Apples sogenannte App-Tracking-Transparenz, kurz ATT, sorgt in einem weiteren Land für den Konzern für Ärger: Die italienische Marktaufsicht AGCM (Autorità garante della concorrenza e del mercato) möchte laut Pressemitteilung aus der vergangenen Woche insgesamt 98,6 Millionen Euro sehen, weil die Funktion, mit der Nutzer App-übergreifende Werbeverfolgung auf dem iPhone unterbinden können, „den Wettbewerb behindert“. Damit folgen die Italiener ähnlichen Einschätzungen aus anderen europäischen Regionen, darunter darunter Deutschland, Frankreich, Polen und Großbritannien.

Behörde: Entwickler müssen doppelt nach Daten fragen – und das schadet ihnen

„Die Feststellungen der Behörde bestätigten aus wettbewerbsrechtlicher Sicht den restriktiven Charakter der App‑Tracking‑Transparency‑Richtlinie (…) gegenüber Drittentwicklern von Apps, die über den App Store vertrieben werden“, so der Regulierer. Drittanbieter‑App‑Entwickler müssten über den ATT‑Dialog eine gesonderte Einwilligung für die Erhebung und Verknüpfung von Daten zu Werbezwecken einholen. Die Strafe erklärt die AGCM mit einer interessanten Begründung: Dieser Dialog erfülle nicht die Anforderungen der Datenschutzgesetzgebung, sodass Entwickler gezwungen seien, für denselben Zweck eine zweite – eigene – Einwilligungsabfrage vorzunehmen.

„Die doppelte Einwilligungsabfrage, die sich zwangsläufig aus der ATT‑Richtlinie in ihrer derzeitigen Umsetzung ergibt, schränkt die Erhebung, Verknüpfung und Nutzung solcher Daten ein“, schreibt die Behörde. Der Ansatz der AGCM unterscheidet sich von anderen Einschätzungen gegenüber ATT – wie etwa die des Bundeskartellamtes. Dort hieß es, Hauptgrund der Bedenken sei, dass die „engen Anforderungen“ des ATT-Systems nur für andere App-Anbieter, aber nicht für Apple selbst gelten. Allerdings hatte schon Frankreich in seinem Vorgehen gegen das Apple-System ähnlich argumentiert wie die AGCM. Entwicklern falle es übermäßig schwer, mit ATT die Datenschutzgrundverordnung (DSGVO) einzuhalten, wenn sie doch tracken wollten.

Ende von ATT in Deutschland und anderswo naht

Apple dürfte gegen die Kartellstrafe der AGCM vorgehen. Der Konzern teilte in einer Stellungnahme mit, dass er der Einschätzung deutlich widerspricht. Wie schon in Frankreich gäbe es zudem ein Schlupfloch: Das ATT-Pop-up könnte „konformer“ zur DSGVO gemacht werden. Wie, ist allerdings unklar, zumal sich die Einschätzungen regelmäßig auf EU-Ebene zu wandeln scheinen.

Grundsätzlich ist die Funktion sehr beliebt – viele Nutzer wollen nicht, dass Daten von einer App zur anderen übergeben werden. Anbieter bedienen sich mittlerweile Tricks, Apples Einschränkungen zu umgehen, gegen die der iPhone-Hersteller vorgeht. Im Oktober hatte Apple öffentlich davor gewarnt, dass man die Anti-Tracking-Funktion in Deutschland womöglich abschalten müsste – sowie in anderen EU-Ländern.

(bsc)

Auf dem 39. Chaos Communication Congress übt die IT-Sicherheitsexpertin Bianca Kastl erneut massive Kritik an der elektronischen Patientenakte (ePA) für alle. Trotz gegenteiliger Beteuerungen von Politik und Gematik sei das System zum bundesweiten Start 2025 nicht ausreichend abgesichert gewesen. Der CCC forderte daraufhin ein „Ende der ePA-Experimenten am lebenden Bürger“. Kastl spricht von einem „Jahr null der IT-Sicherheit“ und warnt erneut vor den strukturellen Schwächen, die seit Jahren bekannt seien.

