Die EU-Kommission hat am Dienstag einen Fahrplan für den Zugang zu Daten für Polizeibehörden vorgestellt. Demnach liegt der Fokus auf sechs Schlüsselbereichen. Er umfasst etwa die weiteren Schritte in Richtung EU-weiter Vorratsdatenspeicherung, mehr Einsatz sogenannter Künstlicher Intelligenz bei Ermittlungen und einen für das Jahr 2026 geplanten Ansatz, um an verschlüsselte Daten zu kommen. Mit diesen Vorhaben drohen Einschränkungen bei Datenschutz, Privatsphäre und Vertraulichkeit der Kommunikation.

Umrissen hatte die Kommission ihre Prioritäten bereits in ihrer „ProtectEU“ genannten Strategie zur inneren Sicherheit im April. Entsprechend betont sie nun auch im aktuellen Fahrplan, dass rund 85 Prozent der strafrechtlichen Ermittlungen auf elektronischen Beweismitteln beruhten. Zwischen den Jahren 2017 und 2022 hätten sich die Datenanfragen an Online-Dienste verdreifacht, und der Bedarf an diesen Daten steige weiter an.

Zugleich gebe es jedoch Probleme dabei, schnell an die Daten zu kommen. In manchen Fällen hätten die Anbieter sie bereits gelöscht, in anderen hapere es bei der grenzüberschreitenden Zusammenarbeit; bisweilen seien Daten verschlüsselt und nicht ohne Weiteres zugänglich. All diese Hürden müssten abgebaut werden, um „effektiv und rechtmäßig“ Ermittlungen im digitalen Raum durchführen zu können, heißt es in der Mitteilung. Federführend sind hierbei Digitalkommissarin Henna Virkkunen und Innenkommissar Magnus Brunner.

Vorratsdatenspeicherung: Mehr als 5.000 Stellungnahmen

Bereits letzte Woche ging die erste Etappe zu Ende. In einer öffentlichen Konsultation holte die Kommission Meinungen zum Dauerbrenner Vorratsdatenspeicherung ein, nun wird sie die über 5.000 Stellungnahmen aus ganz Europa auswerten müssen. Die sollen in eine Folgenabschätzung über diese Form der anlasslosen Massenüberwachung einfließen, ein notwendiger Schritt vor einem möglichen Gesetz. Mit einem erneuten Anlauf für eine EU-weite Regelung wird allgemein gerechnet, nicht zuletzt drängen EU-Innen- und Justizminister:innen im Rat auf einen einheitlichen Rechtsrahmen.

In der Vergangenheit hatten Gerichte, darunter der Europäische Gerichtshof (EuGH), nationale Anläufe sowie eine frühere EU-Richtlinie unter Verweis auf die tiefen Grundrechtseingriffe kassiert. Im Vorjahr hat der EuGH jedoch die Tür ein Stück weit geöffnet und die verdachtslose Speicherung von mindestens IP-Adressen unter bestimmten Bedingungen für zulässig erklärt.

„Rechtsmäßiger Zugang“ gefährdet alle

Auf dem Arbeitsprogramm der Kommission steht zudem eine Verbesserung des grenzüberschreitenden Datenaustauschs zwischen Ermittlungsbehörden. Dabei will sie offenbar nicht abwarten, bis alle EU-Länder das E-Evidence-Paket umgesetzt haben. Optimierungsbedarf gebe es auch bei der Europäischen Ermittlungsanordnung; die Instrumente sollen im kommenden Jahr überprüft werden.

In Zusammenarbeit mit der EU-Polizeibehörde Europol will die Kommission Ermittlungsbehörden im Bereich der digitalen Forensik besser aufstellen. Dabei sollen auch öffentlich-private Partnerschaften zum Zug kommen. Um mit der zu erwartenden Materialfülle zurechtzukommen, will die Kommission bis zum Jahr 2028 die Entwicklung und den Einsatz von KI-Tools fördern. Mehr einbringen will sich Brüssel auch bei der Standardisierung neuer Technologien, etwa, um gleich von Beginn an Überwachungsschnittstellen nach dem Prinzip des „rechtmäßigen Zugangs durch Design (‚lawful access by design‘)“ einzubauen.

Das Konzept steht im Widerspruch zu Privatsphäre durch Design (‚privacy by design‘), das Daten und Privatsphäre von Menschen nicht nur gegenüber ihrem eigenen Staat schützt, sondern auch gegenüber anderen Staaten und Kriminellen. Denn einmal geschaffene Wege zum Zugriff auf geschützte Inhalte lassen sich nicht nur durch autorisierte Akteure ausnutzen, sondern auch durch andere. Auf diese Weise kann das Konzept „lawful access by design“ sowohl einzelne Nutzer:innen als auch die IT-Sicherheit insgesamt gefährden.

