Die Thüringer Regierungskoalition (CDU, SPD, BSW) will im Namen der Modernisierung ein sogenanntes „Entlastungsgesetz“ verabschieden und damit nach eigenen Angaben die Bürokratie abbauen. Die Maßnahmen haben demnach das „Ziel, Abläufe zu vereinfachen und Ressourcen zu schonen“.

Das sieht Arne Semsrott, Transparenz-Experte und Chefredakteur von FragDenStaat, anders. Gegenüber netzpolitik.org äußert dieser: „Die längst überfällige Veröffentlichungspflicht für Kommunen auf den letzten Metern noch zu streichen, passt zur peinlichen Digitalisierungs- und Demokratieverweigerung von CDU und SPD. Dass der BSW daran mitwirkt, ist auch kein Wunder.“

Die Open Knowledge Foundation (OKF), Wikimedia und der Hackspace Jena kritisieren das Gesetzesvorhaben ausführlich in ihren parlamentarischen Stellungnahmen. Der Stellungnahme des Hackspace schließt sich der Chaos Computer Club (CCC) an. Sie alle kommen zu ähnlichen Ergebnissen: Das geplante Entlastungsgesetz baut Transparenz gegenüber den Bürger:innen und Presse ab – und verfehlt sein Modernisierungsziel. Bisherige Fortschritte würden mit dem Gesetz zunichtegemacht. Auch das ausgewiesene Ziel der Landesregierung, die Effizienz zu erhöhen, werde verfehlt. Nicht trotz, sondern aufgrund des Rückbaus.

Transparenzpflicht soll Kann-Bestimmung werden

Die Organisationen sehen im Entlastungsvorhaben vor allem einen Rückbau des Thüringer Transparenzgesetzes (ThürTG) aus dem Jahr 2019. Thüringer Behörden stellen aufgrund des Gesetzes amtliche Informationen unaufgefordert auf dem Thüringer Transparenzportal (TTP) zur öffentlichen Verfügung. Diese Veröffentlichungspflichten sollen nun „zusammengekürzt werden – getarnt als ‚Bürokratieentlastung’“, moniert der CCC.

Die Vorschriften des Transparenzgesetzes sollen in „Kann-Bestimmungen“ umgewandelt werden, die auf Freiwilligkeit setzen und damit zu weniger Transparenz führen, heißt es dazu in der Stellungnahme des Hackspace Jena. „Der geplante § 6 Abs. 3 S. 1 ThürTG schafft die bisherige Transparenzpflicht de facto ab. Die Informationen aus dem gekürzten Katalog können eingestellt werden. Damit ist zu erwarten, dass die ohnehin sehr dürftigen Informationen im TTP noch weniger werden.“

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Timo Melzer kritisiert die Änderungen in der Anhörung zum Gesetzesvorhaben. Sein Amt spreche sich deutlich gegen eine Umwandlung von Soll- in Kann-Bestimmungen aus. Dies diene „nicht dem Zweck des Thüringer Transparenzgesetzes, der die Förderung der demokratischen Meinungs- und Willensbildung sowie die Ermöglichung der Kontrolle staatlichen Handelns verfolgt“. Beides sei in der heutigen Zeit „wichtiger denn je, auch gerade im Hinblick auf Fake News“, so Melzer. Ohne eine verbindliche Veröffentlichungspflicht würde zudem die Qualität und Quantität der Informationen im TTP erheblich reduziert werden.

TTP hinkt bereits hinterher

Melzer sagt, dass durch die Änderung sogar ein höherer Verwaltungsaufwand möglich sei. Er ist davon überzeugt, dass die Attraktivität des TTP durch konsequente Digitalisierung gesteigert werden kann. Die tatsächliche Nutzung der Plattform ließe sich demnach erhöhen, wenn die Nutzbarkeit der Webseite verbessert werde. Beispielsweise durch ein verbessertes IT-Design und KI-Unterstützung auf dem Portal.

Der Hackspace Jena kritisiert in diesem Zusammenhang die ohnehin dürftige Bilanz des staatlichen Portals im Vergleich mit anderen Bundesländern: Seit Inkrafttreten des Transparenzgesetzes Im Jahr 2020 seien insgesamt nur 907 Dokumente eingestellt worden. Gleichzeitig habe Hamburg insgesamt 170.000 Dokumente veröffentlicht. In Rheinland-Pfalz seien es 31.000 Dokumente.

