Connect with us

Datenschutz & Sicherheit

Ein Jahr nach dem Onlinezugangsgesetz 2.0


Das Onlinezugangsgesetz 2.0 sollte frischen Wind in die Digitalisierung der öffentlichen Verwaltung bringen. Doch ein Jahr nach Inkrafttreten hat sich mit dem Gesetz für die Bürger*innen, Unternehmen und auch die Mitarbeiter*innen in der Verwaltung kaum etwas verändert. Noch immer bestehen die altbekannten Probleme: Manche Online-Dienste funktionieren an einem Ort, aber am anderen nicht. Anträge müssen teils online, teils per Post eingereicht werden. Mitarbeiter*innen in Ämtern drucken online eingereichte Anträge aus und heften sie ab.

Gründe für die Kluft zwischen analog und digital gibt es viele: inkompatible Online-Dienste, unterschiedliche Standards, unterschiedliche Schnittstellen, unterschiedliches Landesrecht.

Mit Karsten Wildberger (CDU) gibt es nun erstmals einen Bundesdigitalminister. In seinem Ministerium für Digitales und Staatsmodernisierung (BMDS) will er 150 neue Stellen einrichten. Der Digitalisierung will er einen Schub geben, von viel KI und wenig Bürokratie ist im Koalitionsvertrag zu lesen. Sein Plan: Bürger*innen sollen künftig auf Verwaltungsleistungen über eine App per Cloud zugreifen können.

Dazu will Wildberger zwei Test-Bundesländer aussuchen und prüfen, „welche Bürgerleistungen in bestimmten Kommunen gut funktionieren und was es braucht, um die flächendeckend auszurollen“. Die Länder sollen dann schnell viele Bürgerleistungen entwickeln. Gleichzeitig will er die besten digitalen Lösungen der Länder zusammentragen, die der Bund nach Absprache mit den Ländern zentral bereitstellen können soll.

Welche Probleme zuerst?

Dass ein neues Ministerium für die Digitalisierung unter anderem der öffentlichen Verwaltung geschaffen wurde, zeige, dass das Thema politisch aufgewertet wurde, sagt Malte Spitz vom Nationalen Normenkontrollrat (NKR). „Man sollte dem Ministerium nun etwas Zeit geben, sich aufzustellen.“

Doch die neue Regierung muss einen ganzen Berg an verschleppten Problemen mitziehen. Das OZG 2.0 mitsamt E-Government-Gesetz (EGovG), das zeitgleich erneuert wurde, habe in diesem ersten Jahr seit Bestehen jedenfalls kaum Wirkung gezeigt, sagt Spitz. Zwar gebe es einzelne Erfolge wie die elektronische Wohnsitzanmeldung in Berlin. Doch die seien lokal und regional begrenzt und gingen nicht in die Breite.

Warum aber hat das OZG 2.0 kaum Wirkung gezeigt? Dafür gibt es zwei wesentliche Gründe. Zum einen ist das Gesetz ein Kompromiss mit den Ländern. Die OZG-Reform hätte beispielsweise dafür sorgen können, dass der Bund einheitliche Standards zumindest für die Dienstleistungen des Bundes festlegen kann. Die Länder setzten für sich hingegen ein aktives Mitspracherecht durch.

Zum anderen gibt es im Apparat Verwaltungsdigitalisierung viele Stellschrauben, die sich dem Gesetz entziehen, etwa verschiedene Zuständigkeiten und das Verbot der Mischverwaltung. Hinzu kommt die angespannte Haushaltslage auf allen Ebenen. So können die Kommunen etwa für Lizenzen häufig ausschließlich mit Unterstützung durch das Land oder den Bund zahlen. Steht die Finanzierung, ist oftmals nicht selbstverständlich, dass kommunale Behörden einen Dienstleister finden, der die OZG-Leistung implementieren kann.

