Das Bundesverwaltungsgericht (BVerwG) hat die Klage auf „Einsicht in Anordnungen des Präsidenten des Bundesnachrichtendienstes“ der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Louisa Specht-Riemenschneider, gegen den Bundesnachrichtendienst (BND) als unzulässig verworfen. In dem Verfahren (Az. 6 A 2.24) ging es um die Frage, ob die oberste Datenschutzaufsicht des Bundes ihre Kontrollrechte gegenüber dem Auslandsnachrichtendienst gerichtlich durchsetzen kann.

Nach der Entscheidung des Gerichts ist das nicht der Fall. „Der Vorschrift des § 63 BNDG i. V. m. § 28 Abs. 3 Satz 2 Nr. 1 BVerfSchG […] lässt sich eine im Wege einer verwaltungsgerichtlichen Klage durchsetzbare wehrfähige Rechtsposition nicht entnehmen“, konstatiert das BVerwG.

Die BfDI hatte mit der Klage klären wollen, ob sie bei verweigerter Einsicht durch den BND den Rechtsweg beschreiten darf. „Durch die Klage wollte ich erreichen, dass keine praktischen Kontrolllücken entstehen, damit Grundrechte wirksam geschützt werden können. Dem Bundesverwaltungsgericht zufolge kann ich meine unabhängigen Kontrollbefugnisse nicht gerichtlich durchsetzen, ich habe keine ,wehrfähige Rechtsposition‘ für eine Klage“, so Specht-Riemenschneider.

Zuvor hatte die BfDI die Verweigerung der Einsichtnahme beim Bundeskanzleramt beanstandet. Das Kanzleramt wies dies zurück und verwies auf den Vorrang der Kontrolle durch den Unabhängigen Kontrollrat (UKR); zur Kompetenzabgrenzung zwischen UKR und BfDI äußerte sich das Bundesverwaltungsgericht nicht.

Sorge vor kontrollfreien Räumen

Nach Auffassung des Gerichts steht der BfDI bei Streit über Einsichtsrechte lediglich die Beanstandung gegenüber dem Bundeskanzleramt offen. Mit diesem Instrument seien jedoch – entsprechend dem gesetzgeberischen Willen – keine unmittelbar durchsetzbaren Abhilfe- oder Durchgriffsrechte verbunden. Eine eigene Klagebefugnis der Datenschutzbeauftragten würde diese gesetzliche Konstruktion unterlaufen. „Als Folge des Urteils befürchte ich, dass im Bereich der Nachrichtendienste kontrollfreie Räume entstehen. Die kontrollierte Stelle kann nunmehr faktisch selbst darüber entscheiden, was mir zur Einsicht gegeben und was damit durch mich kontrolliert wird. Die Gesetzeslage ist absurd und muss korrigiert werden“, sagte die BfDI.

Sie fordert daher eine gesetzliche Nachbesserung. „Aus meiner Sicht muss es immer eine Instanz geben, die über strittige Fragen entscheidet. Diese Instanz kann aber nicht das Bundeskanzleramt sein, denn innerhalb der Exekutive bin ich vollständig unabhängig und weisungsfrei. Ich muss meine Kontrollrechte im Interesse des Grundrechtsschutzes vor Gericht durchsetzen können. Ich appelliere an den Gesetzgeber, mir für Streitigkeiten über meine Kontrollrechte und -pflichten beim BND einen Rechtsweg zu geben.“

Hintergrund des Verfahrens war ein Vor-Ort-Termin der Datenschutzaufsicht beim BND. Dort hatte der Dienst die Einsicht in bestimmte Anordnungen individueller nachrichtendienstlicher Aufklärungsmaßnahmen verweigert. Konkret betraf dies CNE-Maßnahmen (Computer Network Exploitation), „die notwendig sind, um ein ‚Hacking‘ von IT-Systemen von Ausländern im Ausland zu rechtfertigen“. Nach Einschätzung der BfDI handelt es sich um besonders eingriffsintensive Maßnahmen, die einer sorgfältigen datenschutzrechtlichen Kontrolle bedürfen.

„Bürgerinnen und Bürger haben gegenüber den Nachrichtendiensten wegen der geheim stattfindenden Datenverarbeitungen kaum Möglichkeiten, sich selbst gegen nachrichtendienstliche Maßnahmen zur Wehr zu setzen, die tief in ihre Privatsphäre eingreifen können. Deshalb hat das Bundesverfassungsgericht mir eine Kompensationsfunktion zugewiesen. Meine Möglichkeiten zur Durchsetzung der Betroffenenrechte sind mit dem heutigen Urteil massiv beschränkt.“ Die BfDI will nun prüfen, welche Konsequenzen das Urteil für die Durchsetzung datenschutzrechtlicher Vorgaben auf nationaler und europäischer Ebene hat.

