Wenn Deutschlands Geheimdienste öffentlich Rede und Antwort stehen müssen, ist das ein seltener Moment. Einmal im Jahr lädt das Parlamentarische Kontrollgremium – zuständig für die Aufsicht über Bundesnachrichtendienst (BND), Verfassungsschutz und Militärischer Abschirmdienst (MAD) – zu einer öffentlichen Anhörung ein.

In diesem Jahr war das Interesse besonders groß: Zum ersten Mal befragte das neu zusammengesetzte, derzeit auf sechs Abgeordnete geschrumpfte Gremium die Dienste in einer öffentlichen Sitzung. Und für die zwei frisch ernannten Präsidenten des Bundesamtes für Verfassungsschutz, Sinan Selen, und des Bundesnachrichtendienstes, Martin Jäger, war die Anhörung ebenso eine Premiere.

Wunschliste der Dienste

Wer den Verlauf der Sitzung verfolgte, bemerkte schnell, dass sich die Mitglieder des Kontrollgremiums darauf beschränkten, Fragen zur Bedrohungslage zu stellen und sich nach den Wünschen der Präsident:innen für zukünftige Befugnisse zu erkundigen. Die Präsident:innen nutzten die Gelegenheit, um einen ganzen Katalog an Erweiterungsvorschlägen zu präsentieren, begründet mit der komplexen Bedrohungslage, der sich die Bundesrepublik derzeit zweifellos ausgesetzt sieht.

Eine echte Debatte blieb leider fast vollständig aus. Dabei wäre gerade dieser öffentliche Austausch zwischen gewählten Fachpolitiker:innen, die mit der alltäglichen Arbeitsweise der Dienste bestens vertraut sind, und den Geheimdienstpräsident:innen der richtige Ort dafür.

Mehr Daten, mehr KI

Die Behördenvertreter:innen zeigten sich einig in ihrer Forderung nach mehr Befugnissen und Fähigkeiten. Ein Beispiel: Der bereits praktizierte Einsatz sogenannter Künstlicher Intelligenz soll ausgeweitet werden. Die Erkenntnisse, die sich durch automatisierte Datenverarbeitung gewinnen lassen, sind dabei immer abhängig von der Datenbasis.

Der neue BND-Präsident Martin Jäger verlangte deshalb nach einem größeren Datenvorrat. Er wünschte sich, dass die Fristen, innerhalb derer der BND Überwachungsdaten wieder löschen muss, wenn sie nicht benötigt werden, verlängert werden. Das solle insbesondere auch für Daten gelten, die der BND von ausländischen Partnerbehörden erhält.

Grundrechte kein Thema

Für die Öffentlichkeit wäre eine Diskussion darüber, wie sich solche automatisierten Überwachungsvorgänge grundrechtssicher gestalten lassen, besonders interessant gewesen. Die Sicherheitsbehörden müssen ihre Arbeitsweise stetig weiterentwickeln, um ihrem Auftrag gerecht zu werden.

Werden aber neue Technologien eingesetzt, wirkt die Arbeit der Dienste auf neue Weise auf Grundrechte. Diese Auswirkungen im Blick zu haben und über notwendige Begrenzungen nachzudenken, ist Teil des Auftrags sowohl der Präsident:innen als auch der PKGr-Mitglieder. Ein Austausch darüber hätte deshalb seinen Platz in dieser Anhörung verdient.

Ebenso spannend wäre es gewesen zu erfahren, wie in den zuständigen Kontrollbehörden die notwendige Expertise aufgebaut werden kann. Denn damit unabhängige Kontrollorgane überhaupt überprüfen können, ob algorithmenbasierte Überwachungsmaßnahmen zweck- und verhältnismäßig sind, müssen sie über Know-how und Ressourcen verfügen, um die Eingriffe zu analysieren.

