Da fällt dir doch der Kitt aus der Brille.

Erinnert ihr euch noch an Cum-Ex? Diese kleine Unannehmlichkeit, bei der sich kriminelle Banker in Nadelstreifen Steuern erstatten ließen, die sie nie gezahlt hatten? Ein Griff in die Staatskasse, der uns alle flockige 10 Milliarden Euro gekostet hat? Ja, genau der.

Bisher dachten wir ja immer: Die Banken sind die Bösen, und der Staat ist halt einfach nur zu blöd oder zu langsam, um sie zu fangen. Falsch gedacht.

Es sieht so aus, als saß der Feind direkt im Finanzamt. Und zwar mit einem „teuflischen Plan“.

Die Kölner Staatsanwaltschaft hat jetzt eine 595 Seiten starke Anklageschrift beim Landgericht Bonn eingereicht. Der WDR durfte mal reinlinsen. Und was da drinsteht, lässt einen den Glauben an den Rechtsstaat nicht nur verlieren, sondern ihn lachend in die Tonne treten.

Es geht um die Hamburger Finanzbeamtin Daniela P. und die „ehrbare“ Privatbank MM Warburg. Es geht um 90 Millionen Euro, die eigentlich dem Steuerzahler gehörten, aber dank staatlicher „Hilfe“ fast bei der Bank geblieben wären.

Die Faktenlage (Schnallt euch an):

Es ist das Jahr 2016. Die Cum-Ex-Ermittlungen laufen an. Eigentlich lag schon ein Steuerbescheid vor, um die Kohle von Warburg zurückzuholen. Die Betriebsprüfer wollten das Geld. Die Gesetze wollten das Geld.

Aber Daniela P., die zuständige Sachgebietsleiterin, hatte offenbar andere Pläne. Laut Anklage lief das so ab:

1. Blockieren & Täuschen: Statt den Steuerbescheid rauszuschicken, wird der Fall an die vorgelagerte Finanzbehörde eskaliert.
2. Der Tipp: Sie soll der Bank empfohlen haben, sich „politischen Beistand“ zu holen. In Hamburg. Zwinker, zwinker.
3. Die Zensur: Vorgesetzte wurden offenbar mit manipulierten, unvollständigen Infos gefüttert. Berichte von Wirtschaftsprüfern? Unterschlagen. Erkenntnisse aus den Kölner Ermittlungsakten? Vorenthalten.
4. Der Showdown: Am 16. November 2016 gab es eine Sitzung. Daniela P. behauptet (wider besseres Wissen, so der Vorwurf), die Bank gehe pleite, wenn sie das Geld zurückzahlen muss. Eine „Existenzgefährdung“. Die kritischen Betriebsprüfer? Wurden draußen gelassen.
5. Das Ergebnis: Die Beamten nicken, das Geld wird nicht zurückgefordert. Verjährung droht.

„Mein teuflischer Plan ist aufgegangen“

Und jetzt kommt der Hammer. Das ist keine Verschwörungstheorie, das haben die schwarz auf weiß. Die Ermittler haben WhatsApp-Nachrichten beschlagnahmt.

Kurz nach der Entscheidung schreibt Daniela P. an eine Freundin:

„Mein teuflischer Plan ist aufgegangen.“

Kannste dir nicht ausdenken. Ihren „Freunden“ bei der Warburg-Bank meldet sie den Erfolg. Den eigenen Kollegen (den Betriebsprüfern) sagt sie nichts.

Verteidigungs-Bullshit-Bingo

Der Anwalt von Daniela P. feuert natürlich aus allen Rohren zurück. Die Argumentationslinie ist Comedy-Gold:

• „Keine Nähe zur Eigentümerfamilie.“ (Klar, man verschenkt 90 Mio. Euro einfach aus Nächstenliebe).
• „Kein Motiv.“
• Die Staatsanwaltschaft Köln betreibe „Venue Shopping“, weil sie in Bonn anklagt und nicht im schönen Hamburg (wo die Staatsanwaltschaft laut Verteidiger gar keinen Anfangsverdacht gesehen hat. Ach, was? In Hamburg sieht man bei Warburg nichts? Nein! Doch! Oh!).

Der Staat musste den Staat zwingen

Das Beste kommt zum Schluss: Die Hamburger Finanzverwaltung war so sehr auf Kuschelkurs mit der Bank, dass das Bundesfinanzministerium (BMF) einschreiten musste. 2017 musste das BMF Hamburg per Weisung zwingen, das Geld zurückzufordern. 2019 wollte Daniela P. schon wieder dealen („tatsächliche Verständigung“) – wieder musste das BMF dazwischengrätschen.

Die Warburg-Bank hat am Ende 2020 zahlen müssen (187,5 Mio Euro). Aber nicht, weil Hamburg das wollte. Sondern obwohl Hamburg alles getan hat, um es zu verhindern.

Fazit

Wenn das Verfahren eröffnet wird (das Landgericht Bonn prüft noch, hat das Verfahren gegen P. aber erst mal abgetrennt – seufz), sitzt zum ersten Mal der Staat selbst auf der Anklagebank.

