Neues MAD-Gesetz: Ein Militärgeheimdienst wird aufgerüstet
5.000 Soldat:innen aus Deutschland sollen bis 2027 in Litauen stationiert sein. Ihre Aufgabe: Die NATO-Ostflanke in dem baltischen Staat schützen. Schon heute sind rund 400 Bundeswehr-Angehörige vor Ort im Baltikum, kürzlich hat in Vilnius eine deutsche Schule eröffnet. Gemeinsam mit der Panzerbrigade 45 ziehen auch deutsche Spione in das Gebiet. Sie gehören zum MAD, dem Militärischen Abschirmdienst. Der deutsche Militärgeheimdienst ist beispielsweise dafür zuständig, Spionage und Sabotage gegen die Bundeswehr abzuwehren oder auch Sicherheitsüberprüfungen bei Armeepersonal zu übernehmen. Doch künftig sollen die militärischen Spione noch viel mehr dürfen.
Das steht im „Gesetz zur Stärkung der Militärischen Sicherheit in der Bundeswehr“, einem Entwurf aus dem Verteidigungsministerium von Boris Pistorius (SPD). Hinter dem unscheinbaren Titel verbergen sich weitreichende Änderungen im deutschen Geheimdienstrecht. Das mehr als 100 Seiten starke Papier beinhaltet ein völlig neu geschriebenes MAD-Gesetz. Und es ist erst der Auftakt weiterer Geheimdienstreformen, die Schwarz-Rot in dieser Legislatur noch vorhat.
Die Bundeswehr in Litauen sei Angriffspunkt für Spionage und Sabotage, warnte die Präsidentin des MAD Martina Rosenberg bei einer Anhörung der Geheimdienstchefs im deutschen Bundestag. Deutschland sei für Russland „Zielfläche Nummer eins in Europa“. Verbunden mit ihrer Warnung war die dringliche Forderung an die Parlamentarier:innen für mehr Befugnisse und Budget. Und den Dank, dass dies bereits auf den Weg gebracht wurde, „um so hoffentlich zeitnah mit gut ausgestatteten Behörden den vielfältigen Herausforderungen gestärkt entgegentreten zu können“.
Die Geheimdienstchefin hat viele Gründe, dankbar zu sein. Ihr Dienst soll mit dem geplanten MAD-Gesetz weit mehr Kompetenzen bekommen, sowohl im analogen als auch digitalen Bereich. Vieles soll auf einer Ebene unterhalb des Gesetzes konkretisiert werden und entzieht sich so der Öffentlichkeit. Fachleute warnen vor möglichen Kontrolllücken und fordern, dass es eine Geheimdienstreform für alle drei bundesdeutschen Dienste zusammen braucht.
MAD wird zum Verfassungsschutz
Im neuen Gesetz wird der MAD als „Verfassungsschutzbehörde und abschirmender Nachrichtendienst der Bundeswehr“ bezeichnet und damit als eine weitere Verfassungsschutzbehörde neben dem Bundes- und den Landesverfassungsschutzämtern platziert. Doch vergleichbar sind die Einrichtungen nicht, das merkt die Bundesregierung auch in der Gesetzesbegründung an. Der MAD zeichne sich „durch eine Vielzahl an Unterschieden zu den zivilen Verfassungsschutzbehörden aus“. Künftig wird es einen weiteren großen Unterschied bei den Befugnissen im Ausland geben. Eine der deutlichen Ausweitung betrifft nämlich die Frage, wo der MAD aktiv sein darf.
Bislang operiert der Militärgeheimdienst vor allem im Inland sowie in ausländischen Kasernen, in denen deutsche Soldat:innen stationiert sind. Doch er soll bald auch außerhalb der Militärgelände im Ausland agieren dürfen.
Alles ist eine Information
In der Begründung zum Gesetzentwurf heißt es, der MAD bearbeite „Sachverhalte im Ausland, die die Sicherheit der Bundeswehrangehörigen im Einsatz beeinträchtigen könnten“ und sammle dafür Informationen. Wobei Informationen für den Geheimdienst ein breites Feld sind:
Der Begriff Informationen ist als Oberbegriff für alle sach- und personenbezogenen Auskünfte, Nachrichten und Unterlagen sowie sonstigen Daten zu verstehen, die irgendeinen für die Aufgabenerfüllung des Militärischen Abschirmdienstes bedeutsamen Aussagegehalt haben oder haben können.
