Was soll der Militärische Abschirmdienst künftig dürfen und warum können die Feldjäger der Bundeswehr nicht rechtssicher eine Straße sperren? Die Themenbreite bei einer Sachverständigenanhörung im Verteidigungsausschuss des Bundestags war groß, es ging um den Entwurf eines Gesetzes „zur Stärkung der Militärischen Sicherheit in der Bundeswehr“. Der enthält sowohl Änderungen bei der Sicherheitsüberprüfung von Soldat:innen als auch ein komplett neues MAD-Gesetz – die Grundlage der militärgeheimdienstlichen Arbeit in Deutschland.
Sechs Fachleute – vom Generalleutnant außer Dienst bis zum Verfassungsrechtler – waren sich einig, dass eine Reform der Gesetzesgrundlagen für den MAD überfällig ist. Auch weil die Neuregelung Klarheit schafft. Denn bislang liest sich das MAD-Gesetz kompliziert.
Es verweist großflächig auf das Verfassungsschutzgesetz und so klingen die rechtlichen Grundlagen an vielen Stellen so: „Die §§ 8a und 8b des Bundesverfassungsschutzgesetzes sind mit der Maßgabe entsprechend anzuwenden, dass an die Stelle der schwerwiegenden Gefahren für die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes genannten Schutzgüter schwerwiegende Gefahren für die in § 1 Absatz 1 genannten Schutzgüter und an die Stelle des Bundesministeriums des Innern, für Bau und Heimat das Bundesministerium der Verteidigung treten.“
Das ist weder gut verständlich noch geht es auf besondere Umstände für einen Militärgeheimdienst ein.
Und so war das Echo der Fachleute recht positiv. Der Professor für Öffentliches Recht Matthias Bäcker, der bereits mehrfach gegen Polizei- und Geheimdienstgesetze vors Bundesverfassungsgericht gezogen war, nannte den Entwurf einen großen „Fortschritt im Vergleich zum aktuellen Gesetz“.
Markus Löffelmann, Professor für Sicherheitsrechte an der Hochschule des Bundes für öffentliche Verwaltung, resümierte, der Entwurf schaffe „Praktikabilität“ für den MAD und sei „fast vorbildlich“.
Kritik gab es von mehreren der Sachverständigen jedoch am unvollständigen Katalog der „nachrichtendienstlichen Mittel“, die dem MAD erlaubt sein sollen. In Paragraf 8 des Gesetzentwurfs finden sich 15 Punkte wie „verdeckte Nachforschungen und verdeckte Befragungen“ oder „Einsatz virtueller Agenten bei der Aufklärung im Internet“. Braucht der MAD weitere Befugnisse, die ähnlich eingriffsintensiv wie die bereits gelisteten sind, soll das künftig über eine Dienstvorschrift geregelt werden können – die bei Geheimdiensten in der Regel geheim bleibt.
Eine „Erweiterung im Verborgenen ist untunlich“, kritisierte in der Anhörung etwa Christian Sieh vom deutschen Bundeswehrverband. Bäcker wies darauf hin, dass sich in einigen Landesverfassungsschutzgesetzen abschließende Befugniskataloge finden. Gerade wegen der Heimlichkeit der Maßnahmen sei es geboten, die Befugnisse „rechtlich in abstrakt genereller Weise abschließend auszuführen“. Werden Befugnisse konkretisiert, dann sollte dies nicht mittels einer geheimgehaltenen Dienstvorschrift erfolgen, sondern im Zweifel in einer öffentlich einsehbaren Verordnung.
Zu weit gingen einigen ebenso die Regelungen aus Paragraf 4, wonach der MAD „personenbezogene Daten aus öffentlich zugänglichen Quellen automatisiert erheben“ können soll. Laut Löffelmann bestehe da noch „viel Diskussionsbedarf“. Ihm gehen die Befugnisse zu weit, da auch Datenerhebungen aus öffentlichen Quellen einen Eingriff in die Rechte der Betroffenen darstellen würden.
