Datenschutz & Sicherheit
Neues Bundespolizeigesetz: Der Bundestag hat gerade das Zeitalter der automatisierten Überwachung eingeläutet
Ohne sich gründlich darauf vorbereiten oder gar Expert*innen konsultieren zu können, haben die Abgeordneten des Bundestag soeben das Zeitalter der automatisierten Überwachung auf Bundesebene eingeläutet. Die massive Verschärfung des Bundespolizeigesetzes hat die schwarz-rote Koalition erst drei Tage vor der Abstimmung offenbart. Mit ihren Stimmen wurde das Gesetz auch verabschiedet. Eigentlich sollte nur eine Anpassung an die Vorgaben des Grundgesetzes beschlossen werden.
2016 hatte das Bundesverfassungsgericht wesentliche Teile des BKA-Gesetzes für verfassungswidrig erklärt. Heimliche Überwachung darf nur in engen Grenzen stattfinden, so der Tenor. Da sich viele Regelungen aus dem BKA-Gesetz auch im Bundespolizeigesetz fanden, wurde auch dessen Entschärfung notwendig. Und aus dieser Entschärfung ist nun eine Verschärfung und damit der Beginn einer neuen Ära der Kontrolle geworden.
Software soll der Polizei bei der Arbeit helfen, sie effizienter machen und Personal einsparen. Eine ganze Reihe von softwaregestützten Überwachungsbefugnissen ist gerade auf dem Weg durch den Bundestag, wurde dort diese Woche bereits in erster Lesung besprochen.
Als erstes final beschlossen wurde am heutigen Freitag das Bundespolizeigesetz: Es erlaubt Videoüberwachung, beispielsweise an Bahnhöfen, die automatisch Menschen identifiziert und Verhalten bewertet. Irene Mihalic, Grünen-Abgeordnete sagte während der Bundestagsdebatte zum Gesetz: „Mit der biometrischen Echtzeitüberwachung greift die Koalition tief in Grundrechte ein.“ Clara Bünger von der Linken sagte: „Die flächendeckende Überwachung wird für Millionen zum Normalzustand.“ Und: „Dafür bekommt der Innenminister fast eine Milliarde mehr als im Vorjahr. Eine Milliarde für Überwachung.“
Mit den kommenden Sicherheitsgesetzen soll die Bundespolizei – wie auch das BKA – zudem eine Art Internet-Suchmaschine für Gesichter und Stimmen und eine KI-gestützte Megadatenbank erhalten, die selbstständig Verdächtige definiert. Die Befugnisse aus den Sicherheitsgesetzen bilden ab, was aktuell technisch möglich ist. Sie sind aus Perspektive der Grundrechte höchst fragwürdig, denn sie setzen alle Menschen unter Generalverdacht.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Entmenschlichung der Polizeiarbeit
Es ist eine Zeitenwende. Wo bislang noch menschliche Polizist*innen uns auf Bildschirmen beobachteten oder Schlüsse aus persönlichen Daten zogen, wird künftig immer öfter Software agieren. Es ist auch: Eine Entmenschlichung der Polizeiarbeit.
In zahlreichen Bundesländern wurden oder werden Gesichtersuchmaschine, Megadatenbank und KI-Kameras bereits erlaubt, doch mit der Änderung des Bundespolizeigesetzes werden die Technologien, die bislang nur vereinzelt und in Insellösungen genutzt wurden, bundesweit ausgerollt. Alexander Throm von der CDU sagte bei der finalen Bundestagsdebatte zur Einführung der KI-Kameras: „Das wird maßstabsbildend werden für die Länder der Bundesrepublik.“
Der nun verabschiedete Gesetzentwurf enthält neben der Befugnis zur automatisierten Videoanalyse auch weitere digitale Überwachungsbefugnisse, nämlich Regelungen zur Nutzung von Staatstrojanern, Drohnen, Stillen SMS, IMSI-Catchern, Fluggastdaten-Erhebung und Kennzeichenscannern.
Die KI-Überwachung ist ein Projekt aus Ampel-Zeiten. Es wurde vom Scheitern der Koalition gestoppt, jetzt versucht Schwarz-Rot, es zu vollenden. Doch es kann noch verhindert werden. 2021 hat der Bundesrat eine vorhergehende Fassung des Gesetzes abgelehnt, auch dieses Mal muss er seine Zustimmung geben.
