Erst Mannheim, dann Hamburg, dann die halbe Republik: Gerade breitet sich rasant eine Überwachungstechnologie aus, mit der die Polizei vollautomatisch Gewalt detektieren will. Wissenschaftler*innen haben die erste Ausbaustufe in Hamburg ein Jahr lang beobachtet, den medialen und parlamentarischen Diskurs dazu analysiert sowie zahlreiche Interviews mit unterschiedlichen Beteiligten und Betroffenen geführt. Das Projekt “Lokale Öffentlichkeiten und soziale Konflikte um KI-gestützte Sicherheitstechnologien“, kurz LoKI, war an der Uni Hamburg und der TU Chemnitz angesiedelt. Geleitet haben es Stephanie Schmidt und Philipp Knopp, Fabian de Hair hat als wissenschaftlichem Mitarbeiter mitgewirkt. Mit uns sprechen der Sozialwissenschaftler Knopp und der Kriminologe de Hair über die Forschungsergebnisse.

netzpolitik.org: Was haben Sie herausgefunden?

Philipp Knopp: Was da als Test gerahmt wird, ist mit dem Konzept Test eigentlich nicht ausreichend zu verstehen. Es gibt keine festgelegte Technik, die nach fixen Kriterien bewertet wird. Es ist eher ein Überwachungs-Experiment. Da werden eine Überwachungstechnologie und das Setting vor Ort kalibriert, das Verhältnis von Raum und Kamera optimiert. Gleichzeitig ändern sich die Anforderungen an die Beamt*innen, die jetzt bewerten müssen, ob die KI etwas richtig detektiert hat. Und es wurde ja auch der rechtliche Rahmen angepasst. Experiment ist nicht normativ gemeint. Wir wollen mit dem Begriff das Unfestgelegte aufzeigen. Es geht in Hamburg darum, ein experimentelles System zum Laufen zu bringen.

netzpolitik.org: Hamburg ist nach Mannheim die zweite deutsche Stadt, die Verhaltensscanner einsetzt. Zahlreiche weitere Städte und Länder haben Interesse an der Technologie angemeldet. Warum hat die gerade so einen Lauf?

Fabian de Hair: Die Technologie der sogenannten Bewegungsmusteranalyse gilt als vermeintlich bessere Alternative zur konventionellen und biometrischen Videoüberwachung. Es heißt, sie würde die Polizeiarbeit durch die Automatisierung einerseits erheblich effizienter machen, andererseits sei das technische Verfahren dazu besonders datenschutzsensibel. Überprüfbar ist das im derzeitigen Entwicklungsstadium nicht. Vielmehr wird mit einer Zukunftsvision der KI-Technologie argumentiert, deren konkrete Nutzungsszenarien offenbleiben.

Die Deutungen der vermeintlichen Vorzüge dieser KI-Überwachung finden sich insbesondere prominent im Mediendiskurs, der von Akteur*innen der inneren Sicherheit und ihren Bewertungen geprägt ist. Kritische Positionen kommen vor, aber werden nicht zum Anlass der Berichterstattung. Was sich da im Diskurs zeigt, nennen wir eine Purifizierung, eine rituelle Läuterung also, durch die bisherige zentrale Kritiken an Formen der Videoüberwachung direkt adressiert und gleichzeitig abgestreift werden. Die Purifizierung erhöht die Durchsetzbarkeit der Maßnahme, weil die Bewegungsmusteranalyse jetzt als sozusagen gute Überwachung erscheint.

Ausweitung in Aussicht

Philipp Knopp: Gleichzeitig drängt die Technologie auf ihre eigene Ausweitung. Für KI-Training braucht man Daten.

Fabian de Hair: Die Hoffnung ist: Je mehr Landespolizeien sich daran beteiligen, umso präziser wird das Modell.

netzpolitik.org: Das heißt, künftig werden immer mehr und mehr Areale damit überwacht?

