Stand der Technik entsprechendes Blockiersystem durch speziell eingewiesene Inhaber einer Waffenherstellungs- oder einer Waffenhandelserlaubnis oder durch entsprechend bevollmächtigte Mitarbeiter zu sichern sind und die erlaubnispflichtige Munition binnen angemessener Frist unbrauchbar zu machen oder einem Berechtigten zu überlassen ist (§ 20 Abs. 3 Satz 2 des Waffengesetzes – WaffG), und welche Kenntnis hat die Bundesregierung zu möglichen Größenordnungen verstorbener waffenbesitzender Personen beispielsweise durch Kenntnis von Stichprobenabfragen im Rahmen des National- Once-Only-Technical-Systems (NOOTs) und der Steuer-ID?“

Antwort der Bundesregierung vom 06.12.24:

„Der Vollzug des Waffengesetzes (WaffG) ist Ländersache. Die Meldebehörde übermittelt den Tod eines Erlaubnisinhabers nach § 44 Abs. 2 WaffG an die zuständige Waffenbehörde oder die Waffenbehörde erhält selbst Kenntnis vom Versterben der Person. Die Waffenbehörde speichert das Sterbedatum nach § 6 Abs. 1 Nr. 2 lit. i des Waffenregistergesetzes im Nationalen Waffenregister. Die Einhaltung des § 20
WaffG (Erwerb und Besitz von Schusswaffen durch Erwerber infolge eines Erbfalls) wird durch die Waffenbehörden gesichert. Die Bundesregierung hat keine Kenntnis zur Anzahl verstorbener waffenbesitzender
Personen im Nationalen Waffenregister. Diese Zahl ist weder Bestandteil der Monatsstatistiken des Nationalen Waffenregisters, noch wurde diese Zahl im Rahmen des Pilotprojektes zur Registermodernisierung im Nationalen Waffenregister erhoben.“

Antwortschreiben im Original (geschwärzt):

241206_Aw_SF_Waffenregister-Verstorbene_GeschwaerztHerunterladen
/von

Meine Schriftliche Frage zum Aufbau von Dateninstitut, BEKI, ABOS, ZEAM

, , , , , , , , , ,

Meine Frage:

„Warum sind diverse organisatorische Strukturen, darunter das Dateninstitut, das Beratungs- und Evaluierungszentrums für Künstliche Intelligenz (BEKI), die Algorithmenbewertungsstelle für Behörden und Organisationen mit Sicherheitsaufgaben (ABOS) und die Zentrale Stelle für die Erkennung ausländischer Informationsmanipulation (ZEAM) zum Teil schon seit mehreren Jahren „im Aufbau“ (bitte begründen, warum dieser Prozess so viel Zeit beansprucht), und wann sollen sie jeweils tatsächlich in ihrer finalen Rechtsbeziehungs-weise Organisationsform offiziell die Arbeit aufnehmen und nicht mehr nur „im Aufbau“ oder „in Gründung“ sein (bitte jeweils geplanten Zeitpunkt zum finalen Ausbau und die geplante Rechts- beziehungsweise Organisationsform angeben)?“

Antwort der Bundesregierung vom 08.11.24:

