ISMC – Information Security Management Consulting

Kategorie: Regulation

All about regulations, regulators

  • Gesetzesentwurf RKEG

    Gesetzesentwurf RKEG

    Das Resilienz kritischer Einrichtungen-Gesetz: Notwendiger Schutz oder bürokratisches Übermaß?

    Warum dieses Gesetz?

    In einer zunehmend vernetzten Welt sind kritische Infrastrukturen zur Lebensader unserer Gesellschaft geworden. Stromnetze, Krankenhäuser, Wasserversorgung, Banken und Verkehrssysteme sind unverzichtbar für das Funktionieren von Wirtschaft und Gesellschaft. Doch genau diese Vernetzung macht sie verwundbar. Die Sabotage der Nord Stream-Pipelines, Cyberangriffe und die Auswirkungen des Klimawandels haben gezeigt: Der Schutz dieser Einrichtungen muss verstärkt werden.

    Das österreichische Bundesministerium für Inneres hat daher einen Gesetzesentwurf vorgelegt, der die Widerstandsfähigkeit kritischer Einrichtungen systematisch stärken soll. Das Resilienz kritischer Einrichtungen-Gesetz (RKEG) setzt dabei eine EU-Richtlinie um und schafft einen umfassenden Rahmen für den Schutz lebenswichtiger Infrastrukturen.

    Doch bei genauerer Betrachtung zeigt sich: Das Gesetz ist ambivalent. Es adressiert reale Bedrohungen, droht aber gleichzeitig in bürokratischem Overengineering zu ersticken. Dieser Artikel erklärt die Regelungen und analysiert kritisch, was fehlt und was über das Ziel hinausschießt.

    Was sind kritische Einrichtungen?

    Kritische Einrichtungen sind öffentliche oder private Organisationen, die mit ihrer Infrastruktur wesentliche Dienste für die Gesellschaft erbringen. Zu den betroffenen Sektoren gehören:

    • Energie (Stromnetze, Umspannwerke)
    • Verkehr (Schienennetze, Flughäfen)
    • Gesundheit (Krankenhäuser, medizinische Einrichtungen)
    • Wasser- und Abwasserversorgung
    • Digitale Infrastruktur
    • Bankwesen und Finanzmarktinfrastrukturen
    • Öffentliche Verwaltung
    • Weltraum (z.B. Satellitensysteme)

    Das Problem der vagen Kriterien

    Nicht jede Einrichtung in diesen Bereichen wird automatisch als kritisch eingestuft. Das Gesetz sieht ein Verfahren vor, bei dem der Bundesminister für Inneres nach bestimmten Kriterien ermittelt, welche Einrichtungen tatsächlich kritisch sind. Berücksichtigt werden sollen:

    • Die Zahl der Nutzer des wesentlichen Dienstes
    • Die Abhängigkeit anderer Sektoren von diesem Dienst
    • Die möglichen Auswirkungen von Störungen
    • Der Marktanteil der Einrichtung
    • Das geografische Gebiet (einschließlich grenzüberschreitender Auswirkungen)
    • Die Verfügbarkeit von Alternativen

    Doch hier zeigt sich ein fundamentales Problem: Das Gesetz bleibt erschreckend vage, wenn es um konkrete Schwellenwerte geht. Ab wann ist eine Nutzerzahl „erheblich“? Ab welchem Marktanteil wird eine Einrichtung kritisch? Ein Krankenhaus weiß nicht, ob 10.000 oder 100.000 versorgte Patienten die Schwelle bedeuten. Ein Logistikunternehmen kann nicht abschätzen, ab welchem Marktanteil es erfasst wird.

    Diese Unsicherheit ist nicht nur theoretisch problematisch: Unternehmen können nicht selbst einschätzen, ob sie betroffen sein werden. Dies erschwert die strategische Planung erheblich. Erst nach Bescheiderteilung durch das BMI wissen sie, dass sie als kritisch gelten. Bis dahin haben sie möglicherweise keine Vorbereitungen getroffen. Die Implementierung unter Zeitdruck ist dann teurer und fehleranfälliger.

    Das BMI plant, zwischen 300 und 600 Einrichtungen als kritisch einzustufen. Das ist eine enorme Spannweite, die die Unsicherheit unterstreicht.

    Was bedeutet Resilienz?

    Resilienz ist mehr als nur Schutz. Es geht um die Fähigkeit einer Einrichtung, Sicherheitsvorfälle zu verhindern, sich davor zu schützen, darauf zu reagieren und sich schnell wieder zu erholen. Das Konzept umfasst:

    • Prävention: Gefahren frühzeitig erkennen und vermeiden
    • Schutz: Robuste Sicherheitsmaßnahmen implementieren
    • Reaktion: Auf Vorfälle schnell und effektiv reagieren
    • Wiederherstellung: Den Normalbetrieb möglichst rasch wiederherstellen

    Die zentralen Maßnahmen des Gesetzes

    1. Nationale Strategie und Risikoanalyse: Die Superbehörde BMI

    Der Bundesminister für Inneres wird zur zentralen Koordinationsstelle. Er muss eine nationale Strategie entwickeln und regelmäßige Risikoanalysen durchführen. Dabei werden alle Bedrohungen betrachtet: von Naturkatastrophen über technisches Versagen bis hin zu gezielten Angriffen.

    Doch die Machtkonzentration geht weit darüber hinaus. Das BMI:

    • Erstellt die nationale Strategie
    • Führt die Risikoanalyse durch
    • Stuft Einrichtungen als kritisch ein
    • Überwacht die Einhaltung der Pflichten
    • Führt Inspektionen durch
    • Erlässt Anordnungen
    • Verhängt Strafen

    Das BMI ist damit Spieler und Schiedsrichter zugleich. Besonders problematisch ist die Verfassungsbestimmung in § 4 Abs. 2, die dem BMI sogar Befugnisse gegenüber anderen Ministerien gibt. Dies durchbricht fundamentale Prinzipien der Gewaltenteilung innerhalb der Exekutive.

    Es fehlt ein unabhängiges Kontrollgremium. Sinnvoller wäre ein interministerielles Gremium für strategische Entscheidungen oder eine unabhängige Aufsichtsbehörde nach dem Vorbild der Datenschutzbehörde gewesen. Auch eine parlamentarische Kontrolle wird nicht vorgesehen.

    2. Ermittlung kritischer Einrichtungen: Der bürokratische Moloch

    Das Gesetz legt fest, wie kritische Einrichtungen identifiziert werden. Wird eine Einrichtung als kritisch eingestuft, erhält sie einen entsprechenden Bescheid vom Innenministerium.

    Hier entsteht das nächste Problem: Das BMI plant, für 300 bis 600 Einrichtungen förmliche Verwaltungsverfahren mit Bescheiden durchzuführen. Dafür sollen 40 zusätzliche Vollzeitäquivalente eingestellt werden. Das bedeutet durchschnittlich 7,5 bis 15 Einrichtungen pro Mitarbeiter.

    Diese Personalausstattung reicht für eine qualitativ hochwertige Betreuung nicht aus. Entweder wird die Aufsicht oberflächlich oder es kommt zu massiven Verzögerungen. Der bürokratische Aufwand ist enorm und bindet Ressourcen, die für die eigentliche Resilienzarbeit fehlen.

    Ein Registrierungsmodell statt aufwendiger Bescheidverfahren wäre praktikabler gewesen. Selbstdeklaration mit stichprobenartiger Kontrolle und ein risikobasierter Ansatz (intensive Prüfung nur bei Hochrisiko-Einrichtungen) hätten denselben Zweck mit deutlich weniger Bürokratie erfüllt.

    3. Verpflichtungen für kritische Einrichtungen: Einheitsgröße für alle

    Einrichtungen, die als kritisch eingestuft werden, müssen:

    • Eigene Risikoanalysen durchführen
    • Einen Resilienzplan erstellen und umsetzen
    • Technische, organisatorische und sicherheitsbezogene Maßnahmen ergreifen
    • Sicherheitsvorfälle unverzüglich melden
    • Eine zentrale Kontaktstelle benennen
    • Regelmäßige Audits durch qualifizierte Stellen durchführen lassen

    Die Resilienzmaßnahmen müssen verhältnismäßig sein und folgende Bereiche abdecken:

    • Physische Sicherheit (Zugangskontrollen, Videoüberwachung, Zäune)
    • Personalsicherheit (Zuverlässigkeitsüberprüfungen für sensible Positionen)
    • Cybersicherheit (Schutz von IT-Systemen)
    • Lieferkettensicherheit (Überprüfung kritischer Zulieferer)
    • Notfall- und Krisenmanagement
    • Business Continuity Management

    Das Problem: One Size Fits None

    Das Gesetz behandelt einen multinationalen Energiekonzern genauso wie ein regionales Stadtwerk. Die Anforderungen sind identisch, obwohl die Ressourcen dramatisch unterschiedlich sind.

    Kleine und mittlere kritische Einrichtungen werden überfordert. Die Erstellung professioneller Risikoanalysen kostet 15.000 bis 50.000 Euro. Resilienzmaßnahmen schlagen mit 50.000 bis 500.000 Euro zu Buche, je nach Ausgangslage. Ein Audit durch qualifizierte Stellen kostet 20.000 bis 80.000 Euro. Hinzu kommen interne Personalkosten von 0,5 bis 2 Vollzeitäquivalenten.

    Diese Summen sind für große Unternehmen verkraftbar, für kleinere Betreiber aber existenziell belastend. Abgestufte Anforderungen je nach Größe und Kapazität fehlen komplett. Vereinfachte Verfahren, kostenlose Mustervorlagen und Tools vom BMI: Fehlanzeige. Auch gestaffelte Übergangsfristen nach Unternehmensgröße gibt es nicht.

    Verhältnismäßigkeit als Leerformel

    Das Gesetz betont ständig, dass Maßnahmen „verhältnismäßig“ sein müssen. Doch was ist verhältnismäßig? Diese Beurteilung bleibt weitgehend dem BMI und letztlich den Gerichten überlassen.

