[Digitale Souveränität | Gerätehoheit (Systemdesign)... ]

Textaris(txt*bot) · August 14, 2024, 10:40:10 AM

Quote[...] Sicherheitsforscher von Eclypsium sind auf eine Schwachstelle in der SecureCore-UEFI-Firmware von Phoenix gestoßen, über die Angreifer PCs mit Schadcode infizieren können. Davon sind ihnen zufolge ausschließlich bestimmte Geräte mit Intel-Prozessoren verschiedener Generationen bedroht.

In einem Beitrag führen sie aus, dass die Lücke (CVE-2024-0762 ,,hoch") eine Variable im Kontext des Trusted Platform Module (TPM) tangiert. Weil die Schwachstelle den UEFI-Code zur TPM-Konfiguration betrifft, könne der Sicherheitschip in diesem Fall keinen Schutz leisten.

Die Forscher geben an, die Sicherheitslücke in den Lenovo-Laptops ThinkPad X1 Carbon 7th Gen und X1 Yoga 4th Gen mit Intel-CPUs entdeckt zu haben. Im Mai 2024 hat Phoenix die Schwachstelle bestätigt und mitgeteilt, dass davon die Intel-Prozessoren der Serien AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake, und TigerLake betroffen sind.

Erste Sicherheitsupdates, etwa von Lenovo, sollen seit April 2024 verfügbar sein. Die Sicherheitsforscher haben erst jetzt weitere Details zum Sicherheitsproblem veröffentlicht. Unklar bleibt bislang, welche Hersteller und PC-Modelle davon noch betroffen sind.

Um die Lücke auszunutzen, müssen lokale Angreifer an der verwundbaren Variablen TCG2_CONFIGURATION ansetzen. Weil in diesem Kontext Sicherheitschecks fehlen, können sie manipulierend eingreifen, einen Speicherfehler auslösen und im Anschluss eigenen Code ausführen. Ob ein Angreifer dafür direkten Zugriff auf einen PC haben muss, geht aus dem Beitrag der Sicherheitsforscher nicht konkret hervor.

Das Problem ist, dass viele Computerhersteller die UEFI-Firmware von Phoenix einsetzen und so mit dem verwundbaren Code ihre Geräte angreifbar machen. Das müssen Hersteller erstmal realisieren, betroffene Produktserien ausfindig machen und dann Sicherheitsupdates verteilen, die Besitzer schließlich noch installieren müssen. Diese Komplexität legt nahe, dass viele PCs ungepatcht und somit angreifbar bleiben.

Wenn sich Angreifer bereits vor dem Start eines Betriebssystems persistent mit Schadcode einnisten und eine Hintertür installieren, hat das fatale Folgen: So können sie etwa unter Windows im Verborgenen vor Virenscannern operieren und so das Betriebssystem unbemerkt vom Opfer manipulieren, umso etwa Onlinebanking-Malware zu installieren.

Ähnliches ist beispielsweise im Fall des UEFI-Bootkits BlackLouts geschehen. Dabei haben die Angreifer den UEFI-Schutzmechanismus Secure Boot umgangen, ein vollständig gepatchtes Windows 11 attackiert und unter anderem die Verschlüsselung BitLocker und den Virenscanner Defender deaktiviert.

(des)

Aus: "PCs mit Intel-Prozessoren: UEFI-Sicherheitslücke lässt Schadcode passieren" Dennis Schirrmacher (21.06.2024)
Quelle: https://www.heise.de/news/PCs-mit-Intel-Prozessoren-UEFI-Sicherheitsluecke-laesst-Schadcode-passieren-9773023.html

Quotecooregan, 21.06.2024 13:29

Die Älteren hier werden sich daran erinnern, dass UEFI, TPM und secure boot mal angetreten waren, um Angriffsflächen zu entfernen und Systeme sicher zu machen. Und auch so verkauft wurden.

Mindestens mal in der jüngeren Zeit funktioniert das nicht wirklich gut. Höflich ausgedrückt. ...

...

Textaris(txt*bot) · November 11, 2024, 10:31:21 AM

Quote[...] Sophos hat über Jahre Überwachungssoftware auf Systemen seiner Kunden installiert – natürlich im Namen der Sicherheit.

... Da hat ein Hersteller von den IT-Systemen seiner Kunden Daten eingesammelt, die nicht deren Verbesserung, sondern explizit dem Aufspüren verdächtiger Aktivitäten dienten. Die Erhebung von notwendigen Telemetrie-Daten zur Verbesserung der Systeme diente nur als Fassade für anlasslose Massenüberwachung. In konkreten Verdachtsfällen installierte der Hersteller dann ohne Wissen der Kunden und gegen deren anzunehmenden Willen nachträglich sogar spezielle Überwachungs-Software, die unter anderem auch in der Lage ist, gezielt beliebige Dateien zu exfiltrieren. Das nennt man normalerweise Malware, die Hotfixes waren Trojaner, das Kernel Implant ein Rootkit und die Vorgehensweise entspricht der von Cybercrime-Banden und staatlichen Angreifern. ...

Aus: "Analyse und Kommentar: Sophos und der gebrochene Schwur" Jürgen Schmidt (10.11.2024)
Quelle: https://www.heise.de/meinung/Analyse-und-Kommentar-Sophos-und-der-gebrochene-Schwur-10010073.html

QuoteDanilo, 10.11.2024 16:55

Microsoft zählt offensichtlich nicht

Mit solchen Vorgehensweisen identifiziere ich doch normalerweise Microsoft - die Hilfspolizisten unter den Betriebssystemherstellern, die seit Jahren unterschiedslos Daten von Kunden abziehen und daraus auch kein Geheimnis machen. War das jetzt bei der Sophos-Schelte akut entfallen? Oder wäre das ein minderschwerer Fall?

QuoteBumm! Peng! Boing!, 10.11.2024 18:16

Klempner

Als ich früher nach Hause kam, traf ich überraschend den Klempner im Haus und der hatte schon das ganze Haus durchsucht. Er meinte, er wolle sichergehen, dass kein Wasser irgendwo aus den Leitungen sickert und Schäden verursacht. Beruhigt habe ich ihm ein Trinkgeld bezahlt und bin froh, dass sicher auch mal der Elektriker in unserem Haus nach dem rechten sieht.

...

Textaris(txt*bot) · December 29, 2024, 02:00:42 PM

Quote[...] Ein Tochterunternehmen des Volkswagen-Konzerns hat teils extrem detaillierte Bewegungsdaten von 800.000 Elektroautos so in der Amazon-Cloud abgelegt, dass Nachrichtendienste, Konkurrenten, Kriminelle oder "gelangweilte Teenager" ohne große Schwierigkeiten darauf hätten zugreifen können. Das berichtet Der Spiegel unter Berufung auf eine Recherche in Zusammenarbeit mit dem Chaos Computer Club (CCC). Entdeckt hat die Daten demnach ein anonymer Hinweisgeber, überprüft wurden sie demnach unter anderem anhand der Daten einer niedersächsischen Landtagsabgeordneten und eines Bundestagsabgeordneten.

Gesammelt wurden die Daten demnach von der VW-Tochter Cariad, die für die Softwareentwicklung des Autokonzerns zuständig ist. Wegen einer "Fehlkonfiguration" seien die Daten nicht ausreichend gesichert worden. Laut dem Spiegel handelt es sich um mehrere Terabyte an Standortdaten von Fahrzeugen der Marken VW, Seat, Audi und Skoda. Gesammelt hatte diese Daten die von der Volkswagen-App, über die verschiedene Informationen zum Zustand der Fahrzeuge abrufen lassen. Zu 460.000 Fahrzeugen seien die entdeckten Daten so präzise, dass sie Rückschlüsse auf das Leben der Menschen hinter dem Steuer zulassen. So seien die Geodaten bei VW- und Seat-Modellen auf zehn Zentimeter genau.

Laut der Recherche konnten die Daten teilweise mit persönlichen Profilen von Fahrzeughaltern und -halterinnen verknüpft werden. Teils hätten die detaillierten Bewegungsdaten gar mit Adressen und Handynummern zusammengeführt werden können. CCC-Sprecher Linus Neumann spricht von einem "riesigen Schlüsselbund, der unter einer viel zu kleinen Fußmatte lag". Cariad habe erklärt, dass die Daten gesammelt worden seien, "um Batterien und die dazugehörige Software zu verbessern". Die beschriebene Zusammenführung sei niemals so vorgenommen worden, "dass ein Rückschluss auf einzelne Personen möglich ist oder Bewegungsprofile erstellt werden".

Nachdem der CCC auf die zugängliche Datensammlung aufmerksam gemacht worden war, seien unter anderem Cariad und die VW-Konzernzentrale informiert worden. Die Konzerntochter habe binnen weniger Stunden reagiert und gar nicht erst versucht, das Ausmaß des Vorfalls kleinzureden. Mittlerweile sei die Lücke auch gestopft, auf die Daten könnten Unbefugte nicht mehr zugreifen. Bei der "Fehlkonfiguration" handelte es sich dem Bericht zufolge um die Kopie des jeweils aktuellen Speicherauszugs einer Anwendung von Cariad. Darin lagen die Zugangsdaten zum Cloudspeicher bei Amazon, wo sich die Bewegungsdaten befanden.

Mit den Daten hätten Unbefugte beispielsweise ermitteln können, welche Fahrzeuge regelmäßig vor Gebäuden des Geheimdiensts oder des US-Militärs parken und wem die gehören, erklärt der Spiegel noch. Auch hätte man damit herausfinden können, welche Autos etwa regelmäßig vor einem Bordell, einem Gefängnis oder Suchtkliniken halten und damit Erpressungsversuche in die Wege leiten können. Auch für Stalking wären die Daten enorm hilfreich gewesen. Laut Cariad gibt es aber nach aktuellem Kenntnisstand keine Hinweise darauf, dass außer dem CCC Dritte auf die Daten Zugriff hatten. Noch sei die Analyse aber nicht abgeschlossen.

