Der Dachverband europäischer Digitalorganisationen EDRi hat eine neue Kampagne zum Schutz von Verschlüsselung und privater Kommunikation gestartet. Hintergrund der Kampagne „Keep It Safe and Secure“ (KISS) ist, dass die verschlüsselte Kommunikation in der EU nicht nur durch die Chatkontrolle-Gesetzgebung unter Druck steht, sondern auch durch weitere Projekte.

Staatliche Akteure wie Polizeien und Geheimdienste begehren unter dem Deckmantel des Going-Dark-Narrativs Zugriff auf die Inhalte der Kommunikation. Außerdem beklagt EDRi, dass eine staatlich alimentierte Hacking-Industrie Menschen aus Aktivismus, Politik, Wirtschaft und Journalismus ins Visier nehme und die IT-Sicherheit aller Menschen gefährde.

Die EU hatte im letzten Jahr unter dem Schlagwort ProtectEU einen Fahrplan zum Ausbau der Überwachung vorgestellt. Die Angriffe auf die Verschlüsselung verstecken sich hinter der Formulierung „Rechtmäßiger Zugang zu Daten für Strafverfolgung“. Die Pläne sehen neben einem Angriff auf Verschlüsselung auch den Ausbau der Vorratsdatenspeicherung vor. Die EU-Kommission will noch im ersten Quartal eine Folgenabschätzung dazu veröffentlichen.

Schwachstellen und Hintertüren

Europol und andere Strafverfolgungsbehörden, so heißt es in der Kampagne, drängten unter anderem darauf, Hacking-Methoden zu legalisieren, welche die Verschlüsselung schwächen. Diese Methoden sind immer damit verbunden, Schwachstellen und Hintertüren in Hard- und Software einzubauen oder auszunutzen.

Zu den Methoden gehören wie bei der Chatkontrolle ursprünglich geplant das Client-Side-Scanning, bei dem Inhalte wie Texte, Bilder oder Videos auf einem Gerät oder in einem Kommunikationskanal schon vor der Verschlüsselung gescannt werden. Weitere Ansätze sind unsichere Verschlüsselungsmethoden, bei denen nicht nur die Kommunizierenden Schlüssel haben, sondern Behörden „Nachschlüssel“ zum Entschlüsseln der Kommunikation besitzen. Ein weiterer Ansatz sind Systeme, bei denen Behörden als unsichtbarer „Geist“ an verschlüsselter Kommunikation teilnehmen und die Kommunikation so mitlesen können.

Schutz von Verschlüsselung gefordert

In einer Petition fordern EDRi und die Bündnispartner der Kampagne von den EU-Abgeordneten Schutz von Verschlüsselung und ein Verbot von Staatstrojanern. Die massive Mobilisierung im Rahmen Chatkontrolle sei ein klares Zeichen dafür gewesen, dass den Menschen Verschlüsselung wichtig ist. „Wenn wir die Verschlüsselung verlieren, verlieren wir auch das Vertrauen in alles, was wir online tun, und gefährden damit die Sicherheit unserer demokratischen Gesellschaft, unserer Wirtschaft und unserer Menschenrechte“, heißt es weiter.

Microsoft hat ein „Playbook“ für den Umgang mit den im Juni 2026 auslaufenden Secure-Boot-Zertifikaten von Windows Servern herausgegeben. Es soll IT-Verantwortlichen in Organisationen helfen, die Zertifikate unter Windows-Server-Versionen auszutauschen, bevor sie im Juni ablaufen.

Ein aktueller Blog-Beitrag in Microsofts Techcommunity erklärt verfügbare Werkzeuge und Optionen. Die Autoren schränken ein, dass die Anleitung nicht auf Azure Local-Hosts, Windows-PCs oder Hyper-V-VMs der ersten Generation anwendbar ist.

Ablaufende Zertifikate: Manuelle Eingriffe nötig

Microsoft erklärt, dass die Secure-Boot-Zertifikate mit einer vordefinierten Laufzeit versehen sind, wie andere kryptografische Objekte auch. Der periodische Austausch helfe, aktuelle Sicherheitsanforderungen zu erfüllen. Daher müssen Organisationen sicherstellen, dass die Secure-Boot-CAs aus 2023 auf den Windows-Server-Systemen vorhanden sind, bevor die alten CAs aus dem Jahr 2011 ablaufen. „Systeme mit den CAs von 2011 laufen nach Juni 2026 Gefahr, mit einem geringeren Sicherheitsstatus zu arbeiten“, führen die Autoren aus.