    Unternehmen investieren möglicherweise zu viel aus Angst vor Strafen oder zu wenig aus Unkenntnis. Beide Extreme sind problematisch. Konkrete Leitlinien, was als verhältnismäßig gilt, branchenspezifische Mindeststandards oder Best-Practice-Kataloge fehlen. Klare Aussagen dazu, wann eine Maßnahme unverhältnismäßig ist, sucht man vergeblich.

    Der gleichzeitige Maßnahmen-Overkill

    Der Maßnahmenkatalog ist so umfassend, dass er bei konsequenter Umsetzung enorme Investitionen erfordert. Ein Betreiber soll gleichzeitig in physische Sicherheit, Cybersicherheit, Personalschutz, Lieferkettenmanagement, Notfallplanung und mehr investieren.

    Dies überfordert insbesondere kleinere Einrichtungen. Eine Priorisierung nach Risikobewertung wäre sinnvoll gewesen. Ebenso eine Schritt-für-Schritt-Implementierung über mehrere Jahre statt Gleichzeitigkeit aller Anforderungen. Der Fokus sollte auf den wirklich kritischen Bereichen liegen statt nach dem Gießkannenprinzip zu verfahren.

    4. Meldepflicht bei Sicherheitsvorfällen: 24 Stunden, die niemand hat

    Kritische Einrichtungen müssen Sicherheitsvorfälle unverzüglich an den Bundesminister für Inneres melden. Dies umfasst:

    • Erstmeldung: „Unverzüglich, längstens binnen 24 Stunden“ nach Bekanntwerden
    • Zwischenbericht: Bei Bedarf während der Bewältigung
    • Abschlussbericht: Spätestens zwei Monate nach dem Vorfall

    Diese Informationen sollen anderen Einrichtungen helfen, sich gegen ähnliche Bedrohungen zu wappnen.

    Die praxisferne 24-Stunden-Frist

    In den kritischen ersten 24 Stunden eines schweren Vorfalls muss das gesamte Team an der Behebung arbeiten. Jede Minute zählt. Bei einem Cyberangriff auf ein Kraftwerk ist die Wiederherstellung der Stromversorgung die absolute Priorität. Bei einem Hackerangriff auf ein Krankenhaus geht es um Menschenleben.

    Die Erstellung einer förmlichen Meldung bindet aber Ressourcen, die akut für die Krisenbewältigung gebraucht werden. Die starre 24-Stunden-Frist ignoriert die Realität schwerer Krisen. Gerade die wichtigsten Mitarbeiter, die die Meldung erstellen könnten, werden in der Krisenbewältigung dringend benötigt.

    Praktikablere Lösung wären gestufte Meldepflichten gewesen: Kurze telefonische Erstinfo innerhalb von 24 Stunden. Ausführliche schriftliche Meldung nach Stabilisierung der Lage (z.B. 72 Stunden). Keine Sanktion bei verspäteter Meldung, wenn die Verzögerung der Vorfallsbewältigung diente. Doch das Gesetz kennt keine solche Flexibilität.

    5. Zuverlässigkeitsüberprüfungen: Datenschutz vs. Sicherheit

    Für Personen in besonders sensiblen Positionen können kritische Einrichtungen Zuverlässigkeitsüberprüfungen beim Bundesminister für Inneres beantragen. Dies betrifft Personen mit Zugang zu sicherheitskritischen Bereichen oder sensiblen Informationen.

    Die Überprüfung umfasst:

    • Abfrage polizeilicher Datenbanken
    • Strafregisterauskünfte (inkl. europäisches ECRIS)
    • Identitätsprüfung
    • Weitere sicherheitsrelevante Informationen

    Der dehnbare Begriff „sensible Position“

    Wer genau gehört zu den sensiblen Positionen? Der Kraftwerksleiter sicher. Aber auch der Hausmeister mit Generalschlüssel? Die IT-Administratorin? Der Logistikkoordinator mit Systemzugang? Bei großen Einrichtungen könnten Hunderte Mitarbeiter betroffen sein.

    Das Gesetz bleibt hier vage. Kritische Einrichtungen haben einen weiten Ermessensspielraum, welche Positionen sie als sensibel einstufen. Dies kann zu unterschiedlichen Praktiken und möglicherweise zu übermäßigen Überprüfungen führen.

    Datenschutzrechtliche Bedenken

    Die Eingriffe in die Privatsphäre sind erheblich. Jede Person muss zwar explizit einwilligen, aber faktisch ist dies oft eine Voraussetzung für die Beschäftigung oder Beförderung. Der Zwang zur „freiwilligen“ Einwilligung ist problematisch.

    Das BMI erhält Zugriff auf hochsensible Personendaten und speichert diese. Die Zweckbindung ist zwar gegeben, aber die Datenmenge ist beträchtlich. Bei potenziell Tausenden Überprüfungen pro Jahr entsteht eine umfangreiche Datensammlung über Mitarbeiter kritischer Einrichtungen.

    Strikte Begrenzung auf wirklich kritische Positionen mit klarer, enger Definition wäre angebracht. Ebenso kürzere Speicherfristen und stärkere Rechte der Betroffenen. Eine unabhängige Kontrolle der Datenverarbeitung durch die Datenschutzbehörde ist im Gesetz nicht vorgesehen.

    6. Aufsicht und Kontrolle: Qualifizierte Stellen als neues Geschäftsmodell

    Der Bundesminister für Inneres hat umfangreiche Aufsichtsbefugnisse:

    • Vor-Ort-Inspektionen durchführen
    • Unterlagen einsehen
    • Auskünfte verlangen
    • Bei Nichteinhaltung Maßnahmen anordnen

    Kritische Einrichtungen müssen Audits durch „qualifizierte Stellen“ durchführen lassen. Diese Stellen müssen vom BMI zugelassen werden und strenge Anforderungen erfüllen:

    • Selbst sicherheitsüberprüft sein
    • Nur sicherheitsüberprüftes Personal einsetzen
    • Umfangreiche Sicherheitsvorkehrungen erfüllen
    • Über ein Qualitätssicherungssystem verfügen

    Der neue regulierte Markt

    Das Gesetz schafft einen neuen, hochregulierten Markt für Audits kritischer Einrichtungen. Die Zulassungsvoraussetzungen sind so hoch, dass aktuell kaum Unternehmen sie erfüllen können. Es wird dauern, bis ein funktionierender Markt entsteht.

    Dies führt zu vorhersehbaren Problemen:

    • Hohe Preise durch geringe Konkurrenz in der Anfangsphase
    • Lange Wartezeiten bei wenigen Anbietern
    • Abhängigkeit von wenigen zugelassenen Auditoren
    • Potenzielle Interessenkonflikte (Auditoren wollen Folgeaufträge)

    Fragwürdige Pflicht zur externen Auditierung

    Besonders problematisch: Selbst große, hochprofessionelle Unternehmen mit eigenen Compliance-Abteilungen und internen Auditoren müssen externe Prüfer beauftragen. Ein multinationaler Energiekonzern mit jahrzehntelanger Erfahrung in Sicherheitsfragen wird wie ein kleiner Betreiber behandelt.

    Die Möglichkeit der Selbstauditierung für große, professionelle Einrichtungen bei nachgewiesener Kompetenz wäre eine sinnvolle Differenzierung gewesen. Externe Audits könnten dann stichprobenartig oder bei begründetem Verdacht erfolgen. Stattdessen entsteht ein Zwang zur Beauftragung externer Dienstleister, der primär diesen nutzt.

    7. Sanktionen bei Verstößen: Drakonische Strafen für bürokratische Versäumnisse

    Das Gesetz sieht ein abgestuftes Sanktionsregime vor:

    • Verwaltungsstrafen bis zu 100.000 Euro für schwere Verstöße
    • Bei Stellen der öffentlichen Verwaltung: Veröffentlichung der Nichteinhaltung statt Geldstrafen

    Das Problem der unverhältnismäßigen Höchststrafen

    100.000 Euro pro Einzelverstoß ist eine drakonische Summe. Bei mehreren Verstößen kann die Gesamtsumme explodieren:

    Beispielszenario: Eine Einrichtung meldet drei Sicherheitsvorfälle verspätet (3 x 100.000 Euro), vergisst die jährliche Aktualisierung des Resilienzplans (100.000 Euro) und benennt die Kontaktstelle nach personellem Wechsel nicht rechtzeitig (100.000 Euro). Theoretisch: 500.000 Euro Strafe.

    Diese Strafen stehen in keinem Verhältnis zu bürokratischen Versäumnissen. Sie treffen gerade kleinere Betreiber existenzbedrohend. Ein regionales Stadtwerk kann durch solche Summen in ernsthafte finanzielle Schwierigkeiten geraten.

    Das hohe Strafniveau kann zudem kontraproduktiv wirken. Statt offener Kommunikation und Lernkultur entsteht eine defensive Compliance-Mentalität. Einrichtungen könnten zögern, Vorfälle zu melden, aus Angst vor Sanktionen. Dies widerspricht dem eigentlichen Zweck des Gesetzes.

    Abgestufte Sanktionen mit Verwarnungen für Erstverstoß wären angemessener. Höchststrafen sollten nur für vorsätzliche, schwere Verstöße gelten. Die Berücksichtigung der Unternehmensgröße bei der Strafbemessung fehlt. Ebenso die Möglichkeit zur Strafminderung bei Kooperation und rascher Behebung.

    Der öffentliche Pranger für Behörden

    Bei Nichteinhaltung durch öffentliche Stellen sieht das Gesetz die Veröffentlichung vor. Eine Veröffentlichung kann aber verheerende Reputationsschäden verursachen, die weit über die Schwere des Verstoßes hinausgehen. Bei kritischen Einrichtungen kann dies zudem das Vertrauen der Nutzer erschüttern und sie damit angreifbar machen.

    Es fehlt die Verhältnismäßigkeitsprüfung im Einzelfall. Selbst bei kleinen formalen Verstößen droht der öffentliche Pranger. Dies kann von böswilligen Akteuren ausgenutzt werden, die gezielt veröffentlichte Schwachstellen angreifen. Die Veröffentlichung sollte nur bei schweren, vorsätzlichen Verstößen erfolgen.