Bäcker gab ebenfalls zu Bedenken, dass die Regel der“großen Sensibilität der Daten nicht Rechnung“ trage. Gerade weil Personen etwa in Sozialen Medien viel über sich preisgeben. „Da können sie die Person nackt machen“, so Bäcker. „Es ist nicht ausgeschlossen, dass ein Nachrichtendienst das mal tut. Aber der muss an strenge Regeln gebunden werden.“ In seiner Stellungnahme führt Bäcker aus, die Regelung verfehle „die verfassungsrechtlichen Anforderungen“.
Seiner Auffassung nach brauche es einen „qualifizierten nachrichtendienstlichen Verdacht“, um die Ausforschung einer Person zu rechtfertigen – selbst wenn sie mit öffentlich zugänglichen Informationen geschehe. Er empfiehlt, die sogenannten Open-Source-Intelligence-Maßnahmen differenzierter zu regeln.
Die Neuregelung des MAD-Gesetzes dürfte sich auf weit mehr Bereiche auswirken als den Militärgeheimdienst selbst. Denn sie ist der Auftakt für eine etwa durch Verfassungsgerichtsurteile notwendig gewordene Reform auch anderer Geheimdienstgesetze. Die will Schwarz-Rot bald angehen.
Dass die Bundesregierung nicht alle Gesetze für die drei Bundesgeheimdienste MAD, BND und Verfassungsschutz parallel erarbeitet, kritisierte Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag und stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums, gegenüber netzpolitik.org: Statt die Reform ganzheitlich für alle drei Nachrichtendienste des Bundes anzugehen, legt man nun mit der Reform des MAD-Gesetzes nur einen Teil der Reform vor.“
Es kann also entweder passieren, dass das MAD-Gesetz im Zuge der allgemeinen Geheimdienstreform nach der Verabschiedung erneut überarbeitet wird. Oder aber dass Mechanismen, die nun im MAD-Gesetz landen, als Blaupause für weitere Reformen gelten.
Trotz der dadurch fundamentalen Bedeutung der Reform konzentrierten sich große Teile der Anhörung jedoch auf andere Aspekte des „Gesetzes zur Stärkung der Militärischen Sicherheit in der Bundeswehr“. Das enthält nämlich zusätzlich Regelungen für eine veränderte Sicherheitsüberprüfung von Soldat:innen. Bewerber:innen für die Bundeswehr sollen demnach zunächst nur noch einer Verfassungstreueprüfung unterzogen werden. Kritik gab es daran, dass der Bundestag aktuell an anderer Stelle über Änderungen des Sicherheitsüberprüfungsgesetzes debattiert und beide Änderungen nicht gemeinsam betrachtet würden.
Sehr viel Aufmerksamkeit in der Verteidigungsausschusssitzung bekamen ebenfalls die Feldjäger:innen. Besonders Oberstabsfeldwebel Ronny Schlenzig beklagte, dass auch mit dem neuen Gesetz die Militärpolizei der Bundeswehr keine Verkehrsregelungsbefugnisse bekommen sollen. Außerdem dürften sie künftig weiterhin keine Durchsuchungen oder Beschlagnahmungen durchführen, wenn jemand vor der Kaserne eine Drohne lenkt. Diese Aufgaben der örtlichen Polizei zu überlassen sei für ihn keine praktikable Option, Probleme mit Aufgabenvermischung gebe es laut Schlenzig nicht.
Netzpolitik ist längst keine Nischendisziplin mehr. Sie ist zu einem Feld geworden, in dem Macht ausgeübt, verschoben und abgesichert wird. Wer reguliert, überwacht oder moderiert, entscheidet nicht nur über technische Abläufe, sondern über die Bedingungen öffentlicher Kommunikation und die Hoheit über Technologien. Netzpolitik ist Machtpolitik: Das wurde im vergangenen Jahr besonders deutlich.
