Im vergangenen November entschied das Bundesverfassungsgericht, dass die Hausdurchsuchung bei einem Redakteur von Radio Dreyeckland unrechtmäßig war. Ihm wurde vorgeworfen, eine kriminelle Vereinigung unterstützt zu haben, indem er einen Link auf das Archiv von linksunten.indymedia.org gesetzt hatte. Davon war er bereits 2024 freigesprochen worden.

Nun erklärte das Landgericht Karlsruhe weitere Hausdurchsuchungen im Zusammenhang mit Linksunten für rechtswidrig: die bei vermeintlichen Betreiber:innen des Archivs. Im August 2023 durchsuchte die Polizei mehrere Wohnungen von Personen, denen die „Aufrechterhaltung des organisatorischen Zusammenhalts dieser verbotenen Vereinigung“ vorgeworfen wurde. Das war gut ein halbes Jahr nach den Durchsuchungen bei Radio Dreyeckland

In einem Beschluss vom 30. Dezember kommt das Landgericht zum Ergebnis: Die Durchsuchungsanordnungen sowie die vorläufige Sicherstellung aufgefundener elektronischer Datenträger waren rechtswidrig.

Nicht verhältnismäßig, kein ausreichender Anfangsverdacht

Die Durchsuchungsbeschlüsse seien nicht verhältnismäßig gewesen, außerdem sei zweifelhaft, ob es überhaupt einen ausreichenden Anfangsverdacht wegen eines Verstoßes gegen ein Vereinigungsverbot gab. „Nach dem Beschluss des Bundesverfassungsgerichts zur Durchsuchung bei Radio Dreyeckland hatte das Landgericht leichtes Spiel“, sagt der Jurist David Werdermann von der Gesellschaft für Freiheitsrechte, der den Redakteur von Radio Dreyeckland in seinem Fall unterstützt hatte. „Es gab keine ausreichenden Anhaltspunkte dafür, dass die verbotene Vereinigung weiterhin existiert. Das wurde der Staatsanwaltschaft und den Gerichten, die anders entschieden hatten, jetzt nochmal in aller Deutlichkeit unter die Nase gerieben.“

Das Landgericht bezweifelt unter anderem, dass die Existenz einer Archivseite automatisch auf eine fortbestehende Vereinigung hinweist. Außerdem sei das Archiv statisch, neue Beiträge im Sinne der früheren Open-Posting-Plattform sind auf der seit 2020 abrufbaren Seite ebenso wenig möglich wie Kommentare.

Aus dem entsprechenden Beschluss des Landgerichts wird deutlich, dass gegen die angeblichen Archivbetreiber:innen ermittelt wurde, weil im Radio-Dreyeckland-Verfahren von Anfang an fraglich war, ob die verbotene Vereinigung, die der beschuldigte Redakteur unterstützt haben soll, überhaupt existiert.

Nachdem das Verfahren gegen diesen Redakteur infolge eines Beschlusses vom Oberlandesgericht Stuttgart begonnen hatte, leitete die Staatsanwaltschaft ein Ermittlungsverfahren gegen die vermeintlichen Archivbetreiber:innen und damit die Beschuldigten in der Fortführung einer verbotenen Vereinigung ein.

Fast 200 Datenträger

Bei den Hausdurchsuchungen stellte die Polizei „insgesamt knapp 200 Datenträger“ sicher, darunter Laptops, Festplatten und SD-Karten. Erkenntnisse gewannen die Ermittler:innen dadurch nicht. „Im Rahmen der Aufbereitung der Asservate sei aufgefallen, dass der überwiegende Teil verschlüsselt sei“, teilte das baden-württembergische Landeskriminalamt der Staatsanwaltschaft mit. Der Tatvorwurf ließ sich nicht erhärten, das Ermittlungsverfahren wurde im Mai 2025 eingestellt, die Datenträger zurückgegeben.

Der Beschluss zur Unrechtmäßigkeit der Durchsuchungsanordnungen und Sicherstellungen ist rechtskräftig, so das Landgericht Karlsruhe auf Nachfrage, „da eine weitere Beschwerde gegen den Beschluss nicht statthaft ist“.

