Das Berliner Abgeordnetenhaus hat heute ein Gesetz beschlossen, das massive Folgen für Medien und Öffentlichkeit in der Hauptstadt haben wird. Es nimmt unter anderem weitreichende Änderungen am Berliner Informationsfreiheitsgesetz (IFG) und dem Landesdatenschutzgesetz vor. Nach den jüngsten Anschlägen auf die Berliner Strominfrastruktur hat die Regierungskoalition aus CDU und SPD das Vorhaben trotz massiver Kritik im Eilverfahren durchgeboxt.

Die Empfehlung zahlreicher Expert*innen lautete: Das Gesetzesvorhaben lieber gleich sein zu lassen. Nach massiven Protesten vieler Organisationen und der Berliner Datenschutzbeauftragten waren sie am Montagnachmittag zu einer Anhörung in das Berliner Abgeordnetenhaus geladen worden.

Hoffnungen, die Anhörung könne vor allem etwas an der weitreichenden Aushöhlung des Informationsfreiheitsrechtes rütteln, wurden jedoch enttäuscht. Das Gesetz hat den Digitalausschuss noch am Montag mit den Stimmen von CDU und SPD weitgehend unverändert passiert. Auch der heutige Plenumsbeschluss des Gesetzes erfolgte mit Regierungsmehrheit.

Pauschale Ablehnungen statt demokratischer Kontrolle

Der Berliner Senat behauptet, ihm gehe es bei dem Gesetz um den Schutz kritischer Infrastrukturen. Zahlreiche Kritiker*innen sehen darin einen Vorwand, um es für die Öffentlichkeit künftig schwerer zu machen, Akten aus der Verwaltung einzusehen. Das Gesetz ermöglicht zudem verdeckte Videoüberwachung an Orten mit kritischer Infrastruktur. In der Gesetzbegründung schreibt die Landesregierung von „einer erhöhten, wenn auch abstrakten, Gefährdung“ der kritischen Infrastruktur, nachdem es im September 2025 und zuletzt im Januar 2026 Anschläge auf die Stromversorgung gegeben hat.

Das Recht auf Informationszugang nutzen Aktivist*innen, Journalist*innen oder auch Autor*innen der Wikipedia, um Informationen über behördliches Handeln zu erhalten. Solche Anfragen nach dem Informationsfreiheitsgesetz (IFG-Anfragen) sind nicht nur eine wertvolle Wissensquelle über das Gemeinwesen, sondern auch ein wichtiges Instrument demokratischer Kontrolle staatlichen Handelns. Ein aktuelles Beispiel dafür ist die CDU-Fördermittelaffäre in der Berliner Kulturverwaltung. Die Plattform FragDenStaat hat sie mit so einer IFG-Anfrage aufgedeckt – unter der neuen Regelung könnte die Anfrage pauschal abgelehnt werden.

Das neue Gesetz sieht neben einer Reihe neuer Ablehnungsgründe für Auskunftsanfragen vor, dass ganze Bereiche des Gemeinwesens vom Informationszugang ausgeschlossen werden. Das Berliner IFG soll demnach künftig nicht mehr gelten, wenn Informationen zu Einrichtungen aus einer Vielzahl von Sektoren angefragt werden: neben Medien und Kultur auch Energie, Telekommunikation, Transport, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen mit hoher Bedeutung.

Arne Semsrott, Projektleiter der Plattform FragDenStaat sagte im Ausschuss: „Stattdessen hätte der Gesetzgeber auch schreiben können, Bildung kann noch angefragt werden, Sport kann noch angefragt werden, der Rest nicht“. Semsrott zufolge wurden auf FragDenStaat über 300.000 IFG-Anfragen in den letzten 15 Jahren gestellt, sehr viele davon in Berlin. „Sollte das Gesetz in dieser Form in Kraft treten, wird ein Großteil der erfolgreichen Anfragen in Berlin keinen Erfolg mehr haben“, warnte der Journalist. „Wenn man in Zukunft Infos zu Krankenhäusern und ÖPNV haben oder schlicht wissen möchte, wie viel die Renovierung einer Brücke kostet, dann fällt das laut der neuen Regelung in diesen Ausnahmebereich.“

Relevant für Sicherheit oder nicht? Irrelevant!

