„Du stinkst“, „du bist hässlich“, „geh sterben“ – auf dem Schulhof können Sätze fallen, die viele Erwachsene selten hören. Häufen sich solche Dinge gegenüber einer bestimmten Person über längere Zeit, spricht man von Mobbing. Inzwischen passiert das auch online.

Gegen dieses sogenannte Cybermobbing will die EU-Kommission mit einem neuen Aktionsplan vorgehen. Ihre Ankündigung hat sie mit dem Bild aus einer Fotodatenbank illustriert. Zu sehen ist eine sonderbare Computer-Tastatur. Statt einer Umschalttaste hat sie eine feuerrote Taste mit der Aufschrift „STOP Cyberbullying“. Ein Finger bewegt sich vom rechten Bildrand auf diese Taste zu. Das erweckt den Eindruck, man könne Cybermobbing quasi per Knopfdruck beenden.

Was wir auf dem Bild nicht sehen: Menschen. Etwa einen Teenager, der sich einer Pädagogin anvertraut oder zwei Freund*innen, die sich gegenseitig Trost spenden. Es könnte eine Nebensache sein, doch in diesem Fall ist das Motiv mit der fiktiven Tastatur ein Sinnbild dafür, wie die EU-Kommission das Thema vorwiegend angeht: technisch und distanziert.

Die EU-Kommission, so geht es aus dem 18-seitigen Aktionsplan hervor, möchte Cybermobbing primär als ein Problem von Plattformregulierung und digitaler Infrastruktur bearbeiten. Die Beziehungen zwischen Kindern, Jugendlichen und Erwachsenen spielen eine Nebenrolle. Zeit und Vertrauen – die für gute Fürsorge oftmals entscheidenden knappen Ressourcen – stehen nicht im Zentrum. Das zeigt ein näherer Blick auf die drei Säulen des Aktionsplans.

Erste Säule: Mit Plattformregulierung gegen Cybermobbing

In der ersten von drei Säulen des Aktionsplans gegen Cybermobbing zitiert die EU-Kommission einschlägige Digitalgesetze, allen voran das Gesetz über digitale Dienste (DSA). Es ist das wohl wichtigste Regelwerk für Plattformen, auf denen auch Minderjährige Inhalte teilen können, etwa Instagram, TikTok, Snapchat.

„Soziale Medien sind der primäre Kanal, über den Kinder und Heranwachsende Cybermobbing ausgesetzt werden“, heißt es im Aktionsplan. Folglich will die EU-Kommission bei der bevorstehenden Prüfung der DSA-Regeln für Minderjährige den „Fokus“ auf Cybermobbing und Meldemechanismen stärken. Zudem gebe es bald Leitlinien für vertrauensvolle Hinweisgeber*innen („Trusted Flaggers“). Das sind zum Beispiel NGOs, die mit besonderer Expertise Inhalte auf Plattformen recherchieren und melden.

Dabei fällt unter den Tisch, dass Inhalte auf Plattformen nur ein Symptom von Mobbing unter Kindern und Jugendlichen sind. Primär geht es beim Mobbing allerdings nicht um regulierbaren „Content“, sondern um zwischenmenschliche Beziehungen.

Mehr als 80 Prozent der Fälle von Cybermobbing geschehen im schulischen Umfeld, das zeigt eine deutsche Studie des „Bündnis gegen Cybermobbing“ aus dem Jahr 2024. Dafür haben rund 4.200 Schüler*innen von sieben bis 20 Jahren, 1.000 Eltern und 630 Lehrer*innen ihre Erfahrungen geschildert. Demnach kennen zwei Drittel der Betroffenen die Täter*innen persönlich. Offline und online gehören beim Mobbing eng zusammen.

Eine ebenso 2024 veröffentlichte Umfrage des Deutschen Jugendinstituts (DJI) macht anschaulich, welche Form Cybermobbing häufig annimmt. Demnach gibt es Kinder und Jugendliche, die andere online bedrohen oder beleidigen, deren Fotos verbreiten, sie aus Online-Gruppen ausschließen – oder neue Gruppen gründen, um sich dort über sie lustig zu machen.

