Cyberkriminelle mit Verbindungen zur russischen Regierung kapern gängige Internetrouter, um Passwörter für E-Mail-Konten und andere Online-Dienste zu stehlen. Davor warnt Großbritanniens Nationales Zentrum für Cybersicherheit (NCSC) in einer am Dienstag veröffentlichten Studie.

Die britischen Cybersicherheitsexperten gaben bekannt, dass mutmaßliche russische Angreifer sich Zugang zu Routern von Herstellern wie MikroTik und TP-Link verschaffen, um den ausgehenden Internetverkehr über von ihnen kontrollierte Server umzuleiten. Die Betroffenen seien durch den Diebstahl von Zugangsdaten, Datenmanipulation und umfassendere Sicherheitslücken gefährdet.

Verantwortlich hält das NCSC die als Advanced Persistent Threat 28 (APT28) bezeichnete Gruppe, auch bekannt als Forest Blizzard, Fancy Bear, STRONTIUM, die Sednit-Gang und Sofacy. „Wir gehen davon aus, dass es sich bei APT28 mit hoher Wahrscheinlichkeit um die 85. Hauptabteilung für Spezialdienste (GTsSS) des russischen Generalstabsnachrichtendienstes (GRU) (…) handelt“, heißt es in der Studie. Die Gruppe soll für mehrere Cyberattacken auch in Deutschland verantwortlich sein, darunter im Jahr 2024 auf die Deutsche Flugsicherung und im vergangenen Jahr auf den Deutschen Bundestag. Das NCSC schreibt in seiner Studie der Gruppe zudem Cyberangriffe auf den Deutschen Bundestag im Jahr 2015 zu, darunter Datendiebstahl und die Störung von E-Mail-Konten von Bundestagsabgeordneten und des Vizekanzlers.

Tausende potenzielle Opfer

NCSC-Einsatzleiter Paul Chichester erklärte gegenüber der Nachrichtenagentur Bloomberg, die nun öffentlich gemachten Attacken auf Internetrouter zeigten, dass Schwachstellen in gängigen Routern von versierten Angreifern ausgenutzt werden können.

Bloomberg berichtete zudem über ebenfalls am Dienstag von Black Lotus Labs des IT-Sicherheitsanbieters Lumen Technologies veröffentlichte Forschungsergebnisse zu den Router-Angriffen durch APT28. Danach wurden Tausende potenzielle Opfer aus mindestens 120 Ländern identifiziert, die mit der Infrastruktur der Cyberkriminellen kommunizierten. „Diese Angriffe richteten sich vorwiegend gegen Regierungsbehörden – darunter Außenministerien, Strafverfolgungsbehörden und Drittanbieter von E-Mail-Diensten“, heißt es in dem Bericht, der Bloomberg vorliegt.

Die Anfälligkeit von Internetroutern für Cyberangriffe ist zuletzt verstärkt in den Fokus gerückt. Ende März verbot die US-amerikanische Regulierungsbehörde Federal Communications Commission (FCC) in einem vielbeachteten Schritt den Verkauf neuer Router für den Verbrauchermarkt, sofern sie nicht in den USA hergestellt sind. Die Behörde begründete das umfassende Verbot mit Fragen der nationalen Sicherheit.

(akn)

Am vergangenen Samstag ist die europäische Ausnahmeregelung zum Scannen von privater Kommunikation nach Inhalten sexualisierten Kindesmissbrauchs – die sogenannte „freiwillige Chatkontrolle“ oder Chatkontrolle 1.0 – ausgelaufen. Die Tech-Konzerne Google, Meta, Microsoft und Snapchat wollen aber dennoch weiter die Kommunikation ihrer Nutzer:innen massenhaft und anlasslos nach solchen Inhalten durchsuchen. Das verkündeten die Unternehmen am 4. April in einer gemeinsamen Erklärung. Wie genau die Unternehmen die Maßnahmen fortsetzen wollen, ließen sie allerdings offen.

Das Auslaufen der Ausnahmeregelung „trübe“ die Rechtssicherheit, so die vier Konzerne, die sich enttäuscht über das „unverantwortliche Versäumnis“ zeigen. In der Erklärung heißt es weiter, dass man „weiterhin freiwillige Maßnahmen in Bezug auf unsere relevanten Dienste für die interpersonale Kommunikation ergreifen“ werde. Die Konzerne fordern zudem die EU-Institutionen auf, die Verhandlungen über einen Rechtsrahmen abzuschließen.

In einem Schreiben vom 25. März hatten mehrere EU-Kommissare, unter ihnen der Innenkommissar Magnus Brunner, in einem Schreiben an EU-Abgeordnete gewarnt, dass es nach dem 3. April den Anbietern gemäß der ePrivacy-Richtlinie untersagt sei, Material über sexuellen Kindesmissbrauch im Internet nach eigenem Ermessen aufzuspüren und zu melden. In der heutigen Pressekonferenz wollte die EU-Kommission allerdings nicht auf die Frage antworten, ob die eigenmächtige Fortführung der freiwilligen Chatkontrolle durch die Unternehmen gegen EU-Regeln verstoßen würde.