Ein Blick auf die großen netzpolitischen Debatten des Jahres zeigt, wie wenig es dabei um technische Fragen im engeren Sinne geht. Abgesehen von Spartenmedien, spezialisierten Interessenvertretungen und Thinktanks spricht öffentlich kaum jemand darüber, mit welchem Werkzeug was wie umgesetzt werden kann. Stattdessen wird darüber diskutiert, wer wessen Verhalten beeinflussen, Daten nutzen und Aktivitäten beobachten darf.
2025 haben Tech-Konzerne ihre faktische Rolle als Regulierungsakteure weiter ausgebaut. Plattformen wie Meta, Google oder ByteDance entscheiden täglich über Sichtbarkeit, Reichweite und Sanktionen. Und sie haben gezeigt, wie opportunistisch die Plattformbetreiber sind, wenn es darum geht, diese Gatekeeper-Stellung und die mit ihr verbundene Macht zu erhalten. Quasi im Gleichschritt gehen sie den von Trumps neofaschistischer Administration eingeschlagenen Weg mit. Stiefel schmecken im Silicon Valley anscheinend besonders gut.
Änderungen an Empfehlungsalgorithmen, der gezielte Einsatz politischer Werbung oder die Verwendung sowie der Umgang mit generativer KI können Auswirkungen auf Wahlkämpfe und mediale Öffentlichkeit haben. Diese höchst relevanten Eingriffe in die politische Öffentlichkeit erfolgen ohne demokratische Legitimation, geleitet von den Interessen der Tech-Giganten. Staatliche Regulierung könnte dieses Problem mildern, birgt damit aber auch die Gefahr, selbst Einfluss zu nehmen, der sich von den Interessen der Bevölkerung unterscheidet oder gar zulasten der Grundrechte der Nutzer:innen geht.
Der Konflikt verläuft dabei regelmäßig nicht zwischen Freiheit und Regulierung, sondern zwischen unterschiedlichen Machtzentren. Der Kampf um die Hoheit über das Netz ist überwiegend bipolar. Staatliche Stellen versuchen, Kontrolle zurückzugewinnen, die sie im digitalen Raum verloren haben, und damit staatliche Interessen zu sichern. Das können Schutz der Nutzer:innen vor der Willkür der Plattformbetreiber auf der einen Seite, aber auch etwa die angebliche Sicherstellung der öffentlichen Ordnung durch die massenhafte Überwachung der Nutzerverhalten sein. Tech-Konzerne verteidigen ihre Deutungshoheit über Plattformregeln, Datenflüsse und Aufmerksamkeit. Primär motiviert durch ihre eigenen wirtschaftlichen Interessen und die Maximierung ihrer Profitaussichten. Dazwischen stehen die Nutzenden, deren Rechte zwar nahezu gebetsmühlenartig beschworen, aber strukturell selten abgesichert werden.
Wer digitale Freiheitsrechte verteidigt, gerät damit in eine doppelte Abwehrhaltung. Auf der einen Seite steht der Staat, der im Namen von Sicherheit, Ordnung, Jugendschutz oder der Bekämpfung von politischer Einflussnahme immer weitergehende Eingriffsbefugnisse fordert. In diesem Jahr wurde erneut über EU-weite Chatkontrolle, biometrische Überwachung im öffentlichen Raum und den Zugriff auf Kommunikationsmetadaten diskutiert.
Auf der anderen Seite stehen Konzerne, die sich als neutrale Infrastrukturbetreiber inszenieren, tatsächlich aber eigene Interessen verfolgen. Ihre Moderationsentscheidungen sind allzu oft intransparent, ihre Beschwerdewege ineffektiv und ihre Prioritäten wirtschaftlich motiviert. Wenn Plattformbetreiber Konten sperren, Inhalte herauf- oder herabstufen oder Nutzerdaten automatisiert entwerten, fehlt es in der Praxis an rechtsstaatlichen Garantien. Nutzer:innen sind Adressaten von Regeln, an deren Entstehung sie nicht beteiligt waren.
