Behörden fragen öfter als jede Sekunde, wem eine Telefonnummer gehört

Original Artikel

Staatliche Stellen haben letztes Jahr über 35 Millionen Mal abgefragt, wem eine Telefonnummer gehört. Diese Abfragen haben sich innerhalb von fünf Jahren verdoppelt. Auch Inhaber von IP-Adressen werden abgefragt, laut Telekom vor allem wegen Urheberrechtsverletzungen.

Wem gehört eine Telefonnummer? Das können 135 staatliche Stellen von 142 Telekommunikations-Unternehmen erfahren, ohne dass die betroffenen Firmen oder Kunden davon etwas mitbekommen.

Dieses automatisierte Auskunftsverfahren wird von der Bundesnetzagentur betrieben und ist auch als „Behördentelefonbuch“ oder Bestandsdatenauskunft bekannt.

Die Bundesnetzagentur veröffentlicht darüber jährliche Statistiken, neben einem Absatz im aktuellen Jahresbericht auch auf der Webseite:

Im Jahr 2025 wurden insgesamt ca. 35,11 Mio. Ersuchen über das Automatisierte Auskunftsverfahren bei der Bundesnetzagentur beantwortet.

Wir haben die Zahlen wie jedes Jahr aufbereitet und visualisiert.

Wem gehören 35 Millionen Telefonnummern?

Deutsche Behörden haben im letzten Jahr über 35 Millionen Mal gefragt, wer eine Telefonnummer registriert hat.

Staatliche Stellen wie Polizei, Geheimdienste und Zoll haben also im Schnitt fast jede Sekunde einen Datensatz mit Name, Anschrift und weiteren Bestandsdaten erhalten. Das ist ein neues Allzeithoch.

Diese nummernbasierten Ersuchen haben sich innerhalb von fünf Jahren verdoppelt.

Welche Telefonnummern gehören dieser Person?

Die Auskunft geht auch anders herum: Welche Telefonnummern gehören einer Person?

Diese personenbasierten Ersuchen wurden 340.813 Mal gestellt. Das ist etwa eine Abfrage alle anderthalb Minuten.

Diese Abfragen nahmen wieder zu.

Registrierungspflicht für SIM-Karten

In vielen Staaten der Welt kann man Internet per WLAN und Mobilfunk auch ohne Identifizierung nutzen, darunter USA und Kanada, Großbritannien und Tschechien. Das Bundesamt für Sicherheit in der Informationstechnik hatte jahrelang die „Verwendung von Prepaid-Karten zur Anonymisierung“ empfohlen.

Seit einem Anti-Terror-Gesetz von 2016 müssen Prepaid-SIM-Karten in Deutschland mit einem amtlichen Ausweisdokument registriert werden. Das sind genau die Daten, die jede Sekunde abgefragt werden.

Damals sagte uns das CDU-geführte Innenministerium, dass es „keine allgemeine Pflicht zur nachträglichen Überprüfung bereits erhobener Bestandsdaten“ gibt.

Bundesnetzagentur kontrolliert Daten

Diese Zusage gilt jetzt nicht mehr. Sicherheitsbehörden beklagen, dass manche Daten eine „mangelhafte Datenqualität“ hätten, also Anschlüsse auf ein Pseudonym registriert sind. Deshalb hat die Bundesnetzagentur Auslegungshinweise zum Gesetz „erweitert und fortentwickelt“. Auf einem „Compliance Gipfel“ diskutieren Branchenvertreter und berechtigte Stellen „Lösungsansätze zur Verbesserung der Datenqualität“.

Dieses Jahr will die Bundesnetzagentur die „Vorgaben für Identifizierungsverfahren im Prepaid-Mobilfunksektor“ überarbeiten. Nach der Novellierung des Telekommunikationsgesetzes will die Bundesnetzagentur die Kundendatenauskunftsverordnung und die Technische Richtlinie für das Auskunftsverfahren überarbeiten.

Wer keinen Personalausweis vorlegt, verliert den Mobilfunk-Anschluss.

Keine Transparenz zu IP-Adressen

Seit 2013 können Behörden neben Telefonnummern auch Internetdaten wie IP-Adressen und E‑Mail-Postfächer als Bestandsdaten abfragen. Damit erfahren sie, wem eine IP-Adresse zugewiesen ist oder welche IP-Adressen eine Zielperson nutzt – ebenfalls ohne Richterbeschluss.

Zu diesen Abfragen gibt es leider keine Statistiken, weil die Behörden direkt bei den Internet-Zugangs-Anbietern anfragen. Die Bundesnetzagentur könnte diese Statistiken erheben und veröffentlichen. Doch dazu fehlt der politische Wille – aller Bundesregierungen.

Die Deutsche Telekom veröffentlicht freiwillig einige Zahlen in ihrem Transparenzbericht. Demnach haben Behörden in über 53.000 Fällen Bestandsdaten durch manuelle Abfragen erhalten. Dazu kommen mehr als 217.000 Abfragen zu Inhabern von IP-Adressen bei mutmaßlichen Urheberrechtsverletzungen im Internet.

Digitaler Überwachungsstaat noch vor dem Sommer?

Aufruf zum breiten Widerstand gegen die Überwachungs-Gesetze der Bundesregierung

Die massiven Grundrechtseinschränkungen, die mit den erweiterten digitalen Ermittlungsbefugnissen und der Änderung der Strafprozessordnung kommen sollen, könnten nun als besonders eilbedürftig noch vor dem Sommer beschlossen werden. An den Bundesrat gingen angeblich am 1. Mai bereits die Drucksachen für die drei Gesetzesentwürfe. Nun sind sie öffentlch einsehbar und der Bundesrat ist angehalten, bis zum 12.6. Stellung zu beziehen. Die Innen- und Rechtsausschüsse beschäftigen sich am 27. und 28. Mai damit. Warum jetzt so schnell?

Hier zum ganzen Artikel

Möglicher Datenkauf in der Grauzone

Kaufen deutsche Sicherheitsbehörden Standortdaten von Datenhändlern? Ein Bundestagsgutachten sieht Hinweise darauf, die Bundesregierung will es nicht ausschließen. Experten halten solche Käufe für rechtswidrig.

Original Artikel

Wer am Handy spielt oder das Wetter checkt, dessen persönliche Daten könnten womöglich bei deutschen Nachrichtendiensten oder Strafverfolgungsbehörden landen. Nach Recherchen von BR und netzpolitik.org könnten deutsche Sicherheitsbehörden Daten von Smartphone-Nutzern bei Datenhändlern kaufen, darunter metergenaue Standortdaten, mit denen sich Menschen ausspionieren lassen.