Scheitern mit Ansage

Das Scheitern der freiwilligen Chatkontrolle war vor allem durch die fehlende Verhandlungsbereitschaft des Rates im Trilog zustande gekommen, wie Dokumente belegen, die netzpolitik.org veröffentlicht hat. Das Parlament hatte zuvor dafür gestimmt, dass die freiwillige Chatkontrolle nicht mehr anlasslos sein sollte, sondern nur noch auf Verdacht. Die Mitgliedsstaaten, darunter auch Deutschland, wollten jedoch die Anlasslosigkeit beibehalten. Nach dem Scheitern des Trilogs hatten die Konservativen im EU-Parlament das Thema mit einem Verfahrenstrick noch einmal auf die parlamentarische Agenda gehoben – und waren dort gescheitert.

Die freiwillige Chatkontrolle wird unterschiedlich bewertet. Die Befürworter:innen halten sie für unverzichtbar, um Inhalte und Kriminelle aus dem Bereich des sexualisierten Kindesmissbrauchs ausfindig zu machen. Kritiker:innen weisen darauf hin, dass es sich um bekanntes Material handele und dass man damit keinen laufenden Kindesmissbrauch stoppe. Sie verweisen zudem darauf, dass das anlasslose Scannen von Kommunikation ein tiefer Eingriff in Grundrechte ist.

Der ehemalige Piraten-Europaabgeordnete Patrick Breyer nannte das Aus der anlasslosen Chatkontrolle in einer Pressemitteilung keinen Rückschlag, „sondern eine Chance für echten Kinderschutz“. Statt Massenüberwachung solle auf „Löschen statt Wegsehen“, auf sicheres Design bei Apps, mehr Prävention an Schulen sowie einer Stärkung der Ermittlungsbehörden gesetzt werden.

Verhandlungen über CSA-Verordnung

Ungleich wichtiger als die Ausnahmeregelung der Chatkontrolle 1.0 ist die CSA-Verordnung, welche auch die verpflichtende Chatkontrolle 2.0 enthalten könnte, über die seit vier Jahren gestritten wird. Durch ein eingestuftes Ratsprotokoll vom 13. März, das wir im Volltext veröffentlicht haben, wurde deutlich, dass die EU-Mitgliedstaaten Kompromisse bei der temporären freiwilligen Chatkontrolle 1.0 offenbar als eine Art Vorentscheidung für die weitaus wichtigeren Verhandlungen zur CSA-Verordnung und damit für eine permanente Regelung (Chatkontrolle 2.0) sehen.

Knackpunkt bei der CSA-Verordnung ist die verpflichtende Chatkontrolle. Der EU-Kommission möchte, dass dabei auch verschlüsselte Kommunikationen durchleuchtet werden. Das Parlament hat dies bisher abgelehnt und Maßnahmen nur auf Verdacht gefordert. Auch im EU-Rat hat die anlasslose Chatkontrolle bislang keine qualifizierte Mehrheit gefunden. Die drei Institutionen sind derzeit im Trilog und verhandeln über die Verordnung.

Für die Chatkontrolle nach Wunsch der EU-Kommission wäre Technologie namens Client-Side-Scanning nötig, welche vor der Verschlüsselung Inhalte auf dem Handy oder Computer scannt. Wäre diese Technologie einmal eingeführt, ist verschlüsselte Kommunikation wertlos, weil die Inhalte schon vor dieser angeschaut werden könnten. Es wäre das Ende der privaten und vertraulichen Kommunikation. Wir haben zusammengestellt, warum dies für uns alle gefährlich ist.

Bundesgesundheitsministerin Nina Warken (CDU) hat einen ersten Entwurf für das „Gesetz für Daten und digitale Innovation im Gesundheitswesen“ (GeDIG) vorgelegt. Das rund 200-seitige Dokument soll die Weichen für eine digital gestützte Gesundheitsversorgung stellen und wird derzeit zwischen den Bundesministerien abgestimmt. Wir veröffentlichen den Entwurf (PDF).

Das Fundament für das Gesetz hatte Warken bereits Mitte Februar mit ihrer Digitalisierungsstrategie gebaut. Darin formuliert die Ministerin das Ziel, die elektronische Patientenakte (ePA) nicht nur zum „zentralen Dreh- und Angelpunkt“ der ärztlichen Versorgung zu machen, sondern auch zur „Gesundheits(daten)plattform“ auszubauen.

