Ab 14:30 Uhr ging am Montagmittag erst einmal nichts mehr im Deutschen Bundestag – das Netzwerk, E-Mail, gemeinsame Laufwerke und die Drucker waren offline. Die bestätigte ein Sprecher auf Anfrage von heise online.

Parallel zu den Waffenstillstands-Verhandlungen, die wenige Meter weiter im Bundeskanzleramt mit dem ukrainisichen Präsidenten Wolodimir Selenskyj, Donald Trumps Schwiegersohn Jared Kushner und dem US-Sondergesandten Steve Witkoff stattfinden, ein gezielter Angriff auf die Bundestags-IT? Und das, nachdem erst am vergangenen Freitag das Auswärtige Amt die Bundesregierung den russischen Botschafter einbestellt hatte – wegen Desinfomations- und IT-Sicherheitsvorfällen, welche die Nachrichtendienste der Bundesrepublik klar russischen Akteuren zuschreiben? Sollte es sich um eine Machtdemonstration, etwa der Fancy Bear getauften, und auch als Advanced Persistent Threat 28 (APT28) identifizierten Einheit des russischen Militärgeheimdienstes GRU handeln? Der sich schon in der Vergangenheit im Bundestagsnetzwerk zu schaffen gemacht haben soll?

Systeme laufen wieder, Ausfallursache unklar

Die Aufregung jedenfalls war unter Abgeordneten, Mitarbeitern und Medien am Montagnachmittag ausgesprochen groß. Erst nach mehreren Stunden kamen die Netze wieder ans Laufen. Was genau passiert ist, darüber herrscht derzeit noch keine Klarheit, betont ein Sprecher der Verwaltung des Bundestags. „Routinemäßig“ sei das Bundesamt für Sicherheit in der Informationstechnik (BSI) hinzugezogen worden – was in der Vergangenheit nicht immer der Fall war, da das BSI als Exekutivbehörde eigentlich nicht für die gesetzgebende Gewalt, das Parlament, zuständig ist. Am frühen Abend, so der Sprecher, seien die Systeme nach und nach wieder in Betrieb genommen worden. Er betonte: „Die Ursache für die Störung ist aktuell weiter offen.“ Allerdings spricht die schnelle Wiederinbetriebnahme gegen den Verdacht, dass diese nachhaltig kompromittiert sein könnten.

Der Bundestag steht immer wieder im Fokus von Angriffen. Das Parlament verfügt dabei über gleich mehrere, voneinander teilweise unabhängige IT-Infrastrukturen. Die Methoden schwanken dabei von manipulierten USB-Sticks über gestreute Attacken auf Office-Produkt bis hin zu gezieltem Spearphishing gegen einzeln Akteure. Der Bundestag selbst betreibt ein Netzwerk für die Arbeitsplatzrechner und Drucker der Abgeordneten und Mitarbeiter sowie der Parlamentsverwaltung. Die Bundestagsfraktionen wiederum nutzen teils eigene IT-Infrastruktur. Dazu kommt ein WLAN im Bundestag, das weitgehend vom Rest der Netze separiert ist – und auch vom heutigen Ausfall nicht betroffen gewesen sein soll.

(nie)

Eine große Zahl von Vereinen und Politiker:innen hat das geplante Digitalpaket der EU-Kommission bereits scharf kritisiert. Nun meldet sich auch die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) zu Wort – und reiht sich in die Liste der Kritiker:innen des sogenannten „Digitalen Omnibus“ ein. Vergangene Woche hatte die Konferenz in Berlin die geplanten Änderungen an mehreren EU-Digitalgesetzen diskutiert und zwei eigene Reformvorschläge gemacht.

Die Berliner Datenschutzbeauftragte und amtierende DSK-Vorsitzende Meike Kamp bezeichnet die Änderungsvorschläge als „an vielen Stellen nicht bis zu Ende gedacht“. Mit dem Sammelgesetz drohten neue Unklarheiten im Datenschutzrecht. Einfache Änderungen, die kleine und mittlere Unternehmen tatsächlich entlasten würden, lasse die Kommission liegen, so der Vorwurf. „Das selbst gesetzte Ziel des Bürokratieabbaus erfüllt die EU-Kommission damit nicht“, so Kamp weiter.

Anders als von der Kommission dargestellt, handelt es sich nach Ansicht der DSK bei den Vorschlägen nicht nur um kleinere oder technische Anpassungen. Die Änderung der Definition von personenbezogenen Daten gehe beispielsweise an das Fundament der DSGVO.

„Unangemessener“ Zeitdruck

Entsprechend kritisch sehen die Behörden das gewählte Omnibusverfahren, das auf schnelle Gesetzesänderungen abzielt. Der Zeitdruck sei „unangemessen“, warnen sie. Reformen dieser Tragweite müssten sorgfältig durchdacht und auch mit den Aufsichtsbehörden abgestimmt werden.

Die DSK bringt daher eigene Reformideen als Alternative zu den Kommissionsplänen ein, so etwa zu Datenschutz und sogenannter KI (PDF). Mit Blick auf die Verarbeitung personenbezogener Daten brauche es spezifische Rechtsgrundlagen für Entwicklung, Training und Betrieb von KI-Modellen und KI-Systemen. Diese sollen einerseits zeigen, unter welchen Voraussetzungen die Daten verarbeitet werden dürfen, und andererseits, was klar verboten ist.

Außerdem fordert die DSK die Europäische Union dazu auf, die Betroffenenrechte beim KI-Einsatz in der DSGVO verankern. Das heißt konkret: Die betroffenen Personen müssen darüber informiert werden, wenn ihre personenbezogenen Daten in einem KI-System verarbeitet werden. Außerdem sollen sie Auskunft darüber erhalten können, ob und wie ein KI-System ihre Daten verarbeitet. Hier gebe es bislang eine Regelungslücke.