„Der zur Schaffung des Dateninstituts („DI“) für Deutschland gewählte Vergabeprozess eines sog. Wettbewerblichen Dialogs ist inzwischen weit fortgeschritten: Teilnahmewettbewerb, erste Dialogrunde und Überarbeitung der Vergabeunterlagen sind abgeschlossen, die Bieter überarbeiten derzeit ihre Lösungsvorschläge und nach einer oder maximal zwei weiteren Dialogrunden wird der Zuschlag erteilt und
unmittelbar anschließend – nach aktuellem Stand im Mai / Juni 2025 – die eigentliche Gründung vollzogen. In Form einer Verprobung hat die Arbeit des DI jedoch bereits vor dem Vergabeprozess begonnen, nämlich mit dem Start der vorgelagerten Use Cases eines offenen Datenmodells zur Long-Covid-Forschung (Form: Challenge, geleitet durch das Bundesministerium des Innern und für Heimat [BMI]) und einem Testfeld und einer Konsultationsumgebung zur dezentralen Datennutzung in Energienetzen (In-House-Vergabe des Bundesministeriums für Wirtschaft und Klimaschutz [BMWK] an die Deutsche Energieagentur). Die letztendliche Rechtsform des DI wird derzeit im o. g. Dialog ausgehandelt. Im Moment des Zuschlags wird vertraglich festgelegt sein, dass der Regelbetrieb des DI nach einer bestimmten Anzahl von Monaten nach Zuschlag aufgenommen sein muss. Details hierzu können aus vergaberechtlichen Gründen hier nicht mitgeteilt werden. Die Hintergründe zum zeitlichen Verlauf des Vorhabens wurden durch die federführenden Häuser BMWK und BMI in Abständen auch öffentlich kommuniziert, u. a. bei einer großen Kick-Off-Veranstaltung am 10. April diesen Jahres: Nachdem die Haushaltsmittel zeitweilig durch den Deutschen Bundestag gesperrt gewesen waren, mussten zunächst die o. g. gemäß Vorgaben der Gründungskommission vor die formelle Gründung zu ziehenden Use Cases gestartet und das taugliche Vergabeverfahren für die eigentliche Gründung er-
mittelt und vorbereitet werden, wozu auch zwei sogenannte Marktdialoge durchge-
führt wurden.


Mit dem Beratungszentrum für Künstliche Intelligenz („BeKI“) im BMI soll eine zentrale Anlauf- und Koordinierungsstelle für KI-Vorhaben in der Bundesverwaltung geschaffen werden. Das BeKI soll der Bundesverwaltung Expertise zur verantwortungsvollen Nutzung von KI in Form eines Beratungsangebots zur Verfügung stellen, gezielt den sektor- und ebenenübergreifenden Austausch und die Vernetzung rele-
vanter Stakeholder fördern sowie zukünftig zu Fortbildungsmaßnamen zu KI beraten und deren (Weiter-)Entwicklung anstoßen. Dabei wird auf bereits gewonnenen Erfahrungen aufgebaut und werden etablierte Strukturen und Formate einbezogen, um diese durch koordinative Unterstützung des BeKI zu stärken. Der Aufbau des BeKI erfolgt durch die im BMI eingerichtete Projektgruppe Künstliche Intelligenz (PG KI). Für die Wahrnehmung der Gesamtaufgaben der PG KI sind im Jahr 2024 elf Vollzeitäquivalente eingeplant. Um einen unmittelbaren Mehrwert für die Bundesverwaltung sicherzustellen, führt die Projektgruppe KI im Rahmen des Aufbaus des BeKI bereits mehrere Pilotinitiativen durch. Die Einrichtung des BeKI steht in Abhängigkeit verfügbarer Haushaltsmittel und Stellen. Ein weiterer Aufbau des BeKI ist beabsichtigt.

Die Algorithmenbewertungsstelle für Organisationen und Behörden mit Sicherheitsaufgaben („ABOS“) soll die Unterstützung der Bundessicherheitsbehörden bei Fragen zu KI-Regulierung, sowie qualitätsgesicherter und vertrauenswürdiger KI zentralisieren. Insbesondere soll die ABOS bei der Umsetzung der KI-Verordnung (https://data.consilium.europa.eu/doc/document/PE-24-2024-INIT/de/pdf (https://atpscan.global.hornetsecurity.com/…)) der EU im sicherheitsbehördlichen Bereich wichtige Aufgaben im Sinne eines Kompetenzzentrums übernehmen. Dies umfasst beispielsweise:

  • Zentrale Beratung und Unterstützung für Sicherheitsbehörden des Bundes be-
    züglich der Umsetzung der KI-Verordnung sowie weiteren Themen zu KI-Re-
    gulierung und qualitätsgesicherter KI
  • Erstellung allgemeiner / zentraler Leitlinien und Frameworks für die Umset-
    zung der KI-Verordnung bei Sicherheitsbehörden des Bundes
  • Beobachtung von relevanten nationalen und internationalen Gremien zu KI-
    Regulierung, insbesondere einschlägige Standardisierungsgremien

Die ABOS soll daher nicht mit Plattformen oder nur zu spezifischen Plattformen arbeiten, sondern betrachtet die Anforderungen und die KI-Systeme der Sicherheitsbehörden individuell und ganzheitlich. Der Aufbau und die Konzeption einer solchen Stelle wird bis 2025 aus dem Paket der Bundesregierung zur Konjunktur- und Krisenbewältigung aus dem Jahr 2020 finanziert.

