Wenn Bürger im digitalen Raum nach Informationen staatlicher Stellen suchen, ist Verlässlichkeit die wichtigste Währung. Eine offizielle Webseite muss nicht nur vertrauenswürdig, sondern auch zweifelsfrei als solche erkennbar sein. Doch wer in Deutschland nach staatlicher Expertise sucht, begibt sich oft auf eine digitale Schnitzeljagd. Anstatt einer klaren Kennzeichnung herrsche seit Jahren Intransparenz, kritisiert der IT-Sicherheitsforscher Tim Philipp Schäfers. Diese sei nicht nur verwirrend, sondern berge auch handfeste Sicherheitsrisiken wie das Verteilen von Schadsoftware.

Um diesem Zustand entgegenzuwirken und den Druck auf die Verantwortlichen zu erhöhen, hat Schäfers am Montag auf dem Portal FragDenStaat eine Liste mit über 2000 Domains des Bundes veröffentlicht. Diese Daten trug der Experte mühsam über Scraping-Verfahren und Suchmaschinenanalysen zusammen. Die Übersicht bietet nun erstmals einen umfassenden Einblick in den digitalen Fußabdruck des Bundes.

Diese Offenheit sei ein notwendiger Schritt für mehr digitale Souveränität, begründet Schäfers die Veröffentlichung. Sie ermögliche es der Öffentlichkeit und anderen staatlichen Stellen, die Authentizität von Webseiten zuverlässig zu prüfen. Zugleich zwinge sei die Behörden dazu, ihre Sicherheitsvorkehrungen auf ein zeitgemäßes Niveau zu heben. Nur wenn klar dokumentiert werde, welche Domains offiziell sind, ließen sich gefälschte Angebote effektiv entlarven.

„Domain-Kuddelmuddel“

Das Management der Bundes-Domains gleicht aktuell einem Wildwuchs. Während Nationen wie die USA mit .gov oder Großbritannien mit gov.uk auf eine einheitliche und unmissverständliche Endung setzen, verharrt Deutschland in einem dezentralisierten Flickenteppich.

Dieses „Domain-Kuddelmuddel“ zeigt sich laut Schäfers in einem verwirrenden Mix aus klassischen .de-Adressen, selten genutzten .bund.de-Strukturen und einer Vielzahl von Sonderdomains für kurzfristige Projekte oder Initiativen. Oft ist für Außenstehende kaum ersichtlich, ob eine Seite tatsächlich von einer Behörde oder einem Ministerium betrieben wird oder ob es sich um eine gut gemachte Kopie handelt. Die Unklarheit nutzten Betrüger in der Vergangenheit bereits aus. So wurden während der Corona-Pandemie staatliche Websites gezielt nachgeahmt, um Fördergelder abzugreifen. Ein weiteres Problem sind ausgelaufene Domains des Bundes, die in die Hände unbefugter Dritter gelangten, weil das Management der Adressen versagte. Werden solche Adressen nicht rechtzeitig verlängert oder nach einer Umstrukturierung vergessen, können sie zur Falle für Nutzer werden, die dort weiterhin offizielle Inhalte vermuten.

Besonders deutlich werde die Absurdität bei einem Blick auf die Namensänderungen von Ministerien nach Regierungsneubildungen, führt Schäfers aus. Als Beispiel nennt er das heutige Bundesdigitalministerium, das seit Ende der 1990er Jahre gleich fünf verschiedene Bezeichnungen getragen habe. Jede dieser Umbenennungen habe eine Spur an Domains hinterlassen – von bmvbs.de über bmvi.de bis hin zu unzähligen Variationen mit Endungen wie .net, .org oder .info. Sogar „Minister-Domains“ wie verkehrsminister.de seien registriert worden. Diese Flut an Adressen mache es Bürgern praktisch unmöglich, die Echtheit einer URL zu beurteilen.

Die eigentlich geplante „digitale Dachmarke“ mit der Endung gov.de, die der IT-Planungsrat bereits im März 2024 beschloss, lässt derweil auch Jahre später auf ihre vollständige Umsetzung warten. Bisher sind nur verschwindend wenige dieser eindeutigen Domains tatsächlich im Einsatz.

Probleme mit bund.ee

Inmitten dieser Unübersichtlichkeit verfolgt die Bundesregierung eine Strategie, von der Schäfers gar nichts hält: Security by Obscurity. Behörden stufen Listen ihrer betriebenen Domains teils als Verschlusssache ein, in der Hoffnung, dass unbekannte Systeme seltener angegriffen werden. Doch dieses Prinzip gilt in der modernen IT-Landschaft als überholt. Geheimhaltung bietet keinen Schutz vor gezielten Angriffen, da automatisierte DNS-Scans, Suchmaschinen und Transparenz-Logs für Zertifikate solche Adressen ohnehin früher oder später aufspüren. Ein Angreifer benötige keine offizielle Liste, um den Adressraum einer Behörde systematisch zu erfassen, gibt Schäfers zu bedenken. Vielmehr wiege die Geheimhaltung auch die Betreiber in einer trügerischen Sicherheit.