Schon die Ermittlungen wegen angeblicher Bildung einer kriminellen Vereinigung in Bezug auf die frühere Open-Posting-Seite waren allesamt eingestellt worden. Das Vereinsverbot besteht unterdessen weiter. Das Bundesverwaltungsgericht wies mehrere Klagen dagegen im Jahr 2020 ab, entschied aber nicht zur Tragfähigkeit der Verbotsgründe. Der Grund: Nur die betroffene Vereinigung selbst sei befugt, ein Verbot anzufechten. Von den Klagenden hatte sich jedoch niemand zu einer Mitgliedschaft in derselben bekannt.

Ende Dezember 2025 haben die Sicherheitsforscher Lexi Groves alias 49016 und Liam Wachter auf dem 39. Chaos Communication Congress in Hamburg Sicherheitslücken in verschiedenen Werkzeugen zum Verschlüsseln und Signieren von Daten demonstriert. Neben einzelnen Lücken in den Tools Age, Minisign und Sequoia-PGP stand die populäre PGP-Implementierung GnuPG im Fokus des Vortrags. Darin fanden die Sicherheitsforscher zahlreiche Probleme unterschiedlichen Schweregrades und mit diversen Ursachen. In den Tagen nach der Präsentation entspannen sich mehrfach Diskussionen über die Bewertung der einzelnen Lücken und die Reaktion der GnuPG-Entwickler darauf.

Weitgehend einig ist man sich bei einer fehlerhaften Schleife, die zu uninitialisiertem Speicher und einem inkonsistenten Programmzustand führt. Seit 1999 schlummerte dieser Bug im GnuPG-Code. Werner Koch, Urheber und maßgeblicher Entwickler von GnuPG, nennt ihn „den einzigen schweren Fehler“ von den vorab an GnuPG gemeldeten Problemen. Behoben wurde der Bug in Version 2.5.14 vom 19. November 2025. Allerdings wurden 2.5.x-Versionen damals vom GnuPG-Projekt noch als Entwicklungszweig („devel“) geführt. Übliche Linux-Distributionen lieferten daher 2.4.x-Versionen aus und waren von der Lücke zum Zeitpunkt der Veröffentlichung betroffen. Erst am 30. Dezember, drei Tage nach dem Vortrag, veröffentlichte das GnuPG-Projekt Version 2.4.9 mit demselben Bugfix. Ebenfalls kurz nach dem Vortrag wurde der 2.4.x-Zweig auf der GnuPG-Hompage als „oldstable“ deklariert und 2.5.x wurde zu „stable“.

„Not a bug“

Gar nicht beheben wollen die GnuPG-Entwickler dagegen ein anderes Problem: Die Forscher demonstrierten einen Angriff, bei dem das Opfer scheinbar einen Schlüssel des Angreifers dechiffriert und das Resultat auf einen Schlüsselserver hochlädt; beispielsweise im Glauben, damit dem Angreifer im Kampf gegen Zensurmaßnahmen zu helfen. In Wahrheit dechiffriert GnuPG bei dem Angriff dagegen eine an das Opfer verschlüsselte (und für den Angreifer unlesbare) Datei – und platziert einen Teil des gewonnenen Klartextes in der generierten Schlüsseldatei. Wer die nun tatsächlich auf den Schlüsselserver hochlädt, dessen URL der Angreifer ebenfalls setzen kann, exfiltriert unwissentlich vertrauliche Daten an den Angreifer.

Für den Angriff nutzen die Forscher eine geschickt manipulierte Datei, die GnuPG mehrfach fundamental aus dem Tritt bringt. Statt einer deutlichen Sicherheitswarnung, dass die Datei manipuliert wurde, meldet GnuPG lediglich, dass es auf ein „ungültiges Paket“ gestoßen sei, das nicht entschlüsselt werden konnte. Eine scheinbar korrekte Schlüsseldatei produziert es dennoch, was Opfer plausiblerweise dazu verleiten könnte, die Datei wie gewünscht hochzuladen. Doch weil GnuPG grundsätzlich ein Problem meldet, halten seine Entwickler keine Gegenmaßnahmen für erforderlich.

Viele weitere der demonstrierten Probleme betreffen „Cleartext Signatures“, ein altes und von grundsätzlichen Problemen geplagtes Signaturformat. Die meisten dieser Probleme wollen die GnuPG-Entwickler ebenfalls nicht beheben, weil sie ohnehin grundsätzlich von Cleartext Signatures abraten und empfehlen, die verbreiteteren „detached signatures“ zu nutzen, die üblicherweise auch bei E-Mails zum Einsatz kommen. Entfernen könne man das problematische Format allerdings nicht, weil es noch zu verbreitet sei, so Werner Koch, und zudem gebe es kein Problem, wenn man Cleartext Signatures richtig nutze.

