Was erwartet uns 2025: das Wichtigste zu Chatkontrolle, e-wasauchimmer und Cybersecurity

Eine Reihe von digitalen Dauerbrennern begleitet uns seit Jahren. Je nach Windrichtung und politischer Wetterlage brennen sie mal mehr und mal weniger. Und auch wenn 2025 erst ein paar Wochen alt ist: Die Chancen stehen gut, dass wir uns auch dieses Jahr damit auseinandersetzen dürfen.

EU-Chatkontrolle

Ein Dauerbrenner ist die EU-Chatkontrolle, an der sich seit 2022 jeder EU-Ratsvorsitz die Zähne ausgebissen hat, und über die wir hier, hier, hier und hier schon berichtet haben. Verschiedene Anläufe, die Vorlage zur automatischen Erkennung von kinderpornografischem Material in der Internetkommunikation so weit abzuschwächen, dass sie auch für die Kritiker akzeptabel wird, sind bisher gescheitert. Unterdessen gibt es eine ganze Reihe von Staaten, die mit dem Argument «jetzt müssen wir doch einfach mal zustimmen» Druck machen, während die Kritiker nach wie vor zentrale Grundrecht-Verletzungen insbesondere bezüglich der Überwachung von verschlüsselter Kommunikation geltend machen. Weiterhin offen ist auch, ob eine wie auch immer geartete Aufweichung der Verschlüsselung nicht durch den Europäischen Gerichtshof gestoppt wird. Dieser kann allerdings erst aktiv werden, nachdem das Gesetz beschlossen wurde.

Solange sich die EU am Thema nicht einigen kann, gilt weiterhin die Übergangslösung. Diese sieht «nur» ein freiwilliges Scanning durch Kommunikationsdienstleister vor, diese können also mitmachen, müssen aber nicht. Auch wird dabei die End-to-End-Verschlüsselung nicht gebrochen, der Effekt der Übergangslösung ist aus Sicht der Strafermittlungsbehörden entsprechend gering.

Aktuell ist der Ball (d. h. der Ratsvorsitz) bei Polen, welches die Vorlage ablehnt. Zur Lösung des gordischen Knotens schlägt Polen vor, die Übergangslösung gewissermassen als permanente Lösung zu etablieren. Das wirkt auf den ersten Blick positiv. Teil des Vorschlags ist allerdings auch eine Evaluationsregelung. Diese würde der EU-Kommission erlauben, nach drei Jahren zu entscheiden, ob es nun technisch und juristisch doch möglich ist, alle Kommunikation – und damit auch verschlüsselte Kommunikation – zu scannen. Die «harte» Chatüberwachung würde dadurch also nur aufgeschoben, und der Entscheid darüber einer demokratischen Kontrolle weitgehend entzogen.

Sollte Polen mit diesem Vorschlag erneut scheitern, stehen als Nächstes die Ratspräsidentschaften von Zypern und Dänemark an. Beide Länder befürworten eine «harte» Chatüberwachung, man muss daher davon ausgehen, dass sie das Thema entsprechend forcieren werden.

Die Sache mit den Schweizer e-Projekten

Die Schweiz hat in den vergangenen Jahren eine ganze Reihe von politischen E-Projekten erlebt, bei denen das «E» zumindest im ersten Anlauf nicht für «Erfolg» stand.

Im eVoting ist nach dem Neu-Anlauf weitgehend Ruhe eingekehrt. Die Kommunikation mit der Cybersecurity-Community wurde massiv verbessert, die wiederholt stattfindenden Pen- und Intrusiontests erkennen wichtige, aber unspektakuläre Schwachstellen, und der Versuchsbetrieb in verschiedenen Kantonen hat sich bisher bewährt. Unklar ist, wie die weitere Verbreitung von eVoting fortschreiten wird. Aus Sicht Post (als Anbieter) dürfte die bisherige Verwendung klar unter den Erwartungen liegen und vor allem auch aus kommerzieller Sicht kein Erfolg sein. Mittelfristig ist die Post darauf angewiesen, dass weitere Kantone auf den eVoting-Zug aufspringen und allenfalls auch die Mengenbeschränkung der digital abstimmenden BürgerInnen aufgeweicht wird. Weiterhin im Raum stehen Ideen, wonach sich der Bund finanziell stärker an der eVoting-Infrastruktur beteiligen sollte. Und natürlich bleibt offen, ob die Pen- und Intrusiontests weiterhin auf Mitwirkung der Community zählen können, die hierbei ja defacto Gratisarbeit verrichtet.