Die Risiken dieser Intransparenz untermauerten kürzlich Vorfälle rund um die Endung „bund.ee“, wie Schäfers am Sonntag auf dem 39. Chaos Communication Congress (39C3) in Hamburg berichtete. Ein einfacher Tippfehler oder eine falsch assoziierte Endung wie bei dieser von ihm testweise gesicherten Domain könnten dazu führen, dass Nutzer auf privaten oder gar bösartigen Seiten landeten, die offiziell wirkten. Versäume es der Staat, seine digitale Identität klar zu definieren und zu kommunizieren, überlasse er den Raum Desinformationskampagnen und Betrugsversuchen. Echte Sicherheit entstehe durch robuste technische Schutzmaßnahmen wie starke Authentifizierung und eine kontinuierliche Bestandskontrolle.

Die Einführung der gov.de-Domain für alle Bundesbehörden dürfe nicht länger aufgeschoben werden, verlangt der Forscher. Es brauche ein öffentliches Verzeichnis aller offiziellen Domains, damit die digitale Identität des Staates nicht länger ein Ratespiel bleibe.

(uma)

Handys mit Foldable-Technik bieten im aufgeklappten Zustand zwar einen großen Bildschirm, doch entspricht dieser nicht dem, was man etwa von Tablets gewohnt ist, weshalb man etwa bei Filmen einen schwarzen Rand hat und Apps seitenverhältnismäßig nur unschön unterbekommt. Der Grund: Das Außendisplay soll, wenn das Gerät geschlossen ist, ungefähr so groß sein wie bei einem normalen Handy. Apple scheint sich bei seinem lange erwarteten iPhone Fold nun zu einem Kompromiss durchgerungen zu haben: Angeblich strebt das Unternehmen eine Display-Ratio von gut 4:3 an. Das lässt sich aus Informationen des IT-Newsdienstes The Information schließen.

Ein breiteres iPhone mini

Dieser hatte berichtet, dass das Außendisplay des iPhone-Foldable 5,3 Zoll betragen soll. Das entspricht ziemlich genau dem, was man vom iPhone 12 mini und iPhone 13 mini (von 2021 und 2022) kennt – allerdings breiter und niedriger. Aufgeklappt soll der innere Screen dann 7,7 Zoll haben. Die Anordnung legt nahe, dass Apples Falt-Handy eher das Format eines Reisepasses hat (wenn auch größer) als die üblicher „book style“-Foldables. Wie das ungefähr aussieht demonstrieren Bastler: Ausgedruckt auf X sowie in Form eines auf MakerWorld publizierten 3D-Druck-Dummys.

Der 4:3-Formfaktor würde Apples Gerät von bisherigen Foldables absetzen. Die Mock-ups zeigen, dass es sich durchaus ordentlich greifen ließe. iPhone 12 mini und iPhone 13 mini passten zudem prima in eine Hosentasche und waren zumindest bei bestimmten Zielgruppen sehr beliebt. Eine Teilreaktivierung dieses Designs wäre also willkommen. Apple hatte die mini-Familie nach zwei Baureihen eingestellt, weil sie sich offenbar schlecht verkaufte – danach kam das Plus-Modell, das größer war als das Standard-iPhone. Dieses wurde beim diesjährigen iPhone-Jahrgang durch das dünne Air-Modell ersetzt.

Mischt auch Samsung mit?

Spannenderweise ist nicht nur Apple an neuen Formfaktoren für Foldables interessiert. Angeblich steht auch Samsung kurz davor, ein „Wide Foldable“ ins Programm zu nehmen, wie Medien aus Südkorea berichten.

Statt 6,5 Zoll außen wie beim Galaxy Z Fold7 soll die nächste Generation auf 5,4 Zoll heruntergehen. Auch hier wird das Bildschirmverhältnis 4:3 angestrebt. Das nächste Galaxy Fold wird schon im kommenden Jahr erwartet – genauso wie das iPhone-Foldable, das wohl im September erscheint.

(bsc)

Beim Einsatz automatisierter Datenanalyse durch die Polizei geraten nach Einschätzung der Gesellschaft für Freiheitsrechte (GFF) zunehmend unbeteiligte Menschen ins Visier der Sicherheitsbehörden. „In Polizeidatenbanken landen Menschen ganz schön schnell“, sagte Franziska Görlitz von der GFF. Darunter auch Whistleblower und Zeigen. Würden diese Daten zusammengeführt und analysiert, könnten „Menschen allein durch so ein Tool ins Visier rutschen“.