Wir reden hier nicht von Inkompetenz. Wir reden laut Staatsanwaltschaft von Vorsatz. Von einem teuflischen Plan. Von einer Finanzbeamtin, die aktiv gegen die Interessen des Staates und der Bürger gearbeitet hat, um einer Bank den Arsch zu retten.

Und ihr fragt euch, warum keine Schulen saniert werden? Da habt ihr die Antwort.

[Update]: Es gilt natürlich die Unschuldsvermutung. Bis zum Beweis des Gegenteils war das alles nur ein bedauerliches Versehen beim Mausschubsen.

Kurze Durchsage aus der Hölle der „Realpolitik“:

Erstmals seit Jahren: Deutschland schiebt Straftäter nach Syrien ab

Die Bundesregierung hat erstmals seit Beginn des syrischen Bürgerkriegs einen verurteilten Straftäter nach Syrien abgeschoben. Er wurde am Vormittag den Behörden in Damaskus übergeben. […] Nun gebe es Vereinbarungen, „dass Abschiebungen von Straftätern und Gefährdern künftig regelhaft stattfinden können“.

Tja. Da ist er also. Der Dammbruch. Pünktlich zum Fest der Liebe, am 23. Dezember. Fröhliche Weihnachten, ihr Heuchler.

Lest das Zitat oben nochmal ganz genau. Nicht das „Straftäter“-Bla-Bla. Das ist das Futter für den Stammtisch, damit die Law-and-Order-Fraktion sich beim Glühwein auf die Schenkel klopfen kann. Nein, der entscheidende Satz ist: „Wurde den Behörden in Damaskus übergeben.“

Wir reden hier von Baschar al-Assad.

Erinnert ihr euch? Der Typ mit dem Giftgas? Der Schlächter, der seine eigene Bevölkerung in Foltergefängnissen verrotten lässt? Der Typ, wegen dem wir jahrelang (zu Recht!) Sanktionen verhängt haben?

Genau mit dem macht die Bundesregierung jetzt Deals.

Das muss man sich mal auf der Zunge zergehen lassen: Um ein paar rechte Wutbürger zu besänftigen und der AfD den Wind aus den Segeln zu nehmen (Spoiler: Funktioniert nie, ihr legitimiert deren Scheiße nur), finanziert und legitimiert Deutschland jetzt diplomatisch ein Folter-Regime.

Die Nachricht hier ist nicht „Deutschland wird sicherer“, weil ein Räuber weg ist. Die Nachricht ist: Deutschland erkennt das Assad-Regime wieder als Partner an.

Wir liefern Menschen ans Messer. Wissentlich. „Schwere Straftat“ hin oder her – in einem Rechtsstaat gibt es so etwas wie absolute Menschenrechte. Die gelten auch für Arschlöcher. Die gelten auch für Kriminelle. Wenn wir anfangen, Ausnahmen zu machen, weil es gerade politisch opportun ist oder weil die Umfragewerte im Keller sind, dann können wir das Grundgesetz auch gleich verbrennen und uns die braunen Uniformen wieder anziehen.

Und das Perfide daran? Es wird als „Erfolg“ verkauft.

Seht her! Wir handeln! Wir schieben ab! Nach Afghanistan und Syrien! Dass wir dafür den Taliban und Assad die Hand schütteln müssen? Kollateralschaden. Hauptsache, die Statistik stimmt und die Bild-Zeitung jubelt.

Wer glaubt, dass es bei „Schwerkriminellen“ bleibt, der hat die letzten zehn Jahre im Koma gelegen. Erst sind es die „Gefährder“ (ein Gummibegriff par excellence), dann die Kleinkriminellen, und irgendwann die, die einfach nur „nicht integriert genug“ gucken.

Wir machen uns gerade zu Komplizen von Massenmördern, nur um im Inland „Härte“ zu simulieren. Das ist keine Sicherheitspolitik. Das ist moralischer Bankrott.

Wer jetzt noch von „Werten“ faselt, hat den Schuss nicht gehört. Nie wieder? „Nie wieder“ ist anscheinend genau jetzt vorbei.

Wir sehen uns auf der Straße.

Tja. Es ist mal wieder so weit. Kurz vor Weihnachten, wenn alle schon beim Glühwein sind, dachte sich die Bundesjustizministerin Stefanie Hubig (SPD) wohl: „Hey, das Grundgesetz hat uns doch noch nie gestört, oder?“

Der Zombie ist zurück. Er heißt jetzt nicht mehr Vorratsdatenspeicherung (VDS), weil das Wort verbrannt ist. Man nennt es jetzt „Speicherpflicht für IP-Adressen“. Klingt harmlos? Ist es nicht. Es ist der feuchte Traum jedes Überwachungsfetischisten und der absolute Albtraum für jeden, der noch einen Funken Privatsphäre im Netz genießt.

Der Gesetzentwurf liegt jetzt vor. Und er ist genau so schlimm, wie wir befürchtet haben.

