Uns fehlen dieses Jahr
noch 320.461 Euro.
Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.
Jetzt Spenden
Datenschutz & Sicherheit
KI-Nutzung der öffentlichen Verwaltung bleibt undurchsichtig
Ob zur Grundwasseranalyse oder um den Zustand von Straßen zu erfassen – in der öffentlichen Verwaltung kommen immer mehr Werkzeuge zum Einsatz, die auf sogenannter Künstlicher Intelligenz basieren. Kaum eine Verwaltungswebsite verzichtet noch auf einen Chatbot. Seit einer Woche steht für die Mitarbeiter:innen der Berliner Verwaltung der KI-Assistent BärGPT bereit. Und das Verbraucherportal der Bundesnetzagentur setzt KAI ein.
Geht es nach Digitalminister Karsten Wildberger (CDU), wird der Erfolg der Digitalisierung in der öffentlichen Verwaltung maßgeblich von KI-Systemen abhängen. Daher dürfte es auch immer wichtiger werden, KI-Anwendungen zu erfassen. Seit gut einem Jahr gibt es dafür unter anderem das nationale KI-Transparenzregister. Es ist Teil des Marktplatzes der KI-Möglichkeiten, kurz MaKI. Daneben gibt es ein Dashboard mit Daten über KI-Nutzung in der Verwaltung und Steckbriefen über einzelne KI-Tools.
Für das Transparenzregister ist das Bundesministerium für Digitales und Staatsmodernisierung zuständig. Den Grundstein für MaKI legte eine Pilotinitiative des Beratungszentrums für Künstliche Intelligenz (BeKI) des Bundesinnenministeriums. Das Zentrum ist im Aufbau und soll „eine zentrale Anlauf- und Koordinierungsstelle für KI-Vorhaben in der Bundesverwaltung“ sein.
Das KI-Transparenzregister soll die Vorgaben der KI-Verordnung umsetzen. Derzeit umfasst die Datenbank gut 240 Einträge zu KI-Anwendungen auf Bundesebene. Die Datensätze dazu liefern die nutzenden Bundesbehörden selbst. Zum 1. Dezember hat das Bund-Länder-Gremium IT-Planungsrat den Roll-out auf alle Verwaltungsebenen begonnen. Anfang 2027 will der IT-Planungsrat den MaKI samt Transparenzregister als eigenständiges Produkt unter seine Fittiche nehmen.
Register setzt auf Freiwilligkeit
Dass der Rat die anderen Verwaltungsebenen einbeziehen will, sei zu begrüßen, sagt der Jurist Jonas Botta gegenüber netzpolitik.org. Das sei eine wichtige Voraussetzung dafür, um ein umfassendes Bild über den behördlichen KI-Einsatz zu erhalten. Botta leitete ein Drittmittelprojekt zum KI-Transparenzregister, an dem auch die Nichtregierungsorganisation AlgorithmWatch, die gemeinnützige Verwaltungsplattform NExT e. V. und das Deutsche Forschungsinstitut für öffentliche Verwaltung (FÖV) beteiligt waren.
Im KI-Transparenzregister geben Behörden verschiedene Informationen zu ihren KI-Anwendungen an. Etwa dazu, ob diese gerade entwickelt werden oder schon im Einsatz sind. Das Register umfasst außerdem Daten zu nicht länger genutzten KI-Tools und Projektstarts. Daneben können Behörden eine Kontakt-E-Mail-Adresse und das nutzende Ressort angeben oder auch, ob der Auftrag extern oder inhouse vergeben wurde.
Ausschlaggebend ist hier jedoch das Wort „können“. Denn bislang geben Behörden die Angaben zu ihren KI-Tools freiwillig weiter. Damit sei das Register nach wie vor kein „umfassender, grundrechtssichernder Transparenz-Mechanismus“, sagt Jonas Botta.
Das KI-Transparenzregister müsste aber für die öffentliche Verwaltung verpflichtend sein, um den staatlichen KI-Einsatz grundrechtlich abzusichern. Als Vorbild könne ein entsprechendes Register namens Algoritmeregister aus den Niederlanden dienen.