Die Bundesregierung schließt explizit nicht aus, dass der Bezug solcher personenbezogenen Daten von Datenhändlern angemessen sein kann. Dies müsse im Einzelfall unter Berücksichtigung der jeweiligen Rechtslage geprüft werden, heißt es in einer bislang unveröffentlichten Antwort auf eine Kleine Anfrage der Bundestagsabgeordneten Donata Vogtschmidt (Die Linke), die BR und netzpolitik.org vorliegt.

Bundestagsgutachten sieht Indizien für Datenkauf

Laut einem ebenfalls noch unveröffentlichten Gutachten des Wissenschaftlichen Dienstes des Bundestags, das auch von Linken-Politikerin Vogtschmidt in Auftrag gegeben wurde, gibt es Indizien, die nahelegen, „dass die Praxis kein Ausnahmephänomen darstellt, sondern zunehmend Teil des behördlichen Informationsmanagements wird“. Aus anderen Staaten, wie den USA und den Niederlanden, sei bereits bekannt, dass Sicherheitsbehörden Daten aus kommerziellen Datenbanken kaufen.

Ob und inwiefern deutsche Nachrichtendienste und Sicherheitsbehörden wie das Bundeskriminalamt oder die Bundespolizei tatsächlich solche Daten von Datenhändlern beziehen und einsetzen, lässt die Bundesregierung in ihrer Antwort „aus Gründen des Staatswohls“ offen: Täter könnten ihr Verhalten anpassen und „feindliche Mächte“ Abwehrstrategien entwickeln, was einen erheblichen Nachteil für die Sicherheitsinteressen Deutschlands bedeuten würde.

Unbeteiligte betroffen?

Aus Sicht der Bundesregierung seien kommerziell gehandelte personenbezogene Daten als Informationen aus allgemein zugänglichen Quellen einzustufen. Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider teilt hierzu auf Anfrage mit: „Auch öffentlich zugängliche Daten unterliegen den Gesetzen zum Daten- und Persönlichkeitsschutz.“

Sicherheitsbehörden dürften nur dann personenbezogene Daten verarbeiten, wenn diese Datenverarbeitung zur jeweiligen Auftragserfüllung erforderlich sei: „Im Fall von angekauften Werbedaten wäre anzunehmen, dass massenhaft unbeteiligte Personen betroffen sein könnten.“

Rechtsexperte: „Eindeutig rechtswidrig“

Mark Zöller, Professor für Strafrecht und Digitalisierung an der Ludwig-Maximilians-Universität München hält einen möglichen Kauf solcher Daten durch deutsche Sicherheitsbehörden für „eindeutig rechtswidrig“. Es gebe keine Rechtsgrundlage dafür: „Weder für das Bundeskriminalamt noch für die Bundespolizei noch für die Nachrichtendienste oder auch die Strafverfolgungsbehörden.“

Zu einem ähnlichen Schluss kommt auch die Bundesdatenschutzbeauftragte auf Anfrage: „Der Ankauf und die Nutzung dieser Daten insbesondere im Fall einer Zusammenführung mit anderen Datenquellen durch Sicherheitsbehörden bedarf spezieller gesetzlicher Regelungen, welche für die Sicherheitsbehörden bisher nicht bestehen.“ Auch das Bundestagsgutachten nennt keine eindeutige Rechtsgrundlage.

Nachrichtendienste könnten Kontrollen umgehen

Dem Gutachten zufolge könnten die Nachrichtendienste durch einen Ankauf von Werbedaten an Informationen gelangen, „die sie im Wege einer Überwachung nicht selbst erheben dürften“. Kontrollinstanzen könnten so umgangen werden, sagt der Politikwissenschaftler Thorsten Wetzling von der Denkfabrik Interface, der zum Ankauf von Werbedaten durch Nachrichtendienste forscht.

„Nachrichtendienste können hier walten, ohne dass das Gesetz einen klaren Handlungsrahmen vorschreibt und ohne, dass die Kontrollorgane ihnen bei der Informationsbeschaffung auf die Finger gucken“, so Wetzling. Der Bundesnachrichtendienst teilt auf Anfrage mit, man nehme zu etwaigen nachrichtendienstlichen Erkenntnissen oder Tätigkeiten grundsätzlich nicht öffentlich Stellung. Das Bundesinnenministerium hat sich auf Anfrage nicht geäußert.

Linken-Politikerin fordert Transparenz

Die Linken-Abgeordnete Vogtschmidt sagt im Interview mit BR und netzpolitik.org: „Ich lehne es ab, dass Sicherheitsbehörden den vor Datenschutzverletzungen strotzenden Handel mit Werbedatenbanken anheizen, und fordere einen gesetzlichen Riegel davor.“

Es sei „absolut nicht hinnehmbar“, dass die Bundesregierung die Öffentlichkeit im Unklaren darüber lasse, ob und in welcher Form Sicherheitsbehörden persönliche Daten einkaufen, die die Menschen vermeintlich freiwillig für Werbezwecke freigegeben haben.

Recherchen von BR und netzpolitik.org hatten das Ausmaß des globalen Handels mit sensiblen Daten aus Smartphone-Apps gezeigt. Aus den Daten, die dem Rechercheteam vorliegen, lassen sich teils detaillierte Bewegungsprofile von Millionen Menschen aus mehr als 100 Ländern rekonstruieren, wie etwa Wohn- und Arbeitsorte, Freizeitverhalten oder Arztbesuche.

Datenschützer halten diesen Handel mit Daten von EU-Bürgern für rechtswidrig, da persönliche Daten nur für ganz konkrete Zwecke verarbeitet werden dürfen und App-Nutzer dem unkontrollierten Handel nicht ausdrücklich zugestimmt haben.

Hessen: Verfassungsschutz darf Staatstrojaner für Online-Durchsuchung einsetzen

Original Artikel hier.

Karlsruhe kippte das hessische Verfassungsschutzgesetz teils. Der Landtag hat eine Reform beschlossen, die dem Geheimdienst neue, weitgehende Befugnisse gibt.

Dieser Gesetzgebungsprozess stand unter besonderer Beobachtung, nachdem das Bundesverfassungsgericht 2024 den hessischen Gesetzgeber zu weitreichenden Nachbesserungen zwang. Vorige Woche hat der hessische Landtag nun in Wiesbaden die Novelle des Verfassungsschutzgesetzes (HVSG) mit der Mehrheit der schwarz-roten Koalition verabschiedet. Die Initiative, die Innenminister Roman Poseck (CDU) als „Meilenstein“ bezeichnet, stattet das Landesamt für Verfassungsschutz (LfV) mit tiefgreifenden digitalen Befugnissen aus.

Allen voran steht die Möglichkeit zu heimlichen Online-Durchsuchungen und zur Quellen-Telekommunikationsüberwachung mithilfe von Staatstrojanern. Kernstück der technischen Aufrüstung ist der neu gefasste Paragraf 7a. Er erlaubt dem Geheimdienst den verdeckten Zugriff auf IT-Systeme wie Computer, Smartphones und Tablets. Poseck begründete das damit, dass Extremisten die Möglichkeiten des digitalen Raums zur Vernetzung nutzten und die Behörden ihnen „auf Augenhöhe“ begegnen müssten.

