Ob für das Bearbeiten eines Antrags oder einer Bürger:innen-Anfrage, zur Entscheidungsfindung oder Haushaltsplanung – Verwaltungsarbeit ist zu großen Teilen Arbeit mit Informationen. Wichtig ist dabei, dass Mitarbeiter:innen diese Informationen leicht finden. Dafür müssen sie sich zurzeit noch durch einen Dschungel an Dokumenten schlagen. Vieles steckt in Akten, in physischen und digitalisierten, in PDFs oder Word-Dokumenten. Dokumente, die darauf warten, systematisch aufbereitet und durchsuchbar gemacht zu werden.

Seit Jahren fordern Expert:innen daher, für die öffentliche Verwaltung eine moderne Dateninfrastruktur zu bauen, Informationen als Linked Data (PDF) zu organisieren und verlässliche Daten-Standards zu nutzen. Das würde die Verwaltungsdigitalisierung beschleunigen.

Doch statt hier in eine nachhaltige Strategie zu investieren, setzt Digitalminister Karsten Wildberger (CDU) lieber auf KI-Sprachmodelle. Die haben es nun in den Katalog des Deutschland-Stacks geschafft. Allerdings ist es zweifelhaft, ob sie den großen Hoffnungen des Ministers gerecht werden.

Gehypte KI-Agenten

Seit März dieses Jahres fördert das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) im Rahmen des Agentic AI Hub kommunale Pilotprojekte, die mittels generativer KI Sachberarbeiter:innen Verwaltungsaufgaben abnehmen sollen.

Auch die Bundesverwaltung setze bereits KI-Agenten ein, erklärt Staatssekretär Thomas Jarzombek (CDU) im Ausschuss für Digitales und Staatsmodernisierung Mitte April zu seinem „Leib- und Magenthema“. Das sei im Digitalministerium in Sachen Verwaltungsdigitalisierung insgesamt das „Thema Nummer 1“.

So soll etwa der Agent „Spark“ dabei helfen, „Dutzende Aktenordner mit Gutachten und Unterlagen zu sichten und sie in wenigen Stunden auf Vollständigkeit und Plausibilität zu prüfen“. Damit könne die Verwaltung Vorgänge beschleunigen und bessere Entscheidungen treffen, so Jarzombek. Ziel sei es, die Versäumnisse bei der Verwaltungsdigitalisierung und Personalmangel auszugleichen.

Grundlegende Probleme bleiben ungelöst

Dass das Digitalministerium hier auf generative KI-Systeme setzt, wirke mehr wie eine kurzfristige Reaktion auf die Symptome der schleppenden Verwaltungsdigitalisierung als wie ein fundierter Umgang mit ihren ursächlichen Mängeln, so Stefan Kaufmann von Wikimedia Deutschland gegenüber netzpolitik.org.

Er fordert für die Verwaltung ein grundlegendes Umdenken. So sollten Informationen nicht wie bisher in Dokumenten, sondern in semantischen Daten und Wissensgraphen abgelegt werden. „Und wir brauchen die IT-Architekturen, um staatliche Informationen als semantische Daten zu speichern und wiederverwenden zu können“, sagt Kaufmann. Mit Wissengraphen können Informationen strukturiert dargestellt werden, sodass Computer Bedeutungzusammenhänge von Informationen verarbeiten können.

Vor gut einem Jahr veröffentlichte Wikimedia die Broschüre „Generative KI für die Verwaltung?“ und traf damit einen Nerv. Die gedruckte Fassung für die öffentliche Verwaltung war schnell vergriffen, vor Kurzem erschien ein Nachdruck.

Was Kaufmann unter anderem meint, wenn er sagt „in Daten denken“: Verwaltungswissen versteckt sich meistens in Texten, PDFs und Tabellen, die für menschliche Bearbeitung angelegt und gespeichert wurden. Einzelne Informationen müssen Suchende den Dokumenten meist mühsam entlocken. Es überrascht daher nicht, dass sich Verwaltungsmitarbeitende ein KI-System wünschen, das bestimmte Informationen aus einer Vielzahl von Dokumenten zusammensucht.

Automatisierung statt Sprachmodelle

In der Begeisterung für generative KI übersehen aus Sicht von Kaufmann sowohl Verwaltungsdigitalisierer als auch Minister Wildberger allerdings zweierlei: Zum einen sind generative KI-Systeme prinzipiell limitiert, zum anderen bieten gerade in der Verwaltung sogenannte logikbasierte Methoden ein bislang unausgeschöpftes Potenzial. Logikbasierte Methoden geben bei jeder Anfrage logisch das gleiche Ergebnis aus, das sich transparent auf die zugrundeliegenden Daten zurückführen lässt.

