Meine Schriftliche Frage zur Wahl-Software von Votegroup

, , , , , , , , ,

Meine Frage:

„Welche Maßnahmen zur Erhöhung der Sicherheit und Integrität des Prozesses zur
Erfassung und Weiterleitung von Wahlergebnissen unternahm die Bundesregierung,
seitdem erstmals 2017 vom Chaos Computer Club und zuletzt im Dezember 2024
von CCC-Mitgliedern beim 38. Chaos Communication Congress Sicherheitsmängel
der für das Schnellmelden von Wahlergebnissen verwendeten Software „Elect“ öf-
fentlich gemacht wurden (www.golem.de/news/bundestagswahlen-wahlsoftwareim-
mer- noch-unsicher-2412-192004.html) und warum setzt die Bundesregierung nicht
auf eine Open Source Lösung, die idealerweise auf der OpenCode Plattform des
Zentrums für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) veröffent-
licht ist, also einen sicheren Ursprung hat, um gerade bei einem der wichtigsten de-
mokratischen Prozesse eine unabhängige Prüfung und maximale Transparenz zu
gewährleisten, wie sie dem Prinzip der „Öffentlichkeit der Wahl“ angemessen wäre?“

Antwort der Bundesregierung vom 19.02.2025:

„Die Gesamtverantwortung für die ordnungsgemäße Durchführung der Bundestags-
wahl liegt bei der Bundeswahlleiterin. Bei der Wahrnehmung ihrer Aufgaben ist sie
als Wahlorgan unabhängig und nicht an Weisungen gebunden. Zwischen dem Bun-
desamt für Sicherheit in der Informationstechnik (BSI) und Bundeswahlleiterin finden
(wie auch bei vorangegangenen Wahlen, z. B. der Europawahl 2024) regelmäßig Ab-
stimmungen statt. Dabei prüft das BSI in Zusammenarbeit mit der Bundeswahlleiterin
den Kernwahlprozess der Bundestagswahl auf mögliche Schwachstellen. Der Kern-
wahlprozess selbst, das sogenannten Wahlabwicklungssystems, ist nicht über das
Internet erreichbar. Für alle anderen notwendigen Informationen und Verfahren im
Zusammenhang mit der Bundestagswahl, die auf Bundesebene über das Internet er-
reichbar sein müssen, hat das BSI bereits Webchecks durchgeführt.
Darüber hinaus hat das BSI einen Prozess entwickelt, der eine Zusammenarbeit für
den Fall von IT-Sicherheitsvorfällen zwischen den Computer Emergency Response
Teams (CERTs) von Bund und Ländern sicherstellt. Für die Wahlbehörden in den
Ländern wurde ein Webinar-Programm im Dezember 2024 / Januar 2025 durchge-
führt. Hierbei wurde der Schwerpunkt auf die Informationen zu den Meldewegen
selbst, die Umsetzung des BSI IT-Grundschutzprofil Schnellmeldung in den Ländern
mit den entsprechenden Meldewegen, sowie der Sensibilisierung der Zielgruppe ge-
legt.

Die auf Bundesebene für die Bundestagswahl eingesetzte Software wurde vom ex-
ternen Dienstleister „Votegroup GmbH“ für die Bundeswahlleiterin entwickelt. Die
Bundeswahlleiterin geht sensibel mit den ihr vorliegenden Informationen um. Die
Herausgabe sicherheitsrelevanter Informationen und Hintergründe muss daher je-
weils einzelfallbasiert entschieden werden. Als besonders schützenswert eingestufte
Informationen werden grundsätzlich nicht herausgegeben. Die Bundeswahlleiterin
wird auch zukünftig faktenbasiert prüfen, wie angesichts der hohen, auch sicher-
heitskritischen Relevanz mit dem Quellcode der auf Bundesebene eingesetzten Soft-
ware für bundesweite Wahlen umzugehen ist. Die Sitzverteilungsberechnung lässt
sich im Internetangebot der Bundeswahlleiterin nachvollziehen. Die Sitzberechnung
der Bundestagswahl 2025 wird nach Vorliegen des vorläufigen und endgültigen Er-
gebnisses zur Nachvollziehung der Berechnung veröffentlicht, siehe hier vergleichs-
weise die Berechnung zur BTW2021: https://www.bundeswahlleite-
rin.de/dam/jcr/bf33c285-ee92-455a-a9c3-8d4e3a1ee4b4/btw21_sitzberechnung.pdf.“

Antwortschreiben im Original (geschwärzt):

250219_Aw_SF_Wahlsoftware_GeschwärztHerunterladen
/von

Pressemitteilung: Verheerende Nachhaltigkeitsbilanz der Bundes-IT

, , , , , , ,

Zum vierten Mal seit 2021 erfragte DIE LINKE im Bundestag die Bundesregierung zur Nachhaltigkeit der Bundes-IT und nimmt eine Gesamtbewertung für die ablaufende Legislatur vor. Die ehemalige Ampelregierung war mit hohen Ansprüchen angetreten, schrieb sich Nachhaltigkeit in den Titel des Koalitionsvertrages und versprach nachhaltigere Rechenzentren, 100% Ökostrom bis Ende 2024, Einkauf von IT-Produkten und Dienstleistungen unter Berücksichtigung des Blauen Engels und die Fortsetzung der Reduktion der Rechenzentren im Rahmen der IT-Konsolidierung des Bundes. In der vorliegenden Kleinen Anfrage beantwortete die Bundesregierung auch Fragen zum erheblichen Einkaufsvolumen des Bundes für IT Produkte und Dienstleistungen, zur Umsetzung des Energieffizienzgesetzes und zum (extrem angestiegenen) Gesamtenergieverbrauch der Bundes-IT. Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der LINKEN im Bundestag:

Krachend gescheitert: Umsetzung der Nachhaltigkeitsziele für die Bundes-IT

Meine vierte Kleine Anfrage zur Nachhaltigkeit der Bundes-IT offenbart eine verheerende Bilanz der scheidenden Bundesregierung, die mit hohen Ansprüchen angetreten war, aber an jeglicher Umsetzung scheiterte. Der Energieverbrauch durch IT ist massiv angestiegen, die unglaubliche Marktmacht des Bundes von fast 10 Milliarden Euro Einkaufsvolumen wurde einfach nicht für die Bevorzugung nachhaltiger IT genutzt und seit 10 Jahren nicht erreichte Ziele wurden plötzlich für überflüssig erklärt, Beschlüsse ignoriert, Zielerreichungen nicht gemessen sowie Zielverfehlungen nicht sanktioniert. Auch die Umsetzung des Energieeffizienzgesetzes scheint völlig egal, niemand fühlt sich verantwortlich, schon gar nicht das BMWK. Die Ampel ist an der Umsetzung ihrer Nachhaltigkeitsziele krachend gescheitert, aber ich fürchte, in einer Koalition unter Merz wird das Thema Nachhaltigkeit der Digitalisierung schon an der mangelnden Zielsetzung scheitern.

Energieverbrauch der Bundes-IT extrem gestiegen, Ökostrom-Ziel verfehlt

Um 63 GWh stieg der Energieverbrauch der Bundes-IT in 2023. Allein damit könnte man 18.000 Mehrpersonenhaushalte mit Strom versorgen. Insgesamt wurden 2023 sogar 407 GWh verbraten – das würde für sämtliche ca. 116.000 Einwohner Göttingens reichen. Das bereits in 2017 vereinbarte Ziel, unter einem Verbrauch von 350 GWh zu bleiben, wurde damit erstmalig seit 2016 verfehlt, und gleich um 57 GWh. Der Anstieg des IT-Energieverbrauchs um 18 Prozent geht laut Bundesregierung vorwiegend auf den Energiehunger der Rechenzentren zurück. Trotzdem ergab meine Kleine Anfrage: nur jedes 10. RZ des Bundes nutzt ein Energiemanagement und nur ca. 70 Prozent der RZ verwenden 100 Prozent Ökostrom.