Bereits in der Vergangenheit hatten die aktuelle und der ehemalige BfDI betont, wie wichtig eine unabhängige Kontrolle des BND sei – gerade mit Blick auf weitere geplante Ermittlungsbefugnisse im digitalen Raum. Immer wieder hatte es Streit um die Kontrolle der Nachrichtendienste gegeben, etwa weil der Bundesnachrichtendienst Einsicht in Unterlagen verweigert hatte.

(mack)

Eine von Europol koordinierte internationale Strafverfolgungsaktion hat die Phishing-Plattform Tycoon2FA außer Gefecht gesetzt. Dabei wurden 330 Domains, die die Kerninfrastruktur des kriminellen Dienstes bildeten, darunter Phishing-Seiten und Kontrollpanels, abgeschaltet, heißt es in einer von der europäischen Polizeibehörde veröffentlichten Mitteilung. Die Aktion wurde von Strafverfolgungsbehörden in Lettland, Litauen, Portugal, Polen, Spanien und Großbritannien sowie Akteuren des Privatsektors, darunter Cloudflare, Coinbase oder Trend Micro, in enger Zusammenarbeit unter der Koordination des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität (EC3) von Europol durchgeführt.

Tycoon 2FA war mindestens seit August 2023 aktiv und zählte laut Europol zu den größten Phishing-Operationen weltweit. Die Plattform wurde demnach von Tausenden Cyberkriminellen genutzt, um die Zwei-Faktor-Authentifizierung (2FA) zu umgehen und ihnen unbemerkten Zugriff auf E-Mail- und Cloud-basierte Dienste zu ermöglichen. „Die Plattform generierte monatlich zig Millionen Phishing-E-Mails und ermöglichte den unbefugten Zugriff auf fast 100.000 Organisationen weltweit, darunter Schulen, Krankenhäuser und öffentliche Einrichtungen“, schreibt Europol.

Niedrige Einstiegsschwelle für Cyberkriminelle

Laut dem Tech-Portal Bleeding Computer wurden Tycoon2FA-Abos über den Telegram-Messenger zehn Tage Zugriff für 120 US-Dollar angeboten. Dies habe die Hürde, ausgeklügelte Angriffe zur Umgehung der MFA in großem Umfang durchzuführen, für weniger erfahrene Kriminelle deutlich gesenkt, so das Portal weiter.

„Die Plattform von Tycoon2FA ermöglichte es Angreifern, sich als vertrauenswürdige Marken auszugeben, indem sie Anmeldeseiten für Dienste wie Microsoft 365, OneDrive, Outlook, SharePoint und Gmail imitierten. Sie erlaubte es Angreifern außerdem, sich dauerhaft einzunisten und auf sensible Informationen zuzugreifen, selbst nachdem Passwörter zurückgesetzt wurden, sofern aktive Sitzungen und Token nicht explizit widerrufen wurden“, erklärte Microsoft am Mittwoch in einem Blogeintrag. „Dies funktionierte, indem während des Authentifizierungsprozesses generierte Sitzungs-Cookies abgefangen und gleichzeitig die Benutzerdaten erfasst wurden. Die 2FA-Codes wurden anschließend über die Proxy-Server von Tycoon2FA an den Authentifizierungsdienst weitergeleitet.“

Die Ermittlungen begannen, nachdem Trend Micro Informationen bereitgestellt hatte. Diese Informationen verbreitete Europol über seine EC3-Beratungsgruppen und operativen Netzwerke. Dies wiederum habe die Entwicklung einer koordinierten Einsatzstrategie ermöglicht, so das Europäische Polizeiamt. Später arbeiteten Microsoft und Trend Micro eng mit den Strafverfolgungsbehörden zusammen und stellten technisches Fachwissen sowie Infrastrukturanalysen bereit.

(akn)

Das Bundesverwaltungsgericht (BVerwG) hat die Klage auf „Einsicht in Anordnungen des Präsidenten des Bundesnachrichtendienstes“ der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Louisa Specht-Riemenschneider, gegen den Bundesnachrichtendienst (BND) als unzulässig verworfen. In dem Verfahren (Az. 6 A 2.24) ging es um die Frage, ob die oberste Datenschutzaufsicht des Bundes ihre Kontrollrechte gegenüber dem Auslandsnachrichtendienst gerichtlich durchsetzen kann.