Mehr Bedingungen für Zugriffsrecht

Technisch bedeutet die neue Norm, dass das LfV Sicherheitslücken ausnutzen darf, um Schadsoftware auf die Geräte von Zielpersonen aufzuspielen. Das Gesetz erlaubt dabei ausdrücklich, nicht nur Zugangsdaten zu erheben, sondern auch bereits verarbeitete Informationen auszuleiten. Um den verfassungsrechtlichen Vorgaben aus Karlsruhe zu genügen, hat der Gesetzgeber diese Maßnahme an Bedingungen geknüpft.

Der Hessentrojaner soll laut Poseck nur als „Ultima Ratio“ genutzt werden, wenn die Sachverhaltsaufklärung etwa durch die Polizei mit ihrer umstrittenen einschlägigen Befugnis anders nicht möglich ist. Zudem muss eine „konkretisierte Gefahr“ für hochrangige Rechtsgüter wie den Bestand des Bundes oder das Leben einer Person vorliegen.

Flankiert wird der tiefe Eingriff durch Verfahrensvorschriften in Paragraf 8. Der Einsatz der Spionagesoftware steht demnach unter Richtervorbehalt. Die Anordnung ist auf maximal einen Monat befristet, kann aber verlängert werden. Die am Zielsystem vorgenommenen Veränderungen müssen auf das Unerlässliche beschränkt bleiben und sollen bei Beendigung der Maßnahme „soweit technisch möglich automatisiert rückgängig gemacht werden“.

Die Reform sieht in Paragraf 16 vor, dass Daten über Personen unter 14 Jahren gespeichert werden dürfen, wenn tatsächliche Anhaltspunkte für schwere Straftaten vorliegen. Paragraf 24 regelt den Minderjährigenschutz bei der Datenübermittlung. Solange die strengen Speichervoraussetzungen erfüllt sind, dürfen diese Informationen auch an Dritte weitergeleitet werden. Fällt der Verdacht weg, ist eine Weitergabe nur zur Abwehr erheblicher Gefahren zulässig. Daten von Minderjährigen dürfen zudem grundsätzlich nicht an ausländische Stellen übermittelt werden.

Sachsen will anlasslos mit Drohnen in fahrende Autos filmen

Original Artikel: https://netzpolitik.org/2025/novelle-des-polizeigesetzes-sachsen-will-anlasslos-mit-drohnen-in-fahrende-autos-filmen/

Die sächsische Polizei soll Menschen, die beim Autofahren ihr Handy bedienen, mit Drohnen jagen. Doch das ist nur ein Hammer im Polizeigesetz-Entwurf: Die Polizei soll in Zukunft auch Verhaltensscanner, Palantir-Datenanalyse, Live-Gesichtserkennung, Gesichter-Suchmaschinen und Staatstrojaner nutzen dürfen.

Menschen, die ein Auto steuern, dürfen nicht gleichzeitig elektronische Geräte in der Hand halten, die zur Kommunikation, Information oder Organisation dienen. Wer dabei erwischt wird, wie er beim Autofahren auf ein Telefon tippt, muss 100 Euro zahlen und kassiert einen Punkt im Flensburger Fahreignungsregister. Baut man tippend einen Unfall, drohen 200 Euro Strafe und ein Monat Fahrverbot. Handy am Steuer ist eine Ordnungswidrigkeit.

In Sachsen nimmt man sie sehr ernst. Dort soll die Polizei künftig mit Drohnen in vorbeifahrende Autos filmen, um Handy-Sünder zu jagen. Jede Polizeidirektion soll ein dazu geeignetes, fliegendes Überwachungssystem bekommen, so die Begründung des Entwurfs eines neuen Polizeigesetzes. Die Bilder können – wenn sie Tatverdächtige erfassen – mit Kennzeichen, Ort, Zeit und Fahrtrichtung gespeichert werden. Das anlasslose Filmen von Einzelpersonen in ihrer mindestens gefühlt privaten Umgebung ist ein erheblicher Grundrechtseingriff.

Ob die Videobilder händisch geprüft werden, oder von einer Software nach der Kombination „Hand+Handy“ durchforstet, ist im Gesetzentwurf nicht definiert, doch in Rheinland-Pfalz wird schon seit Jahren ein System genutzt, das von Brücken aus in Autos filmt und Telefon-Nutzer*innen automatisiert identifiziert. Die Technik wäre also da.

Viele Verschärfungen im neuen Polizeigesetz

Der Polizeigesetz-Entwurf, der die Handy-Sünder-Drohnen einführen soll, ist ein ziemlicher Hammer. Die sächsische schwarz-rote Minderheitsregierung will damit auch den Einsatz von Staatstrojanern legalisieren und den Einsatz von Software ermöglichen, die Daten zusammenführt und automatisch analysiert, wie es Produkte des Unternehmens Palantir tun.

Daten-Analyse-Plattformen, aber auch andere privatwirtschaftliche IT-Produkte wie zum Beispiel Gesichter-Suchmaschinen darf die Polizei künftig mit personenbezogenen Daten trainieren und testen, dafür die Daten auch an Dritte weiterleiten. Neben den Daten von Beschuldigten darf sie dabei auch die Daten von Opfern und Zeug*innen speichern und verarbeiten. Teils im gleichen Wortlaut haben zuvor bereits Hamburg und Baden-Württemberg ihren Polizeien KI-Training erlaubt. Am Mittwoch soll ein entsprechendes Gesetz in NRW verabschiedet werden.

Die sächsische Landesregierung will mit ihrem neuen Polizeigesetz die ganze Bandbreite automatisierter Bildanalyse erlauben: Die sächsische Polizei darf demnach künftig Verhaltensscanner einsetzen, also Kameras, die mit Programmen verknüpft sind, die menschliche Bewegungsmuster kategorisieren. Die Technologie wird in Mannheim und mittlerweile auch in Hamburg erprobt, ist jedoch bislang fern der Marktreife.

Sachsen will Live-Gesichtserkennung

Auch Programme, die in Videobildern Waffen finden, sollen in Sachsen künftig genutzt werden. Zudem ist angedacht, mutmaßlich bewaffnete Menschen über mehrere Kameras hinweg automatisiert verfolgen zu können. Zur Gefahrenabwehr und Suche nach Vermissten ist dem Gesetzentwurf nach auch eine automatisierte biometrische Fern-Identifikation von Gesichtern anhand von Polizeidatenbanken möglich, wie sie im Frankfurter Bahnhofsviertel erprobt wird. Der sächsischen Polizei soll es künftig auch erlaubt sein, das Internet nach den Gesichtern von Menschen zu durchsuchen, von denen sie bereits Fotos vorliegen hat – um so beispielsweise die Identität der Gesuchten festzustellen.