Aus: "38C3: Terabyte an Bewegungsdaten von VW-Elektroautos in der Cloud gefunden" Martin Holland (27.12.2024)
Quelle: https://www.heise.de/news/In-der-Cloud-abgelegt-Terabyte-an-Bewegungsdaten-von-VW-Elektroautos-gefunden-10220623.html

Quote28.12.2024 11:46

Vorratsdaten - plötzlich für alle sichtbar ...

QuoteMichael Kistinger
28.12.2024 05:32

Der eigentliche Skandal ist nicht das Datenleck, sondern dass die Daten überhaupt gesammelt worden sind. Was geht es den Hersteller an, wann ich wo herumfahre? ...

QuoteShakeHead
27.12.2024 16:07

SPON Artikel unbedingt lesen: Datensammelwut

Eine Stichprobe des ADAC bei vier Fahrzeugtypen von BMW, Renault und Mercedes ergab, dass etwa die B-Klasse alle zwei Minuten ihren aktuellen Aufenthaltsort an Mercedes funkt. Zudem werden Kilometerstand, Tankfüllung, Reifendruck und Zahl der Gurtstraffungen gemeldet, allesamt Informationen, die Rückschlüsse auf den Fahrstil erlauben. Der untersuchte BMW i3 übermittelte jeweils nach dem Ausschalten unter anderem detaillierte Daten über den Zustand der Batterie sowie die Position der 16 zuvor genutzten Ladestationen.

https://www.spiegel.de/netzwelt/web/volkswagen-konzern-datenleck-wir-wissen-wo-dein-auto-steht-a-e12d33d0-97bc-493c-96d1-aa5892861027

...

Textaris(txt*bot) · July 30, 2025, 11:11:08 AM

Quote[...] Der Gewerkschaftler und Journalist Hendrik Torner hat am Dienstag zusammen mit der Bürgerrechtsorganisation Gesellschaft für Freiheitsrechte (GFF) Verfassungsbeschwerde gegen das polizeiliche Auslesen und Auswerten seines Mobiltelefons erhoben. Dieser Schritt zielt darauf ab, die Grundrechte auf Privatsphäre und Pressefreiheit zu stärken, die Rechtsexperten durch die aktuelle Praxis der Handy-Beschlagnahme durch Strafverfolger als massiv gefährdet erachten.

Torner ist Kreisvorsitzender der Gewerkschaft Erziehung und Wissenschaft (GEW) in Bamberg. Er geriet laut der taz im September 2023 ins Visier der bayerischen Polizei, als er eine Aktion der damals als "Letzte Generation" bezeichneten Klimaschutzgruppe in der fränkischen Stadt für die GEW-Zeitschrift "Die deutsche Schule" dokumentieren wollte. Mit seinem Smartphone nahm Torner dafür eine Polizeimaßnahme gegen Aktivisten akustisch auf.

Die Ordnungshüter beschlagnahmten daraufhin sein Mobiltelefon mit der oft genutzten, aber zweifelhaften Begründung, er habe unbefugt das gesprochene Wort der Polizisten aufgenommen. Dabei handelt es sich um ein Vergehen, das nach Paragraf 201 Strafgesetzbuch (StGB) mit bis zu drei Jahren Haft oder Geldstrafe geahndet werden kann. Da Torner die PIN seines Geräts nicht preisgeben wollte, lasen die Ermittler das Smartphone mithilfe der Extraktionssoftware UFED der israelischen Firma Cellebrite aus. Der Gewerkschaftler erhielt sein Smartphone erst ein Jahr später zurück. Das Strafverfahren wurde eingestellt.

Bei der Akteneinsicht machte Torner eine für ihn erschreckende Entdeckung: Die Polizei hatte anhand der Daten seines Handys ein detailliertes politisches Profil von ihm erstellt. Darin hieß es, er sei in der "linken Szene" Bambergs engagiert und habe eine Abneigung gegen die Vertreter der Staatsmacht.

Torner erhob Klage beim Landgericht Bamberg gegen die Behandlung. Dieses entschied im Juni, dass die Beschlagnahme und die inhaltliche Auswertung aufgrund des fehlenden Strafantrags nach Ablauf der ersten drei Monate rechtswidrig waren. Für die Zeit davor schätzten die Richter die Maßnahme als rechtmäßig ein. Torner, seine Anwältin Gül Pinar und die GFF monieren nun, die Instanz habe sich gar nicht mit der zentralen grundrechtlichen Frage befasst, ob das Auslesen des gesamten Handys und die Erstellung eines politischen Profils auf der Basis eines bloßen strafrechtlichen Anfangsverdachts zulässig sei.

Das Bundesverfassungsgericht soll laut der Beschwerde klarstellen, dass ein so intensiver Grundrechtseingriff eine eigene klare Rechtsgrundlage mit angemessenen Schutzvorkehrungen erfordert. Sonst könne die Polizei "die gesamte Persönlichkeit und das Privatleben der Betroffenen erfassen", gibt Davy Wang, Verfahrenskoordinator bei der GFF, zu bedenken. Das komme einer "digitalen Hausdurchsuchung" gleich. Der Nachwuchsjournalist selbst führt ins Feld, Pressevertreter müssten sich darauf verlassen können, "dass vertrauliche Informationen auch vertraulich bleiben". Sonst gehe die Pressefreiheit flöten.

Die Befürchtung, dass Mobiltelefone bei bloßen Verdachtsmomenten beschlagnahmt und ausgewertet werden, kann die kritische Berichterstattung – insbesondere bei Demonstrationen – sowie den Quellenschutz erheblich einschränken. Aktuell stützen sich die Ermittlungsbehörden bei der Handy-Einsichtnahme auf allgemeine strafprozessuale Vorschriften. Diese enthalten weder klare Grenzen für den Datenzugriff noch für die Auswertung. Die Polizei hat damit auch Zugang zu vertraulichen und persönlichen Informationen, die möglicherweise nichts mit den Ermittlungen zu tun haben. Das berührt auch das Computer-Grundrecht, das die Vertraulichkeit und Integrität von IT-Systemen schützt.

Der Beschwerdeführer will erreichen, dass Strafverfolger nur Einblick in Daten nehmen dürfen, die für ihre Untersuchung tatsächlich relevant sind. Die Verhältnismäßigkeit sei zu wahren: Bei Bagatelldelikten oder Ordnungswidrigkeiten sollte das Auslesen von Mobiltelefonen grundsätzlich nicht erlaubt sein. Ferner sei eine stärkere richterliche Kontrolle über den Umfang der Auswertung nötig.

Der aktuelle Gang nach Karlsruhe reiht sich in eine Serie von Klagen der GFF ein, die sich gegen polizeiliche Maßnahmen mit Fokus auf die Pressefreiheit richten. Dazu gehören bereits anhängige Verfassungsbeschwerden gegen das Abhören des Pressetelefons der "Letzten Generation" sowie gegen die Durchsuchung des freien Senders Radio Dreyeckland.

(afl)

Aus: "Grundrechte: Verfassungsbeschwerde wegen polizeilichem Handy-Auslesen" Stefan Krempl (29.07.2025)
Quelle: https://www.heise.de/news/Grundrechte-Verfassungsbeschwerde-wegen-polizeilichem-Handy-Auslesen-10503524.html

https://freiheitsrechte.org/themen/freiheit-im-digitalen/handyauswertung

https://freiheitsrechte.org/ueber-die-gff/presse/pressemitteilungen-der-gesellschaft-fur-freiheitsrechte/demo-dokumentiert-handy-ausgelesen-gff-und-reporter-ohne-grenzen-unterstuetzen-journalist-bei-klage-gegen-rechtswidrige-polizeiliche-datenauswertung-nach-handy-beschlagnahme

"Klage gegen Zugriff auf HandyPolizei wertete Smartphone-Daten von Journalisten aus" Christian Rath (19.6.2025)
Der Journalist Hendrik Torner dokumentierte eine Aktion der Letzten Generation. Die Polizei wertete danach seine Handydaten aus. Durfte sie das?
https://taz.de/Klage-gegen-Handy-Auslesung/!6091744

https://www.heise.de/news/Neues-Computer-Grundrecht-schuetzt-auch-Laptops-und-Daten-im-Arbeitsspeicher-184298.html

https://www.heise.de/news/Radio-Dreyeckland-Freispruch-fuer-Link-zu-linksunten-indymedia-ist-rechtskraeftig-9953593.html

QuoteStierJo, 30.07.2025 08:29

Gesprochenes Wort: Wie kann das sein?

Dass die deutsche Polizei das ein oder andere Problem in den eigenen Reihen hat, ist ja bekannt.
Warum hier aber (und das passiert in Deutschland ja auch regelmäßig) wieder richterliche Beschlüsse erlassen werden (das wäre im Artikel noch interessant gewesen), weiß wohl wieder nur der liebe Gott.

Aus meinem Alltag: ich werde gefühlt jeden zweiten Tag in meiner roten Uniform abgelichtet und habe keine Möglichkeit, mich dagegen zu wehren, ich bin hundertfach mit Bildaufnahmen im Netz, für immer. Die einzige Möglichkeit, das zu ändern, wäre aus der Freiwilligen Feuerwehr auszutreten, denn Einsatzmaßnahmen gelten als Zeitgeschehen und somit ist jeder, der daran mitwirkt nur noch Beiwerk ohne Rechte.

Und jetzt kommt unsere bezahlte Staatsgewalt und hat ein Problem damit, dass sie bei ihrer Arbeit gefilmt wird? Und dann muss als Ausrede das gesprochene Wort herhalten? Also bitte, von Studierten hätte ich ein bisschen mehr Kreativität erwartet...

