Connect with us

Datenschutz & Sicherheit

„Den gläsernen Bürger nicht nur rechtlich, sondern auch technisch verhindern“


Seit Jahren wird in Deutschland über die sogenannte steuerliche Identifikationsnummer diskutiert. Die Steuer-ID soll es Behörden erleichtern, untereinander Daten auszutauschen, indem sie als zentraler Bezugspunkt für unterschiedliche Register dient. Die ID ist lebenslang gültig, alle Bürger:innen erhalten sie vom Bundeszentralamt für Steuern bei Geburt.

Jurist:innen und Datenschützer:innen kritisieren eine solche Personenkennzahl unter anderem mit Bezug auf das Volkszählungsurteil des Bundesverfassungsgerichts als verfassungswidrig. Bei der Einführung der Steuer-ID im Jahr 2007 wurden Bedenken von Datenschützer:innen als „konstruierter Erregungszustand“ weggewischt, nur um dann 13 Jahre später genau das zu tun, wovor diese gewarnt hatten. Damals plante die Große Koalition unter Angela Merkel (CDU), die Steuer-ID dazu zu nutzen, um Verwaltungsdaten zusammenzuführen. Die Ampelkoalitionäre folgten trotz früherer Kritik diesem Konzept und auch die schwarz-rote Bundesregierung hält an diesem Plan fest.

Der Kopf einer Person vor einem Fensterausschnitt
Heidi Scheichenbauer – Alle Rechte vorbehalten Andreas Czák

Österreich hat bereits vor einigen Jahren einen anderen Weg eingeschlagen und das bereichsspezifische Personenkennzeichen (bPK) eingeführt. Sie ist eine Art Einweg-Kennzeichen, das für unterschiedliche Verwaltungsbehörden angepasst wird. Die bPK verspricht so einen höheren Datenschutz und steuerbare Hürden gegen behördenübergreifende Profilbildung – ohne eine effektive Verwaltungsdigitalisierung zu behindern.

Wir haben mit Heidi Scheichenbauer über das bereichsspezifische Personenkennzeichen gesprochen. Sie ist Senior Researcher und Senior Consultant am Research Institute – Digital Human Rights Center. Als Juristin forscht und lehrt sie zu künstlicher Intelligenz in der Verwaltung, Datenschutz im Non-Profit-Sektor und Plattformregulierung.

„Best-Practice-Beispiel“ aus Österreich

netzpolitik.org: In Deutschland geht es in der Debatte um Verwaltungsmodernisierung viel darum, Datensilos aufzubrechen. Österreich will diese möglichst aufrechterhalten. Warum ist das so?

Heidi Scheichenbauer: Tatsächlich haben wir in Österreich ein Best-Practice-Beispiel dafür, wie sich Daten in der Verwaltung datenschutzoptimiert verarbeiten lassen. Wir bauen eine digitale Verwaltung auf und verhindern zugleich den sprichwörtlichen „gläsernen Bürger“.

Bevor die Bundesregierung ein bundesweit einheitliches Personenkernzeichen einführt, sollte sie einen Blick auf ihr kleines Nachbarland werfen. Unsere Erfahrungen zeigen, dass Privacy by Design auch in diesem Bereich möglich ist.

netzpolitik.org: Wie kam es dazu?

Heidi Scheichenbauer: Im Jahr 2001 gab es in Österreich eine Volkszählung. Damals wurden sehr viele Daten über die Bevölkerung gesammelt und das erste Mal ein zentrales Melderegister auf Bundesebene eingerichtet.

Dieses Zentrale Melderegister (ZMR) enthielt eine Vielzahl an personenbezogenen Daten. Darunter den Namen, das Geschlecht, das Geburtsdatum, die Staatsangehörigkeit. Das allein ist datenschutzrechtlich schon sehr kritisch. Und dann vergab das ZMR allen Bürger:innen auch noch einen bundesweiten Identifikator, die sogenannte Stammzahl. Viele fürchteten damals, dass damit der gläserne Bürger geschaffen wird.