Windows Server 2025 auf zertifizierten Server-Plattformen bringt bereits die 2023er-Zertifikate in der Firmware mit. Auf Servern, bei denen das nicht der Fall ist, müssen IT-Verantwortliche die Zertifikate manuell aktualisieren, da Windows Server sie nicht automatisch erhält. Anders als Windows-PCs, die die Secure-Boot-Zertifikatsupdates als Teil des Controlled Feature Rollout (CFR) im Rahmen der monatlichen Updates erhalten, erfordern Windows Server manuelle Eingriffe.

Microsoft liefert dann eine schrittweise, nachvollziehbare Anleitung. Sie beginnt mit Inventur und Vorbereitung der Umgebung. Anschließend geht sie weiter zur Überwachung und Prüfung des Secure-Boot-Status der Geräte und darauffolgend hin zur Anwendung benötigter OEM-Firmware-Updates vor den Zertifikatsaktualisierungen. Daran schließt sich die Planung und Begleitung der Secure-Boot-Zertifikatsverteilung an und schließlich endet sie mit Problemlösungen und dem Beheben üblicher Probleme.

Admins mit Windows-Servern im Netzwerk sollten die Anleitung studieren und deren Umsetzung in absehbarer Zeit in Angriff nehmen. Für Windows-Desktop-Systeme hat Microsoft bereits Ende Januar mit der Verteilung von aktualisierten Secure-Boot-Zertifikaten begonnen. Mit der Sensibilisierung für den anstehenden Zertifikatsaustausch hat Microsoft zudem bereits im Juni vergangenen Jahres angefangen.

(dmk)

Im November 2024 hatte die rot-grüne niedersächsische Landesregierung sich auf ein neues Psychisch-Kranken-Gesetz geeinigt. Solche Gesetze gibt es in allen Bundesländern, sie regeln neben Hilfen für erkrankte Menschen unter anderem, wann sie unfreiwillig in eine psychiatrische Klinik eingewiesen werden können und welche Voraussetzungen für Zwangsmaßnahmen gelten. Die Details unterscheiden sich in den Ländern, Niedersachsen will nun – wie Hessen zuvor – in seinem neuen Gesetz regeln, wie und wann Daten zu Menschen sowohl mit Behörden als auch mit der Polizei ausgetauscht werden können.

Am Erstentwurf der Landesregierung gab es zahlreiche Kritik. Kliniken sollten dazu verpflichtet werden, Zwangseingewiesene dem zuständigen sozialpsychiatrischen Dienst und der örtlichen Polizeibehörde zu melden, „sofern der betroffene Mensch festgelegte Merkmale aufweist, die einen Verdacht für die Gefährdung Dritter vermuten lassen“.

Das mutmaßliche Gewaltrisiko sollte auf Basis einer öffentlichen Verwaltungsvorschrift ermittelt werden. Diese Regelung hat die Landesregierung nach einer Verbändeanhörung überarbeitet. Den neuen Entwurf hat sie mittlerweile in den niedersächsischen Landtag eingebracht.

Niedersachsens Gesundheitsminister Andreas Philippi (SPD) hatte betont: „Keinesfalls wollen wir ein Register für psychisch Kranke.“ Doch auch wenn der Register-Begriff von Politiker:innen mittlerweile nach zahlreicher öffentlicher Kritik gemieden wird, bleibt das Problem einer Datenerfassung über psychisch erkrankte Menschen bestehen.

Drei Stufen zur Datenübermittlung

Zu den Datenübermittlungen zwischen Kliniken, sozialpsychiatrischen Diensten und Polizei schreibt die Regierung im neuen Gesetzesentwurf: „Um die kritischen Stellungnahmen aus der Verbandsanhörung aufzugreifen, wurden diese Regelungen in einen gesonderten Paragraphen aufgenommen.“ Die seien „klarer strukturiert, die übermittlungsfähigen Daten konkret definiert und insbesondere die Kriterien für eine psychiatrische Gefährdungseinschätzung ausdrücklich im Gesetz festgelegt“.

Dabei herausgekommen ist ein dreistufiges Modell, nach dem Kliniken und sozialpsychiatrische Dienste Daten an die örtliche Polizei übermitteln können, sollen oder in der letzten Stufe müssen.