Ab auf die Insel-Lösung

Das alles zahlt auf ein Problem ein, das die Verwaltungsdigitalisierung schon seit Merkel-Zeiten begleitet: Alle Ministerien und Behörden, ob auf Bundes- oder Landesebene, entwickeln eigene IT-Lösungen für dieselben Prozesse. Sogenannte Insellösungen haben weniger mit weißem Sandstrand und Palmen zu tun als vielmehr mit dem Problem, dass die Lösungen auf allen Ebenen nicht miteinander kompatibel sind, geschweige denn interoperabel.

„Wir haben die Schritte in der falschen Reihenfolge gemacht“, so Spitz gegenüber netzpolitik.org. Bevor man Behörden und Ämter dazu auffordert, ihre Leistungen für Bürger*innen digital anzubieten, hätte „man sich zuerst um ein Architekturkonzept kümmern und den Fokus auf die Registermodernisierung setzen müssen“, erklärt Spitz.

Das hätte ein weiteres Problem der Digitalisierung adressiert: die fehlende Ende-zu-Ende-Digitalisierung. Damit ist gemeint, dass Prozesse durchgehend digitalisiert sind – vom Antrag durch Bürger*innen oder Unternehmen bis hin zur Archivierung der Akte durch Verwaltungsmitarbeiter*innen. Dass Sachbearbeiter*innen in Behörden online eingereichte Anträge ausdrucken und abheften, ist noch immer die Regel.

Als große Fortschritte bei der Verwaltungsdigitalisierung sieht Spitz unabhängig vom OZG 2.0 die Qualitätskriterien, die im Service-Standard festgelegt sind, die föderale IT-Archtitekturrichtlinie des IT-Planungsrats und die treibende Kraft der Föderalen IT-Kooperation (FITKO) als Geschäftsstelle des Rats.

Monitoring bleibt relevante Baustelle

Eine große Lücke im OZG 2.0 klafft laut Spitz beim Thema Monitoring. Zwar sollen die zuständigen Ministerien der Länder und des Bundes demnach ein Monitoring durchführen und den Erfüllungsaufwand für bestimmte Digitalisierungsmaßnahmen erheben. Doch bleibt das Gesetz hier sehr vage.

Der NKR hatte gefordert, im Gesetz konkret festzuhalten, Kriterien wie Nutzerfreundlichkeit und Umsetzungsstand zu erfassen. Auch sei „der Zugang zu den Ergebnissen über eine offene Schnittstelle“ notwendig. Das zuständige Bundesministerium hätte nach dem NKR-Vorschlag zudem vierteljährlich selbst zum Umsetzungsstand berichten sollen.

Es sei nahezu unmöglich, an konkrete Zahlen zu kommen, sagt Spitz gegenüber netzpolitik.org. Die seien aber erforderlich, um feststellen zu können, wo die Stärken und Schwächen der Digitalisierungsprojekte liegen und wo nachgebessert werden muss. Das OZG-Dashboard könne das nicht leisten. „Nur weil eine Leistung einen grünen Haken hat, heißt das nicht, dass sie eingesetzt oder gar von vielen Menschen genutzt wird. Vielleicht wird die Leistung in zwanzig Städten angeboten, aber nur von einem Prozent der Antragstellenden genutzt.“ Zudem enthält es keine Information zur Nutzbarkeit der Leistung.

Spitz hofft auf ein Umdenken hin zu mehr Transparenz und Nachvollziehbarkeit: „Möglicherweise ist das neue Digitalministerium dafür ein Impuls.“

Immerhin hat der Appell der Ampel-Koalition (PDF) an den IT-Planungsrat Wirkung gezeigt. Während der bisher kaum Dokumente zu internen Abstimmungsprozessen veröffentlichte, stehen seit Kurzem Sitzungsprotokolle, Beschlüsse und Prüfkommentare auch aus letzten Jahren online.

Geld ist knapp

Ihre IT-Entwicklungen nach einem einheitlichen Architekturkonzept ausrichten – damit hätten Behörden von Anfang an ihre Ressourcen bündeln können. Das hätte Zeit gespart und Geld. Und gerade letzteres wird knapp. Die Hilfen aus dem Corona-Konjunkturpaket sind ausgeschöpft und die Folgefinanzierung ist unklar.