Die Bundesregierung hat eine Projektgruppe zum Aufbau einer Zentralen Stelle zur Erkennung ausländischer Informationsmanipulation („ZEAM“) im BMI eingerichtet, die vom Auswärtigen Amt (AA), dem Bundesministerium der Justiz (BMJ) und dem Presse- und Informationsamt der Bundesregierung (BPA) unterstützt wird. Die Projektgruppe hat am 1. Juni 2024 ihre Arbeit aufgenommen. Die Schaffung einer ressort-übergreifenden Stelle zur Erkennung von ausländischer Informationsmanipulation ist ein wichtiger Schritt, um den Schutz unserer demokratischen Grundordnung in diesem Sinne nachhaltig zu stärken. Ein weiterer Aufbau der ZEAM ist beabsichtigt.“

Antwortschreiben im Original (geschwärzt):

241108_Aw_SF_BEKI-ABOS-ZEAM-Aufbau_GeschwaerztHerunterladen
/von

Meine Schriftliche Frage zu Aufgaben des BEKI

, , , , , , , ,

Meine Frage:

„Soll das BeKI weiterhin wie ursprünglich geplant, Beratungen und Evaluationen im Zusammenhang mit dem Einsatz von KI im Bund leisten, für den Marktplatz KI Anwendungen im Bund verantwortlich und als Koordinierungsstelle für KI im Bund zuständig sein (bitte jeweils bestätigen oder eingrenzen für die genannten Aufgabenbereiche und gegebenenfalls weitere Aufgaben ergänzen), und wie grenzen sich genau die Aufgaben des BeKI vom KI-Kompetenzzentrum der Bundesdruckerei GmbH ab (bitte als tabellarische Gegenüberstellung)?“

Antwort der Bundesregierung vom 05.11.24:

„Mit dem im Aufbau befindlichen Beratungszentrum für Künstliche Intelligenz („BeKI“) schafft das Bundesministerium des Innern und für Heimat (BMI) eine zentrale Anlauf- und Koordinierungsstelle für KI-Vorhaben in der Bundesverwaltung. Das BeKI soll der Bundesverwaltung Expertise zur verantwortungsvollen Nutzung von KI in Form eines Beratungsangebots zur Verfügung stellen, gezielt den sektor- und ebenenüber-greifenden Austausch und die Vernetzung relevanter Stakeholder fördern sowie zukünftig zu Fortbildungsmaßnamen zu KI beraten und deren (Weiter-)Entwicklung anstoßen. Das BeKI soll außerdem mit dem Markplatz der KI Möglichkeiten („MaKI“) eine Vernetzungsplattform für die Bundesverwaltung bilden und so einen transparenten Überblick über die bestehenden Projekte im Bereich der Künstlichen Intelligenz aufzeigen. Darüber hinaus koordiniert das BeKI das Angebot einer KI-Plattform zur Nutzung von Sprachmodellen (KIPITZ) und entwickelt KI-Leitlinien für die Bundesverwaltung. Im Rahmen der nationalen Umsetzung der KI-Verordnung und damit verbundener Marktüberwachungsstrukturen befindet sich der Aufgabenbereich Evaluation aktuell in Abstimmung.

Das KI-Kompetenz-Center der Bundesverwaltung (KI-KC) unterstützt bei der agilen Entwicklung nutzerzentrierter KI-Lösungen für und mit der Bundesverwaltung. Der Schwerpunkt der angebotenen Unterstützung liegt auf der technischen Umsetzungsdimension innerhalb von Proof-of-Values (PoVs) von KI-Anwendungen in der öffentlichen Verwaltung. Die an den PoV anschließende Produktentwicklung, beginnend mit Minimal Viable Products oder Piloten, liegt außerhalb des Verantwortungsbereiches des KI-KC.

Tabellarische Darstellung „Abgrenzung der Aufgaben des BeKI vom KI-Kompetenz-Center“:

Antwortschreiben im Original (geschwärzt):

241105_Aw_SF-BEKI-Abgrenzung_GeschwaerztHerunterladen
/von