Pressemitteilung: Kleine Anfrage offenbart Souveränitätsrisiken bei Clouds im Bund

, , , , , , , , , , ,

Zusammenfassung:

  • Bund verdoppelt Ausgaben für Cloud von 2021 bis 2024 auf 286 Mio €
  • Der Open Source Anteil der Clouds ist mit 2 Prozent extrem niedrig, bei Cloud-Entwicklungskosten beträgt er 5,8 Prozent, beim Cloud-Betrieb nur 0,1 Prozent. Sicherheitsbehörden überraschen als Open Source Vorreiter.
  • Die Netze des Bundes sind nicht Cloud-fähig, ihr Ersatz erfolgt unzureichend koordiniert
  • Sicherheitsrisiko: 32 Cloud-Dienste von Hyperscalern genutzt – nur ein einziger mit Ende zu Ende Verschlüsselung
  • Cloud Service Portal der Deutschen Verwaltungscloud: 40 Dienstleistungen von 11 Cloud Anbietern verfügbar – das ITZ Bund ist wegen rechtlicher Hürden nicht beteiligt
  • Das notwendige Lagebild „Digitale Souveränität“ erfordert bessere Datenlage
  • Bundesregierung korrigiert eigene Position: Nur veröffentlichter Code ist Open Source

Pressemitteilung

In einem Koaltions-Verhandlungspapier der AG Digital kommt das Thema Digitale Souveränität auch im Zusammenhang mit der Nutzung von Clouds für die Verwaltung vor, ohne dass Kriterien für die erwähnten „souveränen Standards“ beschrieben werden. Wie groß die Herausforderung beim Gang der Bundesverwaltung in die Cloud gerade mit Blick auf die Digitale Souveränität ist, deckt eine aktuelle Kleine Anfrage der LINKEN im Bundestag auf. Dazu erklärt die Digitalexpertin der LINKEN, Anke Domscheit-Berg:

„In wenigen Jahren haben sich die Ausgaben des Bundes für Clouds auf 286 Mio € in 2024 verdoppelt. Neben dem ITZ Bund und dem Auswärtigen Amt fällt vor allem das BMI mit hohen Ausgaben für Cloud Dienste auf, die durch das BKA und die sogenannte „Hackerbehörde“ ZITIS genutzt werden. Für 2024 und 2025 stehen allein für ZITIS 28 Mio € Haushaltsmittel zur Verfügung. Ausgaben für Nachrichtendienste fehlen aus Geheimschutzgründen, für das Militär gibt es ohne Begründung keine Angaben. Insgesamt sind die Daten unvollständig und damit ungenügend für das dringend notwendige Lagebild Digitale Souveränität. Die neue Koalition kündigt eine wirkungsorientierte Politik an und will eine bessere Datenverfügbarkeit – damit kann sie im Bund selbst anfangen, weil mit mangelnder Datenqualität und Intransparenz keine wirkungsorientierte Politik möglich sein wird.

Auch ohne Lagebild ist offensichtlich: das digitale Souveränitätsdefizit des Bundes ist enorm, auch im Bereich Cloud. Auf Open Source entfallen nur zwei Prozent der Cloud-Ausgaben, davon der Löwenanteil im Bereich Cloud Anwendungsentwicklung. Bei den Betriebsausgaben für Cloud beträgt der Anteil proprietärer Software sogar 99,9 Prozent. Bei der Entwicklung von Open Source für die Cloud sind die Sicherheitsbehörden ZITIS und BKA Vorreiter und belegen damit, dass Open Source Software zu mehr Sicherheit beitragen kann und der Ansatz „Security by Obscurity“ Unfug ist. Beim Cloud Stack ist ZITIS leider die einzige Behörde, die Open Source entwickeln ließ, bei Cloud Anwendungen entfallen auf ZITIS und BKA über 80 Prozent der Ausgaben für OSS-Entwicklungen. Laut ihrer Antwort hofft die amtierende Bundesregierung, dass eine „soll“ Vorschrift im eGovernment Gesetz zu mehr Open Source Beschaffung führen wird. Dieser Glaube ist naiv. Wer Wirkungsorientierung möchte, braucht klare und messbare Ziele, wie ein 50% Open Source Anteil bis 2029, den die SPD in Koalitionsverhandlungen fordert.

Erschreckend ist der Umstand, dass die hoffnungslos veralteten und unsicheren Netze des Bundes für die Deutsche Verwaltungscloud nicht nutzbar sind, aber auch bei der Architekturplanung für den Ersatz durch das neue Netz, den „Informationsverbund der Verwaltung“, die Kompatibilität mit dem geplanten Peering-Netzwerk der Deutschen Verwaltungscloud nicht mitgeplant wurde und jetzt erst überprüft wird. Wie ein so schwerwiegender, strategischer Fehler passieren konnte, diese beiden wichtigen Architekturvorhaben nicht zusammen zu denken, den Ersatz der Netze des Bundes und den Gang des Bundes in die Cloud, ist mir ein absolutes Rätsel. Außerdem fehlen aktuelle Leitlinien für Entscheidungen zur Nutzung von Cloud-Diensten, die es braucht für die Einhaltung hoher Sicherheitsstandards und zur Vermeidung teurer und riskanter Fehlentscheidungen. Solche Governancedefizite gefährden die Digitalisierung des Bundes.

Immerhin ist inzwischen das Cloud Service Portal der Deutschen Verwaltungscloud verfügbar und hat 40 Dienstleistungen von 11 Dienstleistern im Angebot. Eine sinnvolle Priorisierung der verfügbaren Dienstleistungen fehlt offenbar, drei dieser 40 Dienstleistungen haben irgendwie mit Hunden zu tun. Kritische Dienstleistungen befinden sich dagegen noch in Prüfung, mit unklarem Zeithorizont und unklarem Ausgang. Dazu gehören u.a. die OZG Cloud, der Bundesmessenger und der Open Source Arbeitsplatz OpenDesk, der bisher wenigstens schon über private und wirklich souveräne Anbieter (STACKIT GmbH und IONOS SE) in der Cloud verfügbar ist. Gänzlich fehlen aber Angebote des ITZ-Bund, das aus rechtlichen Gründen seine Dienstleistungen nicht einmal in der Deutschen Verwaltungscloud anbieten kann, diese Hürde muss die neue Bundesregierung schnellstmöglich beseitigen!

Noch nutzt der Bund überwiegend tatsächlich souveräne Clouds, aber ein für Hyperscaler offener Multi-Cloud Ansatz und das Festhalten an der auf Microsoft Azure basierenden DELOS-Cloud, lassen eine Verschiebung befürchten. Mindestens 32 Cloud Dienste der Hyperscaler Google, Amazon, Microsoft und Oracle werden jetzt schon vom Bund genutzt, aber nur bei einem einzigen (AWS-Software VAULT Storage) genutzt von der Bundespolizei, stellt eine Ende zu Ende Verschlüsselung sicher, dass eine Entschlüsselung von Meta- und Nutzerdaten ausschließlich auf den Endgeräten der Nutzenden möglich ist. Bei jeglichen sensiblen Daten darf der Bund derartige Dienste nicht nutzen, da man sich jetzt noch weniger auf die Vertrauenswürdigkeit von US-Hyperscalern verlassen kann, seit Präsident Trump Europa mit diversen Drohungen unter Druck setzt. Wenn wir nicht erpressbar sein wollen, muss die neue Bundesregierung die Digitale Souveränität mit höchster Priorität behandeln, ein Kanzler Merz muss sie zur Chefsache machen. So kann er mehr zur Sicherheit unseres Landes beitragen, als mit fragwürdigen Sicherheitspaketen.“

Anhang:

Kontakt:

Anke Domscheit-Berg: Anke+presse@domscheit-berg.de

/von

Pressemitteilung: Schwarz-Rot muss Bremse der Ampel bei Digitaler Souveränität lösen