Der Plan: Drei Monate Generalverdacht für alle

Das Bundesjustizministerium hat heute (Stand: 21.12.2025, 13:10 Uhr) die Katze aus dem Sack gelassen. Alle Internetanbieter (ISPs) sollen verpflichtet werden, eure IP-Adressen für drei Monate zu speichern.

Nicht, weil ihr verdächtig seid. Nicht, weil ein Richter das angeordnet hat. Sondern einfach so. Anlasslos.

Gespeichert wird:

• Wer ihr seid.
• Welche IP-Adresse ihr wann hattet.
• „Weitere Daten“ zur eindeutigen Zuordnung (was technisch gesehen oft auch Port-Nummern umfasst, also quasi fast schon Metadaten der Kommunikation).

Die Begründung? Ihr ahnt es schon. Es ist das Bullshit-Bingo der Apokalypse: „Kampf gegen Sexualstraftäter“, „Kinderpornografie“ und „Hass im Netz“. Das sind die Totschlagargumente, mit denen man seit 20 Jahren versucht, jede bürgerliche Freiheit zu schleifen. Wer dagegen ist, schützt Kinderschänder. Das ist die widerliche Rhetorik, mit der hier Politik gemacht wird.

Die Nebelkerze der Ministerin

Hubig wird in der BILD-Zeitung (natürlich in der BILD, wo auch sonst?) zitiert:

„Sie sorgt dafür, dass digitale Spuren auch später noch verfolgt werden können […]“

Und der absolute Brüller kommt jetzt. Haltet euch fest. Hubig behauptet ernsthaft:

„Die Vertraulichkeit der Kommunikation bleibe strikt gewahrt, die Erstellung von Bewegungs- und Persönlichkeitsprofilen sei ausgeschlossen.“

Lügt sie oder weiß sie es nicht besser? Eine IP-Adresse ist ein Personenbezug. Über drei Monate lückenlos gespeichert, lässt sich daraus exakt ableiten, wo ihr wart (Geolocation), wann ihr online wart, und wenn man das mit Server-Logs (die Google/Meta eh haben) korreliert, haben wir das perfekte Persönlichkeitsprofil. Zu behaupten, das schaffe keine Profile, ist eine Beleidigung unserer Intelligenz.

Polizei-Gewerkschaft: „Drei Monate sind ein Witz“

Und weil es in Deutschland immer noch schlimmer geht: Der Gewerkschaft der Polizei (GdP) reicht das natürlich nicht. Andreas Roßkopf (Sektion Bundespolizei) mault direkt rum, dass drei Monate „zu kurz“ seien. Klar. Warum nicht gleich 30 Jahre? Oder direkt einen Chip ins Gehirn bei der Geburt? Zitat Roßkopf: „Ein Schritt […], jedoch oftmals nicht ausreichend.“ Man reicht den kleinen Finger (Verfassungsbruch light), und sie wollen direkt den ganzen Arm (Totalitarismus deluxe).

Die Rechtslage: Mit dem Kopf durch die Wand

Erinnern wir uns kurz:

1. Das Bundesverfassungsgericht hat die VDS gekippt.
2. Der Europäische Gerichtshof (EuGH) hat die anlasslose VDS mehrfach für illegal erklärt.
3. Die Rechtslage ist eindeutig: Anlasslose Massenüberwachung ist in der EU rechtswidrig.

Das interessiert die GroKo aus Union und SPD (ja, die Union macht da fröhlich mit, steht ja im Koalitionsvertrag) aber einen feuchten Kehricht. Helge Limburg von den Grünen nennt das Kind beim Namen:

„Union und SPD planen offenkundig den Wiedereinstieg in die anlasslose Massenüberwachung im Internet. […] Anstatt erneut mit dem Kopf gegen dieselbe Wand zu rennen…“

Genau das tun sie aber. Sie verabschieden ein Gesetz, von dem sie wissen, dass es in 2-3 Jahren wieder einkassiert wird. Aber bis dahin haben sie die Daten. Bis dahin herrscht der Chilling Effect.

Das „Quick Freeze“ Märchen ist tot

Erinnert ihr euch an die Diskussion über „Quick Freeze“? Das wäre die verfassungskonforme Alternative gewesen: Daten werden nur eingefroren, wenn ein konkreter Verdacht besteht. Das wollte die FDP damals. Aber die FDP ist raus (oder irrelevant), und jetzt regiert der Sicherheitswahn. Die SPD und die Union wollen keine saubere Polizeiarbeit. Sie wollen den Heuhaufen vergrößern, in dem sie die Nadel nicht finden, weil sie glauben, dass mehr Daten automatisch mehr Sicherheit bedeuten. Das ist statistisch und kriminologisch widerlegter Unfug.

Fazit: Installiert VPNs. Jetzt.

Das Gesetz soll im Frühjahr durch den Bundestag gepeitscht werden. Da die Regierung die Mehrheit hat, wird das wohl durchgehen. Was wir hier sehen, ist der Wiedereinstieg in die Vorratsdatenspeicherung. Sie nennen es anders, sie verpacken es in „Kinderschutz“-Papier, aber der Inhalt ist pures Gift für die Demokratie.

