Netzpolitik ist längst keine Nischendisziplin mehr. Sie ist zu einem Feld geworden, in dem Macht ausgeübt, verschoben und abgesichert wird. Wer reguliert, überwacht oder moderiert, entscheidet nicht nur über technische Abläufe, sondern über die Bedingungen öffentlicher Kommunikation und die Hoheit über Technologien. Netzpolitik ist Machtpolitik: Das wurde im vergangenen Jahr besonders deutlich.

Ein Blick auf die großen netzpolitischen Debatten des Jahres zeigt, wie wenig es dabei um technische Fragen im engeren Sinne geht. Abgesehen von Spartenmedien, spezialisierten Interessenvertretungen und Thinktanks spricht öffentlich kaum jemand darüber, mit welchem Werkzeug was wie umgesetzt werden kann. Stattdessen wird darüber diskutiert, wer wessen Verhalten beeinflussen, Daten nutzen und Aktivitäten beobachten darf.

Bipolare digitale Welt

2025 haben Tech-Konzerne ihre faktische Rolle als Regulierungsakteure weiter ausgebaut. Plattformen wie Meta, Google oder ByteDance entscheiden täglich über Sichtbarkeit, Reichweite und Sanktionen. Und sie haben gezeigt, wie opportunistisch die Plattformbetreiber sind, wenn es darum geht, diese Gatekeeper-Stellung und die mit ihr verbundene Macht zu erhalten. Quasi im Gleichschritt gehen sie den von Trumps neofaschistischer Administration eingeschlagenen Weg mit. Stiefel schmecken im Silicon Valley anscheinend besonders gut.

Änderungen an Empfehlungsalgorithmen, der gezielte Einsatz politischer Werbung oder die Verwendung sowie der Umgang mit generativer KI können Auswirkungen auf Wahlkämpfe und mediale Öffentlichkeit haben. Diese höchst relevanten Eingriffe in die politische Öffentlichkeit erfolgen ohne demokratische Legitimation, geleitet von den Interessen der Tech-Giganten. Staatliche Regulierung könnte dieses Problem mildern, birgt damit aber auch die Gefahr, selbst Einfluss zu nehmen, der sich von den Interessen der Bevölkerung unterscheidet oder gar zulasten der Grundrechte der Nutzer:innen geht.

Der Konflikt verläuft dabei regelmäßig nicht zwischen Freiheit und Regulierung, sondern zwischen unterschiedlichen Machtzentren. Der Kampf um die Hoheit über das Netz ist überwiegend bipolar. Staatliche Stellen versuchen, Kontrolle zurückzugewinnen, die sie im digitalen Raum verloren haben, und damit staatliche Interessen zu sichern. Das können Schutz der Nutzer:innen vor der Willkür der Plattformbetreiber auf der einen Seite, aber auch etwa die angebliche Sicherstellung der öffentlichen Ordnung durch die massenhafte Überwachung der Nutzerverhalten sein. Tech-Konzerne verteidigen ihre Deutungshoheit über Plattformregeln, Datenflüsse und Aufmerksamkeit. Primär motiviert durch ihre eigenen wirtschaftlichen Interessen und die Maximierung ihrer Profitaussichten. Dazwischen stehen die Nutzenden, deren Rechte zwar nahezu gebetsmühlenartig beschworen, aber strukturell selten abgesichert werden.

Kein Raum für Freiheitsrechte?

Wer digitale Freiheitsrechte verteidigt, gerät damit in eine doppelte Abwehrhaltung. Auf der einen Seite steht der Staat, der im Namen von Sicherheit, Ordnung, Jugendschutz oder der Bekämpfung von politischer Einflussnahme immer weitergehende Eingriffsbefugnisse fordert. In diesem Jahr wurde erneut über EU-weite Chatkontrolle, biometrische Überwachung im öffentlichen Raum und den Zugriff auf Kommunikationsmetadaten diskutiert.