Derartige Gummi-Formulierungen kommen öfter in Geheimdienst-Gesetzen vor. So steht im BND-Gesetz als zentrale Aufgabe des Auslandsgeheimdienstes, Erkenntnisse „von außen- und sicherheitspolitischer Bedeutung“ zu sammeln.
Im Fall des MAD bedeutet das Informationsverständnis, dass der Militärgeheimdienst im Ausland künftig entsprechend der Regelungen etwa Telekommunikation überwachen, V-Personen einsetzen oder Ziele observieren darf. Was an dem Befugnisaufwuchs verwundert: Bislang war vor allem der BND als dedizierter Auslandsgeheimdienst dafür zuständig. Er sammelte bei Auslandseinsätzen der Bundeswehr Erkenntnisse, die dafür entsprechend relevant waren. Und der BND behält diese Befugnisse auch weiterhin. Doch wie will die Bundesregierung verhindern, dass sich die beiden Geheimdienstbehörden ins Gehege kommen oder doppelt arbeiten?
Informelle Aufteilung von Aufgaben
Das Gesetz – geht es nach der Bundesregierung – soll das nicht regeln. MAD und BND sollen die Aufteilung auf einer informelleren Ebene klären. Der MAD nehme seine Aufgaben „im Einvernehmen mit dem Bundesnachrichtendienst“ wahr, heißt es gleich im zweiten Paragrafen des Gesetzentwurfs. Dieses Einvernehmen, so der Entwurf weiter, könne „für eine Reihe gleichgelagerter Fälle hergestellt werden“.
Wie genau das aussieht, wird die Öffentlichkeit auf offiziellen Wegen dann vermutlich nicht erfahren. Denn im Gegensatz zu Gesetzen sind Vereinbarungen der Geheimdienste untereinander in aller Regel – wie es ihr Name nahelegt – geheim oder zumindest nicht öffentlich zugänglich.
Neben der Transparenz könnte es aber auch Probleme mit der Effizienz der Arbeit geben, glaubt Corbinian Ruckerbauer von interface. Er koordiniert das European Intelligence Oversight Network (EION), das Nachrichtendienstkontrolleur:innen und anderen Expert:innen eine Plattform für regelmäßigen und strukturierten Austausch bietet. „Mit der Ausweitung der Befugnisse des MAD verschärft sich das Problem der überlagernden Zuständigkeiten der unterschiedlichen Geheimdienste im Zusammenhang mit der Bundeswehr“, schreibt Ruckerbauer gegenüber netzpolitik.org. Eine klare Abgrenzung zwischen den Diensten falle zunehmend schwer. „Das birgt erhebliche Risiken für die Effizienz der Arbeit der Sicherheitsbehörden einerseits und der Effektivität der Kontrolle andererseits.“
Dienstvorschrift als Transparenzproblem
Eine Vorliebe für nicht-gesetzliche Regelungen zeigt sich auch bei der Liste der „nachrichtendienstlichen Mittel“, die der MAD künftig nutzen sollen darf. Paragraf 8 des Gesetzentwurfs enthält insgesamt 15 Punkte: von „verdeckte Nachforschungen und verdeckte Befragungen“ bis zu „Einsichtnahme in Systeme der Informations- und Kommunikationstechnik“. Doch wenn künftig neue entsprechende Spionagemethoden dazukommen, soll dafür keine Gesetzesänderung notwendig sein. Eine Dienstvorschrift würde reichen, wenn das neue Werkzeug vergleichbar mit der Liste ist, es keine spezielle gesetzliche Regelung braucht und der Unabhängige Kontrollrat zustimmt.
Auch bei diesen Dienstvorschriften ist davon auszugehen, dass sie nicht von vornherein der Öffentlichkeit zugänglich sind – anders als ein Gesetz. „Wesentliche nachrichtendienstliche Mittel brauchen eine klare gesetzliche Grundlage“, schreibt Ruckerbauer dazu. „Ein einfacher Verweis auf Dienstvorschriften beeinträchtigt die demokratische Kontrolle des MAD und ist verfassungsrechtlich fragwürdig“, so der Experte für Geheimdienstkontrolle.