Trotz Klimakrise ignorierte die Bundesregierung die eigene Verantwortung und sorgte weder ausreichend für einen geringeren Energieverbrauch, noch für mindestens 100% Ökostrom. Dabei war es ihr erklärtes Ziel, dass bis Ende 2024 alle Liegenschaften des Bundes nur saubere Energie nutzen. Trotzdem werden einige RZ „nicht vor 2028“ und andere sogar erst „spätestens bis 2045“ auf Ökostrom umstellen – das wäre 21 Jahre nach der Deadline! Solche Antworten müssten interne Konsequenzen haben, haben sie aber nicht und hatten sie nie und das ist Teil des Problems.

Chance verpasst: 10 Milliarden Euro Einkaufsmacht des Bundes bei IT ohne Impact

Der Bund könnte allein mit seiner immensen Marktmacht Einfluss darauf nehmen, wie nachhaltig die IT in ganz Deutschland ist, denn bei über 2.000 Vergaben in 2023 gab er fast 10 Mrd Euro für IT-Produkte und Dienstleistungen aus. Aber das passiert einfach nicht, weil es zwar Beschlüsse, Leitfäden und Vorgaben gibt, aber keinerlei Verbindlichkeit, keine Transparenz zur Umsetzung und niemanden, der sich wirklich dafür verantwortlich fühlt. Allein für Software Beschaffung wurden 4,8 Mrd Euro in 2023 ausgegeben. In weiteren 3,7 Milliarden für IT-Dienste sind außerdem Vergaben für Software-Entwicklung enthalten. Laut Umweltbundesamt ist das Ressourceneinsparpotenzial von Software immens, aber trotzdem hat der Bund in dieser Legislatur bei mehr als 1700 vergebenen Software-Entwicklungsaufträgen kein einziges Mal die Einhaltung der Kriterien des Blauen Engel für energieeffiziente Software verlangt oder bei Eigenentwicklungen vergeben, nicht mal das Klima- und das Umweltministerium.

Auch bei keiner der 118 Vergaben von Cloud Dienstleistungen war der Blaue Engel eine Bedingung für den Einkauf. Hier könnte der Markt wirklich mal etwas regeln, aber eben nur, wenn der Bund seine Marktmacht auch nutzt. Ein Ministerium, das Wirtschafts- und Klimathemen vereint, könnte dabei Vorreiter sein, aber im BMWK ignoriert man nicht nur die eigene Marktmacht, sondern auch die Macht der Regulierung. Nach Verabschiedung des abgeschwächten Energieeffizienzgesetzes scheint sich das BMWK nämlich dafür nicht mehr zu interessieren, denn es hat laut Antwort der Bundesregierung auf meine Fragen dazu u.a. „keine Kenntnis“ davon, ob und wie sich Unternehmen oder selbst der Bund daran halten, z.B. durch Beteiligung am RZ-Register.

Die 135 Rechenzentren des Bundes nutzen kaum Abwärme und klimafreundliche Kältemittel

Bei der Senkung der negativen Klimawirkung von Rechenzentren wurde weder bei der Nachnutzung der Abwärme noch bei der Art der Kältemittel eine nennenswerte Verbesserung im Vergleich zum Vorjahr erreicht. Bei Bestands-Rechenzentren ist eine Veränderung nicht einfach und manchmal gar nicht umzusetzen. Aber offensichtlich schöpft der Bund seine Möglichkeiten nicht aus, denn nur jedes 8. Rechenzentrum nutzt einen Teil seiner Abwärme und nur jedes 6. Rechenzentrum setzt klimafreundliche Kältemittel ein und für etwa jedes Dritte RZ wurde nicht einmal eine Antwort auf diese simplen Fragen gegeben.

Fazit zur Betriebskonsolidierung des Bundes: immer mehr statt weniger Rechenzentren

Seit 10 Jahren soll die Anzahl der Rechenzentren des Bundes um 90 Prozent sinken, von 100 RZ in 2015 auf 10 RZ in 2025. Stattdessen zeigen meine Kleinen Anfragen seit Jahren, dass keine Konsolidierung stattfindet. Für Ende 2024 gab der Bund 135 RZ an und noch in diesem Jahr sollen daraus sogar 139 werden, bevor es irgendwann weniger werden sollen. In 2028 sollen es 123 RZ sein, also immer noch 23 Prozent mehr, als bei Beginn der Konsolidierung, statt 90 Prozent weniger. Noch 2023 wurde mir im Digitalausschuss das alte Ziel der Konsolidierung auf künftig nur noch 10 RZ als weiterhin gültig versichert. Da war sogar von nur noch 3 Master-RZ die Rede. Aber nun kapituliert der Bund einfach komplett und erklärt nach einem Jahrzehnt Fehlentwicklung, dass die Anzahl der RZ ganz egal und ihre Reduktion kein Ziel mehr sei, man schaue jetzt nur noch auf die Konsolidierbarkeit von Anwendungen. Da die IT-Konsolidierung des Bundes eines der teuersten IT-Projekte mit einem Volumen von über 3 Milliarden Euro ist, ist diese Bankrotterklärung nicht nur peinlich, sondern auch ein unfassbar laxer Umgang mit Steuergeldern. Der Bundesrechnungshof kritisiert die mangelnde Umsetzung schon seit Jahren völlig zu Recht, aber leider auch völlig ohne Wirkung.

Kaum Transparenz, ein (noch?) disfunktionales Berichtswesen, fehlende Tools als Ausrede

Ich glaube an den Grundsatz „You get what you measure“, denn wenn man Ziele nicht messbar definiert und den Grad ihrer Erreichung nicht erhebt, ist die Wahrscheinlichkeit hoch, dass man sie verfehlt. Deshalb habe ich das Fehlen messbarer Ziele bei der Digitalstrategie von Anfang an kritisiert. Auch die Umsetzungsschwäche bei der Nachhaltigkeit der Digitalisierung hat viel mit vagen Zielen und/oder mangelnder Transparenz zu tun. Wieder war eine besonders häufige Antwort auf meine Fragen „Keine Angabe“ oder „keine Kenntnis“. Man kann nur spekulieren, ob das an Unfähigkeit oder am Unwillen liegt, diese Daten bereitzustellen. Manchmal ist die Ursache klar, wie bei der grottigen Ressourceneffizienz von Websites des Bundes. Den Klima-Impact seiner laut Antwort der Bundesregierung 2.160 Websiten ignoriert der Bund nämlich deshalb komplett, weil man die existierenden Tools zur Messung ihrer Ressourceneffizienz nicht gut genug findet. Dabei könnte der Bund selbst Tools entwickeln und zertifizieren lassen. Alternativ könnten eigene Vorgaben des Bundes dafür sorgen, dass Websiten von BMI und BMWK nicht mehr bei Messwerkzeugen wie websitecarbon.com schlechter abschneiden, als über 90 Prozent aller Websiten weltweit.

