In der heutigen Degitalisierung geht es um eines der am langweiligsten scheinenden Themengebiete der Informationstechnik: Fachanwendungen. Oder genauer gesagt: Um die teils sehr schräge Beziehung, die Staat und Politik zu eben diesen Fachanwendungen haben. Denn auf der einen Seite sind Fachanwendungen eigentlich viel zu wichtig, um sie zu vernachlässigen. Auf der anderen Seite sind sie aber wiederum auch nicht so wichtig, dass im politischen Diskurs um sie gleich alle Grundrechte aufgegeben werden müssten. Aber der Reihe nach.

Die wundersame Welt der Spezialanwendungen

Fachwendungen sind, vereinfacht gesagt, individuelle Softwarelösungen, die auf die Bedürfnisse einer einzelnen Kund*in maßgeschneidert werden, nicht immer neu entwickelt, manchmal auch sehr individuell aus bestehenden Lösungen konfiguriert. Es gibt Fachanwendungen nicht nur in der Verwaltung oder im Gesundheitswesen, sondern auch im Maschinenbau oder in anderen produzierenden Branchen.

Was macht so eine Fachanwendung? Mindestens Daten verarbeiten, oft auch irgendwie bei der Datenverwaltung helfen, teils auch auf bestehende Datenbanken zugreifen, diese visualisieren oder entsprechende spezifische Berechnungen oder Plausibilisierung durchführen. Mit etwas Feenstaub vermarktet, könnte die schon länger stattfindende Automatisierung in mancher Fachanwendung neudeutsch auch als „Künstliche Intelligenz“ bezeichnet werden, wenngleich Fachanwendungen schon seit Jahrzehnten irgendwelche Arten von Berechnungen in Form von Algorithmen auf Daten durchgeführt haben.

So weit, so theoretisch. In der Praxis des Verwaltungshandelns fällt bei vielen dieser Fachanwendungen oftmals ein Hang zum Scheitern auf.

Der wundersame Lehrerschwund

Im vergangenen Monat fiel eine Fachanwendung aus dem Land Baden-Württemberg durch einen sonderbaren, langanhaltenden Schwund an reell nicht besetzten Stellen von Lehrer*innen auf. Wegen einer Softwarepanne wurden 1440 Stellen jahrelang nicht besetzt. Ein Softwarefehler im Personal- und Stellenprogramm der Landesverwaltung, der über 20 Jahre lang unbemerkt blieb. Weder im Finanz- noch im Kultusministerium ist klar, wie es dazu kommen konnte.

Bemerkenswert ist dann aber auch die teilweise Beschwichtigung des Problems: Mehr Stellen könnten jetzt auch nicht besetzt werden, weil die bestehenden ja schon nicht besetzt werden konnten. Es sei auch kein Schaden an den Steuerzahlenden entstanden, zur Freude der sprichwörtlich sparsamen schwäbischen Hausfrau, denn das Geld sei ja nicht im Haushalt verplant gewesen. So groß sei der Schaden nun auch wieder nicht, es betreffe ja nur 1,5 Prozent der gesamten Stellen für Lehrpersonal im Lande. Was für ein Glück, nicht?

Die Verniedlichung des datenbasierten Bildungsproblems verkennt dabei eines vollkommen: Durch auch nur ein paar betroffene Schüler*innen entstehen große Schäden im Bereich einer ausbleibenden Bildungsrendite, die in Deutschland laut OECD immerhin bei 6 bis 10 Prozent liegen. Durch die Ungerechtigkeit des deutschen Bildungssystems, die sich oft über Generationen durchzieht, reduzieren sich Chancen auf einen sozialen Aufstieg der potenziell betroffenen Schüler*innen wahrscheinlich sogar noch weiter. Kleiner Fehler, große unentdeckte Wirkung.

Fachanwendungen und ihre korrekte Funktion sind eigentlich immens wichtig für die Gesamtgesellschaft und die Daseinsvorsorge. Das scheint nur nicht immer verstanden zu werden. Die Betreuung und kritische Begleitung von Fachanwendungen braucht kontinuierliche fachliche Begleitung und konstante IT-Expertise, nicht nur vom klischeehaften Mathelehrer, der in seiner Freizeit mal ein Programm geschrieben hat. Es braucht Menschen, die Software und deren Entwicklung wirklich vom Fach her verstehen.

Die wundersame Langsamkeit der Anpassung

Die Wichtigkeit von Fachanwendungen und ihrem Ökosystem für das Vertrauen in den Staat scheint ohnehin seit längerem konstant heruntergespielt zu werden. Nur ist das bei manchen dadurch verschleppten politischen Wirkungen bisher vielleicht nicht so stark aufgefallen wie bei einem wundersamen Stellenschwund auf Landesebene. Und keine Sorge, die Beispiele verwenden jetzt explizit keine faxenden Gesundheitsämter in der Pandemie.

Beispiel 1 wäre da die Ehe für alle von 2017. Die Möglichkeit, dass gleichgeschlechtliche Paare zum Inkrafttreten des Gesetzes am 1. Oktober 2017 auch wirklich in allen staatlichen Datenbanken offiziell heiraten konnten, gab es durch Verzögerungen in der Anpassung der dahinterliegenden Personendatenstandards nicht. Die Standesamtsoftware könne das, klar, das Register dahinter aber, na ja. Dass eine daraus resultierende Softwareanpassung schon mal neun Monate dauern könnte, sei ein „normaler administrativer Prozess“.

Beispiel 2 wäre da das Selbstbestimmungsgesetz, das wegen Änderungen an den technischen Verfahren erst später in Kraft treten konnte – so die Aussage des Bundesrates:

Da die Änderungen, die zum 1. November in Kraft treten, bereits zum 31. Januar des Jahres fertiggestellt sein müssen, damit die Verfahrenshersteller für das Fach- und das Registerverfahren ausreichend Zeit für die technische Umsetzung haben, kann das Gesetz frühestens zum 1. November 2025 in Kraft treten.

Langsamkeit in der Umsetzung gesetzlicher Vorgaben als „normaler administrativer Prozess“ eben.

Beispiel 3 wäre da die Ersatzfreiheitsstrafe. Die Strafen also, bei der Menschen, die zum Beispiel wegen Fahrens ohne Fahrschein und dem darauffolgenden Nichtzahlen von Geldstrafen ersatzweise eine Freiheitsstrafe absitzen. Wurde von der abzusitzenden Zeit eigentlich halbiert, sollte eigentlich am 1. Oktober 2023 in Kraft treten. Ging aber nicht, die Softwareanpassung der Justizsoftware brauchte länger. Kannste nichts machen, steht halt weiter so im Computer.

Die wundersame Schnelligkeit für innere Sicherheit

Es ist aber nicht alles mit Software so langsam ablaufend und finanziell schlecht ausgestattet. Es kommt nur auf den Verwendungszweck eben dieser Software an. In der Diskussion um die Ausstattung von Sicherheitsbehörden und Polizei mit einer Softwareplattform wie Palantirs Gotham kann es oft gar nicht schnell genug gehen, Millionenbeträge für Lizenzen sind auch kein Thema. Weil durch Knausrigkeit, übertrieben gewissenhafte Prüfung einer Software im Bereich innere Sicherheit auf rechtliche Probleme und Langsamkeit bei der Umsetzung ja quasi morgen schon die innere Ordnung komplett zusammenbrechen würde, so wirkt es. Gotham sei dabei konkurrenzlos.

Es tut der aktuellen Diskussion um Palantir durchaus gut, hier auch das eher sehr nüchterne Wort einer Fachanwendung zu verwenden beziehungsweise einer Plattform für Fachanwendungen. Denn letztendlich ist auch die scheinbar allmächtige Intelligence-Plattform Gotham im Kern auch das: Software, die Daten entsprechend aggregieren, visualisieren und automatisch analysieren kann. Kein mythischer sehender Stein, sondern vor allem Software und Algorithmen.

Der Knackpunkt bei Gotham ist aber nun, welche Automatismen, welche Ontologien und welche Technikfolgen sich Staaten dadurch einkaufen. Wir wissen es quasi nicht, weil alles um Gotham eher intransparent ist. Gerade im Bereich der inneren Sicherheit, bei dem es sehr schnell um sehr intensive Grundrechtseingriffe gehen kann, ist Software wie Gotham und die mit ihr verbundenen Algorithmen oder neudeutsch KI als eine potenzielle „Weapon of Math Destruction“ zu sehen – um den Titel eines Buches von Cathy O’Neil aufzugreifen.

Mit möglichen Vorurteilen behaftete allumfassende automatisierte Datenauswertung auf immer mehr bisher getrennten Daten, wie sie sich gerade in der aktuellen politischen Entwicklung zeigt, ist eben ein Thema, das in seinen Folgen gesamtgesellschaftlich betrachtet werden müsste – in der Diskussion um Palantir politisch aber nicht wird, wie die überhastete, heimliche Beschaffung in Baden-Württemberg zeigt.

Der wundersame Umgang mit Software in der politischen Diskussion

Die Welt der Fachanwendungen mag erst mal langweilig klingen, wir sollten diese Welt aber als Gesellschaft immer kritisch begleiten. Die Spannweite reicht vom schlecht rechnenden Dialogisierten Integrierten Personalverwaltungssystem „DIPSY-Lehrer“ in Baden-Württemberg zu Palantirs Gotham.

Bei Fachanwendungen gilt unabhängig von ihrem Zweck: Nicht alle sind in ihrer Wirkung bekannt, sollten es aber sein. Nicht alle sind transparent, sollten es aber sein. Nicht alle ihre Fehler und Vorurteile sind bekannt, sollten es aber sein. Nicht alle Nutzungen von Fachanwendungen sind ihrer Rechtmäßigkeit vollkommen klar umrissen und begrenzt, sollten es aber sein. Nicht alle ermöglichen eine zügige Anpassung an das freiheitlich demokratisch abgestimmte Handeln, sollten es aber ermöglichen. Keine Anwendung sollte antidemokratische Techmogule in irgendeiner Form unterstützen, ein paar tun es aber.

Dass es hier so eklatante Unterschiede gibt, zeigt, dass wir immer noch nicht verstanden haben, dass Software und ihre Wirkung inzwischen als Teil der Daseinsvorsorge und Grundlage unseres gesellschaftlichen Zusammenlebens gesehen werden muss – ob wir das wollen oder nicht. Wir sollten entsprechend verantwortlich mit dieser Erkenntnis umgehen.

Liebe Leser*innen,

nächste Woche endet unsere kleine Sommer-Spendenkampagne. Unser Ziel: Innerhalb von 30 Tagen möchten wir 300 Dauerspender*innen finden, um insgesamt 3.000 Euro zu sammeln (das macht im Durchschnitt 10 Euro monatlich pro Nase). Warum das ganze? Um unseren Kampf für digitale Freiheitsrechte auf eine stabile Grundlage zu stellen.

Ihr könnt euch das so vorstellen: Unser größter Posten jeden Monat sind die Personalkosten. 11 Monate im Jahr leben wir quasi über unsere Verhältnisse. Es kommen also 11 Monate im Jahr weniger Spenden neu herein, als wir Geld ausgeben. Erst im letzten zwölften Monat erhalten wir – wenn’s gut läuft – den erhofften und ersehnten Schub, damit der Laden weiterläuft.

Was würde mir (und uns allen im Team!) ein Stein vom Herzen fallen, wenn das etwas ausgeglichener wäre. Deshalb der Wunsch nach Dauerspenden. Lieber zwölf kleinere, monatliche Dosen übers Jahr verteilt als ein riskantes Spendenfinale zum Schluss.

Seit dem Start unserer Sommerkampagne sind schon mehr als 100 neue Dauerspender*innen hinzugekommen. Schön, dass ihr dabei seid und allerbesten Dank an Euch!!

Sprudelnde Nachrichten

Aber: Rund 1.700 Euro fehlen noch. Ihr könnt das jederzeit mit dem Counter auf unserer Website verfolgen. Es ist die türkisfarbene Box. Ob das in den verbliebenen Tagen noch zu schaffen ist? Stand Samstag sind es noch fünf Tage. Ich hoffe ja auf einen Last-Minute-Effekt! Wenn ihr was übrig habt: Helft uns dabei, diesen Counter nach unten zu treiben, und macht hier mit.

Letztes Jahr um die Zeit war der Sommer irgendwie anders. Es war heißer, und es war weniger los. Sommerloch, sagen Journalist*innen dazu. Dieses Jahr sprudeln die netzpolitischen Nachrichten munter weiter. Leider tritt dabei auch eine Menge Schmodder zutage.

Als hätte die EU mit der KI-Verordnung nicht längst klare Leitplanken gezogen, um biometrische Überwachung einzudämmen, hat das Haus von CSU-Innenminister Alexander Dobrindt eine Salve an Überwachungsvorhaben auf den Tisch geklatscht. Biometrische Suche nach Menschen im offenen Netz, sogar nach Zeug*innen? Was für eine furchtbare Idee.

Das finden auch mehrere zivilgesellschaftliche Organisationen, die diese Vorhaben in einem offenen Brief abwatschen. Lest hier die Zusammenfassung meiner Kollegin Chris.

Lasst euch nicht unterkriegen
Sebastian

Zum Einstieg in den zweiten Tag der Black Hat 2025 in Las Vegas beschwor die ehemalige New-York-Times-Journalistin Nicole Perlroth vor der versammelten Sicherheitscommunity ein Bild wachsender Cyberbedrohungen. Angreifer zielten mit Desinformationskampagnen auf den öffentlichen Diskurs und mit „Cyberwaffen“ auf kritische Infrastrukturen wie Stromnetze, das Gesundheitswesen und die Wasserversorgung.

Öffentlich-private Partnerschaften ebenso wie KI könnten allerdings gegen zunehmend eskalierende Angriffe helfen. Die Cybersicherheitsbranche brauche angesichts der Lage den Mut, Bedrohungen zu benennen, auch wenn das Konsequenzen nach sich ziehe.

Malware, die via DNS kommuniziert, stoppen

Im Anschluss ging es dann wieder tief in einzelne Lücken, Schwachstellen und Angriffsweisen. Vedang Parasnis demonstrierte, wie DNS als Tunnel für Command-and-Control-Server (C2) ausgenutzt werden kann – und wie man solche Schadprozesse erkennen und auch killen kann. Er hat einen eBPF-Filter und einen Userland-Prozess vorgestellt, der nicht nur den DNS-Verkehr von verdächtigen Prozessen stoppen kann, sondern auch den Malware-Prozess vom Kernel aus beendet. Und wenn dieser erneut aktiv wird, werde er sofort wieder beendet.

Mit KI Schwachstellen in Software finden

Mit dem Thema AI Agents for Offsec with Zero False Positives hat es Brendan Dolan-Gavitt von XBOW geschafft, den Vortragsraum schnell zu füllen. Jeder wollte wissen, wie es ihm gelungen ist, einfach mit LLMs Schwachstellen zu finden, welche keine False-Positives sind.

Als Erstes hat er gezeigt, dass LLMs extrem viele Schwachstellen zutage fördern, welche keine sind. Ein Umstand, der viele Open-Source-Entwickler in den Wahnsinn treibt, da so extrem viele Ressourcen verschwendet werden, ohne die Projekte weiterzubringen. Dolan-Gavitts Ansatz ist ein anderer: Er nutzt die KI-Agenten, um mit Ihnen eine Art „Capture the Flag“ zu spielen.

Er baut in der Software UUID-Flags ein, welche die KI-Agenten finden sollen. So hat er durch einen KI-Bot einen Authentication Bypass bei Redmine gefunden, und in vielen anderen Web-Anwendungen XSS und andere echte Schwachstellen. Dabei unterscheidet er zwischen Business-Logik-Schwachstellen, indem er diese Flags einbaut, und Anwendungen wie Datenbanken, wo er ein Flag in die Admin-SQL-Tabelle oder eine Flag-Datei in das Filesystem legt. So kann er die KI-Agenten nutzen, um Schwachstellen zu suchen, und durch das Auffinden der Flags hat er gleich den Beweis, dass es dort eine Schwachstelle gibt, die sonst unentdeckt wäre.

Durch diese Methode hat die KI 174 echte Schwachstellen gefunden, davon sind 22 CVEs schon zugewiesen und es stehen noch 154 an. Darunter befinden sich Projekte wie GeoServer (XXE), Apache HugeGraph (RCE), Puppy Graph (RCE), Apache TomCat (XXS). Er hat aktuell immer noch einen Backlog von 650 gefundenen Schwachstellen, wobei die größte Schwierigkeit für die Forscher ist, auch die Sicherheitsverantwortlichen für das jeweilige Projekt zu finden.

Hardwarefehler in allen Intel-Prozessoren

Sandro Rüegge und Johannes Wikner von der ETH Zürich zeigten eine Lücke in Intel-Prozessoren auf. Enhanced Indirect Branch Restricted Speculation (eIBRS) ist Intels primäre Abwehrmaßnahme gegen Spectre-Angriffe im Branch Target Injection-Stil (BTI). eIBRS verhindert den Missbrauch nicht vertrauenswürdiger Branch-Target-Predictions in Domänen mit höheren Berechtigungen (zum Beispiel im Kernel-/Hypervisor-Modus), indem es Vorhersagen aus anderen Berechtigungsdomänen als der, für die sie erstellt wurden, einschränkt.

Seit seiner Einführung Ende 2018 ist eIBRS die am besten geeignete BTI-Abwehr, auf die alle gängigen Betriebssysteme und Hypervisoren setzen, und hat Angreifer bisher erfolgreich daran gehindert, beliebige Branch-Target-Vorhersagen über Berechtigungsgrenzen hinweg einzuschleusen. Die Forscher zeigen jedoch, dass mikroarchitektonische Abwehrmaßnahmen wie eIBRS, ähnlich wie Software, anfällig für Race Conditions sind. Daher demonstrieren sie eine Technik, die es Angreifern ermöglicht, diesen Schutz komplett auszuheben über alle CPU-Berechtigungsebenen und Ringe hinweg.

Bei der Zurückverfolgung des Fehlers bis zu seinem Ursprung stellten die Forscher fest, dass er seit der Einführung des eIBRS vorhanden ist. Das bedeutet, dass die Intel-Prozessoren seit Sandy Bridge sind, also seit über sieben Jahren. In einer Live-Demo führten die Sicherheitsforscher vor, dass man mit ihrem Proof of Conzept als normaler Nutzer einfach alle Speicherpages nach dem Inhalt der /etc/shadow erbeuten kann. Diese Password-Datei sollte nur dem System und root zugänglich sein. Der Kernel war ein Linux 6.8, mit allen Mitigations- und Schutzmaßnahmen aktiviert. Das ganze Paper ist hier abrufbar.

Entwickler aus Nordkorea

Unter dem Pseudonym SttyK hat ein Südkoreaner über die IT-Machenschaften des Nordkorea-Regimes berichtet. Dabei werden IT-Mitarbeiter mit falschen Pässen als IT-Dienstleister und Remote-Angestellte eingeschleust, damit sie dann für das Regime Informationen erbeuten oder Devisen beschaffen. Typisch dafür seien Bewerbungen als qualifizierter „Full-Stack-Entwickler“ zu besonders günstigen Gehaltsvorstellungen. Dabei sollte jeder Arbeitgeber oder stutzig werden, wenn Dienstleister plötzlich die Bezahlung in Kryptowährungen haben will.

Die Nordkoreaner bewerben sich auch mit gefälschten Dokumenten, und SttyK hat gezeigt, wie man diese leicht mit Open-Source-Tools erkennen kann. Normale Pässe haben immer Rauschen im Druck. Wenn die Schrift zu perfekt ist, dann liegt eine Manipulation nahe.

(axk)