Der Hackspace kritisiert auch die technische Umsetzung des Portals selbst: Aus Sicht der Psychologie und Kognitionsforschung führten lange Ladezeiten bereits ab 5 Sekunden zu einem Gefühl von Verunsicherung und Vertrauensverlust bei den Nutzenden. Ab 15 Sekunden sei es Frustration. Nutzende würden eine Webseite unter solchen Umständen wieder verlassen – und beim TTP läge die vollständige Ladezeit zwischen 20 und 47 Sekunden. Netzpolitik.org hat die langen Ladezeiten in einer Stichprobe ebenso nachvollziehen können.

De facto Rückabwicklung zum Informationsfreiheitsgesetz

„Letztlich entwickelt sich das Transparenzgesetz zurück und ist damit im Kern nur noch ein Informationsfreiheitsgesetz“, so der Hackspace Jena in der Stellungnahme. Berichtspflichten an den Landtag entfielen. Beispielsweise für Gutachten, Stellungnahmen von Verbänden und für Kabinettsvorlagen würden Ausnahmen geschaffen. Es würden damit genau jene Dokumente herausgelöst, die für informierte gesellschaftliche Teilhabe zentral seien.

„Ein Ziel eines Transparenzgesetzes sollte es sein, den Bürgerinnen und Bürgern Informationen auch während des normsetzenden Verfahrens zur Verfügung zu stellen“, so Hackspace Jena. Die Ausnahmen sorgten nun dafür, dass Dokumente „erst nach Abschluss des Verfahrens und auf Antrag zur Verfügung stehen“. Damit werde die Möglichkeit eingeschränkt, das Verfahren überhaupt noch beeinflussen zu können.

Informationsfreiheitsgesetze regeln den voraussetzungslosen Zugang zu amtlichen Informationen. Doch unter dieser Maßgabe bleibt Transparenz auf die Eigeninitiative von Bürger:innen und Journalist:innen angewiesen – die Informationen müssen extra angefragt werden. Transparenzgesetze verfolgen demgegenüber das Ziel, die Behörden zu einer unaufgeforderten Veröffentlichung zu verpflichten.

Laut der Stellungnahme der OKF, Betreiberin der Plattform FragDenStaat, werde nun aus der Pflicht, digitale Dokumente vorzulegen, ein Ermessen, dies zu verweigern. Auch die Rechte des Landesbeauftragten für den Datenschutz und die Informationsfreiheit würden de facto abgeschwächt.

Abbau von Transparenz führt zu Ineffizienz

Die Thüringer Landesregierung begründet das „Entlastungsgesetz“ mit zwei Hauptargumenten: Die Transparenzpflicht würde Personalressourcen binden. Ein prominent genanntes Beispiel ist dabei der Aufwand durch Schwärzungen. Zudem werde das Portal ohnehin kaum genutzt, während kommerzielle Suchmaschinen in der Regel schnellere Ergebnisse lieferten. Beide Argumente seien laut den Stellungnahmen ungültig – und zwar unter Berufung auf den Evaluationsbericht, den die Landesregierung selbst beim Deutschen Forschungsinstitut für öffentliche Verwaltung in Auftrag gegeben hat.

Laut der OKF kam das Institut in dem rund 200 Seiten starken Bericht zu dem Ergebnis, dass es am Vollzug der Regelungen mangele – nicht, dass der Verwaltungsaufwand ein Problem darstelle. Vielmehr gäbe es „‚deutliche Vollzugsdefizite‘ beim Einstellen von Informationen, die auch auf unklare Formulierungen in den §§ 5 und 6 ThürTG zurückzuführen seien“.

„Anstelle einer Abschwächung der Transparenz empfiehlt die Evaluation eine Schärfung der Definitionen sowie die Verfolgung des in anderen Bundesländern gängigen ‚Access for one – Access for all‘-Ansatzes, bei dem individuell beantragte Informationen automatisch auch ins Transparenzportal überführt werden“, so die OKF. Es könne zudem keine Lösung sein, die Bereitstellung staatlicher Informationen an Privatkonzerne zu übertragen – zumal bei Suchmaschinen ohnehin nur gelistet werden könne, was vorher auch veröffentlicht wurde.

Regierungskoalition ignoriert Evaluationsbericht

Auch der Hackspace Jena quittiert der Landesregierung insgesamt: „Bei dem vorliegenden Entwurf ist nicht zu erkennen, dass diese Vorschläge umgesetzt worden oder dass diese Erkenntnisse irgendwie in den Entwurf eingeflossen sind.“

Dem Aufwand von Schwärzungen ließe sich durch eine konsequente Digitalisierung der Verwaltung ebenfalls begegnen, so die Stellungnahme von Wikimedia, und zwar automatisiert, „technisch wirksam und ohne weiteres Zutun“ indem personenbezogene Sachverhalte in Dokumenten maschinenlesbar codiert werden. Es sei demnach die IT-Infrastruktur zu modernisieren, die gleichsam die Voraussetzung für weitere Modernisierungsvorhaben sei.