Immerhin könnte es künftig zuverlässigere Daten geben, denn ein neues Berichtswesen für die Nachhaltigkeit der RZ ist geplant. Ein Tool dafür soll irgendwann in 2025 entwickelt werden. Allerdings steht und fällt der Erfolg damit, ob die Anwendung verbindlich ist und sich die Behörden daranhalten. Vorgaben gibt es jetzt auch schon viele, sie werden nur leider folgenlos ignoriert. Der Gipfel ist jedoch der Umgang des Bundes mit verfehlten Zielen. Denn dann wird die Berichterstattung einfach verschleppt, wie beim Monitoringbericht zum Maßnahmeprogramm Nachhaltigkeit, der für 2023 immer noch nicht vorgelegt wurde und für 2024 „wegen Evaluierung“ gar nicht mehr geplant wird. Oder das Ziel wird insgesamt für obsolet erklärt, wie bei der Konsolidierung der Anzahl der Rechenzentren. Mehr Bankrotterklärung geht eigentlich gar nicht.

Antwort der Bundesregierung

Antwortschreiben der Bundesregierung im Original (geschwärzt)
Anlage 1 (Anzahl RZ 2022-2028, Eigenbetrieb ja/nein)
Anlage 2 (Einhaltung der Kriterien des Blauen Engels durch RZ des Bundes)
Anlage 3 (Gesamtenergieverbrauch der RZ, Bezug von Ökostrom)
Anlage 4 (verwendete Kältemittel in RZ, geplante Umrüstung)
Anlage 5 (Abwärmenutzung durch RZ, Energy Reuse Factor, geplante Umstellung)
Anlage 6 (Nachhaltigkeit bei Verträgen für Rechenzentrums-Dienstleistungen)
Anlage 7 (Liste der Website-Adressen des Bundes)

Tabellengrafiken (Auswertung der Anlagen)

Umfassende Analyse der Antwort der Bundesregierung mit Zahlen, Daten, Fakten

Weiterführende Informationen

Kleine Anfrage Nachhaltigkeit der Bundes-IT 2023
Kleine Anfrage Nachhaltigkeit der Bundes-IT 2022
Kleine Anfrage Nachhaltigkeit der Bundes-IT 2021
Schriftliche Frage zur Anzahl Entwicklungsaufträge für Software 2021-2024
Kritik des Bundesrechnungshof an der IT Konsolidierung des Bundes
Mein Talk auf dem 37C3-Kongress „Klimafreundliche Digitalisierung – Koalitionsvertrag versus Wirklichkeit“, 2023

/von

MEINE SCHRIFTLICHE FRAGE ZUM STAND DER REGISTERMODERNISIERUNG

, , , , ,

Frage:

Wie ordnet sich der aktuelle Status der Umsetzung der Registermodernisierung hinsichtlich Anzahl Register, Datenschutz-Cockpit, NOOTS und Einhaltung der Fristen der Single-Digital-Gateway-Verordnung in den Zeitplan derselben ein (also was ist bereits erreicht bzw. was soll bis wann umgesetzt werden), und wie ist technisch und/oder organisatorisch ausgeschlossen, dass einzelne Behörden (z. B. Behörden mit Sicherheitsaufgaben) Schattendatenbanken anlegen, deren Datenabfragen dadurch nicht im Datenschutz-Cockpit auftauchen?

Antwort der Bundesregierung vom 6.2.2025:

Der Umsetzungsstand der Registermodernisierung inklusive des National-Once-Only-Technical-System (NOOTS) kann dem Bericht der Gesamtsteuerung Registermodernisierung an den IT-Planungsrat vom November 2024 entnommen werden.

Dieser ist öffentlich unter https://www.it-planungsrat.de/beschluss/beschluss-2024-57 einsehbar. Die Anforderungen der Single-Digital-Gateway-Verordnung (SDG-VO) sind umfassend, aber nicht abschließend erfüllt. Erste Komponenten zur Einrichtung eines EU Once-Only-Technical-Systems (EU-OOTS) wurden erbaut und erfolgreich getestet.

Der flächendeckende Anschluss von betroffenen Registern und Online-Diensten an das EU-OOTS steht noch aus. Darüber hinaus kann der Umsetzungsstand der SDG-VO dem Bericht an den IT-Rat vom September 2024 entnommen werden:https://www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/it-rat/beschluesse/beschluss_2024_03_Anlage.html.

50 Register müssen die Identifikationsnummer speichern. Sie sind in der Anlage zum Identifikationsnummerngesetz (IDNrG) aufgeführt. Der Roll-out der Identifikationsnummer in die Bundesregister richtet sich nach dem Beschluss des IT-Rates „Rollout der Identifikationsnummer nach § 1 des IDNrG in Bundesregistern“ (Beschluss Nr. [2023/6], https://www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/it-rat/beschluesse/beschluss_2023_06_IT-Rat_Rollout_IDNr.pdf?__blob=publicationFile&v=6).

Der Roll-out der Identifikationsnummer in Register in Verantwortung der Länder wird aktuell in Abstimmung mit den Registermodernisierungskoordinatoren der Länder geplant. Innerhalb der Roll-out-Vorhaben werden der Anschluss an den Identitätsdatenabruf (IDA) und das Datenschutzcockpit (DSC) gemeinsam betrachtet und die Meilensteine aufeinander abgestimmt, sodass dieser möglichst parallel erfolgt.

Vor dem Hintergrund des dargestellten Umsetzungsstands ist die Anlage einer „Schattendatenbank“ ausgeschlossen. Die Sicherheitsbehörden führen kein in der Anlage zu § 1 Identifikationsnummerngesetz (IDNrG) genanntes Register. Darüber hinaus gibt es keine Rechtsgrundlage, die einen Abruf der Identifikationsnummer aus den in der Anlage zu § 1 IDNrG genannten Register durch die Sicherheitsbehörden gestattet.

Antwortschreiben im Original (geschwärzt):

SF433_GeschwärztHerunterladen

/von

MEINE SCHIRFTLICHE FRAGE NACH DER VERÖFFENTLICHUNG VON OPEN SOURCE PROJEKTEN DES BUNDES

, , , , ,

Frage:

Auf welchen Plattformen wie z. B. OpenCode und GitHub wurden die laut Antwort der Bundesregierung auf meine Schriftliche Frage 57 auf Bundestagsdrucksache 20/12484 durch den Bund als Open Source beauftragten Software-Entwicklungen bisher veröffentlicht (bitte jeweils die Anzahl je Plattform nennen, ggf. nur Anzahl für OpenCode, GitHub und „Sonstige“ nennen), und was sind die fünf häufigsten Gründe, weshalb bei den übrigen als Open Source Software entwickelten Lösungen keine Veröffentlichung des Quellcodes auf OpenCode bzw. auf anderen öffentlich zugänglichen Plattformen erfolgte (bitte nach OpenCode und anderen Plattformen unterscheiden)?

Antwort der Bundesregierung vom 31.01.2025:

Im Folgenden wird die Verteilung der durch den Bund als Open Source beauftragten und veröffentlichten Software-Entwicklungen auf verschiedenen Plattformen dargestellt. Die Übersicht zeigt die Anzahl der Veröffentlichungen auf den Plattformen OpenCode, GitHub sowie weiteren Plattformen, die als „Sonstige“ zusammengefasst wurden. Es erfolgten insgesamt Rückmeldungen zu 144 durch den Bund als Open Source beauftragten Software-Entwicklungen (Anmerkung: Die Anzahl der bei dieser Schriftlichen Fragen durch das Bundesministerium für Ernährung und Landwirtschaft zurückgemeldeten Projekte ist wesentlich geringer als die der Bundestagsdrucksache 20/12484, Frage 57.

