Es ist fast so sicher wie das Amen in der Kirche: Mit jeder neuen Legislaturperiode kommt auch die Forderung nach erneutem Ausbau der geheimdienstlichen Überwachung. Aktuell wird dem Bundesnachrichtendienst (BND) seine Wunschliste kredenzt. Tagesschau.de berichtet über die geplante erhebliche Ausweitung der BND-Befugnisse, über die sich derzeit die Bundesregierung abstimmt.

Sowohl Verkehrsdaten als auch Inhalte von massenhaft abgegriffener Kommunikation soll der Geheimdienst bis zu einem halben Jahr speichern und durchforsten dürfen. Am deutschen Internetknoten DE-CIX in Frankfurt/Main dürfte der BND neben dem eingehenden nun auch den ausgehenden Datenverkehr überwachen.

Das geplante neue Gesetz soll aber auch ganz andere Türen öffnen, die den Geheimen aktives Hacken und Sabotage erlauben würden. Der Geheimdienst dürfte dann in Netzwerke eindringen und sich an aktiven Hacking-Angriffen beteiligen, wenn nach BND-Anfrage nicht freiwillig kooperiert wird. Um Staatstrojaner auf informationstechnischen Systemen aufzubringen, sollen BND-Leute laut FAZ auch heimlich in Wohnungen einbrechen dürfen.

Manche der bekanntgewordenen Pläne sind noch vage und ohne technische Details. Erst der Wortlaut im geplanten Gesetz wird Klarheit bringen. Sicher ist aber: All diese Überwachungsmaßnahmen sind geheim, was einen Rechtsschutz für Betroffene fast unmöglich macht. Die Kontrolle dieser mächtigen Instrumente soll im Kern beim Nationalen Sicherheitsrat liegen, der im Kanzleramt angesiedelt ist. Sieht er eine „nachrichtendienstliche Sonderlage“ oder eine „systematische Gefährdung“ und stimmt das Parlamentarische Kontrollgremium zu, können die Geheimen loslegen.

Schon jetzt massenhafte Überwachung

Der deutsche Auslandsgeheimdienst darf bereits heute weiträumig abhören und Metadaten durchforsten. Zum einen erlaubt das derzeitige BND-Gesetz ihm das zur Gewinnung von Erkenntnissen aus dem Ausland, die außen- oder sicherheitspolitisch wichtig sind. Juristen nennen das die „strategische Fernmeldeaufklärung“. Praktisch ist es eine gewaltige Rasterfahndung direkt an den Glasfaserkabeln der Internetknoten, die in Echtzeit stattfindet. Zum anderen kann der Geheimdienst auch nach dem G10-Gesetz rasterfahnden, wenn es um das strategische Belauschen derjenigen internationalen Kommunikation geht, die in Deutschland beginnt oder endet.

Die massenhafte Überwachung der Ausland-Ausland-Kommunikation durch den BND wurde jahrelang ohne ausreichende gesetzliche Grundlage durchgeführt und war damit rechtswidrig. Im NSA-BND-Untersuchungsausschuss des Bundestags, der ab März 2014 die Praktiken des BND unter die Lupe nahm, blieb daran kein Zweifel. Das Kanzleramt schaffte in der Folge die gesetzlichen Grundlagen und ebnete den Weg für die bruchlose Fortführung der Massendatenanalysen, nur diesmal gesetzlich normiert. Einst Rechtswidriges und weitere neue Befugnisse sind seither legalisiert, weitere Reformen folgten.

Reporter ohne Grenzen (RSF) geht gemeinsam mit der Gesellschaft für Freiheitsrechte (GFF) seit März 2025 mit einer Beschwerde beim Europäischen Gerichtshof für Menschenrechte (EGMR) gegen das aktuelle BND-Gesetz vor. Der Schutz von Medienschaffenden sei darin nicht ausreichend berücksichtigt. Die umfassende Erlaubnis zur Überwachung auch von Journalisten gefährde die Pressefreiheit. Auch gegen die Staatstrojaner-Nutzung durch den BND geht RSF gerichtlich vor.

Den Argumenten von RSF und GFF schenkt das Kanzleramt nicht nur kein Gehör, sondern will die menschenrechtlich fragwürdigen Befugnisse noch drastisch ausweiten. Der BND soll weiter an einigen Internetknoten bis zu einer Obergrenze von 30 Prozent den gesamten Datenverkehr abgreifen dürfen. Dabei geht es um eine unsinnig hoch liegende Grenze von „30 Prozent der Übertragungskapazität aller global bestehenden Telekommunikationsnetze“, die bei den heutigen Kommunikationsgegebenheiten ohne Zweifel weit über dem liegt, was der BND technisch überhaupt leisten könnte. Aber statt die Massendaten wie bisher mit Filterbegriffen zu durchsuchen, soll er nach den neuen Vorstellungen künftig auch noch die Inhalte analysieren dürfen.