QuoteLoGla, 29.07.2025 20:16

Nicht auf offener Strasse

§ 201 StGB schützt das nichtöffentlich! gesprochene Wort. Gespräche auf einer öffentlichen Straße, bei Polizeieinsätzen, Demos oder Verkehrskontrollen gelten nicht als vertraulich oder nichtöffentlich, weil sie vor Zeugen oder sogar in der Öffentlichkeit stattfinden.

QuoteSandeeh, 29.07.2025 21:43

Der Skandal ist, das sich die Polizei einer Dokumentation entzieht

Wenn der Öffentlichkeit das Recht genommen wird, polizeiliche Maßnahmen zu dokumentieren, um beispielsweise auf ihre Rechtmäßigkeit überprüfen zu lassen - dann muss man sich über mangelndes "Vertrauen" nun wirklich nicht wundern.

Wenn die Polizei nichts zu verstecken hat, sollte eine Dokumentation doch kein Problem sein.

Ähnliches bei Strafprozessen - da gibt's bis heute keine Video-/Audiodokumentation, sondern lediglich den Gerichtsschreiber. Der deutsche Richterbund wehrt sich bisher standhaft gegen Audio-Protokolle. Warum wohl. Gerade bei Revisionsverfahren könnten diese wichtige Informationen enthalten, welche der Gerichtsschreiber nicht erfasst.

Für einen Rechtsstaat ist dieses Gebaren einfach nur peinlich und nicht verdauungsfördernd.

Sandeeh

...

Textaris(txt*bot) · September 12, 2025, 11:56:01 AM

Quote[...] Die Europäische Union setzt neue Datenregeln um: Das EU-Datengesetz (Data Act) gilt ab heute für vernetzte Geräte. Deren Hersteller müssen nun offenlegen, welche Informationen sie erheben – und wie Nutzer darauf zugreifen können. Das soll es leichter machen, Gerätedaten einzusehen und sie bei Bedarf auch an andere Dienste weiterzugeben, etwa zu Reparaturzwecken. Außerdem enthält das Gesetz Schutzmaßnahmen, um rechtswidrige Datenübertragungen zu verhindern.

Das Gesetz betrifft alle möglichen datengestützten Geräte, darunter Handys, Smartwatches, Kühlschränke, Klimaanlagen, E-Bikes und Autos, aber auch industrielle Maschinen und Flugzeuge. Auf das Datengesetz hatten sich die EU-Staaten und das Europaparlament 2023 geeinigt.

Die neuen Regeln dürften zu einem faireren "Zugang zu industriellen und nutzergenerierten Daten führen", sagte Holger Schwannecke, Generalsekretär vom Zentralverband des Deutschen Handwerks. Laut einer Umfrage des Digitalverbands Bitkom aus dem Mai sind allerdings nur wenige Unternehmen auf die veränderten Regeln vorbereitet.

Aus: "Neue Datenregeln für vernetzte Geräte treten in Kraft" (12. September 2025)
Quelle: https://www.zeit.de/digital/datenschutz/2025-09/eu-data-ect-vernetzte-geraete-regeln

Textaris(txt*bot) · November 13, 2025, 06:57:31 PM

Quote[...] Trotz der Debatte um digitale Souveränität bleibt die deutsche Wirtschaft stark von IT aus den USA und China abhängig. Das geht aus einer Umfrage des Digitalverbands Bitkom hervor, laut der sich 9 von 10 der befragten Unternehmen als abhängig von IT aus dem Ausland bezeichnen.

Auch Deutschland als Ganzes sehen die Firmen in der Unsouveränität gefangen: 93 Prozent schätzten das Land als stark abhängig (40 Prozent) oder eher abhängig (53 Prozent) von digitalen Technologien und Leistungen aus dem Ausland ein. Und fast zwei Drittel (63 Prozent) gehen davon aus, dass sich die deutsche Abhängigkeit in den nächsten Jahren noch verstärken wird. 24 Prozent erwarten, dass sich der bisherige Status quo fortsetzt. Nur 10 Prozent schätzen, dass Deutschland mehr digitale Autonomie erringt. Befragt wurden laut Bitkomangaben 605 Unternehmen ab 20 Beschäftigten in Deutschland.

Die Hauptquellen für Digitalimporte sind die USA und China. Laut Bitkom ist die Zahl der Firmen, die sich als "stark abhängig" von IT-Produkten und -Dienstleistungen aus diesen Ländern bezeichnen, sogar noch gestiegen. Bei IT aus den USA sagten dies 51 Prozent der befragten Unternehmen – im Januar 2025 seien es noch 41 Prozent gewesen. Und ebenfalls 51 Prozent nannten sich "stark abhängig" von China – sieben Prozentpunkte mehr als zum Jahresbeginn. Die deutschen Unternehmen könnten nach eigenen Angaben derzeit im Durchschnitt lediglich 12 Monate überleben, sollten sie die Technologien oder Services nicht mehr aus den USA beziehen können – mit Blick auf China wären es sogar nur 11 Monate. Mit vier Prozent sei nur eine Minderheit dauerhaft überlebensfähig, würden diese Importe wegfallen.

Ganz oben auf der Liste der Digitalimporte der Unternehmen stehen Endgeräte wie Smartphones oder Notebooks mit 93 Prozent. Digitale Bauteile und Hardware-Komponenten wie Chips, Halbleiter oder Sensoren beziehen demnach 74 Prozent, Software-Anwendungen 72 Prozent und Cybersicherheits-Anwendungen wie Firewalls 67 Prozent aus dem Ausland. Digitale Geräte und Maschinen, etwa für die Produktion, importierten 60 Prozent der Unternehmen.

Das Vertrauen der deutschen Unternehmen in die einzelnen Länder fällt laut Bitkom sehr unterschiedlich aus. Ganz vorn im Vertrauensranking finden sich Frankreich (76 Prozent), Japan (72 Prozent) und die übrigen EU-Länder (68 Prozent). Dahinter folgen Großbritannien (58 Prozent), Indien (45 Prozent) und Südkorea (40 Prozent). Die hinteren Plätze nehmen die USA und China ein: Noch etwas mehr als ein Drittel (38 Prozent) hat volles Vertrauen in die USA – noch im Januar seien es 51 Prozent gewesen. 60 Prozent vertrauen den USA inzwischen nur wenig oder gar nicht, bei China sogar 70 Prozent.

Gerade die hohe Abhängigkeit von den USA sehen die Unternehmen mit zunehmender Sorge. Hier fürchten rund die Hälfte (49 Prozent) einen Zugangsverlust zu Software- und Plattformdiensten sowie 41 Prozent einen erzwungenen Abfluss sensibler Unternehmensdaten an US-Behörden. Einschränkungen bei Cloud-Services würden aber nur 14 Prozent als Gefahr sehen.

Als weitere durch die USA verursachte Risiken sehen 99 Prozent der Unternehmen zusätzliche finanzielle Belastungen durch Strafzölle oder Sanktionen. 56 Prozent fürchten Exportbeschränkungen. 79 Prozent sprachen von negativen Auswirkungen durch die Präsidentschaft Donald Trumps, 0 Prozent von positiven. "Die US-Unternehmen brauchen Europa als Kunden. Dennoch brauchen wir eigene europäische Angebote, um nicht erpressbar zu sein", sagte Bitkom-Chef Ralf Wintergerst.

Neben den Firmen hat der Bitkom auch ein Stimmungsbild der Bundesbürger eingeholt und eigenen Angaben nach rund 1.100 Personen befragt. Hier sagte noch eine Mehrheit von 59 Prozent, dass die USA ein verlässlicher Partner für Deutschland seien – bei China 42 Prozent. Gleichwohl sei die Abhängigkeit von digitalen Technologien für eine überwiegende Mehrheit präsent: 44 Prozent hielten Deutschland für "sehr abhängig" und 50 Prozent für "eher abhängig" vom Import aus dem Ausland. 98 Prozent hielten es für wichtig, dass Deutschland bei wichtigen digitalen Technologien unabhängiger wird.

(axk)

Aus: "Digitale Souveränität Fehlanzeige: Abhängigkeit von USA und China steigt" Axel Kannenberg (13.11.2025)
Quelle: https://www.heise.de/news/Digitale-Souveraenitaet-Fehlanzeige-Abhaengigkeit-von-USA-und-China-steigt-11077217.html

Quotetrilling
13.11.2025 14:00

Und wieso kaufen die dann im Ausland ein?

Ach ja, wegen der Profite. Und da ist eine Abhängigkeit ja erst mal egal. Bei der Umwelt war und ist das ja auch so. Oder Zwangsarbeit oder Kinderarbeit in Lieferketten. Oder Blutmineralien. Das kann man der deutschen oder europäischen Industrie auch nicht antun, dass die auf Profite verzichtet, da muß man das Lieferkettengesetz aufweichen. Minijobs, Scheinselbstständigkeit..... Profite. ...

...

Textaris(txt*bot) · November 17, 2025, 10:34:14 AM

"Digitale Souveränität: Nein! – Doch! – Oh!" Falk Steiner (17.11.2025)
Vielleicht keine schlechte Idee, sie hatte nur schon mal jemand. "Wir müssen unsere eigene digitale Souveränität stärken, aber ohne globale Wertschöpfungsketten zu kappen und selbst in Protektionismus zu verfallen." Das sagte sein Amtsvorgänger Olaf Scholz 2022 auf der Republica. 2021 wollte Ursula von der Leyen Europa "fit für das digitale Zeitalter" machen – und dabei, natürlich, die digitale Souveränität stärken. Und Emmanuel Macron stellte 2020 fest: "Die Handlungsfreiheit Europas erfordert wirtschaftliche und digitale Souveränität." ... In solchen Momenten deutlicher Spontanerkenntnis temporär Verantwortlicher – Merkel 2014 in Folge der NSA-Affäre, Macron bei seiner EU-Militärstrategierede 2020, Scholz in Folge von Coronakrisen-Lieferkettenkrise und Huawei-Diskussion, Merz aufgrund der Probleme mit der Trump-Administration und China – werden Louis-de-Funes-Memes unter Mitarbeitern von Abgeordneten und Ministerien versandt: Nein! – Doch!- Oh! Die französische Originalsequenz ("Non! – Si! – Oh!") hat, das sei angemerkt, nicht annähernd die gleiche Bekanntheit erlangt wie die deutsche Synchronisation. ...
https://www.heise.de/hintergrund/Digitale-Souveraenitaet-Nein-Doch-Oh-11079611.html

Textaris(txt*bot) · November 19, 2025, 12:38:03 PM

... Welche Ironie, dass sich der jüngste Ausfall just in dem Moment zutrug, in dem in der EU über digitale Souveränität gesprochen wird. ...