Dies hat den Grund, dass eine Behörde bei der damaligen Anfrage jeden einzelnen Wartungs- und Entwicklungsauftrag separat benannt hatte, welche allerdings lediglich auf drei Projekte entfallen, die eine Neuentwicklung zum Inhalt haben. Die übrigen Aufträge dienten der Wartung und Pflege vorhandener Anwendungen.

PlattformOpenCodeGitHubSonstige
Anzahl der
veröffentlichten
Software-Entwicklungen		144710

Die fünf häufigsten Gründe für eine Nichtveröffentlichung des Quellcodes, unterschieden nach OpenCode und anderen Plattformen, lauten wie folgt (enthält Mehrfachnennungen):


Gründe für Nichtveröffentlichung auf Open Code:

  1. Verarbeitung sicherheitsrelevanter Aspekte und / oder sensibler Informationen
  2. Anwendung zu behördenspezifisch, fehlender Mehrwert für die Allgemeinheit
  3. Projekt befindet sich noch im Entwicklungsstadium
  4. Fehlende behördenspezifische Veröffentlichungsregelungen
  5. Fehlende Lizenzen / Urheberrechte für den Code oder einzelne Komponenten

Gründe für Nichtveröffentlichung auf anderen Plattformen:

  1. Verarbeitung sicherheitsrelevanter Aspekte und / oder sensibler Informationen
  2. Anwendung zu behördenspezifisch, fehlender Mehrwert für die Allgemeinheit
  3. Projekt befindet sich noch im Entwicklungsstadium
  4. Fehlende behördenspezifische Veröffentlichungsregelungen
  5. Fehlende Lizenzen / Urheberrechte für den Code oder einzelne Komponenten

Antwortschreiben der Bundesregierung im Original:

250131-Antw_SF318_Veroeff.-OS-Code_geschwaerztHerunterladen

Meine in Bezug genommene Schriftliche Frage:

https://mdb.anke.domscheit-berg.de/2024/08/meine-schriftliche-frage-zum-anteil-von-open-source-an-entwicklungsauftraegen-fuer-software/

/von

MEINE SCHRIFTLICHE FRAGE ZUR MÖGLICHKEIT FÜR BÜRGER:INNEN, BOTNETZTE AN SICHERHEITSBEHÖRDEN ZU MELDEN

, , , , ,

Meine Frage:

Welche Meldewege an staatliche Stellen (also unabhängig von einer Meldung an die Plattform selbst) gibt es für Bürgerinnen und Bürger, denen im Internet (z. B. in sozialen Medien wie X oder Facebook) mutmaßliche Botaccounts mit Links oder Screenshots vergleichbar der mutmaßlich von Russland gesteuerten Doppelgänger-Kampagne (www.auswaertiges-amt.de/resource/blob/2660362/73bcc0184167b438173e554ba2be2636/technischer-bericht-desinformationskampagne-doppelgaenger-data.pdf) auffallen, und in welcher Art und Weise werden diese Meldewege der Bevölkerung bekannt gemacht, um möglichst frühzeitig Desinformationskampagnen z. B. mit dem Ziel der illegitimen Einflussnahme auf die Bundestagswahlen aufdecken und entsprechende Gegenmaßnahmen ergreifen zu können?

Antwort der Bundesregierung vom 27.01.2025:

Das Bundesamt für Verfassungsschutz informiert auf seinen Webseiten über verschiedene Phänomene der staatlichen Einflussnahme. Hinweise können Bürgerinnen
und Bürger per Kontaktformular, E-Mail und telefonisch abgeben. Weitere Hinweise finden Sie hier: https://www.verfassungsschutz.de/SharedDocs/kurzmeldungen/DE/2024/2024-05-29-hinweistelefon.html.


Darüber hinaus finden Sie im Vorfeld der Bundestagswahl 2025 Informationen auf der Schwerpunktseite des Bundesministeriums des Innern und für Heimat:
https://www.bmi.bund.de/SharedDocs/schwerpunkte/DE/desinformation-bei-bt-wahl/desinfo-bei-bt-wahl-artikel.html.

Antwortschreiben im Original (geschwärzt):

250128-AW_SF_Meldestellen-Botnetze_geschwaerztHerunterladen
/von

BUND BAUT IT-SICHERHEITSSTELLEN AB

, , , , , ,

„UPDATE: wenige Stunden nach Veröffentlichung eines dpa Textes zu den nachstehenden Informationen meldete sich das BMI mit Korrekturen zu seinen Zahlen in der Antwort der Bundesregierung auf meine Anfragen in den Jahren 2024 und 2023. Daher ist die nachstehende Analyse nicht mehr zutreffend u muss aktualisiert werden. Ich werde mich zeitnah darum bemühen. Die korrigierten Zahlen des BMI werde ich mitteilen sobald sie mir final vorliegen“

Pressemitteilung

Zum ersten Mal seit sechs Jahren baut der Bund insgesamt IT-Sicherheitsstellen ab, insbesondere beim BMI und dem ihm nachgeordneten Bundesamt für Sicherheit in der Informationstechnik, wo innerhalb von 12 Monaten 344 IT-Sicherheitsstellen (14 Prozent) wegfielen, obwohl sowohl Ministerin Nancy Faeser als auch das BSI die aktuelle Cybersicherheitslage als ‚besorgniserregend‘ bezeichnen. In Zeiten hybrider Kriegsführung, massiver Desinformationskampagnen und ständiger Cyberattacken auf kritische Infrastrukturen ist diese Entwicklung irrational und gefährlich, denn auch der Bund ist eine kritische Infrastruktur und braucht nicht weniger, sondern mehr IT-Sicherheitskompetenzen.

Selbst der erneut starke Zuwachs von 163 IT-Sicherheitsstellen im Geschäftsbereich des BMVg und kleine Zuwächse in übrigen Ministerien konnten den Stellenabbau nicht ausgleichen. Betrachtet man die letzten sechs Jahre seit 2020, wurden immerhin 1.599 Stellen für IT-Sicherheit aufgebaut, aber der Anteil ziviler Stellen verringerte sich dabei, denn schon 2020 war jede vierte IT-Sicherheitsstelle im militärischen Bereich angesiedelt, jetzt ist es sogar jede dritte Stelle. Fast Zweidrittel aller seit 2020 neu entstandenen IT-Sicherheitsstellen sind dem BMVg zuzuordnen. Hybride Bedrohungen sind eine Realität, aber dagegen müssen sich alle Bundesbehörden schützen, nicht nur das BMVg und die Bundeswehr. Die Verteidigung informationstechnischer Systeme und damit der Arbeitsfähigkeit des Bundes und seiner Behörden ist keine militärische Aufgabe, sondern notwendiger ziviler Schutz.

Ich finde die Vorstellung seltsam, bei einem erfolgreichen Cyberangriff auf eine Bundesbehörde wie der deutschen Rentenversicherung, der BaFin oder der Bundesagentur für Arbeit die Bundeswehr um Amtshilfe bitten zu müssen, weil es nicht genug eigene IT-Sicherheitsexpertise gibt, wie das beim Ausruf des Katastrophenfalls nach einer Ransomware-Attacke im Landkreis Anhalt Bitterfeld der Fall war. In den letzten Tagen dieser Legislatur überbieten sich Union und SPD mit Anträgen, die mehr Sicherheit versprechen, aber wirkungslose Symbolpolitik sind und z.T. sowohl gegen EU-Recht als auch gegen das Grundgesetz verstoßen. Was wir dringend brauchen, ist Sachpolitik, die Probleme wirklich löst. Ein Abbau von über 344 IT-Sicherheitsstellen beim zuständigen Bundesministerium löst kein Problem, sondern verschärft es.

