Connect with us

Datenschutz & Sicherheit

Gemeinsames Europäisches Asylsystem: IT-Anpassungen in Deutschland kosten mindestens 150 Millionen Euro


Im Juni gelten für alle EU-Länder die Regeln des „Gemeinsamen Europäischen Asylsystems“ (GEAS). GEAS ist ein von der EU verabschiedetes Paket aus zehn Verordnungen und Richtlinien, das viele Verschärfungen am bisherigen Asylsystem mit sich bringt. Unter anderem sind das Schnellverfahren an EU-Außengrenzen, Freiheitseinschränkungen für Asylsuchende und eine erhebliche Ausweitung des europäischen Fingerabdrucksystems Eurodac.

Menschenrechts- und Asylorganisationen haben die GEAS-Reform immer wieder scharf kritisiert. Pro Asyl etwa nannte das Paket eine „Einigung auf Kosten der Menschenrechte von Geflüchteten“ und warf zuletzt der Bundesregierung vor, dass sie nationale Regelungen zur Reform „mit voller Härte“ umgesetzt habe. Denn auch wenn GEAS für einheitlichere Verfahren zwischen den Mitgliedstaaten sorgen soll, gibt es Spielraum für die einzelnen Länder. In Deutschland hat der Bundestag erst Ende Februar die nationalen Regeln beschlossen.

Doch mit den gesetzlichen Änderungen sind die Vorbereitungen auf das neue EU-Asylregime noch lange nicht abgeschlossenen. Die neuen Regeln aus den EU-Verordnungen von GEAS führen dazu, dass Prozesse und auch jede Menge IT-Systeme in Deutschland umgestellt werden müssen.

„Eine erhebliche Herausforderung“

Der Präsident des Bundesamts für Migration und Flüchtlinge (BAMF), Hans-Eckhard Sommer, schrieb in einer Stellungnahme im November 2025: „Neue Verfahren gilt es zu implementieren, nahezu alle Dienstanweisungen sind neu zu schreiben, das IT-System muss neu entwickelt werden.“ Die Bundesregierung schrieb im Januar 2026, die „umfassenden Abstimmungen stellen für alle Beteiligten eine erhebliche Herausforderung dar“.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Doch wie realistisch ist es, dass alles Nötige bis zum 12. Juni, dem offiziellen Startdatum von GEAS, funktioniert? Gerade vor dem Hintergrund, dass die nationalen Umsetzungsregeln erst im Februar beschlossen worden sind?

Die Bundestagsabgeordnete Clara Bünger von der Linksfraktion im Bundestag hat bei der Regierung nachgefragt. Die Antworten offenbaren, wie viele Anpassungen notwendig sind. Und dass es nicht nur zeitlich knapp wird, all das bis Juni fertig zu bekommen, sondern auch ziemlich teuer.

BAMF liegt im Zeitplan

Beim BAMF, der deutschen Asylbehörde, müssen demnach 14 IT-Anwendungen und Verfahren angepasst werden, darunter die Schnittstelle zur Erstregistrierung von Asylsuchenden und die Schnittstelle des BAMF zum Ausländerzentralregister, einer der größten zentralen Datenbanken in Deutschland. Dafür sind rund 18,5 Millionen Euro Budget im Haushalt eingeplant, schreibt die Bundesregierung. Man befinde sich im Zeitplan und eine rechtzeitige Umsetzung bis Juni sei vorgesehen.

  • BABS (Bundesamt Bereitstellung Sprachmittlung)
  • BAMF-AZR-SST (BAMF-Ausländerzentralregister-Schnittstelle)
  • beBPo (besonderes Behördenpostfach)
  • Donkey (Decision Officer Navigation Keyboard)
  • DubliNet (DubliNET- Mailsystem)
  • Dublis (Dublin-Liste)
  • ÜDB (Überstellungsdatenbank)
  • EDEN (Erkennungsdienstliche Datenerfassungs- und Netzschnittstelle)
  • ERIS (Erstregistrierungsschnittstelle)
  • FLORA (Föderale Blockchain Infrastruktur Asyl)
  • MARiS (Migrations-Asyl-Reintegrationssystem)
  • TAZ (Tonaufzeichnung)
  • Themis
  • XAVIA (XAusländer-basierter Asylverfahrensinformationsaustausch)

  • Vorgangsbearbeitungssystem der Bundespolizei (VBS) @rtus-Bund,
  • Informationssystem der Polizeien (INPOL)
  • digitaler Erkennungsdienst (ED-DI).