    Besondere Regelungen

    Kritische Einrichtungen von europäischer Bedeutung

    Einrichtungen, die wesentliche Dienste für mindestens sechs EU-Mitgliedstaaten erbringen, können als kritisch von besonderer europäischer Bedeutung eingestuft werden. Sie unterliegen zusätzlichen Anforderungen und müssen mit der Europäischen Kommission zusammenarbeiten.

    Ausnahmen für bestimmte Sektoren – teilweise

    Für Einrichtungen in den Sektoren digitale Infrastruktur, Bankwesen und Finanzmarktinfrastrukturen gelten teilweise Ausnahmen, da diese bereits durch andere EU-Vorschriften (wie die NIS-2-Richtlinie oder Finanzmarktregulierung) umfassend reguliert sind.

    Dies ist ein Anfang, aber das Problem der Doppelregulierung ist damit nicht gelöst. Viele andere Einrichtungen unterliegen ebenfalls bereits bestehenden Regulierungsregimen: Krankenhäuser den Gesundheitsbehörden, Kraftwerke der Energie-Regulierung, Bahnbetreiber der Eisenbahnaufsicht.

    Trotz dieser bestehenden Aufsichtsstrukturen schafft das RKEG eine parallele Regulierungsebene. Dieselben Informationen müssen für verschiedene Behörden aufbereitet werden. Dieselben Sicherheitskonzepte werden von unterschiedlichen Stellen geprüft. Eine systematische Koordination fehlt.

    Grenzüberschreitende Zusammenarbeit – auf dem Papier

    Der Bundesminister für Inneres fungiert als zentrale Anlaufstelle für die Zusammenarbeit mit anderen EU-Mitgliedstaaten. Dies ermögliche den Austausch von Informationen über grenzüberschreitende Risiken und Vorfälle.

    Doch die praktische Ausgestaltung bleibt unklar. Viele kritische Infrastrukturen sind physisch grenzüberschreitend: das Stromnetz ist mit Deutschland, Tschechien, der Schweiz, Italien verbunden. Pipelines durchqueren mehrere Staaten. Schienenverkehr endet nicht an der Grenze.

    Was fehlt:

    • Bilaterale Abkommen mit Nachbarstaaten über koordinierte Sicherheitsmaßnahmen
    • Gemeinsame Risikoanalysen für grenzüberschreitende Infrastrukturen
    • Gegenseitige Anerkennung von Audits und Zertifikaten
    • Gemeinsame Krisenübungen und Notfallpläne
    • Klare Zuständigkeiten bei grenzüberschreitenden Vorfällen

    Das Gesetz erwähnt internationale Zusammenarbeit, gestaltet sie aber nicht aus. Die reale Herausforderung grenzüberschreitender Infrastrukturen wird nicht adäquat adressiert.

    Unterstützung oder nur Verpflichtungen?

    Das Gesetz sieht vor, dass der Bundesminister für Inneres kritische Einrichtungen unterstützen soll:

    • Bereitstellung von Informationen über Bedrohungen
    • Schulungen und Sensibilisierungsmaßnahmen
    • Leitlinien und Best Practices
    • Unterstützung bei der Bewältigung von Sicherheitsvorfällen

    Die Realität der Einbahnstraße

    Diese Unterstützungsangebote klingen gut auf dem Papier. In der Praxis zeigt sich aber: Der Informationsfluss geht fast nur in eine Richtung – vom Unternehmen zur Behörde.

    Kritische Einrichtungen müssen Informationen bereitstellen an:

    • Das BMI (laufend und auf Anfrage)
    • Bei grenzüberschreitenden Diensten: andere EU-Staaten
    • Bei Vorfällen: betroffene Nutzer
    • In Audits: qualifizierte Stellen
    • Bei Zuverlässigkeitsüberprüfungen: umfangreiche Personaldetails

    Die versprochene Unterstützung durch das BMI bleibt dagegen vage. Es gibt keine konkreten Verpflichtungen, keine Fristen, keine Qualitätsstandards. Die Formulierungen sind im Konjunktiv oder Passiv gehalten. Das BMI „soll“ unterstützen, „kann“ Informationen bereitstellen.

    Die Informationslast ist zudem erheblich, insbesondere für Einrichtungen, die bereits anderen Meldepflichten unterliegen: NIS-2-Meldungen, Datenschutz-Vorfallsmeldungen, sektorspezifische Berichtspflichten. Die Konsolidierung dieser Meldungen wird nicht vorgesehen. Jede Behörde will ihre eigene Meldung in ihrem Format.

    Kleinere Einrichtungen können auf „vereinfachte Anforderungen“ hoffen, wenn dies verhältnismäßig ist. Doch was das konkret bedeutet, bleibt offen. Es gibt keine Garantie, keine klaren Kriterien, keine verbindlichen Vereinfachungen.

    Finanzielle Auswirkungen: Die Kosten der Resilienz

    Die Rechnung des Bundes

    Die Umsetzung des Gesetzes ist nicht kostenlos. Für die Jahre 2024 bis 2028 rechnet der Bund mit folgenden Nettokosten:

    • 2024: 1,1 Millionen Euro
    • 2025: 7,2 Millionen Euro
    • 2026: 6,9 Millionen Euro
    • 2027: 7,0 Millionen Euro
    • 2028: 7,1 Millionen Euro

    Diese Mittel fließen in den Aufbau der Behördenstrukturen (40 neue Mitarbeiter), die Durchführung von Risikoanalysen, IT-Systeme und die Unterstützung kritischer Einrichtungen.

    Die realistische Rechnung für Unternehmen

    Die Kostenschätzung für betroffene Unternehmen in der Wirkungsfolgenabschätzung ist erschreckend unrealistisch: „mindestens 2,5 Millionen Euro“ Gesamtbelastung pro Jahr. Diese Zahl kann nicht stimmen.

    Realistische Kosten pro kritischer Einrichtung:

    • Externe Risikoanalyse: 15.000-50.000 Euro
    • Resilienzmaßnahmen: 50.000-500.000 Euro (stark abhängig von Ausgangslage und Größe)
    • Audit durch qualifizierte Stelle: 20.000-80.000 Euro jährlich
    • Interne Personalkosten: 0,5-2 Vollzeitäquivalente (50.000-150.000 Euro)
    • Zuverlässigkeitsüberprüfungen: Variable Kosten je nach Mitarbeiteranzahl
    • Laufende Kosten für Updates und Anpassungen

    Durchschnittliche Initialkosten pro Einrichtung: 150.000-500.000 Euro Laufende Kosten pro Jahr: 100.000-300.000 Euro

    Bei 400 Einrichtungen im Durchschnitt sind das:

    • Initialkosten: 60-200 Millionen Euro
    • Laufende Kosten: 40-120 Millionen Euro pro Jahr

    Die tatsächliche Belastung liegt also um den Faktor 15 bis 50 höher als in der offiziellen Schätzung angegeben. Diese Verharmlosung der Kosten ist politisch motiviert, aber gefährlich. Unternehmen und Öffentlichkeit werden über die wahren finanziellen Auswirkungen getäuscht.

    Fehlende finanzielle Unterstützung

    Der Bund plant 7 Millionen Euro jährlich für sich selbst ein, bietet den betroffenen Einrichtungen aber keinerlei finanzielle Unterstützung. Was fehlt:

    • Förderprogramme für die Implementierung von Resilienzmaßnahmen
    • Zuschüsse für kleinere Betreiber
    • Steuerliche Anreize für Investitionen in Sicherheit
    • Ko-Finanzierung von Audits

    Die öffentliche Hand fordert viel, gibt aber nichts zurück. Gerade kleinere kommunale Betreiber (Stadtwerke, Krankenhäuser) stehen vor erheblichen Finanzierungsproblemen. Diese Kosten werden letztlich auf die Verbraucher umgelegt oder gehen zulasten der Versorgungsqualität.

    Verfassungsrechtliche Besonderheiten: Föderalismus vs. Zentralismus

    Das Gesetz enthält Verfassungsbestimmungen, die es dem Bund ermöglichen, auch in Angelegenheiten tätig zu werden, die normalerweise in die Zuständigkeit der Länder fallen würden. Dies ist notwendig, da kritische Infrastrukturen nicht an Ländergrenzen haltmachen.

    Die Kompetenzverschiebung ist massiv: Der Bund kann unmittelbar tätig werden, auch in Angelegenheiten der Länder. Dies durchbricht das föderale Prinzip in einem sensiblen Bereich.

    Immerhin: Bestimmte Änderungen des Gesetzes, die Behörden der Länder betreffen, bedürfen der Zustimmung der Länder. Dies betrifft:

    • Regelungen zu kritischen Einrichtungen im Sektor öffentliche Verwaltung
    • Aufsichts- und Durchsetzungsmaßnahmen gegenüber Landesbehörden
    • Das Sanktionsregime für öffentliche Stellen

    Dies bietet einen gewissen Schutz vor übermäßiger Zentralisierung. Aber die grundsätzliche Machtverschiebung zum Bund bleibt bestehen.

    Zeitplan und Inkrafttreten: Ambitioniert bis unrealistisch

    Das Gesetz soll 2024 in Kraft treten. Es bedarf einer Zweidrittelmehrheit im Nationalrat sowie der Zustimmung des Bundesrates, da es Verfassungsbestimmungen enthält.

    Nach Inkrafttreten haben kritische Einrichtungen Zeit, die neuen Anforderungen umzusetzen. Das Gesetz sieht Übergangsbestimmungen vor, um einen schrittweisen Aufbau der Resilienz zu ermöglichen.

    Die Realität des Zeitdrucks

    Der Zeitplan ist extrem ambitioniert bis unrealistisch:

    Phase 1: Das BMI muss erst die 40 neuen Mitarbeiter rekrutieren und einarbeiten. In Zeiten des Fachkräftemangels kann dies Monate dauern.

    Phase 2: Die IT-Systeme für Meldungen, Verwaltungsverfahren und Datenbanken müssen entwickelt werden. Budget: 500.000 Euro initial plus 125.000 Euro jährlich. Für ein System, das 300-600 Einrichtungen verwalten soll, ist das knapp.

    Phase 3: Die nationale Strategie und Risikoanalyse müssen erstellt werden. Dies erfordert umfangreiche Recherchen, Konsultationen und Analysen.