Wenn eure IP-Adresse für drei Monate gespeichert wird, seid ihr gläsern. Jeder Klick, jeder Login, jede Verbindung ist theoretisch rückverfolgbar.

Muss man wissen: IP-Adressen sind keine „Anschrift“. Sie sind dynamisch. Aber durch die Speicherung der Zuordnung werden sie zur digitalen Fußfessel.

Wir sehen uns vor dem Verfassungsgericht. Wieder mal.

---

Zusammenfassung für Eilige (TL;DR):

• Wer: Justizministerin Stefanie Hubig (SPD) und die Union.
• Was: 3 Monate Zwangsspeicherung aller IP-Adressen durch Provider.
• Warum angeblich: Kampf gegen Sexualstraftäter/Hass.
• Warum wirklich: Überwachungswahn und Datensammelwut.
• Status: Gesetzentwurf liegt vor, soll im Frühjahr beschlossen werden.
• Reaktion: Datenschützer und Grüne laufen Sturm, Polizei will noch mehr Überwachung.

Leute, festhalten. Das Bundesministerium für Arbeit und Soziales hat den Rentenversicherungsbericht 2024 rausgehauen. Und ich habe mir die 100+ Seiten PDF für euch reingezogen, damit ihr es nicht müsst. Spoiler: Es wird teuer. Es wird ungemütlich. Und ohne massive Zuwanderung kollabiert das ganze Kartenhaus schneller, als ihr „Generationenvertrag“ sagen könnt.

Hier sind die nackten Fakten aus dem Bericht. Keine Schönfärberei, nur die harte Realität.

1. Das Finanz-Desaster: Wir verbrennen Steuergelder wie Zunder

Glaubt ihr, eure Rentenbeiträge reichen? Vergesst es. Das System hängt längst am Tropf des Steuerzahlers. Im Jahr 2023 flossen schlappe 106,5 Milliarden Euro aus Bundesmitteln (aka euren Steuern!) in die Rentenkasse.

• Die reinen Beiträge decken nur 76% der Einnahmen.
• Der Rest? Bundeszuschüsse und sonstiges Flickwerk.

Wir pumpen also schon jetzt über 100 Milliarden extra rein, nur um den Laden am Laufen zu halten.

2. Der Beitragssatz-Hammer: Euer Netto wird schmelzen

Aktuell liegt der Beitragssatz noch bei entspannten 18,6%. Die Regierung feiert sich dafür, dass das bis 2026 so bleibt. Aber dann? Anschnallen!

• 2027: Es geht hoch auf 18,9%.
• 2028: Zack, 19,9%.
• 2030: Wir knacken die 20er Marke -> 20,4%.
• 2038: Wir landen bei 22,3%.

Das bedeutet: Ihr werdet in Zukunft deutlich weniger Netto vom Brutto haben, nur damit die Boomer ihre Rente bekommen. Und das ist nur die „mittlere Variante“ der Berechnung. Wenn es schlecht läuft, wird es noch teurer.

3. Die Demografie-Bombe & Die „Lösung“ Migration

Jetzt kommen wir zum Elefanten im Raum, den alle ignorieren wollen, der aber schwarz auf weiß im Bericht steht: Ohne Migration ist Feierabend.

Die deutsche Bevölkerung schrumpft und vergreist.

• Geburtenziffer? Eingeplant mit 1,55 Kindern pro Frau. Das reicht hinten und vorne nicht zur Bestandserhaltung.
• Lebenserwartung? Steigt. Männer leben bald 79,3 Jahre, Frauen 82,4 Jahre (fernere Lebenserwartung ab 65). Wer länger lebt, kassiert länger Rente.

Der Bericht rechnet eiskalt mit Migration: Die gesamte Kalkulation basiert auf der Annahme, dass wir jedes Jahr einen positiven Wanderungssaldo von 250.000 Menschen haben. Lest das nochmal: 250.000 Netto-Zuwanderung. Jedes. Einzelne. Jahr.

Das ist keine „politische Meinung“, das ist die mathematische Basis, damit uns der Beitragssatz nicht sofort um die Ohren fliegt. Wenn diese Leute nicht kommen (oder nicht arbeiten), dann sind die oben genannten 22,3% Beitragssatz noch ein feuchter Traum.

4. Das „Rentenpaket II“ und die Aktien-Wette

Die Regierung will das Rentenniveau bei 48% einfrieren („Haltelinie“) bis 2040. Ohne diesen Eingriff würde euer Rentenniveau bis 2038 auf 45,2% abstürzen.

Wie finanzieren wir das? Mit dem Generationenkapital. Der Staat nimmt Kredite auf, steckt das Geld in Aktien und hofft, dass die Rendite die Rente rettet. Ab 2036 sollen 10 Milliarden Euro jährlich aus diesem Aktien-Topf an die Rentenversicherung ausgeschüttet werden. Wir wetten also auf die Börse, um die Demografie auszugleichen. Kann man machen. Ist halt riskant.