Philipp Knopp: Es weiß noch niemand, worauf es am Ende hinauslaufen wird. Auch das Sondieren von Einsatzmöglichkeiten ist Teil des Experimentierens mit der neuen Technik. Es gibt die Idee des Black Screens, wo nur dann jemand auf den Bildschirm schaut, wenn die KI eine verdächtige Situation präsentiert. Dann gibt es die Variante, dass die KI als Assistenzsystem zusätzlich zur menschlichen Überwachung im Hintergrund läuft. Und dann gibt es noch Überlegungen, damit den Überwachungsbereich auszuweiten, weil man nicht mehr so viele Menschen braucht, um auf die Videobilder zu schauen und man davon ausgeht, dass diese Form der Überwachung nicht so stark in die Freiheitsrechte der Bürger*innen eingreift. Also hin zu einem Basislevel von Videoüberwachung von größeren Bereichen.

netzpolitik.org: Die Logik der Verhaltensscanner-Befürworter*innen ist: Weil da kein Mensch, sondern nur eine Software zuschaut, ist es keine Überwachung mehr.

Fabian de Hair: Das ist das Framing. Aber faktisch wird dabei die komplette Datenpipeline – also das technische Verfahren von der Vektorisierung menschlicher Körper auf Videobildern, über die Kategorisierung dieser Vektorenbündel bis zur Alarmierung – ausgeblendet. Die Praxis der Überwachung wird hier auf die Prüfung durch Polizeibeamt*innen, also das menschliche Sehen, reduziert.

99 von 100 zu Unrecht beobachtet?

netzpolitik.org: Ist die Technologie denn so effektiv wie von den Befürworter*innen erhofft?

Philipp Knopp: Es gibt da unterschiedliche Bewertungsmuster. Als Erfolg gilt auch schon die positive Resonanz von Medien und anderen Polizeien. Nach einem ersten Test wurden auch einige Kennzahlen vorgelegt. Allerdings wurden dabei die falsch-positiven Meldungen im Vergleich zu den korrekten Detektionen recht ungenau angegeben. Überwachungskritische Bewegungen haben daraufhin berechnet, dass nur etwa ein Prozent der Alarme eine korrekte Detektion war. Das heißt, in 99 von 100 Fällen wurden Menschen aus Sicht der Kritiker*innen zu Unrecht beobachtet.

netzpolitik.org: Angeblich verhindere die Verhaltensanalyse Diskriminierung, weil sie nicht berücksichtigt, welche Hautfarbe, welches Geschlecht oder Alter eine Person hat.

Fabian de Hair: Die Idee hinter dieser KI-Überwachung ist die Automatisierung von Verdachtspraktiken. Es geht um Kategorien wie zum Beispiel Schlagen, Treten, Liegen, Fallen. Der Mensch wird zu einem Bündel von Vektoren umgerechnet, wodurch der soziale Kontext eines Ortes, einer Situation oder einer Bewegung gelöscht wird. Dabei kann eine Bewegung je nach Kontext verschiedene Bedeutungen haben. Und es lässt sich auch an bestimmten Verhaltensweisen feststellen, ob jemand zu einer marginalisierten Gruppe gehört. An einem Ort wie dem Hamburger Hansaplatz, wo es unter anderem Straßenprostitution gibt, hat Stehen eine soziale Bedeutung. Weil ebenso Obdachlose den Platz nutzen, hat auch Liegen eine soziale Bedeutung. Und in der technischen Formatierung werden diese Bewegungen dann in einen Verdacht übersetzt.

Die Polizei als Akteur in der Datenökonomie

netzpolitik.org: Die Rechte für die Technologie liegen beim Fraunhofer IOSB, einer Forschungsorganisation. Trainiert wird sie mit den Daten von zahllosen Menschen in Mannheim und Hamburg.

Philipp Knopp: Das ist auch etwas Neues, das sich durch die rechtlichen Neuerungen im Hamburger Polizeigesetz anbahnt. Die Polizei wird zum Akteur in einer globalen Datenökonomie rund um KI-Training, zum Datenlieferanten. Diese Entwicklung ist nicht auf den Hamburger Fall beschränkt. Auch in anderen Bundesländern versteht die Polizei zunehmend, dass sie über besondere Daten und eine seltene Anwendungsumgebung verfügt, die sie für die Technologieentwicklung einsetzen will.

Fabian de Hair: Das ist eine sehr spezielle Form der Datenverarbeitung, die besondere Aufmerksamkeit bedarf.

Philipp Knopp: Da ist auch immer die Frage, welche sozialen Gruppen sind davon betroffen, wessen Alltag wird in diesen Daten festgehalten. Die Verhaltensanalyse wird in Hamburg auf einem Platz getestet, wo Menschen sich nicht so gut wehren können wie in einem noblen Viertel. Da gibt es viele Menschen, die keine deutschen Staatsbürger*innen sind. Es gibt Wohnungslose, Trinker*innen, Menschen, die viel Zeit auf der Straße verbringen und nicht beispielsweise in Parteien organisiert sind. Ihnen fehlen die politischen Einflussmöglichkeiten und teilweise sind die überwachten Orte für diese Menschen sehr wichtig. Sie können nicht einfach woandershin ausweichen und werden notgedrungen Teil dieses KI-Trainings.