Die automatischen Kennzeichenlesegeräte, die die sächsische Polizei zuvor probeweise einsetzen durfte, sollen nun dauerhaft im Gesetz festgeschrieben werden. Das Polizeigesetz wird zudem um den Begriff der Vorfeldstraftat erweitert – damit erhält die Polizei teils weitreichende Befugnisse, wenn sie glaubt, der Vorbereitung einer Straftat auf der Spur zu sein. Dem Entwurf nach können künftig auch Kontakt- und Begleitpersonen von potenziellen Straftäter*innen zur Fahndung ausgeschrieben werden. Und die sächsische Polizei soll Telefon- und Datenverbindungen kappen, ja ganze Funkzellen zusammenbrechen lassen dürfen.

Als Minderheitsregierung braucht die schwarz-rote Koalition zur Verabschiedung des Entwurfs die Stimmen aus der Opposition, von BSW, Grünen, Linken oder auch der AfD. Ministerpräsident Michael Kretschmer, CDU, schließt eine Zusammenarbeit mit der Partei nicht aus.

Anzeige wegen Meme: „Es zeigt, zu welchen Mitteln Staat und Bundeswehr greifen“

Original Artikel: https://perspektive-online.net/2025/10/anzeige-wegen-meme-es-zeigt-zu-welchen-mitteln-staat-und-bundeswehr-greifen/

Bentik, Du bist auf ein Gymnasium in Freiburg gegangen und wirst nun wegen eines Instagram-Beitrags angeklagt. Kannst du uns berichten, wie es überhaupt dazu kam?

Ja, Anfang Februar dieses Jahres hat meine Schule einen sogenannten Jugendoffizier der Bundeswehr zu einer Veranstaltung eingeladen, bei der unter dem Motto „Demokratie verteidigen“ für die Bundeswehr geworben werden sollte. In einer Schüler:innenzeitung wurde daraufhin zum Protest gegen den Besuch der Bundeswehr an unserer Schule aufgerufen. Beim tatsächlichen Besuch des Jugendoffiziers ist dann zwar nichts passiert, doch im Nachgang wurde auf dem Instagram-Account dieser Schüler:innenzeitung ein Meme gepostet, das sich kritisch gegenüber Aufrüstung und dem Auftreten der Bundeswehr an Schulen äußerte.

Offenbar kam dieses Meme nicht gut bei der Bundeswehr an – jedenfalls lag ein paar Wochen später ein gelber Brief in meinem Briefkasten und ich wurde zur Polizei vorgeladen. Durch Akteneinsicht wissen wir inzwischen, dass versucht wurde, den Standort des Handys zu ermitteln, von dem aus das Meme gepostet wurde und sogar mein Vater zur Zeugenaussage eingeladen wurde.

Hat dich die Strafanzeige überrascht?

Ja, natürlich. Ich glaube, niemand hätte erwartet, dass die Bundeswehr wegen eines Memes tatsächlich Anzeige erstattet und das Verfahren sogar vor Gericht landet. Ein Meme fällt doch wohl in den Schutzbereich der Meinungsfreiheit.

Das Ganze ist aber nicht nur komplett absurd, es zeigt auch, zu welchen Mitteln Bundeswehr und Staat greifen, wenn jemand es wagt, den Kurs der Bundesregierung – also Aufrüstung und Militarisierung – öffentlich zu kritisieren.

Wie hat sich denn die Schulleitung bei dem Ganzen verhalten?

Die Schulleitung hat sich gegenüber der Bundeswehr sehr kooperativ gezeigt. Nachdem in der Schüler:innenzeitung zum Protest gegen den Besuch der Bundeswehr aufgerufen worden war, hat die Schulleitung diese Information direkt an die Bundeswehr weitergeleitet. Wie ich aus der Strafakte erfahren habe, hieß es sogar in einer E-Mail vom Jugendoffizier an einen Major der Bundeswehr: „Die mitdurchführende Lehrerin und Schulleitung stehen 100% hinter mir.“

Außerdem hat mich eine Lehrerin aus dem Unterricht geholt und mit Verweisen gedroht, um mich einzuschüchtern. Mein Schulleiter wird auch vor Gericht als Zeuge aussagen – glücklicherweise bin ich ja nicht mehr in der Schule, sonst wäre das schon sehr komisch.

Das heißt, die Bundeswehr wusste davon, dass zu Protest aufgerufen worden war. Gab es irgendwelche Reaktionen der Bundeswehr darauf, von denen du weißt?

Ja, tatsächlich hat sich die Bundeswehr auf den Besuch an meiner Schule deutlich intensiver vorbereitet, als ich es erwartet hätte. Wie aus den Akten hervorgeht, wurde die Angelegenheit als „mögliche Störaktion“ an die Abteilung „MilSich“ – was, so vermute ich, für militärische Sicherheit steht – weitergeleitet.

Außerdem wurden „Handlungsempfehlungen“ an den zuständigen Jugendoffizier gegeben, und es wurde sogar entschieden, dass das Dienstfahrzeug auf dem Schulgelände und nicht im öffentlichen Raum geparkt werden soll. Es scheint der Bundeswehr also wirklich wichtig zu sein, dass an Schulen keine Störaktionen stattfinden.

Auch an anderen Städten wird sich gegen die Bundeswehr an Schulen gewehrt. Hast du davon etwas mitbekommen?

Ja, in Leipzig gab es gerade einen prominenten Fall. Dort haben Schüler:innen an der Humboldt-Schule gegen einen Bundeswehr-Auftritt protestiert – mit Aktionen wie einem ‚Die-in‘ auf dem Schulhof und Flugblattaktionen. Ein 16-jähriger Schüler wurde daraufhin sogar mit einem Schulverweis bedroht. Die Solidarität unter den Mitschüler:innen war allerdings groß, viele unterstützen die Proteste. Dieser Fall – zumindest gehe ich davon aus, dass es darum ging – wurde tatsächlich auch von der Bundeswehr in einer Mail als Referenz genannt.

Demnächst fängt der Gerichtsprozess an. Wie fühlst du dich damit und wie geht es jetzt weiter?

Es steht zwar noch kein Termin für die Hauptverhandlung fest, aber lange wird es sicherlich nicht mehr dauern. Es fühlt sich sehr absurd an, wegen so etwas vor Gericht zu stehen, aber trotzdem lasse ich mich davon nicht einschüchtern und werde an meiner Haltung festhalten, dass die Bundeswehr an Schulen nichts zu suchen hat.

In den letzten Tagen, habe ich außerdem sehr viele Presseanfragen bekommen – das fühlt sich als Jugendlicher irgendwie auch sehr komisch an, aber ich freue mich natürlich, dass dieses Thema Aufmerksamkeit bekommt.

Kann man dich irgendwie unterstützen?