Datenschutz & Sicherheit
Neues Bundespolizeigesetz: Der Bundestag hat das Zeitalter der automatisierten Überwachung eingeläutet
Ohne sich gründlich darauf vorbereiten oder gar Expert*innen konsultieren zu können, haben die Abgeordneten des Bundestag heute das Zeitalter der automatisierten Überwachung auf Bundesebene eingeläutet. Die massive Verschärfung des Bundespolizeigesetzes hat die schwarz-rote Koalition erst drei Tage vor der Abstimmung offenbart. Mit ihren Stimmen wurde das Gesetz auch verabschiedet. Eigentlich sollte nur eine Anpassung an die Vorgaben des Grundgesetzes beschlossen werden.
2016 hatte das Bundesverfassungsgericht wesentliche Teile des BKA-Gesetzes für verfassungswidrig erklärt. Heimliche Überwachung darf nur in engen Grenzen stattfinden, so der Tenor. Da sich viele Regelungen aus dem BKA-Gesetz auch im Bundespolizeigesetz fanden, wurde auch dessen Entschärfung notwendig. Und aus dieser Entschärfung ist nun eine Verschärfung und damit der Beginn einer neuen Ära der Kontrolle geworden.
Software soll der Polizei bei der Arbeit helfen, sie effizienter machen und Personal einsparen. Eine ganze Reihe von softwaregestützten Überwachungsbefugnissen ist gerade auf dem Weg durch den Bundestag, wurde dort diese Woche bereits in erster Lesung besprochen.
Als erstes final beschlossen wurde am heutigen Freitag das Bundespolizeigesetz: Es erlaubt Videoüberwachung, beispielsweise an Bahnhöfen, die automatisch Menschen identifiziert und Verhalten bewertet. Irene Mihalic, Grünen-Abgeordnete sagte während der Bundestagsdebatte zum Gesetz: „Mit der biometrischen Echtzeitüberwachung greift die Koalition tief in Grundrechte ein.“ Clara Bünger von der Linken sagte: „Die flächendeckende Überwachung wird für Millionen zum Normalzustand.“ Und: „Dafür bekommt der Innenminister fast eine Milliarde mehr als im Vorjahr. Eine Milliarde für Überwachung.“
Mit den kommenden Sicherheitsgesetzen soll die Bundespolizei – wie auch das BKA – zudem eine Art Internet-Suchmaschine für Gesichter und Stimmen und eine KI-gestützte Megadatenbank erhalten, die selbstständig Verdächtige definiert. Die Befugnisse aus den Sicherheitsgesetzen bilden ab, was aktuell technisch möglich ist. Sie sind aus Perspektive der Grundrechte höchst fragwürdig, denn sie setzen alle Menschen unter Generalverdacht.
90 Sekunden im Netz:
Pia erklärt Verhaltensscanner
Verhaltensscanner sind KI-Systeme, die Videoaufnahmen daraufhin analysieren, was Menschen gerade tun.
Und die automatisierte Verhaltensanalyse ist nur ein Schritt hin zu einer noch ganzheitlicheren Überwachung.
Entmenschlichung der Polizeiarbeit
Es ist eine Zeitenwende. Wo bislang noch menschliche Polizist*innen uns auf Bildschirmen beobachteten oder Schlüsse aus persönlichen Daten zogen, wird künftig immer öfter Software agieren. Es ist auch: eine Entmenschlichung der Polizeiarbeit.
In zahlreichen Bundesländern wurden oder werden Gesichtersuchmaschine, Megadatenbank und KI-Kameras bereits erlaubt, doch mit der Änderung des Bundespolizeigesetzes werden die Technologien, die bislang nur vereinzelt und in Insellösungen genutzt wurden, bundesweit ausgerollt. Alexander Throm von der CDU sagte bei der finalen Bundestagsdebatte zur Einführung der KI-Kameras: „Das wird maßstabsbildend werden für die Länder der Bundesrepublik.“
Der nun verabschiedete Gesetzentwurf enthält neben der Befugnis zur automatisierten Videoanalyse auch weitere digitale Überwachungsbefugnisse, nämlich Regelungen zur Nutzung von Staatstrojanern, Drohnen, Stillen SMS, IMSI-Catchern, Fluggastdaten-Erhebung und Kennzeichenscannern.