Man hat sich daher einen Weg überlegt, wie man dieses Datenschutzthema adressieren kann – und schuf die bereichsspezifischen Personenkennzeichen, kurz: bPK. Diese Personenkennzeichen beruhen auf der Stammzahl, sind aber für jeden Verwaltungsbereich anders.

Also hat eine Bürgerin zum Beispiel beim Finanzamt ein eigenes bPK, für die Sozialversicherung ist es ein anderes. Und die eine Behörde kann mit dem Kennzeichen, das ihr vorliegt, keine sinnvollen Anfragen bei einer anderen Behörde stellen.

Eine Nummer, sie alle zu finden

Eine heikle Sache

netzpolitik.org: Eine bemerkenswerte Wende. Normalerweise wecken viele Daten auch viele Begehrlichkeiten.

Heidi Scheichenbauer: Es gab damals ein Bewusstsein dafür, dass die Daten im Zentralen Melderegister und die Verwendung eines einheitlichen Identifikators eine heikle Sache sind.

Bei der Einführung hagelte es daher Kritik an den geplanten Neuerungen. Bemängelt wurde unter anderem die mögliche Verknüpfung der vorliegenden Daten mit dem „Ursprungskennzeichen“, also der ZMR-Zahl. Denn damit ist eine behördenübergreifende Identifizierung einer bestimmten Person möglich.

Weiters wurde vorgebracht, dass das Kennzeichen eine Verknüpfung mit anderen individuellen Datensätzen ermögliche, beispielsweise aus der Einkommens- oder Volkszählungsstatistik.

Daten können – das zeigt auch der österreichische Postdatenskandal – sehr viel über das eigene Leben preisgeben, vom Wohnsitz bis zur vermuteten politischen Einstellung. Und dann wird auch klar, wie sehr man mit diesen Daten Menschen diskriminieren und manipulieren kann.

Ein Einweg-Kennzeichen für die Verwaltung

netzpolitik.org: Wie wird das bereichsspezifische Personenkennzeichen erzeugt?

Heidi Scheichenbauer: Es beruht auf der ZMR-Zahl, die im Zentralen Melderegister alle gemeldeten Personen erhalten. Aus ihr wird mit Hilfe eines Verschlüsselungsverfahrens die individuelle Stammzahl abgeleitet. Aus dieser Stammzahl wird dann für die jeweiligen Verwaltungsbereiche einzelne Ableitungen erzeugt.

netzpolitik.org: Erhält jede Behörde automatisch eine bPK für jede:n Bürger:in?

Heidi Scheichenbauer: Nein, nicht automatisch. Teilweise müssen die Behörden dafür zunächst bei der Stammzahlenregisterbehörde einen Antrag stellen, manchmal sogar ganz klassisch per Online-Formular. Bei dem Vorgang müssen Beamt:innen angeben, in welchem Verwaltungsbereich sie tätig sind. Es gibt aktuell rund 30 Tätigkeitsbereiche.

netzpolitik.org: Es gibt also für jede:n Bürger:in je nach Verwaltungsbereich individuelle Einwegskennzahlen. Das klingt recht aufwendig. Hat sich das im Alltag bewährt?

Heidi Scheichenbauer: Auf jeden Fall. Denn die Behörden können so nicht ohne weiteres behördenübergreifende Verarbeitungstätigkeiten vornehmen und damit auch kein Profiling betreiben.

Dafür sorgt auch eine Bereichsabgrenzungsverordnung, die unterschiedliche Verwaltungsbereiche voneinander trennt. Auch dem ging eine politische Diskussion voraus: Was gehört alles zu Steuern und Abgaben, was zu anderen Bereichen.

Auch diese Trennung soll den gläsernen Bürger verhindern. Nicht nur rechtlich, sondern eben auch technisch.

Strikte Trennung innerhalb der Verwaltung

netzpolitik.org: Wie kann eine Behörde denn mit anderen Behörden Daten austauschen?

