Viele Demonstrationen in Mannheim starten oder enden auf dem Alten Messplatz. Am Rand des Platzes, an der Alten Feuerwache, hängen acht Überwachungskameras, weitere sind über den Platz verteilt. Insgesamt filmen 70 Kameras die Innenstadt, 46 davon sind an eine KI-Verhaltenserkennung gekoppelt.

Das ist spätestens dann ein Problem, wenn Menschen hier demonstrieren wollen. David Werdermann, Jurist bei der Gesellschaft für Freiheitsrechte, sagt: „Die Versammlungsfreiheit lebt davon, dass Menschen ohne Angst und Einschüchterung ihre Meinung auf der Straße kundtun können.“ Videoüberwachung und KI-gestützte Auswertung könne Menschen von der Versammlungsteilnahme abhalten, „zumal sie sich wegen des Vermummungsverbots nicht gegen eine mögliche Erfassung wehren können“, sagt Werdermann.

Beständige Unsicherheit

Um eine Einschränkung des Versammlungsrechts zu vermeiden, schaltet die Polizei einzelne Kameras angeblich aus, wenn im Überwachungsbereich angemeldete Versammlungen stattfinden – und keine erheblichen Gefahren für die innere Sicherheit und Ordnung bestehen. Protokolle dazu, wann welche Kamera ab- und wieder angeschaltet wurde, will die Mannheimer Polizei allerdings nicht herausgeben. Für Versammlungsteilnehmer*innen bleibt somit die beständige Unsicherheit, ob sie nicht gerade doch gefilmt werden.

„Schon der bloße Eindruck, während einer Demonstration gefilmt zu werden, entfaltet eine erhebliche abschreckende Wirkung – auch wenn die Kameras tatsächlich ausgeschaltet sind“, sagt David Werdermann. Die deutsche Rechtsprechung unterstützt seine Argumentation.

Teilnehmer*innen können nicht hinreichend verlässlich erkennen, ob Kameras in Betrieb sind oder nicht, entschied das Oberverwaltungsgericht Nordrhein-Westfalen 2020. Damit bestätigte es die vorgelagerte Entscheidung, dass öffentliche Videokameras während Versammlungen verhüllt werden müssen. Das Oberverwaltungsgericht Niedersachsen entschied schon 2015, dass auch eine halbausgefahrene Mastkamera eines Polizeifahrzeugs während einer Demonstration nicht rechtens ist, egal ob sie läuft. Allein die Präsenz der Kamera ist zu viel.

Es gibt technische Lösungen

Eigentlich müssten Mitarbeiter*innen der Stadt Mannheim vor jeder Demonstration entlang der Route Kameras vorübergehend außer Betrieb setzen. Dazu könnten sie mit Leitern zu allen Kameras hinaufsteigen und Blenden vor die Linsen schrauben oder einfach Säcke über die Geräte stülpen.

Es gibt allerdings smartere Lösungen: Ein deutscher Hersteller produziert für seine Videoüberwachungssysteme beispielsweise neongelbe Jalousien, die per Mausklick vor die Linsen fahren.

Seit Ende September sind Angriffe auf drei Sicherheitslücken in Ciscos ASA- und FTD-Firewalls bekannt. Updates zum Schließen der Lücken stehen seitdem zur Verfügung. Anfang November sind jedoch noch immer mehr als Tausend Cisco-Geräte in Deutschland im Netz erreichbar und verwundbar. Nun meldet Cisco auch noch, dass Angreifer neue Wege zum Missbrauch von zwei der drei Schwachstellen nutzen.

Im Laufe des Mittwochs hat Cisco seine Warnung vor laufenden Angriffen auf die Sicherheitslücken auf die VPN-Komponente der Firewalls aktualisiert. Der Hersteller schreibt, dass er am Mittwoch eine neue Angriffsvariante auf beide Schwachstellen bemerkt hat. Die Cyberattacken können auf nicht gepatchten Geräten dazu führen, dass diese unerwartet neu starten, was in Denial-of-Service-Situationen mündet. Cisco empfiehlt nachdrücklich, auf die korrigierten Softwareversionen zu aktualisieren.

