Seitdem das Gesetz über digitale Dienste (DSA) verabschiedet wurde, schreitet die Umsetzung langsam voran. Nach zwei Jahren Verfahren wurde vor einer Woche dann die erste Strafe beschlossen: 120 Millionen Euro soll X zahlen. Die Sozialdemokraten im Europaparlament sehen das zwar als positives Zeichen, verlangen jedoch mehr Transparenz.
Die EU reagierte mit dem DSA auf die Macht von Online-Diensten und legte verbindliche Regeln fest, die beispielsweise mehr Transparenz im digitalen Raum und mehr Nutzerrechte schaffen sollen. Die dänische Abgeordnete Christel Schaldemose (S&D) findet, dass das Europäische Parlament einen klaren Überblick darüber haben sollte, wie die Kommission Entscheidungen zur Durchsetzung des DSA trifft. Außerdem will sie wissen, ob die europäische Behörde überhaupt über die notwendigen Instrumente verfügt, um mit den Tech-Giganten Schritt zu halten.
Besonders dringlich erscheint der Abgeordneten das Thema angesichts der „großen ungelösten Herausforderung“ von unsicheren Produkten, die von Verkäufern aus Drittländern in die EU gelangen. Auch hier greift der DSA. Anfang Dezember haben sich zu diesem Thema auch die Mitgliedstaaten im Telekommunikationsrat und im Binnenmarktsrat besprochen und eine strikte Durchsetzung des DSA verlangt.
Um die gewünschte Transparenz zu erreichen, wollen die S&D-Abgeordneten nun einen Untersuchungsausschuss gründen. Über diesen würden sie Zugriff auf Dokumente der Kommission bekommen und könnten verschiedene Zeugen befragen. Für die Gründung des Ausschusses brauchen sie im ersten Schritt Unterschriften von einem Viertel der EU-Abgeordneten, also 180 Signaturen, die sie nun zu sammeln beginnen.
Die Sozialdemokraten allein haben in ihrer Fraktion 136 Abgeordnete. Mit der Unterstützung von den Grünen (53 Abgeordnete) oder den Liberalen (77 Abgeordnete) könnten sie schon ausreichend Stimmen sammeln. Beide Fraktionen erklären gegenüber netzpolitik.org, dass sie sich erst noch intern dazu besprechen müssen. Die Initiative sei noch sehr neu und man habe noch keine offizielle Anfrage erhalten, sagte ein Sprecher der liberalen Renew-Fraktion am Mittwoch.
Im zweiten Schritt braucht der Antrag dann die Unterstützung der Konferenz der Präsidenten des Parlaments. Das sind die Präsidentin des EU-Parlaments Roberta Metsola und die jeweiligen Vorsitzenden der Fraktionen. Anschließend kann der Antrag auf die Tagesordnung der nächsten Plenarsitzung gesetzt werden.
Im dritten Schritt stimmt dann das gesamte Parlament über den Antrag ab. Hier braucht es eine Mehrheit, also insgesamt 360 Abgeordnete, die für den Vorschlag stimmen.
Grundsätzlich kann das Parlament einen Untersuchungsausschuss gründen, um Rechtsbrüchen oder Missständen bei der Anwendung des EU-Rechts nachzugehen. Im Jahr 2022 wurde ein solcher Untersuchungsausschuss für die Nutzung der Pegasus-Staatstrojaner gegründet.
Die Kommission hat in den vergangenen Wochen immer wieder betont, dass sich die DSA-Umsetzung bisher so gezogen habe, weil es sich um ein neues Gesetz handele und die internen Strukturen erst noch aufgebaut werden mussten. Digitalkommissarin Henna Virkkunen versprach letzten Monat in einer Pressekonferenz, dass die Verfahren jetzt Fahrt aufnehmen würden.
