Der Sozialstaat stehe vor einem „digitalen Neustart“. Das verkündete Bundesarbeitsministerin Bärbel Bas (SPD), als sie am Dienstag den Abschlussbericht der „Kommission zur Sozialstaatsreform“ entgegennahm.

Die Kommission empfiehlt insgesamt 26 Maßnahmen, um den Sozialstaat zu „modernisieren“. Sie sollen das Sozialleistungssystem vereinheitlichen, mehr „Erwerbsanreize“ für Leistungsbeziehende schaffen und rechtliche Vorgaben vereinfachen.

Das Schutzniveau des Sozialstaats werde dadurch nicht gesenkt, betonte Bas. Stattdessen zielten die Empfehlungen darauf ab, den Leistungsvollzug effizienter zu machen. Vor allem die Empfehlungen zur Verwaltungsdigitalisierung wertet die Ministerin dahingehend als „Quantensprung“.

Tatsächlich droht aber gerade hier ein Abbau elementarer Schutzvorkehrungen. Denn die Kommission will unter anderem den Datenschutz aufweichen und Verfahren weitgehend automatisiert „auch unter Nutzung von Künstlicher Intelligenz“ beschleunigen. Wohlfahrtsverbände befürchten, dass ohnehin benachteiligte Menschengruppen zusätzlich diskriminiert werden.

Plattformbasierte Modernisierung mit Sozialportal

Der Kommission gehörten Vertreter:innen des Bundes, der Länder und der Kommunen an. Vertreter:innen aus der Wissenschaft oder der Zivilgesellschaft waren in dem Gremium nicht vertreten. Es führte aber Gespräche mit insgesamt 90 Expert:innen und Interessenvertreter:innen unterschiedlicher Verbände und Sozialpartner.

Für eine „konsequente Ende-zu-Ende-Digitalisierung“ strebt die Kommission quasi im Backend eine „technisch sichere und souveräne Technologieplattform für Bund, Länder und Kommunen“ mit einheitlichen Standards und Schnittstellen an. Die Basiskomponenten dafür soll der Deutschland-Stack liefern, das Prestigeprojekt des Bundesdigitalministeriums.

Im Frontend sollen Bürger:innen alle Leistungen gebündelt über ein zentrales „Sozialportal“ einsehen sowie Anträge stellen und Bescheide abrufen können. Der Sozialstaat soll für sie so „transparenter und leichter zugänglich“ werden.

Behördenübergreifender Datenaustausch

Damit Verwaltungen leichter untereinander Daten austauschen können, sollen sie behördenübergreifend die steuerliche Identifikationsnummer nutzen. Diese lebenslang gültige Personenkennziffer erhalten alle Bürger:innen vom Bundeszentralamt für Steuern bei Geburt.

Schon die Ampel-Regierung hatte geplant, die Steuer-ID dazu zu nutzen, um Verwaltungsdaten zusammenzuführen. Jurist:innen und Datenschützer:innen kritisieren die Einführung einer solchen Personenkennzahl unter anderem mit Bezug auf das Volkszählungsurteils des Bundesverfassungsgerichts als verfassungswidrig.

Darüber hinaus spricht sich die Kommission dafür aus, das sogenannte Once-Only-Prinzip konsequent umzusetzen. Es sieht vor, dass Bürger:innen ihre Antragsdaten nur noch einer Behörde mitteilen, die diese dann an andere Behörden weitergeben kann.

Der „komplexe“ Sozialdatenschutz

Dafür müsse der Gesetzgeber aber zum einen den „komplexen Sozialdatenschutz“ aufweichen. Konkret empfiehlt die Kommission, entsprechende Regelungen im Ersten und im Zehnten Buch Sozialgesetzbuch zusammenzuführen. Zum anderen müsse dafür der Ersterhebungsgrundsatz reformiert oder gar gestrichen werden – sofern dies „mit dem verfassungsrechtlich verankerten Recht auf informationelle Selbstbestimmung vereinbar wäre“.

Der Ersterhebungsgrundsatz sieht vor, dass personenbezogene Sozialdaten grundsätzlich direkt bei der betroffenen Person selbst erhoben werden müssen und nicht etwa beim Arbeitgeber. Betroffene Person können so derzeit selbst darüber entscheiden, ob und wie ihre Daten preis- und weitergegeben werden.

Mehr KI, weniger Kontrolle

Darüber hinaus will die Kommission Verwaltungsverfahren mit dem Einsatz sogenannter Künstlicher Intelligenz beschleunigen. Auf diese Weise will sie auch den „sich verschärfenden Fachkräfteengpässen“ begegnen.