Tanz als Widerstand

netzpolitik.org: In Hamburg sind auch Grüne und Datenschutzbehörden einverstanden mit der Verhaltensanalyse. Gibt es denn überhaupt noch Gegner*innen?

Fabian de Hair: Ja, definitiv. Das Bündnis Hansaplatz zum Beispiel. Die Aktivist*innen haben eine Demo und Veranstaltungen zum Thema organisiert sowie die Entwicklung kritisch begleitet. Es gibt auch noch andere nachbarschaftliche Organisationen am Hansaplatz, die sich ebenfalls kritisch äußern. Aber sie sind, wie bereits erwähnt, medial nicht durchgedrungen mit ihrer Position, dass es sich um eine weitergehende Kriminalisierung sozialer Probleme handele.

netzpolitik.org: Was können kritische Akteur*innen tun, um im Diskurs mehr Gewicht zu bekommen?

Philipp Knopp: Diese Tests mit Bewegungsdetektion haben interessante neue Formen der Widerständigkeit hervorgebracht: Tanzperformances, die die angenommene Korrelation von Bewegung und Kriminalität hinterfragen. Das gab es in Mannheim und darüber haben Medien dann auch berichtet. Was sich außerdem gezeigt hat: Die meisten Bündnisse, die sich mit solchen Überwachungsprojekten beschäftigen, überlegen, wie sie eine soziale Basis aufbauen und alternative Sicherheitskonzepte weiterentwickeln können wie etwa soziale Sicherheit. Sie schauen über den Anlass Kamera hinaus und stellen die Frage: Welche Probleme gibt es im Viertel und wie können wir damit arbeiten?

Fabian de Hair: Unsere Interviews zeigen, dass fehlende Transparenz seitens der Überwachungs-Betroffenen bemängelt wird. Eine Informationsgrundlage herzustellen, mit der Zivilgesellschaft und Wissenschaft agieren können, ist hier insofern elementar. In Hamburg hat Die Linke als Oppositionspartei mit vielen Kleinen Anfragen dazu beigetragen.

Das Gefühl, beobachtet zu werden

netzpolitik.org: Die Verhaltensanalyse sucht sogenanntes atypisches Verhalten. Geht damit die Gefahr einher, dass Menschen sich im Überwachungsbereich angepasster verhalten?

Philipp Knopp: Es ist schwierig, das empirisch zu belegen. Die Wirkung von Videoüberwachung lässt sich schlecht isolieren. In Medienberichten kam aber heraus, dass sich Menschen, die viel auf dem Platz sind, permanent beobachtet fühlen.

netzpolitik.org: Wenn eine KI die Videos beobachtet statt eines Menschen – wird dann die Überwachung entmenschlicht?

Philipp Knopp: Die Automatisierungsleistung der Technologie ist es, den Bürger und den Notruf auszuklammern aus der Verbindung von Polizei und Ereignis. Die Polizei muss nicht mehr hinzugerufen werden – sie kommt von alleine. Befürworter*innen sehen darin durchaus etwas Positives: Die Polizei wird unabhängig von den Bürger*innen und deren Wachsamkeit und Courage.

Die andere Seite der Medaille ist allerdings, dass gerade diese Abhängigkeit die Polizei zur Bürgernähe anhält. Um ihre Aufgabe zu erfüllen, muss sie nämlich daran arbeiten, dass die Bevölkerung ihr vertraut. Für eine demokratische Polizei ist diese Abhängigkeit von der Bevölkerung ein notwendiges Momentum externer Kontrolle. Dieser Effekt kann durch die Automatisierung abgeschwächt werden. Sie verschiebt das Verhältnis zwischen Bevölkerung und Polizei in eine bestimmte Richtung.

netzpolitik.org: Ist die KI-Überwachung eine politische Maßnahme, um Handlungsfähigkeit zu suggerieren?

Philipp Knopp: Diese Annahme wird in Studien zu Videoüberwachung häufig geäußert. Kameras sind auf jeden Fall ein kostengünstiges Mittel, um zu sagen: Wir tun etwas.