Debatte unter Ausschluss der Öffentlichkeit

Für das Jahr 2026 ist ein weiterer brisanter Fahrplan angekündigt. Darin will die Kommission Ansätze „identifizieren und evaluieren“, um Polizeien womöglich Zugang zu verschlüsselten Daten zu geben. Ob sich dabei auch gefährliche Methoden wie Hintertüren wiederfinden werden, bleibt vorerst offen. Auch eine eigens einberufene Arbeitsgruppe, die sich in den vergangenen Jahren vertieft mit dem sogenannten „Going Dark“-Phänomen beschäftigt hatte und auf deren Vorschlägen das Vorgehen der Kommission beruht, ist solche Details schuldig geblieben.

Die bisherigen Schritte der Kommission sind auf vehemente Kritik seitens Grundrechteorganisationen gestoßen, die sich übergangen sehen und mehr Mitsprache fordern. In einem Brief forderten dutzende Nichtregierungsorganisationen im vergangenen Mai, dass die Debatte über Hintertüren nicht unter Ausschluss der Öffentlichkeit stattfinden dürfe. Unter anderem sei die EU-Arbeitsgruppe „undurchsichtig“ gewesen; es müssten nun mehr Stimmen aus Zivilgesellschaft und Wissenschaft gehört werden.

In den vergangenen Tagen machte sich bereits Unmut in einigen Internetforen breit, nun bestätigt Microsoft das Problem: Auf einigen Windows-Rechnern blockiert das Betriebssystem den Start etwa des Webbrowsers Google Chrome, ohne eine weitere Fehlermeldung anzuzeigen. Auslöser ist der aktivierte Kinderschutz „Microsoft Family Safety“. Die Entwickler arbeiten an einer Lösung.

Im Windows-Release-Health-Message-Center erörtert Microsoft das Problem recht ausführlich. Die Redmonder holen weiter aus: „Bestimmte Gesetze erfordern, dass Microsoft Kinder vor schädlichen und illegalen Inhalten im Internet schützt. Daher erstellt Microsoft Werkzeuge für Eltern und Aufsichtsberechtigte, die ihnen helfen, die digitale Erfahrung der Kinder zu lenken und sie vor schädlichen und illegalen Online-Inhalten zu schützen“.

Chrome-Blockade durch Webfilterung

Eines dieser Werkzeuge ist das „Filtern von Websites und Suchvorgängen mithilfe von Microsoft Family Safety„. Etwa Microsofts Edge-Browser liefert diese Funktion, wodurch Edge als Standardbrowser auf von Kindern genutzten Geräten genutzt werden könne, sofern Webfilterung in Windows aktiviert ist. Bei aktivierter Webfilterung müssen Eltern oder Aufsichtspersonen andere Webbrowser zunächst freigeben, bevor sich diese nutzen lassen. „Das soll Eltern verstehen helfen, dass andere Einstellungen für andere Browser in Bezug auf das Blockieren unangemessener Webseiten und der Filterung von Suchergebnissen gelten“, erklärt Microsoft weiter.

Das Blockieren funktioniere weiterhin – sofern ein Browser auf eine neue Version aktualisiert wird, kann Windows nichts blockieren, solange Microsoft den Browser nicht auf die Block-Liste setzt. Im Zuge von Aktualisierungen kann es temporär passieren, dass ein Browser nicht blockiert wird. „Wir arbeiten aktiv daran sicherzustellen, dass die jüngsten Versionen der Browser blockiert werden, und bekräftigen unsere Anstrengungen, Eltern und Aufsichtspersonen zu unterstützen“, schreiben die Redmonder.

„Während Microsoft die Block-Liste aktualisierte, erreichten uns Berichte über ein neues Problem, das Google Chrome und ein paar andere Browser betrifft. Wenn Kinder versuchen, die zu öffnen, schließen sie sich unerwartet wieder“, erörtern die Entwickler. Standardmäßig sollte jedoch eine Anfrage erscheinen, um die elterliche Zustimmung zur Nutzung einzuholen: „Du musst nachfragen, um diese App zu nutzen“. Sofern die Zustimmung erteilt wurde, laufe der Browser wie erwartet. Sofern Aktivitätsberichte deaktiviert sind, kann dieses Verhalten auftreten.

Microsoft schlägt als temporäre Gegenmaßnahme vor, die Aktivitätsberichte in den Family-Safety-Einstellungen zu aktivieren. Dann kommen bei den Eltern-Zugängen entsprechende Anfragen an, womit sie die Nutzung erlauben können. Die Entwickler arbeiten zudem an einer Lösung für beide Probleme – einmal der Anzeige der fehlenden Dialoge für die elterliche Zustimmung und dann das ungewollte temporäre Entsperren der jüngsten Version von Google Chrome und anderer Browser nach einem Update. Betroffen sind alle unterstützten Windows-Desktop-Versionen: Windows 11 24H2, 23H2 und 22H2 sowie Windows 10 22H2.