Ich freue mich natürlich über jede Person, die in Freiburg im Gerichtssaal sitzt oder den Prozess anders mitverfolgt. Außerdem sammele ich Spenden für die Anwaltskosten, die sich auf mindestens 1000 Euro belaufen. Die beste Unterstützung ist aber natürlich, selbst gegen Wehrpflicht und Aufrüstung an den Schulen aktiv zu werden.

Weitere Artikel zum Fall:
https://perspektive-online.net/2024/10/nach-protest-gegen-bundeswehr-leipziger-schueler-droht-suspendierung/

Verschärftes Aufenthaltsgesetz: Bis zur Ausreise verwahrt

Original Artikel: https://netzpolitik.org/2025/verschaerftes-aufenthaltsgesetz-bis-zur-ausreise-verwahrt/

Das Kölner Ausländeramt nimmt Geflüchteten ihre Handys ab – und gibt sie nicht mehr zurück. Offiziell sollen die Geräte Hinweise auf die Herkunft der Betroffenen liefern. Doch für die bedeutet das oft den Verlust ihres wichtigsten Kommunikationsmittels.

20.10.2025 um 13:07 Uhr – Chris Köver – in Datenschutz5 Ergänzungen

Juni 2025. Makta ist auf dem Weg zum Ausländeramt Köln, einem hell geklinkerten Block im Stadtteil Kalk. Sie muss ihre Duldung verlängern, wie jeden Monat. Als sie im Büro ihrer Sachbearbeiterin ankommt, warten dort vier Polizist*innen auf sie. Sie halten sie fest und durchsuchen sie. Das Handy, das sie in einer Tasche bei sich trägt, nehmen ihr die Polizist*innen weg.

„Ich habe nur noch geweint, ich habe gefleht“, sagt Makta. Sie brauche das Handy, um in Kontakt mit ihren Töchtern in Eritrea zu bleiben. „Ich habe doch kein Verbrechen begangen, warum machen sie das?“ Die Sachbearbeiterin sagt nur, sie müsse das tun, Anordnung von oben.

Das Amt legt ihr einen Zettel vor, den sie unterschreiben soll. Ein Dolmetscher erklärt ihr, was dort steht. Ihr Handy wird als „Datenträger eines ausreisepflichtigen Ausländers“ eingeordnet. Es wird „gemäß § 50 Abs. 5 Aufenthaltsgesetz“ in Verwahrung genommen, um damit ihre Identität und Staatsangehörigkeit festzustellen. Bis zur Ausreise.

Makta unterschreibt den Zettel nicht. „Sie haben mich ja gezwungen“, sagt sie. Den Code zu ihrem Handy gibt sie aber heraus. „Ich hatte Angst vor der Polizei.“

„Bislang wurden 130 Datenträger in Verwahrung genommen“

Makta heißt eigentlich anders, in dieser Geschichte nennen wir sie so, um sie nicht in noch mehr Bedrängnis zu bringen. Der Fall, von dem sie uns berichtet hat, ist nur einer von vielen, die sich derzeit auf dem Kölner Ausländeramt abspielen dürften. „Bislang wurden 130 Datenträger in Verwahrung genommen“, teilt die Stadt auf Nachfrage mit. Das sind die Zahlen seit Anfang des Jahres.

Die „Datenträger“ sind in der Regel Smartphones von Menschen, die auf Amtsdeutsch „ausreisepflichtig“ sind. Sie dürfen nicht in Deutschland bleiben. Haben sie keine gültigen Ausweispapiere, darf die Ausländerbehörde ihr digitales Leben durchsuchen und auswerten. Darin soll sie nach Hinweisen auf ihre Identität oder Staatsangehörigkeit suchen.

Mithilfe der Indizien, so die Vorstellung, sollen die Behörden eher Termine bei Botschaften und letztlich Papiere für die Betroffenen bekommen. Wie oft das gelingt, ist nicht klar. Die meisten Bundesländer führen dazu keine Statistik.

Erst durch einen Hinweis aufgefallen

Das Aufenthaltsgesetz erlaubt diese Durchsuchungen bereits seit 2015, sie sind in fast allen Bundesländern inzwischen Standard. Neu ist allerdings, dass die Betroffenen in Köln ihre Geräte nicht mehr wiederbekommen – laut der Einzugsbescheinigung auch nicht, nachdem die Behörde ihre Daten ausgewertet hat. „Bis zur Ausreise“ werden die Geräte jetzt in Verwahrung genommen.

Die Rechtsgrundlage dafür hat die Ampelregierung vergangenes Jahr mit dem „Rückführungsverbesserungsgesetz“ geschaffen. Ein Paragraf, der das Einbehalten von Passpapieren erlaubt, regelt seither zusätzlich: Auch Datenträger sollen bis zur Ausreise verwahrt werden.

netzpolitik.org hat über verschiedene Aspekte der Verschärfungen berichtet. Aufgefallen ist die Verwahrungsregelung aber erst, nachdem Menschen aus der Geflüchtetenhilfe die Linken-Abgeordnete Clara Bünger darauf hingewiesen haben. Bünger sitzt im Innenausschuss des Bundestags, sie hat die aktuelle Bundesregierung gefragt, wie das Einziehen der Handys mit dem Recht auf Privatsphäre vereinbar sei. Die Antwort war keine Antwort: Der Vollzug des Aufenthaltsrechts sei Ländersache.

NRW: Hunderte Datenträger allein in diesem Jahr eingezogen

Auf Nachfrage von netzpolitik.org bestätigt ein Sprecher der Stadt Köln: Seit Jahresbeginn habe das Ausländeramt Köln 130 Datenträger auf Grundlage der neuen Regelung eingezogen. Das Gesetz ist schon seit Februar 2024 in Kraft, doch aus dem Jahr davor gebe es keine Zahlen.

„Sobald andere Maßnahmen zur Identitätsfeststellung ausgeschöpft oder nicht erfolgversprechend sind, wird der Person bei ihrer Vorsprache angeboten, den Datenträger freiwillig zur Durchsicht vorzulegen“, schreibt ein Sprecher. „Ist die freiwillige Mitwirkung nicht zielführend oder wird sie abgelehnt, wird die Person zur Herausgabe des Datenträgers aufgefordert. Wenn sie dieser Verpflichtung nicht nachkommt und tatsächliche Anhaltspunkte für den Besitz vorliegen, können die Person, die von ihr mitgeführten Sachen und die Wohnung durchsucht werden.“

Damit stellen sich neue Fragen: Wie viele Datenträger haben Ausländerbehörden seit den gesetzlichen Änderungen im restlichen Nordrhein-Westfalen „bis zur Ausreise“ in Verwahrung genommen? Und was machen andere Bundesländer? Bislang gibt es dazu keine Erfahrungsberichte.