    Phase 4: Die Durchführungsverordnungen müssen erlassen werden. Sie legen konkret fest, was die vagen Gesetzesformulierungen bedeuten.

    Phase 5: 300-600 Verwaltungsverfahren müssen durchgeführt werden. Mit 40 Mitarbeitern bedeutet das 7,5-15 Verfahren pro Person. Bei der Komplexität der Materie sind das mehrere Monate pro Verfahren.

    Phase 6: Die betroffenen Einrichtungen müssen nach Bescheiderhalt ihre Maßnahmen umsetzen. Risikoanalysen, Resilienzpläne, Personalschulungen, Sicherheitsmaßnahmen, Audits – all das braucht Zeit.

    In der Praxis wird es zu erheblichen Verzögerungen kommen. Einrichtungen schweben lange in Unsicherheit, ob sie betroffen sind. Wenn dann die Bescheide kommen, sind die faktischen Fristen zur Umsetzung kürzer als ursprünglich gedacht.

    Zudem fehlen am Anfang qualifizierte Auditoren. Die wenigen Unternehmen, die die strengen Anforderungen erfüllen, werden von Aufträgen überschwemmt. Wartezeiten von Monaten sind wahrscheinlich. Die ersten Audits werden frühestens 2026 stattfinden können.

    Ein realistischer Zeitplan hätte gestufte Inkrafttreten vorgesehen: Erst Aufbau der Behördenstrukturen, dann Identifikation der Einrichtungen in Wellen, dann schrittweise Umsetzung der Anforderungen nach Priorität. Stattdessen soll alles gleichzeitig passieren.

    Was sonst noch fehlt

    Unklare Haftungsfragen

    Was passiert, wenn eine kritische Einrichtung alle Pflichten erfüllt hat, aber trotzdem ein schwerer Vorfall eintritt? Haftet sie dennoch? Bietet die Erfüllung der gesetzlichen Pflichten einen Haftungsschutz? Das Gesetz schweigt zu diesen zentralen Fragen.

    Fehlende Innovationsanreize

    Das Gesetz ist rein pflichtorientiert. Unternehmen, die über die Mindestanforderungen hinausgehen oder innovative Sicherheitslösungen entwickeln, werden nicht belohnt. Positive Anreize wie Fast-Track-Verfahren, öffentliche Auszeichnungen oder Forschungsförderung für Resilienztechnologien fehlen komplett.

    Mangelhafte Koordination mit anderen Gesetzen

    Die Ausnahmen für NIS-2-erfasste Unternehmen sind ein Anfang, aber die Überschneidungen mit anderen Regulierungen (Datenschutz, Arbeitsschutz, Umweltrecht, branchenspezifische Vorschriften) werden nicht systematisch adressiert. Viele Einrichtungen unterliegen bereits anderen Regulierungsregimen. Das RKEG schafft eine parallele Ebene, ohne zu koordinieren.

    Unzureichende internationale Dimension

    Viele kritische Infrastrukturen sind grenzüberschreitend: Stromnetze, Pipelines, Schienenverkehr. Die internationale Koordination wird zwar erwähnt, aber nicht systematisch ausgestaltet. Bilaterale Abkommen mit Nachbarstaaten, koordinierte Risikoanalysen für grenzüberschreitende Infrastrukturen und gegenseitige Anerkennung von Audits fehlen.

    Fehlende Evaluierung und Sunset-Clause

    Das Gesetz tritt in Kraft und bleibt dann einfach bestehen. Es gibt keine verpflichtende Evaluierung nach einer Erprobungsphase. Bei einem derart einschneidenden, neuen Regulierungsregime wäre eine umfassende Evaluierung nach 3-5 Jahren mit der Option zur Anpassung oder Abschaffung ineffektiver Teile angebracht.

    Fazit: Ein Gesetz zwischen Notwendigkeit und Überforderung

    Das RKEG ist ein ambivalentes Gesetz. Es adressiert reale Bedrohungen: Kritische Infrastrukturen müssen resilienter werden gegen Cyberangriffe, Sabotage, Naturkatastrophen und technisches Versagen. Ein koordinierter, gesamtstaatlicher Ansatz ist sinnvoll und notwendig.

    Die Stärken des Gesetzes

    • Systematischer Ansatz zur Risikoanalyse auf nationaler und betrieblicher Ebene
    • Verpflichtung zu konkreten Resilienzmaßnahmen statt vager Empfehlungen
    • Schaffung einer zentralen Koordinationsstelle für grenzüberschreitende Zusammenarbeit
    • Meldepflichten, die einen Informationsaustausch über Bedrohungen ermöglichen
    • Umsetzung der EU-Richtlinie schafft einheitlichen europäischen Standard

    Die gravierenden Schwächen

    Das Gesetz droht jedoch in bürokratischem Overengineering zu ersticken:

    Machtkonzentration: Das BMI wird zur Superbehörde ohne unabhängige Kontrolle. Es ist Strategieplaner, Ermittler, Überwacher, Richter und Vollstrecker zugleich.

    Fehlende Differenzierung: Große und kleine Einrichtungen werden gleich behandelt, obwohl ihre Ressourcen völlig unterschiedlich sind. Das überfordert kleinere Betreiber.

    Bürokratischer Moloch: 300-600 förmliche Verwaltungsverfahren mit Bescheiden, betreut von 40 neuen Mitarbeitern. Das ist weder effizient noch zielführend.

    Unrealistische Fristen: Die 24-Stunden-Meldefrist ignoriert die Realität schwerer Krisen. Wenn jede Minute zählt, ist eine förmliche Meldung kontraproduktiv.

    Datenschutzprobleme: Umfangreiche Zuverlässigkeitsüberprüfungen ohne klare Grenzen, wer betroffen ist. Das BMI baut eine umfangreiche Datei über Mitarbeiter kritischer Einrichtungen auf.

    Audit-Zwang: Selbst hochprofessionelle Unternehmen müssen externe Auditoren beauftragen. Dies schafft einen neuen regulierten Markt mit vorhersehbaren Problemen: hohe Preise, wenig Konkurrenz, Interessenkonflikte.

    Drakonische Strafen: Bis zu 100.000 Euro pro Einzelverstoß, auch für bürokratische Versäumnisse. Dies schafft Angst statt Kooperation.

    Finanzielle Realitätsverweigerung: Die Kosten werden massiv unterschätzt. Realistische Schätzung: 40-120 Millionen Euro jährlich für die Wirtschaft. Offizielle Schätzung: 2,5 Millionen Euro. Finanzielle Unterstützung: Null.

    Vage Kernbegriffe: Was „verhältnismäßig“ ist, welche Schwellenwerte gelten, wer genau betroffen ist – das bleibt unklar. Rechtsunsicherheit ist vorprogrammiert.

    Die fehlende Balance

    Das Gesetz verliert die Balance zwischen notwendiger Regulierung und praxisnaher Umsetzbarkeit. Es fokussiert auf Aufsicht und Sanktion statt auf Unterstützung und Anreize. Es schafft Bürokratie statt Resilienz.

    Die Gefahr ist real, dass aus einem sinnvollen Anliegen ein Monster wird, das die Ressourcen bindet, die für echte Resilienz benötigt werden. Kritische Einrichtungen werden Geld und Personal für Compliance, Audits und Dokumentation aufwenden müssen – Geld, das für tatsächliche Sicherheitsmaßnahmen fehlt.

    Was jetzt geschehen muss

    Im parlamentarischen Verfahren besteht noch die Chance zur Nachbesserung:

    Sofort notwendig:

    • Konkrete Schwellenwerte für die Einstufung festlegen
    • Differenzierung nach Unternehmensgröße einführen
    • Finanzielle Unterstützungsprogramme schaffen
    • Die 24-Stunden-Meldefrist flexibilisieren
    • Sanktionen auf vorsätzliche Verstöße begrenzen
    • Ausnahmen für Selbstaudits großer professioneller Einrichtungen

    Mittelfristig:

    • Praxisnahe Durchführungsverordnungen mit echter Wirtschaftsbeteiligung
    • Sanfter Start mit Übergangsfristen und Fokus auf Beratung
    • Konsolidierung mit anderen Regulierungen
    • Aufbau eines Dialogs auf Augenhöhe

    Langfristig:

    • Verpflichtende Evaluierung nach 3 Jahren
    • Bereitschaft zur Korrektur ineffektiver Regelungen
    • Shift von Sanktion zu Unterstützung

    Das Urteil

    Das RKEG ist ein notwendiges Gesetz zur falschen Zeit mit den falschen Mitteln. Die Bedrohungslage erfordert Handeln. Aber dieses Gesetz droht mehr Probleme zu schaffen als zu lösen. Es ist zu bürokratisch, zu starr, zu teuer und zu wenig durchdacht.

    Ohne substanzielle Nachbesserungen wird es zum Lehrstück darüber, wie gut gemeinte Regulierung in ihr Gegenteil umschlägt: Statt Resilienz zu schaffen, bindet es die Kräfte, die für echte Widerstandsfähigkeit gebraucht werden.

    Die Frage ist nicht, ob wir kritische Infrastrukturen besser schützen müssen. Die Frage ist, ob dieses Gesetz der richtige Weg ist. Die ehrliche Antwort lautet: Nein, nicht in dieser Form.

  • Chat-Kontrolle – Neu gedacht

    Chat-Kontrolle – Neu gedacht

    Lokales Löschen statt zentraler Meldung: Eine alternative Implementierung der EU-Chatkontrolle?

    Ein technischer Ansatz zur CSAM-Bekämpfung würde bekannte Missbrauchsinhalte clientseitig erkennen und sofort löschen – ohne zentrale Meldung an Behörden. Die rechtliche und technische Analyse zeigt: Auch dieser Ansatz steht vor erheblichen Herausforderungen, könnte aber grundrechtskonformer sein als bisherige Vorschläge.