  • INPOL-Zentralsystem
  • Automatisiertes Fingerabdruckidentifizierungssystem (AFIS),
  • Schnittstellen zu BVA und BAMF
  • „weitere BKA-interne Schnittstellen sowie weitere Verfahren im Zusammenhang mit der asyl-/aufenthaltsrechtlichen Datenverarbeitung“

Aufseiten der Polizei gibt es bei Bundespolizei und BKA Änderungsbedarf, allen voran beim INPOL-Zentralsystem. Mehr als die Hälfte der in INPOL gespeicherten Personen sind Geflüchtete. Doch der derzeitige Zeitplan sieht vor, dass einige Komponenten bis Juni funktionieren. Bei der Bundespolizei seien aber noch bis November 2026 Anpassungen geplant, beim BKA sogar bis „Ende 2028“.

Keine Kostenübersicht bei der Bundespolizei

Während das BKA bis dahin mit rund 15 Millionen Euro Kosten rechnet, kann die Bundespolizei zum erwarteten Geldaufwand nichts sagen: „Zur Gesamthöhe der erforderlichen Programmierkosten sowie deren anteilige Berechnung auf die einzelnen Kooperationspartner kann zum jetzigen Zeitpunkt noch keine Aussage getroffen werden“, heißt es in der Antwort.

Auch beim Bundesamt für Verfassungsschutz wird es wohl Änderungen geben. Aber welche das sind, ist offenbar bislang nicht final festgelegt. Es würden „derzeit fachliche und organisatorische Abläufe geprüft, um eventuellen Anpassungsbedarf festzustellen“, schreibt die Bundesregierung.

Eine Behörde, die weniger im Licht der Öffentlichkeit steht und die mit der GEAS-Reform noch wichtiger für das deutsche Asylsystem wird, ist das Bundesverwaltungsamt (BVA). Während das BAMF die Register-führende Behörde für das Ausländerzentralregister ist, übernimmt auch das BVA Aufgaben wie Datenverarbeitung und ‑pflege für die Riesendatensammlung, die Informationen über Asylsuchende und andere Menschen mit ausländischer Staatsbürgerschaft enthält. Das AZR braucht einige neue Datenfelder, etwa dazu, ob es bei der Abfrage von Datenbanken im Rahmen der Sicherheitskontrolle einen Treffer gab oder ob besondere Vulnerabilitäten wie Behinderungen oder Traumatisierungen bei der Person festgestellt wurden.

Bundesverwaltungsamt bekommt neue Aufgaben

Künftig bekommt das BVA weitere zentrale Verantwortlichkeit: Es wird der „nationale und technische Zugangspunkt für Eurodac“ sein – bislang übernimmt diese Aufgabe das BKA. Damit die Fingerabdruck- und weitere Daten aus Eurodac dann bei den Nutzer-Behörden landen, muss das BVA neue Software entwickeln. GEAS bringt für Eurodac einen weitreichenden Ausbau mit sich: Es werden beispielsweise weitaus mehr Daten gespeichert, etwa Gesichtsbilder, Passkopien und ob eine Person als Sicherheitsrisiko eingestuft wird. Strafverfolgungsbehörden sollen zudem leichter auf die Daten in Eurodac zugreifen können.

Durch die großen Anpassungen im BVA fallen dort wohl auch die höchsten Kosten für die GEAS-IT-Reform an: Rund 85 Millionen Euro Sachkosten schätzt die Bundesregierung, die wohl vor allem an externe Dienstleister gehen. Dazu kommen geschätzte 34 Millionen Euro für den „technische Betriebsdienstleister ITZBund“. Dazu heißt es aber:

Eine weitere Spezifizierung der Kosten ist noch nicht möglich, weil es sich wegen der langen Laufzeit des Projektes noch überwiegend um Expertenschätzungen handelt.

Das heißt, die Kosten könnten sich auch weiter erhöhen. Rechnet man allein die bezifferten Kosten aus der Antwort der Bundesregierung zusammen, sind das rund 150,2 Millionen Euro – ohne Bundespolizei, Verfassungsschutz und ohne die Länder, die ebenfalls ihre Systeme anpassen müssen.