Im Zentrum ihrer Kritik stehen Identitäts- und Authentifizierungsprobleme innerhalb der Telematikinfrastruktur. Wiederholt habe der Chaos Computer Club gezeigt, dass sich Zugänge zur ePA unter bestimmten Voraussetzungen missbräuchlich erlangen lassen – etwa über fehleranfällige Ersatzverfahren, unzureichend geschützte Zugangsmittel oder organisatorische Schwächen bei der Ausgabe von eGK, PINs und Heilberufsausweisen. Viele der daraufhin eingeführten Gegenmaßnahmen – Rate Limits, zusätzliche Prüfziffern oder nachträgliche Einschränkungen – seien lediglich Flickwerk und änderten nichts an grundlegenden Designproblemen. Bei Identitäts- und Vertrauensdiensteanbietern, wie D‑Trust kam es beispielsweise zu Versandpannen. Dort wurden elektronische Heilberufsausweise falsch zugeordnet und an andere Ärzte verschickt.

Besonders kritisch sieht Kastl die Diskrepanz zwischen offizieller Risikokommunikation und tatsächlicher Lage. Während öffentlich von „Ende-zu-Ende-Verschlüsselung“ und „keinem Zugriff der Krankenkassen“ die Rede sei, liegen bei den Kassen faktisch alle Daten vor, die technisch eine Simulation von Karten und Identitäten ermöglichen könnten, um damit auf die Daten der ePA zuzugreifen. Eine Antwort auf eine Kleine Anfrage hatte beispielsweise ergeben, dass das Bundesgesundheitsministerium keine Kenntnis über die Verträge zwischen den Betreibern und den Krankenkassen hat. Gleichzeitig würden zentrale Dokumente wie ein Architecture Decision Record sowie eine Datenschutzfolgenabschätzung nicht oder nur eingeschränkt veröffentlicht – Anfragen nach dem Informationsfreiheitsgesetz seien teils abgelehnt worden.

Hinzu kommen wiederkehrende Ausfälle und Instabilitäten der Telematikinfrastruktur. Eine offiziell genannte Verfügbarkeit von 96 Prozent bedeute rechnerisch mehr als zwei Wochen Ausfall pro Jahr – mit direkten Folgen für Praxen und Patient:innen. Sicherheitsprobleme bei Praxissoftware, Kartenherstellern und Vertrauensdiensten verschärften die Lage zusätzlich.

Kastl kritisiert zudem die politische Strategie: Sicherheitswarnungen externer Experten seien monatelang ignoriert worden, Verantwortung werde zwischen Ministerium, Gematik und Dienstleistern hin- und hergeschoben. Die Risiken trügen am Ende die Versicherten selbst – durch mögliche Datenschutzverletzungen, Manipulationen oder Systemausfälle.

Die zentrale Forderung aus dem Umfeld des CCC bleibt daher unverändert: eine unabhängige und belastbare Bewertung der Sicherheitsrisiken, transparente Kommunikation gegenüber den Betroffenen und ein offener Entwicklungsprozess über den gesamten Lebenszyklus der ePA. Vertrauen. Kastls Fazit: „Vertrauen lässt sich nicht verordnen“ – schon gar nicht bei den sensiblen digitalen Großprojekten des Landes.

(mack)

Wenn Bürger im digitalen Raum nach Informationen staatlicher Stellen suchen, ist Verlässlichkeit die wichtigste Währung. Eine offizielle Webseite muss nicht nur vertrauenswürdig, sondern auch zweifelsfrei als solche erkennbar sein. Doch wer in Deutschland nach staatlicher Expertise sucht, begibt sich oft auf eine digitale Schnitzeljagd. Anstatt einer klaren Kennzeichnung herrsche seit Jahren Intransparenz, kritisiert der IT-Sicherheitsforscher Tim Philipp Schäfers. Diese sei nicht nur verwirrend, sondern berge auch handfeste Sicherheitsrisiken wie das Verteilen von Schadsoftware.

Um diesem Zustand entgegenzuwirken und den Druck auf die Verantwortlichen zu erhöhen, hat Schäfers am Montag auf dem Portal FragDenStaat eine Liste mit über 2000 Domains des Bundes veröffentlicht. Diese Daten trug der Experte mühsam über Scraping-Verfahren und Suchmaschinenanalysen zusammen. Die Übersicht bietet nun erstmals einen umfassenden Einblick in den digitalen Fußabdruck des Bundes.

Diese Offenheit sei ein notwendiger Schritt für mehr digitale Souveränität, begründet Schäfers die Veröffentlichung. Sie ermögliche es der Öffentlichkeit und anderen staatlichen Stellen, die Authentizität von Webseiten zuverlässig zu prüfen. Zugleich zwinge sei die Behörden dazu, ihre Sicherheitsvorkehrungen auf ein zeitgemäßes Niveau zu heben. Nur wenn klar dokumentiert werde, welche Domains offiziell sind, ließen sich gefälschte Angebote effektiv entlarven.