„Die geplanten Änderungen des Thüringer Transparenzgesetzes gehen an der ausweislichen Zielstellung des Thüringer Entlastungsgesetzes vorbei“, kritisiert Wikimedia ferner. Wenn die Handlungsfähigkeit und Effizienz der Verwaltung durch das ThürTG beeinträchtigt werde, sei dies lediglich ein Indikator für mangelnde Verwaltungsdigitalisierung. Die automatisierte Veröffentlichung von Dokumenten schaffe nicht nur Transparenz, sondern auch eine Grundlage für viele weitere alltägliche Behördenabläufe – intern oder im Austausch mit den Bürger:innen.

Probleme bei personellen Ressourcen ausgerechnet durch den Abbau von Transparenzvorschriften lösen zu wollen, sei deshalb kontraproduktiv, so Wikimedia. Grundlegende Ursachen würden dadurch nicht angegangen, sondern lediglich die „sichtbaren Konsequenzen abgeschafft“. Dies mache es in der Zukunft umso schwerer, Effizienzprobleme zu erkennen.

Gemeinde- und Städtebund begründet mit Personalmangel

Dr. Carsten Rieder, geschäftsführendes Vorstandsmitglied des Gemeinde- und Städtebundes Thüringen, argumentiert in der Anhörung zum Gesetzesvorhaben dennoch mit einer Mehrbelastung für die Kommunen. Transparenz werde prinzipiell unterstützt, aber durch die Pflichten entstünden personelle Mehrbelastungen im Verwaltungsalltag. Zudem gäbe es Berichte von Einzelfällen, in denen Verwaltungseinheiten mit Anfragen überhäuft würden. Die Transparenzgesetze könnten demnach „ansatzweise missbräuchlich“ genutzt werden, um „Verwaltungen lahmzulegen“.

Melzer sieht auch in dieser Hinsicht das Potenzial bei technischen Lösungen, die Missbrauch verhindern können. Nach seinem Kenntnisstand würden Mitarbeitende der Kommunen das TTP zudem selbst nutzen, um sich einen schnellen Informationsüberblick zu verschaffen.

Für Linux und andere Unix’oide Betriebssysteme gibt es mehrere Treiber-Optionen für den Zugriff auf das Windows-NTFS-Dateisystem. Eine davon ist das quelloffene NTFS-3G von Tuxera, das auf FUSE (Filesystem in Userspace) fußt. Nach knapp vier Jahren haben die Entwickler ein Update veröffentlicht, das auch eine hochriskante Sicherheitslücke schließt.

Laut Sicherheitsmitteilung von Tuxera handelt es sich dabei um einen Heap-basierten Pufferüberlauf. In der mit SUID-root ausgeführten ntfs-3g-Binärdatei können Angreifer mit einem sorgsam präparierten NTFS-Image den Pufferüberlauf in der Funktion ntfs_build_permissions_posix() provozieren, erklären die Programmierer. Der Fehler löst bei Lesezugriffen beim Verarbeiten von Security-Deskriptoren aus, die mehrere „Zugriff verboten“-Einträge mit Inhalt „WRITE_OWNER“ von unterschiedlichen Gruppen-Security-Identifiern (SID) enthalten (CVE-2026-40706, CVSS 7.8, Risiko „hoch“).

Die Entwickler führen weiter aus, dass bösartige Akteure Kontrolle über die Größe des Überlaufs haben, von 8 bis über 14.000 Bytes. Zudem können sie zum Teil kontrollierte Daten dadurch in den Speicher hinter dem allokierten Heap schreiben. Das grätscht wiederum in Heap-Daten der glibc. Explizit schreiben sie es nicht, aber auch der Schweregrad der Lücke deutet damit an: Angreifer können so Code einschleusen und mit den root-Rechten aus SUID laufen lassen.

Korrigierter Quellcode

Tuxera hat am Dienstag dieser Woche korrigierte Quellen veröffentlicht. Sie heben NTFS-3G auf den Stand 2026.2.25 – zuvor war Version 2022.10.3 aus dem Jahr 2022 aktuell. Die Release-Notizen zählen noch zahlreiche kleinere Fehlerkorrekturen auf. Die reichen von Tippfehlern in Meldungen hin zu Crash-Bugs.