Wir sind communityfinanziert

Unterstütze auch Du unsere Arbeit mit einer Spende.

Heidi Scheichenbauer: Das kann sie auf dem Wege der Amtshilfe tun. Es gibt auch die Möglichkeit, verschlüsselte bereichsspezifische Personenkennzeichen zu beziehen und dann so zu kommunizieren. Aber grundsätzlich ist das gesetzlich sehr strikt getrennt.

Das österreichische E-Government-Gesetz schreibt vor, dass zusammengehörige Lebenssachverhalte in ein und demselben Bereich zusammengefasst werden und dass miteinander unvereinbare Datenverarbeitungen innerhalb desselben Bereichs nicht vorgesehen sind.

netzpolitik.org: In der deutschen Debatte gibt es hingegen das Bestreben, Daten zusammenzuführen, weil die Verwaltung dann angeblich effizienter arbeiten könne. Gibt es eine ähnliche Debatte in Österreich?

Heidi Scheichenbauer: Auf der politischen Ebene haben wir aktuell keine Diskussion dahingehend, dass das bPK-System infrage gestellt wird. Es hat sich gut eingespielt und auch bewährt. In den vergangenen Jahren gab es auch keine politischen Bestrebungen, das System zu verändern. Auch Datenpannen oder Missbrauchsfälle gab es nicht. Zumindest keine, die öffentlich bekannt wurden.

Eine hundertprozentige Sicherheit gibt es, wie so oft im Leben, nicht. Die Privacy-by-Design-Maßnahmen verhindern hier aber tatsächlich sehr effektiv einen ansonsten prinzipiell möglichen Missbrauch.

netzpolitik.org: In Deutschland gilt die Devise, die Daten in einen großen Pool zu geben und den Behördenzugriff rechtlich zu regulieren. Ist das österreichische Modell aus deiner Sicht sicherer?

Heidi Scheichenbauer: Das ist ohne Zweifel sicherer, weil die meisten Risiken für die betroffenen Personen schon in der technischen Gestaltung signifikant gemindert werden. Es werden nämlich kryptografische Verfahren angewendet, die nicht umkehrbar sind. Von bPKs kann somit nicht mehr auf die Stammzahl zurückgerechnet werden. Das ist mathematisch schlicht nicht möglich.

Und auch organisatorisch ist das Zentrale Melderegister ein Ort, der sehr gut abgesichert ist, wie ich auch aus persönlicher Erfahrung weiß. Ich hatte vor vielen Jahren aus beruflichen Gründen einen Termin bei einem Dienstleister der Stammzahlenregisterbehörde. Damals machte ich die Erfahrung, dass man in das betreffende Gebäude nur sehr schwer hineinkommt.

Digitale Identitäten und künstliche Intelligenz

netzpolitik.org: In Österreich gibt es seit einigen Jahren die ID Austria. Zum Ende dieses Jahres soll in allen EU-Mitgliedstaaten die ID-Wallet starten. Welche Auswirkungen hat das auf die bPK?

Heidi Scheichenbauer: Die ID Austria ist ein digitaler Identitätsnachweis. Ich kann mich damit also gegenüber dem Finanzamt und dem Wohnungsamt ausweisen. Dadurch könnten theoretisch behördenübergreifende Profile erstellt werden. Doch es gibt Schutzmaßnahmen, die das verhindern sollen.

So müssen personenbezogene Daten pseudonymisiert und innerhalb bestimmter Fristen gelöscht werden. Die Daten dürfen außerdem, soweit es notwendig ist, nur von bestimmten Stellen verarbeitet oder übermittelt werden. Und sie unterliegen strengen Zugriffsrechten. Im Gegensatz zu den geplanten ID-Wallets der EU sieht die ID Austria gesetzlich sowohl gegenüber Behörden als auch privaten Einrichtungen einen strengen Akkreditierungsprozess unter anderem zur Sicherstellung der Datenminimierung, also des „minimal data set“ bei jeder Anwendung vor. An dem bestehenden System der bPK rüttelt die ID Austria also nicht.

netzpolitik.org: Der Einsatz von sogenannter Künstlicher Intelligenz wird mit Blick auf Verwaltungsdaten ebenfalls diskutiert. Gerade in der Sozialverwaltung gibt es Bestrebungen, Sprachmodelle mit den dort hinterlegten Daten zu trainieren. Gibt es ähnliche Debatten auch in Österreich?