Quote[...] Mal ein kleines Gedankenspiel: Wie viel vom Internet, wie wir es kennen, bliebe übrig, wenn Microsoft Azure, Amazon Web Services (AWS) und Cloudflare gleichzeitig Schluckauf hätten? Nach den vergangenen Wochen muss man nur des Addierens mächtig sein und eine gewisse Schnittmenge abziehen, um eine Antwort darauf zu bekommen.

Zwar waren es nur zeitlich begrenzte Ausfälle, die die drei großen Cloud- und Netzwerkdienste plagten. Aber sie genügten, um zweierlei sichtbar zu machen: Erstens, in welchem Umfang das Netz inzwischen von einigen wenigen großen Playern abhängig ist. Und zweitens, dass all das Geschwätz, dass es bei diesen großen Playern keinen Single Point of Failure gibt, dem Reich der Fabeln und Mythen entspringt.

Die Ausfälle haben gezeigt, dass E-Commerce, Banking- und Finanz-Apps, Nachrichtenportale, Unternehmenstools, kritische Infrastrukturdienste und teilweise auch Social-Media-Plattformen von den großen Drei abhängig sind. Gewiss: Kosten, Flexibilität, Schutz vor DDoS-Angriffen, Bots und anderen Bedrohungen sind starke Argumente, warum jeder einzelne sich für diese Abhängigkeit entschieden hat. Aber der Preis, den die Netzgemeinschaft dafür zahlen muss, ist, dass ein gewichtiger Teil der Dezentralität des Netzes dafür geopfert wurde.

Das Versprechen der Plattformen, durch globale Verteilung auf verschiedene Rechenzentren geschützt zu sein, ist nun mehr als einmal Lügen gestraft worden. Einmal ist keinmal – das kann man vielleicht im Falle des Ausfalls eines einzelnen kleinen Servers sagen, aber nicht, wenn geraume Teile des öffentlichen Netzes unerreichbar sind. Von möglichen politischen Machtspielchen, weil all diese Technik von den USA aus gesteuert wird, wollen wir gar nicht erst reden. Welche Ironie, dass sich der jüngste Ausfall just in dem Moment zutrug, in dem in der EU über digitale Souveränität gesprochen wird.

Die Titanic war entgegen aller Beteuerungen eben doch nicht unsinkbar. Die großen Cloud-Dienstleister haben sehr wohl Single Points of Failure. Und der Countdown zum Internet-GAU läuft, wenn nicht nur in Sonntagsreden darüber fabuliert wird, dass aus Warnschüssen wie dem aktuellen endlich mal Konsequenzen gezogen werden müssen.

Aber es scheint, als rede man gegen die Wand: Nach einer Serie von Kommentaren, warum wir es blöd finden, sich auf die Cloud zu verlassen, sind wir inzwischen an den Punkt gelangt, wo wir es blöd finden, jede Woche einen Kommentar darüber schreiben zu müssen.

...

(mki)

Aus: "Nach dem Cloudflare-Ausfall: Digital völlig unsouverän" Malte Kirchner (19.11.2025)
Quelle: https://www.heise.de/meinung/Nach-dem-Cloudflare-Ausfall-Digital-voellig-unsouveraen-11083678.html

"Cloudflare-Ausfall: Dienste am Dienstag global gestört" (18.11.2025)
Die Dienste des Internetanbieters Cloudflare waren Dienstagnachmittag gestört. Davon waren zahlreiche Websites betroffen. ... Der Ausfall oder Störungen von Cloud-Systemen hat aufgrund ihrer Verbreitung inzwischen oftmals globale Auswirkungen. Das musste auch Amazon feststellen, als vor rund vier Wochen dort eine Störung einer zentralen Datenbank zu weltweiten Störungen führte. Messenger-Dienste wie Signal waren dadurch ausgefallen, einige vernetzte Matratzen machten ohne Verbindung zu ihren Servern Probleme und bereiteten ihren Besitzern dadurch eine schlaflose Nacht. ...
https://www.heise.de/news/Cloudflare-Ausfall-Dienste-global-gestoert-11083180.html

Textaris(txt*bot) · November 22, 2025, 02:57:08 PM

Quote[...] Nicolas Guillou wurde von den USA als Richter des Internationalen Strafgerichtshofs sanktioniert. Die Auswirkungen bemerkt er vor allem im Digitalen.

Über digitale Souveränität ist in den vergangenen Wochen in Europa viel diskutiert worden, zuletzt während eines deutsch-französischen Gipfeltreffens in Berlin. Wie stark die Abhängigkeit von den USA im Digitalbereich tatsächlich ist, bekommt aktuell ein französischer Richter zu spüren. Nicolas Guillou ist als einer von sechs Richtern und drei Staatsanwälten des Internationalen Strafgerichtshofs (International Criminal Court, ICC) von den USA im August mit Sanktionen belegt worden. Seine aktuelle Situation sei wie eine digitale Zeitreise zurück in die 1990er, vor dem Internet-Zeitalter, schilderte er jetzt in einem Interview.

Grund für die US-Sanktionen sind die Haftbefehle gegen den israelischen Premierminister Benjamin Netanjahu und den Verteidigungsminister Yoav Gallant. Sie wurden wegen Kriegsverbrechen und Verbrechen gegen die Menschlichkeit im Kontext der Zerstörung des Gazastreifens angeklagt. Die USA verurteilten diese Entscheidung des Gerichtshofs, woraufhin das US-Finanzministerium sechs Richter und drei Staatsanwälte mit Sanktionen belegte.

Im Alltag von Guillou bedeutet das, dass er vom digitalen Leben und vielem, was heute als Standard gilt, ausgeschlossen ist, schilderte er der französischen Zeitung Le Monde. All seine Konten bei US-Unternehmen wie Amazon, Airbnb oder PayPal wurden von den Anbietern sofort geschlossen. Online-Buchungen, wie über Expedia, werden sofort storniert, selbst wenn es um Hotels in Frankreich geht. Auch die Teilnahme am E-Commerce sei ihm praktisch nicht mehr möglich, da US-Unternehmen auf die eine oder andere Weise immer eine Rolle spielen, und es diesen strikt untersagt ist, mit Sanktionierten in irgendeine Handelsbeziehung zu treten.

Als drastisch beschreibt er auch die Auswirkungen, am Bankenwesen teilzunehmen. Zahlungssysteme seien für ihn blockiert, da US-Unternehmen wie American Express, Visa und Mastercard quasi über ein Monopol in Europa verfügten. Auch das restliche Banking beschreibt er als stark eingeschränkt. So seien auch Konten bei nicht-amerikanischen Banken teilweise geschlossen worden. Transaktionen in US-Dollar oder über Dollar-Konversion sind ihm verboten.

Guillous Fall zeigt auf, wie stark der Einfluss der USA auf den Tech-Bereich ist, und wie wenige Möglichkeiten er hat, auszuweichen. Und dies in einer Zeit, in der an immer mehr Stellen ein Account bei einem US-Tech-Unternehmen als selbstverständlich angesehen wird.

Der französische Richter plädiert dafür, dass Europa mehr Souveränität im Digital- und Bankensektor gewinnen sollte. Ohne diese Souveränität könne der Rechtsstaat nicht garantiert werden, warnt er. Zugleich fordert er von der EU, für den Internationalen Strafgerichtshof eine bestehende Blocking-Regelung (Verordnung EG Nr. 2271/96) zu aktivieren, die Drittstaaten wie die USA daran hindert, Sanktionen in der EU durchzusetzen. EU-Unternehmen dürften dann US-Sanktionen nicht mehr befolgen, wenn diese EU-Interessen verletzen. Unternehmen, die dagegen verstoßen, wären dann schadensersatzpflichtig.

(mki)

Aus: "Digitaler Rückfall in die 90er: US-Sanktionen treffen französischen Richter" Malte Kirchner (21.11.2025)
Quelle: https://www.heise.de/news/Wie-ein-franzoesischer-Richter-von-den-USA-digital-abgeklemmt-wurde-11087453.html

https://www.lemonde.fr/international/article/2025/11/19/nicolas-guillou-juge-francais-de-la-cpi-sanctionne-par-les-etats-unis-face-aux-attaques-les-magistrats-de-la-cour-tiendront_6654016_3210.html

QuoteSuper-Siggi, 21.11.2025 12:16

Eigentlich sollten wir für die Sanktionen dankbar sein, denn sie beweisen, dass die Risiken der Abhängigkeit nicht nur hypothetischer Natur sind. Wer jetzt noch glaubt, dass wir keine Souveränität brauchen, dem ist nicht mehr zu helfen. ...

QuoteIT-Frühling, 21.11.2025 15:37

Schön, wenn die Abhängigkeit so klar sichtbar wird. Am Ende kann es JEDEN von uns treffen, und spätestens wenn es um Finanzen und Gesundheit geht, wird es kritisch. ...

Quote9P2000, 22.11.2025 11:27

Der Kern der ganzen Sache ist ja die digitale Abhängigkeit von den USA. Und viele unsere Politiker weigern sich das zu beenden. Prominentes Beispiel ist München.