Wo genau Cybermobbing mehrheitlich geschieht, hat wiederum das Sinus-Institut mit der Krankenkasse Barmer näher erforscht. Das Ergebnis: „Eindeutiger Spitzenreiter unter den Cybermobbing-Kanälen ist weiterhin unangefochten WhatsApp.“ Diesen Messenger nannte demnach jede*r zweite Befragte. Das dürfte damit zusammenhängen, dass WhatsApp für viele die Plattform schlechthin für Klassenchats ist. Wer nachts im Klassenchat gemobbt wird, sitzt am nächsten Morgen wieder mit den Bullys zusammen im Klassenzimmer.

Nachrichten auf WhatsApp sind allerdings Ende-zu-Ende-verschlüsselt und deshalb privat. Das heißt, ein großer Teil von Cybermobbing bietet kaum Anknüpfungspunkte für Plattformregulierung. Für Betroffene steht vielmehr im Mittelpunkt, wie Konflikte in der eigenen Schulklasse ausgetragen werden, wie Lehrer*innen und Aufsichtspersonen helfen können.

Zweite Säule: Mit Info-Material gegen Cybermobbing

Die zweite Säule der EU-Kommission dreht sich um Prävention und Aufklärung. Wie die Kommission betont, müsse Prävention alle Akteur*innen einbeziehen – Gleichaltrige, Täter*innen, Eltern, Betreuer*innen, Lehrkräfte, „die gesamte Schulgemeinschaft“ und die Zivilgesellschaft.

Laut Aktionsplan will die EU-Kommission diesen Akteur*innen vor allem eines bieten: Infomaterial. Es geht primär um Leitlinien, Ressourcen und Werkzeugkästen, um Digitalkompetenz und Bildung.

Kaum eine Rolle spielt im Aktionsplan, dass es beispielsweise in deutschen Schulen vor allem an Zeit und Personal fehlt. Zuletzt hatte etwa die Leopoldina dieses Thema behandelt. In ihrem Diskussionspapier schreiben die Forschenden der Wissenschaftsgesellschaft darüber, wie sich soziale Medien auf die psychische Gesundheit von Kindern und Jugendlichen auswirken. Demnach gebe es in Deutschland keinen Mangel an Infomaterial. „Häufig scheitert schlicht die Umsetzung in den Schulen.“ Die Gründe dafür seien vielfältig. „Es fehlt unter anderem an Fachpersonal, Zeit“ oder „Fortbildungsmöglichkeiten für Lehrkräfte“, so die Leopoldina.

Info-Kampagnen kosten vergleichsweise wenig. Teuer ist es dagegen, Pädagog*innen einzustellen, sie auf Fortbildungen zu schicken und ihnen die Zeit einzuräumen, ihre Kenntnisse im schulischen Alltag anzuwenden. Die Zuständigkeit dafür liegt in den Mitgliedstaaten, in Deutschland bei den Bundesländern.

Spielräume hat die EU dennoch. Darauf geht der Aktionsplan zumindest in Ansätzen ein. So nennt die Kommission etwa das Programm Erasmus+. Es soll „allgemeine und berufliche Bildung, Jugend und Sport“ fördern. Dafür müssen Organisationen Anträge stellen. Bei deren Prüfung will die EU verstärkt auf Projekte für gutes Schulklima achten. Der Einfluss auf Cybermobbing geschieht also eher indirekt. Der Aktionsplan macht keine direkten finanziellen Zusagen und nennt keine messbaren Zielgrößen.

Dritte Säule: Mit einer App gegen Cybermobbing

Die dritte und letzte Säule aus dem Aktionsplan hat Nachrichtenmedien offenbar am meisten interessiert: „EU will mit Melde-App gegen Cybermobbing vorgehen“, titelte zum Beispiel tagesschau.de.

In einer separaten Ankündigung schreibt die EU-Kommission von einer „Online-Sicherheits-App“, mit der Opfer „zurückschlagen“ können, auf Englisch: „fight back“. Zumindest auf dem dazugehörigen Symbolbild sind Menschen zu sehen: drei Jungs – möglicherweise bereit „zurückzuschlagen“.

Einen Prototypen für die App will die EU-Kommission laut Aktionsplan selbst vorlegen. Auf dessen Basis könnten die Mitgliedstaaten ab dem dritten Quartal dieses Jahres eigene Versionen entwickeln.

Was die Online-Safety-App genau können soll, beschreibt die Kommission eher knapp. Drei Schwerpunkte lassen sich herauslesen.