5. Ost-West-Angleichung: Done.

Eine gute Nachricht für die Statistik-Freaks: Die Rentenwerte Ost und West sind angeglichen. Seit dem 1. Juli 2023 sind wir bei 100%. Ab 2024 gibt es nur noch einen bundeseinheitlichen Rentenwert. Das Thema ist durch.

6. Arbeiten bis zum Umfallen?

Das Renteneintrittsalter steigt faktisch schon.

• Das durchschnittliche Zugangsalter lag 2000 noch bei 62,3 Jahren.
• 2023 sind wir bei 64,4 Jahren.

Die Leute arbeiten länger, weil sie müssen oder weil die Abschläge sonst zu hoch sind. Die Erwerbstätigenquote der 60- bis 64-Jährigen ist explodiert: Von 20% im Jahr 2000 auf über 65% im Jahr 2023. Willkommen im Hamsterrad.

Fazit: Die Party ist vorbei

Der Rentenversicherungsbericht 2024 ist ein Dokument des Mangelmanagements.

1. Wir brauchen Masseneinwanderung (250k/Jahr), sonst kollabiert die Rechnung.
2. Wir brauchen höhere Beiträge (über 22%), sonst ist die Kasse leer.
3. Wir brauchen Steuerzuschüsse (über 100 Mrd.), sonst geht gar nichts mehr.

Die „Rente ist sicher“? Ja, sicher teuer für jeden, der heute noch arbeitet.

Leute, festhalten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mal wieder einen rausgehauen. Normalerweise sind deren Berichte so trocken wie ein Keks aus der Notration, aber der neue Bericht „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus E-Mail-Programme“ ist pures Gold. Oder besser gesagt: Ein Horrorfilm für jeden, der seine Daten liebt.

Wir schreiben das Jahr 2025. Man sollte meinen, wir hätten das mit der E-Mail-Sicherheit langsam mal im Griff. Pustekuchen.

Das BSI hat sich 12 gängige E-Mail-Clients zur Brust genommen. Das Ergebnis? Ein paar Lichtblicke und ganz viel Schatten. Wer immer noch glaubt, dass „Benutzerfreundlichkeit“ wichtiger ist als „nicht nackt im Internet stehen“, der sollte jetzt ganz genau lesen.

Der Elefant im Raum: Die Cloud-Falle (Microsoft, was tust du?!)
Fangen wir mit dem dicksten Ding an. Das BSI hat Outlook (new) getestet. Das ist dieser neue Web-Wrapper-Kram, den Microsoft euch unterjubeln will.

Schaut euch die Tabelle an. Bei der Zeile „E-Mail-Speicher“ steht bei fast allen: „Lokal“. Und was steht bei Outlook (new)? „Cloud“.

Lass dir das auf der Zunge zergehen. Wenn du lokale E-Mails hast, liegen die auf deiner Platte. Wenn du das neue Outlook nutzt, zieht Microsoft den Kram in seine Cloud. Das BSI formuliert das diplomatisch: „Werden externe E-Mail-Postfächer über ein E-Mail-Programm direkt in die Cloud des Anbieters eingebunden […] erfolgt die Verarbeitung und Speicherung der E-Mails nicht mehr ausschließlich lokal“.

Im Klartext: Deine Zugangsdaten und deine Mails wandern auf die Server des Anbieters. Das ist der ultimative Privacy-GAU. Wer das nutzt, hat die Kontrolle über sein digitales Leben abgegeben. Punkt.

Ende-zu-Ende-Verschlüsselung (E2EE): Das Trauerspiel
Das BSI sagt ganz klar: „Achte darauf, dass dein E-Mail-Programm eine Ende-zu-Ende-Verschlüsselung (E2EE) unterstützt“. Das ist der einzige Weg, damit nicht jeder Admin auf der Leitung mitlesen kann. S/MIME oder OpenPGP sind hier die Standards.

Und wie sieht die Realität aus? Hier ist die Hall of Shame aus der BSI-Tabelle:

Blue Mail: E2EE? „keine“.

Mailbird: E2EE? „keine“.

Spark Mail: E2EE? „keine“.

Ernsthaft? Wir sind im Jahr 2025 und diese „hippen“ Clients bieten nicht mal die Option an, seine Mails vernünftig zu verschlüsseln? Das ist grob fahrlässig. Wer Spark oder Blue Mail für vertrauliche Kommunikation nutzt, kann seine Mails auch gleich auf eine Postkarte schreiben und an die Litfaßsäule kleben.

Die Guten? Thunderbird, Betterbird, KMail und eM Client unterstützen nativ S/MIME und OpenPGP. So muss das sein.

Tracking & Pixel-Seuche: Wer beobachtet dich beim Lesen?
Marketing-Fuzzis lieben Tracking-Pixel. Du machst die Mail auf, und zack – weiß der Absender, wann du wo warst (IP-Adresse).