Heidi Scheichenbauer: Durchaus und meist gilt das Datenschutzrecht dann als böse, weil es derartiges verhindere. Die österreichischen Verwaltungseinrichtungen äußern ihren Unmut vor allem über den Datenschutz, als dass sie nach Lösungen suchen. Dabei könnten sie etwa darüber nachdenken, wie KI-Training mit anonymen Daten möglich wäre. Das ist alles aber auch noch sehr im Fluss.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Automatisierungs-Tool n8n: Angreifer können Schadcode einschleusen


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Weiterlesen nach der Anzeige

Im KI-gestützten Prozessautomatisierungs-Tool n8n haben IT-Forscher elf Schwachstellen entdeckt. Angreifer können dadurch etwa Schadcode einschleusen und ausführen. Aktualisierte Versionen schließen die Sicherheitslücken. Admins sollten rasch aktualisieren.

Von den drei als kritisch eingestuften Sicherheitslücken basiert die erste darauf, dass angemeldete User mit der Berechtigung, Workflows zu erstellen oder zu modifizieren, den SQL-Query-Modus nutzen können, um beliebigen Code auf dem n8n-Server auszuführen oder beliebige Dateien darauf abzulegen (CVE-2026-27497, CVSS4 9.4, Risiko „kritisch“). Ebenso können derartige Nutzer manipulierte Ausdrücke in Workflow-Parametern zum Starten von Systembefehlen auf dem n8n-Hostsystem missbrauchen; es handelt sich um einen Ausbruch aus der Sandbox für derartige Expressions, die in der Ausführung von Code aus dem Netz münden kann (CVE-2026-27577, CVSS4 9.4, Risiko „kritisch“). Im JavaScript-Task-Runner können Nutzer zudem aus der Sandbox ausbrechen und beliebigen Code außerhalb der Sandbox ausführen. In der Standardeinstellung kann das in vollständige Kompromittierung des n8n-Hosts führen (CVE-2026-27495, CVSS4 9.4, Risiko „kritisch“).

n8n: Fehlerbereinigte Versionen

Die Versionen 2.10.1, 2.9.3 und 1.123.22 sowie neuere Fassungen von n8n stopfen die Sicherheitslecks. Die sind unter anderem über die Release-Ankündigungen im n8n-GitHub-Repository erhältlich. Wer n8n als Docker-Container nutzt, kann in der Docker-Verwaltung die Aktualisierung vornehmen.

Die neuen n8n-Versionen schließen zudem weitere Sicherheitslücken:

  • Stored XSS via Various Nodes (CVE-2026-27578, CVSS4 8.5, Risiko „hoch“)
  • Unauthenticated Expression Evaluation via Form Node (CVE-2026-27493, CVSS4 laut NIST 9.5, Einstufung aufgrund der Ausnutzbarkeit jedoch nur als „hoch“)
  • Authentication Bypass in Chat Trigger Node (kein CVE, CVSS 6.3, Risiko „mittel“)
  • n8n Guardrail Node Bypass (kein CVE, CVSS4 6.3, Risiko „mittel“)
  • Webhook Forgery on Github Webhook Trigger (kein CVE, CVSS4 6.3, Risiko „mittel“)
  • Webhook Forgery on Zendesk Trigger (kein CVE, CVSS4 6.3, Risiko „mittel“)
  • SSO Enforcement Bypass (kein CVE, CVSS4 6.0, Risiko „mittel“)
  • SQL Injection in MySQL, PostgreSQL, and Microsoft SQL nodes (kein CVE, CVSS4 5.3, Risiko „mittel“)

Anfang Februar hat das n8n-Projekt ebenfalls teils kritische Sicherheitslücken geschlossen. Damals sogar sechs an der Zahl, vier weitere galten als hohes Risiko.