Die KI-Überwachung ist ein Projekt aus Ampel-Zeiten. Es wurde vom Scheitern der Koalition gestoppt, jetzt versucht Schwarz-Rot, es zu vollenden. Doch es kann noch verhindert werden. 2021 hat der Bundesrat eine vorhergehende Fassung des Gesetzes abgelehnt, auch dieses Mal muss er seine Zustimmung geben.
Datenschutz & Sicherheit
Geheimdienstreform: Zeitenwende für Spione – netzpolitik.org
Fast 700 Seiten lang ist der Gesetzentwurf aus dem Innenministerium, der Verfassungsschutz und Bundesnachrichtendienst in nie dagewesenem Ausmaß aufrüsten soll. Die Dienste sollen etwa Zurückhacken dürfen und bekommen ein Arsenal neuer Befugnisse zu KI und Biometrie.
Schon vor mehr als einem halben Jahr gab es Berichte zu Arbeiten an dem Gesetz. An einigen Stellen soll es gehakt haben, die Abstimmungen zum Bundesverfassungsschutzgesetz hätten sich verzögert. Bundesinnenminister Alexander Dobrindt (CSU) habe unbedingt beide Gesetze gemeinsam durch die Tür bringen wollen.
Nun ist der Referentenentwurf aus dem Innenministerium öffentlich. Es geht nicht nur um Ergänzungen, sondern um eine komplett neue Grundlage für die Arbeit der Dienste. Außerdem sollen mehr als zehn weitere Gesetze geändert werden. Der noch nicht in der Regierung abgestimmte Entwurf enthält zudem neue Regelungen für die Aufsicht der Geheimdienste. Unterm Strich soll die Kontrolle der Behörden schlanker werden – und öffentliche Transparenz noch weiter sinken. Die Übersicht.
Drei übergeordnete Ziele
Die umfassende Reform des Nachrichtendienstrechts, so der Entwurf, verfolge „drei übergeordnete Ziele“: Erstens sollen die Dienste in Anbetracht der „verschärften Bedrohungslage im In- und Ausland“ mehr Befugnisse erhalten. Zweitens solle der Entwurf der Vorrede zufolge die Kontrolle über die Geheimdienste stärken. Und drittens nehme er Anpassungen vor, die das Bundesverfassungsgericht gefordert hatte.
Ein Urteil aus dem Jahr 2024 beanstandet etwa, wie der BND mit innerdeutscher Kommunikation umgeht. Außerdem erachten die Richter:innen eine hauptamtliche Aufsicht als erforderlich, weil die bisher für die Kontrolle zuständige G‑10-Kommission nicht ausreiche. Um die Mängel zu beheben, hat das Gericht der Bundesregierung eine Frist Ende 2026 gesetzt. Das heißt: Die Zeit für eine Neuregelung drängt.
Laut Medienberichten will die Bundesregierung den Entwurf noch vor der parlamentarischen Sommerpause abstimmen – dann könnte ab Herbst der Bundestag darüber diskutieren.
Geheimdienste und Polizei nähern sich an
Die geplanten Umbrüche für BND und Verfassungsschutz greifen das Trennungsgebot an, das in Deutschland wegen historischer Lehren bislang eine wichtige Grundlage für Geheimdienst- und Polizeipolitik war. Die verschiedenen Institutionen, so die Konsequenz aus Erfahrungen mit Gestapo und Stasi, sollten getrennte Aufgaben und Befugnisse haben. Während die Geheimdienste vor allem Informationen sammeln sollen, darf die Polizei auch direkt eingreifen.
Mit der Reform will Innenminister Dobrindt, „dass aus dem Nachrichtendienst nun ein echter Geheimdienst wird“, wie er Anfang des Jahres mit Blick auf den Verfassungsschutz sagte. Offenbar versteht er darunter, dass ein Geheimdienst auch eingreifen soll. Das zeigt sich etwa an den geplanten Befugnissen für aktive Eingriffe in IT-Systeme. Verfassungsschutz und BND sollen demnach unter bestimmten Bedingungen zurückhacken dürfen.