Das BSI hat geprüft, ob die Clients das blocken. Die gute Nachricht: Der überwiegende Teil der Programme blockiert externe Bilder standardmäßig oder fragt nach. Einige nutzen sogar eine Proxy-Verbindung. Das heißt, der Client lädt das Bild über einen Zwischenserver, damit deine IP-Adresse nicht beim Spammer landet.

Pro-Tipp vom BSI: „Die Beschränkung auf reine Text-E-Mails ist ebenfalls ein wirkungsvolles Mittel“. Klingt nach 1990? Ist aber sicherheitstechnisch King. Kein HTML, keine Skripte, kein Tracking. Thunderbird und Betterbird können das exzellent („einfacher Textmodus“). Schaltet das an, wenn ihr nicht wollt, dass euch der Newsletter-Versender bis ins Schlafzimmer verfolgt.

Open Source vs. Proprietäre Blackboxen
Das BSI hat auch geschaut, wer den Quellcode offenlegt. Warum ist das wichtig? Weil ich bei Proprietärer Software (Closed Source) dem Hersteller blind vertrauen muss, dass er keine Backdoors eingebaut hat. Bei Open Source kann jeder nachschauen.

Der BSI-Vergleich:

🟢 Open Source: Betterbird, KMail, Thunderbird. (Ehrenmänner).

🟡 Teils/Teils: Proton Mail, Tuta Mail (Clients oft Open Source, Server-Side ist Vertrauenssache, aber immerhin verschlüsselt).

🔴 Proprietär: Apple Mail, Blue Mail, eM Client, Mailbird, Spark Mail.

Fazit: Was du jetzt tun musst
Das BSI empfiehlt, Clients zu nutzen, die Sicherheitslücken zeitnah schließen und keine Daten unnötig in die Cloud blasen.

Wenn man die Tabelle und den Text zusammenfasst, bleibt eigentlich nur eine vernünftige Wahl für den Desktop, wenn man die volle Kontrolle haben will:

Thunderbird oder sein schnellerer Bruder Betterbird. Open Source, volle Verschlüsselung, lokale Speicherung. Das ist der Goldstandard. Sogar das BSI nutzt Thunderbird als Referenzwert für die Marktrelevanz.

Für Linux-User: KMail. Solide, Open Source, kann alles.

Wer es einfach will, aber sicher: Proton oder Tuta. Die verschlüsseln alles weg, bevor es auf deren Server landet (Herstellerspezifisch oder PGP).

Finger weg von: Outlook (new), Spark Mail und Blue Mail. Die Kombination aus fehlender E2EE und (bei Outlook) Cloud-Zwang für Zugangsdaten ist ein absolutes No-Go.

Installiert euch Updates! Das BSI warnt: „Nur so stellst du sicher, dass eventuelle Sicherheitslücken zeitnah geschlossen werden“.

Denkt mal drüber nach. Euer Postfach ist euer digitales Zuhause. Lasst nicht jeden rein.

Leute, holt das Popcorn. Es gibt Neuigkeiten aus der Anstalt, und diesmal ist es saftig.

Erinnert ihr euch noch an Wirecard? Dieser kleine Laden aus Aschheim, der DAX-Liebling, der Luftbuchungen für eine innovative Geschäftsidee hielt? Genau der. Da gibt es ja diesen Insolvenzverwalter, der seit Jahren versucht, die Trümmer aufzukehren. Und der hatte einen ganz speziellen Fetisch: Er wollte die Handakten der Wirtschaftsprüfer sehen.

Ja, genau jene Wirtschaftsprüfer (wir nennen keine Namen, aber jeder weiß, wer gemeint ist), die jahrelang fröhlich „Alles super!“ unter die Bilanzen gekritzelt haben, während im Hintergrund die Milliarden verdunsteten.

Der Insolvenzverwalter wollte wissen: Was wusstet ihr? Wann wusstet ihr es? Und was steht in euren geheimen „Project Ring“-Akten? Die Prüfer so: „Nö. Berufsgeheimnis. Alles intern. Mimimi.“

Heute kam der Bundesgerichtshof (BGH) um die Ecke und hat ein Machtwort gesprochen. Und was soll ich sagen? Es ist ein Massaker.

Die Fakten (für die, die noch an den Rechtsstaat glauben)

Der BGH (III. Zivilsenat, die Gönner) hat heute entschieden: Hosen runter!.

Der Insolvenzverwalter bekommt Auskunft und Einsicht in die Handakten für die Jahre 2016 bis 2019. Das ist der Zeitraum, in dem der Laden schon lichterloh brannte, aber die Prüfer noch fleißig Testate verteilt haben (bis auf 2019, als es dann auch dem Letzten zu peinlich wurde).

Das „Project Ring“ Desaster

Besonders brisant: Es geht auch um das ominöse „Projekt Ring“. Das war eine forensische Sonderuntersuchung, die 2016 gestartet wurde, weil es Vorwürfe gab, Wirecard habe in Indien Firmen zu Mondpreisen gekauft (aka Geldwäsche/Bilanzfälschung für Anfänger).