Weiterlesen nach der Anzeige


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Kommentar: KI-Müll treibt curls Bug-Bounty-Programm vor sich her


Maintainer Daniel Stenberg schiebt die Bug-Meldestelle für curl zurück zu HackerOne, von wo er sie erst im Januar abgezogen hatte. Sein unprofessionell wirkender Schlingerkurs spiegelt in Wirklichkeit nur die Unsicherheit wider, die derzeit die Open-Source-Szene bedrückt: Wie soll sie mit dem KI-Müll umgehen, der durch das Vibe-Coding über sie hereinbricht? Eine schnelle Lösung dafür scheint nicht in Sicht.

Weiterlesen nach der Anzeige


Ein Kommentar von Wolf Hosbach

Ein Kommentar von Wolf Hosbach

Wolf Hosbach ist Redakteur bei der iX. Sein Themengebiet ist die Softwareentwicklung.

Jedes Open-Source-Projekt freut sich über Meldungen von Bugs, gerade im Sicherheitsbereich. Als Meldestelle dient gerne HackerOne, wo die Projektverantwortlichen oft Belohnungen ausloben, um den Anreiz zur Fehlersuche zu erhöhen. Das führt jedoch im Zeitalter von Vibe-Coding zu massenhaft eingereichten, meist wertlosen Beiträgen, die den Maintainern letztlich nur die Zeit rauben, statt ihre Projekte voranzubringen oder abzusichern. Für Stenberg war das im Januar ausschlaggebend dafür, das Bug-Bounty-Programm der Belohnungen zu stoppen und mit dem curl-Reporting zu GitHub zu wechseln.

Entschuldigung für das Hin und Her

Den Rückzug vom Rückzug begründet Stenberg jetzt mit mangelnden Funktionen für das Management von Bug-Meldungen: GitHub sendet Berichte beispielsweise unverschlüsselt per Mail, obwohl die Daten manchmal Secrets enthalten. Außerdem ist es dem Sicherheitsteam nicht möglich, wertlose Meldungen einfach zu löschen. Viele Maintainer kritisieren genau das: Sie können wertlose, zunehmend massenhaft auftretende KI-Pull-Requests nicht schnell löschen. Allerdings ist GitHub inzwischen auf das Problem des KI-Slops eingegangen – obwohl der Besitzer Microsoft mit dem Copilot einer der hauptsächlichen KI-Treiber ist. Das Löschen der lästigen Pull-Requests soll bald möglich sein.

Stenberg gesteht selbst ein: „Dieses Hin und Her ist bedauerlich, aber wir tun es mit den besten Vorsätzen.“ Man kann ihm sicher nicht vorwerfen, nicht alles zu tun, um die beste Lösung zu suchen – aber vielleicht hat er etwas zu voreilig gehandelt, ohne zuvor die neue Plattform genauer zu prüfen. Aus seinem Ärger über den KI-Slop hat er jedenfalls nie einen Hehl gemacht. Insofern war seine erste Entscheidung sicher emotional – spiegelt aber die Unsicherheit wider, die in der Open-Source-Szene gerade herrscht: Wie soll man der vielen, belastenden KI-Beiträge Herr werden, ohne die wirklich wertvollen Eingaben zu verlieren?