, , , , , , , , , , ,

Zur Antwort der Bundesregierung auf eine Kleine Anfrage der Linken und zum öffentlich gewordenen Verhandlungsstand der Schwarz-Roten Koalition zur Digitalen Souveränität Deutschlands erklärt Anke Domscheit-Berg, bisherige digitalpolitische Sprecherin der Linksfraktion im Bundestag:

„Die Antworten der Bundesregierung auf meine Kleine Anfrage offenbaren, dass die Ampel ihr Ziel, die Digitale Souveränität zu stärken und vor allem bei Open Source große Fortschritte zu erzielen, weit verfehlte: gerade einmal jede 5. beauftragte Software-Entwicklung war tatsächlich Open Source, veröffentlicht wurden sogar nur 7,6 Prozent von 968 Fällen Software-Entwicklung. Die neue Bundesregierung könnte schnell bei der immer dringender werdenden Digitalen Souveränität Erfolge erreichen, wenn sie genau dort weitermacht, wo die scheidende Bundesregierung bei der konsequenten Umsetzung guter Ideen scheiterte. Das ZenDiS hat ein immenses Potenzial, ein Arbeitsmuskel und Katalysator für den Ausstieg aus der extremen Abhängigkeit von proprietärer Software großer US-Konzerne zu werden. Deren Erpressbarkeit und Willfährigkeit unter einer ganz und gar unberechenbaren Trump-Administration ist neben den bereits unvertretbar hohen Risiken zu einem weiteren Risiko unserer Abhängigkeit geworden.

Die Zeitenwende ist unbestritten, aber sie nur auf militärische Eigenständigkeit und Kompetenzen zu beziehen, wäre kurzsichtig. In einem Sofortprogramm der neuen Bundesregierung müssen daher massiv die Strukturen für die Förderung guter und sicherer Open Source Software ausgebaut werden: Das ZenDiS und die Souvereign Tech Agency müssen daher langfristig und verlässlich finanziert werden, mit Zusagen im Koalitionsvertrag, die offenbar aktuell strittig sind. Nur mit „Unterstützung der Community“, wie es die Union formulieren möchte, lässt sich dieses kritische Ziel nicht erreichen.

Die angezogene Handbremse muss endlich gelöst werden, dazu braucht auch das BSI Ressourcen für eine enge Zusammenarbeit mit ZenDiS, interessierte Bundesländer müssen sich schneller daran beteiligen können, ein Index für die Digitale Souveränität muss unseren Status Quo berechenbar machen und zur Grundlage für eine Exit-Strategie mit klaren und messbaren Zielen werden. Der Vorschlag der SPD-Verhandlungsgruppe von 50 Prozent Open Source Anteil bis 2029 ist gut und sollte übernommen werden, jedoch mit einer Präzisierung, worauf sich die 50 Prozent beziehen , denn es macht einen Riesenunterschied, ob man von Nutzerzahlen, Software-Lizenzen, beauftragten Software-Entwicklungen oder noch anderen Interpretationen redet.

Vergabeprozesse müssen konkrete Exit-Strategien besser in der Praxis unterstützen. Allerdings reichen dafür keine Beschlüsse, deren Umsetzung nicht gemessen wird und die niemanden interessieren, diese Lektion haben wir längst gelernt, und diesen Fehler darf die neue Koalition nicht wiederholen. Ich begrüße daher, dass in den Entwurfsdokumenten von wirkungsorientierter Politik die Rede ist.

Digitale Souveränität zu erreichen, ist ein dickes Brett, aber für die Zukunft Europas ist sie essentiell. Erreichen können wir sie nur, wenn dieses Thema auch im Kanzleramt eine Top-Priorität wird und Deutschland innerhalb Europas seine großen Potenziale für eine Führungsrolle in diesem Bereich auch umsetzt. Allein mit einem europaweiten Roll-Out von OpenDesk als sicheren Open Source Arbeitsplatz könnten wir einen Riesensprung nach vorne schaffen und deutsche Bundesbehörden könnten tatsächlich einmal digitale Vorreiter sein. Meine Kleine Anfrage offenbart leider, dass der Roll-Out von OpenDesk ins Stocken geraten ist. Merz könnte nun beweisen, dass er ein Machertyp ist, und in der Lage, dieses einzigartige Vorbildprojekt in seiner Amtszeit zum Erfolg zu führen. Damit könnte er Geschichte schreiben, aber ohne ein starkes ZenDiS ist das nicht zu schaffen.“

Das ZenDiS ist Infrastruktur und braucht nachhaltige Finanzierung

„Die Reste-Ampel ignorierte einfach den Beschluss des Haushaltsausschusses, die 34 Millionen Euro Mittel für das ZenDiS aus 2023 endlich vollständig und zeitnah auf das ZenDiS zu übertragen und redet sich mit Auftragsfinanzierung raus. Aber das ZenDiS ist noch in der Auf- und Ausbauphase, da reichen einzelne und zeitlich stark begrenzte, kaum planbare Produktfinanzierungen nicht aus. Immerhin hat der Bund als bisher 100 prozentige Eigentümerin der ZenDiS viele und wichtige Hausaufgaben in den Daseins-Zweck geschrieben, von digitaler Souveränität bei Themen von KI bis Cloud, aber die Finanzierung des ZenDiS dafür bleibt völlig unklar. Das ZenDiS kann enorm viel erreichen und das ist die vielleicht größte Leistung der Ampel-Regierung, aber aus Potenzialen wird nur dann Realität, wenn man mit guten Leuten ein gutes Netzwerk aufbauen und eine gute Plattform betreiben kann, auf der gute und sichere Open Source Lösungen entwickelt, gefunden und gepflegt werden und alles das das ist ohne ausreichend und langfristig verlässliche Ressourcen nicht machbar. Die Schwarz-Rote Koalition kann schnell handeln und die 34 Millionen Haushalts-Restmittel noch vor dem Sommer an das ZenDiS überschreiben und es so handlungsfähiger machen.“

Informationsfreiheitsgesetz und Transparenz bei Digitaler Souveränität

„Ich erwarte, dass Schwarz-Rot mit parlamentarischen Anfragen besser umgeht, als die bisherige Regierung, die mir die Antwort auf die Frage, wie viele Arbeitsplätze mit Arbeitsplatzsoftware es gibt und wie hoch die dafür anfallenden Gesamtausgaben sind, nicht öffentlich beantworten wollte, weil diese Informationen das „Staatswohl“ gefährden sollen. Dafür fehlt mir jedes Verständnis, denn ich habe nicht nach den Arbeitsplätzen des Verfassungsschutzes gefragt, sondern nach der Gesamtzahl im Bund. Ehrlichkeit und Transparenz sind beim Aufbau Digitaler Souveränität unverzichtbar, genauso wie für eine effektive parlamentarische Kontrolle und eine sinnvolle öffentliche Debatte, denn über eingestufte Informationen darf ich nicht reden und sie nicht Medien zur Kommentierung zur Verfügung stellen. Das Volumen der Microsoft-Rahmenverträge des Bundes ist längst öffentlich bekannt, vom Bund beauftragte Studien zur Abhängigkeit des Bundes von einzelnen Anbietern waren auch umfangreich öffentlich. Auch für ein Lagebild „Digitale Souveränität“ braucht man diese Zahlen und spätestens dann sollte die Bundesregierung verstanden haben, dass diese Art Transparenz dem Staatswohl dient. Der Wunsch der Union, das Informationsfreiheitsgesetz abzuschaffen, spricht jedoch für noch mehr Intransparenz und schadet der Demokratie erheblich. Auf keinen Fall darf die SPD hier nachgeben.“

Anlagen:

