„Flickenteppich“, das Wort ist inzwischen geflügelt, um die digitale Verwaltungslandschaft in Deutschland zu beschreiben. Es gibt mehrere IT-Lösungen, die nicht miteinander kompatibel oder nicht interoperabel sind. Das führt zu Parallel- und Doppellösungen.

Die kosten unnötig viel Geld und binden IT-Personal, das an anderer Stelle fehlt, so das Urteil des Bundesrechnungshofes (BRH) in einem Bericht an den Haushaltsausschuss des Bundestages von Mitte Juli. Table.Media hat das interne Dokument veröffentlicht. Wir veröffentlichen eine Version ohne Bezahlschranke und Wasserzeichen: Verwaltungsdigitalisierung: Empfehlungen für die 21. Legislaturperiode.

Ein Beispiel für Mehrfachlösungen ist der Basisdienst „Nutzerkonto Bund“. Den für Bund, Länder und Kommunen zu entwickeln, hatte die damalige Bundesregierung unter Merkel schon Anfang 2017 geplant. Bürger*innen sollen sich damit elektronisch identifizieren, darin ihre Daten speichern und Post vom Amt darüber erhalten. Der Bund machte das Konto erst in 2021 online verfügbar. In der Zwischenzeit hatten Bundesbehörden, Länder und Kommunen jedoch eigene Nutzerkonten entwickelt, die heute wieder zusammengeführt werden.

Auch beim Basisdienst „Formular-Management-System des Bundes“ kam es zu Verzögerungen. Dieser Basisdienst soll Verwaltungen dabei unterstützen, Formulare zu digitalisieren. Da das Bundesinnenministerium jedoch die IT-Lösung nicht mit den erforderlichen Funktionalitäten bestückte, fingen Bundesbehörden an, eigene Lösungen zu entwickeln.

Ohne klares Ziel vor Augen

Soweit konnte es laut BRH kommen, weil die Bundesregierung die Verwaltungsdigitalisierung bislang nicht ausreichend gesteuert hat. Dazu gehört: Sie habe weder messbare Ziele formuliert noch die Digitalisierungsprojekte und ihren Fortschritt überwacht. Das kritisierten bereits Sachverständige bei der öffentlichen Anhörung zum Onlinezugangsgesetz 2023, etwa Malte Spitz vom Nationalen Normenkontrollrat und Bianca Kastl (PDF) vom Innovationsverbund Öffentliche Gesundheit.

Zwar habe der Bund über die Jahre Digitalstrategien entwickelt und aktualisiert. Doch eine Digitalstrategie, wie die letzte aus dem Jahr 2023, gebe keine konkreten Handlungsanweisungen vor, wenn die Ziele darin nur vage und „ambitionslos“ formuliert sind, so der BRH. Die Website zur Digitalstrategie ist zum Zeitpunkt der Veröffentlichung nicht erreichbar.

Im Bericht kritisiert die Behörde schwammige Formulierungen wie „organisatorische Maßnahmen zum Change-Management“. Sie erläutere die Bundesregierung nicht weiter. Was das für Maßnahmen sind und wie der Erfolg gemessen werden soll, bleibe unklar.

Laut BRH seien die Strategien lediglich Bestandsaufnahmen gewesen und zwar solche, die nicht einmal analysiert hätten, wo die Stärken, Schwächen, Risiken und Chancen der Digitalisierung liegen. „Damit fehlte den Bundesbehörden eine strategische Richtschnur, um Vorhaben zu priorisieren und zu initiieren“, so der BRH. Auch habe der Bund nicht die Ursachen dafür untersucht, warum die deutsche Verwaltung im europäischen Vergleich hinterherhinkt.

Was die Bundesregierung jetzt besser machen kann

Der Bundesrechnungshof empfiehlt der Bundesregierung und dem neuen Digitalministerium drei Schritte, um wesentlich in der Digitalisierung voranzukommen. Sie sollte messbare Ziele vorgeben. Daneben sollte sie zentrale IT-Lösungen bereitstellen und die Behörden ermutigen, stärker zusammenzuarbeiten. Denn das könne die Digitalisierungs-Bemühungen positiv beeinflussen, mindestens aber Geld einsparen.