Besonders problematisch seien komplexe Analyse-Systeme wie Palantir Gotham. „Das ist keine Datenabgleich-Möglichkeit, sondern da geht es wirklich um extrem komplexe Predicted-Policing- beziehungsweise Voraussage- und Analysesysteme“, so Görlitz. Die Nachvollziehbarkeit der Ergebnisse gehe dabei verloren: „Dann stellt sich am Ende die Frage: Ist der Computer jetzt zu dem Ergebnis gekommen, dass da eine Verbindung besteht oder dass die Person gefährlich sein könnte?“

Bayern als Türöffner

Kritisch hervorgehoben wurde in diesem Zusammenhang primär Bayern. Dort habe die Staatsregierung unter Ministerpräsident Markus Söder eine Vorreiterrolle beim Einsatz von Palantir eingenommen und früh Fakten geschaffen – inklusive Tests mit Echtdaten, noch bevor eine tragfähige Rechtsgrundlage bestand. Kurz sprach dabei von einem „interessanten Rechtsverständnis“ des „Wurstkönigs“ – gemeint ist der bayerische Ministerpräsident Markus Söder. Bayern habe damit eine Tür geöffnet, über die auch andere Bundesländer leichter einsteigen könnten, etwa über Rahmenverträge, ohne eigene Ausschreibungen durchführen zu müssen.

Die haben wirklich monatelang Echtdaten von richtigen Menschen aus Bayern und weiteren Bundesländern. In vielen Polizei-internen Datenbanken lande man auch, wenn man mit dem Bundesland nicht viel zu tun habe. Nichtmal der Bayerische Datenschutzbeauftragte Thomas Petri sei informiert worden. Er habe erst aus der Presse darüber erfahren.

Je tiefgreifender die Analyse, desto strenger die Voraussetzungen

Das Bundesverfassungsgericht habe 2023 zwar klargestellt, dass automatisierte Datenanalysen grundsätzlich möglich seien, zugleich aber strenge Maßstäbe gesetzt. „Je weitergehend die Analyse, desto strenger müssen die Voraussetzungen sein“, betonte Görlitz. In Hessen, Nordrhein-Westfalen und Bayern seien diese Vorgaben aus Sicht der GFF weiterhin nicht eingehalten, weshalb mehrere Verfassungsbeschwerden anhängig sind.

Kritik gibt es zudem an der wachsenden Abhängigkeit von privaten Anbietern. „Wenn man sich abhängig macht von Software-Tools von anderen Staaten oder von privaten Unternehmen, dann droht, dass man die dann halt auch braucht für die eigene Arbeit“, warnte Görlitz. Übergangslösungen würden schnell zur Dauerlösung: „Wenn man das Tool erst mal hat und dafür wahnsinnig viel Geld ausgibt, wie viel Anreiz besteht dann, sich um eine Eigenentwicklung zu kümmern?“ Preise könnten aufgrund der Abhängigkeiten ebenfalls schnell angehoben werden.

Aus Sicht der GFF unterschätzt die Politik die Tragweite massiv. „Massenhafte Datenanalysen gerade durch künstliche Intelligenz sind fehlerbehaftet und führen zu diskriminierenden Ergebnissen – sie sind deswegen eine große Gefahr für die Grundrechte.“

Abschließend verwies Kurz auf eine Recherche des Schweizer Magazins Republik, die detailliert zeigte, wie Palantir sich „über Jahre an die Behörden herangewanzt hat“ und welche technologischen, geopolitischen, juristischen und ethischen Risiken damit verbunden sind. Besonders hervorgehoben wurde ein öffentlich zugänglicher Bericht der Schweizer Armee, dessen Gutachter ausdrücklich empfehlen, „auf Lösungen des Unternehmens Palantir zu verzichten“.

Palantir fühlt sich missverstanden

Bemerkenswert sei zudem Palantirs Reaktion: Erstmals habe der Konzern in einem Blogbleitrag auf die Kritik reagiert, sich als „missverstanden“ dargestellt und ausgewählten Akteuren Gespräche angeboten – „mit NDA“, wie Konstanze betonte. Gleichzeitig habe Palantir sich im Sommer auch aktiv an Landes- und Bundesinnenministerien gewandt, um erneut für seine Produkte zu werben. Für Konstanze zeigt das: Die öffentliche Debatte wirkt – und zwingt den Konzern zumindest punktuell aus seiner bisherigen Kommunikationsverweigerung heraus.

(mack)