Antwort auf meine Kleine Anfrage vom 19.03.2025 (korrigierte Fassung mit teilweise Freigabe bisher eingestufter Antworten)Herunterladen
Antwort auf meine Kleine Anfrage vom 19.03.2025 (Anlage 3a zu Frage 11)Herunterladen
Antwort auf meine Kleine Anfrage vom 19.03.2025 (Anlage 3b zu Frage 12)Herunterladen
Meine Anlayse der Antwort der Bundesregierung vom 19.03.2025Herunterladen

Verhandlungsstand von Schwarz-Rot zu Digitalisierung vom 26.03.2025 (fragdenstaat)

Kontakt:

Anke+presse@domscheit-berg.de

/von

Meine Schriftliche Frage zur Wahl-Software von Votegroup

, , , , , , , , ,

Meine Frage:

„Welche Maßnahmen zur Erhöhung der Sicherheit und Integrität des Prozesses zur
Erfassung und Weiterleitung von Wahlergebnissen unternahm die Bundesregierung,
seitdem erstmals 2017 vom Chaos Computer Club und zuletzt im Dezember 2024
von CCC-Mitgliedern beim 38. Chaos Communication Congress Sicherheitsmängel
der für das Schnellmelden von Wahlergebnissen verwendeten Software „Elect“ öf-
fentlich gemacht wurden (www.golem.de/news/bundestagswahlen-wahlsoftwareim-
mer- noch-unsicher-2412-192004.html) und warum setzt die Bundesregierung nicht
auf eine Open Source Lösung, die idealerweise auf der OpenCode Plattform des
Zentrums für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) veröffent-
licht ist, also einen sicheren Ursprung hat, um gerade bei einem der wichtigsten de-
mokratischen Prozesse eine unabhängige Prüfung und maximale Transparenz zu
gewährleisten, wie sie dem Prinzip der „Öffentlichkeit der Wahl“ angemessen wäre?“

Antwort der Bundesregierung vom 19.02.2025:

„Die Gesamtverantwortung für die ordnungsgemäße Durchführung der Bundestags-
wahl liegt bei der Bundeswahlleiterin. Bei der Wahrnehmung ihrer Aufgaben ist sie
als Wahlorgan unabhängig und nicht an Weisungen gebunden. Zwischen dem Bun-
desamt für Sicherheit in der Informationstechnik (BSI) und Bundeswahlleiterin finden
(wie auch bei vorangegangenen Wahlen, z. B. der Europawahl 2024) regelmäßig Ab-
stimmungen statt. Dabei prüft das BSI in Zusammenarbeit mit der Bundeswahlleiterin
den Kernwahlprozess der Bundestagswahl auf mögliche Schwachstellen. Der Kern-
wahlprozess selbst, das sogenannten Wahlabwicklungssystems, ist nicht über das
Internet erreichbar. Für alle anderen notwendigen Informationen und Verfahren im
Zusammenhang mit der Bundestagswahl, die auf Bundesebene über das Internet er-
reichbar sein müssen, hat das BSI bereits Webchecks durchgeführt.
Darüber hinaus hat das BSI einen Prozess entwickelt, der eine Zusammenarbeit für
den Fall von IT-Sicherheitsvorfällen zwischen den Computer Emergency Response
Teams (CERTs) von Bund und Ländern sicherstellt. Für die Wahlbehörden in den
Ländern wurde ein Webinar-Programm im Dezember 2024 / Januar 2025 durchge-
führt. Hierbei wurde der Schwerpunkt auf die Informationen zu den Meldewegen
selbst, die Umsetzung des BSI IT-Grundschutzprofil Schnellmeldung in den Ländern
mit den entsprechenden Meldewegen, sowie der Sensibilisierung der Zielgruppe ge-
legt.

Die auf Bundesebene für die Bundestagswahl eingesetzte Software wurde vom ex-
ternen Dienstleister „Votegroup GmbH“ für die Bundeswahlleiterin entwickelt. Die
Bundeswahlleiterin geht sensibel mit den ihr vorliegenden Informationen um. Die
Herausgabe sicherheitsrelevanter Informationen und Hintergründe muss daher je-
weils einzelfallbasiert entschieden werden. Als besonders schützenswert eingestufte
Informationen werden grundsätzlich nicht herausgegeben. Die Bundeswahlleiterin
wird auch zukünftig faktenbasiert prüfen, wie angesichts der hohen, auch sicher-
heitskritischen Relevanz mit dem Quellcode der auf Bundesebene eingesetzten Soft-
ware für bundesweite Wahlen umzugehen ist. Die Sitzverteilungsberechnung lässt
sich im Internetangebot der Bundeswahlleiterin nachvollziehen. Die Sitzberechnung
der Bundestagswahl 2025 wird nach Vorliegen des vorläufigen und endgültigen Er-
gebnisses zur Nachvollziehung der Berechnung veröffentlicht, siehe hier vergleichs-
weise die Berechnung zur BTW2021: https://www.bundeswahlleite-
rin.de/dam/jcr/bf33c285-ee92-455a-a9c3-8d4e3a1ee4b4/btw21_sitzberechnung.pdf.“

Antwortschreiben im Original (geschwärzt):

250219_Aw_SF_Wahlsoftware_GeschwärztHerunterladen
/von

BUNDESREGIERUNG TÄUSCHT PARLAMENT ÜBER LÖSCHUNG PÄDOKRIMINELLER INHALTE

, , , , , , ,

Pressemitteilung

Nachdem durch eine Panorama Recherche am 6.2.2025 öffentlich wurde, dass deutsche Ermittler weiterhin darauf verzichten, Fotos und Videos von Kindesmissbrauch systematisch zu löschen, selbst wenn das technisch möglich ist, und außerdem ein Bericht der Innenministerkonferenz, der diese Tatsache bestätigt, mit der Einstufung „geheim“ der Öffentlichkeit und dem Parlament vorenthalten wurde, erklärt die digitalpolitische Sprecherin der Linken im Bundestag, Anke Domscheit-Berg:

„Ich bin entsetzt, denn immer wieder wurde uns von Seiten BMI versichert, dass die Bekämpfung sexualisierter Gewalt an Kindern einschließlich der Darstellungen davon im Internet eine sehr hohe Priorität hätte. Deshalb befürwortete Nancy Faeser sogar lange die sogenannte Chatkontrolle in der EU, ein gefährliches und nicht einmal hilfreiches Vorhaben, bei dem solche Bilddarstellungen über das Scannen sämtlicher Smartphones mit Hilfe von Sicherheitslücken und Künstlicher Intelligenz geplant war. In der Anhörung kritisierten Sachverständige, dass dieses Vorgehen verfassungswidrig sei, ohne das erwartete Ziel zu erreichen. Wir hörten auch von einem zuständigen Staatsanwalt, dass es so wenig verfügbares Personal gäbe, dass bis zur Sichtung von Beweisen öfter mehrere Jahre vergehen. Wie kann das sein, wenn das Thema Priorität hat? Die NDR-Recherche zeigt, dass man mit überschaubarem Personal die Verfügbarkeit pädokrimineller Inhalte drastisch reduzieren kann, dass Foren geschlossen werden und manche User und Admins sogar aufgeben. Mit dieser Methode ist das Aufwand-Nutzen-Verhältnis offensichtlich sehr positiv, bei keinerlei Kollateralschäden, wie es sie bei einer rechtswidrigen Massenüberwachung gegeben hätte. Es gibt keinen Grund, warum man das nicht sofort mit ausreichend Ressourcen angeht. Es ist falsch, ausschließlich auf die Ergreifung von Tätern zu fokussieren, statt auch auf die Löschung dieser schrecklichen Inhalte, denn das ist ein wichtiger und effektiver Baustein in der Bekämpfung dieser Straftaten.“