Wer den Treiber nicht umgehend aktualisieren kann, kann vorgeschlagene Gegenmaßnahmen umsetzen. Das Deaktivieren von ACLs in der Build-Konfiguration mit anschließendem Rebuild und Reinstall hilft den Entwicklern zufolge, oder etwa das erzwungene Deaktivieren von User-Mapping mit anschließendem unmount und mount mit einer gesetzten Option -ousermapping=. Zudem soll Abhilfe schaffen, für alle gemounteten NTFS-Volumes die Datei „.NTFS-3G/UserMapping“ zu löschen und anschließend die Images aus- und wieder neu einzuhängen. Wer auf den Paketmanager seiner Distribution setzen kann: Debian stellt bereits gepatchte Pakete für alle stabilen Releases über den Security-Channel bereit, Ubuntu folgte ebenfalls mit Backports des Sicherheitsupdates.

Es gibt inzwischen alternative NTFS-Treiber, die im Linux-Kernel laufen und performanter sein sollen. Im vergangenen Oktober hat der Entwickler Namjae Jeon etwa „ntfsplus“ vorgestellt.

Siehe auch:

• NTFS-3G: Download schnell und sicher von heise.de

(dmk)

Die Phishing-Attacken auf dem Messenger Signal gegen prominente Personen aus Politik und Journalismus sind offenbar erfolgreich. Nun ist bekannt geworden, dass auch Bundestagspräsidentin Julia Klöckner auf den Phishing-Versuch hereingefallen ist. Nach Informationen von netzpolitik.org waren die Angreifer bei mindestens einem weiteren Bundestagsabgeordneten sowie mehreren Angehörigen großer Redaktionen erfolgreich.

„Es ist davon auszugehen, dass so zahlreiche Signal-Gruppen im parlamentarischen Raum derzeit von den Angreifern nahezu unbemerkt ausgelesen werden“, heißt es in der 20-seitigen Warnung des Verfassungsschutzes (BfV) an Bundestagsabgeordnete, aus der der Spiegel zitiert. Dem BfV seien bereits „zahlreiche hochrangige Betroffenheiten“ bekannt geworden, so der Bericht weiter. Angesichts der Art der Angriffe vermutet der Geheimdienst laut dem Spiegel allerdings eine „deutlich höhere Dunkelziffer“.

Zusammen mit Netzwerk Recherche hatte netzpolitik.org Informationen gesammelt, wer im Journalismus wann die Phishing-Attacke zugesandt bekam. Demnach hatten hierzulande deutlich mehr als 100 Journalist:innen aller Mediengattungen und zahlreicher Medienhäuser den Angriffsversuch erhalten.

Unter den Angegriffenen sind viele Journalist:innen aus dem investigativen Bereich sowie mehrere sehr prominente Vertreter:innen der Medienbranche. Die Angriffe laufen nach Informationen von netzpolitik.org seit September 2025. Dabei wurden manche Personen auch schon mehrfach von den Angreifern angeschrieben, manche bis zu vier Mal.

Bei der Phishing-Attacke, über die netzpolitik.org als erstes in Deutschland berichtet hat, schreiben die Angreifer eine Nachricht im Namen des Signal-Supports an die betroffene Person, in der sie behaupten, dass deren Account attackiert werde. Dazu fordert der falsche Support, dass die Nutzer:innen ihren Verifizierungscode senden. Geben die Nutzer:innen diesen und ihre Signal-PIN an die Angreifer, können diese den Account übernehmen und damit Kontakte, Netzwerke, Chats und Chatgruppen aus- und mitlesen.

Immer mehr Spuren beim Messenger-Phishing weisen auf Russland

Viel spricht für Russland als Urheber des Angriffs

Das niederländische Verteidigungsministerium hatte Anfang März gesagt, dass Russland hinter der laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. BSI und Verfassungsschutz hatten vor den Attacken gewarnt und diese als „wahrscheinlich staatlich gesteuert“ bezeichnet.

In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl die militärische Geheimdienst MIVD als auch der zivile Geheimdienst AIVD nun von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. Auch netzpolitik.org hat Hinweise, welche die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Das Medienhaus Correctiv hatte zudem den Angriff auf den früheren Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, ausgewertet und ist dabei auch auf digitale Spuren gestoßen, die nach Russland führen.

Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatten vor einigen Tagen noch einmal vor der Phishing-Attacke gewarnt und auch einen Leitfaden für Betroffene veröffentlicht.