Die Bundesregierung nimmt den dritten Anlauf für eine Vorratsdatenspeicherung in Deutschland. Das Justizministerium von SPD-Ministerin Stefanie Hubig hat einen Gesetzentwurf erarbeitet und heute veröffentlicht.

Erneut versucht die Bundesregierung, den Begriff „Vorratsdatenspeicherung“ zu vermeiden. Das Justizministerium nennt den Gesetzentwurf „IP-Adressspeicherung“. Tatsächlich geht es wieder um eine verpflichtende und anlasslose Speicherung von Daten aller Internet-Nutzer in Deutschland auf Vorrat. Und es geht um weit mehr Daten als nur IP-Adressen.

Die Vorratsdatenspeicherung ist ein zentraler Streitpunkt in der deutschen Netzpolitik. Vor 20 Jahren haben zehntausende Menschen dagegen protestiert.

Anlasslose Vorratsdatenspeicherung

Das neue Gesetz soll Internet-Zugangs-Anbieter verpflichten, IP-Adressen und Port-Nummern sämtlicher Nutzer drei Monate lang zu speichern. Das betrifft jeden Internet-Anschluss in Deutschland, ohne Anlass und ohne Verdacht auf eine Straftat.

Ermittler sollen anhand dieser Daten die Endnutzer identifizieren und ihre Bestandsdaten erhalten. Das passiert auch ganz ohne Vorratsdatenspeicherung. Im vergangenen Jahr hat allein die Deutsche Telekom fast 290.000 Abfragen zu IP-Adressen bekommen – wegen mutmaßlicher Urheberrechtsverletzungen im Internet.

Das Justizministerium hat beim Erarbeiten des Gesetzes mit den vier großen Mobilfunk-Netz-Betreibern gesprochen. Es gibt aber viel mehr Anbieter für Internet-Zugänge. Das Gesetz spricht von „circa 3.000 Verpflichteten, eine Marginalgrenze ist nicht vorgesehen“. Lokale WLAN-Anbieter wie Hotel-Betreiber sind ausgenommen. Ob öffentliche WLAN-Netze wie Freifunk betroffen sind, wird der weitere Gesetzgebungsprozess zeigen.

Kein Nachweis für Notwendigkeit

Die Vorratsdatenspeicherung ist ein Zombie der Netzpolitik. Es gab bereits eine EU-Richtlinie und zwei deutsche Gesetze. Alle Gesetze haben behauptet, die Vorratsdatenspeicherung sei notwendig und verhältnismäßig. Alle Gesetze waren unverhältnismäßig und rechtswidrig und wurden von höchsten Gerichten gekippt.

Statt die Daten aller Menschen ohne Anlass zu speichern, könnte man auch potentiell relevante Daten schnell einfrieren. In Österreich gibt es ein solches „Quick Freeze“-Verfahren. In Deutschland wurde das nie ausprobiert. Vor einem Jahr hat die Ampel-Regierung ein solches Gesetz vorgeschlagen. Es wurde jedoch nie beschlossen.

Das Justizministerium behauptet erneut, dass ihre anlasslose Vorratsdatenspeicherung notwendig sei. Dafür gibt es jedoch keinen wissenschaftlichen Nachweis. Das Max-Planck-Institut für Strafrecht hat Strafverfolgung in Deutschland mit und ohne Vorratsdatenspeicherung untersucht. Das Ergebnis: Es gibt ohne Vorratsdatenspeicherung keine Schutzlücken in der Strafverfolgung.

Kein Nachweis für Verhältnismäßigkeit

Selbst wenn die anlasslose Datenspeicherung notwendig wäre, müssen Umfang und Dauer der gespeicherten Daten auch verhältnismäßig sein. Das Gesetz schreibt eine Speicher-Dauer von drei Monaten vor. Diese Frist wird im Gesetz nicht konkret begründet.

Drei Monate sind ein politischer Kompromiss. In den Koalitionsverhandlungen wollte die Union sechs Monate, die SPD einen Monat, also haben sie sich auf drei Monate geeinigt. Laut Bundeskriminalamt „wäre eine Speicherverpflichtung von zwei bis drei Wochen regelmäßig ausreichend“.

Die neue Vorratsdatenspeicherung soll nicht überprüft werden: „Eine eigenständige Evaluierung ist nicht erforderlich.“

E-Mails, Messenger und Apps

Das neue Gesetz geht weit über IP-Adressen bei Internet-Zugangs-Anbietern hinaus. Ermittler sollen auch Internet-Dienste dazu verpflichten dürfen, Verkehrs- und Standortdaten mit einer „Sicherungsanordnung“ zu speichern. Das Gesetz spricht explizit von Over-The-Top-Diensten wie Messengern und Sprachanruf-Apps als Nachfolger von SMS und Telefonanrufen.

Zu den verpflichteten Diensten gehören auch E-Mail-Anbieter. Die sollen beispielsweise speichern, wann sich welche IP-Adresse bei welchem E-Mail-Postfach eingeloggt hat, die E-Mail-Adressen von Sender und Empfänger einer E-Mail sowie „die Daten aus dem Header der E-Mail“.