1. Helfen. Demnach könnte die App Anlaufstellen und Beratungsangebote für Betroffene bündeln. Die Rede ist etwa von Hilfs-Hotlines und Kinderschutz. Es geht also um fachliche und emotionale Begleitung. Vorbild sei die französische App „3018“ der NGO E-Enfance. Im Google Play Store wurde die App nur rund 10.000 Mal heruntergeladen. Die EU-Kommission bezeichnet „3018“ als „erfolgreich“.
2. Löschen. Die Online-Safety-App könne laut Aktionsplan per Programmierschnittstelle einen direkten Draht zu Online-Plattformen bekommen. So könnten Nutzer*innen über die App deren Inhalte melden. Grundlage ist der DSA, der Plattformen dazu verpflichtet, solche Meldungen zeitnah zu prüfen. Allerdings müssen Plattformen laut DSA auch selbst zugängliche und benutzerfreundliche Meldeverfahren einrichten. Das wirft die Frage auf, welchen Sinn der Umweg über eine separate App hätte.
3. Anzeigen. Offenbar stellt sich die EU-Kommission vor, dass Minderjährige über die App auch die Polizei einschalten können. Im Aktionsplan ist das allerdings noch nicht kindgerecht formuliert. Die Rede ist von „maßgeschneiderter Unterstützung durch koordinierte Überweisung an zum Beispiel Strafverfolgungsbehörden“. Die App soll auch elektronische Beweise sicher „speichern und übermitteln“ können.

Je nach Ausgestaltung könnte die „Online-Safety-App“ also sehr unterschiedliche Richtungen einschlagen. Laut EU-Kommission hänge der Erfolg der App davon ab, ob Mitgliedstaaten sie zugänglich machen und unterstützen. Der Erfolg dürfte allerdings vielmehr davon abhängen, ob Kinder und Jugendliche die App überhaupt benutzen möchten.

In Deutschland gibt es bereits Anlaufstellen für hilfesuchende Kinder und Jugendliche, etwa die Nummer gegen Kummer oder Juuport. Beides sind gemeinnützige Vereine. Arbeit im sozialen Bereich ist oft ehrenamtlich oder prekär. Anfang 2025 hat die Stadt Berlin der „Nummer gegen Kummer“ Mittel gestrichen. Betroffen sind demnach 100 der insgesamt 3.800 ehrenamtlichen Mitarbeiter*innen in Deutschland.

Geht es nach dem Aktionsplan der EU-Kommission, bekommen Hilfsangebote wie die „Nummer gegen Kummer“ zwar keine Aussicht auf bessere Finanzierung. Aber sie sollen sich wohl um die Integration in eine Melde-App kümmern – zusammen mit unter anderem TikTok, Facebook, Instagram und Polizeibehörden.

Seit 2018 arbeitet das Bundesamt für Migration und Flüchtlinge an einem Blockchain-System, das mittlerweile den blumigen Namen FLORA trägt. FLORA, das steht für „Föderale Blockchain Infrastruktur Asyl“. Ziel des Assistenzsystems ist vor allem, verschiedene beteiligte Behörden bei „Registrierung, Aktenanlage und Anhörung“ zu unterstützen. Über das System sollen sie den Status von Asylverfahren abrufen können – zumindest in der Zeit zwischen der Registrierung etwa bei einer Ausländerbehörde und der Anhörung durch das BAMF.

2021 startete der Pilotbetrieb für FLORA, ab 2022 wurde das System produktiv genutzt – zuerst in Sachsen und Brandenburg. Mittlerweile kommt das Blockchain-Projekt zusätzlich in Rheinland-Pfalz, Baden-Württemberg, Niedersachsen, Mecklenburg-Vorpommern, Hessen und Thüringen zum Einsatz. „Derzeit werden ca. 47 Prozent der bundesweit bearbeiteten Asylverfahren mit Unterstützung durch FLORA durchgeführt“, so eine Sprecherin des BAMF gegenüber netzpolitik.org. Bayern, Nordrhein-Westfalen, Berlin und Sachsen-Anhalt sollen folgen, bis Ende 2027 soll die Anbindung der interessierten Länder abgeschlossen sein.