In den Jahren 2024 und 2025 gibt es nur eine vorläufige Haushaltsführung. Die verglich Christian Görke (die Linke) gar mit einer Haushaltssperre. Nur gesetzliche Leistungen würden finanziert und „neue, dringend benötigte zusätzliche Investitionen“ könnten nicht ausgelöst werden. Das sei vor allem schwierig für die Digitalisierung der Verwaltung, wo man Verträge abschließt, Kosten längerfristig aufwendet und erst im September realistisch einschätzen kann, was genau die Zahlen für das Jahr 2025 sind, sagt Spitz.

Gerade diese Haushaltsordnung fordere heraus, dass Behörden ihre Digitalisierungsprojekte nicht in Zielen oder Meilensteinen, sondern in Jahren planen. Über wie viel Geld Wildberger und sein Ministerium verfügen werden, steht noch nicht genau fest. In den aktuellen Haushaltsverhandlungen gibt es für das BMDS keinen zusammenhängenden Einzelplan. Stattdessen ist bei Posten anderer Ministerien über viele Einzelpläne hinweg vermerkt, dass diese vom BMDS bewirtschaftet würden.



Source link

Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

Kritische Codeschmuggel-Lücke in Wing FTP wird angegriffen


In der Datentransfersoftware Wing FTP klafft eine Sicherheitslücke, die Angreifern aus dem Netz das Einschleusen und Ausführen von Schadcode ermöglicht. Sie erhält die höchstmögliche Risikobewertung „kritisch“. IT-Forensiker haben den Missbrauch der Schwachstelle bereits am 1. Juli beobachtet.

Laut Schwachstellenbeschreibung behandelt das User- und Admin-Webinterface „\0“-Bytes fehlerhaft, die das Ende von Zeichenketten anzeigen. Ohne in die Details zu gehen, soll das Angreifern ermöglichen, beliebigen LUA-Code in User-Session-Files zu schleusen. Damit lassen sich wiederum beliebige Systembefehle mit den Rechten des FTP-Servers – standardmäßig „root“ oder „SYSTEM“ – ausführen. „Das ist daher eine Remote-Code-Execution-Lücke, die die vollständige Server-Kompromittierung garantiert“, schreiben die Melder der Lücke. Sie lasse sich auch mit anonymen FTP-Konten ausnutzen (CVE-2025-47812 / EUVD-2025-21009, CVSS 10.0, Risiko „kritisch„).

Über die beobachteten Angriffe auf die Sicherheitslücke berichten IT-Sicherheitsforscher von Huntress in ihrem Blog. Sie beschreiben Details der beobachteten Angriffe und liefern am Ende eine Liste von Indizien für Angriffe (Indicators of Compromise, IOCs).

Die Schwachstelle betrifft Wing FTP vor der aktuellen Fassung 7.4.4, die seit dem 14. Mai 2025 zum Herunterladen bereitsteht. Das Changelog nennt explizit die Sicherheitslücke, die damit geschlossen wird. Wing FTP steht auf der Download-Seite für Linux, macOS und Windows bereit. IT-Verantwortliche sollten zügig die Updates anwenden.

Datentransfersoftware ist für Cyberkriminelle interessant, da sie durch Schwachstellen darin oftmals auf sensible Daten zugreifen können, mit denen sie Unternehmen dann um Lösegeld erpressen können. So ging die Cybergang Cl0p auch vor, um Daten von vielen namhaften Unternehmen und gar von US-Behörden durch Schwachstellen in der Datenübertragungssoftware Progress MOVEit abzugreifen.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

KI in Asylverfahren birgt erhebliche Risiken



Wenn Asylverfahren mit sogenannter Künstlicher Intelligenz bearbeitet werden, entstehen erhebliche Risiken für die Grundrechte der Betroffenen, das stellt der wissenschaftliche Dienst des Europäischen Parlaments in einem Bericht fest. Dennoch würden immer mehr KI-basierte Technologien in dem Bereich eingesetzt. Asylverfahren sollen so schneller, mit weniger Aufwand und ohne Vorurteile abgeschlossen werden.

