Die Gesellschaft für Freiheitsrechte (GFF) nennt in ihrer aktuellen Stellungnahme zum Sicherheitspaket (PDF) die Gesetzesvorhaben der Bundesregierung zur biometrischen Fahndung im Internet und zur automatisierten Datenanalyse „zum Großteil verfassungswidrig“. Die Bürgerrechtsorganisation lehnt deshalb die Einführung der darin vorgeschlagenen Befugnisse und Änderungen fast rundweg ab.

Es handle sich bei den geplanten Befugnissen nicht nur um Werkzeuge, die zu schwerwiegenden Grundrechtseingriffen führen, sondern um „Instrumente zur potenziellen Massenüberwachung“, weil es sich eben nicht um gezielte Maßnahmen handle. Gleichzeitig würden keinerlei Nachweise vorliegen, dass diese Befugnisse tatsächlich zu einer effektiven Polizeiarbeit beitragen würden, so die GFF.

Staatliche Souveränität vollkommen ausgeblendet

Besonders besorgniserregend sei auch, dass die Referentenentwürfe staatliche digitale Souveränität vollkommen ausblenden würden, heißt es in der Stellungnahme. Das liege daran, dass der Gesetzentwurf vorsieht, dass biometrische Abgleiche im Internet auch von privaten Unternehmen im Ausland durchgeführt werden dürfen. Zu solchen Unternehmen gehört zum Beispiel das umstrittene PimEyes, über das netzpolitik.org oftmals berichtet hat. Solche Unternehmen haben die Gesichtsbiometrie von Millionen Menschen gegen alle Regeln des europäischen Datenschutzes erlangt, indem sie ohne zu fragen Gesichtsbilder im Internet ausgewertet und gespeichert haben.

Darüber hinaus ist laut der GFF auf Grundlage des Entwurfs auch der Einsatz von Softwaretools privater Anbieter für eine Datenanalyse möglich, wie etwa die Software Gotham des US-Unternehmens Palantir. Trotz dieser Möglichkeit sieht der Entwurf laut der GFF keinerlei Vorgaben vor, die sensibelste Polizeidaten vor Fehlern, Datenlecks, unberechtigtem Zugriff, missbräuchlicher Nutzung oder Manipulation schützen. Sogar zum Training von KI-Systemen dürften polizeiliche Daten an private Unternehmen übermittelt werden.

Zivilgesellschaft warnt vor Plänen für KI-Fahndung

„Eingriffe in die Grundrechte aller Menschen“

Der biometrische Abgleich mit Daten aus dem Internet ermögliche „schwerwiegende Eingriffe in das Recht auf informationelle Selbstbestimmung“ – und das bei einer enormen Streubreite. Das ermächtige die Bundespolizei zu Eingriffen in die Grundrechte potenziell aller Menschen, kritisiert die GFF. Denn diese könnten nur begrenzt beeinflussen, ob zum Beispiel Bild- und Videomaterial oder Tonaufnahmen von ihnen gegen ihren Willen im Internet veröffentlicht werden.

Außerdem könnten durch den Abgleich Rückschlüsse auf besonders sensible Daten wie politische Einstellungen und sexuelle oder religiöse Orientierung gezogen werden, z.B. bei Aufnahmen von Demos, Veranstaltungen oder Gottesdiensten.

Das Internet mache mittlerweile einen erheblichen Teil des öffentlichen Raumes aus. Mit den neuen Befugnissen werde die Anonymität in diesem digitalen öffentlichen Raum faktisch unmöglich gemacht. Das sei mit enormen Abschreckungseffekten verbunden und habe erhebliche Auswirkungen auf die Ausübung von Grundrechten, kritisiert die GFF.

