Deutschland und die EU sind in vielerlei Hinsicht vom Ausland abhängig – auch, was Überwachungssysteme und IT-Lösungen betrifft. In der Beantwortung einer Kleinen Anfrage der AfD-Fraktion räumt die Bundesregierung selbst potenzielle Sicherheitsrisiken in diesem Bereich ein.

„Die Bundesregierung sieht grundsätzlich Risiken durch unberechtigte Zugriffe beim Einsatz cloudbasierter Kommunikations- und Kollaborationsdiensten aus Drittstaaten“: Das konstatiert die Bundesregierung in der Anfragebeantwortung wörtlich.

Zuvor hatte man angegeben, dass für die durch die Bundespolizei in eigener Zuständigkeit betriebenen öffentlichen Videoüberwachungssysteme teilweise externe Dienstleister Betriebs- und Speicherungsaufgaben übernehmen. Die Verantwortung für die Sicherheit liege bei den jeweiligen Behörden (in diesem Fall also der Bundespolizei), die die Technologien einsetze. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) mache zur Reduktion von Risiken hinsichtlich der digitalen Souveränität aber spezielle Vorgaben.

Die AfD wollte zudem wissen, inwieweit öffentliche Überwachungs- und sicherheitsrelevante Systeme in Bund, Land und Kommunen nach Kenntnis der Bundesregierung zentral oder dezentral betrieben werden. Brisant: Dazu liegen der Bundesregierung keine Informationen vor.

Zugriffe ausländischer Behörden auf in Deutschland genutzte IT- und Cloud-Infrastrukturen sollen „soweit wie möglich“ durch Nutzung des Frameworks „Criteria enabling Cloud Computing Autonomy“ (C3A) ausgeschlossen werden. Der AfD-Bundestagsabgeordnete Sascha Lensing betrachtet die Antwort der Bundesregierung kritisch: Besonders brisant sei, „dass die Bundesregierung ausdrücklich einräumt, Risiken durch mögliche Zugriffe ausländischer Behörden auf in Deutschland genutzte Cloud- und IT-Infrastrukturen nicht vollständig ausschließen zu können. Trotzdem werden entsprechende Systeme weiterhin in erheblichem Umfang genutzt.“

Bezüglich des Einsatzes umstrittener Pegasus-Spyware durch deutsche Sicherheitsbehörden und des Risikos unbemerkter Datenabschöpfung berief sich die Bundesregierung auf notwendige Geheimhaltung – dem Bekanntwerden von Informationen in diesem Bereich stünden überwiegende Belange des Staatswohls entgegen. Außerdem muss nach Ansicht der Bundesregierung geheim bleiben, welche technischen und organisatorischen Schutzmaßnahmen getroffen werden, um Endgeräte von Mitgliedern der Bundesregierung gegen Überwachungs- und Ausspähmaßnahmen zu schützen, wie oft diesbezüglich Prüfungen stattfinden und welche forensischen Fähigkeiten die Bundesregierung hat, um Kompromittierungen festzustellen.

AfD-Politiker Lensing schlussfolgert:

Die Bundesregierung bestätigt selbst erhebliche Risiken für die digitale Infrastruktur Deutschlands. Gleichzeitig fehlt offenbar eine vollständige Übersicht über kritische Überwachungs- und IT-Strukturen im öffentlichen Bereich. Das ist sicherheitspolitisch hochproblematisch. Besonders kritisch ist die weitgehende Auskunftsverweigerung der Bundesregierung beim Themenkomplex ausländischer Überwachungssoftware und möglicher Sicherheitsrisiken durch externe Technologien. Selbst gegenüber dem Deutschen Bundestag verweigert die Bundesregierung zentrale Informationen mit Verweis auf Staatswohl und Geheimschutz. Wenn der Staat immer stärker auf digitale Überwachungs-, Cloud- und Kommunikationssysteme setzt, dann braucht es zugleich maximale Sicherheitsstandards und eine wirksame parlamentarische Kontrolle.

Die Bundesregierung selbst wies übrigens in ihrer Beantwortung auf den „Faktor Mensch“ hin. Kürzlich erst wurde publik, dass mehrere Politikerinnen auf einen bekannten Phishing-Trick in der App Signal hereingefallen sind (Report24 berichtete). Schon das wirkte wenig vertrauenerweckend. Abhängigkeiten bei der digitalen Infrastruktur stellen weitere Einfallstore für Eindringlinge dar, durch die sensibelste Informationen entwendet werden können. Lensings Fazit:

Die Antwort der Bundesregierung zeigt vor allem eines: Deutschland verfügt bislang offenbar weder über ein vollständiges nationales Lagebild sicherheitsrelevanter digitaler Infrastruktur noch über digitale Souveränität gegenüber ausländischen Technologieanbietern. Ein moderner Staat darf sich bei kritischer Sicherheits- und Verwaltungsinfrastruktur nicht in strategische Abhängigkeiten begeben. Deutschland braucht mehr technologische Eigenständigkeit und endlich eine konsequente Sicherheitsstrategie für kritische digitale Systeme.