Doch dafür müssen staatliche Informationen als strukturierte und maschinenlesbare Daten vorliegen. Erst dann ließen sich zahlreiche Verwaltungsprozesse auf klassischem Wege automatisieren, sowohl in der internen Arbeit als auch in Kontakt mit Bürger:innen, Organisationen und Unternehmen.

Mitarbeitende in der Verwaltung erhielten so mehr Zeit für Beratung, weil sie weniger damit beschäftigt wären, Daten und Informationen manuell zusammenzutragen. „Sie könnten auch Sachverhalte automatisiert auswerten und zwar deterministisch und halluzinationsfrei“, so Kaufmann.

Verwaltungs-Chatbots machen Fehler

Ein solcher Ansatz würde allerdings eine nachhaltige Strategie erfordern, die bislang nicht in Sicht ist. Viele Kommunen setzen stattdessen auf Chatbots, um mit ihren Bürger:innen zu kommunizieren. Sie hoffen, so die bestehende Arbeitslast innerhalb der Behörden abzufedern. Aus ihrer Sicht sind die Bots außerdem attraktiv, weil sie diese bei externen IT-Dienstleistern einkaufen und dies haushalterisch abbilden können.

Der Berliner BärGPT, die Gersheimer Gerda Bürki oder der Hagener JOST – sie alle sollen auf Grundlage von Informationen, die auf einer städtischen Website zu finden sind, dazu Auskunft erteilen, wer eine Behördenabteilung leitet oder an wen sich Bürger:innen auf der Suche nach einem Kita-Platz wenden können.

Doch die Bots funktionieren so wie alle Large Language Models (LLMs, Sprachmodelle): nach dem Prinzip der statistischen Wahrscheinlichkeit. Und deshalb machen sie Fehler. Das belegte zuletzt etwa eine Studie der Europäischen Rundfunkunion im Oktober 2025. Demnach liegt die Fehlerquote in den Outputs von Chatbots wie Gemini, Copilot oder ChatGPT bei rund 45 Prozent. Bezeichnenderweise geben sie Informationen dann relativ korrekt aus, wenn die dafür nötigen Daten gut strukturiert vorliegen – also in der Form, die es auch als Grundlage für logikbasierte Auswertungen bräuchte.

Regelbasiert sticht Wahrscheinlichkeitsprinzip

Ob einem KI-Chatbot Fehler unterlaufen, wird allerdings erst dann ersichtlich, wenn Nutzer:innen die Ausgabe prüfen. Bezogen auf die Verwaltung hieße das, dass Sachbearbeiter:innen dafür zusätzliche Zeit einplanen müssen. Außerdem brauchen sie verlässliche Referenzdaten, um diese mit der KI-Antwort abgleichen zu können. Die Alternative dazu wäre ein automatischer Vorbehalt, sagt Kaufmann. „Wenn ich einen Bescheid bekomme, der mit generativer KI erstellt wurde, hätte ich damit das Recht auf nochmalige manuelle Prüfung.“

Auch bei Abfragen aus verteilten Wissensbeständen kämen Sprachmodelle schnell an ihre Grenzen, etwa wenn Nutzer:innen nach einer Liste deutscher Großstädte mit einer Oberbürgermeisterin fragen und diese nach Einwohnerzahl absteigend sortiert bekommen möchten. „Aus strukturierten Daten wie bei Wikidata lässt sich das mit simplen, regelbasierten Methoden und einem Bruchteil des Aufwands beantworten – und zwar verlässlich“, erklärt Kaufmann gegenüber netzpolitik.org. Dennoch investieren immer mehr Kommunen in Chatbots.

Statt den Umweg über KI-Sprachmodelle zu verfestigen, könnte die Verwaltung ihre Informationsbestände Schritt für Schritt in Richtung semantischer Datenspeicherung entwickeln. Das würde nicht nur die interne Weiterverwendung behördlicher Informationen vereinfachen, erklärt Kaufmann. Vielmehr könne man die Bestände auch mit symbolischen KI-Systemen verlässlich auswerten. „Das sind regelbasierte Systeme, die im Gegensatz zu LLMs und Agentensystemen nicht dem Zufall ausgesetzt sind.“ Außerdem seien sie deutlich sparsamer beim Energieverbrauch.