Die Trennung zwischen Geheimdiensten und anderen Sicherheitsbehörden verschwimmt auch bei den Möglichkeiten, Daten auszutauschen. Im Entwurf finden sich etwa Passagen, die es dem Verfassungsschutz erlauben, gemeinsam mit anderen deutschen Behörden Daten auszuwerten, auch automatisiert.
Mittel sollen geheim bleiben
Im Vergleich zu den vorigen Gesetzen schafft der neue Entwurf mehr Übersicht. Das aktuelle BND-Gesetz verweist an vielen Stellen auf die Regelungen für den Verfassungsschutz. Das soll sich ändern. Der Entwurf für die beiden neuen Gesetze zählt auch klarer als bisher „nachrichtendienstliche Mittel“ auf, die Verfassungsschutz und BND nutzen dürfen. Dazu gehören beispielsweise verdeckte Ermittler:innen im Internet, die sich in Online-Netzwerke einschleusen, sowie die Überwachung von Wohnräumen und Telekommunikation.
Aber diese Aufzählung ist nicht abschließend. Die Dienste sollen ihre nachrichtendienstlichen Mittel lediglich in einer Dienstvorschrift „abschließend“ benennen. Darin hat die Öffentlichkeit jedoch keinen Einblick, denn Dienstvorschriften der Geheimdienste bleiben wie so vieles geheim. Genau so funktioniert auch das Gesetz für den Militärischen Abschirmdienst (MAD), das im Dezember verabschiedet wurde.
Abschnorcheln bleibt erlaubt
Nach wie vor soll der BND in großem Umfang Daten abschnorcheln. Konkret bedeutet das: Der Auslandsgeheimdienst soll Internetknoten anzapfen dürfen, Kommunikationsdaten ausleiten und die erhobenen personenbezogenen Daten auswerten. Bislang hieß das Fernmeldeaufklärung, der neue Gesetzentwurf bezeichnet das als „strategische Aufklärung“.
Dem Entwurf zufolge soll der Geheimdienst solche Maßnahmen auf das „notwendige Maß“ und auf maximal 15 Prozent des Datenvolumens beschränken, „welches in allen Telekommunikationsnetzen übertragen werden kann“. Eine solche Beschränkung lässt sich aber nur schwer kontrollieren, was das Bundesinnenministerium (BMI) in seiner Begründung selbst einräumt.
Schwarz-Rot will die Informationsfreiheit beschneiden.
Wir kämpfen für Transparenz. Mit deiner Unterstützung.
Zudem können etwa über den Internetknoten in Frankfurt am Main, den DE-CIX, mehr als 200 Terabit pro Sekunde (Tbit/s) fließen. In den vergangenen 12 Monaten flossen jedoch nur durchschnittlich rund 13 Tbit/s. Darf der BND also 15 Prozent des höchstmöglichen Datenvolumens abschöpfen, entspräche das schlicht dem gesamten Datenverkehr.
Ein solches Ausspähen „reiner Inlandskommunikation“ ist für den Auslandsgeheimdienst grundsätzlich unzulässig. Allerdings lässt sich technisch nicht klar eingrenzen, welche Daten ausschließlich zum Inland gehören. Der BND müsste die Daten dem Entwurf zufolge also filtern – „soweit technisch möglich“. Dass das nicht immer funktioniert, war bereits vor mehr als zehn Jahren klar.
Der Betreiber des DE-CIX sagte damals für seinen Internetknoten, dass selbst wenn „der BND das weltbeste Filtersystem bauen könnte, das 99,9 Prozent [Genauigkeit] erreicht, dann redet man immer noch über mehrere Millionen fehlerhaft getaggter Verbindungen – jeden Tag“.
Das allein führt wohl dazu, dass der Auslandsgeheimdienst zwangsweise auch inländische Telekommunikation überwachen wird. Erlaubt ist ihm das allerdings nur, „wenn im Einzelfall tatsächliche Anhaltspunkte dafür vorliegen, dass die Maßnahme erforderlich ist, um Informationen zu zumindest erheblichen Bedrohungen zu erlangen“.