Ergebnisse statt Prozesse

Der BND-Chef erklärte im Zuge der Anhörung auch, dass ihn Ergebnisse interessieren und nicht so sehr die Prozesse, die zu diesen Ergebnissen führen. Das klingt zupackend, wirft aber Fragen auf. Denn die Art und Weise, wie geheimdienstliche Arbeit organisiert ist, entscheidet darüber, ob sie sich innerhalb der gesetzlichen Grenzen bewegt.

Deshalb ist es so wichtig, wie die Prozesse und Regeln ausgestaltet sind, die das Parlament den Diensten vorgibt – besonders dann, wenn sie in Grundrechte der Menschen eingreifen, die sie eigentlich schützen sollen. Diese demokratisch festgelegten Regeln sichern nicht nur die Legitimität der Dienste, sondern beeinflussen auch, wie effektiv sie ihren Auftrag erfüllen können.

Vor diesem Hintergrund hätte man sich hier gewünscht, dass die Mitglieder des Kontrollgremiums solche Argumente aus gesetzgeberischer Perspektive in die Diskussion einbringen. Es ist genauso wichtig, der Öffentlichkeit das Selbstverständnis des Parlaments zu vermitteln wie sie für die bestehende Bedrohungslagen zu sensibilisieren.

Konstruktive Kritik notwendig

Solche kritischen und konstruktiven Fragen, wie sie das parlamentarische Kontrollgremium in den nicht-öffentlichen Sitzungen den Sicherheitsbehörden im Rahmen des Möglichen sicherlich stellt, gehören – unter Wahrung des Geheimschutzes – dringend auch in die jährliche öffentliche Anhörung.

Eine ausgewogene Debatte über neue Befugnisse macht die Arbeit der Sicherheitsbehörden besser. Sie ist zudem keineswegs Ausdruck von übermäßigem Misstrauen gegenüber diesen Behörden – sie ist Ausdruck intakter demokratischer Prozesse. Sie liegt nicht zuletzt im ureigenen Interesse dieser Behörden, weil sie deren Glaubwürdigkeit und Legitimation stärkt.

Dass Geheimdienste grundsätzlich Regeln brauchen, die von Volksvertreter:innen aufgestellt werden, darüber waren sich die Anwesenden bei der Anhörung einig. Ebenso galt das für die Notwendigkeit, die Urteile des Bundesverfassungsgerichts bei der Ausgestaltung und Umsetzung zu respektieren.

Reform der Geheimdienst-Gesetze

Diese Regeln wird die Bundesregierung nun, wie im Koalitionsvertrag angekündigt, überarbeiten. Der Anspruch für diese Novelle muss sein, die zahlreichen bestehenden verfassungsrechtlichen Mängel zu beheben – und sicherzustellen, keine neuen unausgereiften oder gar verfassungswidrigen Regelungen zu schaffen.

Für die Reform sollten alle politischen Akteure den Mut haben, komplexe Fragen auch öffentlich anzusprechen. Ein offener und ehrlicher Austausch während des Gesetzgebungsprozesses unterstützt die Ziele der Novelle. Wer vielfältige Stimmen berücksichtigt, stärkt nicht nur die Qualität des Gesetzes, sondern auch die Legitimation der Dienste. Eine vielstimmige Debatte bietet zudem einen Schutz vor schlechten Entscheidungen.

Denn eines sollte man unbedingt vermeiden: Normen, die das Verfassungsgericht später aufhebt, würden den Geheimdiensten in ihrem Einsatz gegen die vielfältigen Bedrohungen einen Bärendienst erweisen.

Corbinian Ruckerbauer arbeitet als Senior Policy Researcher für den Berliner Think Tank interface. Im Programm Digitale Grundrechte, Überwachung und Demokratie beschäftigt er sich mit der rechtsstaatlichen Kontrolle von Geheimdiensten.

Sowohl für Mozillas Firefox und Thunderbird als auch für Googles Chrome-Browser gibt es Aktualisierungen. Kritische Schwachstellen wurden nicht geschlossen – wohl aber einige Lücken mit „High“-Einstufung, die Cybergangster ausnutzen könnten.