Grundsätzliche Kritik an PGP

Alle weiteren von Lexi Groves und Liam Wachter demonstrierten Probleme zu beschreiben, würde den Umfang dieses Artikels deutlich sprengen; wir haben Ihnen eine Übersicht mit weiterführenden Links zusammengestellt. Der Umfang der Probleme und die teilweise als unzureichend wahrgenommenen Reaktionen der Entwickler ließen jedenfalls grundsätzliche Diskussionen zum Zustand von GnuPG und dem PGP-System insgesamt wieder aufflammen.

An PGP wird seit geraumer Zeit viel kritisiert, etwa dass das Kryptosystem kompliziert in der Handhabung sei und es Nutzern leicht mache, fatale Fehler zu begehen. Ein zentraler Kritikpunkt ist, dass PGP zu viele Aufgaben erfüllen wolle, um irgendeine davon wirklich gut zu erfüllen. Außerdem tragen PGP-Implementierungen viele veraltete Algorithmen und Formate mit sich herum, derer sie sich aus Gründen der Kompatibilität nur schlecht entledigen können.

Hinzu kam vor etwa zwei Jahren ein Richtungsstreit, der in zwei neuen, zueinander inkompatiblen Standards mündete: OpenPGP (RFC 9580), dem die meisten PGP-Implementierungen folgen, und LibrePGP, der von Werner Koch für GnuPG definiert wurde. Dass man im Alltag von diesen Inkompatibilitäten oft wenig merkt, liegt unter anderem an einem FreePG genannten Patchset, mit dem einige große Linux-Distributionen das von ihnen ausgelieferte GnuPG modifizieren und standardmäßig weitgehende Kompatibilität wiederherstellen. Die jetzt demonstrierten Probleme lassen Aufrufe, PGP insgesamt oder zumindest GnuPG hinter sich zu lassen, wieder lauter werden.

(syt)

Die US-Regierung verlangt von allen Teilnehmenden ihres Visa-Waiver-Programms (VWP), eine „Enhanced Border Security Partnership“ (EBSP) abzuschließen. Das VWP ermöglicht Bürger*innen aus derzeit über 40 Ländern – darunter 24 von 27 EU-Mitgliedstaaten – eine visafreie Einreise in die USA für bis zu 90 Tage. Künftig soll dieses Privileg jedoch an neue Bedingungen geknüpft werden: Die USA fordern einen direkten Zugriff auf nationale Polizeidatenbanken mit Fingerabdrücken und Gesichtsbildern von Teilnehmerstaaten.

Von derartigen Abfragen betroffen wären nicht nur Reisende, sondern grundsätzlich alle Personen, deren Daten im Zuständigkeitsbereich von Grenz- und Polizeibehörden der USA verarbeitet werden. Weigern sich Staaten, diese „Grenzpartnerschaft“ einzugehen, sollen sie aus dem VWP ausgeschlossen werden.

Kommission erhält Verhandlungsmandat

Selbst innerhalb der Europäischen Union existiert kein System, das Polizeibehörden anderer Mitgliedstaaten einen unmittelbaren Zugriff auf nationale Datenbanken erlaubt. In Deutschland allein könnten davon fast sechs Millionen Menschen betroffen sein, die im polizeilichen Informationssystem INPOL mit Gesichtsbildern und Fingerabdrücken gespeichert sind. Rund die Hälfte der erfassten Personen sind Asylsuchende oder ausreisepflichtige Personen.

Kurz vor Weihnachten 2025 erteilten die EU-Staaten der Kommission in Brüssel trotzdem das Mandat, über ein Rahmenabkommen mit den USA zu verhandeln. Dieses soll die Grundlinien für die US-Datenabfragen festlegen. Die konkreten technischen, rechtlichen und organisatorischen Details müssen anschließend in bilateralen Umsetzungsabkommen geregelt werden.