Nicht erst seit dem Beginn der zweiten Amtszeit Donald Trumps wird diskutiert, ob die Abhängigkeit von nichteuropäischen Cloud-Anbietern zu groß ist – von Hyperscalern wie AWS und Azure ebenso wie von Alibaba oder Huawei Cloud. Insbesondere für sicherheitskritische Anwendungen der öffentlichen Verwaltung und für Betreiber kritischer Infrastrukturen und Dienstleistungen gilt: Auf der Suche nach performanten und unabhängigen Lösungen gibt es viele Versprechungen – doch bei den Kriterien gibt es oft wenig Klarheit. Ist eine Cloudlösung souverän, wenn sie technisch sicher in der EU betrieben wird? Unabhängig von der Infrastruktur eines US-Unternehmens? Ohne Abhängigkeit von Instanzen außerhalb? Technische IT-Sicherheit ist das eine, technische Souveränität ein nicht immer deckungsgleiches Anforderungsprofil.

Die engeren Sicherheitseigenschaften von Cloud-Diensten definiert bereits der kürzlich aktualisierte Cloud Computing Compliance Criteria Catalogue (C5). Der nun vorgestellte Vorschlag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) setzt beim zweiten Begriff an: Die Fachleute der Bonner Bundesbehörde haben mit ihren heute veröffentlichten „Criteria Enabling Cloud Computing Autonomy“ (C3A) einen Vorschlag vorgelegt. Nutzer sollen damit von vornherein prüfen können, ob ein Dienst tatsächlich zu ihrem jeweiligen Souveränitäts-Risiko passt. Die Behörde begleitet die Diskussionen seit vielen Jahren als IT-Sicherheitsdienstleister der Bundesverwaltung. Sie will damit vor allem eines leisten: „Es geht uns um technisch tragfähige Lösungen, die konkrete Bedingungen formulieren“, sagt Thomas Caspers, Vizepräsident des BSI.

Weniger diplomatisch interpretiert: Statt politisch lange über die Unabhängigkeit eines Anbieters zu diskutieren, will die Behörde mit einem konkreten Vorschlag in die Debatte um die Folgen des Cloud and AI Development Act (CADA) einsteigen. Den CADA will die EU-Kommission nach aktueller Zeitplanung am 27. Mai vorlegen; anschließend beraten ihn Mitgliedstaaten und Europaparlament. Denn Beobachter erwarten, dass EU-Vizekommissionspräsidentin Henna Virkkunen mit dem CADA klarere Kriterien für Cloud-Souveränität vorgibt – und Diskussion und Lobbying mit der Vorstellung des Vorhabens im Mai erst richtig beginnen.

Praxiserfahrungen und EU-Kriterien

Dabei baut das BSI unter anderem auf sechs der acht Kriterien auf, die die eigentlich nur für die EU-Kommissions-eigene IT zuständige Generaldirektion DIGIT im vergangenen Jahr definiert hatte und konkretisiert diese um breitere Erfahrungen. Vor allem die französische IT-Sicherheitsbehörde ANSSI und das BSI haben umfangreiche Erfahrungen mit verschiedenen Abhängigkeitsvariationen gesammelt – in Deutschland zum Beispiel mit der SAP-Microsoft-Kooperation DelosCloud, mit Stackit von Schwarz-Digits oder der T-Systems-Sovereign-Cloud in Kooperation mit Google, mit Anforderungen etwa für „Polizei 2020“ (P20) oder für Amazons European Sovereign Cloud-Angebot. Parallel testete die dem französischen Premierminister unterstellte Behörde einen anderen Pfad, bei dem für die öffentliche Verwaltung stets französische Unternehmen beteiligt sind – beispielsweise der Rüstungskonzern Thales beim im Dezember nach den französischen SecNumCloud-Anforderungen zertifizierten S3NS, das zusammen mit Google betrieben wird oder etwa SAP auf OVH-Hardware.