Die Kann-Vorschrift wird wirksam, wenn von einem Menschen ohne Behandlung „eine erhebliche Gefahr für das Leben, die Gesundheit oder andere hochrangige Rechtsgüter Dritter ausgehen könnte“ und erwartet wird, dass die Person sich nicht in eine als notwendig erachtete Behandlung begibt. Die Soll-Vorschrift kommt zum Tragen, wenn der entsprechende Mensch in den zwölf Monaten zuvor bereits „wegen erheblicher Fremdgefährdung untergebracht“ war. Und die Pflicht zur Datenübermittlung tritt in Kraft, wenn es zusätzlich im zurückliegenden Jahr „zu einer Schädigung Dritter“ gekommen ist. Eine Datenübermittlung kann jedoch, so sieht es der Entwurf vor, nicht nur in Richtung der Polizei, sondern auch umgekehrt von dieser zu Kliniken und sozialpsychiatrischen Diensten geschehen, etwa wenn die Zwangseinweisung auf einem „polizeilich aufgenommenen Sachverhalt“ basiert.

Der Entwurf versucht hier, die Datenübermittlung an nachvollziehbare und überprüfbare Bedingungen zu knüpfen. An anderer Stelle im Entwurf fehlt das, etwa wenn es darum geht, wann eine Person zwangseingewiesen werden kann. Denn das soll künftig nicht mehr – wie in der aktuellen Gesetzesfassung – bei akuter Selbst- oder Fremdgefährdung der Fall sein. Sondern auch, wenn eine Gefahr für Leib oder Leben Dritter „zwar unvorhersehbar, aber wegen besonderer Umstände des Einzelfalls jederzeit zu erwarten ist“. Eine Schwelle, die noch schwammig formuliert ist, etwa als „drohende“ Gefahr – ein Begriff, der in den letzten Jahren zunehmend Einzug in die Polizeigesetze gehalten und zu einer Vorverlagerung von Befugnissen geführt hat.

Der überwiegende Teil psychisch erkrankter Menschen hat kein höheres Gewaltpotenzial als Menschen ohne entsprechende Diagnosen. Das Risiko erhöhen können zwar Faktoren wie der Einfluss von Alkohol und anderen Substanzen oder teilweilse nicht angemessen behandelte psychotische Zustände. Fachleute weisen immer wieder darauf hin, dass Gewalt multifaktoriell ist. Sie fordern, dass auch andere Faktoren betrachtet werden müssen, wenn es zu Gewalttaten kommt. So schreibt etwa die Psychotherapeutenkammer Niedersachsen: „Gesamtgesellschaftlich muss Gewalt begünstigenden Faktoren ebenso begegnet werden, unter anderem durch Maßnahmen zum Abbau von Wohnungslosigkeit und verhältnispräventiven Maßnahmen im Bereich Suchtmittelkonsum.“

Besser, aber noch nicht ausreichend

Prof. Dr. Euphrosyne Gouzoulis-Mayfrank, Präsidentin der Deutschen Gesellschaft für Psychiatrie und Psychotherapie, Psychosomatik und Nervenheilkunde (DGPPN), begrüßt die Änderungen im überarbeiteten Gesetzesvorschlag. „Insgesamt ist der Entwurf deutlich verbessert, optimal ist er aber noch nicht“, so die Psychiaterin und Neurologin. Der Entwurf begrenze nun klarer, welche Informationen überhaupt weitergegeben werden dürfen. Im neuen Entwurf ist festgelegt, dass nur Daten zur Identifizierung einer Person und zur „Beschreibung der von ihm ausgehenden Gefahr“ übermittelt werden dürfen. „Daten zum Gesundheitszustand und zum Krankheitsbild des betroffenen Menschen, zum Behandlungsverlauf sowie zu Behandlungsinhalten dürfen nur weitergegeben werden, soweit dies zur Gefahrenabwehr erforderlich ist“, heißt es dort weiter.

