Liebe Leser*innen,

Bargeld ist nicht so anonym wie man denkt. Sicherheitsbehörden aus aller Welt verfolgen bei Ermittlungen den Weg von Geldscheinen und Unternehmen der Bargeldindustrie tracken Scheine, um sie effizienter zu handhaben.

Diese erstaunliche Geschichte war die umfassendste Recherche, der ich je nachgegangen bin. Ich habe dafür ein Dutzend Patente, rund 50 weitere PDFs und unzählige Websites durchgearbeitet, je rund 250 E-Mails geschrieben und empfangen, mir Vorträge von Lobbyist*innen angehört, eine IFG-Anfrage gestellt und die Antwort auf eine parlamentarische Anfrage ausgewertet.

Gleichzeitig war es auch die zäheste Recherche meines Lebens. Bundesbank und Sicherheitsbehörden haben sehr viel dafür getan, möglichst wenig sagen zu müssen.

Nicht verwunderlich. Denn das Thema hat das Zeug dazu, die Leute auf die Barrikaden zu bringen. Viele Deutsche lieben ihr Bargeld. Und dass dieses nun immer weiter deanonymisiert wird, weil an unzähligen Punkten die Seriennummern von Geldscheinen erfasst und diese Informationen immer weiter vernetzt werden, war bislang nicht wirklich bekannt.

Ich habe die Geschichte auf zwei Stücke aufgeteilt. Im ersten beschreibe ich, wie Sicherheitsbehörden Banknoten-Seriennummern für Ermittlungen nutzen und wie deren Erfassung immer enger vernetzt wird. Im zweiten zeige ich, welche Akteure in Deutschland Seriennummern erfassen (können) und wie bedrohlich deren potenzielle Vernetzung für die Anonymität des Bargelds ist.

Zu verdanken habe ich das Thema Marc Lagies. Er hat sich überlegt: Banknoten haben Seriennummern und moderne Automaten können diese Nummern lesen – ist es dann nicht auch möglich, den Weg einzelner Banknoten relativ eng nachzuvollziehen? Diese Frage hat er an netzpolitik.org geschickt. Und sich daraufhin sogar noch tiefer als ich in das Thema eingearbeitet. Ohne ihn gäbe es diese Geschichte nicht. Vielen Dank Marc.

Und euch viel Spaß beim Lesen!

Martin

Die Bundesregierung will die NIS2-Richtlinie der EU für den verpflichtenden Schutz wichtiger Anlagen und Unternehmen vor Cyberangriffen in Deutschland bis Anfang 2026 gesetzlich verankern. „Das Bundesinnenministerium treibt dieses Thema im Moment mit Hochdruck voran“, sagte die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, der Deutschen Presse-Agentur. „Ich habe die Hoffnung, dass wir es schaffen, dass es Anfang 2026 in Kraft treten kann.“

Zu dem Entwurf, der unter anderem die Pflicht zur Risikoanalyse und zur Meldung von Sicherheitsvorfällen bestimmt, wurden laut Innenministerium Anfang Juli die Länder und betroffene Verbände angehört. „Wichtig ist, dass die Unternehmen und Institutionen den Startschuss hören“, sagt die BSI-Chefin.

Schutz vor Erpressern und Sabotage

Mit der Umsetzung der europäischen Richtlinie soll mehr Cybersicherheit von Unternehmen und Institutionen geschaffen werden. Als wichtige Einrichtung im Sinne des Gesetzes gelten unter anderem größere Unternehmen der Sektoren Energie, Verkehr, Trinkwasser, Lebensmittelproduktion, Abwasser und Telekommunikation. Die Idee dahinter: Wenn sie nicht mehr arbeitsfähig wären – etwa weil ein Hacker ihre Daten verschlüsselt oder den Zugriff darauf blockiert hat – hätte das erhebliche Auswirkungen auf die Bevölkerung.