Dementsprechend soll das GeDIG unter anderem die Grundlagen für ein „digitales Primärversorgungssystem“ schaffen, indem es die Rolle der ePA erheblich erweitert. Außerdem will das Ministerium mehr Gesundheitsdaten für die Forschung bereitstellen und die Befugnisse der Gematik umfassend ausbauen.

Die elektronische Patientenakte als erste Anlaufstelle

Die ePA-App soll den Versicherten künftig einen „digitalen Versorgungseinstieg“ ermöglichen. Sie wäre dann nicht mehr nur ein digitaler Dokumentenspeicher, sondern die erste digitale Anlaufstelle für die gesundheitliche Grundversorgung.

Mit Hilfe der App sollen Versicherte künftig zunächst eine Ersteinschätzung einholen. Diese Einschätzung soll spätestens ab dem 1. Februar 2028 nach einheitlichen Standards durch die Terminservicestellen der Kassenärztlichen Vereinigungen erfolgen. Versicherte sollen dann über die ePA-App direkt an deren standardisierte Ersteinschätzungsverfahren weitergeleitet werden. Wird dabei ein Behandlungsbedarf festgestellt, können die Versicherten über die App digital einen Termin für eine ärztliche Behandlung buchen. Damit der Prozess möglichst reibungsfrei abläuft, müssen Arztpraxen ab dem 1. September 2029 die elektronische Überweisung anbieten.

Bei der Terminvergabe sollen ebenfalls einheitliche Standards gelten. Buchungsplattformen wie Doctolib müssen sich laut Gesetzentwurf auf strengere Vorgaben einstellen, die die Kassenärztliche Bundesvereinigung (KBV) und der GKV-Spitzenverband festlegen. Sie sollen unter anderem sicherstellen, dass Dritte den Terminbuchungsprozess nicht kommerziell nutzen.

Krankenkassen sollen Gesundheitsdaten auswerten dürfen

Das GeDIG zielt außerdem darauf ab, dass im Gesundheitswesen mehr Daten für „Versorgung, Forschung und Innovation“ bereitstehen.

Dafür sollen die Krankenkassen deutlich mehr Befugnisse erhalten, um bei ihren Versicherten individuelle Gesundheitsrisiken auszumachen. Mit Zustimmung der Versicherten sollen sie auf Daten zugreifen dürfen, die in der ePA hinterlegt sind. Zudem sollen sie selbst Gesundheitsdaten erheben können, die unter anderem „Ernährungsgewohnheiten“, den „Raucherstatus“ oder das Körpergewicht der Versicherten erfassen. Mit den gewonnenen Informationen dürfen die Versicherungen dann auf „gesunde Lebensverhältnisse“ laut Gesetzentwurf bei ihren Versicherten hinwirken.

Darüber hinaus sollen die Kassen personenbezogene Sozialdaten, die ihnen vorliegen, anonymisieren und auswerten dürfen. Nach der Anonymisierung weisen die Daten keinen Personenbezug mehr auf. Aus Datenschutzsicht dürfen sie damit „zur Erfüllung gesetzlicher Aufgaben“ weiterverarbeitet und an Dritte übermittelt werden.

Auch mit nicht-anonymisierten Daten sollen die Kassen hantieren dürfen. Eine neue Experimentierklausel soll es ihnen ermöglichen, sogenannte Reallabore einzurichten. Hier können die Versicherungen zeitlich befristet die „innovative Nutzung von personenbezogenen Daten“ erproben, etwa um eine „bessere Einschätzung von Erkrankungsrisiken (z. B. Demenz, Herzerkrankungen)“ zu erhalten.

Damit kommt der Gesetzentwurf den Erwartungen der Krankenkassen weitgehend nach. Ende vergangenen Jahres hatte der GKV-Spitzenverband gefordert, die Präventionsangebote der Kassen „durch den Ausbau der datengestützten Früherkennung von Krankheiten“ ausbauen zu dürfen. Die Ärzteschaft hatte vor einem solchen Schritt gewarnt, weil sie die Aushöhlung des Patientengeheimnisses und der ärztlichen Schweigepflicht befürchtet. Offenkundig setzt sich das BMG über derlei Bedenken nun tendenziell hinweg.

So umfassend will Warken die Gesundheitsdaten aller Versicherten verknüpfen

Eine Forschungskennziffer gegen Datensilos und für Widerspruchsrechte

Damit auch die Forschung von den Gesundheitsdaten profitiert, sieht der Gesetzentwurf die Einführung einer „eindeutigen Forschungskennziffer“ vor. Diese pseudonyme Kennziffer wird aus dem unveränderlichen Teil der Krankenversichertennummer (KVNR) abgeleitet und soll „die Verknüpfung von Daten verschiedener Datensilos“ ermöglichen.