Virtuelle Agenten
Der Gesetzentwurf macht auch klar, dass sich der sehr weite Informationsbegriff auf digitale und analoge Informationen gleichermaßen bezieht. Für die Aufgabenerfüllung des MAD sei es egal, ob Beschaffung und Verarbeitung „realweltlich oder im Cyberraum“ stattfinden. Dazu passt es auch, dass es besonders im digitalen Raum jede Menge neue Kompetenzen für den Militärgeheimdienst geben soll.
Eine davon ist der Einsatz „virtueller“ Agent:innen. Dabei bahnen Geheimdienst-Mitarbeitende verdeckt Kontakt zu Zielpersonen auf Online-Plattformen oder in Chatgruppen an. Das ist keine unbekannte Geheimdienstpraxis. So schickte etwa der Bundesverfassungsschutz laut Berichten der SZ aus dem Jahr 2022 seine Mitarbeitenden in digitale rechtsradikale Kommunikationskanäle. Dort lasen die Spione nicht nur mit, sondern stimmten in volksverhetzende Inhalte ein – um sich Vertrauen zu erarbeiten.
Fachleute kritisierten damals, dass es für solche digitalen Undercover-Ermittlungen bislang an einer expliziten Rechtsgrundlage fehle und dadurch etwa nicht klar geregelt sei, ab wann der Geheimdienst zu diesen Mitteln greifen darf. Für den MAD soll das nun offenbar geändert werden. Besonders geht es dabei um Fälle, wo sich Geheimdienstmitarbeitende nicht nur etwa in einschlägigen Foren und Kanälen aufhalten, sondern unter einer Tarnidentität besonderes Vertrauen zu Personen aufbauen. Dadurch versuchen sie mehr Informationen zu erhalten, als sie dies durch reines Mitlesen bekommen würden.
Begründet wird dies mit „der zunehmenden Bedeutung von Internetplattformen und sozialen Netzwerken wie Instagram, Facebook, LinkedIn, MySpace (sic!) oder X für das Kommunikationsverhalten in der Bevölkerung“.
Wenn „fremde Mächte“ angreifen
Weit mehr als eine Anpassung der Rechtsgrundlage an gängige Geheimdienstpraktiken dürften auch die Paragrafen zum „Auslesen technischer Spuren informationstechnischer Angriffe fremder Mächte“ und zu damit verbundenen Auskunftsverlangen sein. Sie reagierten „insbesondere auf die immer relevanter werdenden Cyberangriffe“, schreibt eine Sprecherin des Verteidigungsministeriums auf Anfrage von netzpolitik.org. Derzeit sei das nicht erlaubt.
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Man erhofft sich davon, besonders komplexe Angriffe aufklären zu können, „bei denen einzelne informationstechnische Systeme gezielt als Teil einer komplexeren Angriffsinfrastruktur eingesetzt werden.“ Dabei müssen diese Systeme nicht immer den Angreifern selbst gehören. Sie können beispielsweise auch über infizierte Drittsysteme Schadsoftware verteilen oder die Verfügbarkeit von Online-Diensten beeinträchtigen.
Zur Auskunftspflicht für Dienste-Anbieter heißt es etwa in der Gesetzesbegründung: „Für einen Angriff werden auch Server genutzt, die in keinem unmittelbaren Bezug zu einer fremden Macht stehen, insbesondere auch Einrichtungen kommerzieller Hostinganbieter.“ Mit der Auskunftspflicht solle man Informationen „vorrangig ohne systeminvasive Maßnahmen“ erlangen können. Doch ausschließlich in Deutschland ansässige Anbieter wären von dieser Pflicht betroffen: Angriffsinfrastruktur im Ausland soll weiterhin „originär vom Bundesnachrichtendienst aufgeklärt“ werden.
Führen mehr Kontrollinstanzen zu mehr Kontrolle?
Die geplanten erweiterten Befugnisse bräuchten auf der anderen Seite eine starke Geheimdienstkontrolle. So heißt es schon im Vorspann des Gesetzentwurfs, dass das bisherige MAD-Gesetz „Vorgaben aus mehreren Entscheidungen des Bundesverfassungsgerichts zum Recht der Sicherheitsbehörden“ nicht gerecht werde. Es brauche unter anderem eine unabhängige „Kontrolle von bestimmten Maßnahmen des Militärischen Abschirmdienstes“.
Um die umzusetzen, will die Bundesregierung eine neue Zuständigkeit etablieren: die des Amtsgerichts in Köln bei „besonderen Befugnissen“. Die gibt es bei besonders eingriffsintensiven Geheimdienstmaßnahmen, beispielsweise wenn V-Personen oder virtuelle Agenten Zielpersonen länger als ein halbes Jahr ausspionieren. Oder wenn es Maßnahmen gegen Berufsgeheimnisträger:innen wie Medienschaffende oder Anwält:innen gibt.