Die Europäische Union forciert mit der EUDI-Wallet ein zentrales System, das künftig Ausweise, Gesundheits- und Bankdaten aller Bürger in einer digitalen Brieftasche bündelt. Parallel dazu treiben Brüssel und die Europäische Zentralbank neue Bargeldobergrenzen sowie den digitalen Euro voran. Führende IT-Sicherheitsexperten und Datenschützer warnen nun vor den eklatanten Sicherheitsmängeln dieser enormen Überwachungsinfrastruktur.

Getarnt als bequemer Digitalisierungsschritt schafft die EU derzeit die technische Grundlage für ein gigantisches Kontrollnetz. Die 2024 beschlossene eIDAS-2.0-Verordnung zwingt alle EU-Mitgliedstaaten, ihren Bürgern bis Ende 2026 eine sogenannte European Digital Identity Wallet (EUDI) „anzubieten“ (oder besser: aufzudrücken). In Deutschland soll das System am 2. Januar 2027 starten. Offiziell spricht man von Freiwilligkeit, doch die EU-Kommission verfolgt ein klares Ziel: Bis 2030 sollen 80 Prozent aller EU-Bürger das System aktiv nutzen.

Die Wallet bündelt Personalausweis, Führerschein, Bildungsnachweise, Krankenkassenkarte und Bankkonto-Authentifizierungen in einer einzigen Anwendung. Doch wer Zugriff auf diese App hat, besitzt den digitalen Generalschlüssel zum Leben der Bürger. Das macht die EUDI-Wallet zu einem extrem attraktiven Ziel für Hacker und Geheimdienste. Wie fragil die Konstruktion ist, entlarvte sich im April: Einen Tag nachdem EU-Kommissionspräsidentin Ursula von der Leyen die Wallet für ihre weltweiten Spitzenstandards beim Datenschutz lobte, knackte ein britischer IT-Spezialist das System und fand vertrauliche Daten offen auf dem Gerät vor.

Die Kritik aus Fachkreisen ist mittlerweile vernichtend. Auf dem jüngsten 38. Kongress des Chaos Computer Clubs (38C3) zerpflückten Experten die Referenzarchitektur (ARF) der EU-Kommission faktisch in der Luft. Thomas Lohninger von der Grundrechts-Organisation Epicenter.works und die Kryptografie-Professorin Anja Lehmann vom Hasso-Plattner-Institut legten offen, dass der gesamte Zertifizierungsprozess der Wallet grundlegend fehlerhaft ist. Der Konstruktionsfehler: Jene EU-Mitgliedstaaten, die die Wallets herausgeben, dürfen deren Sicherheit auch gleich selbst evaluieren und zertifizieren.

Zudem fehlen zum Start zwingend notwendige Datenschutzmechanismen wie sogenannte Zero-Knowledge-Proofs (ZKPs). Diese kryptografischen Verfahren würden es erlauben, nur minimale Daten weiterzugeben – etwa dem Verkäufer bloß die Volljährigkeit zu bestätigen, anstatt das genaue Geburtsdatum offenzulegen. Stattdessen setzt die EU auf klassische digitale Signaturen, was Tracking und das massenhafte Abgreifen von Nutzerdaten durch staatliche Stellen und Dritte ermöglicht.

Die EUDI-Wallet ist dabei nur ein Baustein einer breiteren Agenda. Flankierend zieht die EU die Schlinge um das Bargeld enger. Ab dem 1. Juli 2027 gilt ein EU-weites Barzahlungsverbot über 10.000 Euro bei gewerblichen Geschäften. Schon ab 3.000 Euro müssen Händler ihre Kunden vollständig durchleuchten und Name, Geburtsdatum, Anschrift sowie Staatsangehörigkeit dokumentieren. Bei Verstößen drohen drakonische Strafen von mindestens 40 Prozent der Transaktionssumme. Der Generalverdacht wird zur neuen Normalität.

Zeitgleich rückt der digitale Euro in die Startlöcher. Die Europäische Zentralbank schloss 2025 ihre Vorbereitungsphase ab, der EU-Rechtsrahmen folgt 2026, und 2029 soll die Ausgabe beginnen. Zwar beteuert die EZB, der digitale Euro werde das Bargeld nur ergänzen. Faktisch läuft die systematische Verdrängung des analogen Geldes jedoch längst auf Hochtouren.

Die Infrastruktur für Bargeld wird massiv zurückgebaut. Ende 2024 gab es in Deutschland nur noch rund 17.870 Bankfilialen – ein drastischer Absturz im Vergleich zu den über 36.000 Instituten im Jahr 2013. Auch die Neuprägung von Euro-Münzen wird systematisch gedrosselt: Für 2025 genehmigte die EZB nur noch ein Volumen von 2,17 Milliarden Euro, ein erneuter Rückgang gegenüber den Vorjahren. Wenn das Bargeld aus dem Alltag physisch verschwindet, droht der Zwang zum digitalen Zentralbanksystem. Alternativen bleiben dem gläsernen Bürger dann keine mehr.