„Im Digitalausschuss und über Kleine Anfragen habe ich immer wieder versucht, Informationen zum Löschen pädokrimineller Inhalte durch das BKA zu erhalten. Erst hieß es, dafür gäbe es keine Rechtsgrundlage. Als ich im Mai 2022 Nancy Faeser im Digitalausschuss damit konfrontierte und auf das Gutachten des Wissenschaftlichen Dienstes hinwies, wonach es keine Rechtsgrundlage bräuchte, um Hoster auf strafbare Inhalte hinzuweisen, versprach sie sich darum zu kümmern und erklärte später öffentlich, dass das BKA nun auch löschen würde. Wenn das in der Praxis in so vielen Fällen gar nicht passiert, fühle ich mich als Abgeordnete belogen. Am schlimmsten ist das aber für die Opfer, die immer und immer wieder in ihrer Würde verletzt werden, wenn Bilder ihres Missbrauchs im Internet zu finden sind. Einen Bericht darüber auch noch zur Geheimsache zu erklären und damit zu verhindern, dass man öffentlich davon erfährt, das ist nun wirklich das Allerletzte! “

„Nach einer derartigen und jahrelangen Täuschung des Parlaments und der Öffentlichkeit müsste eine Ministerin, die sich immer groß die Sicherheit von Kindern auf die Fahnen geschrieben hat, eigentlich zurücktreten. Das Mindeste wäre Aufklärung, also eine Veröffentlichung des „Geheimreports“ und eine nachvollziehbare Erklärung, warum man die Löschung so vernachlässigt hat und eine Entschuldigung bei den Opfern sowie eine schnellstmögliche Lösung des Problems. Ich will nie wieder Vorschläge zur digitaler Massenüberwachung mit Verweis auf den Schutz von Kindern von einer Regierung lesen, so lange nicht einmal die einfachsten Hausaufgaben erledigt werden, um diese Gewalttaten zu bekämpfen. Wenn dazu irgendeine Rechtsgrundlage oder Personal fehlen sollte, dann muss man das halt ändern. Wir haben es ja schließlich nicht mit einem unveränderlichen Naturgesetz zu tun, sondern mit Gesetzen, die man als Gesetzgeber auch beeinflussen kann. Und wenn die Bekämpfung dieser Straftaten, zu denen auch die im Internet veröffentlichten Bilder gehören, wirklich die notwendige Priorität hat, sollte niemand die notwendigen Haushaltsmittel für ein Spezialteam verweigern, das die gleichen Aufgaben dauerhaft erledigt, die das NDR Recherche Team dankenswerterweise übernommen hatte. Das ist schließlich eine staatliche Aufgabe und keine von Journalist:innen. Es kann ja nicht sein, dass wir 100 Milliarden für das Militär und 2,5 Milliarden für Künstliche Intelligenz im Bund locker machen können, aber für das Löschen von pädokriminellen Inhalten lässt sich keine Handvoll Stellen finanzieren. Das muss einfach gehen und da muss der Bund mit den Ländern gemeinsam eine Lösung finden.“


Weiterführende Informationen:

/von

NIS-2 UMSETZUNG IN DEN SAND GESETZT – KOMMUNEN IM STICH GELASSEN

, , , , , , ,

Die vor inzwischen 2 Jahren in Kraft getretene NIS-2-Richtline der EU, die wichtige Standards für mehr IT-Sicherheit bringt, hätte bis zum Oktober 2024 in nationales Recht umgesetzt werden müssen. Dass die Bundesregierung ausgerechnet bei diesem sicherheitskritischen Thema bummelt und bereits ein Vertragsverletzungsverfahren gegen Deutschland eröffnet werden musste, ist verantwortungslos und auch nicht mit dem Ampel-Aus im November zu erklären. Aber das ist nur die Spitze des Eisbergs: Der Entwurf der Bundesregierung wird außerdem der gestiegenen Gefährdungslage nicht gerecht, sondern hangelt sich kläglich nur an den absoluten Minimalanforderungen der EU entlang: So soll es zwar einen Bundes-CISO geben, aber er soll von vorneherein als zahnloser Tiger angelegt werden, ohne angemessene Ressourcen und ohne Vetorecht – mehr Sicherheit wird diese Rolle so kaum schaffen können.

Auch die von NIS-2 geforderte Entkriminalisierung der IT-Sicherheitsforschung konnte die Bundesregierung trotz Koalitionsversprechen nicht auf den Weg bringen, und so bleiben vermutlich aufgedeckte Sicherheitslücken trotzdem unbekannt und können nicht geschlossen werden, weil Sicherheitsforschende weiterhin mit einem Bein im Knast stehen.

Kommunen im Gesetzentwurf zur NIS-2 Umsetzung ausgeschlossen

Besonders irritierend ist aber der Ausschluss der Kommunen in der geplanten Umsetzung, obwohl gerade Kommunen vielfach von Cyberattacken betroffen sind und ohne Frage zur kritischen Infrastruktur zählen. Wenn die kommunale Ebene wegen einer Cyberattacke lahm gelegt ist, geht vor Ort nichts mehr. Deshalb wurde im Landkreis Anhalt-Bitterfeld nach einer Ransomware Attacke sogar der Katastrophenfall ausgerufen. Wenn Geburten nicht mehr gemeldet, Sozialleistungen nicht mehr abgerufen, Kitaplätze nicht mehr verwaltet und Gehälter nicht mehr gezahlt werden können, ist das ein Riesenproblem.
Das habe ich deshalb auch in meiner Rede zur NIS-2 Umsetzung am 11.10.24 im Bundestag kritisiert. Kritik kam auch von der AG KRITIS und der VITAKO, dem Verband der kommunalen IT-Dienstleister.

BMI: „Kommunen? Das erlaubt EU-Recht gar nicht“

Ich habe schon viele schräge Begründungen für schlechte Gesetze gehört, aber vom BMI gab es für den Ausschluss der Kommunen einen echten Tiefpunkt: Andreas Reisen, Referatsleiter CI 3 „Cybersicherheit für Wirtschaft und Gesellschaft“ beim BMI entgegnete auf mein Plädoyer für den Einbezug der Kommunen bei der NIS-2 Umsetzung in Deutschland auf dem VOICE Entscheiderforum im November 2024, dass die NIS-2-Richtlinie der EU die Beteiligung von Kommunen gar nicht erlaube. Weil ich das reichlich seltsam fand, habe ich den Wissenschaftlichen Dienst des Bundestags beauftragt, diese Aussage wissenschaftlich zu prüfen.

Gutachten Wiss. Dienst: „Kommunen? Gar kein Problem mit EU-Recht!“

Der Sachstand des Wissenschaftlichen Dienstes des Bundestages ist eindeutig: Kommunen können explizit einbezogen werden, das ist Sache der Umsetzung in den Mitgliedsstaaten und nichts in der NIS-2-Richtline spricht dagegen, dies zu tun! Im Gutachten wird sogar hin- und her interpretiert, ob sich ggf. eine Verpflichtung ergeben könnte, die Kommunen unbedingt einzubeziehen, aber da gäbe es Spielräume und eine Pflicht sei unwahrscheinlich.

Dass die Bundesregierung NIS-2 und damit die Sicherheit kritischer Infrastrukturen vernachlässigt, ist das eine, das aber auch noch mit angeblichen EU-Hürden zu begründen und sich auf diese Weise herauszureden, ist wirklich dreist!