Besonders schwerwiegend ist laut Expert*innen wie der Berliner Datenschutzbeauftragten Meike Kamp, dass schon allein der Bezug der begehrten Information zu einer der genannten Einrichtungen ausreicht, um die IFG-Anfrage in Zukunft pauschal abzulehnen. Die Behörde muss dann nicht mehr im Einzelfall prüfen, ob die gewünschte Information besonders sensibel oder für die öffentliche Sicherheit relevant ist. Angesichts dieser großen Ausnahmebereiche stellt sich laut Kamp die Frage, welche Informationen überhaupt noch nach dem IFG erfragt werden können.

Jan-David Franke von Wikimedia Deutschland sprach von der Gefahr, das Grundprinzip der Informationsfreiheit umzudrehen: „Aus einem Anspruch mit begründeten Ausnahmen wird ein System, in dem ganze Bereiche vorsorglich von der Auskunft abgeschottet werden.“ Die geplanten Änderungen führten nicht zu mehr Sicherheit, stattdessen werde die Einführung der neuen und sehr weit gefassten Ausnahmenbereiche die Auskunftsrechte massiv einschränken.

Dabei ist Schutz der kritischen Infrastruktur im Berliner IFG bereits heute angelegt. Schon nach geltendem Recht können Behörden IFG-Anfragen zu sicherheitsrelevanten Infrastrukturen ablehnen, „ohne die Allgemeinheit von jeglichen Informationen zu kritischer Infrastruktur auszuschließen“, so Meike Kamp. Der Datenschutzbeauftragten zufolge fehlt es außerdem an Evidenz und einem konkreten Anlass für diesen Rückbau des IFGs. „Uns sind keine Fälle bekannt. Die Gesetzesbegründung lässt ebenfalls keine Fälle sehen.“

„Das hat mit Versorgungssicherheit nichts zu tun“

Tatsächlich gibt es keinen direkten Zusammenhang zwischen dem Anschlag auf die Berliner Stromversorgung Anfang Januar und der Informationsfreiheit. Die beschädigte Kabelbrücke war unzureichend gesichert und öffentlich sichtbar. Nicht nur bei Kamp entsteht deshalb der Eindruck, „dass der Anschlag auf die Berliner Stromversorgung zum Anlass genommen werden soll, in der Berliner Verwaltung in vielen Bereichen wieder zu einer Kultur des Amtsgeheimnisses zurückzukehren“, wie sie in ihrer Stellungnahme zum Gesetzentwurf schreibt.

Arne Semsrott bezeichnet die Gesetzesnovelle als „Wunschliste der Innenverwaltung“ von Senatorin Iris Spranger (SPD).

Auch Johannes Rundfeldt von der AG Kritis, einer unabhängigen und ehrenamtlichen Arbeitsgruppe aus 42 Fachleuten zum Schutz kritischer Infrastrukturen, kritisierte das Vorhaben scharf. „Das Gesetz hat mit Versorgungssicherheit oder deren Steigerung gar nichts zu tun“, sagte er. Kameras hätten bei geplanten Straftaten keinen Abschreckungseffekt, erst recht nicht, wenn diese versteckt werden. Auch helfen sie nicht bei weit häufigeren Bedrohungen für das Stromnetz wie Baggerschäden oder Extremwetter.

Stattdessen rief Rundfeldt zu einer klugen Infrastrukturpolitik auf, bei der eine einzelne Störung nicht zu einem Versorgungsausfall führt. Im Rahmen der anstehenden Energiewende hätte der Senat die Möglichkeit, die kritische Infrastruktur besser zu bauen, beispielsweise indem potenzielle Anschlagsziele unterirdisch verlegt oder baulich versteckt werden können.

Dass die Politik Sicherheitsinteressen vorschiebt, um Freiheitsrechte, demokratische Kontrolle und den Rechtsstaat zu beschneiden, schreiben auch die Frag-den-Staat-Jurist*innen Philipp Schönberger und Hannah Vos auf dem Verfassungsblog. „Offensichtlich dient die diskursive Verknüpfung mit einer Bedrohungslage vor allem als Vehikel für eine möglichst weitreichende Abschirmung der Exekutive vor öffentlicher Kontrolle“, so ihre Analyse.

