Das Bundeskabinett hat am Mittwoch ein Gesetzespaket auf den Weg gebracht, das die Befugnisse der Sicherheitsbehörden im digitalen Raum deutlich ausweitet. Unter der Federführung des Innen- und des Justizministeriums sollen das Bundeskriminalamt (BKA), die Bundespolizei sowie das Bundesamt für Migration und Flüchtlinge künftig Technologien wie Künstliche Intelligenz und automatisierte biometrische Abgleiche nutzen dürfen.

Damit will die Regierung auf die technologische Entwicklung reagieren. Bisher mussten Beamte soziale Netzwerke oft händisch nach Fotos von Tatverdächtigen durchsuchen. Ein mühsamer Prozess, der nun durch Automatisierung ersetzt werden soll.

Im Zentrum der Neuregelungen der drei Entwürfe, die auf umstrittenen Referentenvorlagen der führenden Ressorts aufbauen, stehen Änderungen an der Strafprozessordnung. Der neue Paragraf 98d StPO soll die Basis für einen automatisierten biometrischen Online-Bildabgleich bieten. Erlaubt würde damit eine Rasterfahndung mit biometrischen Daten aus einem laufenden Verfahren und öffentlich zugänglichen Informationen im Internet. Ermittler könnten künftig Fotos von Verdächtigen automatisiert mit Bildern in sozialen Medien abgleichen, um Identität oder Aufenthaltsort festzustellen.

Keine dauerhafte Bilddatenbank?

Die Regierung betont, dass kein Aufbau einer dauerhaften staatlichen Bilddatenbank erfolge und Echtzeit-Überwachungen über öffentliche Webcams ausgeschlossen bleibe. Experten halten diese Einschränkungen für eine Farce: Ein automatisierter Abgleich von Millionen Web-Bildern in Sekundenbruchteilen sei technisch unmöglich, ohne vorher eine strukturierte, durchsuchbare Datenbasis aller verfügbaren Gesichter anzulegen. Die Maßnahme ist an den Verdacht einer Straftat von „erheblicher Bedeutung“ geknüpft, was als dehnbar gilt. Sie bedarf nun einer richterlichen Anordnung, während zunächst eine Ansage eines Staatsanwalts hätte ausreichen sollen.

Zweiter Pfeiler der Reform ist die automatisierte Datenanalyse nach § 98e StPO. Dabei geht es darum, bisher isolierte Polizeidatenbanken miteinander zu vernetzen und mittels Analysesoftware zu durchleuchten, um Querverbindungen zwischen Verfahren schneller zu erkennen.

Justizministerin Stefanie Hubig (SPD) unterstrich: Es wäre fahrlässig, den Behörden solche Instrumente vorzuenthalten. Sie versicherte, dass Entscheidungen weiterhin von Menschen und nicht von KI-Systemen getroffen würden. IT-Systeme dürften künftig aber auch mit Echtdaten aus polizeilichen Beständen trainiert werden, um die Leistungsfähigkeit der Algorithmen zu steigern.

Zweifel an Verfassungsmäßigkeit

Ein Bündnis aus 14 zivilgesellschaftlichen Organisationen wie dem Chaos Computer Club (CCC) und AlgorithmWatch warnte vorab vor einem Paradigmenwechsel hin zur Massenüberwachung. Sie monierten, dass die neuen Befugnisse das Ende der Anonymität im öffentlichen Raum bedeuten könnten. Besonders die Möglichkeit, biometrische Scans im gesamten Internet durchzuführen, wäre ein massiver Grundrechtseingriff. Die Kritiker weisen darauf hin, dass Ermittler Dienste wie Clearview AI oder PimEyes nutzen dürften, was die staatliche Kontrolle über sensible Daten gefährde.

Konstantin von Notz, Vizefraktionschef der Grünen, sieht den Rechtsstaat in Gefahr: Die geplanten Instrumente beträfen „keineswegs nur Personen im direkten Fokus von Sicherheitsbehörden, sondern potenziell alle, auch gänzlich unbescholtene Bürger“. Er wirft dem Innenministerium vor, den Schutz der Bürger zu vernachlässigen, und stellt die Verfassungsmäßigkeit der Entwürfe infrage. Besonders der Versuch, europäische Bürgerrechte durch die Auslagerung von Datenabgleichen ins Ausland zu umgehen, sei ein heikles Manöver.

Lex Palantir und die nationale Sicherheit

Verknüpft mit der Chiffre der automatisierten Datenanalyse ist die Sorge vor einem Lex Palantir. Die Zivilgesellschaft bemängelt, dass die Gesetze die rechtlichen Voraussetzungen für den Einsatz dieser Software schaffen, was zu einer technologischen Abhängigkeit von einem US-Konzern mit „demokratiefeindlicher Agenda“ führe. Von Notz nennt den potenziellen Einsatz von Palantir „maximal fahrlässig“. Statt die föderalen IT-Systeme der Polizei zu modernisieren, würden Rückstände mit intransparenten Algorithmen übertüncht.