Der wissenschaftliche Dienst stellt in dem Bericht jedoch fest, dass KI-Technologien Ungenauigkeit, Voreingenommenheit, Diskriminierung, Verfahrensbeeinflussung und Datenschutzrisiken mit sich bringen. Sie kämen nur den Behörden zugute und würden dabei die Position der Asylbewerber*innen im System schwächen.

Was für KI-Technologien werden benutzt?

Im Bericht werden KI-Systeme aufgeführt, die europaweit genutzt werden. Auch Deutschland nutzt bereits einige davon. Das Bundesamt für Migration und Flüchtlinge (BAMF) verwendet beispielsweise ein KI-System, welches dazu trainiert ist, Dialekte zu erkennen, um so die Herkunft der Menschen festzustellen, die Asyl beantragen. Mit der KI-Technologie soll die Bestimmung des Herkunftslandes vereinfacht werden, besonders wenn keine Nachweise vorliegen. Das Herkunftsland und die dort drohende Art der Verfolgung haben Auswirkungen auf die Entscheidung im Asylverfahren.

Außerdem nutzt Deutschland technische Systeme zur Analyse von Handydaten. Antragstellende ohne anerkannte Ausweisdokumente müssen ihr Handy zur Durchsuchung den Behörden übergeben, damit ihr Antrag bestehen bleibt. Ein Computer erstellt einen Bericht aus allen Daten auf dem Handy, die Rückschlüsse auf das Herkunftsland ermöglichen: Vorwahlen eingespeicherter Handynummern, verwendete Sprachen in Nachrichten oder gespeicherte Standortdaten von Fotos. Wenn ein Anwalt des BAMF entscheidet, dass der Bericht notwendig ist für die Feststellung des Herkunftslandes, können Sachbearbeiter*innen diese analysierten Daten einsehen.

Grundrechte können nicht gewahrt werden

In seinem Bericht fasst der wissenschaftliche Dienst einen Bericht der europäische Agentur für Grundrechte (FRA) zusammen. Diese warnte bereits 2020, dass mehrere Grundrechte asylsuchender Menschen aus der Charta der Grundrechte der Europäischen Union bei der Verwendung von KI-Systemen durch die Behörden gefährdet würden. Dazu gehören die Würde des Menschen (Artikel 1), die Achtung des Privat- und Familienlebens (Artikel 7), der Schutz personenbezogener Daten (Artikel 8), die Gleichheit vor dem Gesetz und Nichtdiskriminierung (Artikel 20-21), das Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht (Artikel 47) und das Recht auf eine gute Verwaltung (Artikel 41).

Menschen, die in der EU Asyl beantragen, fliehen meist vor Verfolgung und können sterben, wenn sie keinen Schutz bekommen. Der Bericht warnt davor, die folgenschwere Entscheidung über die Schutzbedürftigkeit mithilfe von Datenanalysen durch KI-Systeme zu treffen, da die Technologie nicht so verlässlich sei, wie sie wirke.

KI ist nicht neutral

Die Qualität einer KI ist nur so gut, wie die Qualität der Trainingsdaten. Nur eine KI, die mit sehr vielen Daten trainiert worden ist, kann aussagekräftige Ergebnisse liefern. Für jedes Herkunftsland müssen ausreichend Daten vorhanden sein. Jedoch fehlen meist Daten, so der Bericht. Auch seien die Trainingsdaten nicht gleichmäßig verteilt, sondern gefärbt durch vermehrt auftretende Herkunftsländer. Entsprechend seien Ergebnisse der KI-Systeme nicht aussagekräftig genug für Entscheidungen mit potenzieller Todesfolge, besonders bei Herkunftsländern, zu denen wenig Daten zur Verfügung stehen.