Bislang wurde derlei bei den aktuellen Lücken noch nicht beobachtet; dennoch ist baldiges Updaten ratsamer, als es darauf ankommen zu lassen. Bei aktivierter Updatefunktion passiert das in der Regel automatisch. Die neue Firefox-Version 144 steht zudem auch auf der zugehörigen Ankündigungsseite zum Download bereit.

Stable Channel Update für Chrome

Die neuen Stable-Channel-Versionen 141.0.7390.107/.108 für Windows und macOS sowie 141.0.7390.107 für Linux beheben eine Chrome-Sicherheitslücke, von der laut Google ein hohes Risiko ausgeht. Auch die Chrome-Fassung für Android war vor der neuen, abgesicherten Fassung 141.0.7390.111 von der Lücke betroffen.

Die betreffende Lücke CVE-2025-11756 („High“) steckt im Safe-Browsing-Feature. Es handelt sich um eine Use-after-free-Schwachstelle, bei der freigegebener Speicher unzulässigerweise weitergenutzt wird. Weitere Details verrät Googles Ankündigung zum Stable Channel Update aber nicht.

Wer tiefer in technische Interna einsteigen möchte, kann das Changelog der Chromium-Codebasis studieren.

Ist Chrome auf dem neuesten Stand?

Welcher Softwarestand derzeit aktiv ist, kann man über Chromes Browser-Menü herausfinden, das sich hinter dem Symbol mit drei aufeinandergestapelten Punkten rechts von der Adressleiste befindet. Dort geht es weiter über „Hilfe“ – „Über Google Chrome“.

Unter Linux müssen Nutzerinnen und Nutzer dafür in der Regel die Softwareverwaltung der eingesetzten Distribution starten. Die abgesicherte Android-Fassung ist via Google Play verfügbar.

Auch andere Webbrowser auf Chromium-Codebasis dürften verwundbar sein. Deren Hersteller dürften in Kürze ebenfalls Aktualisierungen zum Stopfen des Sicherheitslecks verteilen, etwa Microsoft für den Edge-Webbrowser.

Firefox, Firefox ESR und Thunderbird abgedichtet

Jeweils gleich mehrere Schwachstellen-Updates haben der freie Browser Firefox und dessen ESR (Extended Support Release)-Fassung sowie der E-Mail-Client Thunderbird erhalten.

Mozillas Übersichtsseite mit Sicherheitshinweisen nennt als abgesicherte Versionen den neuen Firefox 144 sowie die ESR-Versionen 140.4 und 115.29. Ebenfalls abgesichert sind Thunderbird 140.4 und natürlich auch die frische E-Mail-Client-Ausgabe 144 (siehe Release-Notes).

Wie gewohnt überschneiden sich einige der Security-relevanten Bugfixes in den Advisories der Mozilla-Software. Mehrere Lücken mit „High“-Einstufung hätten nach Einschätzung des Teams „mit ausreichend Aufwand“ zum Ausführen beliebigen schädlichen Codes missbraucht werden können. Ebenfalls vertreten sind Schwachstellen, die zum Auslesen von Informationen oder für unbefugte schreibende Zugriffe etwa auf JavaScript-Objekte hätten ausgenutzt werden können.

Weiteres zu Firefox 144

Wer sich für neue Funktionen und Änderungen in Firefox 144 interessiert, findet auf der Ankündigungsseite nähere Informationen hierzu.

Aus Security-Perspektive interessant: Der integrierte Passwortmanager setzt zur Verschlüsselung künftig AES-256-CBC (statt zuvor 3DES-CBC) ein, um gespeicherte Daten besser zu schützen.

(ovw)

Wer ein Unternehmen gründen will, soll dies laut den Plänen des Digitalministeriums in Zukunft innerhalb von nur 24 Stunden online erledigen können. In einem Webportal, ganz bequem von zu Hause aus. Dafür soll es ein einheitliches digitales Verfahren geben, ganz egal in welcher Kommune das Unternehmen sitzt. Auch Steuer- und Handelsregisternummern sollen über Schnittstellen zu den zuständigen Behörden im selben Portal erstellt werden.