Ab 14:30 Uhr ging am Montagmittag erst einmal nichts mehr im Deutschen Bundestag – das Netzwerk, E-Mail, gemeinsame Laufwerke und die Drucker waren offline. Die bestätigte ein Sprecher auf Anfrage von heise online.
Weiterlesen nach der Anzeige
Parallel zu den Waffenstillstands-Verhandlungen, die wenige Meter weiter im Bundeskanzleramt mit dem ukrainisichen Präsidenten Wolodimir Selenskyj, Donald Trumps Schwiegersohn Jared Kushner und dem US-Sondergesandten Steve Witkoff stattfinden, ein gezielter Angriff auf die Bundestags-IT? Und das, nachdem erst am vergangenen Freitag das Auswärtige Amt die Bundesregierung den russischen Botschafter einbestellt hatte – wegen Desinfomations- und IT-Sicherheitsvorfällen, welche die Nachrichtendienste der Bundesrepublik klar russischen Akteuren zuschreiben? Sollte es sich um eine Machtdemonstration, etwa der Fancy Bear getauften, und auch als Advanced Persistent Threat 28 (APT28) identifizierten Einheit des russischen Militärgeheimdienstes GRU handeln? Der sich schon in der Vergangenheit im Bundestagsnetzwerk zu schaffen gemacht haben soll?
Die Aufregung jedenfalls war unter Abgeordneten, Mitarbeitern und Medien am Montagnachmittag ausgesprochen groß. Erst nach mehreren Stunden kamen die Netze wieder ans Laufen. Was genau passiert ist, darüber herrscht derzeit noch keine Klarheit, betont ein Sprecher der Verwaltung des Bundestags. „Routinemäßig“ sei das Bundesamt für Sicherheit in der Informationstechnik (BSI) hinzugezogen worden – was in der Vergangenheit nicht immer der Fall war, da das BSI als Exekutivbehörde eigentlich nicht für die gesetzgebende Gewalt, das Parlament, zuständig ist. Am frühen Abend, so der Sprecher, seien die Systeme nach und nach wieder in Betrieb genommen worden. Er betonte: „Die Ursache für die Störung ist aktuell weiter offen.“ Allerdings spricht die schnelle Wiederinbetriebnahme gegen den Verdacht, dass diese nachhaltig kompromittiert sein könnten.
Der Bundestag steht immer wieder im Fokus von Angriffen. Das Parlament verfügt dabei über gleich mehrere, voneinander teilweise unabhängige IT-Infrastrukturen. Die Methoden schwanken dabei von manipulierten USB-Sticks über gestreute Attacken auf Office-Produkt bis hin zu gezieltem Spearphishing gegen einzeln Akteure. Der Bundestag selbst betreibt ein Netzwerk für die Arbeitsplatzrechner und Drucker der Abgeordneten und Mitarbeiter sowie der Parlamentsverwaltung. Die Bundestagsfraktionen wiederum nutzen teils eigene IT-Infrastruktur. Dazu kommt ein WLAN im Bundestag, das weitgehend vom Rest der Netze separiert ist – und auch vom heutigen Ausfall nicht betroffen gewesen sein soll.
(nie)
Eine große Zahl von Vereinen und Politiker:innen hat das geplante Digitalpaket der EU-Kommission bereits scharf kritisiert. Nun meldet sich auch die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) zu Wort – und reiht sich in die Liste der Kritiker:innen des sogenannten „Digitalen Omnibus“ ein. Vergangene Woche hatte die Konferenz in Berlin die geplanten Änderungen an mehreren EU-Digitalgesetzen diskutiert und zwei eigene Reformvorschläge gemacht.
Die Berliner Datenschutzbeauftragte und amtierende DSK-Vorsitzende Meike Kamp bezeichnet die Änderungsvorschläge als „an vielen Stellen nicht bis zu Ende gedacht“. Mit dem Sammelgesetz drohten neue Unklarheiten im Datenschutzrecht. Einfache Änderungen, die kleine und mittlere Unternehmen tatsächlich entlasten würden, lasse die Kommission liegen, so der Vorwurf. „Das selbst gesetzte Ziel des Bürokratieabbaus erfüllt die EU-Kommission damit nicht“, so Kamp weiter.