Kürzlich wurde ein neues Problem bekannt, das Windows-Sicherheitsupdates verursacht haben – während die Aktualisierung zwei ältere gelöst hat. Ältere Surface Hub v1 können den Start verweigern und eine Fehlermeldung anzeigen. Hakeleien von Windows-Server-2025-DCs bezüglich genutzter Firewall-Profile sowie Authentifizierungsprobleme in „Windows Hello for Business“ für diverse Windows-Server-Versionen haben die Updates jedoch ausgebessert.

(dmk)

Wem gehört eine Telefonnummer? Das können 138 staatliche Stellen von 130 Telekommunikations-Unternehmen erfahren, ohne dass die betroffenen Firmen oder Kund:innen davon etwas mitbekommen. Dieses automatisierte Auskunftsverfahren wird von der Bundesnetzagentur betrieben und ist auch als „Behördentelefonbuch“ oder Bestandsdatenauskunft bekannt.

Die Bundesnetzagentur veröffentlicht darüber jährliche Statistiken, neben einem Absatz im aktuellen Jahresbericht auch auf der Webseite:

Mit bis zu 188.627 Ersuchen pro Tag zu Namen oder Rufnummern wurden im Jahr 2024 insgesamt ca. 26,9 Mio. Ersuchen durch die Systeme der Bundesnetzagentur beantwortet.

Wir haben die Zahlen wie jedes Jahr aufbereitet und visualisiert.

26 Millionen Abfragen: Wem gehört diese Telefonnummer?

Deutsche Behörden haben im letzten Jahr 26,55 Millionen Mal gefragt, wer eine Telefonnummer registriert hat. Staatliche Stellen wie Polizei, Geheimdienste und Zoll haben also im Schnitt fast jede Sekunde einen Datensatz mit Name, Anschrift und weiteren Bestandsdaten erhalten. Das ist ein neuer Rekord.

Diese nummernbasierten Ersuchen haben sich innerhalb von sieben Jahren mehr als verdoppelt.

Welche Telefonnummern gehören dieser Person?

Die Auskunft geht auch anders herum: Welche Telefonnummern gehören einer Person? Diese personenbasierten Ersuchen wurden 280.570 Mal gestellt, etwa alle zwei Minuten eine. Diese Abfragen nahmen wieder leicht zu:

Registrierungspflicht für SIM-Karten

In vielen Staaten der Welt kann man Internet per WLAN und Mobilfunk auch ohne Identifizierung nutzen, darunter USA und Kanada, Großbritannien und Niederlande. Das Bundesamt für Sicherheit in der Informationstechnik hat jahrelang die „Verwendung von Prepaid-Karten zur Anonymisierung“ empfohlen.

Seit einem Anti-Terror-Gesetz von 2016 müssen Prepaid-SIM-Karten in Deutschland mit einem amtlichen Ausweisdokument registriert werden. Das sind genau die Daten, die jede Sekunde abgefragt werden. Damals sagte uns das CDU-geführte Innenministerium, dass es „keine allgemeine Pflicht zur nachträglichen Überprüfung bereits erhobener Bestandsdaten“ gibt.

Bundesnetzagentur kontrolliert Daten

Diese Zusage gilt jetzt nicht mehr. Sicherheitsbehörden beklagen, dass manche Daten eine „mangelhafte Datenqualität“ haben, also Anschlüsse auf ein Pseudonym registriert sind. Deshalb hat die Bundesnetzagentur Auslegungshinweise zum Gesetz „erweitert und fortentwickelt“. Auf einem „Compliance Gipfel“ diskutieren Branchenvertreter und berechtigte Stellen „Lösungsansätze zur Verbesserung der Datenqualität“.

Dieses Jahr will die Bundesnetzagentur die „Vorgaben für Identifizierungsverfahren im Prepaid-Mobilfunksektor“ überarbeiten. Das passiert mit der „Novellierung des Telekommunikationsgesetzes im Rahmen des TK-Netzausbau-Beschleunigungs-Gesetzes“. Danach will die Bundesnetzagentur die Kundendatenauskunftsverordnung und die Technische Richtlinie für das Auskunftsverfahren überarbeiten.

Keine Transparenz zu IP-Adressen

Seit 2013 können Behörden neben Telefonnummern auch Internetdaten wie IP-Adressen und E-Mail-Postfächer als Bestandsdaten abfragen. Damit erfahren sie, wem eine IP-Adresse zugewiesen ist oder welche IP-Adressen eine Zielperson nutzt – ebenfalls ohne Richterbeschluss.

Zu diesen Abfragen gibt es leider keine Statistiken, weil die Behörden direkt bei den Internet-Zugangs-Anbietern anfragen. Die Bundesnetzagentur könnte diese Statistiken erheben und veröffentlichen. Doch dazu fehlt der politische Wille – aller Bundesregierungen.

Die Deutsche Telekom veröffentlicht freiwillig einige Zahlen in ihrem Transparenzbericht. Demnach haben Behörden in 53.978 Fällen Bestandsdaten durch manuelle Abfragen erhalten. Dazu kommen 289.893 Abfragen zu Inhabern von IP-Adressen bei mutmaßlichen Urheberrechtsverletzungen im Internet.