Die Grundlage dafür soll künftig der Deutschland-Stack bilden, kurz: D-Stack. Es ist eines der Prestigeprojekte des neu gegründeten Ministeriums für Digitales und Staatsmodernisierung und soll eines der zentralen Versprechen der Bundesregierung einlösen: den Staat und die Verwaltung zu modernisieren und zu digitalisieren. Und zwar indem der Deutschland-Stack eine einheitliche digitale Infrastruktur für die öffentliche Verwaltung in Bund, Ländern und Kommunen bereitstellt.

Die Erwartungen an den D-Stack sind dementsprechend riesig. Sein Aufbau wird aus dem Sondervermögen Infrastruktur bezahlt. Allein für das laufende Jahr wurden knapp 40 Millionen Euro eingeplant, wie das Digitalministerium auf Anfrage mitteilte.

Was ist der Deutschland-Stack?

In einem kürzlich von der Bundesregierung beschlossenen Reformen-Fahrplan, der sogenannten Modernisierungsagenda, wird der Deutschland-Stack als „eine sichere, interoperable, europäisch anschlussfähige und souveräne Technologie-Plattform zur Digitalisierung der gesamten Verwaltung“ beschrieben. Er soll in den nächsten Jahren schrittweise aufgebaut werden. Ab 2028 sollen Bund, Länder und Kommunen den Stack nutzen können.

In einem Stack sind üblicherweise bestimmte aufeinander aufbauende Softwarekomponenten wie Programmiersprachen, Front- und Backend, Datenbanken, Bibliotheken, Schnittstellen und Entwicklungswerkzeuge gebündelt. Mit ihrer Hilfe werden dann Anwendungen entwickelt und betrieben. Der Deutschland-Stack wird demnach aus einer einheitlichen IT-Infrastruktur mit festgelegten technischen Standards und Diensten, wie der digitalen Legitimation, der Bezahlfunktion, dem Once-Only-Prinzip, einem vom Bund kuratierten Marktplatz sowie einer KI-gestützten Planungs- und Genehmigungsplattform bestehen.

Diese grundlegenden Dienste nennt der Bund „Basiskomponenten“ und will sie erstmals selbst bereitstellen, damit Verwaltungen der Länder und Kommunen sie nachnutzen können. Das sei zielführender als die Digitalisierung der Verwaltung über Rechtsvorschriften, teilt Jörg Kremer von der Föderalen IT-Kooperation (Fitko) gegenüber netzpolitik.org mit. Die Fitko koordiniert die Digitalisierung der öffentlichen Verwaltung von Bund und Ländern. Mit den Bausteinen werde ein deutlicher Weg hin zu einer Zentralisierung der digitalen Infrastruktur der öffentlichen Verwaltung eingeschlagen, sagt der Leiter der Abteilung Föderales IT-Architektur- und Standardisierungsmanagement und Cybersicherheit. Kremer hat selbst an den Grundlagen des Stacks mitgearbeitet.

Was sind die zentralen Basiskomponenten?

Die Basiskomponenten stehen bereits fest. Laufende Projekte wie die geplante EUDI-Wallet fügen sich laut BMDS in den Deutschland-Stack ein. Die EUDI-Wallet soll künftig eine Art digitale Brieftasche für alle EU-Bürger*innen sein, mit der sie sich online ausweisen und Verträge unterzeichnen können. Bis Ende 2026 muss jeder EU-Mitgliedsstaat eine Wallet anbieten, ihre Implementierung auf dem D-Stack ist innerhalb von drei Jahren geplant.

Für Markus Richter, Staatssekretär im Bundesdigitalministerium, bildet die „KI-gestützte Planungs- und Genehmigungsplattform H2-Plattform“ den „Nukleus“ des Stacks. Dabei handelt es sich um eine Plattform zur beschleunigten Planung von Wasserstoffleitungen, die bis 2032 in Betrieb gehen sollen. Ein etwa 9.000 Kilometer langes Netz aus Leitungen wird klimaneutralen Wasserstoff zu Industrie und Kraftwerken transportieren.