Behörden sollen hacken dürfen
Eine neue Befugnis im Entwurf ist, dass der BND ausdrücklich zurückhacken darf – wenn „eine unmittelbar bevorstehende Gefahr für ein besonders gewichtiges Rechtsgut besteht“. In diesem Fall soll der Auslandsgeheimdienst Daten verändern oder löschen dürfen, Datenströme umleiten oder „den Betrieb informationstechnischer Systeme einschränken oder unterbinden“. Der BND soll also nicht nur Angriffe auf IT-Systeme aufdecken, sondern die Systeme der Angreifenden selbst angreifen dürfen.
Unterstützung soll der BND von „inländischen öffentlichen Stellen“ wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Das BSI soll Software-Schwachstellen und auch sogenannte Zero-Day-Schwachstellen künftig proaktiv an den Geheimdienst weitergeben. Der BND soll diese Sicherheitslücken dann für Cyberangriffe auf andere Systeme ausnutzen dürfen. Zero Day („null Tage“) bedeutet, dass Angreifende eine Schwachstelle bereits verwenden können, während die Anbieter davon nichts wissen. Das heißt, es verbleiben null Tage Zeit, um sie zu schließen.
Auch der Verfassungsschutz soll hacken dürfen. Dabei soll der Dienst Geräte manipulieren dürfen, die Daten umleiten, löschen oder Fehlinformationen verbreiten. Dieses Zurückhacken ist auch unter dem Begriff „Hackback“ bekannt, Fachleute kritisieren die Maßnahmen aus strategischen, rechtlichen und technischen Gründen.
Dienste sollen KI kaufen, nutzen, trainieren
Sowohl Verfassungsschutz als auch BND sollen dem Entwurf zufolge ausdrücklich personenbezogene Daten automatisiert auswerten dürfen. Für den BND ist das etwa im Paragrafen über die „Allgemeine Befugnis zur Weiterverarbeitung“ geregelt. Damit sind auch sogenannte KI-Systeme gemeint. Die dazu gehörige Begründung nennt Anwendungen, „welche für ihre Funktion selbstlernende Systeme verwenden und anpassungsfähig auf einen autonomen Betrieb ausgelegt sind“. Zudem soll der BND mit personenbezogenen Daten auch eigene KI-Anwendungen trainieren dürfen.
Für einige KI-Auswertungen gibt es höhere Hürden, zum Beispiel wenn der Geheimdienst „personenbezogene Vorhersagen oder Empfehlungen“ erstellt oder automatisiert „Verhaltens- und Persönlichkeitsprofile“, um das „individuelle Bedrohungspotenzial“ einer Person einzuschätzen. Diese Ergebnisse gelten dann als „Auswertungsprodukte mit erheblichem Eingriffsgewicht“. Die Hürde: Solche Vorhersagen müssten dazu dienen, eine „zumindest erhebliche Bedrohung“ aufzuklären.
Solche „erheblichen“ Bedrohungen gibt es im Aufgabenbereich des BND jedoch viele. Dazu zählen zum Beispiel organisierte Kriminalität, hybride Einflussnahme, Extremismus und dessen Unterstützung oder auch: „krisenhafte Entwicklungen im Ausland“, die theoretisch eine Auswirkung auf Deutschland haben könnten. Es ist also ein Begriff, der sich breit interpretieren lässt.
Dass automatisierte Anwendungen und KI-Systeme schnell zu Verzerrungen und falschen Ergebnissen führen können, ist dabei offenbar auch dem Innenministerium klar. Der BND dürfe „keine diskriminierenden Algorithmen nutzen oder entwickeln“, heißt es analog zu anderen Gesetzen wie dem hessischen Polizeigesetz. Aber wie soll der BND – oder irgendeine Behörde – so etwas sicherstellen? Es gehört zum Wesen vieler KI-Systeme, dass sich deren Ergebnisse nicht leicht nachvollziehen lassen. Daher soll sich der BND die Ergebnisse stichprobenartig genau anschauen, heißt es im Entwurf, und sicherstellen, dass eine Entscheidung „zur Weiterverarbeitung/Maßnahmenveranlassung auch von einem Menschen aufgrund der vorliegenden Informationen getroffen worden wäre“.