Die Pflicht zur Umsetzung bestimmter Sicherheitsmaßnahmen zur Abwehr und Bewältigung von Cyberangriffen soll künftig schätzungsweise rund 29.000 Unternehmen betreffen und damit deutlich mehr als bisher. Aktuell betreut das BSI rund 4.500 Betreiber kritischer Infrastruktur, die bestimmte Standards in Sachen Cybersicherheit erfüllen müssen. Seit ungefähr vier Monaten ist die NIS-2-Betroffenheitsprüfung des BSI online. Damit kann jeder herausfinden, ob die geplanten strengeren Regeln für ihn gelten oder nicht. Der Test wurde laut BSI schon mehr als 200.000 Mal genutzt. Plattner hat dennoch den Eindruck: „Die Anforderungen, die auf die betroffenen Unternehmen und Einrichtungen zukommen, haben viele derjenigen, die es angeht, immer noch nicht richtig auf dem Schirm.“

Umsetzungsfrist lief im Oktober ab

Die Frist für die NIS-2-Richtlinie ist am 17. Oktober 2024 abgelaufen. Bis zu diesem Datum hätten alle EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen müssen. Deutschland und zahlreiche andere EU-Staaten haben die Frist nicht eingehalten. Die Ampel-Koalition hatte im Juli 2024 im Kabinett einen entsprechenden Gesetzentwurf beschlossen. Nach dem Auseinanderbrechen der Koalition von SPD, Grünen und FDP fand sich dafür jedoch keine Mehrheit mehr im Bundestag.

„Dadurch, dass wir es in der letzten Legislaturperiode nicht mehr geschafft haben, ist da jetzt wirklich Tempo gefordert“, mahnt die BSI-Präsidentin. Aus ihrer Sicht sei es daher besser, die Richtlinie rasch umzusetzen und später gegebenenfalls noch einmal nachzubessern. Denn deutsche Unternehmen, Behörden, Forschungsinstitute und auch Einrichtungen in der Politik würden auf einem relativ hohen Niveau dauerhaft angegriffen und das Gesetz werde dafür sorgen, das Risiko zu reduzieren, dass diese Angriffe erfolgreich sind.

Kriminelle und politische Akteure

Aktuell beobachtet das BSI nach eigenen Angaben viele Lieferketten-Angriffe. Dabei geht es etwa um Ingenieursbüros oder IT-Firmen, bei denen sich hinterher oft herausstellt, dass nicht der Dienstleister das eigentliche Angriffsziel war, sondern Firmen oder Institutionen, die ihre Kunden sind. „Das können auch Behörden oder Institutionen aus dem politischen Raum sein“, sagt Plattner. Manchmal sei auch nicht ganz klar, ob es um eine rein kriminelle Operation geht oder womöglich auch ein staatlicher Akteur im Hintergrund eine Rolle spielt. In einigen Fällen sei beides relevant. „Es gibt da unheilige Allianzen zwischen finanziell motivierten und politischen Akteuren“, berichtet die BSI-Präsidentin.

Ein Hackerangriff hatte in den vergangenen Tagen einen massiven IT-Ausfall verursacht und für Probleme in den deutschen Einrichtungen des Gesundheitskonzerns Ameos gesorgt. In Sachsen-Anhalt waren am Donnerstag mehrere Internetseiten von Ministerien kurzzeitig nicht aufrufbar. Grund sei ein Überlastungsangriff einer prorussischen Hackergruppe auf das Landesportal, hieß es.

BSI bietet Unterstützung an

Der Aufwand, den die einzelnen Unternehmen und Einrichtung betreiben müssen, um die Verpflichtungen aus der NIS-2-Richtlinie zu erfüllen, ist nach Einschätzung von Plattner nicht pauschal zu beziffern. Wer eine gute IT-Abteilung habe und sich auch jetzt schon um Cybersicherheit kümmere, werde die Herausforderungen häufig auch „mit Bordmitteln“ bewältigen können. Bei denjenigen, die sich noch nie um das Thema gekümmert hätten, werde dagegen „die Lernkurve deutlich steiler sein“. Die Leiterin der Bundesbehörde, die ihren Hauptsitz in Bonn hat, verspricht hier Unterstützung. „Wir bemühen uns, das mit unseren Informations- und Beratungsangeboten für die Unternehmen so schmerzfrei wie möglich zu machen.“

(nie)

Ziemlich genau vor 25 Jahren weist ein muskulöser Mann mit geflochtenem Wikingerbart einen rempelnden Besucher auf der Fuckparade am 8. Juli 2000 zurecht und tanzt dann mit freiem Oberkörper wild und etwas aggressiv zu einem Techno-Track hinter einem Wagen her. Er wird dabei gefilmt. Was er damals nicht weiß: Dass er zu einer legendären Figur der Technokultur und zu einem frühen großen Memes der Internetgeschichte werden würde.