Genau solche Erfahrungen sollen nun für die Zukunft relevant werden. Dass das BSI die C3A-Systematik nicht im luftleeren Raum entwickelt hat, sondern auch mit Anbietern gesprochen hat, zeigen auch eng daran angelehnte eigene Bewertungsstandards aus der Branche. „Wir haben unter anderem am Beispiel der AWS European Sovereign Cloud gesehen, wie viele Mechanismen eine Rolle spielen, um eine Cloud betriebsfähig zu halten“, erklärt Caspers. „Komplett entkoppelt wird man solche Angebote aber nicht über Jahre weiterbetreiben können.“

Kriterien vom Disconnect bis zum Verteidigungsfall

In den C3A sieht das dann beispielsweise so aus: SOV-4-09-C der C3A definiert, was bei einem Disconnect – also der Abkopplung von der außereuropäischen Betreibercloud – gewährleistet sein muss: Im Kern muss der Betrieb weiterlaufen, ohne dass Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit leiden. Zudem muss es einen dokumentierten Prozess für das Vorgehen und die Durchführung der Abkopplung geben und der Betreiber muss dies mindestens einmal jährlich getestet und dokumentiert haben, inklusive der Ergebnisse des Tests. Wer das weitergehende Kriterium SOV-4-09-AC erfüllen will, muss zudem seine Dokumentation mit den zuständigen IT-Sicherheitsbehörden am Ort des Rechenzentrums auf deren Verlangen hin teilen.

Ähnlich konkret sind auch die Vorgaben in juristischer Hinsicht, etwa wenn es darum geht, dass die Anbieter keiner Nicht-EU-Jurisdiktion unterliegen dürfen oder bei der Frage, von wo aus Mitarbeiter die wesentlichen IT-Pflegemaßnahmen durchführen. Und auch bei der Auswahl der Mitarbeiter gibt es entsprechend gestufte Kriterien: So verlangt SOV-4-01-C1, dass alle Mitarbeiter, die logischen oder physischen Zugang zu Betriebsmitteln des Clouddienstleisters haben, eine EU-Staatsbürgerschaft und einen EU-Wohnsitz haben müssen – noch schärfer ist die Anforderung nach SOV-4-01-C2: dann müssen alle Mitarbeiter nicht nur EU-Bürger sein, sondern auch ihren Wohnsitz innerhalb der Bundesrepublik haben.

Dieses Kriterium kommt insbesondere für Hochsicherheitsanwendungen in Frage, etwa für Sicherheitsbehörden oder auch die Bundeswehr. Für die hat das BSI zwar keine direkte gesetzliche Zuständigkeit. Doch für den Fall der Fälle enthalten die C3A ebenfalls Prüfkriterien. Denn was im grundgesetzlich geregelten Verteidigungsfall erfüllt sein sollte, wird nun auch klar definiert: entsprechend dem Muster aller Notstandsgesetzgebung müssen Clouddienstleister in der Lage sein, den Betrieb an die Bundesbehörden zu übergeben – „inklusive des notwendigen Materials und Personals“.

Potenziell weitreichende Auswirkungen

So wie ursprünglich auch beim C5-Katalog, der zwischenzeitlich jedoch etwa im Sozialgesetzbuch für die Gesundheits-IT qua Gesetz für verbindlich erklärt wurde, ist das bei den C3A ebenfalls nicht direkt der Fall. „Die Criteria Enabling Cloud Computing Autonomy sind aus sich heraus nicht verbindlich“, erklärt Caspers. „Sie können aber natürlich im Rahmen von Gesetzgebung oder bei Ausschreibungen zu Mindestanforderungen erklärt werden.“ Die C3A können jedoch, meint der Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik, „zur Benchmark der Bundesverwaltung werden.“

Das kommt auch durch eine Wechselwirkung der Vorgaben. „Stellen des Bundes sind verpflichtet, den IT-Grundschutz des BSI umzusetzen“, erklärt Martin Bierwirth, Referatsleiter Cloud-Sicherheit beim BSI. „Sofern sie externe Cloud-Dienste nutzen, müssen sie in diesem Rahmen auch den Baustein OPS 2.2 anwenden und erfüllen.“ Auf diesem baue auch der Mindeststandard zur Nutzung externer Cloud-Dienste (MST-NCD) auf. Die C3A wiederum würden auf dem C5 aufbauen und dessen Kriterien zur Informationssicherheit mit dem Thema digitale Souveränität ergänzen. Wer also nicht nur sichere, sondern auch souveräne Vorgaben erfüllen muss, wird darum in der Bundesrepublik absehbar schwer herumkommen. Ob große Hyperscaler diese erfüllen können, dürfte vom jeweiligen Anforderungsprofil der Kunden abhängen – und vom Druck, souveräne Lösungen wählen zu müssen.