Niedrige Hürden für unsichere US-Software
Eine der Sorgen bei den jüngsten KI-Regelungen für Polizeien war, dass Systeme von US-Anbietern wie Palantir zum Einsatz kommen könnten – Stichwort: digitale Souveränität. Dem will das Innenministerium durch eine Vorzugsregel für eigene und EU-Produkte entgegenwirken. Von privaten oder öffentlichen Stellen aus anderen Staaten dürfe der BND nur Anwendungen kaufen, wenn er selbst oder andere europäische Stellen keine ebenso geeignete Anwendung haben.
Besonders eng, das wird aus der Begründung des Gesetzes deutlich, will man es hier aber nicht sehen. Wenn ein Produkt einmal angeschafft ist, soll es auch „beliebig lange“ genutzt werden dürfen. Und der BND soll auch nicht jedes Mal prüfen müssen, ob es auch eine europäische Lösung gibt. Es reiche, wenn er alle paar Jahre – die Begründung nennt drei bis fünf – schaut, „welche kommerziell verfügbaren Anwendungen für seine Tätigkeit von Relevanz sein könnten und ob es für diese Anwendungen europäische/deutsche Anbieter gibt“. Für den Softwaremarkt ist das eine sehr lange Zeit.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Neben dem BND soll auch der Verfassungsschutz eine KI-Erlaubnis bekommen. Das steht in der Norm über „Qualifizierte Auswertung“. Die Rede ist von einer „automatisierten Anwendung, die durch Verknüpfung neue Erkenntnisse über die Persönlichkeit einer Person oder ihre Beziehungen zu anderen Personen oder zu Objekten gewinnt“.
Gesichter suchen, öffentliche Kameras anzapfen
Neben ausdrücklichen KI-Befugnissen geht es im Gesetzentwurf auch um biometrische Daten. Der Verfassungsschutz soll biometrische Merkmale mit allem abgleichen dürfen, worauf er „zur Erfüllung seiner Aufgaben zugreifen darf“, wenn „tatsächliche Anhaltspunkte“ vorliegen, dass das für seine Aufgaben erforderlich ist. Das heißt, er soll es eigentlich immer machen dürfen, wenn es einen Grund dafür gibt, „also nicht lediglich auf Vorrat ins Blaue“.
In der Begründung zum Entwurf heißt es weiter, dass ein Abgleich mit Daten erfolgen soll, die der Verfassungsschutz selbst gespeichert hat – oder mit für ihn zugänglichen Daten von Verfassungsschutzbehörden der Länder.
Biometrische Abgleiche soll die Behörde auch nutzen dürfen. Damit soll sie Videoüberwachung live auswerten dürfen und prüfen, ob eine Person im Visier der Behörde an einem bestimmten Ort auftaucht. Für den Zugriff auf entsprechende Kamera soll der Verfassungsschutz Betreiber verpflichten dürfen, Aufnahmen herauszugeben, live auszuleiten oder gleich die Videoüberwachungsanlagen mit zu nutzen – zumindest wenn es um Überwachung von öffentlich zugänglichen Räumen geht. Das heißt, der Verfassungsschutz dürfte in Echtzeit Kameras am Bahnhof oder im Einkaufszentrum anzapfen.
Auch der BND soll biometrische Daten auswerten dürfen. Ein Vergleich mit öffentlich zugänglichen Daten aus dem Internet soll ausdrücklich erlaubt sein. Das Verständnis von öffentlicher Zugänglichkeit ist hier allerdings etwas anders gefasst, als man es erwarten könnte. Denn dazu zählen für das BMI „alle Bereiche des Internets, auch solche, die mittels einer vorgelagerten Zugangshürde geschützt sind“. Erst wenn „Schutzmechanismen über rein formale Hürden hinausgehen“ werde dann der Zugriff zum Einsatz eines „nachrichtendienstlichen Mittels“, für das andere Hürden gelten.
Um biometrische Daten abzugleichen, müsste der BND laut Entwurf keine eigenen Mittel nutzen – ein Abgleich dürfte auch über öffentliche oder private Stellen im Ausland erfolgen, wenn er selbst oder andere deutsche oder europäische Stellen das nicht können. Das öffnet die Tore dafür, dass der BND am Ende Anwendungen nutzt, die es nach europäischen Datenschutzrechten nicht geben dürfte. Der Geheimdienst könnte bei außereuropäischen Partnern um Hilfe bitten, für die schwächere Regeln gelten.