Anders als von der Kommission dargestellt, handelt es sich nach Ansicht der DSK bei den Vorschlägen nicht nur um kleinere oder technische Anpassungen. Die Änderung der Definition von personenbezogenen Daten gehe beispielsweise an das Fundament der DSGVO.
Entsprechend kritisch sehen die Behörden das gewählte Omnibusverfahren, das auf schnelle Gesetzesänderungen abzielt. Der Zeitdruck sei „unangemessen“, warnen sie. Reformen dieser Tragweite müssten sorgfältig durchdacht und auch mit den Aufsichtsbehörden abgestimmt werden.
Die DSK bringt daher eigene Reformideen als Alternative zu den Kommissionsplänen ein, so etwa zu Datenschutz und sogenannter KI (PDF). Mit Blick auf die Verarbeitung personenbezogener Daten brauche es spezifische Rechtsgrundlagen für Entwicklung, Training und Betrieb von KI-Modellen und KI-Systemen. Diese sollen einerseits zeigen, unter welchen Voraussetzungen die Daten verarbeitet werden dürfen, und andererseits, was klar verboten ist.
Außerdem fordert die DSK die Europäische Union dazu auf, die Betroffenenrechte beim KI-Einsatz in der DSGVO verankern. Das heißt konkret: Die betroffenen Personen müssen darüber informiert werden, wenn ihre personenbezogenen Daten in einem KI-System verarbeitet werden. Außerdem sollen sie Auskunft darüber erhalten können, ob und wie ein KI-System ihre Daten verarbeitet. Hier gebe es bislang eine Regelungslücke.
Gleichzeitig betont die DSK, dass es in der Praxis Schwierigkeiten bei der Verwirklichung von Betroffenenrechten gebe. Für Fälle, in denen die Rechte nur mit „unverhältnismäßigem Aufwand“ umgesetzt werden können, brauche es daher alternative, gleichwertige Schutzmechanismen.
Zudem will die DSK die Hersteller und Anbieter von IT-Produkten und -Diensten stärker in die datenschutzrechtliche Verantwortung nehmen (PDF). Diese sollen künftig darauf achten, dass der Datenschutz bereits bei der Gestaltung ihrer Produkte berücksichtigt wird. Aktuell liegt die rechtliche Verantwortung allein bei denjenigen, die die Produkte nutzen. Kamp zufolge seien insbesondere kleine und mittlere Unternehmen (KMU) oft nicht dazu in der Lage, gegenüber großen Herstellern datenschutzkonforme Prozesse durchzusetzen. Eine Haftung der Hersteller würde sie entlasten.
Damit unterstützt die DSK nach eigenen Aussagen ein Ziel des Bundeskanzlers und der Regierungschefs der Länder aus der föderalen Modernisierungsagenda. Doch die Idee der Herstellerhaftung ist nicht neu. Bereits in ihrer ersten Evaluation der DSGVO vor sechs Jahren hatte die DSK einen solchen Vorschlag gemacht (PDF).
In den kommenden Wochen will die Datenschutzkonferenz den Vorschlag der Kommission weiter im Detail analysieren und eine ausführlichere Stellungnahme abgeben, kündigt Kamp an. Dazu werde sie mit anderen europäischen Datenschutzbehörden zusammenarbeiten.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einige E-Mail-Programme genauer inspiziert. Die meisten davon ermöglichen einen sicheren Umgang mit E-Mails, Zugangsdaten und etwa bösartigen Phishing- oder Spam-Mails.