[Während Den Haag aussteigt: Bayern schließt Milliarden-Deal mit Microsoft, Lennart Niklas Johansson Schwenck (12.11.2025) Die bayrische Staatsregierung plant einen Milliarden-Deal mit Microsoft. Kritiker warnen vor digitaler Abhängigkeit.| Quelle: https://www.merkur.de/wirtschaft/waehrend-den-haag-aussteigt-bayern-schliesst-milliarden-deal-mit-microsoft-zr-94028610.html]

Ob es nun ein Richter ist, Firma, Privatperson, etc. ist unerheblich. Auch ob [es, wie] einige meinen [...] richtig oder falsch ist, was dem Richter widerfahren ist. Es hat die Abhängigkeit aufgezeigt.

...

Textaris(txt*bot) · December 08, 2025, 10:31:06 PM

"Palantir-Software hat verheerende Risiken" (08.12.2025)
Nach Risikoprüfung des Einsatzes von Palantir-Software in der Schweiz bekam der US-Konzern eine Absage, trotz jahrelanger Hofierung von Behörden und Armee. Den Eidgenossen sind die Risiken zu groß. Da drängt sich die Frage auf, warum die Palantir-Software für deutsche Polizeien gut genug sein soll. Innenminister Dobrindt wird sie beantworten müssen. ... Journalisten haben mit Hilfe von 59 Anfragen nach dem Öffentlichkeitsgesetz in einer lesenswerten Analyse nachvollzogen, wie sich der Konzern an öffentliche Stellen ranwanzte, um seine Software bei den Schweizer Bundesbehörden und beim Militär an den Mann zu bringen. ... Die Analyse enthält [ ] einen 20-seitigen internen Evaluationsbericht der Armee. Darin werden Vorzüge, aber auch Risiken eines Palantir-Einsatzes beschrieben, die letztlich zur Ablehnung einer Kooperation mit dem Konzern führten. Die Militärexperten kommen zu dem Schluss, dass ein Abfluss von Daten aus den Palantir-Systemen technisch nicht verhindert werden könne. ...
https://netzpolitik.org/2025/schweiz-palantir-software-hat-verheerende-risiken/

-

"Wie hartnäckig Palantir die Schweiz umwarb"
Das umstrittene Tech-Unternehmen Palantir liefert Überwachungstechnologie an Militär und Geheimdienste. Bei hiesigen Behörden und der Armee aber blitzte es ab. Interne Dokumente zeigen nun weshalb. Teil 1 unserer Recherche.
Von Adrienne Fichter, Marguerite Meyer, Lorenz Naegeli, Balz Oertli, Jennifer Steiner (Text) und Klawe Rzeczy (Illustration), 08.12.2025
" ... Es sind Szenen, wie man sie aus Diktaturen kennt: Maskierte Agenten der Migrationsbehörde ICE machen in den USA Jagd auf Migrantinnen. Im Stil von paramilitärischen Gruppen dringen sie in gepanzerten Fahrzeugen in Quartiere ein und verhaften Menschen, um sie danach ohne Gerichtsverfahren abzuschieben.
Doch woher wissen die ICE-Agenten, wo sich ihre Zielpersonen genau befinden? Dafür greift die Behörde auf Überwachungstechnologien zurück, zum Beispiel auf Produkte des US-Unternehmens Palantir Technologies. Dieses wurde vom rechtslibertären US-Milliardär Peter Thiel mitgegründet und ist heute eine der umstrittensten Firmen weltweit.
Die Software von Palantir erzeugt mit Telefon- und Flugdaten sowie mit Social-Media-Profilen Bewegungsmuster von Migrantinnen. So kann die Migrationsbehörde diese nicht nur identifizieren, sondern auch zeitnah orten. Eine der Stärken des Produkts ist nämlich: Statt viele getrennte Datenbanken und unübersichtliche Dateiformate durchsuchen zu müssen, erhalten Kunden eine einheitliche Oberfläche, in der Zusammenhänge automatisch und anschaulich sichtbar werden – etwa über Zeitachsen, Netzwerke oder grafische Auswertungen. ..."
https://www.republik.ch/2025/12/08/wie-hartnaeckig-palantir-die-schweiz-umwarb

-

Palantir Technologies Inc. ist ein US-amerikanischer Anbieter von Software und Dienstleistungen, der auf die Analyse großer Datenmengen und die Herstellung einer digitalen Ontologie von Unternehmens- und Projektdaten spezialisiert ist. ... Verletzung von Menschenrechten: Amnesty International kritisierte Palantir 2020 und erneut 2025 für die Zusammenarbeit mit der US-Regierung unter Donald Trump. Die US-Behörden würden die Software dafür nutzen, Geflüchtete, Migranten sowie internationale Studierende mit unliebsamer Meinung zu überwachen und eine vermeintliche ,,Gefährlichkeit" zu bestimmen. ...
https://de.wikipedia.org/wiki/Palantir_Technologies (7. Dezember 2025)

Textaris(txt*bot) · December 12, 2025, 10:00:58 AM

Quote[...] Die Debatte um die digitale Souveränität Europas und den strategischen Einsatz US-amerikanischer Cloud-Infrastrukturen in sensiblen Bereichen erhält neuen Zündstoff. Ein bisher unveröffentlichtes Gutachten, das Rechtswissenschaftler der Uni Köln im Auftrag des Bundesinnenministeriums erstellten, ist nun im Zuge einer Anfrage nach dem Informationsfreiheitsgesetz (IFG) öffentlich zugänglich geworden. Es kommt zu dem Schluss, dass US-Behörden weitreichenden Zugriff auch auf Daten haben, die in europäischen Rechenzentren gespeichert sind.

Die Gutachter sollten klären, ob und in welchem Umfang US-Geheimdienste und andere staatliche Stellen ein rechtliches Zugriffsrecht auf Daten in der Cloud besitzen, selbst wenn die Infrastrukturen außerhalb der Vereinigten Staaten betrieben werden. Laut dem Gutachten erlauben insbesondere der Stored Communications Act (SCA), der durch den Cloud Act erweitert wurde, sowie Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) US-Behörden, Cloud-Anbieter zur Herausgabe von Daten zu verpflichten.

Ein brisanter Punkt ist die Feststellung zur Reichweite der US-Jurisdiktion. Unternehmen sind demnach angehalten, Daten auch dann herauszugeben, wenn diese außerhalb der USA gespeichert sind. Entscheidend ist demnach nicht der physikalische Speicherort der Informationen, sondern die Kontrolle darüber durch die betroffene Firma. Das impliziert, dass selbst Daten, die in Rechenzentren auf europäischem Boden liegen und über deutsche Tochtergesellschaften verwaltet werden, dem Zugriff unterliegen. Voraussetzung ist, dass die US-Muttergesellschaft die letztliche Kontrolle ausübt.

Die Reichweite der US-Gesetze endet hier jedoch nicht. Die Jurisdiktion der Vereinigten Staaten kann laut dem Gutachten nicht nur europäische Tochtergesellschaften US-amerikanischer Unternehmen erfassen. Sie hat auch das Potenzial, rein europäische Unternehmen zu treffen, sofern diese relevante geschäftliche Verbindungen in die USA unterhalten. Damit wird die Gefahr eines indirekten oder direkten Datenzugriffs auf einen weiten Kreis von Unternehmen ausgedehnt, die im europäischen Binnenmarkt operieren.

Obwohl ein Cloud-Anbieter technisch etwa durch Verschlüsselung verhindern könnte, selbst auf die Daten zuzugreifen, vermeidet dies die Herausgabepflicht nicht zwingend. Das US-Prozessrecht verlangt von Parteien, verfahrensrelevante Informationen schon vor Beginn eines Rechtsstreits zu speichern. Ein Cloud-Dienstleister, der regelmäßig mit Herausgabeverlangen konfrontiert ist, könnte daher zur Aufbewahrung von Daten verpflichtet sein. Schließt er sich durch technische Maßnahmen vom Zugang aus, riskiert er erhebliche Bußgelder oder strafrechtliche Konsequenzen.

In Europa dürfen Aufsichtsbehörden auf Basis der Datenschutz-Grundverordnung (DSGVO) Offenlegungen von Informationen an Behörden in Drittstaaten untersagen. Datenübermittlungen in die USA können derzeit auf den wackeligen Angemessenheitsbeschluss der EU-Kommission – das EU-US Data Privacy Framework – gestützt werden. Das Gutachten verdeutlicht aber die rechtlichen Spannungsfelder, die durch die globale Reichweite der US-Gesetze entstehen. Es verweist auf die Notwendigkeit, europäische Alternativen zur Stärkung der digitalen Souveränität zu entwickeln.

Die Rechtsanwälte Stefan Hessel, Christina Ziegler-Kiefer und Moritz Schneider kommen in einer aktuellen Analyse trotzdem zum Schluss, dass ein datenschutzkonformer Einsatz der cloudbasierten Lösung Microsoft 365 grundsätzlich weiterhin möglich sei. Das abstrakte Risiko, das sich aus den extraterritorialen US-Befugnissen speise, begründe allein keine automatische Unzuverlässigkeit des Auftragsverarbeiters, solange keine systematischen Verstöße gegen europäisches Recht belegt seien. Verantwortliche müssten sich auf ihre Compliance-Pflichten konzentrieren und bei hohem Risiko eine Datenschutz-Folgenabschätzung durchführen. Andere Experten sehen das nicht so.

(vbr)

Aus: "Gutachten: US-Behörden haben weitreichenden Zugriff auf europäische Cloud-Daten" Stefan Krempl (10.12.2025)
Quelle: https://www.heise.de/news/Gutachten-US-Behoerden-haben-weitreichenden-Zugriff-auf-europaeische-Cloud-Daten-11111043.html

QuoteFishEye65

534 Beiträge seit 20.03.2014
11.12.2025 22:27

Abstraktes Risiko

Das abstrakte Risiko, das sich aus den extraterritorialen US-Befugnissen speise, begründe allein keine automatische Unzuverlässigkeit des Auftragsverarbeiters, solange keine systematischen Verstöße gegen europäisches Recht belegt seien.