Damit will das BMG zugleich die Umsetzung der EU-Verordnung über den Europäischen Gesundheitsdatenraum) (EHDS) vorbereiten. Die Verordnung trat im März 2025 in Kraft und findet in den kommenden Jahren sukzessive Anwendung. Der EHDS ist der erste sektorenspezifische Datenraum in der EU und soll als Blaupause für weitere sogenannte Datenräume dienen. Künftig sollen hier die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen zusammenlaufen und grenzüberschreitend ausgetauscht werden.

Auch Forschende und Behörden sollen diese Daten unter bestimmten Voraussetzungen nutzen dürfen. Möchten Versicherte das nicht, können sie von ihrem Widerspruchsrecht (Opt-out) Gebrauch machen. Die Forschungskennziffer soll laut BMG als technischer Schlüssel dienen, um die entsprechenden Datensätze gezielt herauszufiltern.

„Trotz der Funktion als ‚unique identifier‘ ist es gerade nicht das Ziel der Forschungskennziffer, einer Identifizierung von Einzelpersonen zu ermöglichen“, betont das BMG in dem Gesetzentwurf. „Im Gegenteil dient die Forschungskennziffer gerade dazu, bei der Zurverfügungstellung von Daten solche Merkmale zu ersetzen, über die Betroffene leichter re-identifiziert werden können.“

Fachleute weisen jedoch darauf hin, dass eine derartige Pseudonymisierung insbesondere bei Gesundheitsdaten keinen ausreichenden Schutz vor Re-Identifikation biete. Das Risiko steige zudem an, wenn ein Datensatz mit weiteren Datensätzen zusammengeführt wird, die weitere personenbezogene Daten der gleichen Person enthalten.

Gematik erhält deutlich mehr Befugnisse

Um das „hohe Tempo bei der Digitalisierung im Gesundheitswesen und der Pflege […] aufrecht zu erhalten“ ist laut BMG auch „die Fortentwicklung der Gesellschaft für Telematik (gematik) erforderlich“. Die Gematik ist in Deutschland für die technischen Vorgaben bei der Digitalisierung des Gesundheitswesens verantwortlich. Betrieben wird die Firma gemeinschaftlich von Ministerien wie dem BMG sowie privaten Organisationen aus dem Gesundheitsbereich, darunter Krankenkassen-Verbände oder die Bundesärztekammer. Der Gesetzentwurf sieht vor, dass die Gematik neue Befugnisse erhält.

Das Ministerium verfolgt damit insbesondere das Ziel, die Betriebsstabilität der Telematikinfrastruktur (TI) zu verbessern. Die TI ist das digitale Netzwerk des deutschen Gesundheitswesens, über das Arztpraxen, Kliniken, Apotheken und Krankenkassen Informationen austauschen. Sie erwies sich in den vergangenen Jahren allerdings als überaus instabil. Unter anderem KBV-Vorstandsmitglied Sibylle Steiner hatte zu Jahresbeginn gefordert, dass die Technik „geräuschlos und reibungslos im Hintergrund laufen“ müsse. „Das muss 2026 das Ziel sein“, so Steiner.

Um das zu erreichen, will das BMG die Gematik von einer Zulassungsbehörde zu einer aktiv steuernden Digitalagentur mit Durchsetzungsbefugnissen ausbauen. Das wäre ein erheblicher Machtzuwachs für die vielfach kritisierte Gematik, ohne dass das Gesetz eine entsprechende unabhängige Kontrolle vorsieht – zumal das BMG nicht nur Auftraggeber, sondern auch Gesellschafter der gematik ist.

Laut Gesetzentwurf soll die Gematik kritische Kernkomponenten der Telematikinfrastruktur künftig selbst beschaffen und bereitstellen. Bislang verkaufen Anbieter ihre Komponenten eigenständig an Arztpraxen und Kliniken, nachdem die Digitalagentur diese zugelassen hat. Nach Einschätzung des Ministeriums hat das jedoch zu hoher Komplexität, schlechter Betriebsstabilität und mangelnder Servicequalität geführt. Um Störungen und Sicherheitsprobleme zu beseitigen, soll die Digitalagentur außerdem zusätzliche Durchgriffsrechte erhalten.

Auf diesem Wege will das Gesundheitsministerium auch mehr Interoperabilität im Gesundheitswesen erreichen. Verschiedene IT-Systeme, Programme und Plattformen sollen nahtlos zusammenarbeiten und untereinander Daten austauschen können, auch wenn sie von unterschiedlichen Herstellern stammen.

Als konkreter Anwendungsfall soll hier die digitale Impfdokumentation als Vorstufe des digitalisierten Impfprozesses eingeführt werden. Der sogenannte digitale Impfpass soll als eine „nutzenstiftende Mehrwert-Anwendung“ auch dazu beitragen, dass mehr Versicherte die ePA aktiv nutzen. Bislang tut das nämlich nur ein sehr kleiner Teil der Versicherten.