Informationsfreiheit auch andernorts unter Beschuss

In ihrem Koalitionsvertrag hatten sich CDU und SPD ursprünglich darauf geeinigt, das seit 27 Jahren bestehende Informationsfreiheitsgesetz zu einem modernen Transparenzgesetz auszubauen und seine hohen Standards zu erhalten. Stattdessen werde Berlin nun im bundesweiten Vergleich auf einen der letzten Plätze zurückfallen, so die Berliner Datenschutzbeauftragte Meike Kamp.

Lediglich zwei geringfügige Änderungen wurden im Digitalisierungsausschuss noch verabschiedet. Die Videoüberwachung in Berliner Schwimmbädern soll demnach auf den Eingangsbereich und die Umzäunung beschränkt werden. Außerdem können nur laufende und ruhende Ermittlungsverfahren zur Ablehnung von IFG-Anfragen führen, nicht mehr in Zukunft bevorstehende Verfahren.

Die Informationsfreiheit steht nicht nur in Berlin unter Beschuss. In Schleswig-Holstein, Mecklenburg-Vorpommern und Thüringen gibt es ebenfalls Bestrebungen, die Informationsfreiheits- oder Transparenzgesetze zu beschneiden.

Mehrere Sicherheitslücken gefährden Systeme mit IBM InfoSphere Information Server und WebSphere Application Server Liberty. Angreifer können unter anderem unverschlüsselte Passwörter einsehen.

Softwareschwachstellen schließen

Am gefährlichsten gilt eine „kritische“ Lücke (CVE2026-24400), durch die es bei der Verarbeitung von XML-Eingaben zu Fehlern kommt. Das resultiert in Abstürzen (DoS). Weil InfoSphere Information Server Passwörter im Klartext speichert (CVE-2025-36258 „hoch“), können lokale Angreifer ungehindert darauf zugreifen.

An weiteren Stellen können zusätzlich Daten leaken (etwa CVE-2025-14790 „mittel“). Außerdem kann es zu XSS-Attacken kommen (etwa CVE-2026-2483 „mittel“). Um Systeme vor möglichen Angriffen zu schützen, müssen Admins IBM InfoSphere Information Server version 11.7.1.0, 11.7.1.6 oder 11.7.1.6 Service pack 2 installieren.

Warten auf Sicherheitsupdates

IBM WebSphere Application Server Liberty ist insgesamt über vier Lücken angreifbar. Darunter etwa eine Prototype-Pollution-Schwachstelle (CVE-2026-29063 „hoch“). Angreifer können sich aber auch über einen nicht näher ausgeführten Weg höhere Nutzerrechte verschaffen (CVE-2025-14915 „mittel“).

Dagegen gibt es aber IBM zufolge noch keine Sicherheitsupdates. Diese sollen im 2. Quartel folgen. Bis dahin müssen Admins Systeme über in den folgenden Warnmeldungen verlinkten Zwischenlösungen schützen. Bislang gibt es seitens IBM keine Hinweise auf laufende Attacken.

(des)

Unternehmen, die unter anderem Geschäftsprozesse mit n8n automatisiert haben, sollten die Software zügig auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer Systeme über mehrere Wege attackieren.

Remote Code Execution

Wie aus dem Sicherheitsbereich der GitHub-Website des Tools hervorgeht, haben die Entwickler insgesamt sechs Sicherheitslücken geschlossen. Zwei davon gelten als „kritisch“ (CVE-2026-33696, CVE-2026-33660). Im ersten Fall kann nach einer Prototyp-Pollution-Attacke Schadcode auf Systeme gelangen und sie kompromittieren. Im zweiten Fall kann das ebenfalls möglich. Dieses Mal, weil AlaSQL sandbox bestimmte SQL-Anweisungen nicht ausreichend eingeschränkt.

Eine weitere Schwachstelle (CVE-2026-33663) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Hier kann ein authentifizierter Angreifer unverschlüsselte Anmeldedaten abgreifen. Noch gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Das kann sich aber schnell ändern. Dementsprechend müssen Admins sicherstellen, dass die gepatchten Versionen 1.123.27, 2.13.3 oder 2.14.1 installiert sind.

In der jüngsten Vergangenheit haben die Entwickler zweimal pro Monat Sicherheitsupdates für n8n veröffentlicht.

(des)