Doch das sollte noch etwas dauern. Der Filmemacher Matthias Fritsch hatte das etwa vierminütige Video sechs Jahre nach dem Tanz auf der Protestparade auf das damals noch brandneue YouTube gestellt. Doch erst im Jahr 2007 geht das Filmchen wirklich viral, als jemand es auf die Seite Break.com stellt. Das mittlerweile als „Technoviking“ benannte Video wird nicht nur millionenfach geschaut, sondern auch tausendfach geremixt. Menschen stellen die Szene nach, es gibt den Wikinger in Videospielen, in Musikvideos, als Auto-Aufkleber, als Action Figur und KI-generierten Anime-Star.

Ungefragt monetarisiert

Der Techno-Wikinger selbst findet allerdings keinen Gefallen an seinem weltweiten Ruhm. Er schickt im Jahr 2009 seinen Anwalt zu Filmemacher Fritsch, um eine weitere Verbreitung des Videos zu verhindern, welches Fritsch auf YouTube monetisiert hatte. Der tanzende Mann, den das Internet zum Wikinger erklärt hatte, brachte damals laut Fritsch hervor, dass das Video ohne seine Zustimmung produziert und veröffentlicht sowie für Merchandising-Zwecke verwendet worden sei.

Aufgrund der Berühmtheit des Techno Vikings könne er seinen Arbeitsplatz verlieren, sein Bild würde zudem von Rechtsradikalen missbraucht. Der Wikinger beruft sich auf das Recht am eigenen Bild, also das Recht selbst darüber bestimmen zu dürfen, ob und in welchem Zusammenhang Bilder von ihm veröffentlicht werden. Doch das Video ist längst außer Kontrolle geraten, das ganze zum größten deutschen Meme überhaupt geworden.

Dann lässt sich der Wikinger vier Jahre Zeit bis zur nächsten Aktion.

Das Recht am eigenen Bild

Im Jahr 2013, die Videos haben damals um die 40 Millionen Views, kommt es dann vor dem Berliner Landgericht zum Prozess (netzpolitik.org berichtete) – wegen Verletzung des Persönlichkeitsrechts. Das Verfahren mit dem Aktenzeichen 27 O 632/12 (PDF) endet mit einem Teilerfolg für den Wikinger. Filmemacher Fritsch muss nicht nur knapp 9.500 Euro an den Mann zahlen, sondern darf das Video in dieser Form und andere Bildnisse des Techno Vikings nicht mehr verbreiten. Das Geld ist eine Beteiligung des Wikingers an den Einnahmen auf YouTube, zudem muss Fritsch für die Anwaltkosten des Klägers aufkommen.

Frisch selbst kann nicht von dem Fall lassen. Er macht ein Crowdfunding und dreht einen Dokumentarfilm über den Techno Viking. Zudem legt er ein Archiv zum Meme an. Trotz des Gerichtsurteils lässt sich das Meme nicht mehr stoppen, auch heute ist das Originalvideo in verschiedensten Ecken und Plattformen des Internets zu finden. Der Fall vor Gericht zeigt die Grenzen im Bereich Urheberrecht, Persönlichkeitsrecht und Kunstfreiheit in einem bisher so nie dagewesenen digitalen Umfeld mit eigenen Regeln und Dynamiken.

Die Geschichte des Techno-Wikingers nimmt Entwicklungen der Digitalkultur vorweg. Das heimliche Filmen in der Öffentlichkeit hat sich heute zu einem eigenen Genre in den sozialen Medien entwickelt. Auf der Jagd nach authentischen Inhalten setzen sich moderne Content Creator:innen über die Privatsphäre und Rechte ihrer Mitmenschen hinweg – das Bild wird zur Beute und schamlos monetarisiert. Andere Influencer:innen drücken ahnungslosen Leuten Geld, Geschenke und Blumen in die Hand – und stellen den Film dann als „Random Act of Kindness“ auf TikTok. Dagegen war die doch eher zufällige Meme-Werdung des Wikingers doch eher harmlos.

Bis heute ist die Identität des Techno-Wikingers nicht bekannt. Er muss sehr gute Freunde mit Sinn für Privatsphäre haben: Sie haben sich weder verplappert noch ihn verraten.