Löst eine neue Kontrollinstanz die Aufsichtsprobleme, die es immer wieder bei Geheimdiensten gibt? Ruckerbauer mahnt, Schwarz-Rot müsse bei der Reform darauf achten, „dass sie die Kontrolllücken im militärischen Bereich schließt und keine neuen entstehen“. Er empfiehlt: „Das Parlamentarische Kontrollgremium sollte zukünftig beispielsweise dringend auch das Militärische Nachrichtenwesen und dessen Zusammenwirken mit MAD und BND unter die Lupe nehmen dürfen.“
Warum gerade das MAD-Gesetz?
Unabhängig davon, was im neuen MAD-Gesetz am Ende steht, bleibt eine grundsätzliche Frage offen: Warum geht die Bundesregierung das Gesetz für den militärischen Geheimdienst separat an und führt die notwendigen Reformen für alle deutschen Bundesgeheimdienste nicht gemeinsam durch?
„Die Erfahrungen aus der Ampelkoalition lehren, dass die umfassende Geheimdienstreform nicht weiter verschoben werden sollte“, sagt Ruckerbauer. „Stattdessen muss die Bundesregierung schnell die verfassungsgerichtlich festgestellten Defizite des Rechtsrahmens und der Kontrolle mit einer ganzheitlichen Reform angehen.“
Auch Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag und stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums, pocht auf eine Gesamtreform: „Eine grundlegende Reform des Rechts der Nachrichtendienste ist lange überfällig. Sie wurde auch vom Bundesverfassungsgericht wiederholt angemahnt. Dennoch sind die höchstrichterlichen Vorgaben bis heute nur teilweise umgesetzt“, so der Abgeordnete, der sich seit vielen Jahren mit Geheimdiensten auseinandersetzt. „Neben neuen rechtlichen Grundlagen für die tägliche Arbeit der Nachrichtendienste braucht es unbedingt eine Stärkung der parlamentarischen Kontrolle als Grundlage für notwendiges Vertrauen.“
Notz bedauert, dass begonnene Bemühungen der früheren Ampelregierung bis heute nicht zu einer ganzheitlichen Geheimdienstreform geführt haben: „Statt die Reform ganzheitlich für alle drei Nachrichtendienste des Bundes anzugehen, legt man nun mit der Reform des MAD-Gesetzes nur einen Teil der Reform vor.“ Und die sei „noch stark überarbeitungsbedürftig“.
Nach einer ersten Lesung im Parlament arbeiten die Abgeordneten nun in den Ausschüssen weiter an dem Gesetz. Die weiteren Gesetzesgrundlagen für BND und Verfassungsschutz dürften aber nicht lange auf sich warten lassen. Sie seien bereits in Arbeit, hieß es bei einer öffentlichen Anhörung der Geheimdienstchefs im Bundestag.
Gipfel zur Europäischen Digitalen Souveränität: Kehrtwende für die „Innovationsführerschaft“
Bundeskanzler Friedrich Merz (CDU) und der französische Präsident Emmanuel Macron haben zu einem Gipfel geladen, dem „Gipfel zur Europäischen Digitalen Souveränität“. Entsprechend hoch waren die Erwartungen: Ein Aufbruchssignal sollte von dem Gipfel ausgehen – an Europa, aber auch in die USA und nach China. Im Fokus stand dabei das Bestreben, in der EU die digitale Souveränität zu stärken. Darunter verstanden alle Beteiligten das Ziel, im digitalen Sektor die wirtschaftlichen Abhängigkeiten zu außereuropäischen Anbietern zu reduzieren.
Um dieses Ziel zu erreichen, will das deutsch-französische Tandem nicht nur bestehende Schutzrechte abbauen, sondern Regulierung vom Kopf auf die Füße stellen. „Product first, regulation second“, lautete das Credo von Digitalminister Karsten Wildberger (CDU). Erst müsse man das Produkt bauen, so der Minister, und danach die Risiken evaluieren. Die KI-Verordnung verfolgt bislang den genau entgegengesetzten Ansatz: eine risikobasierte Regulierung, bevor eine neue Technologie auf den Markt kommt.