Immerhin berichteten 2025 sieben Ministerien einen Anteil unbesetzter Stellen von 0-10 Prozent, was seit Erhebung der Daten ein Positiv-Rekord ist. Das neue BMWSB und das BMZ meldeten sogar 100% besetzter Stellen – allein mit Fachkräftemangel ist also nicht zu erklären, dass das BMG wie in allen Erhebungen seit 2020 erneut Schlusslicht ist, mit mehr 50 Prozent offener IT-Sicherheitsstellen. Dass IT-Sicherheit im Hause Lauterbach keine besondere Priorität genießt, zeigten auch die zahlreichen Sicherheitslücken, die vor der Einführung der ‚ePA für alle‘ aufgedeckt wurden.

Die Digitalbilanz dieser Legislatur zur IT-Sicherheit ist insgesamt verheerend: die Cybersicherheitsagenda nicht ansatzweise umgesetzt, die überfällige NIS2-Richtlinie nicht verabschiedet, die IT-Sicherheitsforschung nicht entkriminalisiert, kein Bundes CISO mit den nötigen Kompetenzen – das sind 3,5 verlorene Jahre für notwendige Fortschritte in der IT-Sicherheit, obwohl wir uns keinen einzigen Tag davon leisten können.

Meine Auswertung der aktuellen Angaben der Bundesregierung:

Zum 1. Mal seit Erhebung der Daten vor 6 Jahren (2020) werden IT-Sicherheitsstellen abgebaut – trotz steigender IT-Sicherheitsrisiken.

  • Das BSI beschreibt die IT-Sicherheitslage als „besorgniserregend“, Nancy Faeser erklärte erst im Nov. ‘24, dass Wirtschaft, Verwaltung und Politik von erpresserischen Ransomware-Angriffen, von Cyberkriminalität, von Cybersabotage und von Cyberspionage bedroht sind
  • gleichzeitig streicht das für IT-Sicherheit zuständige BMI mit nachgeordneter Behörde BSI mehr als jede 7. IT-Sicherheitsstelle – ca 344 Stellen (14%) und setzt damit nicht nur ein völlig falsches Signal!
  • in Zeiten hybrider Kriegsführung, massiver Desinformationskampagnen, ständiger Cyberattacken auch auf kritische Infrastrukturen, stark verzögerter Umsetzung von EU–RL zur Stärkung der Cybersicherheit von KRITIS, ist diese Entwicklung irrational und gefährlich – wir brauchen mehr und nicht weniger IT-Sicherheitskompetenzen!
  • alle anderen Ministerien zusammen legen gemeinsam immerhin um 189 Stellen zu, so dass insgesamt der Abbau „nur“ 155 Stellen (-3% zum Vorjahr) beträgt
  • außer BMI hat nur das BMWK hat auch IT-Sec Stellen abgebaut: um 4% (2,75 Stellen)

Im gesamten zivilen Bereich wurde in den letzten 12 Mon. etwa jede 10. IT-Sec Stelle abgebaut, während es im militärischen Bereich 11% Zuwachs gab.

  • Stärkster Zuwachs erfolgt im militärischen Bereich: +163 Stellen auf 1686 Stellen = 38% aller IT-Sec Stellen sind im BMVg angesiedelt (2024: 33%, 2020: 24% )
    • IT-Sicherheitskompetenzen im militärischen Bereich werden ausgebaut (+163 Stellen/+11%)
    • IT-Sicherheitskompetenzen im zivilen Bereich werden abgebaut (-318 Stellen/-10,4%)
    • gefährliche Verschiebung!

Langzeitbetrachtung: Seit 2020 gab es einen starken Zuwachs von IT-Sec Stellen (+57%), der aber zu 63% (1006 Stellen von 1.599) auf das BMVg entfiel.

  • Der starke Anstieg von IT-Sicherheitsstellen im Bereich des BMVg passt zum Ausbau des Kommando Cyber- und Informationsraums (CIR) der Bundeswehr, das sich auch mit Bedrohungen durch hybride Kriegsführung befasst
  • auf das BMI entfielen nur 22% der neuen Stellen seit 2020 (351 Stellen von 1.599)

Die Anpassung der Ministerien an die gestiegene Bedrohungslage ist weiterhin extrem heterogen.

  • Vorreiter-Ressorts wie das Auswärtige Amt verdreifachten ihre IT Sicherheitsstellen seit 2020, während z.B. BMBF und BMUV auf niedrigem Niveau nur etwa 10% Zuwachs schafften, bei beiden Ministerien ist das nicht mal eine ganze Stelle mehr
  • Auf BMVg + BMI entfällt Löwenanteil der IT-Sec Stellen des Bundes: 3.828 von 4.421 Stellen in 2025 (87% = 3838 Stellen), dito beim Zuwachs seit 2020: 85% = 1357 Stellen

Laternenträger ist erneut das BMG: jede 2. IT-Sicherheitsstelle ist dort unbesetzt, in den letzten 4 Jahren waren es sogar mehr als 75%.

  • Auch wenn das BMG 1,5 neue Stellen schuf und damit in 2025 über knapp 13 IT-Sec Stellen verfügt, ist der weiterhin ungewöhnlich hohe Anteil unbesetzter Stellen beunruhigend u mit Fachkräftemangel nicht zu erklären
  • Dies spricht für ein anhaltend geringes IT-Sicherheitsbewußtsein an der Spitze des Hauses und trägt vermutlich zu den zahlreichen Skandalen um IT-Sicherheitslücken z.B. bei der neuen „ePA für alle“ bei – es fehlt einfach an IT-Sicherheitskompetenz

Insgesamt hat sich der Stand besetzter IT-Sec-Stellen bei den Bundesministerien verbessert.

  • Erstmals gibt es 7 Ressorts, die maximal 10% dieser Stellen nicht besetzt haben (2024: 3 Ressorts)
  • BMZ und das neue BMWSB haben sogar 100% ihrer Stellen besetzen können
  • Nur ein einziges Ministerium – das BMG – hat mit 53% mehr mehr als 25% unbesetzte Stellen, in 2024 waren es noch 4 Ministerien (neben BMG: BMAS, BMFSFJ, BMDV)

Die wichtigsten Ressorts nach IT-Sicherheitsstellen in 2025:

  • BMI: 2152 (48,7 % aller Stellen)
  • BMVg: 1686 (38,1 %)
  • BMF: 235 (5,3 %)
  • BMDV: 118 (2,7 %)
  • 2 Ministerien kommen noch über 1% Anteil (BMWK: 1,5% bei 68 Stellen, AA 1,4% bei 60 Stellen)
  • 9 weitere Ressorts bleiben unter 1% Anteil mit unter 20 Stellen, 5 sogar unter 10 Stellen

Die Angaben der Bundesregierung in tabellarischer Übersicht:

Antwortschreiben auf meine bisherigen schriftlichen Fragen im Original (geschwärzt):

Antwort der Bundesergierung vom 23.01.2025 auf meine schriftliche Frage zur Besetzung von IT-Sicherheitsstellen:

250123_Aw_IT-Sec-StellenHerunterladen

Mein Beitrag zu unbesetzten Sicherheitsstellen vom Janaur 2024

Mein Beitrag zu unbesetzen Sicherheitsstellen vom Janaur 2023

Meine Frage zu unbesetzten Sicherheitsstellen vom Februar 2022

Mein Beitrag zu unbesetzen Sicherheitsstellen vom Februar 2021

Mein Beitrag zu unbesetzten Sicherheitsstellen vom Febraur 2020

/von

ICH FRAGE: PATIENTENAKTE SICHER? BUND ANTWORTET: 🙈

, , , , , , , , ,

Pressemitteilung

Nach 20 Jahren Planung und erfolglosem Rollout von Vorgängervarianten startete am 15. Januar 2025 der Test der sogenannten „ePA für alle“, der elektronischen Patientenakte 3.0, in vorerst knapp 300 ausgewählten Praxen in Hamburg, Franken und NRW. Ob der geplante bundesweite Rollout wie geplant im Februar starten soll, steht aktuell in den Sternen, nachdem Ende Dezember aus dem Umfeld des Chaos Computer Clubs verschiedene Sicherheitslücken öffentlich präsentiert wurden, die theoretisch einen illegitimen Zugriff auf alle künftigen etwa 70 Mio. Patientenakten ermöglichen könnten. Auf diverse Fragen der Bundestagsabgeordneten der Linken, Anke Domscheit-Berg, antwortete die Bundesregierung entweder gar nicht, ausweichend, oder irritierend.

Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:

„Die Antworten der Bundesregierung auf meine Fragen zeigen, dass das Gesundheitsministerium (BMG) immer noch nicht bereit ist, sich ehrlich zu machen und transparent mit dem anhaltend mangelnden Sicherheitsniveau der ePA umzugehen. Dazu gehört, auf klare Fragen auch vollständig und verständlich zu antworten, statt unliebsame Fragen einfach zu ignorieren und bei anderen verklausuliert um den heißen Brei herumzureden. Das ist schlechter Führungsstil und eine Missachtung parlamentarischer Verfassungsrechte.

Bei einem Großprojekt mit hochsensiblen Gesundheitsdaten eines Großteils der Bevölkerung, das nur erfolgreich sein kann, wenn die Daten sicher und das Vertrauen der Patient:innen hoch ist, muss man gerade Probleme und IT-Sicherheitsrisiken transparent kommunizieren und das findet weiterhin nicht statt. Wenn Patient:innen aber immer wieder erleben, dass Minister Lauterbach die ePA als sicher anpreist, während Schlagzeilen von erschütternd einfach auszunutzenden Sicherheitslücken berichten, wie die Übertragung wichtiger Identifikationsdaten ohne Verschlüsselung und das einfache Hochzählen von Kartennummern, dann wird jedes Mal Vertrauen in die ePA zerstört und werden Menschen sie nicht nutzen wollen, die von ihr profitieren könnten. Ich fühle mich inzwischen als Patientin nur noch auf den Arm genommen, wenn mir das BMG selbst jetzt noch antwortet, dass Deutschland eine der sichersten Infrastrukturen im Gesundheitswesen in Europa habe.

Viel sagt auch der Fakt, dass meine Frage nach den konkreten Forderungen der Bundesbeauftragten für den Datenschutz (BfDI) zur neuen ePA komplett unbeantwortet blieb, wohl weil es sonst peinlich würde für die Bundesregierung, denn diese Forderungen wurden schon im Sommer gestellt und offensichtlich ignoriert. Leider wurde das Veto-Recht von BSI und BfDI bei der ePA zugunsten eines bloßen Rechts auf Anhörung aufgehoben, das BMG kann sie daher einfach ignorieren und ihre Forderungen schlicht unter den Teppich kehren.

Auffällig ist auch die fehlende Antwort auf meine Frage, ob das BSI auch Geheimnisträger:innen mit sensiblen Gesundheitsdaten die Nutzung der ePA zum Zeitpunkt ihrer Einführung empfehlen würde. Angesichts der extrem hohen Bedrohungslage durch fremdstaatliche Akteure ist das eine wichtige Frage, zumal das BMG behauptet, dass Risiken fremdstaatlicher Akteure im Sicherheitsgutachten vom Fraunhofer SIT berücksichtigt wurden, während man in diesem Gutachten das genaue Gegenteil davon lesen kann, nämlich dass der Auftraggeber gematik, dessen Mehrheitsgesellschafter das BMG ist, diese Risikobetrachtung nicht relevant fand, weshalb sie ausgeklammert wurde.

Leider löst diese ePA ihr Nutzenversprechen nicht ein, da sie nur mit rudimentären Funktionen kommt, gleichzeitig sind die Risiken für die darin gespeicherten Daten zwar hoch, aber Patient:innen völlig ungenügend darüber informiert. Dabei erfordert gerade der Paradigmenwechsel von der Einwilligungslösung zur Widerspruchslösung höchste Transparenz über den Nutzen und die Risiken für alle – ähnlich der Beipackzettel bei Medikamenten – damit eine informierte Entscheidung für oder gegen die Nutzung überhaupt getroffen werden kann.

Wenn die „ePA für alle“ nicht mit Datenskandalen zum Rohrkrepierer werden soll, muss Minister Lauterbach endlich klar und offen kommunizieren und den Flächenrollout per Opt Out so lange verschieben, bis die Angriffsrisiken auch durch fremdstaatliche Akteure sorgfältig evaluiert wurden, alle aktuell bekannten Sicherheitslücken tatsächlich geschlossen wurden – technische und organisatorische – und sichergestellt ist, dass alle Patient:innen tatsächlich umfassend über den Nutzen und die Risiken der „ePA für alle“ informiert sind. Eine Augen-zu-und-durch-Strategie aus Gründen der Wahlkampftaktik ist in Zeiten hybrider Kriegsführung und steigender Bedrohungsintensität jedenfalls indiskutabel.“

Weiterführende Links:

Antworten auf meine Schriftlichen Fragen rund um die Einführung der elektronischen Patientenakte an die Bundesregierung: https://mdb.anke.domscheit-berg.de/2025/01/4-schriftl-fragen-zur-epa/

  • Frage zur Aufklärung der Patient:innen zu Risiken der ePA und zur Evaluation des Informationsstands in der Bevölkerung
  • Frage zur fehlenden Berücksichtigung der Risiken durch fremdstaatliche Akteure im Sicherheitsgutachten von Fraunhofer und zur Empfehlung der ePA für Geheimnisträgerinnen
  • Frage zum konkreten Handlungsbedarf nach der Aufdeckung von Sicherheitslücken durch den CCC und zu einer möglichen Verschiebung des bundesweiten Rollouts oder eines Wechsels von Opt Out zurück zu Opt In
  • Frage zur Bewertung der nach Bekanntwerden der Sicherheitslücken durch den CCC veröffentlichten Maßnahmen der Gematik durch das BSI und zu den Forderungen der BfDI

Aufzeichnung des Vortrags beim 38C3 zu Sicherheitslücken der ePA: „Konnte bisher noch nie gehackt werden“: Die elektronische Patientenakte kommt – jetzt für alle! – media.ccc.de

/von

4 SCHRIFTLICHE FRAGEN ZUR ELEKTRONISCHEN PATIENTENAKTE

, ,

Frage:

Wie bewertet die Bundesregierung den Umstand, dass nach Aussage des Leiters der Abteilung Secure Software Engineering, der die von der gematik GmbH beim Fraunhofer-Institut für Sichere Informationstechnologie SIT (Fraunhofer SIT) in Auftrag gegebene Sicherheitsstudie zum ePA System betreut hat, die gematik als Auftraggeberin entschieden hat, fremdstaatliche Akteure wegen fehlender Relevanz nicht in die Sicherheitsbetrachtung einzubeziehen, obwohl das Fraunhofer SIT in eben dieser Studie selbst angibt, dass fremdstaatliche Akteure sowohl über hohe finanzielle, als auch über hohe technische Ressourcen verfügen und daher mit „hoher Relevanz“ zu bewerten wären (vgl. Sicherheitsanalyse des Gesamtsystems ePA für alle, www.gematik.de/media/gematik/Medien/ePA_fuer_alle/Abschlussbericht_Sicherheitsana-
lyse_ePA_fuer_alle_Frauenhofer_SIT.pdf, S. 22 und www.zeit.de/digital/datenschutz/2024-12/elektronische-patientenakte-it-sicherheit-datenschutz-geheimdienste), und würden die Bundesregierung und das Bundesamt für Sicherheit in der Informationstechnik vor diesem Hintergrund auch Geheimnisträgerinnen und Geheimnisträgern, vor allem solchen mit besonders sensiblen Gesundheitsinformationen, die Nutzung der elektronischen Patientenakte 3.0 angesichts der bestehenden Risikolage mit hybrider Kriegsführung, u. a. durch staatliche Akteure aus Russland, zum Zeitpunkt ihrer Einführung empfehlen?