„Domain-Kuddelmuddel“

Das Management der Bundes-Domains gleicht aktuell einem Wildwuchs. Während Nationen wie die USA mit .gov oder Großbritannien mit gov.uk auf eine einheitliche und unmissverständliche Endung setzen, verharrt Deutschland in einem dezentralisierten Flickenteppich.

Dieses „Domain-Kuddelmuddel“ zeigt sich laut Schäfers in einem verwirrenden Mix aus klassischen .de-Adressen, selten genutzten .bund.de-Strukturen und einer Vielzahl von Sonderdomains für kurzfristige Projekte oder Initiativen. Oft ist für Außenstehende kaum ersichtlich, ob eine Seite tatsächlich von einer Behörde oder einem Ministerium betrieben wird oder ob es sich um eine gut gemachte Kopie handelt. Die Unklarheit nutzten Betrüger in der Vergangenheit bereits aus. So wurden während der Corona-Pandemie staatliche Websites gezielt nachgeahmt, um Fördergelder abzugreifen. Ein weiteres Problem sind ausgelaufene Domains des Bundes, die in die Hände unbefugter Dritter gelangten, weil das Management der Adressen versagte. Werden solche Adressen nicht rechtzeitig verlängert oder nach einer Umstrukturierung vergessen, können sie zur Falle für Nutzer werden, die dort weiterhin offizielle Inhalte vermuten.

Besonders deutlich werde die Absurdität bei einem Blick auf die Namensänderungen von Ministerien nach Regierungsneubildungen, führt Schäfers aus. Als Beispiel nennt er das heutige Bundesdigitalministerium, das seit Ende der 1990er Jahre gleich fünf verschiedene Bezeichnungen getragen habe. Jede dieser Umbenennungen habe eine Spur an Domains hinterlassen – von bmvbs.de über bmvi.de bis hin zu unzähligen Variationen mit Endungen wie .net, .org oder .info. Sogar „Minister-Domains“ wie verkehrsminister.de seien registriert worden. Diese Flut an Adressen mache es Bürgern praktisch unmöglich, die Echtheit einer URL zu beurteilen.

Die eigentlich geplante „digitale Dachmarke“ mit der Endung gov.de, die der IT-Planungsrat bereits im März 2024 beschloss, lässt derweil auch Jahre später auf ihre vollständige Umsetzung warten. Bisher sind nur verschwindend wenige dieser eindeutigen Domains tatsächlich im Einsatz.

Probleme mit bund.ee

Inmitten dieser Unübersichtlichkeit verfolgt die Bundesregierung eine Strategie, von der Schäfers gar nichts hält: Security by Obscurity. Behörden stufen Listen ihrer betriebenen Domains teils als Verschlusssache ein, in der Hoffnung, dass unbekannte Systeme seltener angegriffen werden. Doch dieses Prinzip gilt in der modernen IT-Landschaft als überholt. Geheimhaltung bietet keinen Schutz vor gezielten Angriffen, da automatisierte DNS-Scans, Suchmaschinen und Transparenz-Logs für Zertifikate solche Adressen ohnehin früher oder später aufspüren. Ein Angreifer benötige keine offizielle Liste, um den Adressraum einer Behörde systematisch zu erfassen, gibt Schäfers zu bedenken. Vielmehr wiege die Geheimhaltung auch die Betreiber in einer trügerischen Sicherheit.

Die Risiken dieser Intransparenz untermauerten kürzlich Vorfälle rund um die Endung „bund.ee“, wie Schäfers am Sonntag auf dem 39. Chaos Communication Congress (39C3) in Hamburg berichtete. Ein einfacher Tippfehler oder eine falsch assoziierte Endung wie bei dieser von ihm testweise gesicherten Domain könnten dazu führen, dass Nutzer auf privaten oder gar bösartigen Seiten landeten, die offiziell wirkten. Versäume es der Staat, seine digitale Identität klar zu definieren und zu kommunizieren, überlasse er den Raum Desinformationskampagnen und Betrugsversuchen. Echte Sicherheit entstehe durch robuste technische Schutzmaßnahmen wie starke Authentifizierung und eine kontinuierliche Bestandskontrolle.

Die Einführung der gov.de-Domain für alle Bundesbehörden dürfe nicht länger aufgeschoben werden, verlangt der Forscher. Es brauche ein öffentliches Verzeichnis aller offiziellen Domains, damit die digitale Identität des Staates nicht länger ein Ratespiel bleibe.

(uma)