Die Pläne der Bundesregierung, die Befugnisse für Sicherheitsbehörden bei der digitalen Fahndung auszuweiten, gefährden Grundrechte. Zu diesem Schluss kommen mehrere zivilgesellschaftliche Organisationen in ihrer gemeinsamen Stellungnahme zu den Gesetzentwürfen aus dem Bundesjustiz- und Bundesinnenministerium. „Wir betonen, dass eine grundrechtskonforme Ausgestaltung dieser Befugnisse auch durch Nachbesserungen im Verfahrensrecht nicht erreichbar wäre“, heißt es in der Stellungnahme: „Die genannten Mängel sind keine bloßen Ausgestaltungsfehler, sondern symptomatisch für das strukturelle Defizit des gesamten Regelungsvorhabens.“

Die Organisationen, darunter Amnesty International und der Chaos Computer Club, bemängeln unter anderem das Fehlen eines richterlichen Vorbehalts, die ungenügende Transparenz für Betroffene und unzureichende Dokumentation der Arbeitsweise der KI-Systeme. Es fehlten zudem Einschränkungen bei Form und Umfang der einbezogenen Daten und bei den Analysemethoden. Ferner drohten schwerwiegende Grundrechtseingriffe durch Privatunternehmen.

In der Konsequenz empfiehlt die Stellungnahme die vollständige Rücknahme der Gesetzesentwürfe und stattdessen ein gesetzliches Verbot „biometrischer Massenerkennungssysteme“ sowie verbindliche Regeln zu Transparenz, Kontrolle und Haftung für die algorithmische Datenanalyse.

Wer im Internet zu sehen ist, ist betroffen

Die Bundesregierung will der Polizei erlauben, für die Strafverfolgung und Terrorismusbekämpfung künftig das Internet nach Gesichtern zu durchsuchen. Ein Fahndungsfoto soll dafür mit allen im öffentlichen Internet auffindbaren Gesichtern biometrisch abgeglichen werden können. Bundesjustizministerin Stefanie Hubig (SPD) und Bundesinnenminister Alexander Dobrindt (CSU) haben sich dazu auf mehrere Gesetzentwürfe geeinigt.

Das Bündnis kritisiert, damit würde de facto die Infrastruktur für eine flächendeckende Verfolgbarkeit der Bevölkerung geschaffen. Der Einsatz von KI-Systeme wie PimEyes oder Clearview AI für die biometrische Fahndung bezeichnet die Stellungnahme als Eingriff „in das Recht auf informationelle Selbstbestimmung aller Menschen ein, die im Internet Fotos, Videos und andere Inhalte mit biometrischen Merkmalen veröffentlichen, ohne dass diese dafür einen Anlass gegeben hätten“. Mit dem Grundrecht auf informationelle Selbstbestimmung sowie dem Recht auf den Schutz personenbezogener Daten sei dies nicht vereinbar.

Selbst Personen, die ohne ihr eigenes Zutun im Hintergrund von öffentlich zugänglichem Bildmaterial auftauchten, drohe so die Verarbeitung ihrer biometrischen Daten. Indirekt werde damit auch die Meinungs- und Versammlungsfreiheit eingeschränkt: Wer befürchten muss, aufgrund der Teilnahme an einer Versammlung biometrisch erfasst zu werden, verzichte möglicherweise gänzlich – es drohe ein Abschreckungseffekt, der die Wahrnehmung der eigenen Grundrechte verhindere.

Empirische Daten zeigten zudem, dass insbesondere People of Color häufig zu Unrecht von polizeilichen Maßnahmen betroffen seien. Es drohe damit eine Gefährdung des Diskriminierungsverbots.