Antwort:

Fremdstaatliche Akteure und deren Angriffsvektoren werden sowohl im Gutachten vom Fraunhofer-Institut für Sichere Informationstechnologie als auch in den Sicherheitsanalysen der gematik berücksichtigt. Den im Bereich der Telematikinfrastruktur bestehenden Bedrohungen wird bereits wirkungsvoll entgegengewirkt. Technisch werden derzeit weitere Sicherheitskomponenten eingebaut, die internationalen Angreifern das massenhafte Abgreifen von Daten unmöglich machen. Im europäischen Vergleich verfügt Deutschland damit über eine der sichersten Infrastrukturen im Gesundheitswesen überhaupt, welche unter Einbeziehung der
obersten Sicherheits- und Datenschutzbehörden konzipiert wurden.

Frage:

Wie plant die Bundesregierung bis zur Einführung der elektronischen Patientenakte 3.0 („ePA für alle“) alle betroffenen Bürgerinnen und Bürger analog zu Beipackzetteln von Medikamenten so über Risiken und Einschränkungen in den Funktionen und für die informationelle Selbstbestimmung der ePA 3.0 zu informieren, dass diese eine tatsächlich informierte Entscheidung für oder gegen die Nutzung der ePA 3.0 treffen können, wie es der Verbraucherzentralen Bundesverband am 5. Dezember 2024 öffentlich forderte (www.vzbv.de/pressemitteilungen/elektronische-patientenakte-krankenkassen-informieren-unzureichend), und plant die Bundesregierung zu evaluieren, ob sich zum Zeitpunkt der Einführung der ePA 3.0 in der Opt-Out Variante die betroffenen Versicherten ausreichend informiert sehen (vgl. Insights-Bericht der Gematik „Status quo „ePA für alle“, Ein Stimmungsbild vor dem Rollout 2025“ vom 10. Dezember 2024, wonach noch im Oktober 2024 erst 34 Prozent der Bevölkerung laut einer repräsentativen Befragung angaben, ausreichend über die ePA für alle informiert zu sein und 41 Prozent der Befragten die ePA noch nicht einmal dem Namen nach kannten: www.gematik.de/telematikinfrastruktur/ti-atlas/einblicke/insights)?

Antwort:

Die Krankenkassen als Anbieter der elektronischen Patientenakte (ePA) sind gesetzlich verpflichtet, alle Versicherten umfassend sowie gemäß § 343 Fünftes Buch Sozialgesetzbuch in präziser, transparenter, verständlicher und leicht zugänglicher Form zu informieren, bevor eine ePA zur Verfügung gestellt wird. Die gesetzlich vorgesehenen Pflichtinformationen sollen allen Versicherten die Möglichkeit für eine selbstbestimmte, eigenverantwortliche und fundierte Entscheidung über die Nutzung der elektronischen Patientenakte bieten. Die Information aller gesetzlich Versicherten durch die Krankenkassen muss bis sechs Wochen vor der Einführung der ePA für alle, die am 15. Januar 2025 eingeführt wird, erfolgt sein. Die Überwachung und die Einhaltung der Vorgaben obliegt den zuständigen Aufsichtsbehörden. Die Bundesregierung geht davon aus, dass alle gesetzlich Versicherten informiert wurden und sich auch weiterhin bei ihren Krankenkassen informieren können.


Um alle Bürgerinnen und Bürger, aber auch die Leistungserbringenden, möglichst gut zu informieren und auf die ePA vorzubereiten, ist am 30. September 2024 die Informations- und Fachkampagne des Bundesministeriums für Gesundheit gestartet. Aufgrund der bundesweiten Kampagne ist davon auszugehen, dass die Aufklärung und Information aller Versicherten weiter gesteigert werden konnte. Bis zum Start der ePA für alle am 15. Januar 2025, und auch darüber hinaus, wird die Bundesregierung weiterhin auf verschiedenen Wegen die Versicherten über die ePA für alle informieren.

Frage:

Welchen konkreten Handlungsbedarf sieht die Bundesregierung nach dem Vortrag zu Sicherheitsrisiken bei der elektronischen Patientenakte (ePA) 3.0 auf dem 38C3 in Hamburg am 27. Dezember 2024 in Bezug auf diese Sicherheitsrisiken (bitte für jede/s genannte Risiko/Sicherheitslücke den jeweiligen Handlungsbedarf spezifizieren, bzw. mit nein antworten, wo es keinen gibt), und hält sie vor dem Hintergrund dieser Gesamtrisiken entweder eine Verschiebung der Einführung der ePA 3.0 für alle (mit Opt-out-Möglichkeit) oder einen Wechsel auf Einführung der ePA 3.0 nach dem bisher geltenden Freiwilligkeitsprinzip (Opt-In) zum aktuell geplanten Zeitpunkt für denkbare Szenarien (ggf. auch eine Kombination beider Szenarien), um die Folgen möglicher Sicherheitsrisiken für Nutzende der ePA für alle zu minimieren?

Antwort:

Die Bundesregierung nimmt die durch den Chaos Computer Club (CCC) veröffentlichten Hinweise zur Sicherheit der elektronischen Patientenakte (ePA) sehr ernst. Die vom CCC beschriebenen Probleme sind länger bekannt und werden gelöst. Darüber hat sich das BMG auch vor dem Chaos Communication Congress (38C3) mit dem CCC ausgetauscht. Das BMG und die gematik stehen insbesondere im intensiven Austausch mit den zuständigen Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik und es wurden bereits technische Lösungen zum Unterbinden der Angriffsszenarien konzipiert, deren Umsetzung jeweils rechtzeitig abgeschlossen sein wird. Für die ab 15. Januar 2025 startende Pilotphase bedeutet dies, dass zunächst nur die in der Modellregion teilnehmenden und explizit gelisteten Leistungserbringer („Whitelisting“) auf die ePA der Versicherten zugreifen können.


Vor dem bundesweiten Rollout bei den Leistungserbringern werden weitere technische Lösungen umgesetzt und abgeschlossen sein. Dazu gehört insbesondere, dass organisatorisch sowohl die Prozesse zur Herausgabe als auch zur Sperrung von Karten sowie technisch das VSDM++-Verfahren nachgeschärft werden. Gleichzeitig werden zusätzliche Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung implementiert. Somit steht weder dem Start in den Modellregionen zum 15. Januar 2025 noch dem darauffolgenden bundesweiten Rollout nach Umsetzung der Maßnahmen etwas entgegen. Die ePA für alle kann sicher von Praxen, Krankenhäusern, Apotheken sowie Patientinnen und Patienten genutzt werden.