Für eine unabhängige Asylverfahrensberatung, die Bundesinnenminister Dobrindt ab nächstem Jahr streichen will, sind im aktuellen Haushaltsjahr im Vergleich dazu 25 Millionen Euro vorgesehen.

Kritik an der Kostenkalkulation

Dass die Bundesregierung nicht in der Lage ist, die Kosten für die GEAS-Umsetzung seriös zu kalkulieren, hatte auch bereits der Normenkontrollrat (NKR) während des Gesetzgebungsprozesses zur deutschen Umsetzung kritisiert. Im GEAS-Anpassungsfolgengesetz geht es unter anderem um die Strukturen, die für die Auszahlungen von Asylbewerberleistungen nötig sind und dazu konnte die Bundesregierung keinerlei Kostenschätzung vorlegen, vor allem zum Aufwand in den Ländern.

„Die Darstellung der Regelungsfolgen ist weder nachvollziehbar noch methodengerecht“, schrieb der NKR, der prüft, welche Kosten neue Gesetze verursachen. „Aus Sicht des NKR hätte seit dem Beschluss des Bundeskabinetts in der vergangenen Legislaturperiode ausreichend Zeit bestanden“, den Aufwand gemeinsam mit den Ländern näherungsweise abzuschätzen. So fürchtet der NKR „unnötige Kosten durch mögliche Doppelentwicklungen sowie Abstimmungsaufwände“. Die Bundesregierung wies diese Kritik zurück.

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Evaluieren will die Bundesregierung die entstehenden Ausgaben für die IT-seitige GEAS-Umsetzung auch im Nachhinein nicht. Denn, so schreibt sie als Begründung in ihrer Antwort auf die Kleine Anfrage: Die Kosten fielen „überwiegend durch die zwingende Umsetzung von EU-Recht“ an.

„Verzögerungen dürfen nicht zulasten Geflüchteter gehen“

Fragestellerin Clara Bünger sagt gegenüber netzpolitik.org: „Die Umsetzung der GEAS-Reform droht ins Chaos zu führen.“ Sie habe nicht den Eindruck, „dass die Behörden darauf vorbereitet sind oder auch nur realistisch abschätzen können, welche Probleme auf sie zukommen. Teilweise gibt es nicht einmal tragfähige Kostenabschätzungen.“

Sie befürchtet, dass das zulasten Geflüchteter geht und diese Nachteile erleiden, wenn IT-Systeme noch nicht funktionieren: „Dafür braucht es Lösungen, nicht erst in einem Jahr, sondern so schnell wie möglich.“

Neben Deutschland müssen auch alle anderen EU-Staaten die GEAS-Vorgaben umsetzen. Um den Stand der Umsetzung zu begleiten, erstellt die EU-Kommission Berichte zum „Stand der Umsetzung des Migrations- und Asylpakets“. Bislang gibt es drei dieser Berichte, aus Juni und November 2025 sowie vom 8. Mai 2026. Demnach haben fünf Mitgliedstaaten die nationalen Gesetzgebungsprozesse abgeschlossen, in den anderen Ländern stehen eigene Regelungen noch aus und befinden sich in verschiedenen Stadien. In Frankreich etwa fehlen weiterhin nationale Umsetzungsgesetze, eine Debatte im Parlament soll Ende Mai stattfinden.

Die Eurodac-Integration bezeichnet die EU-Kommission als „Schlüssel zur Verwirklichung“ von GEAS. 19 Mitgliedstaaten hätten bis Ende April Konformitätstests erfolgreich abgeschlossen, Deutschland befindet sich nicht in der Liste der aufgezählten Länder, liege aber bei der Eurodac „generell im Zeitplan“.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Microsoft Purview: KI-Prompts trotz Anonymisierung einsehbar


Microsofts Purview ist ein Management- und Analyse-Tool, das IT-Teams etwa mittels „Insider Risk Management“ die Überwachung von KI-Prompts und -Antworten ermöglicht. Standardmäßig sind die Nutzerinnen und Nutzer dabei pseudonymisiert, sie lassen sich nicht direkt erkennen oder zuordnen. Microsoft liefert Analysten in Purview nun die Möglichkeit, die User trotz aktivierter Anonymisierung „unter Beibehaltung des Privatsphärenschutzes“ zu deanonymisieren. Das erinnert an einen quadratischen Kreis.