    Die Europäische Union ringt seit drei Jahren um eine Verordnung zur Bekämpfung von Kindesmissbrauchsmaterial (Child Sexual Abuse Regulation, CSAR). Nach sieben gescheiterten Ratspräsidentschaften und beispielloser Opposition von Kryptographen, Datenschützern und Technologieunternehmen steht am 14. Oktober 2025 die nächste kritische Abstimmung an. Der Kern des Konflikts: Wie lässt sich Kindesmissbrauch wirksam bekämpfen, ohne eine Massenüberwachung von 450 Millionen EU-Bürgern zu etablieren und Ende-zu-Ende-Verschlüsselung zu untergraben?

    Ein alternativer Ansatz rückt in den Fokus: Clientseitiges Scanning mit lokaler Löschung, aber ohne zentrale Meldung. Bekannte CSAM-Hashes würden auf Nutzergeräten oder in Messenger-Apps abgeglichen, Treffer sofort gelöscht – ohne dass Behörden, Anbieter oder Meldestellen involviert werden. Diese Variante unterscheidet sich fundamental von den bisherigen Chat-Control-Vorschlägen. Doch ist sie technisch machbar, rechtlich zulässig und praktisch wirksam?

    Die aktuelle Sackgasse: Warum Chat Control 2.0 scheitert

    Der EU-Kommissionsvorschlag vom Mai 2022 sieht verpflichtende Detection Orders für alle Kommunikationsdienste vor – einschließlich verschlüsselter Messenger wie WhatsApp und Signal. Kompetente Behörden könnten Anbieter zwingen, drei Kategorien von Inhalten zu scannen: bekanntes CSAM (Hash-Matching), neues CSAM (KI-Klassifikatoren) und Grooming (Textanalyse). Gefundene Inhalte müssten an das neu zu gründende EU Centre on Child Sexual Abuse gemeldet werden, das sie an Europol und nationale Strafverfolgungsbehörden weiterleitet.

    Die Kritik ist vernichtend. European Digital Rights (EDRi) bezeichnet Chat Control als „das meistkritisierte EU-Gesetz aller Zeiten“. Im September 2025 unterzeichneten 587 Sicherheitsforscher und Kryptographen aus 34 Ländern einen offenen Brief, der vor „inakzeptabel hohen Falsch-Positiv- und Falsch-Negativ-Raten“ warnt. Signal drohte mit dem Rückzug aus dem EU-Markt. Das eigene Legal Service des Rates stufte Teile des Vorschlags als unverhältnismäßig und grundrechtswidrig ein.

    Drei zentrale Kritikpunkte dominieren: Massenüberwachung ohne VerdachtsmomentUntergrabung von Ende-zu-Ende-Verschlüsselung durch clientseitiges Scanning, und hohe Falsch-Positiv-Raten (Deutschland: 99.375 fälschlich gemeldete Chats/Fotos Unschuldiger 2024, +9% Anstieg). Die dänische Ratspräsidentschaft versucht derzeit einen Kompromiss, der aber im Wesentlichen frühere gescheiterte Ansätze recycelt – inklusive einer umstrittenen Ausnahme für Regierungskonten.

    Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) empfahlen in ihrer gemeinsamen Stellungnahme 04/2022 explizit, Grooming-Erkennung komplett aus dem Vorschlag zu entfernen und wiesen auf massive proportionalitätsprobleme hin.

    Der alternative Ansatz: Lokales Löschen ohne Meldung

    Die hier untersuchte Variante unterscheidet sich in einem entscheidenden Punkt von allen bisherigen Vorschlägen: Keine zentrale Meldung, keine Strafverfolgung, nur lokales Löschen.

    Technische Funktionsweise:

    1. NCMEC (National Center for Missing & Exploited Children) betreibt eine Datenbank mit über 5 Millionen verifizierten Hashes bekannter CSAM-Inhalte (Stand 2023, dreifach verifiziert mit 99,99% Genauigkeit laut Concentrix-Audit)
    2. Diese Hash-Datenbank wird auf Nutzergeräten integriert – entweder in Messenger-Apps oder direkt im mobilen Betriebssystem (iOS, Android)
    3. Vor dem Versenden von Bildern/Videos erstellt das Gerät einen Perceptual Hash des Inhalts
    4. Lokaler Abgleich mit der Datenbank auf dem Gerät
    5. Bei Treffer: Sofortige lokale Löschung der Datei
    6. Kritisch: Kein Report an Apple, Google, Meta, Europol oder nationale Behörden

    Dieser Ansatz vermeidet die drei größten Kritikpunkte an Chat Control: Keine Massenüberwachung durch zentrale Meldestellen, keine falschen Anschuldigungen Unschuldiger durch Behörden, und keine Aufbewahrung sensibler Daten über Nutzer.

    Technische Grundlagen: Perceptual Hashing erklärt

    Der Ansatz basiert auf Perceptual Hashing – fundamentally different from cryptographic hashing wie MD5 oder SHA-256.

    Kryptographische Hashes (MD5/SHA-256):

    • Avalanche-Effekt: Eine Änderung von nur einem Bit erzeugt komplett anderen Hash
    • Exakte Duplikaterkennung
    • Leicht zu umgehen: Größenänderung, Rotation, einzelnes Pixel ändern

    Perceptual Hashing (PhotoDNA, PDQ, NeuralHash):

    • Analysiert visuelle Merkmale: Farbverläufe, Frequenzspektren, Gradienten
    • PhotoDNA-Technik (Microsoft/Dartmouth 2009):
      • Konvertierung zu Graustufen, Normalisierung auf 26×26 Pixel
      • Unterteilung in 6×6-Pixel-Blöcke mit 2-Pixel-Überlappung
      • Berechnung von 4 Gradienten-Summationen pro Block
      • Discrete Cosine Transform (DCT) im Frequenzbereich
      • Erzeugt 144 Hash-Werte → feste digitale Signatur
    • Matching: Hamming-Distanz misst Bit-Unterschiede; Schwellenwert typisch 150-175

    Robustheit (Steinebach 2023, ACM):

    • JPEG-Kompression: ~99% Robustheit
    • Skalierung/Größenänderung: Hoch
    • Farbänderungen: Hoch
    • Cropping: Limitiert – verwundbar bei 2-5% Beschnitt
    • Rotation: Nicht robust

    Behauptete False-Positive-Rate: 1 zu 10-50 Milliarden (Microsoft/ITU-Angaben). Unabhängige Experten wie Dr. Neal Krawetz bezweifeln diese Zahlen als „Mischung aus Evaluation und mathematischen Annahmen“.

    Reale Genauigkeitsprobleme: Was die Zahlen verschweigen

    Die theoretisch extrem niedrigen False-Positive-Raten stehen im Widerspruch zu realen Daten:

    Irland (2020): Nur 20% der NCMEC-Meldungen wurden als tatsächliches CSAM bestätigt – 11,2% waren False Positives.

    Schweiz: 80% der maschinell generierten Meldungen stellten sich als unbegründet heraus.

    Deutschland (BKA 2024): 99.375 Chats/Fotos Unschuldiger fälschlich gemeldet (+9% Zunahme). ~50% aller NCMEC-Reports „nicht strafrechtlich relevant“.

    EU-Kommissarin Johansson (2023): 75% der NCMEC-Reports haben nicht die Qualität, mit der Polizei arbeiten kann.

    Diese Diskrepanz entsteht durch mehrere Faktoren: unterschiedliche nationale Rechtsdefinitionen von CSAM, Qualitätsprobleme bei der Hash-Verifikation, und die Kombination von Hash-Matching mit fehleranfälligeren KI-Klassifikatoren für „neues“ CSAM. Für reines Hash-Matching bekannter Inhalte liegt die Fehlerrate deutlich niedriger – aber selbst bei 1 zu 10 Milliarden produzieren Milliarden täglicher Bilder statistische Fehler.

    Google-Fälle (2022): Zwei Väter fotografierten ihre Söhne für telemedizinische Diagnosen. Googles PhotoDNA/KI-System flaggte die Bilder als CSAM. Polizeiliche Ermittlungen stellten fest: keine Straftat. Google deaktivierte die Accounts trotzdem dauerhaft – Totalverlust von Mails, Fotos, Dokumenten.

    Diese Fälle zeigen: Selbst mit menschlicher Überprüfung führen False Positives zu drastischen Konsequenzen. Bei lokalem Löschen ohne Meldung entfallen diese Konsequenzen – aber auch die Möglichkeit zur Korrektur.

    Client-Side Scanning: Apples gescheitertes Experiment

    Der prominenteste Versuch eines lokalen Scanning-Systems kam von Apple im August 2021. Das Unternehmen wollte NeuralHash zur CSAM-Erkennung auf iOS-Geräten implementieren – ausschließlich für iCloud Photos.

    Technisches Design (hochentwickelt):

    • NeuralHash: Neuronales Netz zur Erzeugung perzeptueller Hashes
    • Private Set Intersection (PSI): Kryptographisches Protokoll verhindert Leak von Non-Matches
    • Threshold Secret Sharing: Verschlüsselungskey nur rekonstruierbar nach mehreren Treffern
    • Device erstellt verschlüsselte „Safety Vouchers“ für jedes Bild
    • Erst nach Überschreiten einer Schwelle (Apple nannte keine Zahl) könnte Apple inner layer entschlüsseln
    • Dann: menschliche Überprüfung → NCMEC-Meldung falls bestätigt

    Der Backlash war massiv. Die akademische Antwort kam im Oktober 2021 mit dem Paper „Bugs in Our Pockets“ – unterzeichnet von Kryptographie-Koryphäen wie Whitfield Diffie, Ronald Rivest, Bruce Schneier, Ross Anderson, Steven Bellovin und anderen. Veröffentlicht im Journal of Cybersecurity (Oxford Academic).

    Kernkritikpunkte:

    1. Slippery Slope: Infrastruktur existiert, Regierungen werden Ausweitung fordern (Terrorismus, Urheberrecht, politische Inhalte)
    2. Datenbank-Manipulation: Angreifer könnten bösartige Hashes einschleusen, um gezielt Individuen zu überwachen
    3. Nicht auditierbar: Nutzer können nicht verifizieren, dass nur CSAM-Hashes in der Datenbank sind (Hashes nicht reversibel)
    4. Hash-Kollisionen: Innerhalb von 3 Wochen demonstrierten Forscher Kollisions-Angriffe auf NeuralHash
    5. Untergräbt Verschlüsselung: Scanning vor Verschlüsselung macht Ende-zu-Ende-Verschlüsselung bedeutungslos
    6. Neue Angriffsfläche: Jedes Gerät wird zur Schwachstelle

    90+ Organisationen (ACLU, EFF, CDT) forderten Rückzug. Signal-Präsidentin Meredith Whittaker: „Hintertüren werden immer ausgenutzt“. Niederländische Geheimdienste warnten, Client-Side Scanning sei eine Bedrohung für nationale Sicherheit.