Eine solche „Sicherungsanordnung“ soll schon greifen, wenn die Ermittler diese Daten noch gar nicht „erheben“ dürfen. Die Dienste sollen diese Daten auf Zuruf bereits extra abspeichern, damit Ermittler die später abrufen können, auch wenn beispielsweise „der Kunde seinen Account […] selbst löscht“.

Funkzellenabfrage ohne Bundesgerichtshof

Darüber hinaus ändert das Gesetz auch die Vorgaben für die Funkzellenabfrage. Bei einer Funkzellenabfrage erhalten Ermittler alle Verbindungsdaten aller Mobilfunkgeräte, die in bestimmten Funkzellen eingeloggt waren.

Der Berliner Datenschutzbeauftragte hatte 2012 festgestellt, dass die Funkzellenabfrage regelmäßig Gesetze verletzt. Der Bundesgerichtshof hat vergangenes Jahr geurteilt, dass die Funkzellenabfrage nur noch bei besonders schweren Straftaten eingesetzt werden darf.

Das Gesetz dreht jetzt das Urteil des Bundesgerichtshofs zurück. Die Funkzellenabfrage soll wieder bei „Straftaten von erheblicher Bedeutung“ eingesetzt werden dürfen. „Dies entspricht dem Verständnis der Praxis, bis die Entscheidung des Bundesgerichtshofs ergangen ist.“

Mehr Regulierung als EU

Das erste deutsche Gesetz zur Vorratsdatenspeicherung hatte die Bundesregierung damals noch mit einer EU-Richtlinie begründet. Diese gilt seit einem Urteil des Europäischen Gerichtshofs nicht mehr.

EU-Kommission und EU-Staaten arbeiten aktuell an einer Neuauflage der Vorratsdatenspeicherung. Die deutsche Bundesregierung hätte die EU-Gesetzgebung abwarten können, statt kurz vorher ein deutsches Gesetz zu machen.

In anderen Politikbereichen fordert die Regierung weniger Bürokratie und weniger Regulierung für Unternehmen. Nun aber schafft die Bundesregierung neue Regulierung und neue Belastung – gegen den expliziten Willen aller beteiligten Unternehmen und Anbieter.

SPD steht für Vorratsdatenspeicherung

Die Vorratsdatenspeicherung in Deutschland steht und fällt mit der SPD. Das erste deutsche Gesetz 2007 verantwortete SPD-Justizministerin Brigitte Zypries. Das Bundesverfassungsgericht hat es 2010 gekippt. Das zweite deutsche Gesetz 2015 verantwortete SPD-Justizminister Heiko Maas. Das Bundesverfassungsgericht hat es 2023 gekippt.

Jetzt versucht es SPD-Justizministerin Stefanie Hubig zum dritten Mal. Erneut behauptet das Justizministerin, das Gesetz stehe „in Einklang mit Verfassungsrecht“ und sei „mit dem Recht der Europäischen Union vereinbar“.

Das Gesetz geht jetzt ins Kabinett, dann in den Bundestag – und dann wieder vor das Bundesverfassungsgericht.

Nutzen Angreifer eine Schwachstelle in IBM App Connect Enterprise erfolgreich aus, können sie Instanzen abstürzen lassen. Dagegen gerüstete Versionen schaffen Abhilfe.

PCs jetzt schützen

Wie aus einer Warnmeldung hervorgeht, sind Systeme aufgrund von unzureichender Filterung von bestimmten Eingaben angreifbar. Demzufolge könnten Angreifer mit bestimmten Eingaben an der Schwachstelle (CVE-2025-12758 „hoch“) ansetzen. Das führt zu Speicherfehlern, was in der Regel in Abstürzen endet (DoS-Zustand). Bislang gibt es keine Hinweise, dass Angreifer die Schwachstelle bereits ausnutzen. IBM rät Admins aber zu einem zügigen Update.

Die Entwickler versichern, das Sicherheitsproblem in den Versionen IBM App Connect Enterprise v12- Fix Pack Release 12.0.12.21 und IBM App Connect Enterprise v13- Fix Pack Release 13.0.5.2 gelöst zu haben.

(des)

Aufgrund einer BIOS-Schwachstelle können Angreifer Dell PowerEdge Server attackieren und Systeme vollständig kompromittieren. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Admins sollten die Sicherheitsupdates zeitnah installieren.

Server schützen

In einer Warnmeldung listet Dell die betroffenen PowerEdge-Server-Modelle auf. Darunter fallen etwa PowerEdge R770, PowerEdge M7725 und PowerEdge R750XA. Die Lücke (CVE-2025-42446 „hoch“) findet sich im von American Megatrends Inc. (AMI) entwickelten BIOS. Daran können Angreifer auf einem nicht näher beschriebenen Weg für eine Schadcode-Attacke ansetzen. Konkret ist das SSM Module SmmWhea betroffen. Wie aus einem Beitrag von AMI hervorgeht, ist die Lücke schon seit Mai dieses Jahres bekannt. Warum Dell die Schwachstelle erst jetzt aufgreift, ist zurzeit nicht bekannt.

Dell versichert, dass die Firmwares 1.4.1, 1.5.3, 1.6.4, 1.10.3, 1.15.3, 1.19.2, 1.21.1, 2.19.1, 2.21.1, 2.4.0 und 2.8.2 abgesichert sind.

(des)