Weiterführende Links:

Pressemitteilung der EU-Kommission zu den Vertragsverletzungsverfahren vom 28.11.2024

https://germany.representation.ec.europa.eu/news/cybersicherheit-und-resilienz-kritischer-einrichtungen-vertragsverletzungsverfahren-gegen-2024-11-28_de

Entwurf der Bundesergierung zu Umsetzung der NIS-Richtlinie:

https://dserver.bundestag.de/btd/20/131/2013184.pdf

Meine Rede zur NIS-Umsetzungim Bundestag am 11.10.2024:

https://mdb.anke.domscheit-berg.de/2024/10/rede-zum-nis-2/

Stellungnahme der AG KRITIS vom 27.10.2024:

https://ag.kritis.info/wp-content/uploads/2024/10/20241027-Stellungnahme-NIS2UmsuCG-RefE-v02102024-AG-KRITIS-v1.1.pdf

Stellungnahme des VITAKO vom 12.6.2024:

https://vitako.de/wp-content/uploads/2024/06/2024-06-12_VITAKO_Kommunale_IT_gemeinsam_schuetzen_-_Resilienz_und_Cybersicherheit_im_Fokus_final.pdf

VOICE-Entscheider Forum:

https://voice-entscheiderforum.org

Gutachten des Wissenschaftlichen Dienstes zur NIS-Umsetzung für Kommunen vom 22.01.2025:

https://mdb.anke.domscheit-berg.de/wp-content/uploads/250122_WD_Bewertung-NIS2-Kommunen.pdfHerunterladen
/von

MEINE SCHRIFTLICHE FRAGE ZUR MÖGLICHKEIT FÜR BÜRGER:INNEN, BOTNETZTE AN SICHERHEITSBEHÖRDEN ZU MELDEN

, , , , ,

Meine Frage:

Welche Meldewege an staatliche Stellen (also unabhängig von einer Meldung an die Plattform selbst) gibt es für Bürgerinnen und Bürger, denen im Internet (z. B. in sozialen Medien wie X oder Facebook) mutmaßliche Botaccounts mit Links oder Screenshots vergleichbar der mutmaßlich von Russland gesteuerten Doppelgänger-Kampagne (www.auswaertiges-amt.de/resource/blob/2660362/73bcc0184167b438173e554ba2be2636/technischer-bericht-desinformationskampagne-doppelgaenger-data.pdf) auffallen, und in welcher Art und Weise werden diese Meldewege der Bevölkerung bekannt gemacht, um möglichst frühzeitig Desinformationskampagnen z. B. mit dem Ziel der illegitimen Einflussnahme auf die Bundestagswahlen aufdecken und entsprechende Gegenmaßnahmen ergreifen zu können?

Antwort der Bundesregierung vom 27.01.2025:

Das Bundesamt für Verfassungsschutz informiert auf seinen Webseiten über verschiedene Phänomene der staatlichen Einflussnahme. Hinweise können Bürgerinnen
und Bürger per Kontaktformular, E-Mail und telefonisch abgeben. Weitere Hinweise finden Sie hier: https://www.verfassungsschutz.de/SharedDocs/kurzmeldungen/DE/2024/2024-05-29-hinweistelefon.html.


Darüber hinaus finden Sie im Vorfeld der Bundestagswahl 2025 Informationen auf der Schwerpunktseite des Bundesministeriums des Innern und für Heimat:
https://www.bmi.bund.de/SharedDocs/schwerpunkte/DE/desinformation-bei-bt-wahl/desinfo-bei-bt-wahl-artikel.html.

Antwortschreiben im Original (geschwärzt):

250128-AW_SF_Meldestellen-Botnetze_geschwaerztHerunterladen
/von

BUND BAUT IT-SICHERHEITSSTELLEN AB

, , , , , ,

„UPDATE: wenige Stunden nach Veröffentlichung eines dpa Textes zu den nachstehenden Informationen meldete sich das BMI mit Korrekturen zu seinen Zahlen in der Antwort der Bundesregierung auf meine Anfragen in den Jahren 2024 und 2023. Daher ist die nachstehende Analyse nicht mehr zutreffend u muss aktualisiert werden. Ich werde mich zeitnah darum bemühen. Die korrigierten Zahlen des BMI werde ich mitteilen sobald sie mir final vorliegen“

Pressemitteilung

Zum ersten Mal seit sechs Jahren baut der Bund insgesamt IT-Sicherheitsstellen ab, insbesondere beim BMI und dem ihm nachgeordneten Bundesamt für Sicherheit in der Informationstechnik, wo innerhalb von 12 Monaten 344 IT-Sicherheitsstellen (14 Prozent) wegfielen, obwohl sowohl Ministerin Nancy Faeser als auch das BSI die aktuelle Cybersicherheitslage als ‚besorgniserregend‘ bezeichnen. In Zeiten hybrider Kriegsführung, massiver Desinformationskampagnen und ständiger Cyberattacken auf kritische Infrastrukturen ist diese Entwicklung irrational und gefährlich, denn auch der Bund ist eine kritische Infrastruktur und braucht nicht weniger, sondern mehr IT-Sicherheitskompetenzen.

Selbst der erneut starke Zuwachs von 163 IT-Sicherheitsstellen im Geschäftsbereich des BMVg und kleine Zuwächse in übrigen Ministerien konnten den Stellenabbau nicht ausgleichen. Betrachtet man die letzten sechs Jahre seit 2020, wurden immerhin 1.599 Stellen für IT-Sicherheit aufgebaut, aber der Anteil ziviler Stellen verringerte sich dabei, denn schon 2020 war jede vierte IT-Sicherheitsstelle im militärischen Bereich angesiedelt, jetzt ist es sogar jede dritte Stelle. Fast Zweidrittel aller seit 2020 neu entstandenen IT-Sicherheitsstellen sind dem BMVg zuzuordnen. Hybride Bedrohungen sind eine Realität, aber dagegen müssen sich alle Bundesbehörden schützen, nicht nur das BMVg und die Bundeswehr. Die Verteidigung informationstechnischer Systeme und damit der Arbeitsfähigkeit des Bundes und seiner Behörden ist keine militärische Aufgabe, sondern notwendiger ziviler Schutz.

Ich finde die Vorstellung seltsam, bei einem erfolgreichen Cyberangriff auf eine Bundesbehörde wie der deutschen Rentenversicherung, der BaFin oder der Bundesagentur für Arbeit die Bundeswehr um Amtshilfe bitten zu müssen, weil es nicht genug eigene IT-Sicherheitsexpertise gibt, wie das beim Ausruf des Katastrophenfalls nach einer Ransomware-Attacke im Landkreis Anhalt Bitterfeld der Fall war. In den letzten Tagen dieser Legislatur überbieten sich Union und SPD mit Anträgen, die mehr Sicherheit versprechen, aber wirkungslose Symbolpolitik sind und z.T. sowohl gegen EU-Recht als auch gegen das Grundgesetz verstoßen. Was wir dringend brauchen, ist Sachpolitik, die Probleme wirklich löst. Ein Abbau von über 344 IT-Sicherheitsstellen beim zuständigen Bundesministerium löst kein Problem, sondern verschärft es.

Immerhin berichteten 2025 sieben Ministerien einen Anteil unbesetzter Stellen von 0-10 Prozent, was seit Erhebung der Daten ein Positiv-Rekord ist. Das neue BMWSB und das BMZ meldeten sogar 100% besetzter Stellen – allein mit Fachkräftemangel ist also nicht zu erklären, dass das BMG wie in allen Erhebungen seit 2020 erneut Schlusslicht ist, mit mehr 50 Prozent offener IT-Sicherheitsstellen. Dass IT-Sicherheit im Hause Lauterbach keine besondere Priorität genießt, zeigten auch die zahlreichen Sicherheitslücken, die vor der Einführung der ‚ePA für alle‘ aufgedeckt wurden.

Die Digitalbilanz dieser Legislatur zur IT-Sicherheit ist insgesamt verheerend: die Cybersicherheitsagenda nicht ansatzweise umgesetzt, die überfällige NIS2-Richtlinie nicht verabschiedet, die IT-Sicherheitsforschung nicht entkriminalisiert, kein Bundes CISO mit den nötigen Kompetenzen – das sind 3,5 verlorene Jahre für notwendige Fortschritte in der IT-Sicherheit, obwohl wir uns keinen einzigen Tag davon leisten können.