Je nachdem, wie sich die europäische Diskussion weiterentwickelt, könnten die neuen Kriterien aber auch jenseits von Rhein und Oder eine maßgebliche Rolle spielen. Sollten mit dem Cloud and AI Development Act der EU solche Kriterien Einzug in die Anhänge der IT-Sicherheitsgesetze wie NIS2 oder Cybersecurity Act finden, würde wohl kaum ein Weg an dem deutschen Vorschlag vorbeiführen.

(fo)

Die Phishing-Attacke über den Messenger Signal hat die höchste Ebene der Politik erreicht. Zwei Ministerinnen und die Bundestagspräsidentin sind offenbar auf den Trick hereingefallen – und haben damit ihre Kontakte, Telefonnummern, Netzwerke und vermutlich auch Chat-Inhalte dem Angreifer offengelegt. Zahlreiche Signal-Gruppen im parlamentarischen Raum sollen derzeit von den Angreifern nahezu unbemerkt ausgelesen werden können, sagen Sicherheitskreise gegenüber dem Spiegel.

Deutsche Medien berichten aufgeregt von einem „Signal-Hack“. Nur ist Phishing eben gerade kein üblicher „Hack“. Es handelt sich hier nicht um ein Softwareproblem oder eine Sicherheitslücke im Code, sondern einen Angriff auf die gutgläubige Person am Smartphone. Die vertraut dem sicheren Messenger so sehr, dass sie den mehr oder weniger plumpen Nachrichten eines gefälschten Signal-Supports Glauben schenkt und dann freigiebig und naiv ihre privaten Sicherheitscodes an die Angreifer herausgibt. Gleich zwei Mal hintereinander.

Das kann passieren, denn die Angreifer spielen mit der Angst des Ziels, setzen es unter Druck. Wer nicht mit den Grundlagen der IT-Sicherheit vertraut ist, kann darauf hereinfallen. So bitter das ist.

Umso mehr würde man von einer Spionageabwehr erwarten, dass sie vor solchen Attacken warnt – und vor allem auf höchster Ebene mit Nachdruck und frühzeitig sagt: „Wenn Sie ein vermeintlicher Signal-Support anschreibt, folgen Sie niemals dessen Anweisungen. Finger weg, das ist gefährlich! Der Signal-Support schreibt niemanden auf Signal an.“

Haben die Behörden versagt?

Wir wissen, dass diese Art der Phishing-Attacke seit mindestens September 2025 im Umlauf ist und schon früh auch Abgeordnete des Bundestages im Visier waren. Eine große Frage ist, wann die für die Abwehr von solchen Attacken zuständigen Behörden BSI und Verfassungsschutz selbst aktiv geworden sind und Regierung und Parlament gewarnt haben. Erst nach unserer Berichterstattung im Januar gab es Anfang Februar eine offizielle Mitteilung der beiden Behörden. Haben diese erst so spät reagiert?

Daran schließt sich die Frage an: Wann sind die mittlerweile angeblich 300 Betroffenen, die Bundestagspräsidentin und die beiden Ministerinnen auf das Phishing hereingefallen? Funktionieren hier Warnmechanismen nicht oder werden ignoriert? Und was hilft in Zukunft gegen solche geschickten, aber doch trivialen Angriffe?

Immer mehr Spuren beim Messenger-Phishing weisen auf Russland

Aktionismus hilft nicht

Was auf jeden Fall nicht hilft, sind spontan aufgestellte Forderungen wie die der Bundestagsvizepräsidentin Andrea Lindholz (CSU). Sie will als Konsequenz aus dem Schlamassel den Messenger Signal im Bundestag verbieten. Stattdessen sollen die Abgeordneten den „Bundes-Messenger“ Wire nutzen. Das ist realitätsfern wie unsinnig.

Signal hat sich nicht ohne Grund als sicherer Messenger in Politik, Journalismus und Aktivismus etabliert. Er macht es endlich einfach, dass Menschen verschlüsselt, vertraulich und privat kommunizieren können – ohne sich in die Untiefen von E‑Mail-Verschlüsselung einarbeiten zu müssen. Das ist ein großer Gewinn an Sicherheit.

Phishing ist auf allen möglichen Kommunikationskanälen und Programmen möglich: Nicht ohne Grund hat noch niemand ernsthaft gefordert, E‑Mails zu verbieten, weil darüber Phishing stattfindet. Dieser Art des Angriffs begegnet man mit Aufklärung, Warnungen und vor allem digitaler Bildung, nicht mit unsinnigen Verboten.