Bürgerrechtler halten die Maßnahmen auch für unvereinbar mit der KI-Verordnung der EU, die biometrische Fernidentifizierung streng reglementiert. Es dürfe nicht sein, dass jedes Selfie im Netz potenziell zum Futter für die Analysesoftware der Sicherheitsbehörden wird. Das Paket, gegen das eine Petition mit bereits über 140.000 Unterschriften läuft, wandert nun in Bundestag und Bundesrat.

(dahe)

Die EU-Kommission zieht eine überwiegend positive erste Bilanz zum Digital Markets Act (DMA). Das EU-Digitalgesetz erfülle seinen Zweck und habe sich positiv auf digitale Märkte ausgewirkt, heißt es in der ersten Evaluation des Gesetzes, die gestern veröffentlicht wurde.

Rund drei Jahre ist der DMA in Kraft, schrittweise mussten große Tech-Konzerne eine Reihe an Auflagen umsetzen, darunter Vorgaben zur Interoperabilität oder mehr Auswahlmöglichkeiten für Nutzer:innen. Das Gesetz soll die Macht großer Online-Dienste wie Amazon oder Apple begrenzen und so faire Verhältnisse in digitalen Märkten schaffen.

Besonders betroffen sind sogenannte Gatekeeper. Damit sind übermäßig große Online-Dienste gemeint, die in bestimmten Sektoren zu viel Marktmacht konzentrieren und damit funktionierenden Wettbewerb bedrohen. Bislang hat die Kommission sieben Unternehmen beziehungsweise 23 von deren Kernangeboten als Gatekeeper eingestuft. Darunter sind WhatsApp von Meta, der App Store von Apple oder die Google-Suchmaschine von Alphabet.

DMA öffnet Geschäftsfelder

Laut EU-Kommission funktioniert der Ansatz: „Der DMA hat das Verhalten, technische Design-Entscheidungen und die vertraglichen Vereinbarungen von Gatekeepern maßgeblich verändert und damit neue Möglichkeiten für Unternehmen und Wettbewerber eröffnet“, resümiert die Kommission im Evaluationsbericht. Für Endnutzer:innen habe der DMA in wichtigen Bereichen für mehr Kontrolle und Wahlmöglichkeiten gesorgt.

Konkret hebt die Kommission eine Reihe an Punkten hervor, an denen sich der Erfolg des DMA messen lasse. Nutzer:innen könnten nun einfacher von einem Online-Dienst zu einem anderen wechseln und dabei ihre Daten mitnehmen; marktmächtige Dienste wie Meta könnten Daten ihrer Nutzer:innen nicht mehr so einfach zusammenführen und verwerten wie früher; zudem seien neue App Stores und Messenger entstanden, die Nutzer:innen mehr Wahlmöglichkeiten bieten würden.

Trotz dieser positiven Bilanz ist die Lage aber weiterhin nicht optimal. Im Vorjahr hagelte es millionenschwere Wettbewerbsstrafen für Apple und Meta, weil sie bestimmte DMA-Vorgaben nicht umgesetzt haben. Ein interoperables und florierendes Ökosystem aus Messengern ist bis heute nicht entstanden. Auch eigentlich verbotenes manipulatives Design ist nicht aus den Online-Auftritten der Gatekeeper verschwunden.

DMA kann bremsen, aber kaum verhindern

Entsprechend gemischt beurteilt Aline Blankertz von der Nichtregierungsorganisation Rebalance Now den DMA. „Er war nicht dazu gemacht, die Macht der Tech-Konzerne einzuhegen, sondern er verlangsamt etwas die Geschwindigkeit, mit der sie weitere Macht erlangen, indem er teilweise verhindert, dass sie diese missbrauchen“, sagt die Wirtschaftswissenschaftlerin.

Zwar habe das Gesetz „kleine Verbesserungen“ bewirkt, etwa bei der Interoperabilität oder der Deinstallierbarkeit von Apps, so Blankertz. Auch habe der DMA dazu beigetragen, von der „sehr einzelfallbasierten Analyse unter dem klassischen Wettbewerbsrecht“ zu einer „etwas einfacheren, etwas schnelleren Bekämpfung besonders problematischer Verhaltensweisen“ der Tech-Konzerne zu kommen.

Gerade bei der Durchsetzung des DMA hapert es jedoch, schreibt nicht zuletzt die EU-Kommission selbst in ihrer Evaluation. Demnach habe das immer noch relativ junge Gesetz „noch nicht sein volles Potenzial“ ausschöpfen können. Allerdings halten sich die vorgeschlagenen Verbesserungen in Grenzen: So sollte es etwa mehr Transparenz und Informationsaustausch im Rahmen des „regulatorischen Dialogs“ mit Gatekeepern geben. Zudem will die Kommission mehr Bewusstsein bei betroffenen Online-Anbietern schaffen und sie verstärkt darüber aufklären, an welche Auflagen sie sich zu halten haben.