Auf diese Weise könne die Verwaltung Informationen, die bisher in Dokumenten oder Fachverfahren „gefangen“ waren, organisationsübergreifend auswerten und verwenden. Dabei könnten auch Unklarheiten in den Informationen auffallen, die Mitarbeitende direkt auf Quellenebene korrigieren könnten.

Aus Erfahrungswissen lernen

Die Verwaltung könnte hier aus vielen Jahren Vorarbeit von Projekten und Initiativen des digitalen Ehrenamts lernen, glaubt Kaufmann. Als Beispiel führt er das Projekt „kleineAnfragen“ an, wo Nutzer:innen alle kleinen und großen Anfragen deutscher Parlamente nach Stichwörtern durchsuchen, Anfragen automatisch analysieren und sie mit einer stabilen URL verlässlich verlinken konnten. Ein anderes Beispiel seien Web-Angebote wie „Meine Stadt Transparent“ und „Politik bei uns“, die Ratsdokumente besser durchsuchbar machten. Eine wesentliche Rolle spielte dabei der offene OParl-Standard, der es erlaubt, Dokumente maschinell auszuwerten.

Alle drei Angebote sind derzeit allerdings nicht mehr in Betrieb. „Sie waren als Freie-Software-Projekte quasi schlüsselfertig und „for public adoption“ gedacht – staatliche Stellen haben sie aber nie selbst übernommen“, erklärt Kaufmann. Es komme selten vor, dass in einer Behörde Menschen arbeiten, die die Potenziale dieser Systeme erkennen und sie dann, ohne lange Schleifen mit externen Dienstleistern durchlaufen zu müssen, selbst ausrollen können.

Das BMDS unter Karsten Wildberger ist hier offenbar keine Ausnahme. Die Bundestagsabgeordnete Sonja Lemke (Die Linke) fragte in der Ausschusssitzung Mitte April, ob das Digitalministerium regelbasierte Systeme prüfe oder auch Systeme, mit denen die Verwaltung ihre Informationen in maschinenlesbarer Form bringe und damit wiederverwendbar abspeichere. Einer klaren Beantwortung der Frage wich Staatssekretär Jarzombek aus.

Das TanStack-Team hat mitgeteilt, dass ein Supply-Chain-Angriff auf TanStack via npm erfolgt ist: Am gestrigen 11. Mai 2026 waren insgesamt 84 kompromittierte Versionen von 42 @tanstack/*-Paketen auf dem JavaScript-Paketmanager npm zu finden, die Credential Stealer enthielten. Nach 20 Minuten seien die Pakete von einem externen Forscher aufgespürt worden. Sie sind inzwischen deprecated, doch es ist noch unklar, wie oft sie installiert wurden. Betroffene sollen nun handeln und ihre Credentials rotieren, empfehlen Sicherheitsforscher.

Welche Pakete betroffen sind – und welche nicht

Aus dem Hause TanStack stammen beliebte Webentwicklungstechnologien wie das quelloffene State-Management-Tool TanStack Query. Nach Angaben des Entwicklungsteams waren @tanstack/query*, @tanstack/table*, @tanstack/form*, @tanstack/virtual*, @tanstack/store und @tanstack/start (das Meta-Package, nicht @tanstack/start-*) nicht kompromittiert.

Die 42 betroffenen Pakete sind im GitHub Security Advisory aufgeführt, darunter @tanstack/router-cli, @tanstack/router-core, @tanstack/router-vite-plugin, @tanstack/solid-start, @tanstack/vue-start und @tanstack/zod-adapter.

Derzeit ist laut Angaben von TanStack eine der noch offenen Fragen, wie viele User die schadhaften Pakete heruntergeladen haben.

Entwickler sollen Credentials rotieren

Die Malware dient dazu, Credentials aus beliebten Quellen zu stehlen, darunter AWS Instance Metadata Service (IMDS), GitHub-Token oder private SSH-Schlüssel. Das Security-Unternehmen Socket bietet konkrete Handlungsempfehlungen für Entwicklerinnen und Entwickler, die schadhafte Package-Versionen installiert haben. Sie sollen unter anderem alle Secrets unverzüglich rotieren, in der folgenden Prioritätenreihenfolge: npm-Token, GitHub-PATs/OIDC-Trusts, AWS-Credentials (statische Keys und Instanzrollen), Vault-Token, Kubernetes-Service-Account-Token.