Geheimdienst-Kontrolle soll schlanker werden
Für die Kontrolle des Inlands- und Auslandsgeheimdienstes sind bislang unter anderem die G10-Kommission, das Parlamentarische Kontrollgremium und der Unabhängige Kontrollrat (UKRat) zuständig. Die G‑10-Kommission soll dem Entwurf zufolge jedoch wegfallen. Das G‑10-Gesetz regelt derzeit, unter welchen Voraussetzungen in Deutschland die Geheimdienste von Bund und Ländern in das durch Artikel 10 des Grundgesetzes geschützte Brief‑, Post- und Fernmeldegeheimnis eingreifen dürfen und wie derartige Eingriffe kontrolliert werden.
Künftig soll mehr Kontrolle im UKRat gebündelt werden, der neue Aufgaben bekommt und das Parlamentarische Kontrollgremium unterstützen soll. Bislang ist der UKRat als oberste Bundesbehörde nur für den Auslandsgeheimdienst BND zuständig. Laut Gesetzentwurf soll er künftig auch den Inlandsgeheimdienst kontrollieren.
Ähnlich wie ein Gericht soll der UKRat besonders eingriffsintensive Einzelmaßnahmen beider Geheimdienste vorab genehmigen. Außerdem soll er die Dienste administrativ kontrollieren, etwa wie sie personenbezogene Daten verarbeiten.
Mehr Befugnisse für den UKRat würden jedoch weniger Befugnisse für die Bundesdatenschutzbeauftragte bedeuten. Eine solche Schwächung der für Geheimdienste mitunter lästigen Behörde hatte die aus dem Amt scheidende Louisa Specht-Riemenschneider bereits befürchtet. Ihr Nachfolger Moritz Hennemann dürfte demnach nur noch weniger sensible Bereiche beaufsichtigen, etwa die Verarbeitung personenbezogener Daten bei der allgemeinen Verwaltung des BND oder bei Aus- und Fortbildungen.
Noch weniger Transparenz als zuvor
Einige neue Regeln sollen die Informationsfreiheit weiter einschränken. Schon heute sind die Geheimdienste vom Informationsfreiheitsgesetz ausgenommen und müssen keine Dokumente an Bürger:innen freigeben – außer es geht um Umweltinformationen.
Künftig sollen für Bürger:innen selbst solche Informationen über die drei Geheimdienste des Bundes tabu sein, die anderen staatlichen Stellen vorliegen. Insbesondere soll das für den Unabhängigen Kontrollrat gelten. In der Begründung des Entwurfs heißt es: „Alle Tätigkeiten der Nachrichtendienste sollen nach dem Willen des Gesetzgebers vom Anspruch auf Informationszugang ausgeschlossen sein.“
Das hätte weitreichende Folgen. Nicht einmal eine Statistik über künftige Agent:innen in Ausbildung soll es noch geben. Eine Ausnahme im Gesetz für Hochschulstatistik soll verhindern, dass feindliche Akteure erfahren, wie viel Spionage-Personal Deutschland in Zukunft haben könnte. Während ihre Macht enorm wächst, sollen Deutschlands Geheimdienste also noch intransparenter werden.
Datenschutz & Sicherheit
Lückenflut durch KI-Funde – Software-Hersteller schrauben an Patch-Strategien
Adobe, Mozilla und Oracle haben es schon getan, Google hat es für Chrome ab September angekündigt. Nun zieht auch Cisco nach: Ab diesem Monat erscheinen die Sicherheitsupdates des Herstellers in kürzeren, konkret zweiwöchentlichen Intervallen. Das kündigt Cisco in einem Blogeintrag an.
Weiterlesen nach der Anzeige
Mit verkürzten Updatezyklen und verschiedenen Anpassungen ihres Umgangs mit Schwachstellen reagieren Hersteller auf die hereinbrechende „Vulnocalypse“. Eine Flut von Sicherheitslücken, die auf den sich rasant verbessernden Fähigkeiten von großen Sprachmodellen (Large Language Models, LLMs) zur eigenständigen Lückensuche fußt.