Angst vor Trump

Damit will sich Blankertz nicht begnügen, zumal sich europäische Digitalgesetze immer wieder als Zankapfel in den transatlantischen Beziehungen zwischen der EU und den USA erwiesen haben. Nur kurz nach seinem Amtsantritt hatte US-Präsident Donald Trump in einem Memorandum festgelegt, US-amerikanische Unternehmen vor „Erpressung und unfairen Geldbußen aus dem Ausland“ schützen zu wollen. Seitdem wurden immer wieder Gerüchte laut, dass die EU-Kommission, auch aus Angst vor Strafzöllen, Verfahren verschleppt und nicht so stark auftritt, wie es der DMA eigentlich verlangt.

Die Durchsetzung des DMA sei aufwändiger und langwieriger als diejenigen erhofft haben, die ihn als „self-enforcing“ bezeichnet hatten, so Blankertz. Hinzu komme, dass aufgrund der zunehmend EU-feindlichen Haltung der US-Regierung „selbst das bisherige, moderate Maß an Durchsetzung noch weiter zurückgefahren wird“.

Dies geschehe auch mit Rückendeckung der deutschen Regierung, entgegen des Koalitionsvertrags. „Damit steht nicht nur die Wirksamkeit wettbewerbspolitischer Regeln zur Debatte, sondern auch Prinzipien von europäischer Rechtsstaatlichkeit“, warnt Blankertz.

Spielraum habe die Kommission jedenfalls genug, ohne das Gesetz aufschnüren zu müssen, sagt die Wirtschaftswissenschaftlerin. „Viele der Regeln sind auch drei Jahre später noch in Spezifikationsphasen und werden von den Torwächtern deutlich enger ausgelegt als im Sinne der im DMA artikulierten Ziele von Fairness und Bestreitbarkeit.“

Gemischte Signale aus Brüssel

Entsprechend kritisch sei demnach die Ankündigung der Kommission zu bewerten, dass sie künftig den Fokus des DMA auf KI-Anwendungen und Cloud-Dienste ausweiten werde. Zum einen treibt die Kommission unter Ursula von der Leyen eine Deregulierungsagenda voran, mit der sie unter anderem eine „Überregulierung“ Künstlicher Intelligenz verhindern will.

Zum anderen weist Blankertz auf die jüngste und größte Firmenübernahme hin, die Google jemals angestoßen hatte. Erst im März hat der Tech-Riese knapp 28 Milliarden Euro auf den Tisch gelegt, um sich mit dem Segen der EU-Kommission und trotz zivilgesellschaftlicher Proteste das Sicherheits-Startup Wiz einzuverleiben.

„Es wäre illusorisch zu glauben, dass der DMA auch nur annähernd hinreichend wäre, um der weiteren Machtkonzentration in Cloud und KI effektiv entgegenzuwirken“, sagt Blankertz. Die Deregulierungsagenda und eine sich andeutende Aufweichung von Leitlinien zur Fusionskontrolle würden großen Konzernen in die Hände spielen, so die Expertin. „Selbst eine Ausweitung des DMA auf Cloud und KI sollte also nicht darüber hinwegtäuschen, dass viele andere Hebel ebenfalls genutzt werden müssen, um die Macht der Tech-Konzerne einzuhegen.“

Die Extended-Detection-and-Repsonse- (XDR) und Security-Information-and-Event-Management-Plattform (SIEM) Wazuh ist verwundbar. Angreifer können die Open-Source-Anwendung über insgesamt fünf Sicherheitslücken attackieren.

Schadcode-Attacken möglich

Wie aus dem Sicherheitsbereich der GitHub-Website von Wazuh hervorgeht, ist eine Schwachstelle (CVE-2026-30893) mit dem Bedrohungsgrad „kritisch“ eingestuft. Im Zuge einer Path-Traversal-Attacke können Angreifer unbefugt auf eigentlich geschützte Pfade zugreifen.

Im Anschluss ist es den Entwicklern zufolge möglich, dass Angreifer Python-Module manipulieren, die dann verschiedene Wazuh-Komponenten laden. So kann es zur Ausführung von Schadcode kommen. Im Anschluss gelten Systeme als kompromittiert.

Die verbleibenden Sicherheitslücken sind mit „mittel“ eingestuft. Darüber kann es etwa zu Abstürzen kommen (unter anderem CVE-2026-41499). Die Entwickler versichern, die Sicherheitsprobleme in der Ausgabe 4.14.4 gelöst zu haben. Bislang gibt es keine Berichte, dass Angreifer bereits Instanzen attackieren.

(des)