Der Witz daran? Die Untersuchung wurde 2018 auf Betreiben des Wirecard-Vorstands einfach abgebrochen. Kann man sich nicht ausdenken. Die Prüfer haben also angefangen zu graben, haben vermutlich Leichen gefunden, und dann hieß es: „Okay, Spaten weglegen, hier gibt es nichts zu sehen.“ Jetzt muss die Prüfungsgesellschaft die Hosen runterlassen und zeigen, was sie damals in den Akten verbuddelt hat.

Die Nebelkerzen der Prüfer

Die Verteidigungslinie der Wirtschaftsprüfer war ja niedlich. Die haben ernsthaft versucht zu argumentieren, dass interne Arbeitspapiere, persönliche Eindrücke und „Sammlungen vertraulicher Hintergrundinformationen“ nicht rausgegeben werden müssen.

Der BGH dazu trocken: Netter Versuch, aber nein.

Zwar könnte man so Zeug theoretisch zurückhalten, aber die Prüfer waren wohl zu arrogant (oder zu inkompetent), um in den Vorinstanzen vernünftig darzulegen, warum das konkret schützenswert sei. Tja. Wer nicht liefert, wird geliefert. § 666 BGB regelt: Rechenschaftspflicht schlägt Geheimniskrämerei. Da hilft auch kein „Aber wir sind Wirtschaftsprüfer!“-Gejammer.

Der Treppenwitz: 2017 wussten sie es schon?!

Das hier ist der eigentliche Skandal, der in der Pressemitteilung versteckt ist: Am 16. März 2017 haben die Prüfer Wirecard mitgeteilt, dass Umsätze aus 2015 und 2016 „nicht in angemessener Art und Weise nachgewiesen“ seien. Sie drohten sogar mit der Einschränkung des Bestätigungsvermerks. Am 29. März 2017 drohten sie nochmal.

Und was passierte am 5. April 2017? Richtig: Sie haben einen uneingeschränkten Bestätigungsvermerk erteilt.

Lest das nochmal. Sie wussten, dass die Umsätze stinken. Sie haben gedroht. Und dann sind sie eingeknickt. Wenn das mal nicht nach „wir schauen mal ganz tief in diese Akten“ schreit, dann weiß ich auch nicht.

Wo Licht ist, ist auch Schatten (Verjährung sucks)

Bevor ihr jetzt den Schampus aufmacht: Für die Jahre 2014 und 2015 kommt der Insolvenzverwalter zu spät. Das ist verjährt. Da haben die Anwälte wohl gepennt oder der Kalender war kaputt. Klassiker. Die Leichen aus der Frühzeit bleiben also im Keller.

Auch der Antrag, die Prüfer zur Nicht-Vernichtung der Akten zu verdonnern, wurde abgewiesen. Begründung: Es fehlt die „Begehungsgefahr“. Der BGH glaubt also, dass eine Wirtschaftsprüfungsgesellschaft, die jahrelang Luftbuchungen durchgewunken hat, jetzt ganz brav keine Akten schreddert. Süß. Ich habe da so eine Brücke in Brooklyn zu verkaufen, falls der Senat Interesse hat.

Fazit

Das Urteil ist ein Tritt in die Eier der gesamten Wirtschaftsprüfer-Branche. Die Zeiten, in denen man sich hinter „internen Vermerken“ verstecken konnte, während der Mandant die Anleger um Milliarden erleichtert, sind vorbei.

Der Insolvenzverwalter kriegt jetzt Lesestoff für lange Winterabende. Ich hoffe, er leakt das Zeug. Wir wollen schließlich alle wissen, wie genau man wegschauen muss, um bei Wirecard nichts zu bemerken.

Nachtrag: Das Urteil trägt das Aktenzeichen III ZR 438/23 und ist vom 11. Dezember 2025. Ja, wir leben in der Zukunft. Gewöhnt euch dran.

Next Step für den Leser: Wollt ihr wissen, wie man § 666 BGB nutzt, um euren eigenen Anwalt oder Steuerberater zu quälen? Ich kann euch eine Vorlage basteln.

Kurz: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Verbraucherzentrale NRW haben sich 10 Passwortmanager vorgenommen. Ergebnis: Katastrophal. Hersteller-Backdoors, unverschlüsselte Metadaten und Tracking bei Bezahl-Software. Wer immer noch glaubt, „Cloud“ sei „nur der Computer von jemand anderem“ und deshalb sicher, kriegt hier die Quittung.

Aber von vorn. Untersucht wurden im ersten Halbjahr 2025 zehn Kandidaten: 1Password, Avira, Chrome, KeePass2Android, KeePassXC, Mozilla Firefox, mSecure, PassSecurium, SecureSafe und S-Trust .

Hier sind die blutigen Details aus dem Leichenschauhaus der IT-Sicherheit.

1. Krypto-Fail: Wenn der Schlüsselmeister schläft

Man sollte meinen, bei einem Passwortmanager wäre die Verschlüsselung das absolute Basis-Feature. Pustekuchen.