Mini Shai-Hulud: Kürzlicher Angriff auf SAP-Pakete

Seit dem 29. April 2026 läuft gemäß Socket eine Supply-Chain-Kampagne unter der Eigenbezeichnung „Mini Shai-Hulud“, die Pakete auf npm und dem Python-Paketmanager PyPI angreift – und offenbar auch die TanStack-Attacke durchgeführt hat. Erst kürzlich erfolgte ein Angriff auf npm-Pakete mit SAP-Bezug. Hinter Mini Shai-Hulud stecken nach Vermutungen von Socket Akteure namens TeamPCP.

Weitere Details zum TanStack-Angriff sind dem Postmortem auf dem TanStack-Blog zu entnehmen.

(mai)

Auf Hugging Face war Anfang Mai ein Repository aufgetaucht, das sich als OpenAI-Modell getarnt und auf Windows-Systemen einen Infostealer installiert hat. Die Angreifer nutzten Typosquatting und verbreiteten das Repository als Open-OSS/privacy-filter in Anlehnung an das OpenAI-Modell openai/privacy-filter.

Während der Attacke landete das Repository innerhalb von 18 Stunden auf der #1 der Trending Repositories, mit über 240.000 Downloads und 667 Likes. Letztere sind weitgehend von automatisierten Accounts ausgegangen, um das Repository zu pushen.

Hugging Face hat das Repository inzwischen entfernt. Wer es davor auf einem Windows-Rechner geklont und entweder start.bat oder loader.py ausgeführt hat, sollte sein System als infiziert und in Browsern und ihren Extensions gespeicherte Credentials als potenziell abgegriffen betrachten.

Welche Dateien betroffen sein können, steht in der Analyse des KI-Sicherheitsunternehmens HiddenLayer.

Auf den ersten Blick fast identisch zum OpenAI-Repository

Offenbar haben die Angreifer die Model Card, die das Modell beschreibt, fast wörtlich von OpenAIs privacy-Filter übernommen, inklusive eines Links zu einem PDF von OpenAI.

Die Anleitung im Readme war ebenfalls weitgehend ähnlich, forderte allerdings zusätzlich dazu auf, das Repository lokal zu klonen und unter Windows start.bat sowie unter macOS oder Linux den Python-Loader loader.py auszuführen.

Vorgetäuschte Modellaktivität

Der Loader führt als Ablenkung zunächst scheinbar legitimen Code aus, mit einer Klasse DummyModel, vorgetäuschtem Modelltrainings-Output und einem synthetischen Datensatz.

Die Installation des Schadcodes startet mit der zum Abschluss aufgerufenen Funktion _verify_checksum_integrity(). Sie startet einen PowerShell-Befehl, der nur auf Windows-Systemen funktioniert und versteckt im Hintergrund läuft, über

powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command 

Mit dem Creation Flag CREATE_NO_WINDOW läuft der Prozess ohne Konsolenfenster.

Zahlreiche Verschleierungstaktiken

Das Skript lädt eine update.bat-Datei herunter, die den eigentlichen Schadcodebefall vorbereitet, und führt sie aus. Dazu prüft die Datei zunächst auf Admin-Rechte, die sie im Zweifel anfordert, was zumindest einen UAC-Prompt auslöst. Anschließend lädt sie den Schadcode herunter und versucht ihn als Ausnahme für Microsoft Defender einzutragen.

Der eigentliche Infostealer ist ein in Rust geschriebenes Programm, das auf zahlreiche Verschleierungstechniken setzt, um nicht als Schadcode erkannt zu werden. Unter anderem verschleiert das Programm den Einsatz von Windows-APIs und prüft, ob es von einem Anti-Malware-Programm in einer virtuellen Maschine ausgeführt wird.

Sammeln und hochladen

Schließlich sammelt der Infostealer Informationen aus Browsern, Discord, Wallets (unter anderem über Browser-Extensions), diversen Konfigurationsdateien und Geodaten. Außerdem erstellt er Screenshots mithilfe des Windows Graphics Device Interface (gdi32.dll).

Die gesammelten Daten packt der Infostealer in eine JSON-Datei, die er auf einen Remote-Server hochlädt.

Automatisierte Likes für bessere Sichtbarkeit

Die Likes wurden wohl weitgehend automatisiert erstellt, um das Repository zu pushen. Laut der Analyse von HiddenLayer folgen 504 dem Muster „firstname-lastname###“ und weitere 153 dem Muster „adjectivenoun####“.

Ein Teil der 244.000 Downloads dürfte ebenfalls nicht von Opfern des Infostealer-Angriffs, sondern von den Angreifern selbst automatisiert erfolgt sein, um das Repository im Hugging-Face-Ranking nach oben zu treiben.

(rme)