Nach der Entscheidung des Gerichts ist das nicht der Fall. „Der Vorschrift des § 63 BNDG i. V. m. § 28 Abs. 3 Satz 2 Nr. 1 BVerfSchG […] lässt sich eine im Wege einer verwaltungsgerichtlichen Klage durchsetzbare wehrfähige Rechtsposition nicht entnehmen“, konstatiert das BVerwG.

Die BfDI hatte mit der Klage klären wollen, ob sie bei verweigerter Einsicht durch den BND den Rechtsweg beschreiten darf. „Durch die Klage wollte ich erreichen, dass keine praktischen Kontrolllücken entstehen, damit Grundrechte wirksam geschützt werden können. Dem Bundesverwaltungsgericht zufolge kann ich meine unabhängigen Kontrollbefugnisse nicht gerichtlich durchsetzen, ich habe keine ,wehrfähige Rechtsposition‘ für eine Klage“, so Specht-Riemenschneider.

Zuvor hatte die BfDI die Verweigerung der Einsichtnahme beim Bundeskanzleramt beanstandet. Das Kanzleramt wies dies zurück und verwies auf den Vorrang der Kontrolle durch den Unabhängigen Kontrollrat (UKR); zur Kompetenzabgrenzung zwischen UKR und BfDI äußerte sich das Bundesverwaltungsgericht nicht.

Sorge vor kontrollfreien Räumen

Nach Auffassung des Gerichts steht der BfDI bei Streit über Einsichtsrechte lediglich die Beanstandung gegenüber dem Bundeskanzleramt offen. Mit diesem Instrument seien jedoch – entsprechend dem gesetzgeberischen Willen – keine unmittelbar durchsetzbaren Abhilfe- oder Durchgriffsrechte verbunden. Eine eigene Klagebefugnis der Datenschutzbeauftragten würde diese gesetzliche Konstruktion unterlaufen. „Als Folge des Urteils befürchte ich, dass im Bereich der Nachrichtendienste kontrollfreie Räume entstehen. Die kontrollierte Stelle kann nunmehr faktisch selbst darüber entscheiden, was mir zur Einsicht gegeben und was damit durch mich kontrolliert wird. Die Gesetzeslage ist absurd und muss korrigiert werden“, sagte die BfDI.

Sie fordert daher eine gesetzliche Nachbesserung. „Aus meiner Sicht muss es immer eine Instanz geben, die über strittige Fragen entscheidet. Diese Instanz kann aber nicht das Bundeskanzleramt sein, denn innerhalb der Exekutive bin ich vollständig unabhängig und weisungsfrei. Ich muss meine Kontrollrechte im Interesse des Grundrechtsschutzes vor Gericht durchsetzen können. Ich appelliere an den Gesetzgeber, mir für Streitigkeiten über meine Kontrollrechte und -pflichten beim BND einen Rechtsweg zu geben.“

Hintergrund des Verfahrens war ein Vor-Ort-Termin der Datenschutzaufsicht beim BND. Dort hatte der Dienst die Einsicht in bestimmte Anordnungen individueller nachrichtendienstlicher Aufklärungsmaßnahmen verweigert. Konkret betraf dies CNE-Maßnahmen (Computer Network Exploitation), „die notwendig sind, um ein ‚Hacking‘ von IT-Systemen von Ausländern im Ausland zu rechtfertigen“. Nach Einschätzung der BfDI handelt es sich um besonders eingriffsintensive Maßnahmen, die einer sorgfältigen datenschutzrechtlichen Kontrolle bedürfen.

„Bürgerinnen und Bürger haben gegenüber den Nachrichtendiensten wegen der geheim stattfindenden Datenverarbeitungen kaum Möglichkeiten, sich selbst gegen nachrichtendienstliche Maßnahmen zur Wehr zu setzen, die tief in ihre Privatsphäre eingreifen können. Deshalb hat das Bundesverfassungsgericht mir eine Kompensationsfunktion zugewiesen. Meine Möglichkeiten zur Durchsetzung der Betroffenenrechte sind mit dem heutigen Urteil massiv beschränkt.“ Die BfDI will nun prüfen, welche Konsequenzen das Urteil für die Durchsetzung datenschutzrechtlicher Vorgaben auf nationaler und europäischer Ebene hat.

Bereits in der Vergangenheit hatten die aktuelle und der ehemalige BfDI betont, wie wichtig eine unabhängige Kontrolle des BND sei – gerade mit Blick auf weitere geplante Ermittlungsbefugnisse im digitalen Raum. Immer wieder hatte es Streit um die Kontrolle der Nachrichtendienste gegeben, etwa weil der Bundesnachrichtendienst Einsicht in Unterlagen verweigert hatte.

(mack)