„Die Überwachung verschlüsselter Nachrichten soll durch Installation eines Programms in dem zu überwachenden Computersystem erfolgen, welches ausschließlich gesendete, übermittelte, oder empfangene Nachrichten entweder vor der Verschlüsselung oder nach Entschlüsselung ausleitet.“ Dieses Amtsdeutsch beschreibt den offiziellen Plan der österreichischen Bundesregierung, Malware zu kaufen und zur Überwachung von Bürgern einzusetzen, die keiner Straftat verdächtig sind – wenn andere Ermittlungsmaßnahmen aussichtslos erscheinen.

Auf die entsprechende Novelle des Spionagegesetzes SNG (Staatsschutz- und Nachrichtendienst-Gesetz), des Sicherheitspolizeigesetzes, des Telekommunikationsgesetzes 2021 und weiterer Normen haben sich die Regierungsparteien ÖVP, SPÖ und NEOS am Mittwoch geeinigt. Im vorangegangenen öffentlichen Begutachtungsverfahren ist eine Flut ablehnender Stellungnahmen zu den Vorhaben eingelangt. Ausspioniert werden sollen nicht nur verschlüsselte Nachrichten, sondern auch unverschlüsselte Nachrichten und Informationen, also sonst gespeicherte Daten.

Die Regierung verfolgt laut offiziellen Dokumenten zwei Ziele: Erstens „Vorbeugung bestimmter, besonders schwerwiegender verfassungsgefährdender Angriffe“, die mit zehn Jahren oder längerer Haft bedroht sind, oder wenn es zur Spionageabwehr erforderlich ist. Und zweitens die Überwachung verschlüsselter Nachrichten. Nicht erforderlich ist der Verdacht, dass eine Straftat begangen worden ist.

Dennoch werden auch Dritte verpflichtet, heimlich an der Überwachung mitzuwirken. Als die Volksrepublik China solche Verpflichtungen privater Stellen einführte, hagelte es in westlichen Ländern Kritik. Im Falle Österreichs werden private Unternehmen rund 2,5 Millionen Euro pro Jahr zur Unterstützung der Überwachungsmaßnahmen aufwenden müssen, schätzt die Regierung – denn Netzbetreibern sowie Betreibern von Messengerdiensten sollen nur 80 Prozent ihres Aufwandes ersetzt werden.

Genehmigungsverfahren

Das Innenministerium geht davon aus, jährlich etwa 30-mal die Ausspähung unverschlüsselter Nachrichten zu beantragen, und 5- bis 15-mal die Überwachung verschlüsselter Nachrichten. Erst wenn in einem Kalenderjahr 30-mal tatsächlich verschlüsselte Nachrichten ausgespäht werden, muss der Innenminister den ständigen Unterausschuss des Ausschusses für innere Angelegenheiten des Nationalrates informieren. (Der Nationalrat ist die direkt gewählte Kammer des österreichischen Parlaments, Anmerkung.)

Die neuen Methoden zum Ausspionieren von Nachrichten und Informationen müssen jeweils im Einzelfall vom Bundesverwaltungsgericht genehmigt werden. Am Verfahren beteiligt wird auch ein im Innenministerium selbst angesiedelter Rechtsschutzbeauftragter. Dieser erhält zunächst drei Werktage Zeit, sich zu einem Antrag zu äußern. Dann wird ein Senat aus drei Richtern des Bundesverwaltungsgerichts befasst. In dringlichen Fällen kann auch ein einzelner Richter die Genehmigung erteilen, wofür ein Richterjournaldienst rund um die Uhr eingeführt wird.

Die Gefährdung von Beichtgeheimnis, Redaktionsgeheimnis oder Anwaltsgeheimnis darf das Verwaltungsgericht nur genehmigen, wenn das verhältnismäßig erscheint. Die Arztverschwiegenheit wird auf diese Weise nur im psychischen Bereich geschützt, also bei Psychiatern, Psychologen, Psychotherapeuten, Bewährungshelfern, eingetragenen Mediatoren sowie anerkannten Einrichtungen zu psychosozialer Beratung und Betreuung.

Zu langsam gehe es voran mit dem Glasfaserausbau in Deutschland, warnt die EU-Kommission. Wenn bis zum Jahr 2030 zumindest alle Gebäude einen Glasfaseranschluss haben sollen, so steht es in der Zielvorgabe, müsste sich der Ausbau „erheblich beschleunigen“.