Den Satz sollte man sich mal beiseite legen, für den Fall das jemand wieder... sagen wir... nur so als Beispiel... Huawei vorwirft, die nationale Sicherheit zu bedrohen.

Quoteder_pinguin, 12.12.2025 00:16

Habt ihr bei Snowden gepennt oder sowas?

Ach nein, das Land, das die Bundeskanzlerin abhört, saugt auch ernsthaft meine Daten von Facebook ab. Wer hätte das nur gedacht. Meine Güte, mit was für gottlos naiven Menschen muss ich eigentlich mittlerweile in einem Land leben? Braucht ihr noch eine dritte Amtszeit von Trump und jeweils einen zweiten Snowden / Assange um endlich mal aufzuwachen?

Das gibt's doch nicht. Unglaublich. Dichter und Denker my Ass. ...

...

Textaris(txt*bot) · December 12, 2025, 10:09:52 AM

Quote[...] Ein Gutachten des Netzwerks Datenschutzexpertise zeichnet ein düsteres Bild vom Umgang des Bezahldienstleisters PayPal mit Nutzerdaten. Die Experten listen eine Vielzahl von Verstößen gegen die DSGVO und das Zahlungsdiensteaufsichtsgesetz (ZAG) auf. Die zentralen Vorwürfe betreffen eine unzulässige Datenverarbeitung für Werbezwecke und unwirksame Einwilligungen.

Das Netzwerk Datenschutzexpertise begründet seine Untersuchung auch mit dem Status von PayPal als US-Unternehmen, dessen Datenpraktiken potenziell politischem Einfluss ausgesetzt sein könnten. Ein Hauptkritikpunkt der Gutachter ist die Nutzung von Transaktionsdaten für das neue Werbegeschäft ,,Offsite Ads". PayPal, das in jüngster Vergangenheit mit Störungen zu kämpfen hatte und Konkurrenz durch die datenschutzfreundlichere europäische Wallet Wero bekommen soll, werte dafür ,,Kaufdaten aus dem eigenen Netzwerk" aus, um zielgruppengesteuerte Werbung auf Webseiten Dritter und in Apps auszuspielen.

Laut dem Gutachten (PDF: https://www.netzwerk-datenschutzexpertise.de/sites/default/files/gut_2025_12_paypal.pdf) handelt es sich dabei um eine rechtlich unzulässige Zweckänderung. Das ZAG sehe klar vor, dass Zahlungsdienstleister ,,die für das Erbringen ihrer Zahlungsdienste notwendigen personenbezogenen Daten nur mit der ausdrücklichen Zustimmung der Zahlungsdienstnutzer abrufen, verarbeiten und speichern" dürfen. Genau diese Zustimmung holt PayPal laut den Experten jedoch nicht wirksam ein. So sei bei der Einrichtung eines Kontos die Einwilligung zur Werbung voreingestellt, was dem Grundsatz ,,Privacy by Default" (Art. 25 DSGVO) widerspreche. Eine wirksame Einwilligung setze aber ein aktives Tun voraus. Die Autoren stellen fest: ,,Beim Einrichten eines PayPal-Accounts erhält der Kunde keine Information über die Bedeutung der vorangekreuzten Einwilligung. Dies entspricht nicht den Anforderungen an eine informierte (ausdrückliche) Einwilligung."

Besonders kritisch bewerten die Experten die Weitergabe von Daten an Dritte. In seiner Datenschutzerklärung verlinkt PayPal auf eine Liste mit rund 600 Unternehmen aus ,,vielen Staaten der Welt", an die Daten weitergegeben werden können – darunter Kreditauskunfteien, Marketingfirmen und US-Unternehmen wie Google und Facebook. Für Nutzer sei es unmöglich, nachzuvollziehen, welche Daten an wen fließen. Das Gutachten bemängelt, dass die Liste ,,für viele Nutzende nicht verständlich" sei, da sie aktuell nur auf Englisch verfügbar und hinter einem Link mit der ,,irreführenden Überschrift ,Hinweis zu Bankvorschriften'" versteckt ist.

Die Liste der im Gutachten festgestellten Verstöße ist lang und betrifft nahezu alle Aspekte der Datenverarbeitung. So sei ,,die Information der Betroffenen über Zwecke, Rechtsgrundlagen, Datenempfänger, über die konzerninterne Kooperation und über die genutzten automatisierten Entscheidungsverfahren" ungenügend. Der konzerninterne Datenaustausch wird als intransparent kritisiert, und PayPal verleugne entgegen den Vorgaben der DSGVO seine ,,gemeinsame datenschutzrechtliche Verantwortlichkeit" mit Händlern und Banken.

Darüber hinaus seien die eingeholten Einwilligungen auch in weiteren Aspekten rechtlich unwirksam, was insbesondere für die gesetzlich geforderte ,,ausdrückliche Einwilligung" bei der Verarbeitung sensibler Daten oder für Werbezwecke gelte. Auch der Schutz von Gesundheitsdaten oder Berufsgeheimnissen sei ,,nicht gewährleistet". Kritisiert wird zudem die Speicherdauer, die mit pauschal zehn Jahren nach Vertragsende ,,das rechtlich zulässige Maß" überschreite. Schließlich werfen die Gutachter ,,viele offene Fragen" bezüglich der grenzüberschreitenden Datenverarbeitung auf und äußern Zweifel, dass die dafür genutzten Regeln (Binding Corporate Rules) den Anforderungen der DSGVO zu genügen.

Thilo Weichert vom Netzwerk Datenschutzexpertise kommentiert die Ergebnisse scharf: ,,US-BigTechs stehen zu Recht wegen ihrer aggressiven und rechtswidrigen Datenverarbeitung in der öffentlichen Kritik. Es ist erschreckend, dass PayPal bisher unter dem öffentlichen Radar geblieben ist. Dies muss sich ändern, insbesondere nachdem der Finanzdienstleister seit Frühjahr 2025 massiv ins Werbegeschäft eingestiegen ist und sensible Zahlungsdaten von Verbrauchern hierfür zweckentfremdet." Die Aufsichtsbehörden hätten sich bisher nicht ausreichend gekümmert. Auf eine Bitte um Stellungnahme hat PayPal bisher nicht reagiert. Die Autoren hatten PayPal mit einem umfassenden Fragenkatalog konfrontiert, jedoch wurden – trotz weiterer Nachfrage – nur wenige Fragen beantwortet.

Paypal prüft das Gutachten derzeit, wie eine Anfrage von heise online ergeben hat. ,,Wir sind uns des Gutachtens bewusst und prüfen es derzeit eingehend. Die Einhaltung der EU-Datenschutzanforderungen ist für uns sowohl für die Entwicklung als auch den Betrieb unserer Produkte von zentraler Bedeutung, um ein qualitativ hochwertiges Erlebnis und Sicherheit im Zahlungsverkehr für unsere Kund:innen sicherzustellen"

(mack)

Aus: "Gutachten: Massive Datenschutzverstöße bei PayPal" Marie-Claire Koch (11.12.2025)
Quelle: https://www.heise.de/news/PayPal-Gutachten-Viele-Maengel-beim-Datenschutz-11111140.html

Textaris(txt*bot) · December 17, 2025, 11:56:06 AM

Quote[...] Eine Person wird vom belarussischen Geheimdienst KGB verhört und muss dabei ihr Handy abgeben. Am nächsten Tag meldet das Antivirensystem des Smartphones eine verdächtige App. Die Person löscht sie, aber ahnt nicht, dass sie eine weitere Spionage-App auf ihrem Gerät hat. Diese App hat Zugriff auf Mikrofon und Kamera; sie ermöglicht es, in verschlüsselten Messengern, SMS und E-Mails mitzulesen, Telefonate mitzuhören und aufzuzeichnen sowie den Standort zu überwachen. Man kann sogar das gesamte Smartphone aus der Ferne löschen, wenn man will. Die Kontrolle über diese App hat: der belarussische Geheimdienst.

Dieser Fall ist kein hypothetisches Beispiel. Er ist tatsächlich so passiert. Das berichtet die Journalismusorganisation Reporter ohne Grenzen. Die oben beschriebene Person wird in Belarus verfolgt. Um sie zu schützen, nennt dieser Text weder ihren Namen noch ihr Geschlecht. Nur so viel: Es handelt sich um eine Person, die im Journalismus arbeitet.

Diese Person wandte sich einige Zeit nach dem Verhör beim KGB an die osteuropäische NGO Resident. Die wiederum untersuchte gemeinsam mit dem Team des Digital Security Lab von Reporter ohne Grenzen das Smartphone. Dabei entdeckten sie die zweite, bis dahin unerkannt gebliebene Spionage-App. Die Analyse ergab, dass es sich um eine ausgeklügelte Schadsoftware handelt, die wohl bereits seit 2021 gegen Oppositionelle eingesetzt wird und bisher unbekannt war. Die Analyse lag der ZEIT vorab vor.

"Die App gibt dem Geheimdienst einen weitreichenden Zugriff auf das Smartphone der betroffenen Person", sagt Janik Besendorf, IT-Sicherheitsexperte beim Digital Security Lab. "Der Fall zeigt, wie massiv in die Privatsphäre von Journalistinnen und Journalisten eingegriffen werden kann."

Das Risiko für Journalistinnen und Oppositionelle in Belarus ist hoch. Laut Reporter ohne Grenzen befinden sich mehr als 30 Journalisten in Haft; immer wieder wird über Folter berichtet, viele sind im Exil. Diejenigen, die weiterhin aus Belarus berichten, tun dies meist anonym und unter hohem persönlichen Risiko.

Das Bekanntwerden der Schadsoftware erfolgt, wenige Tage nachdem Belarus 123 politische Gefangene freigelassen hat. Der aktuelle Fall verdeutlicht, dass auch diese weiterhin überwacht werden könnten. Erst kürzlich wurde ein Cyberangriff auf belarusische Aktivistinnen und Aktivisten im Exil aufgedeckt: Mutmaßlich staatliche Angreifer versuchten mittels gezielter Phishingangriffe, deren Accounts im verschlüsselten Messenger Signal zu übernehmen.