Ausbau der Funktionen liegt auf Eis

Eigentlich sollte die Blockchain-Lösung auf Basis des Open-Source-Frameworks Hyperledger Fabric nicht nur räumlich, sondern auch funktional noch weiter ausgebaut werden: beispielsweise auf die Verteilung von Geflüchteten auf Landkreise und Kommunen oder EU-weit bei der Koordination, welcher Mitgliedstaat für ein Asylverfahren zuständig ist. Doch diese Pläne, so das BAMF, liegen vorerst auf Eis. Oder wie die Behörde es ausdrückt: wurden „zurückgestellt“.

Grund dafür sei, dass die Priorität auf einem bundesweiten Roll-out des Systems liege. „Maßgeblich für diese Entscheidung“, so das BAMF, „waren die umfangreichen Haushaltskürzungen zu Beginn des Jahres 2024“. Damals fehlten im Kernhaushalt rund 17 Milliarden Euro, die von der damaligen Ampel-Regierung an verschiedenen Stellen gekürzt wurden. Dem fiel auch die funktionale Ausweitung des Blockchain-Projekts zum Opfer.

FLORA indes hat sein ganz zu Beginn geplantes Budget schon seit langem gesprengt. 2019, nach der Machbarkeitsstudie, waren für das Projekt „Verwaltung von Asylprozessen in der Blockchain“ noch insgesamt 4,53 Millionen Euro veranschlagt gewesen. Mittlerweile liegen die Gesamtkosten für Entwicklung und Betrieb von FLORA bis Ende 2025 bei 25.710.867,50 Euro, das ist mehr als das Fünffache. Die ursprünglich geplanten Beträge waren schon 2020 erreicht, noch bevor es einen ersten Pilotbetrieb gab.

Der Aufwand, eine datenschutzkonforme, Blockchain-basierte Lösung für die Koordinierung von Prozessen zu konzipieren, die jede Menge personenbezogener Daten involvieren, war hoch. Juristen und Informatiker suchten nach Wegen, das zu realisieren. Sie erstellten Machbarkeitsstudien und Gutachten und am Ende lautete das Fazit – vereinfacht gesagt: Das ist eine Menge Aufwand, aber möglich. Dass es geht, hat das BAMF mittlerweile gezeigt. Dass das Projekt entsprechend teuer geworden ist, auch.

Die Bundesländer als „Kunden“

Die Kosten würden sich, so das BAMF, aus dem Roll-out und der Anbindung von Bundesländern ergeben. Außerdem habe es 2024 eine Neuentwicklung der FLORA-Cloudversion gegeben. In einem wissenschaftlichen Bericht von Forschenden der Universitäten von Luxembourg und Arkansas klingt an, was wohl den größeren Aufwand verursacht hat: Das BAMF hatte zu Beginn auf dezentrales Hosting von FLORA gesetzt und mehr Verantwortung bei den Bundesländern gesehen. Die Forschenden schreiben: „Diese Bemühungen gerieten jedoch ins Stocken, als die Bundesländer eine schnelle Einführung des FLORA-Systems forderten. Daraufhin beschloss das FLORA-Team, seinen (De-)Zentralisierungskompromiss weiter zu formalisieren.“

Die Länder wollten also offenbar nicht alles selbst machen, sondern am liebsten eine fertige Lösung nach ihren Anforderungen nutzen, schlüsselfertig und ohne Zusatzaufwand. Das BAMF übernahm so immer mehr Verantwortung für die FLORA-Infrastruktur, die Bundesländer wurden immer mehr zu „Kunden“ des Bundesamts – die Anpassungen bestellten, um ihre eigenen Prozesse abzubilden.

Zahlen müssen die Bundesländer dafür praktischerweise nicht. Das BAMF schreibt: „Hier entstehen für die Bundesländer keine eigenen Kosten, da das BAMF die Anwendung an die Anforderungen des einzelnen Bundeslands anpasst und die benötigte Infrastruktur zur Nutzung bereitstellt.“

Weitere Kosten, so die Sprecherin des BAMF, sind angefallen, weil die Reform des europäischen Asylsystems (GEAS) Änderungen im System erforderlich macht. Derartige Anpassungen werden in diesem Jahr weiterhin erforderlich sein, denn die nationale Umsetzung von GEAS in Deutschland ist längst nicht abgeschlossen. Obwohl die EU-Regeln ab Juni 2026 in allen EU-Staaten anwendbar sein sollen, hat Deutschland bisher seine Anpassungsgesetze nicht verabschiedet, sie liegen weiterhin zur Beratung im Bundestag.