In seiner Keynote bestärkte Macron diese Stoßrichtung: „Wenn wir den USA und China das Feld überlassen, haben wir eine gute Regulierung, aber regulieren am Ende nichts mehr.“
Angesichts dieser Agenda verwundert es nicht, dass Vertreter:innen der Zivilgesellschaft nur einen Platz im Zuschauerraum erhielten. Und es ist sicher kein Zufall, dass die EU-Kommission just einen Tag nach dem Gipfel ihren „Digitalen Omnibus“ vorstellen wird – ein umfassendes Gesetzespaket, das darauf abzielt, Verbraucher:innenrechte und KI-Regulierung in der EU zu schleifen.
Die EU zum Spitzenreiter machen
Merz und Macron hielten zum Abschuss des Gipfels Reden, in denen sie ihre Vorstellungen der gemeinsamen Zusammenarbeit skizzierten. Auf den rund zehn Panels des Tages saßen unter anderem Bundesdigitalminister Wildberger, seine französische Amtskollegin Anne Le Hénanff und EU-Kommissions-Vizepräsidentin Henna Virkkunen. Daneben waren Vertreter:innen von großen europäischen Unternehmen wie SAP, Telekom, Mistral und Siemens vertreten.
Wildberger betonte, die EU gemeinsam mit Frankreich zum „Spitzenreiter bei Schlüsseltechnologien“ machen zu wollen. Und seine französische Amtskollegin Le Hénanff unterstrich, dass Frankreich und Deutschland „von dem Ehrgeiz getrieben“ seien, Unternehmen wettbewerbsfähiger zu machen. Und „digitale Souveränität geht nicht ohne KI“, betonte der Minister.
In diesem Sinne ging es auf dem Gipfel viel um Wertschöpfung und Innovationsgeist, Hochleistungsrechner und Quantenforschung. Und alle Seiten betonten, dass es nun wichtig sei, ins Machen zu kommen und das Tempo zu erhöhen. Das Rennen sei noch nicht vorbei, die Aufholjagd könne aber nur gelingen, wenn man „den Fuß von der Bremse“ nehme, so Wildberger.
Weniger Hürden, mehr Überholspur
Die Regierung verengt den Begriff der digitalen Souveränität dabei auf ökonomische Aspekte. Besonders deutlich wurde das in der Keynote von Bundeskanzler Merz. Der forderte nicht weniger als die „Innovationsführerschaft“ für Europa, um so der Dominanz der USA und Chinas zu entkommen. Die Staaten seien bereit, dafür einen entsprechenden Ordnungsrahmen zu schaffen, dann aber sei die Wirtschaft am Zuge.
Merz und Macron verwiesen beide auf den „Digitalen Omnibus“, den die EU-Kommission morgen vorstellt. Das umfassende Gesetzespaket verfolgt ebenfalls das Ziel, den Fuß von der Bremse zu nehmen. Laut Kommission soll es Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen. Der im Vorfeld von netzpolitik.org veröffentliche Zwischenstand lässt hier allerdings wenig Gutes erahnen.
Demnach will die Kommission die Datenschutzgrundverordnung erheblich schwächen und die Umsetzung zentraler Teile der KI-Verordnung für zwölf Monate aussetzen. Vor allem sensible personenbezogene Daten sowie Hochrisiko-Systeme bei sogenannter Künstlicher Intelligenz wären von den Änderungen betroffen. Das Ziel ist es also, Regulierung zu bremsen, damit Start-ups auf die Überholspur kommen.
Deklaration für mehr Deregulierung
Die Kommission treibt damit ebenfalls jene Umkehr an, die auch das deutsch-französische Tandem forciert: Erst mal machen, dann regulieren. Auf eine griffige Formel brachte das Vorgehen der Parlamentarische Staatssekretär im Digitalministerium, Thomas Jarzombek, am Gipfeltag. Er strebt eine Disruption „wie vor 150 Jahren“ an. Man müsse Dinge „einfach mal machen“ und „losmarschieren“. „Als die ersten Autos auf die Straße kamen, sprach auch niemand über die Verkehrstoten“, so der Staatssekretär.