Der Fund zeigt auch einen neuen Trend bei staatlicher Überwachung. Bisher setzten Staaten oft auf spezialisierte Spionagesoftware. Das bekannteste Beispiel ist die Anwendung Pegasus, mit der zum Beispiel das Umfeld des ermordeten Journalisten Jamal Khashoggi ausspioniert worden sein soll. Diese Art Software lauert auf Sicherheitslücken in Smartphone-Betriebssystemen wie Android und iOS und nutzt sie dann aus. Das geht auch aus der Ferne, zum Beispiel über Textnachrichten mit Schadcode.

Doch diese Art von Spionagesoftware ist teuer. Deshalb nutzen Regime heute verstärkt die Möglichkeit, die ein physischer Zugriff auf das Gerät bietet. Soll heißen: Sie nehmen es an sich und spielen gezielt Spionagesoftware drauf. Zuletzt hatte die Nichtregierungsorganisation Amnesty International eine Spionagesoftware des serbischen Geheimdienstes enttarnt, mit der Journalistinnen und Aktivisten überwacht wurden. Sicherheitsforscher fanden ähnliche Ansätze russischer und chinesischer Behörden, die sowohl Oppositionelle als auch reisende Geschäftsleute überwachen. In allen Fällen hatten die Behörden Verhöre oder andere Gelegenheiten genutzt, um die Geräte zu manipulieren.

Auch in dem oben beschriebenen Fall machte sich das KGB zunutze, dass das Smartphone in Reichweite war, sagt Besendorf: Die betroffene Person sei für eine Befragung beim KGB gewesen und habe ihr Handy abgeben müssen. "Die Installation der App fällt genau in diesen Zeitraum, das konnten wir in der Analyse sehen."

Die Untersuchung des Handys zeigt, dass der Geheimdienst zunächst einige Sicherheitsmaßnahmen des Android-Betriebssystems ausschaltete. Dazu zählte zum Beispiel Google Play Protect, ein Sicherheitsservice vom Android-Hersteller Google, der Apps automatisiert auf Schadsoftware prüft. So ein Dienst hätte möglicherweise vor den weitgehenden Berechtigungen der beiden Spionage-Apps gewarnt oder diese eingeschränkt. Stattdessen konnten sich die Apps zunächst als legitime Systemdienste tarnen, die entsprechende Zugriffe und Freigaben benötigten.

Wieso es überhaupt zwei Apps gab und wieso eine nicht entdeckt wurde, ist unklar. Möglicherweise habe der Virenscanner die vielen Berechtigungen der einen App als verdächtig eingestuft, sagt Besendorf. Klar ist, dass beide Apps bis dato nicht bekannt waren – denn sonst wären beide wohl entdeckt worden.

Das Team um Resident und Reporter ohne Grenzen machte bei seiner Analyse eine weitere Entdeckung. Es glich die Spuren der Spionage-App vom Smartphone der betroffenen Person mit Spuren auf der Antivirenplattform VirusTotal ab, einer Plattform, die verdächtige Software prüft. Zahlende Kunden von VirusTotal bekommen Zugriff auf alles, was dort von anderen hochgeladen und analysiert wurde. Auf der Plattform fanden sich acht weitere Versionen der Schadsoftware. Und die waren teilweise seit April 2021 aktiv. "Das heißt, das KGB nutzt diese Spionagesoftware schon seit vier Jahren", sagt Besendorf.

Unklar ist, wer diese dort hochgeladen hat. Das können Opfer sein, die ähnlich wie die aktuell betroffene Person eine Warnung ihres Geräts erhielten und testen wollten, ob es sich um eine bekannte Schadsoftware handelt. Oder auch die Entwickler der Schadsoftware selbst. Denn sie könnten auf diese Weise prüfen, ob Virenscanner ihren Angriff entdecken.

Die Enttarnung der App als Spionagewerkzeug "dürfte einen schweren Schlag für die Arbeit des KGB darstellen", sagt Besendorf. Denn damit sei die Software nicht mehr nutzbar. Künftige Angriffe könnten von Virenscannern gefunden werden.

Die Forscher konnten knapp 25 Server identifizieren, die mit den verschiedenen Varianten der Spionagesoftware kommunizierten. Einige der zugehörigen IP-Adressen lassen sich der Region Russland zuordnen. Das heißt nicht automatisch, dass Russland auch in die Spionage involviert war. Schließlich kann man überall Server mieten. Der Standort könnte den belarussischen Geheimdienst aber vor Gegenmaßnahmen schützen. "Seriöse europäische Hoster würden die Server abschalten, wenn wir sie darüber informieren, dass Spyware-Infrastruktur auf ihnen läuft", sagt Besendorf.

Bei der Analyse konnten die Sicherheitsforscher auch sehen, welche Apps für die Spione besonders interessant waren. Die Schadsoftware sorgte dafür, dass automatisch Screenshots dieser Anwendungen an die KGB-Server geschickt wurden. Darunter waren in allen Versionen der Schadsoftware unter anderem Microsoft Teams, Zoom, WhatsApp, Telegram, Instagram und das "russische Facebook", VKontakte.

In mindestens einer der Versionen der Schadsoftware, die das Team auf der Plattform VirusTotal fand, entdeckte es auch englische Zeichenketten. Das deute darauf hin, dass der Spionageangriff eventuell nicht ausschließlich für den Einsatz in Belarus entwickelt worden sei, sagen die Forscher. Oder dass er nicht vom KGB selbst entwickelt, sondern eingekauft worden sei.

Der Fall wirft auch Fragen an die Hersteller der Smartphone-Betriebssysteme auf. Im aktuellen Fall gab es zwar Anzeichen für den Angriff, die auch für Nutzerinnen und Nutzer theoretisch sichtbar sind – bei Bildschirmaufnahmen etwa zeigte das Android-Betriebssystem ein kleines Symbol am rechten oberen Bildschirmrand an. Aber möglicherweise ist das zu wenig, sagt Besendorf. Viele Menschen bekämen sehr viele Benachrichtigungen. Da können solche Hinweise unbemerkt bleiben.

Deshalb haben sich die Forscher an Google gewandt. Schon jetzt bietet Android einen Advanced Protection Mode an, der unter anderem verhindert, dass Apps aus unbekannten Quellen installiert werden. So etwas Ähnliches gibt es auch in Apples Betriebssystem iOS. Nur: Wer Zugriff auf das entsperrte Smartphone hat, kann diesen Schutzmodus bei Android einfach ausschalten. Das heißt, gegen die neuartigen Überwachungsangriffe von Geheimdiensten mit physischem Zugriff hilft der Modus nicht.

"Wir raten Google, diesen Modus mit Zwei-Faktor-Authentifizierung zu versehen", sagt Besendorf. Ein Feedback von Google gebe es dazu noch nicht. Doch der aktuelle Fall zeigt eindrücklich, wie wichtig diese Maßnahme wäre.

Aus: "Belarussischer Geheimdienst spionierte Handys aus" Eva Wolfangel (17. Dezember 2025)
Quelle: https://www.zeit.de/digital/2025-12/belarus-spionagesoftware-handy-app-opposition/komplettansicht

QuoteMax_Beckmann

... Wer glaubt denn, dass einzig Weissrussland das kann? Ich rede über Strümpfe und hab kurz darauf gezielte "Sockenwerbung" auf dem Handy...

QuoteGroMo80

Handy ausspionieren?..warte, da war doch mal was:

Die globale Überwachungs- und Spionageaffäre entstand aus Enthüllungen von als streng geheim (Top Secret) gekennzeichneten Dokumenten der National Security Agency (NSA) und darauf folgend weiteren Veröffentlichungen und den internationalen Reaktionen darauf. Der US-amerikanische Whistleblower und ehemalige Geheimdienstmitarbeiter Edward Snowden enthüllte Anfang Juni 2013, wie vor allem die Vereinigten Staaten seit spätestens 2007 in großem Umfang die Telekommunikation und insbesondere das Internet global und verdachtsunabhängig überwachen. ...
https://de.wikipedia.org/wiki/Globale_Überwachungs-_und_Spionageaffäre

QuoteKalle1

Was treiben eigentlich unsere (deutschen) sog. "Geheimdienste"? ...

QuoteRedEarl

Die benutzen für sowas den Staatstrojaner.

[Staatstrojaner bezeichnet einen durch staatliche Stellen eingesetzten Trojaner. Offiziell wird von fernforensischer Software (remote forensic software) gesprochen. Als pejorativ verwendetes politisches Schlagwort gegen die Einführung der Online-Durchsuchung in Deutschland wird Bundestrojaner oder seltener Polizei-Trojaner verwendet, auch wenn die Polizei in Deutschland Ländersache ist. Ein Staatstrojaner ist eine Software, die ohne Wissen des Betroffenen von Polizei oder anderen Sicherheitsbehörden auf Rechnern oder anderen informationstechnischen Systemen des zu Überwachenden eingesetzt wird. Sie ist durch die Online-Durchsuchung oder die Quellen-Telekommunikationsüberwachung rechtlich legitimiert, wird aber vielfältig kritisiert. ... | https://de.wikipedia.org/wiki/Staatstrojaner]

...

Textaris(txt*bot) · January 16, 2026, 11:44:00 AM

Quote[...] Ein Gutachten der Universität Köln zeigt, dass US-Behörden auch auf in Europa gespeicherte Cloud-Daten zugreifen können. Die Ergebnisse werfen erhebliche Zweifel an der rechtlichen Sicherheit von Microsoft-Diensten auf – und stehen im scharfen Kontrast zu den Plänen der bayerischen Staatsregierung, einen milliardenschweren Auftrag an den US-Konzern vergeben zu wollen.