Auf der anderen Seite stehen Konzerne, die sich als neutrale Infrastrukturbetreiber inszenieren, tatsächlich aber eigene Interessen verfolgen. Ihre Moderationsentscheidungen sind allzu oft intransparent, ihre Beschwerdewege ineffektiv und ihre Prioritäten wirtschaftlich motiviert. Wenn Plattformbetreiber Konten sperren, Inhalte herauf- oder herabstufen oder Nutzerdaten automatisiert entwerten, fehlt es in der Praxis an rechtsstaatlichen Garantien. Nutzer:innen sind Adressaten von Regeln, an deren Entstehung sie nicht beteiligt waren.

Wer bestimmt die Regeln?

2025 hat auch gezeigt, wie eng diese Machtfragen mit geopolitischen und wirtschaftlichen Interessen verknüpft sind. Debatten über chinesische Plattformen, europäische Souveränität oder US-amerikanische KI-Modelle sind Fragen der nationalen und globalen Sicherheit. Es geht um Kontrolle über Infrastrukturen und Technologien. Wer die Plattform betreibt, bestimmt die Regeln. Wer die Daten besitzt, kontrolliert die Auswertung. Und derjenige, in dessen Land sich die Infrastrukturen befinden, hat die Souveränität, sie zu regulieren – oder nicht.

Eine um den Erhalt von Freiheitsrechten bemühte Netzpolitik kann sich deshalb nicht mit abstrakten Bekenntnissen begnügen. Sie muss konkrete Anforderungen stellen: rechtsstaatliche Verfahren auch auf Plattformen, effektive Transparenz über algorithmische Entscheidungen, einklagbare Nutzerrechte und klare Grenzen für staatliche Überwachung. Regulierung ist notwendig, aber sie muss sich stets im rechtsstaatlichen Rahmen bewegen. Das heißt, sie muss in ständiger Abwägung der verschiedenen betroffenen Grundrechte geschehen und immer wieder neu vor den Nutzenden erklärt und gerechtfertigt werden. Und sie darf nicht an private Akteure delegiert werden, ohne demokratische Kontrolle sicherzustellen.

Das Netz ist politisch und bleibt es auch

Der Rückblick auf das Jahr 2025 zeigt vor allem eines: Die Illusion eines unpolitischen Netzes ist endgültig vorbei. Wer TikTok, Instagram, WhatsApp und Co. heute immer noch primär als Unterhaltungsprogramme für Teenager sieht, hat in den letzten zwölf Monaten nicht aufgepasst. Entscheidungen über Moderation, Sichtbarkeit und Zugriff sind politische Entscheidungen. Sie verteilen Macht zwischen Staat, Konzernen und Nutzer:innen. Wer Netzpolitik weiterhin als technische Detailfrage behandelt, überlässt diese Macht anderen.

Eine wesentliche Aufgabe besteht darin, digitale Räume so zu gestalten, dass sie demokratischer Kontrolle unterliegen, ohne staatlicher Totalaufsicht zu verfallen. Das ist kein einfacher Ausgleich, aber ein notwendiger. Denn wenn Netzpolitik Machtpolitik ist, dann ist die Frage nicht, ob Plattformen reguliert werden, sondern in wessen Interesse – und auf wessen Kosten.

Auf dem 39. Chaos Communication Congress haben die Sicherheitsforscher Lexi Groves, aka 49016, und Liam Wachter eine ganze Reihe von Sicherheitslücken in verschiedenen Werkzeugen zur Verschlüsselung und zur Signierung von Daten demonstriert. Insgesamt 14 Lücken in vier verschiedenen Programmen fanden die Forscher. Alle entdeckten Probleme sind Implementierungsfehler, betreffen also nicht die grundsätzliche Sicherheit der genutzten Verfahren, sondern die konkrete – und eben fehlerhafte – Umsetzung im jeweiligen Werkzeug.

Im Fokus des Vortrags stand die populäre PGP-Implementierung GnuPG, deren Code eigentlich als gut abgehangen gilt. Dennoch fanden die Sicherheitsforscher zahlreiche unterschiedliche Lücken, einschließlich typischer Fehler beim Verarbeiten von C-Strings durch eingeschleuste Null-Bytes. Dadurch ließen sich unter anderem Signaturen fälschlich als gültig anzeigen oder man konnte signierten Daten Texte voranstellen, die von der Signatur weder erfasst noch als Modifikation entlarvt werden.