KI-Systeme sollen polizeiliche „Super-Datenbank“ schaffen

Ein weiterer Gesetzesentwurf sieht eine automatisierte Datenanalyse mittels KI-Systemen wie Palantir vor. Massenhafte Datenbestände der Bundes- und Landespolizeibehörden sollen dafür zusammengeführt und algorithmisch ausgewertet werden – unabhängig vom Einzelfall. Die Daten von Opfern, Zeug:innen und gänzlich unbeteiligten Personen würden dann Teil derselben „Super-Datenbank“. Das Resultat wären tiefgreifende Persönlichkeitsprofile auf der Basis algorithmisch ausgewerteter massenhafter Datenbestände.

Eine solche Analyse ermögliche Schlussfolgerungen, „die weit über die ursprünglichen Erhebungszwecke der analysierten Daten und auch über das Ziel der eigentlichen Suchanfrage an das Analysesystem hinausgehen“, heißt es in der Stellungnahme: „Solche Systeme sind strukturell fehleranfällig, intransparent und diskriminierungsfördernd. Dies gilt in verstärktem Maße für KI-Systeme, die auch nach Einführung weiterhin selbstlernend sind und in den Entwürfen nicht ausgeschlossen werden.“

Das Vorhaben der Bundesregierung knüpft an die Debatte um das sogenannte Sicherheitspaket im Herbst 2024 an. Die damalige Ampel-Regierung scheiterte mit ihren Plänen, weil den Ländern die geplanten Überwachungsbefugnisse nicht weit genug gingen.

Die Europäische Union verbietet laut KI-Verordnung eigentlich die massenhafte Verarbeitung von Gesichtsbildern zu biometrischen Datenbanken. Die aktuellen Entwürfe der Bundesregierung stellen demnach einen Versuch dar, das EU-Verbot zu umgehen. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) kritisiert die Gesetzesinitiativen zur Erweiterung digitaler Ermittlungsbefugnisse und kommt dabei ebenfalls zu dem Schluss: „In der vorgesehenen Form sind diese Befugnisse nicht mit den verfassungsrechtlichen Vorgaben vereinbar. Sie gefährden die verfassungsrechtlich geschützten Rechte Unbeteiligter erheblich.“

Die EU-Kommission geht härter gegen digitale Spionage vor. Sie hat ihre ranghöchsten Beamten angewiesen, eine zentrale Signal-Gruppe zur internen Kommunikation umgehend aufzulösen. Betroffen von dieser Maßnahme sind laut Politico vor allem Abteilungsleiter und deren Stellvertreter. Hintergrund der Anordnung ist die Furcht, dass die Chatgruppe zum Ziel gezielter Cyberangriffe geworden sein könnte.

Offiziell kommentiert die Brüsseler Regierungsinstitution interne Sicherheitsvorgaben nicht. Der Schritt verdeutlicht aber die wachsende Nervosität in Brüssel angesichts einer Reihe von Cyberattacken, die die EU-Institutionen in jüngster Zeit erschüttert haben.

Die Entscheidung fiel dem Bericht zufolge, nachdem die Kommission im vorigen Monat auf die Existenz der Gruppe aufmerksam wurde und das Risiko einer Kompromittierung als zu hoch einstufte. Zwar gibt es bislang keine Beweise, dass tatsächlich Kommunikation abgefangen wurde. Doch die Bedrohungslage hat sich verschärft. Erst kürzlich wurde ein privates Telefonat zwischen einem Journalisten und einem EU-Beamten abgefangen und veröffentlicht. Zudem berichten Insider von raffinierten Phishing-Versuchen. Damit sollten auch Kabinettsmitglieder dazu verleitet werden, ihre Signal-PIN-Codes preiszugeben. So hätten sie die Kontrolle über ihre Accounts verloren.

Wenn Verschlüsselung an Grenzen stößt

Sven Herpig von der Denkfabrik Interface warnt, dass die Qualität staatlich gesteuerter Cyberoperationen stetig zunimmt. Signal gilt zwar nach wie vor als eine der sichersten Optionen. Doch die Sicherheit endet, wenn das Endgerät selbst kompromittiert wird. Erlangt ein Angreifer Kontrolle über das Smartphone, nützt die beste Ende-zu-Ende-Verschlüsselung wenig: Chats und Bilder können dann direkt auf dem Gerät ausgelesen werden. Herpig betont aber, dass es derzeit kaum bessere Alternativen zu verschlüsselten Messengern wie Signal oder Threema gebe.