Das zuständige Familienministerium in NRW teilt mit, dass im Bundesland von Anfang 2025 bis Ende Juni insgesamt 344 Datenträger zur Durchsuchung eingezogen wurden. Im Jahr davor waren es 218.

Datenauslesung unter Ausschluss der Öffentlichkeit

Das Bundesland hat dazu technisch vorgesorgt. Denn nicht alle Betroffenen geben wie Makta die Zugangsdaten zu ihren Handys heraus. Die Behörde braucht dann ein Werkzeug, mit dem sie die Sicherungen überwinden und sich Zugang zu den Daten verschaffen kann.

NRW hat die Lizenz für so ein Werkzeug für die Zentrale Ausländerbehörde in Bielefeld und Essen erworben. Von welchem Hersteller es stammt, das hält die schwarz-grüne Landesregierung von Hendrik Wüst allerdings geheim. „Aus Gründen des Datenschutzes“ will das zuständige Familienministerium auf Nachfrage dazu keine Angaben machen, auch nicht zu den Kosten. „Konkrete Information über die verwendete Soft- und Hardware, die über Presseberichte an eine breite Öffentlichkeit gelangen, könnten den Erfolg zukünftiger digital-forensischer Maßnahmen gefährden“, schreibt das Ministerium im Ablehnungsbescheid zu einer Anfrage nach dem Informationsfreiheitsgesetz.

In anderen Bundesländern, die vergleichbare Software einsetzen, kommen die Werkzeuge aus dem Produktkatalog des israelischen Unternehmens Cellebrite. Es verkauft seine IT-forensische Software vor allem an Ermittlungsbehörden, Geheimdienste oder das Militär. Und an Ausländerbehörden in Deutschland.

Auch die Datenträger aus Köln werden nach Essen versandt, teilt ein Sprecher der Stadt mit, dort technisch ausgelesen und von einer Person mit Befähigung zum Richteramt ausgewertet. Letzteres schreibt das Aufenthaltsgesetz vor. Damit soll sichergestellt sein, dass keine Informationen aus dem sogenannten „Kernbereich“ der privaten Lebensgestaltung in den Akten landen. „Der Auftrag gebenden Behörde wird nach der Auswertung ein Bericht mit den gesetzlich zugelassenen Informationen zur Verfügung gestellt.“

„In dieser Reichweite eine reine Repressionsmaßnahme“

Der Berliner Rechtsanwalt Matthias Lehnert bezweifelt, dass der Zweck des Gesetzes rechtfertigen kann, dass Ausländerbehörden die Datenträger dauerhaft einziehen. Lehnert ist auf Migrationsrecht spezialisiert und hat vergleichbare Fälle betreut. Er sagt, es sei ohnehin unklar, wie Datenträger dabei helfen sollten, eine Rückführung zu erleichtern, und warum sie dafür bis zur Ausreise in Verwahrung genommen werden sollten. „In dieser Reichweite wäre die Norm eine reine Repressionsmaßnahme.“

Die neue Regel bedeute, dass es für Menschen noch schwerer wird, ihre Ausreise vorzubereiten – ohne Möglichkeit, ihre Familie oder Netzwerke im Herkunftsland zu kontaktieren. „Das ist verfassungsrechtlich nicht haltbar – und es ist im Endeffekt auch sinnlos, Menschen derart ihre Ausreise und die Rückkehr zu erschweren.“

Der Wortlaut der neuen Regelung lasse außerdem zu, dass die Datenträger ihren Besitzer*innen für lange Zeit entzogen werden. Lehnert warnt: „Das aber dürfte verfassungsrechtlich unzulässig sein. Denn die Grundrechte verlangen nicht nur das Recht, dass die Daten geschützt werden; sondern auch, dass man kommunizieren darf, und zudem schützen sie bekanntlich auch das Eigentum am Handy.“

Davy Wang, der bei der Gesellschaft für Freiheitsrechte Fälle zu eingezogenen Handys von Geflüchteten koordiniert, hat ebenfalls verfassungsrechtliche Bedenken. „Die Stadt Köln greift in unverhältnismäßiger Weise in das Eigentumsrecht der Betroffenen ein.“ Auf Mobiltelefonen seien viele private und sensible Daten gespeichert, zu denen die Betroffenen keinen Zugang mehr haben. Mit dem Entzug ihres zentralen Kommunikationsmittels verlieren sie außerdem den Zugang zu digitalen Diensten, Informationsquellen und sozialen Kontakten. „Besonders problematisch ist dies für Menschen, die nicht über ausreichende finanzielle Mittel verfügen, um sich ein gleichwertiges Ersatzgerät zu beschaffen“, sagt Wang.

Aufgrund der Länge der Verwahrung komme die Wirkung faktisch einer Enteignung gleich, sagt Wang. Abschiebeverfahren ziehen sich teils über Jahre. „In bestimmten Fällen ist eine Abschiebung faktisch gar nicht möglich, etwa weil Herkunftsstaaten eine Rücknahme verweigern oder gesundheitliche Gründe eine Abschiebung verhindern.“ In solchen Fällen bliebe die Ausreise auf unbestimmte Zeit ausgesetzt – und die Smartphones und Laptops der Betroffenen ebenso lang bei den Behörden.

Wozu, das sei auch aus technischer Sicht nicht nachvollziehbar: „Die Ausländerbehörden fertigen beim Auslesen ohnehin eine digitale Kopie des gesamten Datenbestandes an, was dazu führt, dass damit gleichzeitig die Notwendigkeit entfällt, den Datenträger selbst weiter einzubehalten.“

Weiterer Baustein im Repertoire der Behörden

Die Linken-Abgeordnete und Juristin Clara Bünger fordert, die Regierung müsse die Regelung zurücknehmen. „Dass diese Regelung Anfang 2024 unter der Ampel beschlossen wurde, zeigt, dass nicht erst seit dem Amtsantritt von Merz und Dobrindt mit aller Härte gegen ausreisepflichtige Menschen vorgegangen wird“, sagt sie. Seit Jahren werde das Asyl- und Aufenthaltsrecht Schritt für Schritt verschärft, die Rechte der Betroffenen beschnitten. „Unter Dobrindt wird diese Politik, die sich um Grund- und Menschenrechte nicht schert, weiter normalisiert.“

Die Durchsuchungen der Datenträger sind nur ein weiterer Baustein im Repertoire der Behörden. Gleichzeitig mit der Änderung hat die Ampel etwa auch die Möglichkeiten für die Abschiebehaft ausgeweitet. Die Polizei darf nun unangemeldet und zu jeder Tageszeit auftauchen, um ausreisepflichtige Menschen abzuschieben.

Ob Makta ihr Handy wieder zurückbekommt, weiß sie nicht. Nachdem sie im Sommer plötzlich nicht mehr erreichbar war, haben sich ihre Kinder große Sorgen gemacht, sagt sie. Erst über einen Anruf bei Verwandten haben sie erfahren: Es geht ihr gut.