Intransparentes Verwaltungshandeln
Wäre es verpflichtend, würde das Register Verwaltungshandeln verlässlich transparent machen. Das sei „im demokratischen Rechtsstaat nicht nur allgemein von hoher Bedeutung“, sagt Jonas Botta, sondern werde „angesichts des ‚Blackbox‘-Phänomens von KI-Systemen“ immer wichtiger.
Eine große Schwäche des Registers in seiner jetzigen Form sind die Hürden für Bürger:innen. Die zur Verfügung gestellten Daten sind unübersichtlich aufbereitet und in einer schier endlos langen Tabelle aufgeführt. Sie können zwar etwa nach Entwicklungsstatus oder Verwaltungsebene gefiltert werden. Exportieren lassen sie sich dann aber nur in Form einer Excel-Tabelle. Darüber hinaus sind die angegebenen Daten lückenhaft. So gibt es etwa nicht immer eine Angabe zum Lizenztyp oder zum Kooperationspartner.
Auch sind Angaben zu rechtlichen Grundlagen für den Einsatz von KI-Systemen unvollständig oder es fehlen Angaben dazu, welche Daten die Behörden während des Einsatzes erheben und nutzen, kritisiert Pia Sombetzki von AlgorithmWatch. „Wenn hinter der Angabe zur ‚Beschreibung der Verfahren des Betriebs‘ beispielsweise steht ‚vorhanden’“, sei das keine hilfreiche Auskunft, weil diese zu unspezifisch sei.
Risikostatus: unklar
Bürger:innen können kaum nachvollziehen, „wann sie mit welchem KI-System konfrontiert sind, warum die Behörde dieses System verwendet und welche potenzielle Risiken“ sie bergen, sagt Botta. Auch Abwägungsprozesse der jeweiligen Behörde blieben undurchsichtig: Welche KI setzt die Behörde aus welchen Gründen und für welchen Anwendungsfall ein? Welche Risiken spielen dabei eine Rolle? Und wie kann sie Risiken minimieren oder umgehen?
„Von echter Nachvollziehbarkeit über die KI-Einsätze beim Staat sind wir noch meilenweit entfernt“, sagt Sombetzki. Das Register versäume es, eine lückenlose Nachvollziehbarkeit beim Thema Risikobewertung zu schaffen. Hier fehlten klare Vorgaben. Das verdeutliche auch die Antwort der Bundesregierung auf eine Kleine Anfrage der Partei Die Linke. Die dort gemachten Angaben seien nicht mit denen im Transparenzregister deckungsgleich. Gleichzeitig verweise die Bundesregierung auf die Angaben im Register.
Zudem hätten Behörden bei mehr als einem Drittel der KI-Anwendungen keinerlei Risikobewertungen vorgenommen. Obwohl die KI-Verordnung voraussetze, dass die Bundesverwaltung das Risiko ihrer KI-Einsätze abschätzt, wie Pia Sombetzki anmerkt.
An der Verwaltung ausgerichtet
Botta kritisiert zudem die Anbindung des Transparenzregisters an den MaKI. Damit stünden bislang die Behördeninteressen im Fokus, wie die Qualitätssicherung und Nachnutzung von KI-Tools durch die Behörden selbst. Diese Interessen betonte auch Heiko Geue beim Pressegespräch anlässlich der 48. Sitzung des IT-Planungsrats Ende November. Geue ist Finanz- und Digitalisierungsminister Mecklenburg-Vorpommerns sowie Vorsitzender des Rats.
Doch Behördeninteressen bildeten nur eine der Anforderungen an das Transparenzregister ab. Dieses solle, so Bolle, aber auch für Bürger:innen, die organisierte Zivilgesellschaft und die Wissenschaft KI-Tools und deren Einsatz in der Verwaltung transparent machen. Für sie halte sich der Nutzen aber bislang stark in Grenzen, so der Jurist. Pia Sombetzki sieht derweil die Gefahr, dass das MaKI „zu einem unwirksamen Marktplatz unter vielen“ verkommt und mit ihm das Register.