Und bevor die genauen nationalen Regeln nicht klar sind, lassen sich die IT-Systeme nicht so einfach aktualisieren. Die Zeit wird knapp, es bleiben nur noch vier Monate. Die Bundesregierung sieht „eine erhebliche Herausforderung“ darin, die GEAS-Regelungen rechtzeitig umzusetzen, schrieb sie im Januar – was längst nicht nur FLORA betrifft, sondern eine Vielzahl von IT-Systemen von BAMF und anderen Behörden.

Interesse eingeschlafen

Das BAMF will unterdessen FLORA „zur Unterstützung des Fristenmanagements“ weiterentwickeln. Durch GEAS würden sich Bearbeitungsfristen für das BAMF „zum Teil deutlich verkürzen“. Wie lange die Fristen etwa zur Entscheidung von Asylanträgen letztlich in Deutschland sein werden, ist noch nicht festgelegt. Die EU-Regeln geben den Mitgliedstaaten einen Spielraum, die Details müssen in einem nationalen Gesetz definiert werden.

Auf europäischer Ebene, so wirkt es, ist das Interesse an der Asyl-Blockchain mittlerweile eingeschlafen. „Die Kontaktaufnahme mit anderen EU-Staaten wurde im Zuge der Neuausrichtung des Projekts zu Beginn 2024 zurückpriorisiert“, so das BAMF. Aktuell seien keine weiteren Aktivitäten bekannt oder Gespräche geplant“. Ein gemeinsames Projekt mit Frankreich, eine Blockchain-basierte Lösung für die Zuständigkeitsbestimmung von EU-Ländern im bisherigen Dublin-Verfahren zu nutzen, wurde eingestellt, „da das EU-Partnerland das Projekt nicht weiterbetrieben hat“.

Während der allgemeine Blockchain-Hype also deutlich abgeflacht ist, arbeitet das BAMF unbeirrt weiter an der Technologie. Und wird, wie es aussieht, auch in den nächsten Jahren jede Menge Support für die involvierten Bundesländer-Kunden leisten müssen.

Der IT-Security-Podcast reicht ein paar Themen außer der Reihe nach, für die in der vergangenen Jubiläumsfolge einfach kein Platz mehr war. Los geht es mit einer Liste, in der Google öffentlich notiert, welche Certificate-Transparency-Logs der Browser Chrome nutzt. Eine alte Version dieser Liste würde Google gerne abschalten – doch jedes Mal, wenn sie das versuchen, fallen erschreckend viele Apps von Drittanbietern aus. Die Hosts diskutieren, wie das kommt, was für fast schon kafkaeske Erfahrungen das Chrome-Team machen musste und welche neuen Ideen Google nun helfen sollen, die Liste abzuschalten – eines Tages, hoffentlich, jedenfalls nicht vor Juli 2027 …

Im weiteren Verlauf der Folge geht es um die Ransomware-Gang AlphV, die ein Comeback feiern will, und dafür auf die Blockchain setzt. Technisch keine dumme Idee, wenn auch keine Verwendung, die als werbewirksames Beispiel für den Wert von Blockchains taugt. Etwas beunruhigend finden die Hosts, dass AlphV unter anderem deshalb auf Blockchains setzt, weil sie dem Tor-Netzwerk nicht mehr trauen.

Ebenfalls beunruhigend sind die Erfahrungen des curl-Projekts mit Bug-Bounties: Getrieben von der Hoffnung auf diese Belohnung, überschwemmten angebliche Bug-Finder das Projekt mit KI-generiertem Nonsens. Der behauptete, höchst kritische Fehler zu melden, war in Wahrheit aber zusammenfantasierter Müll. All diese Meldungen zu entlarven, kostete so viel Zeit, dass curl sein Bug-Bounty-Programm eingestellt hat. Schlimmer wäre eigentlich nur, in KI-generierten Meldungen zu versinken, die tatsächlich kritische Lücken beschreiben – auch dieses Szenario sehen erste Entwickler am Horizont.

Zum Schluss müssen die Hosts noch vor einer höchst gefährlichen Lücke warnen, die viele telnet-Betreiber betrifft – also hoffentlich, hoffentlich, fast niemanden im Podcast-Publikum. Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(syt)