Der Vergleich zur Vorratsdatenspeicherung, den Juristen des Kanzleramts nach Angaben der Journalisten von WDR und NDR gezogen haben, wirkt hier reichlich schief. Da nicht jeder Provider in die Pflicht genommen wird, um alle Verbindungsdaten vorzuhalten, sondern nur große Internetknoten zur Kooperation gezwungen würden, wäre das Vorhaben keine Vorratsdatenspeicherung, so die namenlosen Juristen.

Allerdings bezog und bezieht sich die Vorratsdatenspeicherung nie auf anlasslos gespeicherte Inhaltsdaten, sondern auf Verkehrsdaten der Kommunikation. Für den BND hingegen sollen künftig auch die Inhalte der Kommunikation zur Analyse vorgehalten werden. Dagegen ist die seit zwanzig Jahren diskutierte und in Deutschland aktuell schon wieder geforderte Vorratsdatenspeicherung also ein quantitativ und qualitativ weit geringerer Eingriff in Grundrechte.

Gezieltes Hacken und Sabotage

Es ist weiter eine Art Wettrüsten im Gange. Denn die Erlaubnis zur Massenspeicherung und -analyse und zum ausgiebigeren Hacken für den BND begründet das Kanzleramt laut Süddeutscher Zeitung mit den Fähigkeiten anderer Geheimdienste. Die Gesetzesnovelle diene auch dazu, „mit der Leistungsfähigkeit relevanter europäischer Partnerdienste wieder Schritt zu halten“.

Ein gezieltes Hacken oder Sabotieren ist eine glasklare Eingriffsbefugnis und damit weit weg von den Aufklärungsmaßnahmen, für die der BND geschaffen wurde, aber gefährlich nah am Gewaltverbot des Grundgesetzes, das selbstverständlich auch den Auslandsgeheimdienst bindet. Es mag sein, dass in der öffentlichen Wahrnehmung Hacking-Angriffe durch ihre Häufigkeit bei manchen Menschen ein gewisses Normalitätsgefühl hervorrufen. In Wahrheit ist aber eine Erlaubnis für aktives Hacken und Sabotage für den deutschen Auslandsgeheimdienst eine ganz erhebliche Ausweitung seiner Befugnisse, die nicht mal im Ansatz mit einer ausgewogenen Kontrollmöglichkeit durch das Parlament oder gar die Öffentlichkeit versehen werden kann. In diese Karten werden sie sich nicht blicken lassen.

Das wiegt umso schwerer, als dass gerade bei diesem Geheimdienst eine verbesserte Kontrolle eigentlich ein Muss wäre. Der BND ist in seiner Geschichte so oft beim Lügen erwischt worden, dass allein das Lesen der zugehörigen Wikipedia-Seiten über die Skandale Stunden einnehmen kann. Man könnte nach der Lektüre meinen, Gesetze interessieren die Geheimen ohnehin wenig.

Kaum oder nur schlecht kontrollierte geheime Instanzen mit Milliarden-Budget und so mächtigen Werkzeugen darf es in einer parlamentarischen Demokratie gar nicht geben. Schon gar nicht, wenn sie in ihrer Geschichte immer wieder bewiesen haben, dass sie die Kontrollgremien über technische Sachverhalte und Operationen gar nicht oder nur lückenhaft informieren.

Noch kein Zeitplan

Ein Zeitplan für das neue BND-Gesetz steht noch nicht. Die Ressort-Abstimmungen laufen aber bereits.

Der Deutsche Journalisten-Verband protestiert und sieht nach den vorab bekannt gewordenen neuen Plänen die Pressefreiheit in Gefahr. Um den mit hoher Sicherheit umfangreichen Gesetzentwurf genauer zu analysieren, muss er aber erstmal vorliegen. Dass auch diesmal wieder nur eine Simulation der Verbändebeteiligung stattfinden wird, ist nicht auszuschließen.

BMW hat sich zu fehlenden Patches für eine problematische Sicherheitslücke in AirPlay und CarPlay geäußert. Laut Angaben des Unternehmens gegenüber Mac & i haben bestimmte Fahrzeuge „inzwischen einen Patch per Over-the-Air Update oder ab Werk“ erhalten. Die Sache hat allerdings einen Haken: Es sind nur Autos, die über Operating System 8.5 oder Operating System 9 verfügen beziehungsweise auf diese aktualisiert werden können.

Sicherheitsrisiko „äußerst gering“

Im Frühjahr war bekannt geworden, dass sich in AirPlay (und damit auch in CarPlay) Fehler befinden, die die Übernahme von Unterhaltungselektronik erlauben, darunter auch Car-Entertainment-Systeme. Die Lücke namens „Pwn My Ride“ steht noch in einer ganzen Reihe von Fahrzeugen offen. Einem Besitzer eines i3s hatte der Kundendienst mitgeteilt, dass für dieses Fahrzeug kein Patch verfügbar gemacht wird. Begründet wurde dies mit einem „äußerst geringen“ Sicherheitsrisiko – weil Angreifer ihr Gerät per Bluetooth zunächst mit dem Auto koppeln müssen.