Ins gleiche Horn stößt offenbar der Wortlaut der „Declaration for European Digital Sovereignty“. Die von Österreich initiierte Abschlusserklärung des Gipfels wird am Abend verabschiedet und ist rechtlich nicht bindend. Sie formuliert den Anspruch der EU, in kritischen Bereichen künftig unabhängig von Drittstaaten zu bleiben. Dafür brauche es langfristig auch private Investitionen in Hochleistungsrechner, Halbleiterfertigung oder Quantenforschung. Gleichzeitig aber müsse die EU private regulatorische Hürden abbauen, wie das Handelsblatt berichtet.
Zivilgesellschaft als fünftes Rad am Wagen
Nennenswerte Kritik am Deregulierungs-„Aufbruch“ der Bundesregierung war auf dem Gipfel nicht zu hören. Das könnte damit zusammenhängen, dass die Zivilgesellschaft auf den Panels nicht vertreten war, sagte Julia Pohle vom Wissenschaftszentrum für Sozialforschung in Berlin (WZB) gegenüber netzpolitik.org. „Die hätten womöglich über Gemeinwohl und Nachhaltigkeit gesprochen und das scheint nicht zum offiziellen Diskurs zu passen.“ Dass europäische digitale Souveränität demokratischen Werten und Grundrechten im Digitalen dienen soll, fiel damit hinten runter, so Pohle.
Auch Henriette Litta, Geschäftsführerin bei der Open Knowledge Foundation Deutschland, zeigte sich enttäuscht. Zwar begrüße sie, dass der Gipfel eine konsequente europäische Perspektive einnehme. „Ansonsten gab es aber keine Diskussionen und auf der Bühne kamen nur blumige Konsenspositionen vor“, sagte Litta gegenüber netzpolitik.org.
Rund 70 Vertreter:innen der Zivilgesellschaft hatten laut Digitalministerium zugesagt, zu dem Gipfel zu kommen. Insgesamt 150 Einladungen hatte das Ministerium zuvor an die Zivilgesellschaft verschickt. Einige Organisationen hatten bereits vor dem Gipfel die Sorge geäußert, dass der geplante Gipfel sich auf Großprojekte und KI fokussiere. Weder diese Sorge noch die Forderungen aus der Zivilgesellschaft wurden jedoch angehört.
So hatten das Bündnis „Offene Netzwerke und demokratische Öffentlichkeit. Dezentral, souverän und fürs Gemeinwohl!” und die Agora Digitale Transformation unter anderem öffentliche Investitionen in digitale Infrastrukturen gefordert. Als Beispiel nannten sie eine jährliche Förderung in Höhe von 30 Millionen Euro für das Fediverse sowie mehr Präsenz öffentlicher Behörden und Ministerien auf offenen Plattformen. Außerdem schlugen sie vor, dass freie und offene Software ohne Gewinnerzielungsabsicht gemeinnützig werden müsse, um die digitale Souveränität zu stärken.
Keine dieser möglichen Maßnahmen hat die Bundesregierung auf ihrem Gipfel aufgegriffen. Vielleicht wollte sie auch die Harmonie des Tages nicht stören.
Biometrische Überwachung bei Online-Prüfungen illegal
Beim Proctoring mussten die Studierenden teilweise ihre Zimmer abfilmen und einer Gesichtserkennung zustimmen. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Jochen Tack
Während der Pandemie nutzten viele Universitäten sogenannte Proctoring-Systeme. Diese sollen Betrug bei Online-Prüfungen der Studierenden verhindern, zeichnen sich aber durch tiefe Eingriffe in Datenschutz und Privatsphäre aus. So mussten die Studierenden teilweise ihr gesamtes Zimmer filmen, einer Gesichtserkennung zustimmen und dem Überwachungssystem Zugriff auf quasi den ganzen Computer geben. Schon damals gab es Beschwerden von Studierenden und Landesdatenschutzbeauftragten.
Die Gesellschaft für Freiheitsrechte (GFF) kritisierte in einem Gutachten, dass die Grundrechte der Studierenden bei Online-Prüfungen unter die Räder geraten seien. Die Nichtregierungsorganisation suchte damals nach Betroffenen und klagte zusammen mit diesen gegen die invasive Software. Nun hat das Thüringer Oberlandesgericht am Montag über eine Klage entschieden und klargestellt, dass die Videoüberwachung von Studierenden bei Online-Prüfungen rechtswidrig ist, wenn dabei biometrische Daten verarbeitet werden. Das verstoße gegen die Datenschutzgrundverordnung, heißt es in der Pressemitteilung der GFF.