Schließlich sollte der Bund ein zentrales Digitalbudget vorhalten, aus dem er nur Vorhaben finanziert, die drei Bedingungen erfüllen. Das Vorhaben passt zu den digitalpolitischen Zielen der Bundesregierung. Das Vorhaben ist wirtschaftlich und die ausführende Behörde berücksichtigt die IT-Standards des Bundes.

Der Bundesrechnungshof kritisiert, dass Bundesministerien in der Vergangenheit wiederholt Geld für Digitalisierungsprojekte ausgaben, die diesen Bedingungen nicht entsprechen und zudem zu wenig Personalressourcen einplanten. Auch habe die Bundesregierung bislang keinen IT-Rahmenplanungsprozess (PDF) eingeführt, bemängelt der BRH. Damit könnten Parallelentwicklungen verhindert werden. Denn die Ressorts wären dazu verpflichtet, ein IT-Rahmenkonzept zu formulieren, bevor sie Geld für IT ausgeben.

Wie aus dem Bericht hervorgeht, hat das Digitalministerium bereits angekündigt, ein paar der Empfehlungen zu übernehmen.

Das Bundesverfassungsgericht hat ein wegweisendes Urteil zum Ausmaß der heimlichen Überwachung im Internet gesprochen. Die Polizei darf Staatstrojaner demnach nicht mehr einsetzen, wenn eine verfolgte Straftat mit einer Höchstfreiheitsstrafe von drei Jahren oder weniger geahndet wird. Im Kampf gegen „Alltagskriminalität“ können Ermittler künftig also nicht mehr heimlich Software auf Computern, Smartphones oder anderen digitalen Geräten installieren, um Daten zu überwachen. Zugleich hat das höchste deutsche Gericht die gesetzliche Regelung zur heimlichen Online-Durchsuchung im Bereich der Strafverfolgung aus formalen Gründen für verfassungswidrig erklärt.

Eingriff zu stark

Die Karlsruher Richter argumentieren in ihrem jetzt veröffentlichten Urteil vom 24. Juni (Az.: 1 BvR 2466/19), dass der Eingriff in die Privatsphäre bei dieser Art der Überwachung sehr stark ist. Um diesen rechtfertigen zu können, muss die zu verfolgende Straftat ebenfalls von besonderer Schwere sein. Bei leichteren Delikten ist der Eingriff unverhältnismäßig. Der zuständige Erste Senat hat die entsprechenden Rechtsgrundlagen daher für nichtig erklärt.

Bei der Online-Durchsuchung bemängelt das Gericht einen rein formalen Fehler: das sogenannte Zitiergebot. Nach Artikel 19 des Grundgesetzes muss der Gesetzgeber genau angeben, welches Grundrecht er einschränkt. Bei der Online-Durchsuchung wies er aber nur auf das sogenannte IT-Grundrecht hin, nicht aber auf das separate Fernmeldegeheimnis aus Artikel 10 Grundgesetz, das ebenfalls betroffen ist. Die aktuelle Regelung bleibt laut dem Richterspruch zwar vorerst in Kraft, damit die Behörden weiter ermitteln können. Der Gesetzgeber muss sie jedoch zeitnah überarbeiten und grundsätzlich verfassungskonform ausgestalten.

StPO-Reform der Großen Koalition

Strafverfolger wie die Polizeien von Bund und Ländern dürfen prinzipiell im Rahmen ihrer alltäglichen Arbeit verschlüsselte Internet-Telefonate und Chats überwachen. Eine entsprechende Basis für die Quellen-TKÜ (Telekommunikationsüberwachung) schuf der Bundestag 2017 über eine Novelle der Strafprozessordnung (StPO) mit den Stimmen der damaligen Großen Koalition. Als Voraussetzung dafür gilt der breite Deliktkatalog aus Paragraf 100a StPO, der auch das Abhören klassischer Telefonate oder den Zugriff auf E-Mails regelt.