    Apple zog den Vorschlag im Dezember 2022 zurück. Erik Neuenschwander (Director User Privacy): „Das Scannen jedes privat gespeicherten iCloud-Inhalts würde neue Bedrohungsvektoren für Datendiebe schaffen“ und „die Tür für Massenüberwachung öffnen“. Apple implementierte stattdessen Advanced Data Protection – Ende-zu-Ende-Verschlüsselung für iCloud Backups.

    Rechtliche Einordnung: DSGVO und EU-Grundrechtecharta

    Die entscheidende Frage: Wäre lokales Löschen ohne Meldung rechtlich zulässiger als die aktuellen Chat-Control-Vorschläge?

    DSGVO-Konformität: Komplexe Gemengelage

    Ja, es ist Datenverarbeitung: Auch lokales Scannen und Löschen fällt unter DSGVO Art. 4(2), da Inhalte analysiert werden. Erforderlich ist eine Rechtsgrundlage nach Art. 6(1) – wahrscheinlich durch Gesetz (6(1)(c) oder (e)).

    Transparenzpflichten (Art. 13-14): Nutzer müssen über Verarbeitung informiert werden. Paradox: Nutzer informieren → ermöglicht Umgehung. Nicht informieren → verstößt gegen DSGVO.

    Data Protection by Design (Art. 25): Lokales Löschen ist besser ausgerichtet als zentrale Speicherung, aber Scanning selbst verarbeitet dennoch Daten.

    EU-Grundrechtecharta: Der entscheidende Maßstab

    Art. 7 (Privatsphäre) und Art. 8 (Datenschutz): EDPB-EDPS-Stellungnahme 04/2022 macht klar – auch clientseitiges Scanning „ohne zentrale Meldung stellt einen Eingriff in Art. 7 und 8 dar“.

    „Essence of the Right“-Test (EuGH Schrems C-362/14): „Gesetzgebung, die Behörden auf generalisierter Basis Zugang zu Inhalten elektronischer Kommunikation erlaubt, muss als Kompromittierung des Wesensgehalts des Grundrechts auf Privatsphäre betrachtet werden.“

    Lokales Löschen ohne Meldung vermeidet diese Schwelle möglicherweise, da kein Behördenzugriff erfolgt. Aber: Das EDPB warnt, dass Grooming-Erkennung „den Kern von Art. 7 und 8 berühren könnte“.

    Chilling Effect (Digital Rights Ireland C-293/12): „Die Tatsache, dass Daten aufbewahrt werden, ohne dass Nutzer informiert sind, erzeugt das Gefühl konstanter Überwachung.“ Dies gilt auch für Scanning – selbst ohne Meldung.

    Verhältnismäßigkeitsprüfung nach Art. 52(1) Charta

    Jede Grundrechtseinschränkung muss fünf Kriterien erfüllen:

    1. Gesetzlich vorgesehen: Muss klar, zugänglich, vorhersehbar sein. Aus Tele2/Watson (C-203/15): „hinreichend klar, um Bürgern angemessene Hinweise zu geben, unter welchen Umständen Behörden zu solchen Maßnahmen befugt sind.“

    2. Wesensgehalt achten: Lokales Löschen berührt möglicherweise nicht den Wesensgehalt, da kein Behördenzugriff und keine Speicherung. Aber: Das Scanning selbst greift auf Inhalte zu.

    3. Ziel von allgemeinem Interesse: Kindesmissbrauch bekämpfen ist anerkanntes legitimes Ziel.

    4. Erforderlichkeit: Muss streng notwendig und die am wenigsten eingreifende Maßnahme sein. Aus Tele2/Watson: „Nur das Ziel der Bekämpfung schwerer Kriminalität kann schwerwiegende Eingriffe rechtfertigen.“ Problem für lokales Löschen: EDPB merkt an, dass es „leicht umgangen werden kann durch separate Verschlüsselungs-Apps“. Wenn nicht effektiv, scheitert es am Erforderlichkeitstest.

    5. Verhältnismäßigkeit (stricto sensu): Vorteile müssen Nachteile überwiegen.

    Aus Digital Rights Ireland (para 47): „Der Spielraum des EU-Gesetzgebers kann sich als begrenzt erweisen, abhängig von… der Art des durch die Charta garantierten Rechts.“

    EuGH-Rechtsprechung: Klare rote Linien

    Kernprinzip aus Tele2 und La Quadrature du Net (C-511/18): „Allgemeine und unterschiedslose Speicherungverletzt die Charta.“ „Selbst das Ziel der Bekämpfung schwerer Kriminalität kann… nicht rechtfertigen, dass Gesetzgebung, die allgemeine und unterschiedslose Speicherung vorsieht, als notwendig betrachtet wird.“

    Dieses Prinzip gilt auch für Scanning. Der EuGH unterscheidet wiederholt nicht zwischen „Speicherung“ und „Scanning“ als unterschiedliche Eingriffskategorien – es geht um „allgemeinen und unterschiedslosen Zugriff“ auf Kommunikationsinhalte.

    Ausnahmen (La Quadrature du Net):

    • Gezielte Speicherung bei schwerer Kriminalität
    • Echtzeit-Erfassung bei Verdächtigen schwerer Kriminalität
    • Allgemeine Speicherung von IP-Adressen (weniger eingreifend)

    Impliziert: Maßnahmen, die deutlich weniger eingreifend sind als allgemeine Datenspeicherung, könnten akzeptabel sein. Lokales Löschen könnte hier argumentieren.

    Neueste Entwicklung (La Quadrature du Net II C-470/21, April 2024): Gericht lockerte Standards leicht für IP-Adressen-Speicherung. Zeigt: EuGH bereit, Abstufungen der Eingriffsintensität zu machen.

    Lokales Löschen vs. Meldung: Der entscheidende Unterschied

    LOKALES LÖSCHEN – Vorteile:

    1. Kein Behördenzugriff: Vermeidet EuGH-Bedenken zu „Zugang auf generalisierter Basis“
    2. Keine Datenspeicherung: Kein Retention-Problem wie in Digital Rights Ireland
    3. Keine False-Positive-Konsequenzen: Unschuldige nicht bei Polizei gemeldet
    4. Geringeres Missbrauchsrisiko: Keine zentrale Datenbank für andere Zwecke nutzbar
    5. Weniger Chilling Effect: Keine Strafverfolgungsangst

    LOKALES LÖSCHEN – verbleibende Probleme:

    1. Immer noch „allgemein und unterschiedslos“: Betrifft alle Nutzer ohne individuellen Verdacht
    2. Inhaltsanalyse findet statt: Kommunikationsinhalte werden zugegriffen, analysiert
    3. Effektivitätsfragen: Wenn leicht umgehbar → scheitert an Erforderlichkeit
    4. Untergräbt Verschlüsselung: Erfordert clientseitiges Scanning vor Verschlüsselung
    5. Schwierige Aufsicht: Keine Reports → schwer zu kontrollieren, ob nur CSAM

    MELDUNG AN BEHÖRDEN – zusätzliche Probleme:

    1. Behördenzugriff auf Inhalte: Schrems-Bedenken zu „generalisiertem Zugang“
    2. Datenspeicherung: Reports bei Behörden gespeichert → Digital Rights Ireland
    3. False-Positive-Konsequenzen: Unschuldige polizeilich ermittelt
    4. Strengere Prüfung: Tele2: „Nur schwere Kriminalität rechtfertigt solche Maßnahmen“
    5. Zusätzliche Verfahrensgarantien: EuGH verlangt vorherige richterliche/unabhängige Prüfung für Behördenzugriff

    EDPB-EDPS Stellungnahme 04/2022: Die maßgebliche Einschätzung

    Zu bekanntem CSAM (Hash-Matching): „Derzeit scheinen nur Technologien zur Erkennung bekannten CSAM – d.h. Matching-Technologien mit Hash-Datenbanken – diese Standards generell erfüllen zu können.“ False-Positive-Rate von „nicht mehr als 1 zu 50 Milliarden (0,000000002%).“ Das ist die am ehesten vertretbare Art des Scannings.

    Zu neuem CSAM (KI-Klassifikatoren): „Ernsthafte Zweifel, inwieweit die Verfahrensgarantien… ausreichend sind.“ Technologien „anfällig für Fehler“ mit „relativ hohen Fehlerraten.“

    Zu Grooming (Text/Audio-Scanning): Empfehlung: „Sollte aus dem Vorschlag entfernt werden.“ „De facto allgemeine und unterschiedslose automatisierte Analyse textbasierter Kommunikation… respektiert nicht die Anforderungen von Notwendigkeit und Verhältnismäßigkeit.“ „Könnte sogar den Kern des Grundrechts auf Privatsphäre in Art. 7 berühren.“ „Chilling Effect auf Meinungsfreiheit besonders signifikant.“ Genauigkeitsrate von nur 88% als unzureichend eingestuft.

    Zu Verschlüsselung: „Nichts in der vorgeschlagenen Verordnung sollte als Verbot oder Schwächung von Verschlüsselung interpretiert werden.“ „Jede der Techniken zur Umgehung von E2EE… würde Sicherheitslücken einführen.“

    Council Legal Service: Vernichtendes Urteil

    Laut Medienberichten über die geleakte Stellungnahme des Rechtsdienstes des Rates (Mai 2023):

    • Teile zu clientseitigem Scanning sind „unverhältnismäßig und grundrechtswidrig“
    • Würde wahrscheinlich „allgemeines und unterschiedsloses“ Screening darstellen, entgegen EuGH-Rechtsprechung
    • Verpflichtendes Screening würde „einheitlich und ohne Unterschied für alle“ gelten
    • „Es ist hochwahrscheinlich, dass eine gerichtliche Überprüfung feststellen wird, dass die Screening-Pflichten ‚allgemein und unterschiedslos‘ sind“

    Technische Machbarkeit und Sicherheitsprobleme

    Kann ein OS-Level-Scanner umgangen werden?