Die Genehmigungsprozesse für Wasserstoffleitungen sind lediglich ein erster Anwendungsfall. Später sollen weitere Antragsverfahren über die Plattform laufen, beispielsweise für den Bau von Windkraftanlagen, Biogas-Raffinerien sowie Energie- und Verkehrsinfrastrukturen.

Die KI-Komponente soll die Daten, die bei solchen Verfahren anfallen, verarbeiten und Teile der Prüfung automatisieren. Der erste Pilot der Plattform soll laut Richter am 15. November in Betrieb gehen, die KI-Komponente wird später angebunden. Derzeit läuft ein Vergabeverfahren für ihre Entwicklung.

Auch die deutsche Verwaltungscloud, ein Marktplatz für Cloud-Dienste für die öffentliche Verwaltung, und das National-Once-Only-Technical-System (NOOTS) sollen über den D-Stack laufen. Letzteres ist eine „Datenautobahn“ von Bund und Ländern, über die Behörden ebenenübergreifend miteinander Daten austauschen sollen. Ziel ist, dass Menschen ihre Daten bei verschiedenen Behörden nicht mehrmals eingeben müssen.

Im August hatte das Digitalministerium außerdem noch andere Missionen vorgestellt, in denen es weitere Kernkomponenten für den D-Stack erarbeitet. Dazu gehören das Identitäts- und Zugangsmanagement (Identity and Access Management, IAM), eine Low-Code-Plattform und Kipitz.

Mit IAM lässt sich regulieren, welche Personen Zugriff auf bestimmte Daten und Systeme in einer Organisation haben dürfen. Die Low-Code-Plattform ist eine Entwicklungsumgebung, die eher grafisch-visuell funktioniert und weniger Kenntnisse in klassischen Programmiersprachen erfordert. Kipitz ist ein bereits existierendes KI-Portal des ITZBund, des IT-Dienstleisters des Bundes, auf dem die Bundesverwaltung verschiedene KI-Modelle benutzt.

Konsultation eröffnet: Zweifel über die Umsetzung bleiben

Nach monatelanger Definitionsphase hat das Digitalministerium mittlerweile die Online-Konsultation für den Deutschland-Stack gestartet. Die Öffentlichkeit ist eingeladen, bis Ende November an der Konzeption des Stacks mitzuwirken. Eine neue Landing Page des Projekts ist auf der Open-Source-Plattform der öffentlichen Verwaltung OpenCode online gegangen.

Diese Seite hat beim Fachpublikum jedoch mehr Fragen aufgeworfen, als Antworten geliefert. Es gebe keine Klarheit darüber, wie der Deutschland-Stack genau ausgestaltet sein soll. „Es gibt weiterhin nicht ansatzweise ein Konzept, wie dieser Stack technisch, organisatorisch oder föderal überhaupt funktionieren soll“, schreibt beispielsweise Thomas Bönig, Leiter des Stuttgarter Amts für Digitalisierung, auf LinkedIn. Das Projekt wirke oberflächlich, unprofessionell und planlos. Wesentliche Aspekte wie Architektur, Roadmap oder klare Verantwortlichkeiten fehlen laut Bönig.

Auch der zivilgesellschaftliche Digitalverein D64 bemängelt gegenüber netzpolitik.org, dass entscheidende Fragen offen bleiben: Wer betreibt, finanziert und haftet für den Deutschland-Stack? Die Webseite beschreibe vor allem technische Ziele und liefere Allgemeinplätze. Es fehle an Substanz und einem belastbaren Konzept.

„Die größten Hemmnisse der Verwaltungsdigitalisierung sind nicht primär fehlende Technik, sondern fehlende Verbindlichkeit, föderale Koordination, nachhaltige Betriebsverantwortung, Nutzenden-Orientierung und Wiederverwendbarkeit von Komponenten“, sagt Bendix Sältz von D64. Technologie ohne klare organisatorische und rechtliche Verankerung werde diese Probleme nicht beseitigen.