2025 hat auch gezeigt, wie eng diese Machtfragen mit geopolitischen und wirtschaftlichen Interessen verknüpft sind. Debatten über chinesische Plattformen, europäische Souveränität oder US-amerikanische KI-Modelle sind Fragen der nationalen und globalen Sicherheit. Es geht um Kontrolle über Infrastrukturen und Technologien. Wer die Plattform betreibt, bestimmt die Regeln. Wer die Daten besitzt, kontrolliert die Auswertung. Und derjenige, in dessen Land sich die Infrastrukturen befinden, hat die Souveränität, sie zu regulieren – oder nicht.
Eine um den Erhalt von Freiheitsrechten bemühte Netzpolitik kann sich deshalb nicht mit abstrakten Bekenntnissen begnügen. Sie muss konkrete Anforderungen stellen: rechtsstaatliche Verfahren auch auf Plattformen, effektive Transparenz über algorithmische Entscheidungen, einklagbare Nutzerrechte und klare Grenzen für staatliche Überwachung. Regulierung ist notwendig, aber sie muss sich stets im rechtsstaatlichen Rahmen bewegen. Das heißt, sie muss in ständiger Abwägung der verschiedenen betroffenen Grundrechte geschehen und immer wieder neu vor den Nutzenden erklärt und gerechtfertigt werden. Und sie darf nicht an private Akteure delegiert werden, ohne demokratische Kontrolle sicherzustellen.
Der Rückblick auf das Jahr 2025 zeigt vor allem eines: Die Illusion eines unpolitischen Netzes ist endgültig vorbei. Wer TikTok, Instagram, WhatsApp und Co. heute immer noch primär als Unterhaltungsprogramme für Teenager sieht, hat in den letzten zwölf Monaten nicht aufgepasst. Entscheidungen über Moderation, Sichtbarkeit und Zugriff sind politische Entscheidungen. Sie verteilen Macht zwischen Staat, Konzernen und Nutzer:innen. Wer Netzpolitik weiterhin als technische Detailfrage behandelt, überlässt diese Macht anderen.
Eine wesentliche Aufgabe besteht darin, digitale Räume so zu gestalten, dass sie demokratischer Kontrolle unterliegen, ohne staatlicher Totalaufsicht zu verfallen. Das ist kein einfacher Ausgleich, aber ein notwendiger. Denn wenn Netzpolitik Machtpolitik ist, dann ist die Frage nicht, ob Plattformen reguliert werden, sondern in wessen Interesse – und auf wessen Kosten.
Zunächst einen ganz großen Dank an alle, die uns unterstützen! In den vergangenen Tagen haben wir sehr viel Zuspruch und finanzielle Unterstützung erhalten. Das ist großartig! Ihr seid die beste Community der Welt.
Bis zum Jahresende fehlen uns aber noch knapp 63.000 Euro. Nur wenn wir unser Spendenziel erreichen, können wir unsere Arbeit wie gewohnt auch im nächsten Jahr fortsetzen.
Deine Spende erreicht uns wegen der wenigen verbleibenden Bankarbeitstage vor Jahresende nur noch per:
Eine Spendenquittung kannst du hier anfordern.
Die vergangene Woche hat einmal mehr deutlich gezeigt, warum es deine Spende für netzpolitik.org dringend braucht.
Gemeinsam mit der Zivilgesellschaft verteidigen wir die Grund- und Freiheitsrechte aller. Für ein offenes Internet und eine solidarische Gesellschaft.
Spende jetzt!
Auf dem 39. Chaos Communication Congress haben die Sicherheitsforscher Lexi Groves, aka 49016, und Liam Wachter eine ganze Reihe von Sicherheitslücken in verschiedenen Werkzeugen zur Verschlüsselung und zur Signierung von Daten demonstriert. Insgesamt 14 Lücken in vier verschiedenen Programmen fanden die Forscher. Alle entdeckten Probleme sind Implementierungsfehler, betreffen also nicht die grundsätzliche Sicherheit der genutzten Verfahren, sondern die konkrete – und eben fehlerhafte – Umsetzung im jeweiligen Werkzeug.