Datenschutz & Sicherheit
Die Woche, in der wir zurück ins Jahr 1986 reisten
Liebe Leser:innen,
das Wort des Jahres ist „KI-Ära“. Das Thema Künstliche Intelligenz „ist aus dem Elfenbeinturm der wissenschaftlichen Forschung herausgetreten und hat die Mitte der Gesellschaft erreicht“, begründet die Gesellschaft für deutsche Sprache ihre Wahl.
Die Bundesdruckerei hockt derweil in ihrer ganz eigenen Abgeschiedenheit. Sie setzt den Datenatlas um, der „souveräne Datenkatalog für die Bundesverwaltung“. Mitarbeitende verschiedener Ministerien und Behörden sollen hier nachschlagen können, wo welche Daten liegen.
Eigentlich eine gute Sache. Doch das Projekt ist offenbar Lichtjahre von der technischen Gegenwart, geschweige denn von irgendeiner „KI-Ära“ entfernt. Zu diesem Schluss kommt zumindest der Wissenschaftler David Zellhöfer in einem Gutachten, über das meine Kollegin Esther diese Woche berichtet hat. Demnach biete der Datenatlas weniger Funktionen als Datenbanken aus dem Jahr 1986, so das markige Urteil. Damals war das Wort des Jahres übrigens „Tschernobyl“. So lange ist das her.
Auf Platz 2 kam vor knapp vierzig Jahren das Wort „Havarie“, was so viel wie Fehler oder Schaden bedeutet. Den will die Bundesdruckerei nun offenbar noch vergrößern. Als wir sie mit den Ergebnissen des Gutachtens konfrontieren, schrieb die bundeseigene GmbH zurück, gegebenenfalls rechtliche Schritte gegen Zellhöfer einzuleiten.
Zellhöfer nahm sein Gutachten daraufhin offline, um sich rechtlich abzusichern. „Ich war unmittelbar eingeschüchtert“, sagte er gegenüber netzpolitik.org, „obwohl die Antwort der Bundesdruckerei in keiner Weise sachlich nachvollziehbar ist.“
Inzwischen ist das Gutachten wieder abrufbar. Und Zellhöfer kann mit mehr Humor auf die Sache schauen. Positiv gesehen könne der Datenatlas auch „als Projekt eines Retro-Computing-Enthusiasten“ durchgehen, sagt er.
Ein bisschen mehr Humor wünsche ich auch der Bundesdruckerei. Dann trägt sich die Atlas-Last gleich leichter.
Habt ein schönes Wochenende!
Daniel
Datenschutz & Sicherheit
Weltweites CDN: Offenbar wieder Störung bei Cloudflare
Am Freitagvormittag gibt es offenbar erneut Probleme beim CDN-Anbieter Cloudflare. Verschiedene Webseiten sind nicht verfügbar – sie liefern lediglich einen HTTP-Fehler 500 aus. Die Ursache ist unklar, der Anbieter spricht von „API-Problemen“.
Weiterlesen nach der Anzeige
Fehler 500 beim Besuch von cloudflare.com
Stichproben einiger Webseiten wie cloudflare.com, aber auch die beliebten Störungsmelder downdetector.com und allestoerungen.de sind fehlerhaft oder komplett defekt: Mal fehlt die Startseite komplett, in anderen Fällen lediglich die per Cloudflare-CDN ausgelieferten Assets wie Bilder und Stylesheets
API-Probleme?
Cloudflares Statusseite hingegen ist, anders als beim vorherigen Ausfall im November, noch immer verfügbar. Sie spricht von Fehlern bei der Cloudflare API und dem Dashboard. „Customers using the Dashboard / Cloudflare APIs are impacted as requests might fail and/or errors may be displayed.“
Wie Cloudflare nun erläuterte, handelte es sich beim Ausfall um eine Auswirkung der kürzlich bekannt gewordenen kritischen „React2Shell“-Sicherheitslücke im React-Framework. Das Unternehmen habe für die Web Application Firewall, die neben Kundendomains offenbar auch die eigene Webseite schützt, eine Änderung eingespielt, um vor CVE-2025-55182 zu schützen. Was genau schiefgegangen sei, werde man später bekanntgeben, so das Unternehmen. Ein Cyberangriff liege nicht vor.