Gouzoulis-Mayfrank wünscht sich hier eine noch klarere Formulierung, „dass dies nur bei ‚unabdingbarer‘ Notwendigkeit zulässig ist“. Denn auch wenn es eine Verbesserung darstelle: „Die abgestufte Regelung zur Weitergabe von Daten an die Polizei ist erkennbar ein politischer Kompromiss“, so Gouzoulis-Mayfrank. „Die Voraussetzungen sind enger als im ersten Entwurf, bleiben aus fachlicher Sicht aber hinter dem zurück, was wir für angemessen halten.“ Die Ärztin sieht die Gefahr, dass dennoch bei einer Gefährdungseinschätzung „mehr Informationen über die Erkrankungen preisgegeben werden, als zur konkreten Gefahrenabwehr zwingend erforderlich wären“.

Neben den Regeln zur Datenübermittlung enthält das niedersächsische Psychisch-Kranken-Gesetz, das nach der Änderung Psychisch-Kranken-Hilfe-Gesetz heißen soll, weitere Neuerungen. So sollen etwa die sozialpsychiatrischen Dienste, die Menschen mit psychischen Erkrankungen wohnortnah beraten und begleiten, gestärkt werden. Sie sollen etwa Stellen zur Krisenkoordination einrichten, die auch außerhalb regulärer Öffnungszeiten erreichbar sind.

Die sozialpsychiatrischen Dienste sollen auch an Fallkonferenzen teilnehmen, wenn sie selbst, eine behandelnde Klinik, die Wohnsitzgemeinde des betroffenen Menschen oder die Polizei von einem „erheblichen Fremdgefährdungspotenzial“ ausgehen. Nach Ansicht von Gouzoulis-Mayfrank sollten derartige Fallkonferenzen „nicht generell, sondern anlassbezogen und hochschwellig einberufen werden“. Die DGPPN-Präsidentin weist außerdem darauf hin, dass eine Begleitung durch die sozialpsychiatrischen Dienste einen wirksamen Präventionsbeitrag leisten könne. Die Dienste müssten dann jedoch finanziell und personell entsprechend ausgestattet sein.

„Ärztliche Schweigepflicht steht auf dem Spiel“

Der Vorstand des Vereins „Bundesarbeitsgemeinschaft Psychiatrie-Erfahrener“ hat sich nun, da der Entwurf im Landtag diskutiert wird, in einem offenen Brief an die Abgeordneten des niedersächsischen Landesparlaments gewandt. Der Verein engagiert sich für die Abschaffung von Zwangsmaßnahmen, kritisiert aber auch die geplanten Datenübermittlungsbefugnisse. Die neuen Regelungen würden „Betroffene diskriminieren, indem Krisen als Sicherheitsrisiko statt als Probleme im Leben durch die Polizei und Psychiatrie behandelt werden“. So stehe unter anderem das Vertrauen in die Medizin mit der Schweigepflicht auf dem Spiel, „ein Grundpfeiler jeder Behandlung“.

Der Grünen-Abgeordnete Nicolas Mülbrecht Breer ist Sprecher für Psychiatrie seiner Landtagsfraktion und begrüßt es, dass „sich die Eingaben der Fachwelt im überarbeiteten Entwurf des NPsychKHG wiederfinden“ würden. In einem Positionspapier zur Psychiatrie der niedersächsischen Grünen aus dem November 2025 heißt es unter anderem: „Keine zentrale Erfassung von Erkrankten, Einbindung von Sicherheitsbehörden nur in Einzelfällen“.

Mülbrecht Breer setzt auch im weiteren parlamentarischen Verfahren „auf eine konstruktive Zusammenarbeit mit den jeweiligen Akteur*innen“. Nachdem sich am 5. Februar der Gesundheitsausschuss zum ersten Mal mit dem geplanten Gesetz beschäftigt hat, soll am 16. April dazu eine Sachverständigenanhörung stattfinden. Ziel der rot-grünen Regierungskoalition ist erklärtermaßen, dass das Gesetz bis Juli dieses Jahres in Kraft treten soll.

Der Entwurf für eine Änderung des Landesgesetzes ist nicht die einzige Initiative Niedersachsens für mehr Datenaustausch zu psychisch erkrankten Menschen. Im Januar beschloss der Bundesrat einen Antrag auf Initiative des Landes, der die Bundesregierung auffordert, „insbesondere den Austausch von Gesundheitsdaten und den Erkenntnissen der Gefahrenabwehrbehörden unter datenschutzrechtlichen Vorgaben zu prüfen“ und Gesetze anzupassen. Es soll demnach eine bessere Vernetzung der „Erkenntnisse zwischen Sicherheits-, Gesundheits-, Waffen- und gegebenenfalls anderen relevanten Behörden“ geben.