So sollen „rein regelgebundene Prozesse ohne Ermessens- und Beurteilungsspielraum“ künftig „weitgehend automatisiert ablaufen“. Damit sind Verwaltungsprozesse gemeint, bei denen ein Sachverhalt formal auf klare Voraussetzungen geprüft wird – also etwa ob eine Frist eingehalten wurde oder ein:e Antragssteller:in ein bestimmtes Alter erreicht hat.

Aber auch bei Ermessensentscheidungen soll KI verstärkt zum Einsatz kommen – allerdings nur „unterstützend“, wie der Bericht betont. Die Entscheidungen müssten „in menschlicher Hand“ verbleiben. Zugleich spricht sich die Kommission dafür aus, das sogenannte Vier-Augen-Prinzip einzuschränken. Es sieht vor, dass mindestens zwei Behördenmitarbeitende gemeinsam einen Sachverhalt prüfen.

Wohlfahrtsverbände warnen vor KI-Einsatz

Der Paritätische Wohlfahrtsverband sieht diese Empfehlungen „überaus kritisch“. „Auch ‚unterstützende‘ KI kann systematische Benachteiligung verstärken“, schreibt der Verband auf Anfrage von netzpolitik.org. „Besonders gravierend ist die fehlende Transparenz vieler KI‑Modelle und die Gefahr, soziale Feinheiten auszublenden.“ Das Vier-Augen-Prinzip sei „ein unverzichtbarer Schutzmechanismus im Sozialstaat“ und insbesondere bei KI-gestützten Verfahren wichtig. „Hier brauchen wir mehr Kontrolle, nicht weniger“, so der Verband.

„Nachvollziehbarkeit und Transparenz müssen zu jeder Zeit gewährleistet sein“, mahnt auch der Arbeiterwohlfahrt Bundesverband. Er verweist auf Forschungsergebnisse, wonach Algorithmen dazu neigen, ohnehin benachteiligte Menschengruppen weiter zu diskriminieren. „Sofern der Ermessensspielraum nicht zugunsten der Bürgerinnen und Bürger genutzt wird, muss deshalb immer durch eine qualifizierte Person entschieden werden“, schreibt die Arbeiterwohlfahrt.

Selbst dann seien die Risiken aber noch immer hoch, sagt die Bundestagsabgeordnete Sonja Lemke (Die Linke). Diverse Studien und Umfragen hätten gezeigt, dass Menschen KI-Ergebnissen recht blind vertrauten. „Daher besteht die Gefahr, dass Ermessensentscheidungen, die von der KI unterstützt werden, am Ende faktisch allein von der KI getroffen werden – mit allem Bias, rassistischen und sexistischen Vorurteilen, die in ihr stecken“, so Lemke gegenüber netzpolitik.org. „Das ist Politik auf Kosten derjenigen, die existenziell von Sozialleistungen abhängig sind.“

„Commitment“ oder Grundgesetzänderung

Die Kommission drängt auf eine rasche und einheitliche Umsetzung ihrer Empfehlungen. Bund, Länder und Kommunen müssten bundesweit geltende Vorgaben festlegen. Dazu zählen einheitliche Datenformate, Schnittstellen und IT-Dienste.

Dafür brauche es insbesondere ein „Commitment“ der Kommunen, betonte die Arbeitsministerin am Dienstag im ARD-Morgenmagazin. Nicht jede Kommune könne künftig ihre eigene Software behalten, so Bas.

Gelingt eine solche Einigung nicht, spricht sich die Kommission dafür aus, Artikel 91c des Grundgesetzes so anzupassen, dass „durch zustimmungspflichtige Bundesgesetze Standards, Sicherheitsanforderungen und Komponenten verbindlich festgelegt werden können“. Dafür braucht die schwarz-rote Koalition allerdings mindestens eine Zwei-Drittel-Mehrheit im Bundestag – und damit die Unterstützung der Linkspartei oder der AfD.

Journalists have increasingly been targeted by a well-known phishing attack on the Signal messenger service in recent days and weeks, according to reporting by netzpolitik.org. Dozens of (investigative) journalists, some of them prominent, at public television stations and several large and small media outlets, including Die Zeit, Correctiv, and netzpolitik.org, have been affected. Furthermore, individual high-profile representatives of civil society, including lawyers, were hit by the attack.

Netzpolitik.org has not yet been able to find any victims of the attack outside of these categories. This suggests a targeted phishing attack on specific phone numbers, but is not proof of such an attack.

“We have seen early indications that journalists, politicians, and civil society members in Germany and across Europe have been targeted.” Donncha Ó Cearbhaill, head of the Security Lab at Amnesty International, confirmed to netzpolitik.org.