    Ja – mühelos. Ana-Maria Cretu (EPFL Center for Digital Trust): „Alle Beweise deuten darauf hin, dass clientseitiges Scanning nicht effektiv wäre zur Erkennung von CSAM bei Vorhandensein von Gegnern.“

    Umgehungsmethoden:

    1. Einfache Bildmanipulation: Leichte Filter, Beschnitt >5%, Rotation, imperceptible Noise
    2. Alternative Kanäle: Apps ohne CSS, Custom-Apps, P2P, Darknet-Foren
    3. Pre-Encryption: Bilder separat verschlüsseln, passwortgeschützte Archive
    4. Modifizierte Clients: Jailbroken/gerootete Geräte, inoffizielle App-Versionen, Open-Source-Alternativen
    5. Steganographie: Inhalte in anderen Dateien verbergen

    Konsequenz: CSS stoppt nur unsophistizierte Akteure, während alle legitimen Nutzer überwacht werden. Tatsächliche Kriminelle – die selbstgehostete Darknet-Foren, verschlüsselte Archive, und Tor nutzen – bleiben unerreichbar.

    Kann CSS für andere Überwachung genutzt werden?

    Ja – das ist die größte Sicherheitsbesorgnis.

    Datenbank-Tainting (Jaap-Henk Hoepman 2023): Demonstrierte Methode, harmlos aussehende Bilder zu erstellen, die CSAM-Fingerprints matchen. Bösartige Entität könnte synthetische CSAM-Bilder bei Abuse Center einreichen. Reales Bild A (kein CSAM) wird so gestaltet, dass es Fingerprint von synthetischem Bild B′ matched. Nutzer mit Bild A wird geflaggt. Ermöglicht gezielte Angriffe auf Individuen.

    Government Pressure – Historische Präzedenzfälle:

    • USA PATRIOT Act Massen-Metadaten-Sammlung
    • NSA PRISM-Programm
    • China: WeChat scannt bereits auf politische Inhalte

    Wahrscheinliche Ausweitung:

    • Terrorismus-Inhalte (bereits in EU Chat Control vorgeschlagen)
    • Urheberrechtsverletzungen
    • „Desinformation“/„Misinformation“
    • Politische Dissidenten-Bilder (Tiananmen-Platz, Dalai Lama in China)
    • LGBTQ+-Inhalte (illegal in 70+ Ländern)
    • Religiöse Inhalte (variiert nach Land)

    Apples ursprüngliche Antwort: „Wir werden solche Forderungen ablehnen.“ Kritiker: Sobald Infrastruktur existiert, wird rechtlich/politischer Druck unwiderstehlich. Technische Fähigkeit = eventueller Einsatzdruck.

    Technische Realität: Von der Perspektive des Systems sind alle Hashes identisch. Keine Möglichkeit, CSAM-Hash von politischem Bild-Hash zu unterscheiden. Nur Policy verhindert Ausweitung, nicht Technologie.

    Auswirkungen auf verschlüsselte Messenger

    Fundamentales Problem: Client-Side Scanning ist inkompatibel mit dem Vertrauensmodell von Ende-zu-Ende-Verschlüsselung.

    Traditional E2EE-Versprechen:

    1. Nur Sender und Empfänger können Nachrichteninhalte lesen
    2. Kein Dritter kann auf Inhalte zugreifen, auch nicht der Dienstanbieter
    3. Inhalt geschützt in Transit und auf Servern
    4. Vertrauensmodell: Nutzer vertraut seinem Gerät und dem Gerät des Korrespondenten

    CSS untergräbt diese Versprechen:

    • Inhalt wird vor Verschlüsselung analysiert
    • Gerät wird zum Gegner des Nutzers
    • Vertrauensgrenze kollabiert
    • Dritte (Dienstanbieter, Regierung) erhalten Zugang zu Inhalt

    Electronic Frontier Foundation (2019): „Obwohl es technisch einige Eigenschaften von Ende-zu-Ende-Verschlüsselung aufrechterhält, würde clientseitiges Scanning die Privatsphären- und Sicherheitsgarantien der Verschlüsselung aushöhlen.“

    Internet Society: „CSS macht den Zweck von Verschlüsselung zunichte, schafft neue Sicherheitsrisiken, und gefährdet die Privatsphäre der Europäer.“

    Signal-Reaktion: Meredith Whittaker drohte mit EU-Marktaustritt. „Verschlüsselung untergraben durch Hintertür-Einführung… ist bewusst eine Schwachstelle einführen, und sie werden immer ausgenutzt.“

    Performance und Update-Zyklen

    Computational Burden:

    • Hash-Generierung für jedes Bild: CPU-Zyklen
    • Datenbankabgleich: Memory-Nutzung
    • Batterieentladung
    • Nutzererfahrungs-Verschlechterung

    Datenbank-Distribution:

    • Größe: 5+ Millionen Hashes – substantieller Speicherbedarf
    • Update-Frequenz: Neue CSAM regelmäßig entdeckt
    • Bandbreite: Milliarden Geräte updaten
    • Sicherheit: Datenbank vor Extraktion/Manipulation schützen

    Kompatibilität:

    • Funktionieren über Gerätegenerationen
    • Verschiedene Prozessor-Fähigkeiten
    • Verschiedene Bildformate

    Vergleich mit bestehenden Systemen

    Status Quo: Server-seitiges Scanning

    Facebook/Meta:

    • Implementierte PhotoDNA 2011
    • Nutzt PhotoDNA und proprietäre PDQ/TMK+PDQF Hashes
    • KI-Klassifikatoren für unbekanntes CSAM
    • Q1 2025: 1,7 Millionen CyberTip-Reports (91-94% aller US-Reports)
    • 97% proaktiv erkannt vor Nutzer-Reports
    • Scanning: Server-seitig nach Upload, vor E2EE (wo angewendet)

    Google:

    • PhotoDNA und CSAI Match API
    • Hash-Matching + Machine Learning
    • Proaktive Erkennungsrate: 99,5% (Bing), 99,9% (andere Dienste)
    • Scanning: Server-seitig

    Microsoft:

    • Bietet PhotoDNA Cloud Service kostenlos an (Azure)
    • Bing, OneDrive, Outlook, Skype, Xbox
    • Proaktive Erkennung >99%
    • Scanning: Server-seitig

    WhatsApp – die kritische Differenz:

    • Ende-zu-Ende-Verschlüsselung: Nur Sender und Empfänger können Nachrichten lesen
    • WhatsApp/Meta hat keine Entschlüsselungskeys
    • Kann scannen: Profilfotos, Gruppenfotos, gemeldete Inhalte (unverschlüsselt)
    • Kann NICHT scannen: Nachrichteninhalte, verschlüsselte Dateien in Chats
    • Sperrt 300.000+ Accounts/Monat für CSAM (basierend auf Metadaten, Profilanalyse, Nutzer-Reports)
    • Trägt deutlich weniger Reports bei als Facebook/Instagram

    Effektivität aktueller Systeme:

    • Hash-Matching für bekanntes CSAM: 95-99%+ Erkennungsrate
    • KI-Klassifikatoren für neues CSAM: Höhere Fehlerraten, noch in Entwicklung
    • Lücke: Kann verschlüsselte Inhalte ohne Nutzer-Reports nicht erkennen

    Freiwillig vs. Verpflichtend

    USA:

    • Verpflichtend: Meldung bei „actual knowledge“ (18 U.S.C. § 2258A)
    • Freiwillig: Scanning/Monitoring
    • Explizit: Anbieter sind NICHT verpflichtet zu „affirmativ suchen, screenen, oder scannen“
    • REPORT Act 2024: Erweiterte Meldepflichten, aber immer noch kein Scanning-Zwang

    EU:

    • Aktuell: Temporäre Derogation erlaubt freiwilliges Scanning bis April 2026
    • Genutzt von: Gmail, Facebook Messenger, Instagram, Skype, Snapchat, iCloud Email, Xbox
    • NICHT genutzt von: WhatsApp, Signal (E2EE-Dienste)
    • Vorgeschlagen: Chat Control 2.0 würde Scanning verpflichtend machen
    • Status: Blockiert im Rat, höchst umstritten

    Lokales Löschen im Vergleich

    Unterschiede zu Server-seitigem Scanning:

    • ❌ Weniger effektiv (leicht umgehbar)
    • ✓ Funktioniert mit E2EE (technisch)
    • ❌ Mehr Sicherheitsrisiken (Gerät = Angriffsfläche)
    • ✓ Keine zentrale Datenspeicherung
    • ❌ Schwieriger zu audieren
    • ✓ Kein Behördenzugriff

    Unterschiede zu Chat Control 2.0:

    • ✓ Keine Meldung an Behörden
    • ✓ Keine False-Positive-Strafverfolgung
    • ❌ Immer noch allgemeine und unterschiedslose Überwachung
    • ✓ Weniger Chilling Effect
    • ❌ Immer noch Scanning aller Nutzer

    Bewertung: Ist lokales Löschen grundrechtskonformer?