Weiterlesen nach der Anzeige

Microsoft hat das im Microsoft-365-Admin-Center im Beitrag MC1304292 konkretisiert (Kopie bei merill.net). Purview Insider Risk Management erhält die Möglichkeit für Analysten, Einsicht in KI-Prompts und -Antworten der User zu nehmen. Das ist trotz aktivierter Anonymisierung möglich. Das soll die Sichtbarkeit von KI-bezogenen Risiken erhöhen und dabei die rollenbasierten Zugriffskontrollen sicherstellen. Insider Risk Management in Purview soll Risiken wie Datenlecks, Diebstahl geistigen Eigentums oder Verstöße gegen Sicherheitsrichtlinien aufspüren. Nutzerinnen und Nutzer sind standardmäßig pseudonymisiert und Zugriffe dürfen Analysten nur entsprechend ihrer Rollen vornehmen, was die Privatsphäre schützen soll.

Verteilung ab Anfang Mai 2026

Die öffentliche Vorschau verteilt Microsoft ab Anfang Mai, bis zur Monatsmitte soll das abgeschlossen werden. Ab Mitte Juni folgt dann die allgemeine Verfügbarkeit. Bezüglich der Betroffenheit schreibt Microsoft, dass lediglich Admins und Analysten, die Purview Insider Risk Management nutzen sowie Organisationen, die KI-bezogene Insider-Risiken untersuchen, von der Änderung betroffen sind – Nutzerinnen und Nutzer hingegen sieht Microsoft als nicht davon betroffen an.

Die konkreten Änderungen laut Microsoft umfassen, dass Analysten nun KI-Interaktionsnachrichten einschließlich Prompts und der KI-generierten Antworten einsehen können, sofern die mit Insider-Risiko-Indikatoren in Verbindung stehen. Die Interaktionen sind auch dann sichtbar, wenn Anonymisierung aktiviert wurde. Die User-Identitäten bleiben pseudonymisiert, bis dazu autorisierte Analysten eine Deanonymisierung vornehmen.

Bestehende rollenbasierte Zugriffskontrollen, das Logging der Audits und Privatsphärensicherheitsvorkehrungen bleiben weiterhin in Kraft. Die neue Funktion will Microsoft standardmäßig aktivieren. Admins müssen daher nichts machen, schreibt Microsoft.

Das Verhältnis zur Privatsphäre bei Microsoft scheint ein eher loses zu sein. Vergangene Woche hat das Unternehmen angekündigt, dass es bei der automatisierten Analyse von Dateien die vergebenen Vertraulichkeitslabels künftig stärker berücksichtigen möchte.

Weiterlesen nach der Anzeige


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Wissenschaftlicher Dienst des EP: Wer Kinder ausschließen will, muss Anonymität verbieten


Alterskontrollen im Internet gefährden das Recht auf Anonymität. Sie schaffen eine umfassende Kontroll-Infrastruktur. Und zusätzlich scheinen sie weitgehend nutzlos zu sein. Jugendliche in Großbritannien umgehen sie mit falschen Schnurrbärten, elterlichen Ausweisen und der Nutzung von VPN-Diensten.

Diese Virtual Private Networks leiten Datenverkehr um und gaukeln den Diensteanbietern vor, dass sich die Nutzer*innen mit einer IP-Adresse aus einem Land einwählen, in dem keine Alterskontrollen gelten. Mit VPNs lassen sich auch staatliche Zensurmaßnahmen umgehen. Deswegen gehen autoritäre Regime, beispielsweise in Russland und China schon lange repressiv gegen sie vor.

Europa will den Zugang von Jugendlichen zu Social Media reglementieren. Eine dazu nötig App, mit der alle Nutzer*innen dann ihre Gesichter und Ausweise scannen müssten, ist laut Kommissionspräsidentin Ursula von der Leyen (CDU) angeblich bereits fertig.

Nun richtet sich auch in Europa der Blick auf die VPN-Anbieter. Der Wissenschaftliche Dienst des Europäischen Parlaments hat eine Analyse über VPNs und den „Schutz von Kindern“ geschrieben. Er sieht „eine Gesetzeslücke, die geschlossen werden muss“, so die Analyse, und stellt die Option vor, auch VPN-Anbietern Alterskontrollen aufzuzwingen. Er problematisiert, dass VPN-Dienste in Großbritannien enorm populär geworden seien, seit Jugendliche bestimmte Seiten nicht mehr betreten dürfen.