“This Signal phishing campaign appears to be highly active,” Ó Cearbhaill said. According to the security expert, it is unclear how often the attacks were successful, but the spread of the campaign appears to be fueled by stolen address book entries collected from previous victims.

How does the attack work?

In the campaign, attackers send a Signal message, pretending to be “Signal Support” and claiming that there has been suspicious activity on the mobile phone and an attempt to access private data. For this reason, those affected must go through the Signal verification process again and send the verification code to a “Signal Security Support ChatBot”, the fraudulent messages claim. The earliest victims of the attack identified by netzpolitik.org were contacted in November. The first publicly known reports of the attempted attacks were published in October by Citizen Lab researcher John Scott-Railton.

The request from the fake support account reads as follows:

Dear User, this is Signal Security Support ChatBot. We have noticed suspicious activity on your device, which could have led to data leak. We have also detected attempts to gain access to your private data in Signal. To prevent this, you have to pass verification procedure, entering the verification code to Signal Security Support Chatbot. DON’T TELL ANYONE THE CODE, NOT EVEN SIGNAL EMPLOYEES.

If this chat request is accepted, victims receive a text message containing a verification code on their cell phone, as one victim confirmed to netzpolitik.org. This is apparently a genuine verification code from Signal. It indicates that immediately after accepting the chat request, the attackers attempt to re-register an account with the cell phone number.

If this verification code is passed on to the fraudulent “Signal Support”, the attackers may register a new account. Additionally, Signal accounts are protected with a Signal PIN, which is a second security layer in addition to the verification code delivered by SMS. If the attackers do not know this PIN, they cannot see contacts, groups, or content.

However, if the Signal PIN is passed on to the attackers, they can gain access to the user’s profile and contacts. Although they cannot see past chats, they can lock out the legitimate user by changing the Signal PIN and then activating the registration lock. This would allow attackers to take over the account permanently – other users in chats or groups would only notice that the security number has changed.

Possible target: Spying on political networks and sources

Afterwards, chat groups can be accessed, and the contacts and networks of those affected can be identified. In the case of journalists, for example, this could reveal sources who communicate with journalists in a confidential and encrypted manner. In the case of activists, political networks and contacts could be exposed. In the course of a permanent account takeover, the attacker can also read all communication content accumulated since the takeover.

None of the victims known to netzpolitik.org went further than accepting the chat and receiving the verification SMS.

However, an attacker with internal access to the operator’s mobile network infrastructure could intercept the verification codes sent by SMS and would not need to request them. To gain full access to the account, they would also have to request the Signal PIN. Netzpolitik.org was not able to identify who is behind the attack, based on the information available.

How can you protect yourself?

“These attacks do not exploit a vulnerability in the Signal application itself. Signal remains one of the most secure and widely used encrypted messaging apps,” said Donncha Ó Cearbhaill, the Amnesty International security expert.

A Signal spokesperson told netzpolitik.org: “Signal will never contact you in any way via a two-way chat within the app.” In addition, users should activate the registration lock. This can be done under “Settings” -> ‘Account’ and then activating the slider for “Registration lock.” Signal also stresses: “Never share your Signal PIN or registration lock with anyone else.”

Users who receive a message from a previously unknown account with the content described above or similar content, should report the incoming message and then click “report and block.” Under no circumstances should users follow the instructions: Signal would never contact users in this manner.

If a message appears in chats stating that a contact’s security number has changed, this often just means that they bought a new cell phone. Nevertheless, in such situations, users should always ask the contact in question why their security number has changed using a channel other than the Signal text chat.

A phone call or, even better, a video call is usually suitable to verify a changed security number. It is also advisable to display all devices connected to Signal and delete those that are no longer needed.

If you have been the target of this attack, have lost access to your Signal account in this way, or have further information and clues about this attack, please contact us confidentially for further investigation and research.

Die Bundesregierung will Online-Radikalisierung und gewalttätigen Extremismus stärker bekämpfen. Deutschland hat zusammen mit Frankreich und den Niederlanden ein Diskussionspapier mit möglichen Maßnahmen erstellt.

Die Verordnung gegen terroristische Online-Inhalte und das Gesetz über digitale Dienste regeln viele Inhalte bereits. Den Staaten reichen diese Gesetze nicht, denn sie helfen nur gegen terroristische Inhalte, die immer illegal sind. „Gewalttätige extremistische Inhalte“ sind jedoch nicht illegal. Deshalb fordern die Staaten weitere Maßnahmen gegen „schädliche, aber legale“ Inhalte.