Kritik haben die Bürgerrechtler:innen auch an der Eingriffsschwelle für die Nutzung der Instrumente, die laut der schwarz-roten Koalition ab „erheblichen Straftaten“ gelten soll. Doch diese genügten nicht dem verfassungsrechtlich notwendigen Gewicht einer besonders schweren Straftat. Zudem würden die erfassten Straftaten im Gesetzentwurf nicht hinreichend konkretisiert.

„Mächtige Überwachungsmaßnahmen“ mit Palantir & Co.

Bei der automatisierten Datenanalyse, wie sie etwa Palantir durchführt, sollen große Mengen auch bislang ungefilterter oder getrennt gespeicherter Daten mit weiteren Daten verbunden und verarbeitet werden. Die Polizei erhofft sich durch die Zusammenführung neue Erkenntnisse.

„Dabei besteht die Gefahr, dass aufgrund von Fehlern im Analyseprogramm, insbesondere aufgrund diskriminierender Algorithmen, Menschen fälschlicherweise ins Visier der Sicherheits- und Strafverfolgungsbehörden geraten, obwohl sie dafür keinen Anlass geboten haben“, kritisiert die GFF. Sie warnt zudem vor Einschüchterungseffekten und davor, dass aufgrund des Ausbaus der Überwachung immer mehr sensible Daten bei den Behörden gespeichert werden dürfen. „Automatisierte Datenanalysen sind mächtige Überwachungsmaßnahmen“, folgert die Organisation. Deswegen seien strenge Beschränkungen zum Schutz der Grundrechte nötig.

Die GFF fordert deswegen:

Die Datenanalyse sollte dabei insbesondere ausdrücklich auf einfach-automatisierte Abgleiche und reine Suchvorgänge begrenzt werden. Algorithmische Sachverhaltsbewertungen, Profiling und KI-basierte Analysen müssen ausgeschlossen werden. Die Menge der einbezogenen Daten ist stark zu begrenzen. Die Eingriffsschwellen für automatisierte Datenanalysen müssen erhöht und Schutzmaßnahmen gegen Fehler, Diskriminierung und Intransparenz aufgenommen werden.

In der 30 Seiten starken Stellungnahme, welche die GFF im Rahmen der Verbändebeteiligung abgegeben hat, sind zahlreiche weitere Bedenken hinsichtlich der Verfassungsmäßigkeit der Überwachungspläne der Bundesregierung gelistet. Auch andere Organisationen aus der Zivilgesellschaft wie Amnesty International oder der Chaos Computer Club haben massive Kritik an dem Vorhaben der Bundesregierung.

Mitte Februar lief in den USA die Finanzierung für das Heimatschutzministerium DHS (Department of Homeland Security) und damit der IT-Sicherheitsbehörde CISA aus. Die läuft seitdem im Notbetrieb mit eingeschränkten Ressourcen weiter.

Wie CBS News jetzt berichtet, sollen alle DHS-Angestellten bis Ende dieser Woche das Gehalt für die vergangenen sechs Wochen des Shutdowns erhalten. Das hat Markwayne Mullin, Minister für Heimatschutz, demnach am Dienstag dieser Woche angekündigt. Er sagte, dass die meisten dieser Schecks bis Freitag bei den Banken angekommen sein sollten. Einige Finanzinstitute müssten bis Montag warten, aber die Mehrheit von allen solle bis dahin bezahlt worden sein.

Die Zahlungen sollen durch Flexibilität in der Mittelverwendung und Exekutivmaßnahmen möglich gemacht worden sein. Mullin warnte jedoch zugleich, dass die künftigen Zahlungen für DHS-Angestellte – mit Ausnahme von Strafverfolgungsbeamten – vollständig vom US-Kongress abhingen. CBS News zufolge kritisierte Mullin die Demokraten scharf wegen der Verzögerungen. Er warf ihnen vor, dazu bereit zu sein, 22 Behörden die Mittel zu entziehen, die zur Aufgabe haben, die innere Sicherheit zu gewährleisten, vom Pentagon bis zum DHS.