Kommerzielle Messenger sind eigentlich für den Privatgebrauch konzipiert. Matthew Hodgson vom Messenger-Dienst Element moniert, dass grundlegende Funktionen für Behörden fehlten. So gebe es keine zentrale Benutzerverwaltung, um Mitarbeiter beim Ausscheiden aus dem Dienst automatisch aus allen Gruppen zu entfernen. Ferner existierten keine sicheren Authentifizierungsschnittstellen, wie sie in staatlichen IT-Infrastrukturen üblich sind. Dass solche Defizite fatale Folgen haben können, zeigte etwa das „Signal-Gate“. Dabei landete ein Journalist in einer Gruppe, in der hochrangige US-Politiker Militärschläge besprachen.

Die Kommission reagiert nun mit verschärften IT-Richtlinien und einer regelmäßigen Überprüfung der Mitarbeiter-Hardware. Zugleich laufen Untersuchungen zu einem Angriff auf ihre Webseiten, bei dem vieles auf einen Datendiebstahl hindeutet. Bereits im Januar wurde die technische Infrastruktur zur Verwaltung mobiler Geräte attackiert, was Unbekannten Zugriff auf Namen und Mobilnummern ermöglichte. Erst jüngst warnten niederländische Behörden vor einer globalen Kampagne, bei der russische Cyberkriminelle gefälschte Signal-Support-Bots einsetzen, um Nutzer in die Falle zu locken.

(kbe)

Hasbro, weltbekannter Hersteller von Spielzeugen wie Transformers oder Furbies, ist Opfer eines Cyberangriffs geworden. Der Geschäftsbetrieb läuft derzeit eingeschränkt.

Das hat Hasbro Inc. in einer FORM 8-K-Meldung an die US-amerikanische Börsenaufsicht SEC (Securities and Exchange Commission) mitgeteilt. Am 28. März 2026 hat Hasbro demnach nicht autorisierte Zugriffe auf das Unternehmensnetzwerk festgestellt. Daraufhin habe das Unternehmen umgehend die Protokolle zur Reaktion auf IT-Sicherheitsvorfälle aktiviert und Maßnahmen zur Eindämmung ergriffen. Das umfasse auch, vorsorglich bestimmte Systeme offline zu nehmen. Untersuchungen laufen unter Einbeziehung von externen Cybersecurity-Experten.

Die Analyse laufe noch und man arbeite gewissenhaft daran, das Problem zu lösen und das volle Ausmaß zu erfassen. Business-Continuity-Pläne seien in Kraft gesetzt worden, damit die Aufnahme von Bestellungen sowie das Versenden von Produkten und weitere Schlüsselfunktionen weiterhin möglich bleiben. Die Nutzung dieser Übergangslösungen sei womöglich für mehrere Wochen nötig, bis das Problem gelöst werde, und könne in Verzögerungen münden.

Hasbro untersucht noch

Das Unternehmen schreibt in der Mitteilung an die Börsenaufsicht, dass es daran arbeite, die potenziell betroffenen Dateien zu identifizieren und zu prüfen. Hasbro will basierend auf den Ergebnissen angemessene zusätzliche Maßnahmen ergreifen, darunter auch nötige Benachrichtigungen an Betroffene. Der Aktienkurs von Hasbro gab am 1. April, dem Tag der Bekanntgabe des IT-Vorfalls, um etwa 5 Prozent nach, von in der Spitze rund 94 US-Dollar je Anteil auf etwa 89 US-Dollar je Aktie.

Zuletzt war etwa der Medizingerätehersteller Stryker Mitte März von einer signifikanten Cyberattacke betroffen. Das hat zur Unterbrechung von Geschäftsprozessen geführt, etwa bei der Bestellbearbeitung, Produktion und Versand.

(dmk)