Die Liste fängt mit Mord und Totschlag an, reicht aber über Steuerdelikte, Computerbetrug, Hehlerei bis zum Verleiten von Flüchtlingen zum Stellen eines missbräuchlichen Asylantrags. Dieser Katalog sei zu lang und undifferenziert, hob das Verfassungsgericht nun hervor und schränkte ihn ein. Der Staat muss ihm zufolge die Verhältnismäßigkeit wahren. Er darf nicht mit dem „großen Hammer“ zuschlagen, um „kleine Delikte“ zu bekämpfen. Mit Blick auf den Strafrahmen einer Strafnorm liegt die besondere Schwere einer Straftat laut dem Urteil jedenfalls dann vor, wenn sie mit einer Höchstfreiheitsstrafe von mehr als fünf Jahren bedroht ist.

Die Ermittler erhielten mit der StPO-Reform zudem die Befugnis, beim Verdacht auf solche „besonders schweren Straftaten“ heimlich Festplatten und Rechner auszuspähen. Diese Klausel für Online-Durchsuchungen ist an den strikteren Paragrafen 100c StPO gekoppelt, der den großen Lauschangriff regelt. Unklar blieb, wie bei den Maßnahmen in der Praxis das vom Bundesverfassungsgericht im Streit um Computerwanzen 2008 entwickelte Grundrecht auf Vertraulichkeit und Integrität von IT-Systemen gewahrt bleiben soll. Die Opposition sprach von einem der „invasivsten Überwachungsgesetze der letzten Jahre“.

Zahlreiche Verfassungsbeschwerden

Gegen die StPO-Reform legten zahlreiche Organisationen und Einzelpersonen Verfassungsbeschwerde ein. Die Gesellschaft für Freiheitsrechte (GFF) und der Deutsche Anwaltverein (DAV) monierten 2018 etwa, der Gesetzgeber habe nicht definiert, wie ein Staatstrojaner auf Geräte gebracht werden dürfe. Vor allem die mögliche Infektion eines Zielrechners durch Ausnutzen von Sicherheitslücken sei gefährlich, da die Behörden dafür entsprechende Schwachstellen „horten“ könnten. Letztlich würden so Millionen Nutzer von IT-Systemen weltweit, die von einer dem Bund bekannten Lücke betroffen seien, „einem fortbestehenden Risiko von Cyber-Angriffen ausgesetzt“.

Zuvor hatten bereits FDP-Politiker und der Datenschutzverein Digitalcourage das Bundesverfassungsgericht in der Sache angerufen. Mit solchen Gesetzen ebne Schwarz-Rot den Weg „in einen autoritären Überwachungsstaat“, begründeten die Aktivisten ihre jetzt entschiedene Klage. Jeder, der digital kommuniziere, sei betroffen und könne die Beschwerde in Karlsruhe unterstützen.

In einer Gesamtschau begründe die Quellen-TKÜ einen sehr schwerwiegenden Eingriff sowohl in Artikel 10 als auch ins IT-System-Grundrecht, begründet der erste Senat seinen Spruch. Art und Umfang der heimlich und durch gezielte Umgehung von Sicherungsmechanismen erhobenen Daten wirkten schon für sich genommen Eingriffs-verstärkend, denn die Maßnahme ermögliche den Zugang zu einem Datenbestand, „der herkömmliche Informationsquellen an Umfang und Vielfältigkeit bei weitem übertreffen kann“.

Abgriff des „Rohdatenstroms“ ist gefährlich

Abgegriffen werden könne der „gesamte Rohdatenstrom“, erläutern die Richter. Das habe gerade unter den heutigen Bedingungen der Informationstechnik und ihrer Bedeutung für die Kommunikationsbeziehungen „eine außerordentliche Reichweite“. So wird mit den erfassten Datenströmen nicht nur eine unübersehbare Zahl von Formen elektronischer Kommunikation transportiert und der Auswertung zugeführt. Angesichts der allgegenwärtigen und vielfältigen Nutzung von IT-Systemen finde inzwischen auch zunehmend jede Art individuellen Handelns und zwischenmenschlicher Kommunikation in elektronischen Signalen ihren Niederschlag und werde so insbesondere durch Staatstrojaner erfasst. Dazu komme, dass die Integrität eines IT-Systems beeinträchtigt und deren Vertraulichkeit gefährdet werde.