Vor ein paar Wochen konnte sie sich ein neues Gerät kaufen, mit Geld, das sie von ihren Verwandten in Deutschland geliehen hat. Arbeiten darf sie inzwischen nicht mehr, ihren Job als Putzkraft in einem Supermarkt hat sie verloren.

Nächsten Monat wird sie wieder zum Ausländeramt gehen müssen, wieder ihre Duldung verlängern. „Ich habe richtig Angst“, sagt sie.

Gesichtserkennung und Palantir: Dobrindts Überwachungspaket muss vom Tisch

Original Artikel: https://www.ccc.de/de/updates/2025/gesichtserkennung-und-palantir-dobrindts-uberwachungspaket-muss-vom-tisch

15. Oktober 2025, 11:30 Uhr, kantorkel

Heute hat AlgorithmWatch zusammen mit Amnesty International, CCC, GFF und Ulrich Kelber ein Gutachten vorgelegt, das die Rechtswidrigkeit von Dobrindts Plänen zur biometrischen Massenüberwachung klar belegt. Auch seine unsäglichen Palantir-Ideen passen nicht in unsere Demokratie. Beide Vorhaben gehören ersatzlos gestrichen.

Das von AlgorithmWatch, Amnesty International, Chaos Computer Club (CCC), Gesellschaft für Freiheitsrechte (GFF) und dem ehemaligen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, heute vorgestellte Gutachten ist eindeutig: Die in einem Gesetzespaket formulierten Ideen von Bundesinnenminister Alexander Dobrindt (CSU) nach biometrischer Dauerüberwachung sind nicht mit einem demokratischen Rechtsstaat kompatibel und verstoßen gegen EU-Recht.

Massenhaft biometrische Daten der Gesichter von allen einzusammeln und hintenrum technisch analysieren zu lassen, ist ein Vorstoß, der unser Zusammenleben nachhaltig verschlechtern würde. Denn niemand, außer vielleicht ein paar Leuten im Innenministerium, will in einer Welt leben, in der jeder Mensch überall Gefahr läuft, biometrisch analysiert und mit Datenbanken abgeglichen zu werden. Die Körperdaten von Menschen sind keine freie Verfügungsmasse, weder für kommerzielle Stalking-Dienstleister noch für das Abspeichern in staatlichen Datenhalden.

Wer eins und eins zusammenzählen kann, wird den im gleichen Entwurf vorgesehenen Plan, automatisierte Datenanalysen in bisher ungekanntem Ausmaße für Polizeibehörden des Bundes zu erlauben, in der selben Kategorie von Überwachungsdystopien einsortieren: Dobrindt plant auch hier eine massenhafte Analyse mit Millionen Betroffenen, deren Daten hinterrücks zusammengeführt und gerastert werden. Dass er dazu auch noch öffentlich erwägt, einen Vertrag mit dem Konzern Palantir einzugehen, strotzt vor Ignoranz gegenüber allem, was sich in den Vereinigten Staaten derzeit mit aktiver technischer Hilfe von ebenjenem US-Konzern abspielt.

Aber das Problem heißt nicht Palantir, Pimeyes oder Clearview AI. Das eigentliche Problem ist die Idee einer allgegenwärtigen Überwachung und Datenrasterung, der niemand mehr ausweichen kann.

Europarechtswidrig und zum Scheitern verurteilt

Noch ist unklar, wann das Kabinett Dobrindts Entwürfe auf die Tagesordnung setzen wird. Doch die Bundesregierung hat sich zum Ziel gesetzt, die biometrische Überwachung der Bevölkerung voranzutreiben.

In der vorliegenden Form würden sie gegen geltendes Recht verstoßen und einer Massenüberwachung der Bevölkerung Tür und Tor öffnen. Der Gesetzentwurf des Bundesinnenministeriums muss aus rechtlichen und technischen Gründen abgelehnt werden. Die Einschätzung wird von einem neuen Gutachten gestützt, das heute vorgestellt wurde.

Ein Kern der Kritik ist der eindeutige Verstoß gegen die KI-Verordnung der EU (AI Act), der im Gesetzentwurf angelegt ist. Die KI-Verordnung verbietet es ausnahmslos, „Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen [zu] erstellen oder [zu] erweitern.” Insofern würden nationale Gesetzesvorhaben, die einen biometrischen Abgleich mit Bildern aus dem Internet vorsehen, geltendem EU-Recht zuwiderlaufen, falls dieser Abgleich nur mit Hilfe solcher Datenbanken stattfinden kann.

Genau das ist der Fall, wie das von AlgorithmWatch beauftragte technische Gutachten belegt: Um den biometrischen Abgleich mit Bildern aus dem Internet wie vorgesehen durchzuführen, müssen ausnahmslos Datenbanken zur Gesichtserkennung genutzt werden. Damit ist ein solches Gesetz europarechtswidrig und zum Scheitern verurteilt.

Matthias Marx, Sprecher des Chaos Computer Clubs, kommentiert:
„Egal, wer sie betreibt: Biometrische Massenüberwachung ist rechtswidrig. Die Polizei darf auch nicht auf kriminelle private Gesichtersuchmaschinen wie Pimeyes oder Clearview AI ausweichen, schon um sie nicht durch die Hintertür zu legitimieren. Viel mehr müssen diese kommerziellen Dienste endlich von deutschen Datenschutzbehörden mit allen Mitteln des Rechts aktiv bekämpft werden. Ebenso gehört der Plan gestrichen, alle Polizeidaten zusammenzuführen und automatisiert zu analysieren.“

Matthias Spielkamp, Geschäftsführer von AlgorithmWatch, erklärt:
„Wir sind froh, dass wir mit dem Gutachten nun zeigen können, was wir und viele andere schon lange kritisieren: Die angestrebten biometrischen Erkennungsverfahren würden zwangsläufig gegen EU-Recht verstoßen, weil sie ohne den Einsatz von Datenbanken nicht umsetzbar sind. Diese Bundesregierung kann diese Tatsache nicht länger bestreiten und sollte ihre Gesichtserkennungspläne endgültig begraben.”