Die in GnuPG gefundenen Probleme decken ein breites Ursachenspektrum ab: Angreifer könnten eindeutig fehlerhaften Code ausnutzen, irreführenden Output provozieren, der Nutzer zu fatalem Verhalten verleitet. Ferner konnten sie ANSI-Sequenzen einschleusen, die zwar von GnuPG korrekt verarbeitet werden, im Terminal des Opfers aber zu quasi beliebigen Ausgaben führen. Letzteres kann man ausnutzen, um Nutzern bösartige Anweisungen zu erteilen, die nur scheinbar von GnuPG stammen, oder legitime Sicherheitsabfragen von GnuPG mit harmlosen Rückfragen zu überschreiben, damit Nutzer unabsichtlich gefährliche Aktionen absegnen.

Einige der entdeckten Problemtypen fanden die Sicherheitsforscher auch in anderen Werkzeugen, wie der neueren PGP-Implementierung Sequoia-PGP oder dem Signatur-Werkzeug Minisign. Im Verschlüsselungswerkzeug age entdeckten sie eine Möglichkeit, über das Plug-in-System beliebige, auf dem Rechner des Opfers vorhandene Programme auszuführen. Einen umfassenden Überblick über alle gefundenen Probleme liefern die Forscher auf der Website gpg.fail.

Viele Lücken noch offen

Einige der gefundenen Lücken sind in den aktuellen Versionen der betroffenen Programme behoben, bei vielen ist das jedoch nicht der Fall. Teilweise, weil Patches zwar übernommen wurden, aber noch keine neue Version mit ihnen veröffentlicht wurde, teilweise aber auch, weil die Programmautoren kein zu korrigierendes Problem in ihrem Werkzeug sehen.

Besonders positiv hoben die Forscher die Reaktion auf die Lücke in age hervor: Nicht nur sei der Fehler in den verschiedenen age-Implementierungen gefixt, sondern auch die Spezifikation so aktualisiert worden, dass das Problem vermieden werden muss. Direkt auf dem Hackerkongress legte age-Entwickler Filippo Valsorda sogar noch nach: Er befand sich im Publikum des Vortrags und nutzte die obligatorische Fragerunde am Ende, um sich bei den Forschern für ihre Arbeit zu bedanken, sowie ihnen eine improvisierte Bug Bounty in Form von Bargeld und Schokoriegeln zu überreichen.

Zu den gefundenen Fehlern geben die Forscher auf ihrer Website auch Ratschläge, wie sie sich vermeiden lassen – sowohl aus Entwickler- als auch aus Anwendersicht. Allgemein sollten Nutzer auch harmlos wirkende Fehlermeldungen als gravierende Warnung wahrnehmen und Klartext-Signaturen (cleartext signatures) meiden – wie es auch die GnuPG-Manpage empfiehlt. Die Forscher regen außerdem an, die Anwendung von Kryptografiewerkzeugen auf der Kommandozeile insgesamt zu überdenken: Durch die erwähnten ANSI-Sequenzen können Nutzer in die Irre geführt werden, selbst wenn alle Werkzeuge fehlerfrei arbeiten.

(syt)

Um Diagnosen, Laborberichte oder Therapiepläne untereinander auszutauschen, nutzen Arztpraxen und Krankenhäuser standardmäßig ein spezielles Mail-System namens „Kommunikation im Medizinwesen“, kurz: KIM.

KIM verspricht, sensible Daten verschlüsselt zu übermitteln, damit Unbefugte sie nicht abfangen und einsehen können. Doch bei der Sicherheit hapert es gewaltig, wie der IT-Sicherheitsforscher Christoph Saatjohann heute auf dem 39. Chaos Communication Congress in Hamburg zeigte. Der NDR und die Süddeutsche Zeitung hatten zuvor über die Recherchen zum Thema berichtet.

Demnach weist das KIM-System seit Jahren gravierende Sicherheitslücken auf. Mit geringem Aufwand können Angreifer unter anderem gefälschte Mail-Adressen anlegen und damit vermeintlich seriös wirkende Nachrichten versenden. Auf diese Weise lassen sich Praxissysteme infiltrieren, um beispielsweise Patient:innendaten zu stehlen.