Lob für Angestellte

Zugleich lobte er die Angestellten der Behörden, die trotz Unsicherheiten bezüglich der Gehaltszahlungen weiter zur Arbeit erschienen. Das sei ein unglaubliches Engagement. Auf Rückfragen, wie die Mittel verfügbar gemacht wurden, verwies Mullin auf Notfallbefugnisse, die dem Präsidenten die begrenzte Umschichtung von Mitteln erlauben.

Der Behörden-Shutdown ist Folge eines Streits zwischen Republikanern und Demokraten über das Verhalten von Beamten der Polizei- und Zollbehörde United States Immigration and Customs Enforcement (ICE). Sie konnten sich infolgedessen nicht auf Bedingungen für eine weitere Finanzierung des DHS einigen.

(dmk)

Cloudflare beschleunigt seine Post-Quantum-Migration und plant bis 2029 die vollständige Umstellung – inklusive quantensicherer Authentifizierung. Das Unternehmen reagiert damit auf aktuelle Fortschritte in der Quantencomputer-Forschung, die den Zeitrahmen für die Bedrohung durch Quantenangriffe verkürzen.

Post-Quantum-Kryptografie bezeichnet Verfahren, die auch Angriffen durch Quantencomputer standhalten sollen. Weit verbreitete Public-Key-Verfahren wie RSA oder Elliptic Curve Cryptography (ECC) lassen sich mit Quantenalgorithmen wie Shor prinzipiell brechen. Sicherheitsforscher warnen zudem vor dem Szenario „Harvest now, decrypt later“ (HNDL): Angreifer könnten bereits heute verschlüsselte Daten abgreifen und sie später mit Quantencomputern entschlüsseln. Das macht eine frühzeitige Umstellung auf neue Verfahren dringlich.

Verschlüsselung steht, Authentifizierung folgt

Im Kern setzt Cloudflare bereits seit 2022 auf hybride Verschlüsselung (Kyber + ECDHE), um HNDL-Angriffe zu verhindern. Sollte sich eines der beiden Verfahren künftig als unsicher erweisen, bleibt die Verbindung durch das jeweils andere geschützt. Gleichzeitig ermöglicht der Ansatz eine schrittweise Migration, ohne bestehende Infrastruktur zu brechen. Jetzt folgt die Umstellung der Authentifizierung auf das gitterbasierte Verfahren Dilithium.

Dabei greift Cloudflare auf Algorithmen aus dem Standardisierungsprozess des National Institute of Standards and Technology (NIST) zurück, allen voran das gitterbasierte Verfahren Kyber für den Schlüsselaustausch. Gitterbasierte Verfahren gelten als aussichtsreich, weil sie auf mathematischen Problemen beruhen, die auch Quantencomputer nicht effizient lösen können.

Roadmap bis 2029 in mehreren Etappen

Die Post-Quantum-Verschlüsselung ist seit 2022 standardmäßig aktiv. Über 65 Prozent des menschlichen Datenverkehrs zu Cloudflare ist damit bereits post-quantum-verschlüsselt. Die Umstellung der Authentifizierung auf Dilithium erfolgt in mehreren Etappen: Mitte 2026 für Origin-Verbindungen, Mitte 2027 für Besucher-Verbindungen, Anfang 2028 für Enterprise-Netzwerke und vollständig bis 2029. Kunden müssen dafür keine Einstellungen ändern. Cloudflare unterstützt bereits hybride Verschlüsselung, aber Clients müssen Post-Quanten-Verfahren ebenfalls implementieren, um sie zu nutzen.

Für HTTPS bleibt klassische Kryptografie vorerst aktiv, um Kompatibilität zu wahren. Cloudflare nutzt Mechanismen wie PQ HSTS und Certificate Transparency, um Downgrade-Angriffe zu verhindern.

Weitere Informationen zur neuen Roadmap finden sich in der Ankündigung von Cloudflare.

(fo)