Meine Auswertung der aktuellen Angaben der Bundesregierung:

Zum 1. Mal seit Erhebung der Daten vor 6 Jahren (2020) werden IT-Sicherheitsstellen abgebaut – trotz steigender IT-Sicherheitsrisiken.

  • Das BSI beschreibt die IT-Sicherheitslage als „besorgniserregend“, Nancy Faeser erklärte erst im Nov. ‘24, dass Wirtschaft, Verwaltung und Politik von erpresserischen Ransomware-Angriffen, von Cyberkriminalität, von Cybersabotage und von Cyberspionage bedroht sind
  • gleichzeitig streicht das für IT-Sicherheit zuständige BMI mit nachgeordneter Behörde BSI mehr als jede 7. IT-Sicherheitsstelle – ca 344 Stellen (14%) und setzt damit nicht nur ein völlig falsches Signal!
  • in Zeiten hybrider Kriegsführung, massiver Desinformationskampagnen, ständiger Cyberattacken auch auf kritische Infrastrukturen, stark verzögerter Umsetzung von EU–RL zur Stärkung der Cybersicherheit von KRITIS, ist diese Entwicklung irrational und gefährlich – wir brauchen mehr und nicht weniger IT-Sicherheitskompetenzen!
  • alle anderen Ministerien zusammen legen gemeinsam immerhin um 189 Stellen zu, so dass insgesamt der Abbau „nur“ 155 Stellen (-3% zum Vorjahr) beträgt
  • außer BMI hat nur das BMWK hat auch IT-Sec Stellen abgebaut: um 4% (2,75 Stellen)

Im gesamten zivilen Bereich wurde in den letzten 12 Mon. etwa jede 10. IT-Sec Stelle abgebaut, während es im militärischen Bereich 11% Zuwachs gab.

  • Stärkster Zuwachs erfolgt im militärischen Bereich: +163 Stellen auf 1686 Stellen = 38% aller IT-Sec Stellen sind im BMVg angesiedelt (2024: 33%, 2020: 24% )
    • IT-Sicherheitskompetenzen im militärischen Bereich werden ausgebaut (+163 Stellen/+11%)
    • IT-Sicherheitskompetenzen im zivilen Bereich werden abgebaut (-318 Stellen/-10,4%)
    • gefährliche Verschiebung!

Langzeitbetrachtung: Seit 2020 gab es einen starken Zuwachs von IT-Sec Stellen (+57%), der aber zu 63% (1006 Stellen von 1.599) auf das BMVg entfiel.

  • Der starke Anstieg von IT-Sicherheitsstellen im Bereich des BMVg passt zum Ausbau des Kommando Cyber- und Informationsraums (CIR) der Bundeswehr, das sich auch mit Bedrohungen durch hybride Kriegsführung befasst
  • auf das BMI entfielen nur 22% der neuen Stellen seit 2020 (351 Stellen von 1.599)

Die Anpassung der Ministerien an die gestiegene Bedrohungslage ist weiterhin extrem heterogen.

  • Vorreiter-Ressorts wie das Auswärtige Amt verdreifachten ihre IT Sicherheitsstellen seit 2020, während z.B. BMBF und BMUV auf niedrigem Niveau nur etwa 10% Zuwachs schafften, bei beiden Ministerien ist das nicht mal eine ganze Stelle mehr
  • Auf BMVg + BMI entfällt Löwenanteil der IT-Sec Stellen des Bundes: 3.828 von 4.421 Stellen in 2025 (87% = 3838 Stellen), dito beim Zuwachs seit 2020: 85% = 1357 Stellen

Laternenträger ist erneut das BMG: jede 2. IT-Sicherheitsstelle ist dort unbesetzt, in den letzten 4 Jahren waren es sogar mehr als 75%.

  • Auch wenn das BMG 1,5 neue Stellen schuf und damit in 2025 über knapp 13 IT-Sec Stellen verfügt, ist der weiterhin ungewöhnlich hohe Anteil unbesetzter Stellen beunruhigend u mit Fachkräftemangel nicht zu erklären
  • Dies spricht für ein anhaltend geringes IT-Sicherheitsbewußtsein an der Spitze des Hauses und trägt vermutlich zu den zahlreichen Skandalen um IT-Sicherheitslücken z.B. bei der neuen „ePA für alle“ bei – es fehlt einfach an IT-Sicherheitskompetenz

Insgesamt hat sich der Stand besetzter IT-Sec-Stellen bei den Bundesministerien verbessert.

  • Erstmals gibt es 7 Ressorts, die maximal 10% dieser Stellen nicht besetzt haben (2024: 3 Ressorts)
  • BMZ und das neue BMWSB haben sogar 100% ihrer Stellen besetzen können
  • Nur ein einziges Ministerium – das BMG – hat mit 53% mehr mehr als 25% unbesetzte Stellen, in 2024 waren es noch 4 Ministerien (neben BMG: BMAS, BMFSFJ, BMDV)

Die wichtigsten Ressorts nach IT-Sicherheitsstellen in 2025:

  • BMI: 2152 (48,7 % aller Stellen)
  • BMVg: 1686 (38,1 %)
  • BMF: 235 (5,3 %)
  • BMDV: 118 (2,7 %)
  • 2 Ministerien kommen noch über 1% Anteil (BMWK: 1,5% bei 68 Stellen, AA 1,4% bei 60 Stellen)
  • 9 weitere Ressorts bleiben unter 1% Anteil mit unter 20 Stellen, 5 sogar unter 10 Stellen

Die Angaben der Bundesregierung in tabellarischer Übersicht:

Antwortschreiben auf meine bisherigen schriftlichen Fragen im Original (geschwärzt):

Antwort der Bundesergierung vom 23.01.2025 auf meine schriftliche Frage zur Besetzung von IT-Sicherheitsstellen:

250123_Aw_IT-Sec-StellenHerunterladen

Mein Beitrag zu unbesetzten Sicherheitsstellen vom Janaur 2024

Mein Beitrag zu unbesetzen Sicherheitsstellen vom Janaur 2023

Meine Frage zu unbesetzten Sicherheitsstellen vom Februar 2022

Mein Beitrag zu unbesetzen Sicherheitsstellen vom Februar 2021

Mein Beitrag zu unbesetzten Sicherheitsstellen vom Febraur 2020

/von

MERZ VERSTÖSST MIT NEUEN ÜBERWACHUNGSFORDERUNGEN GEGEN KI-VERORDNUNG UND GRUNDGESETZ

, , , , , , ,

Pressemitteilung

Zum aktuellen 27-Punkte Antrag der Union „Für einen Politikwechsel bei der Inneren Sicherheit“, der Maßnahmen zu Asyl und Migration, aber auch zu digitalen Methoden der Überwachung und Datenverarbeitung enthält, erklärt die digitalpolitische Sprecherin der Linken im Bundestag:

„In einer Zeit, in der wir lösungsorientierte Politik und Rechtsstaatlichkeit am dringendsten brauchen, um das Vertrauen in die Demokratie zu stärken, agiert Kanzlerkandidat Merz wie ein Haufen aufgescheuchter Hühner und legt einen Antrag mit einem Sammelsurium an Maßnahmen vor, die weder lösungsorientiert noch rechtsstaatlich sind, sondern vorsätzliche Verstöße gegen das Grundgesetz und Europarecht enthalten, auch bei den digitalpolitischen Vorschlägen.