Unsichere Kommunikation mit beliebiger Adresse

KIM wurde 2021 bundesweit eingeführt, etwa 100 Millionen Nachrichten werden jedes Jahr über das System verschickt. Neben der elektronischen Patientenakte (ePA) und dem E-Rezept gilt der Dienst als weitere wichtige Säule des digitalen Gesundheitswesens.

Um einen sicheren Nachrichtenversand zu gewährleisten, versieht KIM Nachrichten mit einer digitalen Signatur. Diese bestätigt dem Empfänger, dass die Nachricht tatsächlich über das System verschickt wurde. Allerdings besteht laut Saatjohann keine Sicherheit darüber, ob der Absender der ist, der er vorgibt zu sein.

Um eine KIM-Mail-Adresse bei einem KIM-Fachdienst wie T-Systems registrieren zu lassen, braucht es aktuell nur einen Ausweis für eine medizinische Einrichtung, eine sogenannte SMB-C-Karte. Auf eine solche Karte haben mehrere hunderttausend Menschen im Gesundheitswesen Zugriff. Und auch auf eBay würden diese Ausweise hin und wieder verkauft, sagt Saatjohann.

Liegt eine solche Karte vor, können Angreifer eine beliebige Mail-Adresse nach einem bestimmten Muster erstellen: namederpraxis.ort@anbieter.kim.telematik. Die gewünschten Adressen werden nicht auf Plausibilität geprüft. Das Ergebnis ist Saatjohann zufolge vergleichbar mit einem versiegelten Brief, bei dem der Absendername aber falsch sein kann. Angreifer könnten die gefälschte Absender-Adresse dazu nutzen, echt erscheinende Mails zu versenden, die Schadsoftware oder Phishing-Links enthalten.

Gematik hat nachlässig geprüft

Saatjohann sieht die Verantwortung für die Lücken vorrangig bei der Gematik. Die staatseigene GmbH ist für die Spezifikation und Prüfung des KIM-Systems verantwortlich. Und die hier vorgegebenen Sicherheitsstandards habe die Agentur offenkundig nicht ausreichend überprüft, so Saatjohann.

Am 15. September übermittelte der IT-Forscher der Agentur seine Funde. Knapp zwei Monate später veröffentlichte die Gematik einen sogenannten Hotfix, der viele der aufgezeigten Sicherheitslücken schließt. Nach eigenen Angaben arbeitet die Gematik daran, die weiteren Lücken ebenfalls zu schließen. Auch T-Systems habe Saatjohann über die Lücken informiert, das Unternehmen habe bis zum heutigen Tag aber nicht reagiert.

Es werde noch dauern, bis alle Praxen die Sicherheitsupdates eingespielt haben. Vor allem aber sei es weiterhin mit geringem Aufwand möglich, eine eigene Mail-Adresse für das KIM-System zu erhalten, ohne dass diese auf Plausibilität geprüft wird. Ein Angreifer kann sich also auch weiterhin als eine behandelnde Person seiner Wahl ausgeben. „Ich sehe keine Möglichkeit, das schnell zu verbessern“, sagt Saatjohann. „In der aktuellen Architektur ist das kaum lösbar und deshalb bleibt eine Restunsicherheit.“ Um diese zu beseitigen, müsse wohl das gesamte KIM-System überholt werden.

Erneut Versäumnisse bei der Gematik

Auf dem diesjährigen 39C3 stellt sich damit einmal mehr die Frage, wie sicher unsere Patient:innendaten sind.

Schon im vergangenen Jahr stand die Gematik massiv in der Kritik. Im Dezember 2024 hatten die Sicherheitsexpert:innen Bianca Kastl und Martin Tschirsich Schwachstellen bei der elektronischen Patientenakte (ePA) vorgestellt.

Die Agentur versprach daraufhin, die Lücken zu schließen. Doch im Mai dieses Jahres konnten die beiden Fachleute in Zusammenarbeit mit Saatjohann erneut Zugriff auf die digitalen Patientenakten erlangen. Und bis heute sind nicht alle der damals aufgezeigten Sicherheitslücken bei der ePA geschlossen.