Weiterlesen nach der Anzeige
Wie das BSI in dem Bericht schreibt, haben die IT-Forscher zunächst 26 E-Mail-Programme ausgemacht, die sie in einer Marktanalyse als verfügbar ermittelt haben. Aus diesen destillierten sie das Testfeld anhand der Relevanz bezüglich des durchschnittlichen Suchinteresses in Deutschland: Apple Mail, Betterbird, Blue Mail, eM Client, Gmail, KMail, Mailbird, Outlook (new), Proton Mail, Spark Mail, Thunderbird und Tuta Mail. Es handelt sich zudem um Clients, die kostenlos verfügbar sind.
Die Programme überprüfte das BSI daraufhin, ob sie Transport- und Ende-zu-Ende-Verschlüsselung anbieten, also mit dem Server verschlüsselte Verbindungen aufbauen oder die E-Mails in Gänze etwa mit OpenPGP oder S/MIME ver- und entschlüsseln können. Oder ob sie über einen Tracking-Schutz verfügen, der etwa Tracking-Parameter in URLs tilgt oder Tracking-Pixel blockiert. Zudem ist Spam- und Phishing-Schutz wichtig, ebenso, ob E-Mails und Zugangsdaten verschlüsselt abgelegt werden. Auch die zeitnahe Reaktion auf Sicherheitslücken mit Software-Updates hat das BSI betrachtet. Die Behörde findet „Usable Security“, also einfach nutzbare Sicherheitsmaßnahmen, wichtig. Die Programme sollten dafür etwa Voreinstellungen mit hohem Sicherheitsniveau bieten.
Das BSI hat die Software unter macOS, Ubuntu 25.04 und Windows 11 24H2 installiert und die Standardeinstellungen geprüft. Nach der Installation haben die Analysten mit einem Offline-Medium die Rechner gestartet und einen Malwarescan durchgeführt, um sicherzustellen, dass keine Schadsoftware Einfluss auf die Ergebnisse nimmt. Anders die Mac-Systeme, die haben die IT-Forscher abweichend davon im Live-Betrieb untersucht.
Das BSI kommt nach der Prüfung zum Ergebnis: „Die gestellten Sicherheitsanforderungen an E-Mail-Programme werden größtenteils erfüllt.“ Bei den Ergebnissen in tabellarischer Form fällt insbesondere „Spark Mail“ auf, das keine sonderlichen zusätzlichen Sicherheitsmerkmale wie E-Mail-Verschlüsselung oder Spam- und Phishing-Schutz unterstützt. Eine kritische Würdigung von Outlook (new), das Zugangsdaten zu IMAP-Konten an Microsoft überträgt, damit deren Cloud-Server sämtliche Mails mittels Künstlicher Intelligenz durchpflügen kann, liefert das BSI jedoch unerwartet nicht.
Bei der Suche nach einem passenden E-Mail-Programm empfiehlt das BSI, auch auf die zusätzlichen Sicherheitsfunktionen zu schauen, die die meisten Programme bieten.
Weiterlesen nach der Anzeige
Vor drei Wochen hat das BSI in einem Whitepaper die Anbieter von Web-Mail-Diensten ins Gebet genommen. Der Schutz vor Phishing und Identitätsdiebstahl sei derzeit noch lückenhaft umgesetzt und eine einfache Ende-zu-Ende-Verschlüsselung nicht leicht genug für Anwender zu nutzen. Zudem hat Deutschlands oberste IT-Sicherheitsbehörde vergangene Woche einen Bericht zur Sicherheit von Passwort-Managern veröffentlicht und Verbesserungspotenzial gefunden.
(dmk)
Illustrierte Reise nach New York City › PAGE online
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
Fake It Untlil You Make It? Trifft diese Kampagne den Nerv der Zeit? › PAGE online
SK Rapid Wien erneuert visuelle Identität
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Neue PC-Spiele im November 2025: „Anno 117: Pax Romana“
Donnerstag: Deutsches Flugtaxi-Start-up am Ende, KI-Rechenzentren mit ARM-Chips