Mit diesem Antrag fordert die Union einen massiven Ausbau des Überwachungsstaates bei gleichzeitigem Abbau wesentlicher ‚Checks and Balances‘, und will so offensichtlich die Korrekturmechanismen gegen Fehlentwicklungen in einer Demokratie außer Kraft setzen. Statt durch das Agieren von US-Präsident Trump täglich daran erinnert zu werden, was die Grundwerte einer Demokratie sind und diese bei uns mit aller Kraft zu verteidigen, fordert Merz z.B. die Abschaffung der vom Bundesverfassungsgesetz seit 2010 verlangten und von der Ampel geplanten Überwachungsgesamtrechnung, denn die Grundrechtskonformität von Überwachungsmaßnahmen hängt von ihrer Gesamtbelastung für die Gesellschaft ab. Ausufernde Überwachung ist der Anfang und die Grundlage für ein autoritäres Regime. Genau deshalb braucht es mehr denn je eine Überwachungsgesamtrechnung, damit wir bei allen Überwachungsmaßnahmen Maß und Mitte behalten!

Die Einführung der Kennzeichnungspflicht für Bundespolizisten will Merz stoppen und den neu eingerichteten Polizeibeauftragten des Bundes wieder abschaffen, obwohl es regelmäßig Schlagzeilen zu illegitimer Polizeigewalt gibt, die sich wie kürzlich in Riesa sogar gegen parlamentarische Beobachter richtet. Er zerstört damit Vertrauen in den Schutz durch demokratische Prozesse.

Gleichzeitig fordert Merz mit der biometrischen Gesichtserkennung in Echtzeit im öffentlichen Raum einen Einsatz künstlicher Intelligenz (anders wäre die Forderung technisch nicht umsetzbar), für die ab 2. Februar 2025 ein absolutes Verbot durch die KI-Verordnung der EU auch für Deutschland und auch für Friedrich Merz gilt und die auch mit dem Grundgesetz durch den massiven Grundrechtseingriff nicht vereinbar wäre. Gerade beim Einsatz von KI braucht es wegen der hohen Missbrauchsgefahr und Fehlerquoten mit belegter Diskriminierung rechtliche Rahmenbedingungen und Rote Linien, die es mit der KI-Verordnung gibt. Sie offen zu ignorieren, direkt zum Zeitpunkt ihres in-Kraft-Tretens, zeugt von besonderer Verachtung rechtsstaatlicher Prinzipien und der EU selbst. Ein Spitzenpolitiker kann nicht ständig Abschiebungen oder Ausbürgerungen wegen Rechtsverletzungen fordern, wenn er nicht einmal selbst auf dem Boden des Grundgesetzes und von EU-Recht steht.

Auch die erneute Forderung einer in ihrer Ausgestaltung verfassungswidrigen Vorratsdatenspeicherung zeigt, dass die Union auch nach diversen Urteilen durch den EUGH und das BVerfG nicht in der Lage ist zu verstehen, wo die Grenzen des rechtlich Zulässigen verlaufen. Mit ihren Wünschen nach mehr Quellen-Telekommunikationsüberwachung und Online-Durchsuchung meint die Union den vermehrten Einsatz von Staatstrojanern, die aber nur mit dem Offenhalten von Sicherheitslücken einsetzbar sind und damit, statt unsere Sicherheit zu erhöhen, unser aller IT-Sicherheit gefährden. Diese Maßnahmen sind daher nicht nur ‚Sicherheitsesotherik’, weil sie gar nichts zur Stärkung der Sicherheit beitragen, sondern äußerst gefährlich, denn statt demokratische Rechte zu verteidigen, greift sie Friedrich Merz direkt an und tritt den Rechtsstaat und Grundrechte mit Füßen. Das ist völlig inakzeptabel und die Linke wird mit aller Kraft dagegen kämpfen.“

Weiterführende Links:

/von

Der ADB Podcast #44 – Das Best-of-38C3 Special mit Marlies Wiegand

, , , , ,

Diese Folge ist ein Special – live aufgezeichnet im Sendezentrum des Chaos Communication Congress 38C3 des Chaos Computer Clubs – der größten Hacker-und Haecksen-Convention Europas und seit 2010 mein Highlight des Jahres. Dort traf ich Marlies Wiegand, die nicht nur nerdig drauf ist, sondern auch Bundestagskandidatin für die Linke in Schleswig-Holstein. Wir nahmen spontan diese Sonderfolge auf, um unsere Eindrücke zu teilen. Im Hintergrund wuselt der 38c3, während wir Euch verraten, was unsere liebsten Talks waren, denn die könnt Ihr Euch in der Mediathek des CCC noch ansehen. Wir erzählen von krassen Sicherheitslücken der elektron. Patientenakte, illegalen Sammlungen von Bewegungsdaten durch VW, von Anne Brorhilkers Talk zum Cum Ex/Cum Cum Steuerraub (die ich im Podcast versehentlich als ehemalige Staatssekretärin statt als Ex-Staatsanwältin bezeichne – oops!), es geht um Desinformation, KI und Kapitalismus, Eat the Rich, Bezahlkarten und Digitalzwang, aber lachen könnt Ihr auch, z.B. bei KI-Karma next Level, versprochen!

Transkript (KI-generiert und kann damit Fehler aufweisen) 📜:

Transkript_adb_podcast_44Herunterladen

Kapitelmarken:

00:00:07 Intro: Wer ist Marlies, was mache ich und was ist der 38C3?
00:12:57 Desinformation, Doppelgänger-Initiative, Wahlbeeinflussung
00:16:53 Unsere liebsten Talks
00:20:54 Outro: Gemeinwohlorientierte Digitalpolitik kann man wählen

Weiterführende Links:

Meine Co-Podcasterin Marlies Wiegand (smarties) auf Mastodon

Meine Webseite

Alle aufgezeichneten Talks vom 38C3 zum Nachschauen

Unsere Favoriten und Hintergrundinfos:

CyberCyer, Datenschutz, Überwachung, Informationsfreiheit

38C3 Talk -Martin Tschirsich und Bianca Kastl „Konnte bisher noch nie gehackt werden“ Die elektronische Patientenakte kommt – jetzt für alle!“

38C3 Talk – Michael Kreil und Flüpke „Wir wissen, wo Dein Auto steht – Volksdaten von Volkswagen“

38C3 Talk – anne und Chris Klöver „Autoritäre Zeitenwende im Zeitraffer“

38C3 Talk – „Das IFG ist tot – Best of Informationsfreiheit, Gefangenenbefreiung & Machtübernahme“ von Arne Semsrott

Desinformation

38C3 Talk – Hendrik Heuer und Josefine Schmitt „Von Augustus bis Trump – Warum Desinformation ein Problem bleibt und was wir trotzdem dagegen tun können“

38C3 Talk – Niko Dekens „OSINT – How Ai fuels desinformation“

Technischer Bericht des Auswärtigen Amtes zur von Russland gesteuerten Doppelgänger-Initiative

Anti-Rechts, Pro Demokratie, Migration

38C3 Talk – Jean Peters „Correctiv-Recherche „Geheimplan gegen Deutschland“ – 1 Jahr danach“

38C3 Talk – unsösterreichts.jetzt and Alexander Muigg „Die Brandmauer gegen rechts – Schutz oder Gefahr für die Demokratie?“

38C3 Talk – ABC Belarus „Resistance against dictatorship in Belarus in times of war [EN]“

38C3 Talk – Hafid: Life in the Lager. How it is and how to support

38C3 Talk – Munir und Jot „Nein zur Bezahlkarte – Rechte Symbolpolitik mit Solidarität aushebeln“

Tausch-Initiativen zur Bezahlkarte

Anti-Kapitalismus, Finanzen, Soziales, Klima

38C3 Talk – Anne Brorhilker „Der Milliarden-Steuerraub Cum/Ex Wie schädlich ist Wirtschaftskriminalität für unsere Gesellschaft?“

38C3 Talk – Malte Engeler und Sandra Sieron „KI nach dem Kapitalismus: Hat ChatGPT in der besseren neuen Welt einen Platz?“