Betroffene erhält Schadenersatz
In dem in Thüringen entschiedenen Fall nutzte die Universität Erfurt demnach die Anwendung Wiseflow, die die Studierenden unter anderem mittels Gesichtserkennung überwacht. Damit wollte die Universität sicherstellen, dass stets die gleiche Person vor dem Monitor sitzt. Wiseflow verarbeitete biometrische Daten und leitete sie darüber hinaus an den Dienstleister Amazon Web Services weiter. Diese Praxis hat das Gericht nun für rechtswidrig erklärt und der Klägerin zudem einen Schadensersatz zugesprochen.
„Die Software hat damals starke Ängste in mir ausgelöst. Ich wusste nicht, wie sie funktioniert und was mit meinen Daten passiert. Aber ich hatte keine andere Wahl, weil ich mit meinem Studium vorankommen wollte“, erklärt Klägerin Jennifer Kretzschmar. „Ich bin froh, dass das Gericht jetzt festgestellt hat, dass die Überwachung rechtswidrig war. Hoffentlich achtet die Universität die Grundrechte der Studierenden bei Prüfungen künftig.“
Die GFF geht davon aus, dass das Urteil auch Signalwirkung für andere Bereiche, etwa die Überwachung am Arbeitsplatz, habe.
Neue DDoS-Spitze: Microsoft wehrt 15,7 TBit/s-Angriff ab
close notice
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
.
Am 24. Oktober dieses Jahres hat Microsoft in seiner Azure-Cloud einen umfangreichen DDoS-Angriff mit mehreren Angriffsvektoren von 15,72 TBit pro Sekunde beobachtet. Die Last erzeugten 3,64 Milliarden Pakete pro Sekunde, was die derzeit größte beobachtete DDoS-Attacke auszeichnet, schreibt Microsoft in einem Blog-Beitrag.
Weiterlesen nach der Anzeige
Das Unternehmen führt aus, dass der Angriff vom Aisuro-Botnet ausging – das hatte im Mai etwa das Blog des IT-Sicherheitsjournalisten Brian Krebs attackiert. Es handele sich dabei um ein Mirai-artiges Botnet „mit Turbo“, das immer wieder rekordverdächtige DDoS-Angriffe ausführt. Dabei missbrauchten die kriminellen Drahtzieher kompromittierte Heimrouter und Kameras, die zum Großteil in Netzen von Internetprovidern für Privathaushalte in den USA und anderen Ländern stünden.
Bei einem DDoS-Angriff überfluten bösartige Akteure Server oder Systeme mit so vielen Anfragen, dass sie reguläre Anfragen etwa von echten Menschen nicht mehr beantworten können. DDoS-Angriffe nehmen sie somit quasi offline.
Der Angriff umfasste unter anderem UDP-Floods mit extrem hohen Raten, die auf eine bestimmte öffentliche IP-Adresse gerichtet waren – einem einzelnen Endpunkt in Australien. Sie gingen von mehr als einer halben Million Quell-IP-Adressen aus diversen Regionen aus. Die UDP-„Ausbrüche“ zeigten nur zu einem kleinen Teil Spoofing der Quelle und verwendeten zufällige Quell-Ports, was die Rückverfolgung erleichterte. „Angreifer skalieren mit dem Internet selbst“, schreibt Microsoft, „mit steigenden Geschwindigkeiten der Glasfaseranschlüsse und zunehmend stärkerer IoT-Hardware klettert auch die Grundlinie für Angriffsgrößen“.
DDoS-Angriff abgewehrt
Microsoft erklärt, dass der DDoS-Schutz von Azure den Angriff automatisch entdeckt und abgewehrt habe. „Bösartiger Verkehr wurde effektiv ausgefiltert und umgeleitet, was zur ununterbrochenen Dienstverfügbarkeit für Kunden-Workloads führte“, schreibt der Autor des Blog-Beitrags.
Im Juni hatte Cloudflare eine Spitzenlast von 7,3 TBit/s bei einem DDoS-Angriff beobachtet. Damit hat sich der der Spitzenwert in nicht einmal einem halben Jahr mehr als verdoppelt.
Anfang September hatte Cloudflare zuletzt eine DDoS-Attacke mit in der Spitze 11,5 TBit pro Sekunde gemeldet. Dafür hatten die Angreifer sogar 5,1 Milliarden Pakete pro Sekunde gesendet – deutlich mehr als die Angreifer jetzt an den von Microsofts Azure geschützten Endpunkt.