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Das Ende der Anonymität im Netz?

In Großbritannien wird gerade verhandelt, welche Dienste künftig mit Alterskontrollen und Zugangssperren für Minderjährige versehen werden sollen. Im Gespräch sind auch VPN-Dienste. Gegen die Ausweitung von Alterskontrollen über die Big-Tech-Plattformen hinaus stellten sich kürzlich zivilgesellschaftliche Akteure wie die Electronic Frontier Foundation und Unternehmen wie Mozilla oder Proton. James Baker von der Open Rights Group schreibt in einem Statement: „Die Ausweitung der Altersverifizierung wird die Vormachtstellung großer Technologieunternehmen festigen und kleine sowie ehrenamtlich betriebene Dienste schädigen, die sich die Einhaltung der Vorschriften möglicherweise nicht leisten können.“

Tatsächlich ist das Problem noch deutlich größer: Müssten Menschen zur Nutzung von VPN tatsächlich ihren Personalausweis vorlegen, ginge beispielsweise Whistleblower*innen oder Oppositionellen ein wichtiges Werkzeug verloren, ihre Anonymität zu gewährleisten. Journalist*innen könnten nicht mehr undercover oder in regional beschränkten Inhalten im Netz recherchieren, zivilgesellschaftliche Akteur*innen ihre Daten nicht vor staatlichen Zugriffen schützen.

Alle datenschutzinteressierten Privatpersonen verlören eine populäre und einfach zu nutzende Möglichkeit, ihre Identität gegenüber Plattform- und Websitebetreibern zu verschleiern. Die Möglichkeit, anonym und frei kommunizieren zu können, ist grundlegende Eigenschaft einer Demokratie.



Source link

Weiterlesen

Datenschutz & Sicherheit

Trellix-Einbruch: Cybergang RansomHouse behauptet Datenklau


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Vergangene Woche hat Trellix, das IT-Sicherheitsunternehmen, das aus dem Zusammenschluss von FireEye und McAfee hervorging, einen IT-Vorfall gemeldet: Angreifer haben Zugriff auf Quellcode-Repositories erlangt. Da war noch unklar, wer dafür verantwortlich zeichnet. Nun hat sich die kriminelle Vereinigung RansomHouse auf ihrer Darknet-Webseite zu dem Datenklau bekannt.

Weiterlesen nach der Anzeige


Informationen über das Cybersicherheitsunternehmen Trellix mit Website, Umsatz und Mitarbeiterzahl.

Informationen über das Cybersicherheitsunternehmen Trellix mit Website, Umsatz und Mitarbeiterzahl.

Der Eintrag auf der Darknet-Seite von RansomHouse zur Trellix-Einbruch liefert keine Details zu den erbeuteten Daten.

(Bild: heise medien)

Der konkrete Darknet-Eintrag hält einen Download-Link auf ein Sample vor. Angeblich hat die Bande die Daten von McAfee am 17. April 2026 „encrypted“, also verschlüsselt. Davon schreibt Trellix jedoch nichts. Die fein geschliffenen Formulierungen von Trellix schließen konkret eine Verschlüsselung der Repositories jedoch nicht aus. Das Unternehmen schreibt lediglich, dass es keine Belege dafür gebe, dass Quellcode-Releases oder der Verteilungsprozess betroffen sind oder dass der Quellcode missbraucht wurde.

Immerhin kommt mit dem Bekenntnis von RansomHouse etwas Licht ins Dunkel, wer bei dem IT-Sicherheitsunternehmen eingebrochen ist und sich den Quellcode von Software beschafft hat. Der Umfang der kopierten Daten bleibt jedoch weiter unklar, ebenso, welche Repositories und damit Informationen nun genau offenliegen.

Zumindest Klarheit über Täter

In der vergangenen Woche schrieb Trellix, dass das Unternehmen unbefugte Zugriffe auf einen Teil der Quellcode-Repositories bemerkt hatte. Es zog daraufhin den eigenen Angaben nach führende Forensikexperten zur Klärung hinzu. Auch die Strafverfolgungsbehörden hat Trellix demnach informiert. Es blieb zu dem Zeitpunkt unklar, wer für den IT-Einbruch verantwortlich war.


(dmk)



Source link

Weiterlesen

Beliebt