Die Verhandlungsposition der EU bleibt jedoch geheim. Auf eine Anfrage nach dem Informationsfreiheitsgesetz verweigerte die Kommission den Zugang zu dem entsprechenden Dokument. Zur Begründung hieß es, eine Freigabe würde „die Position der Europäischen Kommission bei den Verhandlungen mit den USA schwächen“ und „den Schutz der internationalen Beziehungen beeinträchtigen“.

Erhebliche rechtliche Bedenken

Der Fachanwalt für Strafrecht und IT-Recht Jens Ferner bewertet das geplante Rahmenabkommen mit der EU äußerst kritisch. Die vom Europäischen Gerichtshof (EuGH) geforderten Standards – ein im Wesentlichen gleichwertiges Schutzniveau, die Verhältnismäßigkeit von Überwachungsmaßnahmen und effektiver Rechtsschutz – stünden in „deutlichem Spannungsverhältnis zu den in den USA bestehenden Überwachungsbefugnissen“, schreibt Ferner in einem Gastkommentar für das Magazin „Beck Online“.

Ferner verweist auf die „Schrems II“-Entscheidung des EuGH, in der das Gericht das EU-US-Privacy-Shield für ungültig erklärt hatte, weil US-Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt seien und Betroffene keinen ausreichenden Rechtsschutz genössen. Eine EBSP, die US-Behörden „einen quasi unmittelbaren Online-Zugriff auf biometrische Polizeidaten von Millionen Menschen“ einräume, sei mit dem „tradierten europäischen Daten- und Grundrechtsverständnis“ nicht vereinbar.

Ein unionskonformes Modell müsste mindestens strikte Zweckbindungen vorsehen und sensible Personengruppen wie Zeug*innen, Opfer und Berufsgeheimnisträger ausnehmen, so Ferner. Außerdem müsse eine EBSP am Treffer/Kein-Treffer-Prinzip anknüpfen: Zunächst wird abgefragt, ob ein Datensatz vorhanden ist, danach kann unter engen rechtlichen Voraussetzungen eine Übermittlung beantragt werden. Würden diese Vorgaben nicht eingehalten, sei „mit rechtlichen Auseinandersetzungen vor den Verfassungsgerichten und dem EuGH zu rechnen“.

Berüchtigte US-Behörde ICE könnte Daten nutzen

Der Austausch im EBSP soll auch Personen betreffen, die in „Grenz- und Migrationskontexten“ angetroffen werden. Damit könnten die Daten auch der Einwanderungs- und Zollbehörde ICE zur Verfügung stehen. Unter Präsident Donald Trump wurde diese Behörde massiv ausgebaut. Mit einem zweistelligen Milliarden-Dollar-Budget sind pauschal eine Million Abschiebungen pro Jahr avisiert.

Zum Einsatz kommen dabei unter anderem umstrittene Überwachungssoftware von Palantir sowie weitere fragwürdige IT-Werkzeuge. Ein direkter Zugriff auf europäische Polizeidaten würde diesen Überwachungs- und Abschiebeapparat erheblich stärken. Das hätte Folgen auch für linke politische Aktivist*innen, deren biometrische Daten nach erkennungsdienstlichen Behandlungen ebenfalls in nationalen oder europäischen Systemen gespeichert sind.

Im Herbst hatte die Trump-Administration eine vermeintliche deutsche „Antifa Ost“ auf eine Terrorliste gesetzt. Möglicherweise unter Befolgung damit verbundener Sanktionen kündigte die GLS Bank daraufhin der Solidaritätsorganisation Rote Hilfe ihre Konten. Ein EBSP-Abkommen könnte in diesem Gefüge auch Einzelpersonen bei der US-Reise Repressalien bescheren.

Frist läuft Ende 2026 ab

Bislang hat nach öffentlich bestätigten Informationen lediglich Bahrain ein EBSP-Abkommen mit den USA abgeschlossen. Laut dem Heimatschutzministerium in Washington umfasst es den „automatisierten“ Austausch biometrischer Daten zur Bekämpfung von Terrorismus, organisierter Kriminalität sowie Drogen- und Migrantenschmuggel.

Die EU-Mitgliedstaaten müssen nun entscheiden, ob und unter welchen Bedingungen sie einen solch weitgehenden Datendeal unterzeichnen wollen, um den visafreien Reiseverkehr im Rahmen des Visa-Waiver-Programms fortzuführen – oder daraus auszusteigen. Die von den USA gesetzte Frist endet am 31. Dezember 2026.