Gleichzeitig betont die DSK, dass es in der Praxis Schwierigkeiten bei der Verwirklichung von Betroffenenrechten gebe. Für Fälle, in denen die Rechte nur mit „unverhältnismäßigem Aufwand“ umgesetzt werden können, brauche es daher alternative, gleichwertige Schutzmechanismen.

Mehr Verantwortung für Hersteller und Anbieter

Zudem will die DSK die Hersteller und Anbieter von IT-Produkten und -Diensten stärker in die datenschutzrechtliche Verantwortung nehmen (PDF). Diese sollen künftig darauf achten, dass der Datenschutz bereits bei der Gestaltung ihrer Produkte berücksichtigt wird. Aktuell liegt die rechtliche Verantwortung allein bei denjenigen, die die Produkte nutzen. Kamp zufolge seien insbesondere kleine und mittlere Unternehmen (KMU) oft nicht dazu in der Lage, gegenüber großen Herstellern datenschutzkonforme Prozesse durchzusetzen. Eine Haftung der Hersteller würde sie entlasten.

Damit unterstützt die DSK nach eigenen Aussagen ein Ziel des Bundeskanzlers und der Regierungschefs der Länder aus der föderalen Modernisierungsagenda. Doch die Idee der Herstellerhaftung ist nicht neu. Bereits in ihrer ersten Evaluation der DSGVO vor sechs Jahren hatte die DSK einen solchen Vorschlag gemacht (PDF).

In den kommenden Wochen will die Datenschutzkonferenz den Vorschlag der Kommission weiter im Detail analysieren und eine ausführlichere Stellungnahme abgeben, kündigt Kamp an. Dazu werde sie mit anderen europäischen Datenschutzbehörden zusammenarbeiten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einige E-Mail-Programme genauer inspiziert. Die meisten davon ermöglichen einen sicheren Umgang mit E-Mails, Zugangsdaten und etwa bösartigen Phishing- oder Spam-Mails.

Wie das BSI in dem Bericht schreibt, haben die IT-Forscher zunächst 26 E-Mail-Programme ausgemacht, die sie in einer Marktanalyse als verfügbar ermittelt haben. Aus diesen destillierten sie das Testfeld anhand der Relevanz bezüglich des durchschnittlichen Suchinteresses in Deutschland: Apple Mail, Betterbird, Blue Mail, eM Client, Gmail, KMail, Mailbird, Outlook (new), Proton Mail, Spark Mail, Thunderbird und Tuta Mail. Es handelt sich zudem um Clients, die kostenlos verfügbar sind.

Die Programme überprüfte das BSI daraufhin, ob sie Transport- und Ende-zu-Ende-Verschlüsselung anbieten, also mit dem Server verschlüsselte Verbindungen aufbauen oder die E-Mails in Gänze etwa mit OpenPGP oder S/MIME ver- und entschlüsseln können. Oder ob sie über einen Tracking-Schutz verfügen, der etwa Tracking-Parameter in URLs tilgt oder Tracking-Pixel blockiert. Zudem ist Spam- und Phishing-Schutz wichtig, ebenso, ob E-Mails und Zugangsdaten verschlüsselt abgelegt werden. Auch die zeitnahe Reaktion auf Sicherheitslücken mit Software-Updates hat das BSI betrachtet. Die Behörde findet „Usable Security“, also einfach nutzbare Sicherheitsmaßnahmen, wichtig. Die Programme sollten dafür etwa Voreinstellungen mit hohem Sicherheitsniveau bieten.

Tests unter mehreren Betriebssystemen

Das BSI hat die Software unter macOS, Ubuntu 25.04 und Windows 11 24H2 installiert und die Standardeinstellungen geprüft. Nach der Installation haben die Analysten mit einem Offline-Medium die Rechner gestartet und einen Malwarescan durchgeführt, um sicherzustellen, dass keine Schadsoftware Einfluss auf die Ergebnisse nimmt. Anders die Mac-Systeme, die haben die IT-Forscher abweichend davon im Live-Betrieb untersucht.

Das BSI kommt nach der Prüfung zum Ergebnis: „Die gestellten Sicherheitsanforderungen an E-Mail-Programme werden größtenteils erfüllt.“ Bei den Ergebnissen in tabellarischer Form fällt insbesondere „Spark Mail“ auf, das keine sonderlichen zusätzlichen Sicherheitsmerkmale wie E-Mail-Verschlüsselung oder Spam- und Phishing-Schutz unterstützt. Eine kritische Würdigung von Outlook (new), das Zugangsdaten zu IMAP-Konten an Microsoft überträgt, damit deren Cloud-Server sämtliche Mails mittels Künstlicher Intelligenz durchpflügen kann, liefert das BSI jedoch unerwartet nicht.

Bei der Suche nach einem passenden E-Mail-Programm empfiehlt das BSI, auch auf die zusätzlichen Sicherheitsfunktionen zu schauen, die die meisten Programme bieten.

Vor drei Wochen hat das BSI in einem Whitepaper die Anbieter von Web-Mail-Diensten ins Gebet genommen. Der Schutz vor Phishing und Identitätsdiebstahl sei derzeit noch lückenhaft umgesetzt und eine einfache Ende-zu-Ende-Verschlüsselung nicht leicht genug für Anwender zu nutzen. Zudem hat Deutschlands oberste IT-Sicherheitsbehörde vergangene Woche einen Bericht zur Sicherheit von Passwort-Managern veröffentlicht und Verbesserungspotenzial gefunden.

(dmk)