    Juristische Einschätzung

    Positiv:

    1. Vermeidet die schärfsten EuGH-Bedenken zu Behördenzugang
    2. Keine Datenspeicherung → besser als Data Retention Directive
    3. Niedrigere False-Positive-Konsequenzen
    4. Bessere Datensparsamkeit
    5. Wenn begrenzt auf bekanntes CSAM (Hash-Matching, nicht KI) und nur visuelle Inhalte → möglicherweise am ehesten vertretbar

    Negativ:

    1. Immer noch „allgemein und unterschiedslos“ → EuGH hat dies wiederholt abgelehnt
    2. Scanning aller Kommunikationsinhalte ohne Verdacht
    3. Effektivität fraglich (EDPB: „leicht umgehbar“)
    4. Untergräbt Verschlüsselung fundamental
    5. Mangel an Aufsicht
    6. Grooming-Erkennung oder neues CSAM (KI) → wahrscheinlich unverhältnismäßig auch ohne Meldung

    Das wahrscheinlichste Urteil

    Eng begrenzte Version könnte vertretbar sein:

    • NUR bekanntes CSAM (Hash-Matching mit extrem niedriger False-Positive-Rate)
    • NUR visuelle Inhalte (Bilder/Videos) – kein Text/Audio
    • Klarer gesetzlicher Rahmen mit starken Garantien
    • Schutz der Verschlüsselung (keine Strafen für E2EE-Beibehaltung)
    • Unabhängige Aufsicht (jährliche Audits)
    • Transparenzberichte (aggregierte Statistiken)
    • Sunset-Klauseln (Maßnahme läuft aus, falls nicht erneuert)
    • Regular Review (Evaluation von Effektivität und Verhältnismäßigkeit)

    Breitere Ansätze wahrscheinlich unverhältnismäßig:

    • Neues CSAM-Erkennung (hohe Fehlerraten)
    • Grooming-Erkennung (EDPB empfiehlt Entfernung)
    • Text/Audio-Scanning (besonders eingreifend)
    • Jeder Ansatz ohne Targeting

    Council Legal Service und EDPB-EDPS Einschätzung deuten darauf hin: Selbst die am meisten begrenzte Form von Client-Side Scanning steht vor ernsthaften rechtlichen Hindernissen unter aktuellem EU-Recht und EuGH-Rechtsprechung.

    Fundamentales Spannungsverhältnis

    Die zentrale Erkenntnis: Lokales Löschen ohne Meldung ist grundrechtskonformer als Ansätze mit zentraler Meldung, aber die grundsätzliche Spannung zwischen „allgemeiner und unterschiedsloser Überwachung“ und EU-Grundrechtsgesetz bleibt bestehen.

    Aus Tele2/Watson: „Die Effektivität des Kampfes gegen schwere Kriminalität kann an sich nicht… allgemeine und unterschiedslose Speicherung rechtfertigen.“

    Diese Logik erstreckt sich auf Scanning. Der EuGH hat eine klare Präferenz für gezielte, verdachtsbasierte Maßnahmen gegenüber generellen, präventiven Massenkontrollen.

    Alternative Ansätze: Was Kritiker vorschlagen

    Zivilgesellschaft, technische Experten und einige Mitgliedstaaten haben grundrechtswahrende Alternativen vorgeschlagen:

    1. Stärkung der Strafverfolgungskapazitäten:

    • Angemessene Ressourcen für Ermittlungseinheiten
    • Fokus auf verdeckte Operationen in Darknet-Foren (wo echte Täter operieren)
    • Internationale Kooperation über Europol verbessern
    • Rückstand bei Verarbeitung existierender Reports reduzieren

    2. Präventionsfokus:

    • Bessere Finanzierung von Präventionsprogrammen
    • Medienkompetenz-Bildung für Kinder
    • Training für Erzieher und Eltern zu Online-Sicherheit
    • Grundursachen von Missbrauch angehen (nicht nur Online-Symptome)

    3. Opferunterstützung:

    • Stabile Finanzierung für Opferunterstützungsorganisationen
    • Schnelle Entfernung von CSAM an der Quelle
    • Unterstützung für Opferrechte ohne Kompromittierung der Privatsphäre aller

    4. Gezielte Maßnahmen:

    • Honeypots: Strafverfolgungs-betriebene Köder-Sites/Profile
    • Gerichtlich angeordnete gezielte Überwachung: Richterlicher Beschluss, Verdacht gegen spezifische Individuen
    • Öffentliches Crawling: EU Centre proaktiv durchsucht öffentlich zugängliche Inhalte (nicht private Nachrichten)
    • Notice and Takedown: Anbieter verpflichten, klar illegalen Inhalt nach Identifizierung zu entfernen

    5. Safety by Design:

    • Starke Meldemechanismen verlangen
    • Altersgerechte Warnsysteme
    • Nutzerkontrollen zur Blockierung unerwünschter Kontakte
    • Bestätigungsprompts vor Teilen persönlicher Informationen
    • Moderation von Hochrisiko-öffentlichen Räumen

    Schlussfolgerung: Ein Dilemma ohne perfekte Lösung

    Der Ansatz „lokales Löschen ohne zentrale Meldung“ repräsentiert einen Versuch, zwischen Kinderschutz-Zielen und digitalen Grundrechten zu vermitteln. Die umfassende Analyse zeigt:

    Vorteile gegenüber Chat Control 2.0:

    • Keine Behörden-Massenüberwachung
    • Keine Strafverfolgung Unschuldiger durch False Positives
    • Keine zentrale Datenspeicherung
    • Geringeres Missbrauchsrisiko
    • Weniger Chilling Effect

    Verbleibende fundamentale Probleme:

    • Immer noch „allgemeine und unterschiedslose“ Überwachung aller Nutzer
    • Scanning von Kommunikationsinhalten ohne Verdachtsmoment
    • Untergräbt Ende-zu-Ende-Verschlüsselung
    • Leicht umgehbar → Effektivitätszweifel
    • Technisch komplexe Implementierung mit Sicherheitsrisiken
    • Slippery-Slope-Risiko (Function Creep zu anderen Inhalten)

    Rechtliche Einordnung: Eine eng begrenzte Implementierung (nur bekanntes CSAM, nur Bilder/Videos, Hash-Matching, starke Garantien) könnte als verhältnismäßiger eingestuft werden als Ansätze mit zentraler Meldung. Aber selbst diese Version würde wahrscheinlich rechtlich angefochten und müsste vom EuGH geprüft werden.

    Technische Realität: Client-Side Scanning schafft neue Sicherheitslücken, die von Kriminellen, feindlichen Staaten und Geheimdiensten ausgenutzt werden können. Die Infrastruktur, einmal etabliert, lässt sich technisch nicht auf CSAM beschränken. Apples Rückzug und die vernichtenden Einschätzungen von 587 Sicherheitsforschern unterstreichen: CSS ist keine privatsphärenwahrende Alternative zu Verschlüsselung brechen – es ist nur eine andere Methode, dasselbe Überwachungsergebnis zu erzielen.

    Politische Realität: Am 14. Oktober 2025 steht die nächste kritische Abstimmung im EU-Rat an. Deutschland ist der entscheidende Swing-Vote. Nach sieben gescheiterten Präsidentschaften und beispielloser Opposition bleibt fraglich, ob überhaupt eine Form von verpflichtendem Client-Side Scanning politisch durchsetzbar ist.

    Die fundamentale Spannung bleibt ungelöst: Wirksamer Kinderschutz vs. digitale Privatsphäre und Sicherheit für 450 Millionen EU-Bürger. Lokales Löschen ohne Meldung mag einige rechtliche und praktische Probleme mildern – aber das Kernproblem der „allgemeinen und unterschiedslosen“ Überwachung, das der EuGH wiederholt abgelehnt hat, besteht fort.

    Wie EDPB-EDPS, Council Legal Service und die „Bugs in Our Pockets“-Autoren übereinstimmend warnen:Selbst technisch raffinierte Client-Side-Scanning-Systeme stehen vor ernsthaften rechtlichen, technischen und gesellschaftlichen Hindernissen unter EU-Grundrechtsschutz. Die Suche nach einer Lösung, die wirksamen Kinderschutz mit Grundrechtswahrung vereinbart, geht weiter.

  • DORA

    Digital Operational Resilience Act

    DORA ist Teil des Digital Financial Packages der EU (https://finance.ec.europa.eu/publications/digital-finance-package_en) das am 24.09.2020 veröffentlicht wurde.
    DORA wird durch die DORA-Verordnung am 17.01.2025 in Kraft gesetzt und gilt für Finanzdienstleister die durch die entsprechenden Regulatoren (in Österreich: FMA, in Deutschland: BAFin) reguliert werden.

    Das generelle Ziel von DORA ist die Resilienz der Unternehmen gegen digitale Vorfällen, seien sie absichtlich oder unabsichtlich herbeigeführt.

    Zentrale Elemente der DORA-Implementierung sind

    • IKT-Risikomanagement
    • IKT-Vorfälle
    • Testen der Digitalen Operativen Resilienz
    • Management des IKT-Lieferanten-Risikos
    • Informationsaustausch und Notfallübungen
    • Überwachung kritischer IKT-Dienstleister (direkte Aufsicht des Regulators über IKT-Anbieter)

    Was ist zu tun?

    Wir beginnen mit der Identifikation der wesentlichen Funktionen im Unternehmen. Das sind jede, die auch direkt von der Aufsicht als wesentlich definiert werden, und regelmäßig geprüft werden. Im Regelwerk werden diese CIF – Critical and Important Functions genannt.

    Für diese definieren wir die Anforderungen an die Verfügbarkeit, Integrität und Vertraulichkeit. Die CIFs hängen im Betrieb von IKT-Systemen ab, und an diese werden die oben definierten Anforderungen übergeben, bei internen System operativ in der Organisation, bei extern betriebenen per SLA an den Service Provider.

    Wir müssen die Einhaltung der Anforderungen regelmäßig überprüfen und auf Abweichungen entsprechend reagieren.

    Die Überprüfung muss angemessen im Rahmen von geeigneten Tests stattfinden und protokolliert werden.

    Was bedeutet das für IKT Provider?

    Es ist entscheidend für die Realisierung und Überprüfung der Anforderungen, dass wir in der Lage sind, die Anforderungen an alle Komponenten der Infrastruktur zu vererben, und operationale Risiken aus der Infrastruktur an den Geschäftsprozess zu übergeben. Dies erfolgt im Rahmen eines Asset-Managements, das nicht nur alle Assets auflistet, sondern auch alle Abhängigkeiten und notwendige Parameter dokumentiert.

    Dies versetzt uns in die Lage, die BCM-Parameter (BCM = Business Continuity Management) an alle Komponenten zu vererben, die geforderten Anforderungen zu implementieren und in Tests nachzuweisen.

    Umgekehrt können wir Vorfälle in den IKT-Systemen direkt den Geschäftsprozessen zuordnen, um eventuell bestehende Berichtspflichten zu erfüllen.