Einen Königsweg hierfür scheint es derzeit nicht zu geben. Gerade das zeigt curls Hin und Her sehr deutlich. Das Bug-Bounty-Programm wird es für curl auf HackerOne künftig nicht mehr geben. „Geld für Belohnungen ist noch weg, es gibt kein Bug-Bounty, kein Geld für Schwachstellenberichte“. Der „inflow tsunami“ jedenfalls ist laut Stenberg derzeit ausgetrocknet, aber er befürchtet seine Wiederkehr: „Indem wir zu HackerOne zurückkehren, öffnen wir ihnen vielleicht wieder die Türen? Wir müssen einfach abwarten, was passiert.“

Weiterlesen nach der Anzeige


(who)



Source link

Weiterlesen

Datenschutz & Sicherheit

Betrug über Telegram steigt um 233 Prozent – Fake-Jobs sind das größte Problem


Die Neobank Revolut meldet einen sprunghaften Anstieg von Betrugsfällen, die über Telegram starten. Ein Bericht, der anonymisierte Daten aus dem Jahr 2025 analysiert, zeigt eine Verlagerung krimineller Aktivitäten: weg von klassischen sozialen Netzwerken, hin zu verschlüsselten Messaging-Apps. Telegram entwickelt sich dabei zur am schnellsten wachsenden Quelle für autorisierten Zahlungsbetrug.

Weiterlesen nach der Anzeige

Meta-Plattformen wie Facebook, WhatsApp und Instagram sind weiterhin für 44 Prozent der weltweiten Betrugsfälle verantwortlich. Doch die Fälle, die auf Telegram ihren Ursprung haben, stiegen um 233 Prozent.

Sogenannte „autorisierte Betrugsfälle“ machen insgesamt 40 Prozent aller Fälle aus. Dabei manipulieren Betrüger ihre Opfer mit psychologischen Tricks, um sie zu Geldüberweisungen oder vermeintlichen Investitionen zu bewegen. Der durchschnittliche Verlust pro Opfer liegt bei autorisiertem Betrug 13-mal höher als bei Fällen, in denen Kriminelle Kontodaten ausspähen und direkt auf das Konto zugreifen.

Job-Scams auf dem Vormarsch

Laut Revolut entfällt bereits ein Fünftel der weltweiten Betrugsfälle auf Telegram. In Deutschland starten 62 Prozent aller Job-Scams über die Plattform.

Die Zahl der Betrugsfälle mit gefälschten Jobangeboten hat sich im Vergleich zum Vorjahr mehr als verdoppelt. Sie machen nun 22 Prozent der Fälle aus und liegen damit hinter Kaufbetrug (57 Prozent), also gefälschten Angeboten für Produkte oder Dienstleistungen, aber vor Investment-Scams (10 Prozent). Betrüger nutzen zunehmend KI, um überzeugendere Nachrichten zu verfassen, und setzen verstärkt auf Deepfake-ähnliche Taktiken.

Die Erkenntnisse von Revolut stimmen mit Warnungen der Finanzaufsicht Bafin und des Bundeskriminalamts überein. So warnt etwa die Bafin regelmäßig vor Anlagebetrug in Whatsapp- und Telegram-Gruppen, in denen vermeintliche „Experten“ zu Investments oder Krypto-Anlagen verleiten.

Weiterlesen nach der Anzeige

Social-Media-Plattformen in der Pflicht

Revolut nutzt die neuen Zahlen, um die Forderung zu bekräftigen, Social-Media-Plattformen stärker in die Abwehr und Haftung solcher Betrugsfälle einzubinden. Die Bank selbst hat zuletzt einen KI-gestützten Chatbot eingeführt, der Kunden vor dem Abschluss von Transaktionen vor möglichem Betrug warnt. Ein In-App-Banner zeigt zudem an, ob Nutzer mit Revolut oder einem Betrüger telefonieren.

Nicht nur Banken fordern von Social-Media-Konzernen mehr Engagement gegen Betrugsformen, die auf ihren Plattformen entstehen. Auch Prominente, deren Identitäten für Fake-Profile missbraucht werden, verlangen eine schnellere Erkennung und Löschung solcher Accounts. Der Druck auf Unternehmen wie Meta wächst zudem, weil Regulierungsbehörden und die EU-Kommission ihren Umgang mit Betrug genau beobachten.

Dieser Beitrag ist zuerst auf t3n.de erschienen.


(jle)



Source link

Weiterlesen

Beliebt