Zusätzlich treffen KI-Systeme Entscheidungen über Asylverfahren, die auf vorausgegangenen menschlichen Entscheidungen basieren. Vorurteile in menschlichen Entscheidungen würden dabei von den Systemen erlernt und repliziert. Wenn diese auch mit Daten von KI-beeinflussten Entscheidungen trainiert werden, reproduzierten sich die Vorurteile immer weiter. Somit sei die KI-Technologie, so der Bericht, eben nicht der vorgesehene unvoreingenommene Entscheidungsträger.

Daten sind eben auch nur Daten

Darüber hinaus weist die FRA darauf hin, dass die KI-Systeme etwas anhand der Daten entscheiden sollen, was logisch nicht unbedingt zusammenhängt. Nimmt man das Dialekterkennungssystem aus Deutschland als Beispiel, bedeutet ein Dialekt aus einer bestimmten Region nicht unbedingt eine Herkunft aus der Region und auch nicht die entsprechende Nationalität.

Deswegen müsse von Mitarbeiter*innen der zuständigen Behörden beachtet werden, dass die KI-Systeme keine klaren Ergebnisse liefern würden. Als Ergebnis würden sie nur Wahrscheinlichkeiten ausspucken, die auf unzureichenden Daten beruhen würden. Dazu käme die hohe Fehlerquote der KI-Systeme. Das Dialekterkennungssystem, welches das BAMF nutzt, ordnet zwei von zehn asylsuchenden Menschen mit arabischem Dialekt und fast drei von zehn asylsuchenden Menschen mit persischem Dialekt das falsche Herkunftsland zu. Menschen tendieren dazu, Technologien blind zu vertrauen, besonders einem intransparenten KI-System. Der Bericht weist auf das Risiko hin, dass Fehler eines KI-Systems den Verdacht einer Fehlbehauptung von Antragstellenden bestätigen könnten.

Ein faires Verfahren ist nicht sichergestellt

Auch wenn mit den Ergebnissen der KI-Systeme reflektiert umgegangen werde und sie nur in unterstützender Funktion genutzt würden, bestünden große Risiken. Aus juristischer Sicht sei die Fairness des Verfahrens beeinflusst. Als Schutz vor Diskriminierung und Fehlentscheidungen müssen alle Asylanträge objektiv, unvoreingenommen und individuell begutachtet werden.

Eine KI, die aus vorausgegangenen Entscheidungen lernt und so ihre Aussagen trifft, ist nicht objektiv und unvoreingenommen. Dazu generalisiere eine KI, wobei individuelle Besonderheiten jedes einzelnen Falles nicht mehr genug Beachtung fänden.

Ebenfalls juristisch wichtig ist die Möglichkeit eine Entscheidung im Asylverfahren anzufechten. Stütze sich diese Entscheidung aber auf die angebliche Neutralität der Technologie, kann ein Anfechten schwierig werden. Asylbehörden sind dazu verpflichtet, Entscheidungen ausreichend zu begründen, damit Bewerber*innen die nächsten rechtlichen Schritte einleiten können. Eine KI-unterstützte Entscheidung ließe sich durch die Intransparenz der Technologie schwer erklären, weshalb das Verfahren undurchsichtig und komplexer werden würde. Zentral stellt der wissenschaftliche Dienst des EU Parlaments fest, dass sich die Integration von KI in den Asylprozess gegen die Asylbewerber*innen richtet und nur für die Behörden einen Vorteil darstellt.

Abschließend wirft das Briefing Datenschutzbedenken auf, die durch die Einspeisung persönlicher Daten in KI-Systeme entstünden. Bei der Menge von personenbezogenen Daten, die durch KI-Systeme verarbeitet werden, könnte eine Datenschutz-Folgeabschätzung erforderlich werden, um festzustellen ob ein derart großer Eingriff in den Datenschutz verhältnismäßig ist.

Trotz Bedenken grünes Licht für KI-Systeme in Asylanträngen

Obwohl der aufgegriffene Report der FRA bereits 2020 Risiken bei KI-Systemen zur Unterstützung bei Asylansträgen festgestellt hat, werden KI-Systeme weiter in den Asylprozess integriert. Trotz der Gefahren für die Grundrechte versäumt die 2024 verabschiedete KI-Verordnung der EU, die KI-Nutzung für Asylverfahren zu regulieren und Risiken zu beseitigen. Stattdessen gelten die Transparenzregelungen der Verordnung speziell in den Bereichen der Migration und des Asyls nicht.