Ausweitung auf Terror und Extremismus

Deutschland, Frankreich und die Niederlande fordern einen Verhaltenskodex mit „strengeren Maßnahmen“ für Online-Plattformen. Die Staaten wollen die Unternehmen beispielsweise „ermutigen“, Warnsignale über extremistische Inhalte „an die zuständigen nationalen Behörden weiterzuleiten“.

Die Regierungen „empfehlen“, ein bestehendes Projekt zum Informations-Austausch auszuweiten, „von seinem Schwerpunkt auf Material über sexuellen Kindesmissbrauch auf terroristische und gewalttätige extremistische Inhalte“.

Projekt Laterne gegen Kindesmissbrauch

Vor 20 Jahren haben sich einige Tech-Unternehmen in einer Koalition zusammen geschlossen, um „sexuelle Ausbeutung von Kindern im Internet zu bekämpfen“. Das Bündnis war ursprünglich Teil der Organisation „Nationales Zentrum für vermisste und ausgebeutete Kinder“. Heute hat die „Tech-Koalition“ dutzende Mitglieder, darunter Google, Meta und Microsoft in „führender Rolle“.

Ende 2023 hat die Koalition das Projekt „Laterne“ verkündet. Die beteiligten Unternehmen teilen über das Programm Informationen über Kindesmissbrauch. Sie wollen insbesondere Plattform-übergreifende Versuche vom Missbrauch und Grooming aufdecken.

Die ausgetauschten Informationen können auf Inhalten basieren, wie URLs oder Hashwerte von Fotos und Videos. Sie können aber auch auf Ereignissen basieren. Wenn Accounts Kinderporngrafie konsumieren oder verbreiten, teilen die Unternehmen E-Mail-Adressen oder andere Account-Informationen von Tätern und Opfern.

Zweckbindung gegen übermäßige Eingriffe

Das Bündnis Tech-Koalition und das Produkt Laterne haben Sorgfaltspflichten für Menschenrechte entwickelt. Der erste Punkt ist eine Zweckbindung: „Der Anwendungsbereich von Lantern beschränkt sich ausschließlich auf die Bekämpfung sexueller Ausbeutung und Missbrauch von Kindern im Internet, um Datenschutz zu gewährleisten und übermäßige Eingriffe zu minimieren“.

Dieses Grundprinzip will die Bundesregierung gemeinsam mit Frankreich und den Niederlanden kippen. Die Unternehmen sollen mit Laterne nicht nur Missbrauch bekämpfen, sondern auch Extremismus und legale Inhalte.

Beschränkung als Schutzmaßnahme

Auf Anfrage von netzpolitik.org zeigt sich die Tech-Koalition verwundert über den Vorschlag. Eine Sprecherin bestätigt, dass Lantern nicht für andere Inhalte bestimmt ist. „Lantern ist bewusst auf sexuelle Ausbeutung und Missbrauch von Kindern im Internet beschränkt. Das geht aus unserer Mission hervor und dient als Maßnahme zum Schutz von Privatsphäre und Datenschutz.“

Wir haben die Tech-Koalition auch gefragt, ob die Staaten ihren Vorschlag mit dem Bündnis diskutiert haben. Die Antwort: Nein, haben sie nicht.

Wir haben dem Bundesinnenministerium eine Reihe an Fragen gestellt. Eine Sprecherin „bittet um Verständnis, dass wir uns dazu nicht äußern“. Die Vorschläge sind schließlich ein sogenanntes „Non-Paper“ – und damit nicht offiziell zitierfähig.

Von Kinderschutz zu anderen Inhalten

Immer wieder werden staatliche Eingriffe zunächst mit Terrorismus oder Kindesmissbrauch begründet und nach der Einführung auf andere Inhalte ausgeweitet.

Das derzeit verhandelte EU-Gesetz zur Chatkontrolle begründet die Maßnahme mit sexuellem Missbrauch von Kindern. Europol und Abgeordnete fordern eine Ausweitung auf andere Inhalte wie Pornografie und Drogen.

Ein deutsches Gesetz begründete Netz-Sperren mit strafbarer Kinderpornografie. Bundeskriminalamt und Abgeordnete forderten eine Ausweitung auf Killerspiele und Glücksspiele. Heute sperren deutsche Provider Webseiten vor allem wegen Urheberrecht und Jugendschutz.

Die Bundesregierung begründet die Vorratsdatenspeicherung vor allem mit Kinderpornografie. Tatsächlich werden diese Daten schon heute vor allem wegen mutmaßlicher Urheberrechtsverletzungen abgefragt.

Die Tech-Unternehmen haben das Projekt Laterne explizit gegen Kindesmissbrauch gegründet und darauf beschränkt. Jetzt will die Bundesregierung dieses System auf Extremismus ausweiten – selbst wenn der legal ist.