Auch Kremer von der Fitko wünscht sich klare und eindeutige Absprachen darüber, wer welche Aufgaben beim Deutschland-Stack übernimmt. Der Stack muss sich in erster Linie daran orientieren, was Kommunen und Länder tatsächlich benötigen. Wenn eine konkrete Lösung entwickelt, gut dokumentiert und die Schnittstellen klar beschrieben sind, könnten etwa die Länder dafür verantwortlich sein, sie für ihre Fachverfahren zu nutzen.

„Die Vereinbarungen können auch anders gestaltet sein. Wichtig ist, dass sie im Vorfeld einheitlich geregelt werden“, betont der Abteilungsleiter bei der Fitko, um nicht die gleichen Fehler wie beim Onlinezugangsgesetz zu wiederholen. Der Plattformkern, der Basiskomponenten für alle föderalen Ebenen zur Verfügung stellt, sollte seiner Meinung nach idealerweise föderal gesteuert werden.

Digitale Souveränität: Wirtschaftsförderung oder Gemeinwohl?

„Digitale Infrastruktur entscheidet darüber, wer Zugang zu Informationen, Verwaltung und gesellschaftlicher Teilhabe hat“, teilt das Bündnis F5 auf unsere Anfrage mit, das aus fünf digitalpolitischen Vereinen besteht. Ähnlich wie D64 betont das Bündnis, dass der D-Stack sich nicht allein an Effizienz und Wirtschaftsförderung orientieren darf.

Öffentliche Infrastrukturmaßnahmen können sinnvoll sein, um die Abhängigkeit von Big Tech zu vermindern, so Sältz von D64 weiter. „Aber Souveränität darf weder als Rechtfertigung für nationale Abschottung dienen, noch als Subventionsprogramm für deutsche oder europäische Unternehmen, die die Geschäftsmodelle von Big Tech nachahmen.“

Sowohl F5 als auch D64 fordern daher, den Deutschland-Stack stärker am gesellschaftlichen Nutzen auszurichten. D64 fordert, dass Open-Source-First, interoperable Schnittstellen sowie die Zusammenarbeit auf internationaler und europäischer Ebene verbindlich vorgeschrieben werden.

Nicht zuletzt fehle es bei dem bisherigen Konzept an echter Einbindung der Zivilgesellschaft. Das offizielle Beteiligungsverfahren sieht vor allem Workshops mit Unternehmen, Wirtschaftsverbänden und IT-Dienstleistern der öffentlichen Verwaltung vor. Für die Zivilgesellschaft bleibt bisher das Feedback-Formular auf der Seite. Für eine echte Beteiligung von Kommunen, Ländern und Zivilgesellschaft brauche es aber Ressourcen wie beispielsweise Budget und Personalkapazität, sagt Bendix Sältz von D64.

Personalwechsel in der Abteilung „Deutschland-Stack“

Parallel zum Konsultationsstart gab es im Digitalministerium einen Personalwechsel: Digitalminister Karsten Wildberger setzte Anfang Oktober Martin von Simson von der Leitung der gleichnamigen Abteilung „Deutschland-Stack“ ab. Als Grund dafür wird vermutet, dass das Projekt bislang nicht von der Stelle gekommen war. Nach Informationen von Tagesspiegel Background habe die Abteilung mit „Chaos“ sowie fehlendem strategischen Handeln und Unklarheiten über den Kern des Projekts gekämpft. Auch die verzögerte Bereitstellung der H2KI-Plattform soll zu diesem frühen Wechsel der Leitung beigetragen haben.

An Simsons Stelle tritt Christina Decker, die bislang die Abteilung Zukunftstechnologien im Bundeswirtschaftsministerium leitete. Sie wird ab jetzt die größte Abteilung des Digitalministeriums mit 13 Referaten und einer Arbeitsgruppe führen.