38C3 Talk – Helena Steinhaus „Eat the Rich! Die Menschen wollen soziale Sicherheit aber kriegen „Deutschland den Deutschen“

38C3 Talk – Anja Höfner and Rainer Rehak (Bits und Bäume) „Kein Spaß am Gerät auf ’nem toten Planet(en)!“

Nicht aufgezeichneter 38C3 Talk: „Don’t let them take abortion offline!“, von Women on Web: https://www.womenonweg.org und insta: @abortionpil

Digitalzwang

38C3 Talk – Scherrie – „Fehlercode 406: Request not acceptable. Digitalzwang als Human Security-Problem“

38C3 Talk – Anne Roth „Digitalisierung mit der Brechstange“

Antrag der Linken im Bundestag „Für ein Offlinezugangsgesetz“ (10/2023)

Unterhaltsames

38C3 Talk – Katharina Nocun „KI-Karma next Level: Spiritueller IT-Vertrieb“

Mehr von mir und Feedback von euch zu #DerADBPodcast:

https://open.spotify.com/show/6pAKTUZKESc0AIQ9FCzMn8?si=4a808bf859004136
/von

ICH FRAGE: PATIENTENAKTE SICHER? BUND ANTWORTET: 🙈

, , , , , , , , ,

Pressemitteilung

Nach 20 Jahren Planung und erfolglosem Rollout von Vorgängervarianten startete am 15. Januar 2025 der Test der sogenannten „ePA für alle“, der elektronischen Patientenakte 3.0, in vorerst knapp 300 ausgewählten Praxen in Hamburg, Franken und NRW. Ob der geplante bundesweite Rollout wie geplant im Februar starten soll, steht aktuell in den Sternen, nachdem Ende Dezember aus dem Umfeld des Chaos Computer Clubs verschiedene Sicherheitslücken öffentlich präsentiert wurden, die theoretisch einen illegitimen Zugriff auf alle künftigen etwa 70 Mio. Patientenakten ermöglichen könnten. Auf diverse Fragen der Bundestagsabgeordneten der Linken, Anke Domscheit-Berg, antwortete die Bundesregierung entweder gar nicht, ausweichend, oder irritierend.

Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:

„Die Antworten der Bundesregierung auf meine Fragen zeigen, dass das Gesundheitsministerium (BMG) immer noch nicht bereit ist, sich ehrlich zu machen und transparent mit dem anhaltend mangelnden Sicherheitsniveau der ePA umzugehen. Dazu gehört, auf klare Fragen auch vollständig und verständlich zu antworten, statt unliebsame Fragen einfach zu ignorieren und bei anderen verklausuliert um den heißen Brei herumzureden. Das ist schlechter Führungsstil und eine Missachtung parlamentarischer Verfassungsrechte.

Bei einem Großprojekt mit hochsensiblen Gesundheitsdaten eines Großteils der Bevölkerung, das nur erfolgreich sein kann, wenn die Daten sicher und das Vertrauen der Patient:innen hoch ist, muss man gerade Probleme und IT-Sicherheitsrisiken transparent kommunizieren und das findet weiterhin nicht statt. Wenn Patient:innen aber immer wieder erleben, dass Minister Lauterbach die ePA als sicher anpreist, während Schlagzeilen von erschütternd einfach auszunutzenden Sicherheitslücken berichten, wie die Übertragung wichtiger Identifikationsdaten ohne Verschlüsselung und das einfache Hochzählen von Kartennummern, dann wird jedes Mal Vertrauen in die ePA zerstört und werden Menschen sie nicht nutzen wollen, die von ihr profitieren könnten. Ich fühle mich inzwischen als Patientin nur noch auf den Arm genommen, wenn mir das BMG selbst jetzt noch antwortet, dass Deutschland eine der sichersten Infrastrukturen im Gesundheitswesen in Europa habe.

Viel sagt auch der Fakt, dass meine Frage nach den konkreten Forderungen der Bundesbeauftragten für den Datenschutz (BfDI) zur neuen ePA komplett unbeantwortet blieb, wohl weil es sonst peinlich würde für die Bundesregierung, denn diese Forderungen wurden schon im Sommer gestellt und offensichtlich ignoriert. Leider wurde das Veto-Recht von BSI und BfDI bei der ePA zugunsten eines bloßen Rechts auf Anhörung aufgehoben, das BMG kann sie daher einfach ignorieren und ihre Forderungen schlicht unter den Teppich kehren.

Auffällig ist auch die fehlende Antwort auf meine Frage, ob das BSI auch Geheimnisträger:innen mit sensiblen Gesundheitsdaten die Nutzung der ePA zum Zeitpunkt ihrer Einführung empfehlen würde. Angesichts der extrem hohen Bedrohungslage durch fremdstaatliche Akteure ist das eine wichtige Frage, zumal das BMG behauptet, dass Risiken fremdstaatlicher Akteure im Sicherheitsgutachten vom Fraunhofer SIT berücksichtigt wurden, während man in diesem Gutachten das genaue Gegenteil davon lesen kann, nämlich dass der Auftraggeber gematik, dessen Mehrheitsgesellschafter das BMG ist, diese Risikobetrachtung nicht relevant fand, weshalb sie ausgeklammert wurde.

Leider löst diese ePA ihr Nutzenversprechen nicht ein, da sie nur mit rudimentären Funktionen kommt, gleichzeitig sind die Risiken für die darin gespeicherten Daten zwar hoch, aber Patient:innen völlig ungenügend darüber informiert. Dabei erfordert gerade der Paradigmenwechsel von der Einwilligungslösung zur Widerspruchslösung höchste Transparenz über den Nutzen und die Risiken für alle – ähnlich der Beipackzettel bei Medikamenten – damit eine informierte Entscheidung für oder gegen die Nutzung überhaupt getroffen werden kann.

Wenn die „ePA für alle“ nicht mit Datenskandalen zum Rohrkrepierer werden soll, muss Minister Lauterbach endlich klar und offen kommunizieren und den Flächenrollout per Opt Out so lange verschieben, bis die Angriffsrisiken auch durch fremdstaatliche Akteure sorgfältig evaluiert wurden, alle aktuell bekannten Sicherheitslücken tatsächlich geschlossen wurden – technische und organisatorische – und sichergestellt ist, dass alle Patient:innen tatsächlich umfassend über den Nutzen und die Risiken der „ePA für alle“ informiert sind. Eine Augen-zu-und-durch-Strategie aus Gründen der Wahlkampftaktik ist in Zeiten hybrider Kriegsführung und steigender Bedrohungsintensität jedenfalls indiskutabel.“

Weiterführende Links:

Antworten auf meine Schriftlichen Fragen rund um die Einführung der elektronischen Patientenakte an die Bundesregierung: https://mdb.anke.domscheit-berg.de/2025/01/4-schriftl-fragen-zur-epa/

  • Frage zur Aufklärung der Patient:innen zu Risiken der ePA und zur Evaluation des Informationsstands in der Bevölkerung
  • Frage zur fehlenden Berücksichtigung der Risiken durch fremdstaatliche Akteure im Sicherheitsgutachten von Fraunhofer und zur Empfehlung der ePA für Geheimnisträgerinnen
  • Frage zum konkreten Handlungsbedarf nach der Aufdeckung von Sicherheitslücken durch den CCC und zu einer möglichen Verschiebung des bundesweiten Rollouts oder eines Wechsels von Opt Out zurück zu Opt In
  • Frage zur Bewertung der nach Bekanntwerden der Sicherheitslücken durch den CCC veröffentlichten Maßnahmen der Gematik durch das BSI und zu den Forderungen der BfDI

Aufzeichnung des Vortrags beim 38C3 zu Sicherheitslücken der ePA: „Konnte bisher noch nie gehackt werden“: Die elektronische Patientenakte kommt – jetzt für alle! – media.ccc.de

/von