Vorgestern DNS-Probleme für Telekom-Kunden
Weiterlesen nach der Anzeige
Der Cloudflare-eigene DNS-Resolver 1.1.1.1 war für viele Telekom-Kunden offenbar am Abend des 3. Dezember nicht erreichbar. Wie Betroffene auf Reddit beklagten, führte das zu Internetausfällen – weil auch die Alternative 1.0.0.1 nicht funktionierte. Mittlerweile scheint diese Störung jedoch behoben, die Ursache ist unklar.
Am Abend des 3. Dezember erreichte keiner der 150 Messpunkte des Monitoringnetzes „RIPE Atlas“ im Netz der Telekom den DNS-Server 1.1.1.1.
(Bild: Reddit-User lordgurke)
Update
05.12.2025,
10:16
Uhr
Cloudflare hat laut eigenen Angaben Problembehebungen vorgenommen und beobachtet die Störung weiter.
Update
05.12.2025,
11:08
Uhr
Erste Fehleranalyse seitens Cloudflare ergänzt.
(cku)
Datenschutz & Sicherheit
Jetzt patchen! Attacken auf React2Shell-Lücke laufen an
Kaum ist öffentlicher Exploitcode in Umlauf, gibt es erste Berichte zu Angriffen auf React-Server. Sicherheitspatches sind verfügbar.
Weiterlesen nach der Anzeige
Hintergründe
Die „kritische“ Lücke (CVE-2025-55182 CVSS Score 10 von 10) ist erst seit wenigen Tagen bekannt und betrifft ausschließlich React-Server. Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Durch das Versenden von präparierten HTTP-Anfragen können Angreifer Schadcode auf Systeme schieben und diese so vollständig kompromittieren.
Die Entwickler versichern, die Schwachstelle in den React-Ausgaben 19.0.1, 19.1.2 und 19.2.1 geschlossen zu haben.
Laufende Attacken
Wie aus einem Beitrag eines Sicherheitsforschers auf X hervorgeht, ist mittlerweile Exploitcode in Umlauf. Im gleichen Zeitraum meldet das IT-Sicherheitsteam von Amazon AWS bereits die ersten Attacken. Sie geben in einem Beitrag an, dass ihre AWS-Services von der Lücke nicht betroffen sind.
Die AWS-Sicherheitsforscher ordnen die Attacken staatlichen-chinesischen beziehungsweise chinafreundlichen Bedrohungsakteuren wie Earth Lamia und Jackpot Panda zu. Diese Gruppen haben weltweit primär staatliche Einrichtungen und kritische Infrastrukturen aus dem Energiesektor im Visier.
Dabei sollen die Gruppen äußerst professionell und zügig vorgehen. Dafür nutzen sie den Forschern zufolge unter anderem automatisierte Scan- und Angriffstools. Außerdem verfeinern sie ihre Angriffstechniken stetig, um die Erfolgsquote ihrer Attacken zu steigern. In welchem Umfang die Angriffe ablaufen und ob sie territorial begrenzt sind, ist derzeit nicht bekannt.
Weiterlesen nach der Anzeige
Admins sollten umgehend handeln und ihre React-Server durch die Sicherheitspatches schützen. In ihrem Beitrag führen die Sicherheitsforscher Parameter (Indicators of Compromise, IoC) auf, an denen Admins bereits attackierte Systeme erkennen können.
(des)
-
UX/UI & Webdesignvor 2 MonatenIllustrierte Reise nach New York City › PAGE online
-
Datenschutz & Sicherheitvor 3 MonatenJetzt patchen! Erneut Attacken auf SonicWall-Firewalls beobachtet
-
Künstliche Intelligenzvor 2 MonatenAus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
-
Künstliche Intelligenzvor 2 Monaten
Top 10: Die beste kabellose Überwachungskamera im Test
-
UX/UI & Webdesignvor 3 MonatenFake It Untlil You Make It? Trifft diese Kampagne den Nerv der Zeit? › PAGE online
-
Entwicklung & Codevor 3 WochenKommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
-
UX/UI & Webdesignvor 2 MonatenSK Rapid Wien erneuert visuelle Identität
-
Social Mediavor 2 MonatenSchluss mit FOMO im Social Media Marketing – Welche Trends und Features sind für Social Media Manager*innen wirklich relevant?