Dr. Simone Ruf, Leiterin des Center for User Rights bei der Gesellschaft für Freiheitsrechte, fügt Kritik aus grundrechtlicher Perspektive hinzu:
„Internet-Scans nach Gesichtern und Palantir bringen uns nicht mehr Sicherheit – sie sind ein Angriff auf unsere Grundrechte und ein Schritt in den Überwachungsstaat. Das dürfen wir nicht akzeptieren.“

Unterstützt wird die Kritik von Dr. Julia Duchrow, Generalsekretärin Amnesty International Deutschland, aus menschenrechtlicher Perspektive:
„Massenhafte Überwachung mit KI gefährdet Menschenrechte und Demokratie. Sie hat eine einschüchternde Wirkung und birgt die Gefahr von Missbrauch. Sowohl beim KI-Einsatz für einen biometrischen Abgleich als auch für eine automatisierte Analyse von Polizeidaten besteht außerdem ein erhebliches Risiko für Diskriminierung. Falls für die automatisierte Datenanalyse Software von Palantir eingesetzt werden soll, so handelt es sich um ein Unternehmen, das nach Recherchen von Amnesty International in den USA systematisch in Menschenrechtsverletzungen der Trump-Administration involviert ist – und daher von öffentlichen Aufträgen ausgeschlossen werden sollte.“

Ulrich Kelber, ehemaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, schließt mit datenschutzrechtlicher Kritik:
„Immer wieder musste das Bundesverfassungsgericht aufgrund von Klagen aus der Zivilgesellschaft überschießende Überwachungs- und Fahndungsgesetzgebung stoppen. Das Bundesinnenministerium hat daraus nicht gelernt und will erneut gesetzliche Regelungen, die erkennbar gegen Vorgaben der Verfassung, des Datenschutzes und der KI-Regulierung verstoßen.“

Dobrindts Entwurf sieht mehrere Änderungen am Gesetz über das Bundeskriminalamt (BKAG), am Gesetz über die Bundespolizei (BPolG) und am Asylgesetz (AsylG) vor. Polizeibehörden sollen zusätzliche Befugnisse erhalten, die Grundrechte verletzen, gegen die KI-Verordnung der EU verstoßen und KI-gestützte Massenüberwachung vorantreiben. AlgorithmWatch hatte im Juli eine Petition gestartet, in der unter anderem gefordert wird, Gesichtserkennungssysteme im öffentlichen Raum vollständig zu verbieten. Mehr als 52.000 Menschen haben diese Petition unterschrieben.

Links:

WLAN als „Spion“: Überwachungsfalle in Funknetzwerken

Original Artikel: https://www.kit.edu/kit/pi_2025_069_wlan-als-spion-ueberwachungsfalle-in-funknetzwerken.php

Neue Technik erkennt Personen ohne eigenes WLAN-Gerät anhand von Signalen in Funknetzwerken – Forschende warnen vor Risiken für die Privatsphäre und fordern Schutzmaßnahmen

Wer an einem Café mit WLAN vorbeiläuft, kann identifiziert werden – ganz ohne ein eigenes Handy. Forschende des Karlsruher Instituts für Technologie (KIT) haben eine Möglichkeit entdeckt, Personen allein anhand von WLAN-Signalen zu erkennen. Damit weisen sie auf ein erhebliches Risiko für die Privatsphäre hin. Personen müssen für die Identifikation kein Smartphone oder Tablet bei sich tragen. Es reicht, dass WLAN-Geräte in ihrer Umgebung miteinander kommunizieren. Dabei entsteht ein Bild – vergleichbar mit einer Kameraaufnahme, jedoch basierend auf Funkwellen. Das Forschungsteam fordert entsprechende Datenschutzmechanismen.

„Wir beobachten die Ausbreitung der Radiowellen und können so ein Bild der Umgebung und von Personen erzeugen”, sagt Professor Thorsten Strufe vom KASTEL — Institut für Informationssicherheit und Verlässlichkeit des KIT. „Das funktioniert ähnlich wie bei einer normalen Kamera, nur dass diese Lichtwellen statt Radiowellen in ein Bild umwandelt ”, erläutert der Cybersicherheitsexperte. „Es ist deshalb auch unerheblich, ob jemand ein WLAN-Gerät bei sich hat oder nicht.“ Auch das Abschalten schützt nicht: „Es genügt, wenn andere Geräte in der Umgebung aktiv sind.” 

WLAN-Router als „stille Beobachter“

„Die Technik macht aus jedem Router ein potenzielles Überwachungsgerät“, warnt Julian Todt vom KASTEL. „Wer regelmäßig an einem Café mit WLAN vorbeigeht, könnte dort unbemerkt identifiziert und später wiedererkannt werden – etwa von staatlichen Stellen oder Unternehmen.“ Zwar gebe es für Geheimdienste oder Cyberkriminelle einfachere Methoden, Menschen zu beobachten – etwa durch den Zugriff auf Überwachungskameras oder Video-Türklingeln, sagt Felix Morsbach. „Aber die allgegenwärtigen Drahtlosnetzwerke könnten zu einer nahezu flächendeckenden Überwachungsinfrastruktur werden.“ Denn WLAN gibt es heutzutage in fast allen Wohnungen, Büros, Restaurants und öffentlichen Räumen. 

Keine besondere Hardware notwendig

Anders als bei Angriffen mit LIDAR-Sensoren oder bisherigen WLAN-basierten Methoden, die Channel State Information (CSI) nutzen – also Messdaten darüber, wie sich ein Funksignal durch Wände, Möbel oder Personen verändert –, benötigen Angreifende keine Spezialhardware. Die Methode funktioniert mit handelsüblichen WLAN-Geräten. Dabei nutzt sie die legitimen Nutzerinnen und Nutzer aus, die mit dem WLAN verbunden sind. Diese senden im Netzwerk regelmäßig Rückmeldesignale, auch Beamforming Feedback Information (BFI) genannt, an den Router – unverschlüsselt und für Dritte lesbar. So entstehen Bilder aus verschiedenen Blickwinkeln, die zur Identifikation der Personen dienen können. Diese dauert nur wenige Sekunden, sobald das dahinterstehende Machine-Learning-Modell trainiert ist.

Fast hundertprozentige Trefferquote – Technik birgt Gefahren für Privatheit

In einer Studie mit 197 Teilnehmenden konnte das Forschungsteam Personen mit nahezu hundertprozentiger Genauigkeit erkennen – unabhängig von Gehweise oder Perspektive. „Die Technik ist leistungsfähig, aber birgt gleichzeitig Gefahren für die Grundrechte, insbesondere der Privatheit“, betont Strufe. Besonders kritisch sei das in autoritären Staaten, wo die Technik zur Überwachung von Protestierenden eingesetzt werden könnte, warnen die Forscher. Sie fordern daher dringend Schutzmaßnahmen und Datenschutzmechanismen im geplanten WLAN-Standard IEEE 802.11bf.

Förderung und Veröffentlichung

Das Projekt wurde innerhalb des Helmholtz-Themenfelds „Engineering Secure Systems“ gefördert. Die Ergebnisse stellen die Forschenden auf der „ACM Conference on Computer and Communications Security ”(CCS) in Taipeh vor. Das Paper ist ab dem 13. Oktober 2025 unter https://doi.org/10.1145/3719027.3765062 (Dort ist das Paper nicht) verfügbar.
 

Originalpublikation

Todt, Julian; Morsbach, Felix; Strufe, Thorsten: BFId: Identity Inference Attacks utilizing Beamforming Feedback Information, ACM, 2025. DOI: 10.1145/3719027.3765062.

Das Paper dazu: