Bundesregierung verfehlt Ziele der IT-Konsolidierung
Eigentlich wollte die Bundesregierung die Bundes-IT in diesem Jahr fertig modernisiert haben. Vor zehn Jahren beschloss sie ein Konzept zur IT-Konsolidierung. Damit wollte der Bund „eine leistungsfähige, wirtschaftliche, stabile und zukunftsfähige IT“ erreichen.
Das Konzept schaffte es aber bisher vor allem in die Schlagzeilen, weil die Kosten von einer Milliarde Euro auf 3,5 Milliarden Euro stiegen. Seinen Zielen kam der Bund trotzdem kaum näher. Er wollte IT und Netzinfrastruktur für die Bundesverwaltung fit machen und Kosten senken, etwa durch das Zusammenlegen von Rechenzentren.
Über zehn Jahre später ist klar: Der Bund ist hinter den Zielvorstellungen von damals weit zurückgeblieben. Das ist das ernüchternde Prüfergebnis des Bundesrechnungshofes. Wir veröffentlichen den 34-seitigen Bericht: Zentrale IT des Bundes – 10 Jahre IT-Konsolidierung Bund und Netze des Bundes.
Ziele heruntergeschraubt
Der Bundesrechnungshof prüfte, wie die zuständigen Finanz- und Innenministerien das Mammutprojekt umsetzen. Hardware- und Software-Komponenten zu vereinheitlichen, hält der Bundesrechnungshof für sinnvoll. Damit ließen sich nicht nur Kosten einsparen. IT-Systeme seien dadurch auch einfacher zu pflegen und weiterzuentwickeln. Nicht zuletzt könne es sie sicherer machen und dazu beitragen, dass der Bund die eigene IT besser kontrollieren kann.
Doch der Rechnungshof kritisiert, dass die Bundesregierung die ambitionierten Ziele beschnitten habe. Der Bund wollte noch 2018 die über 1.300 Rechenzentren und Serverräume der Bundesverwaltung auf eine kleinere Zahl zusammenschrumpfen. Inzwischen hat sie dieses Ziel zu den Akten gelegt.
Auch die Ziele, Software-Lösungen zu standardisieren und zu bündeln, schränkte die Bundesregierung ein. Hier wollte das zuständige Bundesinnenministerium bis Ende 2025 49 zentrale IT-Lösungen bereitstellen. Doch nicht alle werden fertig. Dabei habe das BMI für seine Aufgaben in den Jahren 2016 bis 2025 eine Milliarde Euro erhalten.
Netze des Bundes
Zunehmend wichtiger werden die Netze des Bundes. Mit der IT-Konsolidierung soll ein großer Teil des Datenverkehrs zwischen Behörden dahin verlagert werden. Damit steigen auch die Anforderungen an die Netze des Bundes und ihren Betrieb.
Bundesregierung, Bundesverwaltung sowie die Verwaltungen der Länder sollen darüber besser zusammenarbeiten, kommunizieren und sicher Daten austauschen können. Netzbetreiberin ist die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben. Diese BDBOS untersteht dem BMI.
Doch davon sind die Netze des Bundes weit entfernt. Laut Bundesrechnungshof sind wesentliche Komponenten „veraltet“, erhalten also zum Beispiel keine Sicherheitsupdates mehr. Zudem erfüllten die Netze des Bundes grundlegende Anforderungen zur „Bandbreite, Skalierbarkeit und Leistungsfähigkeit“ nicht. Mitarbeiter*innen in Behörden können darüber etwa keine Videokonferenzen abhalten oder mobil arbeiten.
Das kann die BDBOS laut Rechnungshof mit der jetzigen Architektur auch nicht entsprechend anpassen. Daher entwickelt sie die Netze des Bundes zu einem Informationsverbund der öffentlichen Verwaltung weiter. Das soll 1,3 Milliarden Euro kosten. Die müsste der Bund zur Verfügung stellen, so der Rechnungshof, unter anderem auch dafür, sich vom privaten Generalunternehmer unabhängiger zu machen.
IT-Strategie wird nicht konkret
Seit 2022 arbeitet die Bundesregierung an einer neuen IT-Strategie zusammen mit dem IT-Rat. Dieses Gremium steuert die Digitalisierung der Bundesverwaltung und legte zehn Handlungsfelder fest, um Ziele der Konsolidierung handhabbar zu machen. Dazu gehört etwa „Konsolidierung, Standardisierung und Nachfrage“.
Doch konkret ist die Bundesregierung bisher nur beim Handlungsfeld „Cloud Computing“ geworden. Andere Felder zu „Digitaler Souveränität, Resilienz und Sicherheit“ oder „Digitale Infrastruktur“ ließen laut Rechnungshof keine klare Zielsetzung und daher auch keine Fortschritte erkennen.
Mängel beim Monitoring
Der Bundesrechnungshof kritisiert: „Die Bundesregierung hat die übergreifenden Ziele der IT-Konsolidierung Bund seit dem Jahr 2015 weder überprüft noch angepasst.“ Für das mangelnde Monitoring führt er mehrere Beispiele an.
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
So habe die Bundesregierung bislang nicht geprüft, inwieweit sie von technologischen oder geopolitischen Entwicklungen weltweit betroffen ist, wenn sie ihre IT bündelt. Ein Beispiel dafür sind wiederum Lieferkettenprobleme.
Logistikprobleme, Handelsbeschränkungen oder politische Konflikte – diese Ursachen zählt etwa die Zentralstelle für IT-Beschaffung auf. Die Bundesverwaltung hat dann unter Umständen mit höheren Preisen zu kämpfen oder muss damit rechnen, auf Server sieben Monate lang zu warten.
Eine klare Zielsetzung schaffte auch das BMI bei Thema IT-Beschaffung nicht. Um IT für den Bund wirtschaftlich zu beschaffen, sollte das Ministerium die Nachfrage und Beschaffung koordinieren. Dazu sollten Behörden unter anderem möglichst über Rahmenverträge einkaufen. Die Hoffnung sind hier niedrigere Preise. Laut Rechnungshof legte das BMI jedoch nicht fest, wie es die Auswirkungen auf Einkaufspreise messen will.
Zu viele Externe
Um die einzelnen Aufgabenbereiche umsetzen zu können, konnte sich die Bundesregierung nicht allein auf eigenes qualifiziertes Personal verlassen. Das geht aus dem Bericht des Rechnungshofes hervor.
Daher habe beispielsweise das BMI in den Jahren 2018 bis 2022 viele Externe beauftragt. Für Dienstleistungen zu „Projektunterstützung, Finanzcontrolling, Risikomanagement und Veränderungsmanagement“ habe das Ministerium „knapp 28 Millionen Euro“ ausgegeben.
Der Rechnungshof mahnt, die Bundesregierung dürfe sich gerade beim Thema Finanzcontrolling seiner IT-Projekte nicht von Externen abhängig machen. „Dies kann die Verwaltungsintegrität gefährden.“ Laut Bericht hat das Digitalministerium angekündigt, künftig mehr Stellen zu erhalten.
Noch ein langer Weg
Der Bundesrechnungshof sieht noch „einen langen Weg“ zur zentralen IT des Bundes: „Die Bundesregierung wollte mit der IT-Konsolidierung Bund und den Netzen des Bundes eine leistungsfähige, sichere, wirtschaftliche und zukunftsfähige zentrale IT für die Bundesverwaltung aufbauen. Sie hat es bis heute nicht geschafft, die dafür nötigen Stellschrauben vollständig zu justieren.“
Biometrische Überwachung bei Online-Prüfungen illegal
Beim Proctoring mussten die Studierenden teilweise ihre Zimmer abfilmen und einer Gesichtserkennung zustimmen. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Jochen Tack
Während der Pandemie nutzten viele Universitäten sogenannte Proctoring-Systeme. Diese sollen Betrug bei Online-Prüfungen der Studierenden verhindern, zeichnen sich aber durch tiefe Eingriffe in Datenschutz und Privatsphäre aus. So mussten die Studierenden teilweise ihr gesamtes Zimmer filmen, einer Gesichtserkennung zustimmen und dem Überwachungssystem Zugriff auf quasi den ganzen Computer geben. Schon damals gab es Beschwerden von Studierenden und Landesdatenschutzbeauftragten.
Die Gesellschaft für Freiheitsrechte (GFF) kritisierte in einem Gutachten, dass die Grundrechte der Studierenden bei Online-Prüfungen unter die Räder geraten seien. Die Nichtregierungsorganisation suchte damals nach Betroffenen und klagte zusammen mit diesen gegen die invasive Software. Nun hat das Thüringer Oberlandesgericht am Montag über eine Klage entschieden und klargestellt, dass die Videoüberwachung von Studierenden bei Online-Prüfungen rechtswidrig ist, wenn dabei biometrische Daten verarbeitet werden. Das verstoße gegen die Datenschutzgrundverordnung, heißt es in der Pressemitteilung der GFF.
Betroffene erhält Schadenersatz
In dem in Thüringen entschiedenen Fall nutzte die Universität Erfurt demnach die Anwendung Wiseflow, die die Studierenden unter anderem mittels Gesichtserkennung überwacht. Damit wollte die Universität sicherstellen, dass stets die gleiche Person vor dem Monitor sitzt. Wiseflow verarbeitete biometrische Daten und leitete sie darüber hinaus an den Dienstleister Amazon Web Services weiter. Diese Praxis hat das Gericht nun für rechtswidrig erklärt und der Klägerin zudem einen Schadensersatz zugesprochen.
„Die Software hat damals starke Ängste in mir ausgelöst. Ich wusste nicht, wie sie funktioniert und was mit meinen Daten passiert. Aber ich hatte keine andere Wahl, weil ich mit meinem Studium vorankommen wollte“, erklärt Klägerin Jennifer Kretzschmar. „Ich bin froh, dass das Gericht jetzt festgestellt hat, dass die Überwachung rechtswidrig war. Hoffentlich achtet die Universität die Grundrechte der Studierenden bei Prüfungen künftig.“
Die GFF geht davon aus, dass das Urteil auch Signalwirkung für andere Bereiche, etwa die Überwachung am Arbeitsplatz, habe.
Neue DDoS-Spitze: Microsoft wehrt 15,7 TBit/s-Angriff ab
close notice
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
.
Am 24. Oktober dieses Jahres hat Microsoft in seiner Azure-Cloud einen umfangreichen DDoS-Angriff mit mehreren Angriffsvektoren von 15,72 TBit pro Sekunde beobachtet. Die Last erzeugten 3,64 Milliarden Pakete pro Sekunde, was die derzeit größte beobachtete DDoS-Attacke auszeichnet, schreibt Microsoft in einem Blog-Beitrag.
Weiterlesen nach der Anzeige
Das Unternehmen führt aus, dass der Angriff vom Aisuro-Botnet ausging – das hatte im Mai etwa das Blog des IT-Sicherheitsjournalisten Brian Krebs attackiert. Es handele sich dabei um ein Mirai-artiges Botnet „mit Turbo“, das immer wieder rekordverdächtige DDoS-Angriffe ausführt. Dabei missbrauchten die kriminellen Drahtzieher kompromittierte Heimrouter und Kameras, die zum Großteil in Netzen von Internetprovidern für Privathaushalte in den USA und anderen Ländern stünden.
Bei einem DDoS-Angriff überfluten bösartige Akteure Server oder Systeme mit so vielen Anfragen, dass sie reguläre Anfragen etwa von echten Menschen nicht mehr beantworten können. DDoS-Angriffe nehmen sie somit quasi offline.
Der Angriff umfasste unter anderem UDP-Floods mit extrem hohen Raten, die auf eine bestimmte öffentliche IP-Adresse gerichtet waren – einem einzelnen Endpunkt in Australien. Sie gingen von mehr als einer halben Million Quell-IP-Adressen aus diversen Regionen aus. Die UDP-„Ausbrüche“ zeigten nur zu einem kleinen Teil Spoofing der Quelle und verwendeten zufällige Quell-Ports, was die Rückverfolgung erleichterte. „Angreifer skalieren mit dem Internet selbst“, schreibt Microsoft, „mit steigenden Geschwindigkeiten der Glasfaseranschlüsse und zunehmend stärkerer IoT-Hardware klettert auch die Grundlinie für Angriffsgrößen“.
DDoS-Angriff abgewehrt
Microsoft erklärt, dass der DDoS-Schutz von Azure den Angriff automatisch entdeckt und abgewehrt habe. „Bösartiger Verkehr wurde effektiv ausgefiltert und umgeleitet, was zur ununterbrochenen Dienstverfügbarkeit für Kunden-Workloads führte“, schreibt der Autor des Blog-Beitrags.
Im Juni hatte Cloudflare eine Spitzenlast von 7,3 TBit/s bei einem DDoS-Angriff beobachtet. Damit hat sich der der Spitzenwert in nicht einmal einem halben Jahr mehr als verdoppelt.
Anfang September hatte Cloudflare zuletzt eine DDoS-Attacke mit in der Spitze 11,5 TBit pro Sekunde gemeldet. Dafür hatten die Angreifer sogar 5,1 Milliarden Pakete pro Sekunde gesendet – deutlich mehr als die Angreifer jetzt an den von Microsofts Azure geschützten Endpunkt.
3,5 Milliarden Konten: Komplettes Whatsapp-Verzeichnis abgerufen und ausgewertet
close notice
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
.
Das gesamte Mitgliederverzeichnis von WhatsApp stand online ungeschützt zum Abruf bereit. Österreichische Forscher konnten sich deshalb alle Telefonnummern und weitere Profildaten – darunter öffentliche Schlüssel – herunterladen, ohne auf ein Hindernis zu stoßen. Sie fanden mehr als 3,5 Milliarden Konten. Gemessen an der Zahl Betroffener ist es der wohl größte Datenabfluss aller Zeiten. Ein Teil der Forschungsgruppe hat sich bereits mehrfach mit WhatsApp befasst und beispielsweise eruiert, was WhatsApp trotz Verschlüsselung verrät, und herausgefunden, wie ein Angreifer die Whatsapp-Verschlüsselung herabstufen kann. Dennoch stellte sich Whatsapp-Betreiber Meta Platforms hinsichtlich der neuen Forschungsergebnisse ein Jahr lang taub.
Weiterlesen nach der Anzeige
„Dann kennen die Wissenschaftler jetzt eben sehr viele Telefonnummern“, haben sich die Verantwortlichen womöglich gedacht, „Na und?“ Wiederholte Warnhinweise, die die Gruppe der Universität Wien und der österreichischen SBA Research ab September 2024 bei Whatsapp eingereicht haben, wurden zwar mit Empfangsbestätigungen bedacht, bald aber zu den Akten gelegt. Erst als die Forscher zweimal einen Entwurf ihres Papers einreichten und dessen unkoordinierte Veröffentlichung bevorstand, wachte Meta auf: Aus den Daten lässt sich nämlich erstaunlich viel ablesen, und für manche User kann das lebensbedrohlich sein.
Da sind einmal Informationen, die für Meta Platforms selbst sensibel sind, aus wettbewerblichen und regulatorischen Gründen: Wie viele Whatsapp-User gibt es in welchem Land, wie verteilen sie sich auf Android und iOS, wie viele sind Geschäftskonten, wie groß ist der Churn (Kundenabwanderung), und wo gibt es offensichtliche Betrugszentren großen Maßstabs. Und dann sind da mehrere Klassen von Daten, die für Anwender ungemütlich bis lebensgefährlich sein können – obwohl die Forscher keine Datenpakete an oder von Endgeräten übertragen haben (sondern nur zu Whatsapp-Servern) und auch keine Inhalte oder Metadaten von Whatsapp-Kommunikation abgefangen haben.
WhatsApp-Verbot unwirksam
So war WhatsApp Stand Dezember 2024 in der Volksrepublik China, im Iran, in Myanmar sowie in Nordkorea verboten. Dennoch fanden die Forscher damals 2,3 Millionen aktive WhatsApp-Konten in China, 60 Millionen im Iran, 1,6 Millionen in Myanmar und fünf (5) in Nordkorea. Diese Handvoll könnte vom Staatsapparat selbst eingerichtet worden sein, aber für Einwohner Chinas und Myanmars ist es höchst riskant, wenn Behörden von der illegalen WhatsApp-Nutzung Wind bekommen. Und das passiert leicht, wenn sich der gesamte Nummernraum flott abfragen lässt.
Die 60 Millionen WhatsApp-Konten mit iranischer Telefonnummer entsprachen statistisch immerhin zwei Drittel der Einwohner. Das Verbot wirkte dort also offensichtlich nicht und wurde am Heiligen Abend 2024 auch aufgehoben. Drei Monate später gab es dann schon 67 Millionen iranische Konten. Deutlich stärker hat die Zahl jener zugenommen, die dasselbe WhatsApp-Konto auf mehr als einem Gerät nutzen. Während der Verbotsphase war das offenbar zu riskant, aber wenn WhatsApp nicht illegal ist, will man es vielleicht auch am Arbeitsrechner verwenden.
Profilbilder und Info-Feld
Weiterlesen nach der Anzeige
Annähernd 30 Prozent der User haben etwas in das „Info“-Feld ihres Profils eingetragen, und dabei geben manche viel preis: politische Einstellungen, sexuelle oder religiöse Orientierung, Bekenntnisse zu Drogenmissbrauch gibt es dort genauso wie Drogendealer, die genau in diesem Feld ihr Warensortiment anpreisen. Auch darüber hinaus fanden die Wiener Forscher Angaben zum Arbeitsplatz des Users bis zu Hyperlinks auf Profile in sozialen Netzwerken, bei Tinder oder OnlyFans. E-Mail-Adressen durften natürlich nicht fehlen, darunter von Domains wie bund.de, state.gov und diverse aus der .mil-Zone. Das ist ein gefundenes Fressen für Doxxer und andere Angreifer, aber auch Spammer und einfache Betrüger.
Zudem verriet WhatsApp den Zeitpunkt der jüngsten Änderung – nicht nur des Info-Feldes, sondern auch der Profilfotos, die immerhin 57 Prozent aller WhatsApp-User weltweit hochgeladen und als für jedermann einsehbar definiert haben, darunter US-Regierungsmitglieder. Für den Nordamerika-Vorwahlbereich +1 haben die Forscher alle 77 Millionen für jedermann einsehbaren Profilbilder heruntergeladen – stolze 3,8 Terabyte in Summe. In einer daraus gezogenen zufälligen Stichprobe von einer halben Million Bildern fand eine Gesichtserkennungsroutine in zwei Dritteln der Fälle ein menschliches Gesicht. Die leichte Zugänglichkeit der Fotos hätte also erlaubt, eine Datenbank zusammenzustellen, die durch Gesichtserkennung in vielen Fällen zur Telefonnummer führt und umgekehrt. Selbst Profilbilder ohne Gesicht können geschwätzig sein: bisweilen sind Autokennzeichen, Straßenschilder oder Wahrzeichen abgebildet.
Weitere Informationen liefert die Anzeige, wie viele Geräte unter einem WhatsApp-Konto registriert sind (bis zu fünf). Aus den fortlaufend vergebenen IDs lässt sich schließen, ob diese zusätzlich genutzten Geräte häufig geändert werden oder stabil bleiben.