Auf einen ähnlichen Standpunkt stellt sich BMW noch immer. „Ein Ausnutzen der Sicherheitslücke erfordert, dass ein Angreifer mit einem böswilligen Gerät aktiv eine Kopplung mit der Headunit des Fahrzeugs via Bluetooth durchführt. Dieser Kopplungsprozess setzt jedoch sowohl eine direkte Initiierung aus dem Kopplungsmenü des Fahrzeugs als auch eine PIN-basierte Validierung voraus.“ Dieser mehrstufige Prozess stelle sicher, „dass eine unbeabsichtigte oder unautorisierte Kopplung praktisch ausgeschlossen“ sei, behauptet der Konzern – wobei dazu ein gültiger Fahrzeugschlüssel im Innenraum ausreicht, eine Passwortsicherung oder Ähnliches gibt es für das Bluetooth-Setup nicht. BMW betonte weiterhin, dass man „seit mehreren Jahren verschiedenste Sicherheitskonzepte“ einsetze, „unter anderem zur Isolation von Prozessen“ sowie „Einschränkungen der Berechtigungen auf das Nötigste“. Daher erhalte ein Angreifer durch Ausnutzung der Sicherheitslücke „keine Root-Rechte auf dem Steuergerät“. Was sich dennoch anfangen lässt, bleibt allerdings unklar. „Angesichts dieser strengen Voraussetzungen und der stark limitierten möglichen Aktionen für einen Angreifer wird das Sicherheitsrisiko für unsere Kunden als äußerst gering eingeschätzt.“

Für welche Fahrzeuge es Patches gibt

Die „Automotiv-Cyber-Security-Einheit“ des Konzerns nehme „jede potenzielle Bedrohung äußerst ernst“ – so auch diese. „Unmittelbar nach Bekanntwerden der Sicherheitslücke haben unsere Experten diese eingehend untersucht.“ Das führte dann zur Entscheidung, Patches für die Betriebssysteme 8.5 und 9 bereitzustellen.

Dabei handelt es sich um Mittel- und Oberklassenmodelle in den Varianten 3er, 4er, 5er (inklusive i5), 7er (inklusive i7), X5, X6, X7, iX, XM (Operating System 8.5) sowie um Kompaktklassenmodelle der Varianten 1er, 2er, 2er Active Tourer, X1, X2, X3 (Operating System 9). Der Rollout dieser Systeme begann im Sommer 2023. Der i3 ist nicht abgedeckt. „Der Entwicklungsaufwand für die Absicherung des Patches auf der Headunit des i3 steht in keinem Verhältnis zum äußerst geringen Risiko für unsere Kunden“, so ein Sprecher.

(bsc)

Wenn jemand unverlangt Fotos oder Videos verschickt, auf denen Genitalien zu sehen sind, heißt das in Großbritannien Cyberflashing. Seit 2023 ist es verboten, zumindest dann, wenn die Bilder die Empfänger*innen verängstigen oder erniedrigen sollen. Am Donnerstag ist nun eine Gesetzesänderung wirksam geworden, die als Folge Anbieter von Kommunikationsdiensten verpflichtet, Bilder von Genitalien zu filtern, bevor sie die Zielpersonen erreichen. Das Cyberflashing wird künftig als „priority offence“ behandelt, auf deutsch: priorisiertes Vergehen.

Das heißt, Social-Media- oder Dating-Plattformen müssen künftig sämtliche Inhalte analysieren, auch und vor allem Inhalte, die Nutzer*innen sich gegenseitig senden, bei denen also zuvor mindestens eine gewisse Vertraulichkeit angenommen werden konnte. Das zuständige Department for Science, Innovation & Technology unter Ministerin Liz Kendall schlägt in einer Pressemitteilung für die Analyse die Nutzung automatisierter Systeme vor, die Bilder von Genitalien erkennen und filtern.

Es droht Overblocking

Unternehmen, deren Maßnahmen zur Verhinderung von Cyberflashing nicht ausreichend sind, können mit einer Geldstrafe bis zur Höhe von zehn Prozent des weltweiten Umsatzes und mit einer Sperre in Großbritannien bestraft werden. Die NGO Open Rights Group geht davon aus, dass die Unternehmen mehr Inhalte sperren werden als notwendig, um Strafen zu vermeiden. Laut Reclaim the Net gehören zu den Unternehmen, die dem Gesetz unterworfen sind, auch die Anbieter von Messenger-Apps, Foren und Suchmaschinen.

Die Dating-Plattform Bumble wird in der Pressemitteilung vom Gesetzgeber lobend erwähnt. Dort erkennt eine sogenannte KI bereits Bilder, auf denen nackte Haut zu sehen ist. Die werden dann mit einem Unschärfefilter belegt, die Empfänger*innen werden vor dem Erhalt der Bilder gewarnt, können bei Wunsch aber dennoch darauf zugreifen.

Wie die Anbieter das Gesetz umsetzen sollen, ist jedoch noch nicht konkretisiert. Das soll nun die britische Medienaufsichtsbehörde Ofcom in Praxisrichtlinien ausarbeiten.