Frage:

Sind die von der gematik GmbH am 27. Dezember 2024 vorgeschlagenen Maßnahmen (vgl. www.gematik.de/newsroom/news-detail/aktuelles-stellungnahme-zum-ccc-vortrag-zur-epa-fuer-alle) aus Sicht des Bundesamt für Sicherheit in der Informationstechnik geeignet, um ein der Sensibilität von Gesundheitsdaten angemessenes Sicherheitsniveau beim Betrieb der elektronischen Patientenakte 3.0 zu erreichen, also eine Ausnutzung der in einem Vortrag auf dem 38C3 (38. Chaos Communication Congress ) in Hamburg am 27. Dezember 2024 beschriebenen Sicherheitslücken, die sämtlich in der Praxis mit z. T. sehr geringem Aufwand von Sicherheitsforschenden ausgenutzt werden konnten, künftig zu verhindern, und welche konkreten Forderungen stellte ggf. die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit seit August
2024 bis 30. Dezember 2024 im Zusammenhang mit der Sicherheit der elektronischen Patientenakte 3.0 bezogen auf den Zeitpunkt ihrer Einführung an die Bundesregierung oder an die von ihr als Mehrheitsgesellschafterin kontrollierte gematik, nachdem die gematik und damit auch die Bundesregierung als ihre Mehrheitsgesellschafterin über diverse Sicherheitsrisiken informiert worden war?

Antwort:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) war und ist eng in die Abstimmung mit der gematik eingebunden. Die von der gematik vorgeschlagenen Maßnahmen werden vom BSI als geeignet angesehen.

Von September bis Dezember 2024 fanden mehrere Termine zwischen der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem BSI und der gematik zur Bewertung des Risikos im Zusammenhang mit der dargestellten Schwachstelle statt. Hier wurde vornehmlich die Wirksamkeit der bereits getroffenen Maßnahmen sowie die Eintrittswahrscheinlichkeit besprochen. Zusätzlich war die BfDI dauerhaft in die regelmäßige Abstimmung zum Sicherheitskonzept mit gematik und BSI eingebunden.

Antworten der Bundesregierung im Original (geschwärzt):

2025-01-13_BMG-12_446-12_448-449-1_geschwaerzt-1Herunterladen
2025-01-13_AW-BMG-SF-12_447_geschwaerzt-1Herunterladen
/von

Meine Schriftliche Frage zur Regulierung von KI im Militär

, , , , , , , ,

Meine Frage:

„Wie positioniert sich die Bundesregierung zu der Forderung, für den von der KI-Verordnung der EU (KI: Künstliche Intelligenz) wegen nationaler Zuständigkeit ausgenommenen, aber dennoch hochsensiblen Militärbereich den Einsatz von KI mit eigenen Vorschriften und Richtlinien zu regeln (bitte eventuelle Pläne inklusive Zeitrahmen näher beschreiben oder begründen, falls die amtierende Bundesregierung keine Notwendigkeit für derartige Regeln sieht), und in welcher Weise könnte und sollte eine parlamentarische und öffentliche Kontrolle ermöglicht werden hinsichtlich der Anwendung sowie der Evaluation der Wirksamkeit dieser Regeln und allgemein hinsichtlich des Einsatzes von Künstlicher Intelligenz im Geschäftsbereich des Bundesministeriums für Verteidigung?“

Antwort der Bundesregierung vom 06.12.24:

„Die Bundesregierung bekennt sich zur verantwortungsvollen Nutzung von Künstlicher Intelligenz (KI) im militärischen Bereich und setzt sich auf internationaler Ebene aktiv dafür ein, entsprechende Normen zu setzen und zu implementieren. Im Geschäftsbereich des Bundesministeriums der Verteidigung (GB BMVg) ist die Nutzung von KI seit 2019 konzeptionell geregelt und mit Vorschriften hinterlegt. Diese werden regelmäßig aktualisiert und fortgeschrieben. Eine Kontrolle der Exekutive und der von ihr in Kraft gesetzten Vorschriften sowie der von ihr vorgenommenen Handlungen findet durch Parlament und Öffentlichkeit entlang der dafür verfassungsrechtlich vorgesehenen Möglichkeiten statt. Mit dem vom BMVg jährlich veröffentlichten „Bericht zur Digitalen Transformation des Geschäftsbereichs des Bundesministeriums der Verteidigung“ werden der Deutsche Bundestag und die Öffentlichkeit sowohl über den Stand der Digitalen Transformation des GB BMVg im Allgemeinen als auch über konkrete Schwerpunktthemen und innovative Digitalisierungsaktivitäten, wozu auch KI zählt , informiert.“

Antwortschreiben im Original (geschwärzt):

241206_Aw_SF-Reulierungsbed-KI-im-Militaer_GeschwaerztHerunterladen
/von

Meine Schriftliche Frage zur Pflege des Waffenregisters

, , , , ,

Meine Frage:

„Wie wird erfasst beziehungsweise überprüft, ob im Nationalen Waffenregister als waffenbesitzend erfasste Personen verstorben sind und die Vorgaben des Waffengesetzes im Falle der Erbschaft (siehe www.bva.bund.de/SharedDocs/Downloads/DE/Buerger/Ausweis-Dokumente- Recht/Waffenrecht/Einzelerlaubnisse/merkblatt_erbwaffen.pdf) eingehalten werden (bitte auch zuständige Organisationseinheit(en) angeben), insbesondere dann, wenn durch die Erben kein waffenrechtliches Bedürfnis geltend gemacht werden konnte, und die geerbten Schusswaffen durch ein dem Stand der Technik entsprechendes Blockiersystem durch speziell eingewiesene Inhaber einer Waffenherstellungs- oder einer Waffenhandelserlaubnis oder durch entsprechend bevollmächtigte Mitarbeiter zu sichern sind und die erlaubnispflichtige Munition binnen angemessener Frist unbrauchbar zu machen oder einem Berechtigten zu überlassen ist (§ 20 Abs. 3 Satz 2 des Waffengesetzes – WaffG), und welche Kenntnis hat die Bundesregierung zu möglichen Größenordnungen verstorbener waffenbesitzender Personen beispielsweise durch Kenntnis von Stichprobenabfragen im Rahmen des National- Once-Only-Technical-Systems (NOOTs) und der Steuer-ID?“

Antwort der Bundesregierung vom 06.12.24:

„Der Vollzug des Waffengesetzes (WaffG) ist Ländersache. Die Meldebehörde übermittelt den Tod eines Erlaubnisinhabers nach § 44 Abs. 2 WaffG an die zuständige Waffenbehörde oder die Waffenbehörde erhält selbst Kenntnis vom Versterben der Person. Die Waffenbehörde speichert das Sterbedatum nach § 6 Abs. 1 Nr. 2 lit. i des Waffenregistergesetzes im Nationalen Waffenregister. Die Einhaltung des § 20
WaffG (Erwerb und Besitz von Schusswaffen durch Erwerber infolge eines Erbfalls) wird durch die Waffenbehörden gesichert. Die Bundesregierung hat keine Kenntnis zur Anzahl verstorbener waffenbesitzender
Personen im Nationalen Waffenregister. Diese Zahl ist weder Bestandteil der Monatsstatistiken des Nationalen Waffenregisters, noch wurde diese Zahl im Rahmen des Pilotprojektes zur Registermodernisierung im Nationalen Waffenregister erhoben.“

Antwortschreiben im Original (geschwärzt):

241206_Aw_SF_Waffenregister-Verstorbene_GeschwaerztHerunterladen
/von