Auch die E-ID hat einen zweiten Anlauf gebraucht, nachdem der erste Gesetzesvorschlag vom Volk insbesondere wegen des vorgesehenen Einbezuges privater Anbieter abgelehnt wurde. Ebenso wie beim eVoting wurde im zweiten Anlauf vieles besser gemacht (in diesem Fall durch die Bundesverwaltung): Es entstand früh eine Community von interessierten Kreisen, es gab Pilot-Projekte und Diskussionsrunden, und Dokumente und zumindest Teile des Sourcecodes sind unkompliziert zugänglich. Seit Ende 2024 liegt das fertige Gesetz vor. Gegenüber Version 1 deutlich verbessert, aber schlussendlich wie so oft in der Politik ein Kompromiss und daher nicht perfekt. Nicht ganz überraschend hat die Piratenpartei daher das Referendum ergriffen. Unter anderem ist sie der Ansicht, dass keine Garantie besteht, dass Unternehmen die via E-ID gewonnenen Daten nicht weiternutzen, der Sourcecode von kritischen Elementen eben genau nicht veröffentlicht wurde und eine E-ID generell zu einem grösseren Überwachungsrisiko führt. Dass zum Beispiel im Kontext der Alterskontrolle beim Jugendschutzgesetz oder auch bei der Diskussion über ein eCollecting bereits die E-ID als Instrument im Raum steht, lässt zudem Zweifel an der gemäss Gesetz gegebenen Freiwilligkeit aufkommen. Sollte das Referendum die notwendige Unterschriftenzahl erreichen, wird es vom Entscheid der Stimmbürgerinnen abhängen, ob das E von E-ID 2.0 für Erfolg steht.

Definitiv noch mit Version 1.0 (wenn nicht sogar mit Version 0.1) haben wir es beim EPD (dem elektronischen Patientendossier) zu tun. Seit Jahren verfügbar und für viel Geld aufgebaut, führt es weiterhin ein Schattendasein. Alle sanften und weniger sanften Förderungsmassnahmen von Bund und Kantone haben bisher nicht dazu geführt, dass das EPD Fahrt aufnimmt. Zu unklar ist der Nutzen für den einzelnen, zu sperrig ist es in der Anwendung. Und die paar 100’000, welche sich aus Neugier (oder vielleicht sogar Überzeugung) die Mühe genommen haben, einen Zugang einzurichten, sehen primär ein leeres EPD vor sich. Kaum ein Arzt, welcher seine Patientin nach einem allfälligen EPD fragt; kaum ein Spital, welches Berichte auf elektronischem Weg via EPD kommuniziert. Auch ist unklar, ob die Datensicherheit so hoch ist wie versprochen (und aus Datenschutzgründen schlicht notwendig), fanden die meisten Tests doch bisher hinter verschlossenen Türen statt. Die Chance, dass das EPD in der vorliegenden Form noch zu einem Erfolg wird, ist daher eher gering. Zu hoffen ist, dass in Bern und in den Kantonen die Erkenntnis reift, dass es auch an diesem Thema einen zweiten Anlauf benötigt.

Cybersecurity

Cybersecurity ist seit Jahren ein Dauerbrenner, das Thema wird uns auch 2025 begleiten und für Überraschungen und unerwartete Einblicke sorgen.