Aktuelle Zahlen der Shadowserver Foundation zu den für die Schwachstellen anfälligen Geräte zeigen viele Tausende weltweit. Ganz vorne stehen die USA mit derzeit mehr als 13.500 anfälligen Cisco-Firewalls. Aber auch Deutschland fällt negativ auf, mit aktuell noch 1160 verwundbaren Cisco-ASA- und FTD-Firewalls. Seit Anfang Oktober haben Admins also nicht einmal die Hälfte der damals lückenhaften Cisco-Geräte mit den Sicherheitsupdates versorgt.

Drei Sicherheitslücken im Visier der Angreifer

Insgesamt geht es laut Cisco um drei Sicherheitslücken: Bei der ersten können authentifizierte Angreifer aus dem Netz beliebigen Code auf Ciscos ASA- und FTD-Firewalls schieben und ausführen (CVE-2025-20333, CVSS 9.9, Risiko „kritisch„). Als Ursache nennt Cisco die unzureichende Prüfung von HTTP(S)-Anfragen, die Nutzern mit gültigen VPN-Zugangsdaten solche Attacken ermöglicht. Die zweite Lücke erlaubt es nicht angemeldeten Nutzern (bei Ciscos ASA und FTD) sowie angemeldeten Angreifern mit niedrigen Rechten (in Ciscos IOS, IOS XE und IOS XR), beliebigen Code auf betroffenen Geräten auszuführen. Auch das geht auf unzureichende Validierung von HTTP-Anfragen zurück (CVE-2025-20363, CVSS 9.0, Risiko „kritisch„). Die letzte Schwachstelle ermöglicht nicht authentifizierten Angreifern aus dem Netz den Zugriff auf zugriffsbeschränkte URL-Endpunkte, die zum VPN-Fernzugriff gehören (CVE-2025-20362, CVSS 6.5, Risiko „mittel„).

Die neu beobachteten Angriffsvarianten betreffen die Schwachstellen CVE-2025-20333 und CVE-2025-20362. IT-Verantwortliche sollten Ciscos Warnungen ernst nehmen und die bereitstehenden Aktualisierungen zeitnah anwenden.

(dmk)

Der Bundestag hat heute das „Gesetz zur Befugniserweiterung und Entbürokratisierung in der Pflege“ verabschiedet. Dabei hat das Plenum mehrheitlich auch einen Änderungsantrag der Fraktionen CDU/CSU und SPD angenommen, den der Gesundheitsausschuss gestern beschlossen hatte. Er enthält unter anderem zwei relevante Neuerungen bei der elektronischen Patientenakte.

Zum einen können künftig nur noch für die Versicherten selbst ihre Abrechnungsdaten in der elektronischen Patientenakte (ePA) einsehen. Bisher war das standardmäßig auch für Behandelnde möglich. Zum anderen dürfen Krankenkassen wieder mit dem Video-Ident-Verfahren die Identität von Versicherten bestätigen. Damit will Schwarz-Rot die Hürden bei den Versicherten senken, ihre ePA zu aktivieren.

Beide Änderungen stellen teilweise einen früheren Status wieder her. Das Echo darüber fällt geteilt aus. Während Verbraucherschützer:innen die eine Rolle rückwärts in Teilen begrüßen, kritisieren Sicherheitsfachleute die andere als risikoreich.

Zurück zu etwas mehr Selbstbestimmung

Dass Behandelnde in der ePA bislang standardmäßig auf die Abrechnungsdaten der Versicherten zugreifen konnten, hatten Verbraucherschützer:innen mit Nachdruck kritisiert.

Die Daten stammen von den Krankenkassen und fließen automatisch in die ePA ein. Aus ihnen gehen – ebenso wie aus der Medikationsliste mit den verordneten Medikamenten – sensible Diagnosen hervor. Das erschwert es Versicherten, Befunde vor den Blicken einzelner Behandelnder zu verbergen.