Denn im Jahr 2024 seien nur knapp 37 Prozent der Gebäude direkt an ein Glasfasernetz angeschlossen gewesen, rechnet die EU-Kommission in ihrem aktuellen Zwischenbericht zur „Digitalen Dekade“ vor. Zwar habe sich die Versorgung im Vergleich zum Vorjahr um 7 Prozentpunkte verbessert, Deutschland liege jedoch weiterhin deutlich unter dem EU-Durchschnitt von 69 Prozent auf dem vorletzten Platz der EU-Statistik.

Neben dem Netzausbau setzt das EU-Programm zur „Digitalen Dekade“ den Mitgliedstaaten Ziele zu digitalen Kompetenzen sowie der Digitalisierung von Wirtschaft und Verwaltung. Die jährlich erscheinenden Zwischenberichte untersuchen den Fortschritt in den einzelnen Ländern sowie auf EU-Ebene insgesamt. Wie schneidet Deutschland ab?

Die Gigabitdefensive?

Unabhängig von der Anschlussart – ob DSL, Kabel oder Glasfaser – hinkt Deutschland dem Rest der EU nach. Über die Hälfte aller deutschen Haushalte nutzt Anschlüsse mit Bandbreiten von mindestens 100 MBit/s, im EU-Schnitt sind es knapp 72 Prozent. Gigabit-Geschwindigkeiten erreichen hierzulande lediglich 6 Prozent, EU-weit sind es über 22 Prozent.

Gut steht Deutschland aus Sicht der EU hingegen bei der Netzabdeckung mit dem aktuellen 5G-Mobilfunkstandard da. Laut Bericht erreicht das 5G-Netz inzwischen 99 Prozent der deutschen Haushalte. Selbst in ländlichen Gegenden können 96 Prozent der Haushalte über 5G funken. Allerdings nutzen lediglich etwa 38 Prozent der Deutschen 5G-fähige Angebote.

eID wenig genutzt

Damit ist die Nutzung des neuesten Mobilfunkstandards ähnlich weit verbreitet wie die der elektronischen Identität (eID), obwohl die eID bereits seit 2010 als Teil des Personalausweises ausgestellt wird. Von den knapp 40 Prozent Besitzer:innen solcher Identitäten nutzen laut Report nur 22 Prozent ihre eID auch tatsächlich. Folglich verwendeten weniger als 7 Prozent der Deutschen die eID für digitale Behördengänge – deutlich weniger als der EU-Schnitt von knapp 36 Prozent. Der EU-Bericht kommt zum Schluss: „Der wahrgenommene Nutzen der eID scheint eingeschränkt“.

Neben dieser Erkenntnis bewertet der EU-Bericht die Einführung der elektronischen Patientenakte (ePA) durchweg positiv – ungeachtet aller Kritik und enthüllten Sicherheitslücken. Zudem kritisiert Euractiv das Framing der Kommission: So werde in den nationalen Berichten vom Erfolg des Glasfaserausbaus gesprochen, während im EU-weiten Bericht vor dem Scheitern gewarnt wird. Euractiv sieht darin eine Schieflage, mit der die Kommission kommende Deregulierung im Zuge des für Ende des Jahres geplanten Digital Networks Act (DNA) legitimieren könnte.

Wenn Angreifer Sicherheitslücken in Veeam Backup & Replication und Veeam Agent for Windows erfolgreich ausnutzen, können sie im schlimmsten Fall Backup-Server mit Schadcode kompromittieren. Sicherheitspatches stehen zum Download bereit.

Gefährliche Schadcode-Schwachstellen

Wie die Entwickler in einer Warnmeldung ausführen, haben sie insgesamt drei Softwareschwachstellen geschlossen. Über eine „kritische“ Lücke (CVE-2025-23121) kann ein Angreifer, der als Domainnutzer identifiziert ist, Schadcode ausführen. Damit Attacken auf die zweite Schwachstelle (CVE-2025-24286 „hoch„) klappen, muss ein Angreifer als Backup Operator authentifiziert sein. Ist das gegeben, kann er Schadcode ausführen.

Die Entwickler versichern, beide Sicherheitslücken in Veeam Backup & Replication 12.3.2 (build 12.3.2.3617) geschlossen zu haben.

Veeam Agent for Windows ist ebenfalls für Schadcode-Attacken anfällig (CVE-2025-24287 „mittel„). An dieser Stelle schafft die Version 6.3.2 (build 6.3.2.1205) Abhilfe. Wie Attacken in allen Fällen ablaufen könnten, ist bislang unklar. Derzeit gibt es keine Berichte zu Attacken. Das kann sich aber schnell ändern. Dementsprechend sollten Admins ihre Systeme zeitnah auf den aktuellen Stand bringen.

Zuletzt haben die Entwickler im März dieses Jahres eine kritische Sicherheitslücke in Veeam Backup & Replication geschlossen.

(des)