Weiterlesen nach der Anzeige
Im Fokus des Vortrags stand die populäre PGP-Implementierung GnuPG, deren Code eigentlich als gut abgehangen gilt. Dennoch fanden die Sicherheitsforscher zahlreiche unterschiedliche Lücken, einschließlich typischer Fehler beim Verarbeiten von C-Strings durch eingeschleuste Null-Bytes. Dadurch ließen sich unter anderem Signaturen fälschlich als gültig anzeigen oder man konnte signierten Daten Texte voranstellen, die von der Signatur weder erfasst noch als Modifikation entlarvt werden.
Die in GnuPG gefundenen Probleme decken ein breites Ursachenspektrum ab: Angreifer könnten eindeutig fehlerhaften Code ausnutzen, irreführenden Output provozieren, der Nutzer zu fatalem Verhalten verleitet. Ferner konnten sie ANSI-Sequenzen einschleusen, die zwar von GnuPG korrekt verarbeitet werden, im Terminal des Opfers aber zu quasi beliebigen Ausgaben führen. Letzteres kann man ausnutzen, um Nutzern bösartige Anweisungen zu erteilen, die nur scheinbar von GnuPG stammen, oder legitime Sicherheitsabfragen von GnuPG mit harmlosen Rückfragen zu überschreiben, damit Nutzer unabsichtlich gefährliche Aktionen absegnen.
Einige der entdeckten Problemtypen fanden die Sicherheitsforscher auch in anderen Werkzeugen, wie der neueren PGP-Implementierung Sequoia-PGP oder dem Signatur-Werkzeug Minisign. Im Verschlüsselungswerkzeug age entdeckten sie eine Möglichkeit, über das Plug-in-System beliebige, auf dem Rechner des Opfers vorhandene Programme auszuführen. Einen umfassenden Überblick über alle gefundenen Probleme liefern die Forscher auf der Website gpg.fail.
Einige der gefundenen Lücken sind in den aktuellen Versionen der betroffenen Programme behoben, bei vielen ist das jedoch nicht der Fall. Teilweise, weil Patches zwar übernommen wurden, aber noch keine neue Version mit ihnen veröffentlicht wurde, teilweise aber auch, weil die Programmautoren kein zu korrigierendes Problem in ihrem Werkzeug sehen.
Besonders positiv hoben die Forscher die Reaktion auf die Lücke in age hervor: Nicht nur sei der Fehler in den verschiedenen age-Implementierungen gefixt, sondern auch die Spezifikation so aktualisiert worden, dass das Problem vermieden werden muss. Direkt auf dem Hackerkongress legte age-Entwickler Filippo Valsorda sogar noch nach: Er befand sich im Publikum des Vortrags und nutzte die obligatorische Fragerunde am Ende, um sich bei den Forschern für ihre Arbeit zu bedanken, sowie ihnen eine improvisierte Bug Bounty in Form von Bargeld und Schokoriegeln zu überreichen.
Weiterlesen nach der Anzeige
Zu den gefundenen Fehlern geben die Forscher auf ihrer Website auch Ratschläge, wie sie sich vermeiden lassen – sowohl aus Entwickler- als auch aus Anwendersicht. Allgemein sollten Nutzer auch harmlos wirkende Fehlermeldungen als gravierende Warnung wahrnehmen und Klartext-Signaturen (cleartext signatures) meiden – wie es auch die GnuPG-Manpage empfiehlt. Die Forscher regen außerdem an, die Anwendung von Kryptografiewerkzeugen auf der Kommandozeile insgesamt zu überdenken: Durch die erwähnten ANSI-Sequenzen können Nutzer in die Irre geführt werden, selbst wenn alle Werkzeuge fehlerfrei arbeiten.
(syt)
Illustrierte Reise nach New York City › PAGE online
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
SK Rapid Wien erneuert visuelle Identität
Neue PC-Spiele im November 2025: „Anno 117: Pax Romana“
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Donnerstag: Deutsches Flugtaxi-Start-up am Ende, KI-Rechenzentren mit ARM-Chips
Arndt Benedikt rebranded GreatVita › PAGE online