Source link

Weiterlesen

Datenschutz & Sicherheit

Cybercrime-Bande „Scattered Spider“: Vier Verhaftungen in Großbritannien


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Im Zusammenhang mit Angriffen auf britische Unternehmen haben Strafverfolger vier mutmaßliche Mitglieder der Bande „Scattered Spider“ festgenommen. Einer 20 Jahre alten Frau, zwei 19-jährigen Männern und einem Siebzehnjährigen werfen die Ermittler Computermissbrauch, Erpressung, Geldwäsche und Mitgliedschaft in einer kriminellen Organisation vor.

Die vier Verdächtigen sollen Mitglieder einer Gruppe namens „Scattered Spider“ sein, die in den vergangenen Monaten mehrere Einzelhandelsunternehmen lahmlegte. Vor allem die Kaufhauskette „Marks & Spencer“, Betreiberin hunderter Filialen in Großbritannien, litt unter den Angriffen und stellte Ende April sogar ihr Onlinegeschäft vorübergehend ein. Der Angriff kostete das Unternehmen Berichten zufolge bis zu 300 Millionen Pfund. Auch die Traditionsmarke Harrods und die Supermarktkette Co-Op Group beklagten Angriffe durch mutmaßliche Scattered-Spider-Mitglieder.

Die Gruppe ist personell mit Lapsus$ verbandelt, einer ebenfalls in Großbritannien aktiven kriminellen Cybergang, die sich ähnlicher Methoden bedient. Auch im Fall des Angriffs auf Marks & Spencer kam SIM-Swapping auf einen Dienstleister zum Einsatz, also die widerrechtliche Vervielfältigung von Mobilfunkkarten. Meist geht dem ein betrügerischer Anruf beim jeweiligen Mobilfunkanbieter voraus, in dem etwa der Diebstahl oder Verlust der Original-SIM behauptet und der zuständige Kundendienstmitarbeiter übertölpelt wird. SIM-Swapping ist in den USA und Großbritannien verbreitet, in Deutschland jedoch keine große Gefahr, wie uns Mobilfunkbetreiber bestätigten.

Die Bande bedient sich vorwiegend der Methoden aus dem Werkzeugkasten des Social Engineering, um sich in Unternehmensnetze einzumogeln. Dann exfiltrieren die Kriminellen Daten und erpressen ihre Opfer – ein Geschäftsmodell, auf das sich neuerdings auch Ransomware-Banden spezialisieren. Die Verschlüsselung von Daten, wie klassische Ransomware sie vornimmt, scheint nicht Teil des Scattered-Spider-Instrumentariums zu sein.

Der Journalist Brian Krebs hat die Bande und ihre Verbündeten von Lapsus$ seit Jahren im Auge. Er gibt an, dass einer der nun Festgenommenen bereits im April 2022 in einem internen Chat der Gruppe namentlich erwähnt und mutmaßlich bereits damals beim SIM-Swapping erwischt worden war. Wie Krebs schreibt, hatte der Nachwuchskriminelle seine Mittäter gebeten, Vorsicht walten zu lassen, um bei seinen Eltern keinen neuen Verdacht zu erregen. Offenbar war der mittlerweile 19-Jährige damals erst sechzehn Jahre alt. Sieben Mitglieder von Lapsus$ in Großbritannien waren im Jahr 2022 verhaftet worden, gegen fünf US-amerikanische Verdächtige erhoben Staatsanwälte im Jahr 2024 Anklage.

Die in Großbritannien kürzlich festgenommenen bleiben vorerst in Haft, teilte die National Crime Agency (NCA) mit. Ihre elektronischen Geräte seien beschlagnahmt worden und würden derzeit analysiert. Den betroffenen Unternehmen dankte die NCA für die Unterstützung bei den Ermittlungen.


(cku)



Source link

Weiterlesen

Beliebt