Denn diese alarmierenden Erkenntnisse stehen im scharfen Kontrast zu den Plänen der bayerischen Staatsregierung, einen milliardenschweren Auftrag an Microsoft – ohne Ausschreibung – vergeben zu wollen. Kritiker, darunter Experten aus Wissenschaft und Wirtschaft, warnen vor einem Abfluss von Steuergeldern und dem Verlust digitaler Souveränität. Der Ärger über diese unüberlegte Entscheidung wächst. Die Kritiker sehen nicht nur die bayerische IT-Landschaft gefährdet, sondern auch das fundamentale Vertrauen der Bürger in die öffentliche Verwaltung aufs Spiel gesetzt.

Das uns vorliegende Gutachten zur Rechtslage von Microsoft in den USA wirft erhebliche Bedenken hinsichtlich des Einsatzes und der möglichen Datenzugriffsrechte durch amerikanische Behörden auf. Insbesondere wird auf die weitreichenden Sicherheitsbefugnisse hingewiesen, die den US-amerikanischen Geheimdiensten und Strafverfolgungsbehörden unter dem Foreign Intelligence Surveillance Act (FISA) und dem Stored Communications Act (SCA) zustehen.

Dieser rechtliche Rahmen erlaubt es den Behörden, ohne richterlichen Durchsuchungsbeschluss auf die Daten von Cloud-Diensten zuzugreifen, sofern sich die Server auf US-amerikanischem Territorium befinden oder das Unternehmen über entsprechende Kontrolle über die Daten verfügt. Das Gutachten hebt hervor, dass selbst Daten, die auf ausländischen Servern gespeichert sind, unter bestimmten Umständen dennoch den Zugriffsbefugnissen des beispielsweise US-Innengeheimdienstes NSA unterliegen können.

Besonders alarmierend ist die Feststellung, dass ,,amerikanische Geheimdienste unter Voraussetzungen, die nicht öffentlich bekannt sind, auf im Ausland gespeicherte Daten auch ohne die Mitwirkung von Cloud-Anbietern zugreifen können". Dies wirft ernsthafte Fragen zum Schutz personenbezogener Daten europäischer Bürger auf, insbesondere in Anbetracht der bereits in der Vergangenheit durch den Europäischen Gerichtshof (EuGH) als unzulässig erklärten Datenschutzabkommen wie dem Privacy Shield.

Ein zentraler Punkt des Gutachtens ist die Unterscheidung zwischen den Zugriffsmöglichkeiten auf Cloud-Daten innerhalb und außerhalb der USA. Daten, die auf US-Territorium gespeichert sind, unterliegen dem FISA, was bedeutet, dass der Standort allein ausschlaggebend für den Zugriff ist. ,,Sobald Daten auf US-Territorium gespeichert oder verarbeitet werden, unterliegen sie Section 702 FISA", heißt es im Gutachten. Dies bedeutet, dass die US-amerikanischen Behörden auch dann auf europäische Daten zugreifen können, wenn diese sich physisch in Deutschland oder einem anderen europäischen Land befinden, solange das US-Unternehmen die Kontrolle über diese Daten hat.

Zusätzlich wird darauf hingewiesen, dass der CLOUD Act die Herausgabeverpflichtungen auch auf Daten erstreckt, die außerhalb der USA gespeichert sind, was die rechtlichen Unsicherheiten für europäische Unternehmen weiter verstärkt. Diese Regelung könnte dazu führen, dass ,,eine (ausländische) Tochtergesellschaft in der Regel der Herausgabepflicht unterliegt", auch wenn sie rechtlich unter dem europäischen Datenschutzrecht agieren muss.

Das Gutachten schließt mit dem kritischen Hinweis, dass es für Unternehmen wie Microsoft ,,keine Rechtschutzmöglichkeiten gegen solche Anordnungen gibt", was die Gefahr erhöht, dass europäische Unternehmen nicht nur gegen lokale Datenschutzgesetze, sondern auch gegen die anordnenden US-Behörden kämpfen müssen. Diese Situation wird zusätzlich dadurch verschärft, dass europäische Unternehmen aufgrund des fehlenden Widerspruchsrechts keinen rechtlichen Rückhalt gegen die Anordnungen der US-Behörden haben.

Insgesamt stellt das Gutachten klar, dass der Einsatz von Microsoft und anderen Cloud-Diensten in der gegenwärtigen Rechtslage rechtlich problematisch ist und zahlreiche Risiken für den Schutz personenbezogener Daten birgt. Es besteht ein akuter Handlungsbedarf, um angemessene rechtliche Rahmenbedingungen zu schaffen, die sowohl den Anforderungen der nationalen Sicherheit der USA als auch dem Recht auf Datenschutz in Europa gerecht werden.

Erst vor kurzem hatte der bayerische Digitalminister Dr. Fabian Mehring angekündigt, die Verwaltungen im Freistaat umfassend mit Microsoft-Lizenzen auszustatten – eine Entscheidung, die auf viel Unverständnis gestoßen ist.

Prof. Dr. Harald Wehnes von der Universität Würzburg und Sprecher des Präsidiumsarbeitskreises ,,Digitale Souveränität" bei der Gesellschaft für Informatik e.V. (GI) äußert sich besorgt hinsichtlich der finanziellen und datentechnischen Konsequenzen. Er warnt in einem Brandbrief an Ministerpräsident Dr. Markus Söder, Finanzminister Albert Füracker und Digitalminister Dr. Fabian Mehring: ,,Der Freistaat Bayern plant, trotz knapper Kassen noch in diesem Jahr einen Milliardenauftrag ohne Ausschreibung an Microsoft zu vergeben. Damit werde Bayern zur digitalen US-Kolonie: Geld und Daten fließen ab." Wehnes betont, dass der Verlust der Souveränität über Daten die Grundlage der Existenz gefährde, insbesondere für junge Familien und die jüngere Generation, die gerade unter geplanten Einsparungen in anderen Bereichen leiden müssen.

https://www.security-insider.de/kritik-bayern-microsoft-vertrag-digitale-souveraenitaet-a-c65a5c1d275dd2cc93318a32d0690d17/

https://www.augsburger-allgemeine.de/bayern/csu-vorstand-muessen-auch-prioritaeten-setzen-soeder-bleibt-beim-aus-fuer-familiengeld-hart-112844269

Ein aktuelles Whitepaper des cyberintelligence.institutes (CII) thematisiert [https://cyberintelligence.institute/projekte/cii-whitepaper-hindernisse-auf-dem-weg-zu-einer-souveraenen-clou] die strukturelle Abhängigkeit der deutschen Verwaltung von großen US-amerikanischen Anbietern wie Microsoft und warnt vor der daraus resultierenden digitalen Unsouveränität, die erhebliche Sicherheitsrisiken berge. Michael Kolain, Autor des Whitepapers, hebt hervor, dass diese Abhängigkeiten die Wahlfreiheit und die Budgethoheit öffentlicher Einrichtungen einschränke und zu einem Verlust an Transparenz und strategischer Kompetenz führe. Zudem sollten die Kosten, die der Bund für die Lösungen des US-Unternehmens ausgebe – seit 2017 sind diese um mehr als 250 Prozent gestiegen – stärker beachtet werden. Die jährlichen Lizenzkosten lägen aktuell bei über 200 Millionen Euro. Damit würden die Aufwände für Lizenzkosten an Steuergeldern auf über eine Milliarde Euro wachsen. Diese Gelder stünden nicht mehr für Ausgaben zur Verfügung, die Lösungen alternativer Anbieter aus Europa unterstützten würden.

Der Fachbereich Sicherheit der GI unterstreicht in einer Stellungnahme die Bedenken gegenüber den Plänen der bayerischen Staatsregierung. In Anbetracht der ersten Meldungen über ein Enterprise Agreement für Microsoft 365 warnt Daniel Loebenberger, Sprecher des Fachbereichs: ,,Pragmatismus darf nicht zur Abhängigkeit führen". Die GI fordert eine Überprüfung der Rahmenbedingungen und die Berücksichtigung des Cloud Souvereignty Frameworks der Europäischen Kommission. Diese Maßnahme soll sicherstellen, dass bei der Digitalisierung und dem Datenmanagement die Unabhängigkeit gewahrt bliebe und das Vertrauen der Bürgerinnen und Bürger in die Verwaltung gesichert werde.

Auch der Bundesverband IT-Mittelstand e.V. (BITMi) fordert, aus den Ergebnissen des Kölner Gutachtens Konsequenzen zu ziehen. Christian Gericke, Vizepräsident des BITMi, betont, dass Unternehmen mit Sitz, Führung und Eigentümerstruktur in Europa die sicherste Wahl für die Speicherung und Verarbeitung von Daten seien. Das Gutachten belege, dass US-Behörden trotz Marketingversprechen nicht von einem Zugriff auf Daten gehosteter europäischer Tochtergesellschaften absehen. Gericke appelliert an die Bundesregierung, bei der Auswahl digitaler Lösungen die Resilienz und Datensouveränität in den Vordergrund zu stellen.

Insgesamt wird deutlich, dass die geplante Zusammenarbeit mit Microsoft nicht nur finanzielle, sondern auch strategische Risiken birgt, die die bayerische IT-Landschaft und die digitale Souveränität in Gefahr bringen könnten. Die Experten fordern eine kritische Neubewertung der Entscheidungen in Anbetracht der aktuellen globalen Sicherheitslage und die Stärkung der europäischen Anbieter, um ein nachhaltiges und sicheres digitales Ökosystem zu gewährleisten.

Aus: "Kölner Gutachten stellt Microsoft-Nutzung infrage Kürzungen bei Familien, Milliarden für Microsoft?" Elke Witmer-Goßner (09.01.2026)
Quelle: https://www.security-insider.de/us-behoerden-zugriff-europaeische-cloud-daten-microsoft-sicherheit-a-66959c9a0efc9f7469eb1c6cd8be82a8/