Keinen Erfolg hatte Digitalcourage dagegen mit der Verfassungsbeschwerde von 2019 gegen die 2018 geschaffene Lizenz zum Einsatz von Staatstrojanern im Polizeigesetz Nordrhein-Westfalen (NRW). Die Datenschützer kritisierten hier, dass eine Funktionsbeschränkung des Instruments auf die Überwachung der laufenden Kommunikation technisch nicht möglich sei. Zudem würden zwangsläufig Sicherheitslücken ausgenutzt, um die Überwachungssoftware überhaupt auf dem Zielgerät installieren zu können. Die Voraussetzungen für solche Maßnahmen seien zudem zu weit gefasst.

NRW-Polizei darf Quellen-TKÜ weiter nutzen

Ebenfalls mit Beschluss vom 24. Juni (Az.: 1 BvR 180/23) entschied das Bundesverfassungsgericht hier: Die Polizei in NRW darf Staatstrojaner einsetzen, um schwere Straftaten wie Terrorismus zu verhindern, bei denen eine konkrete Gefahr für besonders wichtige Rechtsgüter wie Leib und Leben besteht. Die Richter sehen in diesem Fall die Verhältnismäßigkeit gewahrt, da die Befugnis an eine Mindestfreiheitsstrafe von zehn Jahren gebunden ist oder die Straftat einen terroristischen Hintergrund hat. Der Schutz der Öffentlichkeit vor solchen Bedrohungen wiege schwerer als der Eingriff in die Privatsphäre der Betroffenen.

Laut der aktuellen Statistik setzten Strafverfolger 2023 erneut mehr Staatstrojaner ein. Gerichte erlaubten demnach 116 Mal das Hacken von IT-Geräten – 2022 gab es 109 Anordnungen. Bundesinnenminister Alexander Dobrindt (CSU) will auch der Bundespolizei die Nutzung des Bundestrojaners erlauben.

(mack)

Wenn Unternehmen Microsoft Exchange hybrid lokal und online nutzen, können Angreifer unter bestimmten Voraussetzungen an einer Sicherheitslücke ansetzen und sich in Exchange Online höhere Rechte verschaffen, um dort Unheil zu stiften. Bislang gibt es keine Berichte zu bereits laufenden Angriffen, Admins sollten gleichwohl Gegenmaßnahmen ergreifen.

Hintergründe

Dazu rät nicht nur Microsoft in einer Warnmeldung, sondern auch die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag. Die Schwachstelle (CVE-2025-53786) ist mit dem Bedrohungsgrad „hoch“ eingestuft.

Davon sind Microsoft zufolge ausschließlich hybride Exchange-Instanzen bedroht. Damit Angreifer überhaupt eine Attacke einleiten können, benötigen sie administrativen Zugriff auf einen lokalen Exchange-Server. Ist das gegeben, können sie der Beschreibung der Lücke zufolge mit erweiterten Rechten auf Exchange Online zugreifen, ohne nennenswerte Spuren zu hinterlassen.

Gegenmaßnahme

Um die Angriffsgefahr in diesem Kontext einzudämmen, müssen Admins einen im April 2025 veröffentlichten Hotfix auf ihrem lokalen Exchange-Server installieren. Im Anschluss sollten sie die Sicherheitstipps für den hybriden Betrieb befolgen. Weiterführende Informationen zum sichereren hybriden Betrieb führt Microsoft in einem Beitrag aus. Abschließend ist es noch notwendig, die keyCredentials des Erstanbieterdienstprinzipals zu bereinigen.

Weiterhin weist die CISA darauf hin, dass Admins dringend prüfen müssen, ob in Unternehmen nicht mehr im Support befindliche Exchange-Versionen und somit verwundbare Instanzen laufen, die aus dem Internet erreichbar sind. Ausgaben wie SharePoint Server 2013 und frühere Versionen bekommen nämlich keine Sicherheitsupdates mehr und müssen aus Sicherheitsgründen umgehend vom Internet getrennt werden.

(des)