• Ransomware-Angriffe werden auch 2025 die eine oder andere Unternehmung lahmlegen und dazu führen, dass deren Daten im Internet frei zugänglich sein werden. Zwar ist das Bewusstsein für die Gefahr in letzter Zeit durch die diversen Vorfälle gestiegen, und das Zerschlagen prominenter Ransomware-Gruppen durch Ermittlungsbehörden wird auch Wirkung zeigen. Aber die Möglichkeiten für Angriffe sind nach wie vor zahlreich, und es gibt genügend Gruppen, welche das aus idealistischen, finanziellen und/oder politischen Gründen ausnutzen werden. Aus Schweizer Sicht spannend wird der Bericht sein, den der Bundesrat aufgrund des Postulats Handhabung der weiteren Verwendung illegal erworbener Daten veröffentlichen wird. Dieses fordert de facto die Strafbarkeit der Veröffentlichung von einst rechtswidrig erhaltener oder erworbener Personen- oder anderer sensibler Daten (also etwa die journalistische Aufarbeitung von durch Hacker offengelegten Daten).
• Auch Cyberattacken auf öffentliche Einrichtungen und Infrastrukturen werden 2025 nicht von der Bildfläche verschwinden. Teilweise überlappen sich diese mit den schon erwähnten Ransomware-Angriffen, teilweise werden es aber schlicht DDOS-Attacken sein, mit welchen Webseiten etc. zeitweise lahmgelegt werden. Bekannt sind letztere ja aus den letzten Jahren, in denen insbesondere während parlamentarischer Beratungen mit Russland-Bezug oder während der Bürgenstock-Konferenz wichtige Schweizer Webseiten lahmgelegt wurden.
• Weitgehend unbemerkt von den Nutzerinnen und Nutzern wird das Datensammeln durch Smartphone-Apps ungebremst weitergehen. Zwar versuchen iOS und (zu einem geringeren Masse) Android, dem allzu aggressiven Ausspähen via Apps einen Riegel zu schieben. Aber die Möglichkeiten zur Datensammlung sind schlicht zu gross, als dass dies abschliessend möglich wäre. Kommt hinzu, dass zumindest im Fall von Android der Hersteller selbst von Werbung und Datensammlung lebt und so kaum daran interessiert ist, diese Geldquelle abzustellen. So werden wir auch 2025 von Datensammlungen mit Bewegungsprofilen lesen, und von Strafermittlungsbehörden, welche sich die Daten kaufen, welche sie rechtlich gesehen nicht selbst erheben dürfen. Und zumindest in den USA dürfte in der Trump-Ära die Brisanz von Daten zunehmen, welche etwa den Aufenthalt in einer Abtreibungsklinik belegen.
• Und während das Märchen der Killer-Zahnbürsten auch 2025 ein solches bleiben wird, führt die wachsende Verbreitung von IoT-Geräten zu einem realen Problem für deren Nutzerinnen und Nutzer. Nicht nur ist es um die IT-Sicherheit dieser Geräte an sich schlecht bestellt, insbesondere IoT-Geräte der ersten Stunde lassen sich oft auch gar nicht erst aktualisieren (wobei das bei heute erhältlichen teilweise auch nicht besser ist). Und da solche IoT-Geräte wie «smarte» Lampen, internetfähige Backöfen und Staubsauger-Roboter meist eingeschaltet und vergessen werden, steigt mit wachsender Verbreitung und zunehmendem Alter auch das Risiko, dass sie angegriffen werden. Und wer denkt beim Entsorgen eines IoT-Geräts schon daran, die darin abgespeicherten Zugangsdaten zum eigenen WLAN zu löschen (so das überhaupt möglich ist). Das muss dann nicht unbedingt zu Zahnbürsten-gestützten DDoS-Attacken führen, aber auch ein Blockieren von Backöfen hat das Potenzial, für erhebliche Unruhe zu sorgen. Und um zum Schluss nochmals den Bogen zur Politik zu schlagen: Die Umsetzung der Motion Durchführung dringend notwendiger Cybersicherheitsprüfungen könnte die Situation verbessern. Bis diese zu neuen Gesetzen und obligatorischen Prüfungen führt, werden aber noch ein paar Jahre ins Land gehen.