Deren bereits deutlich spürbare Auswirkungen zeigte etwa Microsofts Rekord-Patchday im Juni, im Zuge dessen das Unternehmen über 200 Sicherheitslücken schloss – viele davon entdeckt von KI-Agenten. Im Juni des Vorjahres waren es noch um die 60. Ein anderes Beispiel: Die Firefox-Patch-Bilanz belief sich dank Anthropics KI-Modell „Mythos“ im April auf 423 Lücken gegenüber 76 Lücken im März. In der Konsequenz veröffentlicht Mozilla jetzt Sicherheitsupdates im Wochentakt.
Beim Chrome-Browser hat die Dichte gemeldeter Lücken in ähnlicher Weise zugenommen – ab Version 153 erhöht deshalb auch Google das Aktualisierungstempo.
Vorankündigungen und Update-Priorisierung
Bereitgestellte Patches nützen logischerweise nur dann, wenn sie von Nutzern beziehungsweise IT-Verantwortlichen auch eingespielt werden. Damit die Patch-Flut nicht ebenso unkontrollierbar wird wie die Lückenflut, haben sich die Hersteller unterschiedliche Strategien überlegt.
So veröffentlicht beispielweise Cisco künftig spezielle „Informational“ Advisories, die Kunden bereits eine Woche vor dem nächsten Update-Release darüber informieren, für welche Plattformen Aktualisierungen geplant sind – und ob es überhaupt welche geben wird. Das erste dieser Advisories ist als Vorankündigung für den 15. Juli bereits verfügbar.
Weiterlesen nach der Anzeige
Bei der Update-Bereitstellung will das Unternehmen auf Basis eines „risikobasierten Schwachstellenveröffentlichungs-Modells“ kritische Lücken stärker priorisieren. Diesen Ansatz hat auch Oracle gewählt: Seit Mai veröffentlicht das Unternehmen laut einer entsprechenden Ankündigung monatliche „Critical Security Patch Updates“ (CSPUs), die sich auf „zielgerichtete Fixes für kritische Sicherheitsprobleme“ konzentrieren. Kunden hätten somit die Möglichkeit, solche Probleme sofort anzugehen, ohne auf das reguläre quartalsweise erscheinende Update-Release warten zu müssen.
Der Zeitplan wird enger
Zeitersparnis als positiven Effekt häufigerer Veröffentlichungen betont auch Adobe: „Sicherheitsupdates erreichen Sie schneller, auf Basis eines vorhersehbaren Zyklus, mit dem Sie planen können“, schreibt das Unternehmen in einem Blogeintrag zu seinem neu eingeführten zweiwöchentlichen Update-Zyklus.
Das klingt erst einmal positiv – und kann doch nicht darüber hinwegtäuschen, dass die aufziehende „Vulnocalypse“ Admins letztlich insgesamt mehr Arbeit beschert und ein ausgefeiltes Update-Management erforderlich macht.
Alles im Trockenen mit „Umbrella“-CVEs?
Spannend wird, ob eine weitere Neuerung bei der Update-Bewältigung eher hilfreich oder hinderlich sein wird: Cisco will Schwachstellen mit übereinstimmenden Charakteristika gemäß Common Weakness Enumeration (CWE) künftig gruppieren, um Zeit zu sparen.
Statt eigener CVE-IDS bekommen sie dann gemeinsame „Schirm“-CVE-IDs mit einem CVSS-Score auf Basis der gefährlichsten Schwachstelle. Ausnahmen will Cisco nur in dringenden Fällen machen – etwa dann, wenn aktive Exploits gesichtet wurden oder bestimmte Aktionen seitens der IT-Verteidiger erforderlich sind.
Dies sei die Richtung, in die sich die Industrie angesichts der neuen Bedrohungslandschaft bewegen müsse, schreibt das Unternehmen. Die praktischen Auswirkungen insbesondere im Hinblick auf Transparenz und Zuverlässigkeit künftig vergebener IDs und Scores bleiben abzuwarten.
(ovw)
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Künstliche Intelligenzvor 3 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Apps & Mobile Entwicklungvor 3 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
UX/UI & Webdesignvor 4 TagenRegional & mit Gefühl: Identity für Klimafonds Baden-Württemberg › PAGE online
-
Künstliche Intelligenzvor 3 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
-
Entwicklung & Codevor 2 MonatenKommentar: Das Ende der SaaS-Gelddruckmaschine