„Wir wollen, dass die Abrechnungsdaten künftig auch ausschließlich für die Versicherten selbst in der ePA sichtbar sind, nicht für die Leistungserbringenden“, sagt Simone Borchardt, gesundheitspolitische Sprecherin der CDU/CSU-Bundestagsfraktion, auf Anfrage von netzpolitik.org. „Damit stellen wir sicher, dass keine Informationen über Abrechnungsdetails, etwa zu Diagnosen oder Leistungsumfängen, ohne ausdrückliche Zustimmung des Patienten für Dritte zugänglich sind.“ So wolle man das Vertrauen der Versicherten in die digitale Infrastruktur des Gesundheitswesens stärken, sagt Borchardt.

Zuspruch und Forderungen nach mehr

Das Digital-Gesetz, das im März vergangenen Jahres in Kraft trat, hatte die Optionen hier deutlich eingeschränkt. Die Folgen sind nicht zuletzt für marginalisierte Patient:innengruppen spürbar, die auch im Gesundheitswesen Diskriminierungen erfahren. Die nun beschlossene Gesetzesänderung verfeinert das sogenannte Beschwerdemanagement für Versicherte wieder ein wenig.

Lucas Auer, Gesundheitsexperte im Verbraucherzentrale Bundesverband, begrüßt das. „Die Abrechnungsdaten drohen ungewollt Aufschluss über sensible Diagnosen zu geben. Zugleich ist ihre Aussagekraft für zukünftige Behandlungsbedarfe stark limitiert“, so Auer gegenüber netzpolitik.org. „Die enthaltenen Informationen sind häufig fehlerbehaftet, veraltet oder beruhen auf versehentlicher oder beabsichtigter falscher Kodierung.“

Auch Manuel Hofmann, Referent für Digitalisierung bei der Deutschen Aidshilfe, wertet die Gesetzesänderung als Fortschritt. Nachholbedarf sieht er aber weiterhin etwa bei der Medikationsliste: „Aus verordneten Medikamenten lässt sich ebenfalls auf sensible Diagnosen schließen, etwa eine HIV-Infektion oder psychische Erkrankungen“, sagt Hofmann. „Die Medikationsliste generiert sich automatisch aus E-Rezepten und ist im Standard für alle sichtbar in der ePA eingestellt.“ Auch dafür könne man gemeinsam bessere Lösungen finden, ohne dass die Liste an Nutzen einbüße.

Als rein kosmetisch wertet Anne-Mieke Bremer, Sprecherin für Digitale Infrastruktur der Fraktion Die Linke im Bundestag, die Änderungen. Aus ihrer Sicht wird das ausgegebene Ziel der Datenhoheit für Versicherte weiterhin verfehlt. „Patient:innensouveränität erfordert, dass Versicherte über sämtliche Daten frei entscheiden, deren Freigabe aktiv steuern und deren Speicherung gegebenenfalls ablehnen oder löschen können“, sagt Bremer. Der Fokus auf die Sichtbarkeit verschleiere, dass eine feingranulare Steuerungsmöglichkeit der Versicherten über alle in der ePA gespeicherten Daten weiterhin fehle.

Video-Ident kehrt zurück

Die Wiederzulassung des Video-Ident-Verfahrens ist ebenfalls eine Rolle rückwärts, wird von Sicherheitsfachleuten allerdings skeptisch gesehen. Video-Ident ist ein Online-Verfahren zur Identitätsprüfung, bei dem eine Person ihre Identität per Video-Chat mithilfe eines Ausweises von einer geschulten Person prüfen lässt.

Bereits im August hatte die Gematik das Video-Ident-Verfahren „Nect Ident mit ePass“ des Hamburger Unternehmens Nect zugelassen. Aus sicherheitstechnischer Sicht darf es somit für die Freigabe einer Gesundheitskarte oder für die Ausgabe einer PIN für die elektronische Gesundheitskarte (eGK) genutzt werden. Mit der Karte lassen sich dann eine GesundheitsID und der Login in die elektronische Patientenakte erstellen.

Bislang mussten sich Versicherte, wenn sie die eigene ePA aktivieren wollten, digital mit der eGK oder die Online-Ausweisfunktion des Personalausweises ausweisen – inklusive PIN-Abfrage. Nun können sie das wieder ohne PIN tun.

Vor drei Jahren hatte die Gematik Video-Ident-Verfahren für unzulässig erklärt, nachdem Sicherheitsforschende des Chaos Computer Clubs mehrere gängige Video-Ident-Verfahren überlistet hatten – „mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe“. Offenkundig geht die Gematik davon aus, dass bestimmte Video-Ident-Verfahren für die damals aufgezeigten Schwachstellen nicht mehr anfällig sind.

ePA soll endlich bei den Versicherten ankommen

Das wieder zugelassene Verfahren soll helfen, die Zahl der Versicherten zu erhöhen, die die elektronische Patientenakte aktiv nutzen. Zwar haben rund 70 Millionen der gut 74 Millionen gesetzlich Versicherten inzwischen eine ePA von ihrer Krankenkasse angelegt bekommen. Doch gerade einmal drei Prozent der Versicherten nutzen sie aktiv.

Unter anderem der Vorstandschef der Techniker Krankenkasse, Jens Baas, hatte dafür den aus seiner Sicht zu komplizierten Registrierungsprozess verantwortlich gemacht. Anfang August forderte er, die rechtlichen Rahmenbedingungen so anzupassen, dass dafür Video-Ident-Verfahren wieder möglich sind.

„Eine Art 1,5-Faktor-Authentifizierung“

Die Sicherheitsforscherin Bianca Kastl, die auch eine Kolumne für netzpolitik.org verfasst, sieht die Rückkehr zum Video-Ident-Verfahren kritisch. Aus ihrer Sicht handele es sich dabei um eine Art 1,5-Faktor-Authentifizierung. „Es wird zumindest das Vorhandensein eines plausiblen Ausweises geprüft, der zweite Faktor ist aber eine Videoanalyse, die heute als nur halb sicher gelten muss.“ Kastl bezieht sich hier auf die Zwei-Faktor-Authentifizierung, bei der zwei unterschiedliche und voneinander unabhängige Komponenten geprüft werden.

Bei Video-Ident-Verfahren seien weiterhin Angriffsszenarien denkbar. „Der physikalische Zugriff zu Identifikationsmitteln wie dem Personalausweis stellt hier keine allzu große Hürde dar“, sagt Kastl. „Und die Haltbarkeit von KI-Identifikationsverfahren gegenüber KI-Bildsynthese dürfte perspektivisch eher begrenzt sein.“

Die Linken-Abgeordnete Anne-Mieke Bremer sieht die Entscheidung ebenfalls kritisch und befürchtet, dass sie Schule macht: „Es ist zu erwarten, dass diese risikoreichere Option zum Standard erhoben und als ‚Willen der Versicherten‘ deklariert wird“, sagt Bremer. „Statt erneut risikoreiche Verfahren zuzulassen und die Verantwortung auf unzureichend informierte Versicherte abzuwälzen, braucht es eine Strategie, die Datensicherheit, Transparenz und Mitbestimmung konsequent in den Mittelpunkt stellt.“

Es gibt eine sichere Alternative: der PIN-Rücksetzbrief

Eine sichere Alternative zum Video-Ident-Verfahren gibt es bereits. Um diese zu nutzen, bräuchte es nur eine weiteren Rolle rückwärts – indem die Bundesregierung den „PIN-Rücksetz- und Aktivierungsdienst per Pin-Brief“ reaktiviert.

Bis Anfang 2024 konnten Bürger:innen mit diesem Dienst einen Code auf dem Postweg bestellen. Mit dessen Hilfe konnten sie dann die Onlinefunktion ihres Personalausweises nachträglich aktivieren oder eine vergessene PIN erneuern.

Im Dezember 2023 verkündete die Ampel-Regierung jedoch überraschend das Aus für den Dienst. Als Grund gab sie „unkalkulierbare Kosten“ in zweistelliger Millionenhöhe an. Außerdem sei ein wesentlicher Teil der versandten PINs nicht eingesetzt worden.

Diese Gründe sollten zurückstehen, wenn es um die Sicherheit der sensiblen Gesundheitsdaten von Millionen Versicherten geht. Und obendrein ist der PIN-Rücksetzbrief inzwischen noch attraktiver als vor zwei Jahren. Denn er könnte nun nicht nur beim ePerso und der ePA zum Einsatz kommen, sondern bald auch für die EUDI-Wallet.