Das BSI hat geprüft, was passiert, wenn ihr euer Masterpasswort ändert. Die logische Erwartung: Alles wird neu verschlüsselt, damit der alte Schlüssel nutzlos wird.

Realität: Nur ZWEI der zehn Kandidaten kriegen das hin (1Password und KeePassXC). Bei den anderen bleiben die alten Schlüssel für die Datencontainer bestehen oder es wird nur schlampig drübergebügelt. Das bedeutet: Wenn ein Angreifer eure alten Schlüssel/Backups hat, hilft auch das Ändern des Masterpassworts herzlich wenig.

Noch schlimmer: Unverschlüsselte Metadaten. Einige Manager speichern URLs und Benutzernamen im Klartext. Warum ist das schlimm? Weil es niemanden etwas angeht, dass ich einen Account bei ashleymadison.com oder fetisch-dating.de habe, selbst wenn das Passwort dazu sicher ist. Die bloße Existenz des Accounts ist die sensible Info.

2. Die „Vertrau mir, Bruder“-Falle (Herstellerzugriff)

Jetzt wird es richtig gruselig. Die heilige Gral der Passwortmanager ist „Zero Knowledge“. Der Hersteller darf niemals Zugriff auf eure Daten haben. Das BSI hat festgestellt: Bei Chrome Password Manager, PassSecurium und S-Trust besteht zumindest theoretisch die Möglichkeit, dass der Hersteller auf die Daten zugreift. Bei Chrome heißt es „Nein“, aber in bestimmten Modi haben sie technisch doch Zugriff.

Wer also Google oder der Sparkasse (S-Trust) seine digitalen Schlüssel gibt, kann sie eigentlich auch gleich auf Facebook posten. Okay, Polemik aus, aber: Ein Zugriff muss technisch ausgeschlossen sein, nicht nur per AGB versprochen werden .

3. Datenschutz: Wir tracken dich, während du bezahlst

Kommen wir zum Thema „Datensparsamkeit“. Die Open-Source-Helden KeePassXC und KeePass2Android gewinnen hier haushoch. Sie speichern lokal, funken nicht nach Hause, wollen keine Daten.

Die kommerziellen Anbieter? Ein Trauerspiel.

• 1Password verlangt Geld für den Dienst, trackt euch aber trotzdem zu Marketingzwecken und teilt Daten mit „Marketingpartnern“. Geht’s noch? Ich bezahle, damit ihr meine Daten nicht verkauft!
• Avira sammelt sogar ungefähre Standortdaten über die IP und nutzt Dark Patterns, um euch Sachen unterzujubeln. Wenn ihr FaceID ablehnen wollt, ist der Button versteckt oder farblich so gestaltet, dass ihr aus Versehen „Ja“ klickt. Widerlich.

4. Single-Sign-On (SSO): Die Mutter aller dummen Ideen

Einige Manager (wie Avira) bieten an, sich per Facebook, Apple oder Google einzuloggen. LASST. DAS. SEIN. Das ist, als würdet ihr den Schlüssel zu eurem Tresor an eure Haustür kleben. Wenn euer Google-Account fällt (Phishing, Leak, Dummheit), hat der Angreifer nicht nur eure E-Mails, sondern alle eure Passwörter auf einen Schlag. Außerdem fließen im Hintergrund munter Daten zwischen den Konzernen. Das BSI rät explizit davon ab.

Fazit & Was ihr tun müsst

Trotz des Gemeckers: Nutzt Passwortmanager! Das BSI sagt (und da haben sie recht): Das Risiko durch schlechte Passwörter („123456“ überall) ist größer als das Risiko eines schlechten Passwortmanagers .

Aber wählt weise:

1. Open Source und Lokal: Nehmt KeePassXC (Desktop) oder KeePass2Android (Mobile). Die Daten bleiben bei euch, kein Cloud-Geraffel, keine Werbung, keine Backdoors.
2. Finger weg von SMS-2FA: Wenn ihr Cloud-Dienste nutzt, sichert den Account mit einem Hardware-Token (YubiKey etc.) ab. SMS ist unsicher (SIM-Swapping).
3. Backups machen: Verlasst euch nicht auf die Cloud. Wenn ihr euer Masterpasswort vergesst, ist bei guten Managern (die keine Backdoor haben) Schicht im Schacht.
4. Kein SSO: Niemals.

Das PDF ist übrigens lesenswert, wenn man auf Schmerzen steht. Da sieht man schwarz auf weiß, welche Versionen getestet wurden (Stand Ende 2024/Anfang 2025). Die Hersteller geloben Besserung. Wer’s glaubt.

Zusammenfassung: Open Source > Cloud. Lokal > Server. KeePass > Rest.

Ende der Durchsage.

Lacher des Tages: Ihr dachtet, peinlicher als die Performance der Ampel damals geht es nicht mehr? Haltet mal kurz mein Bier. Die Alternative für Dummheit (AfD) setzt gerade zum großen geopolitischen Limbo an und tanzt unter der Niveaulatte durch, dass es selbst in Washington D.C. scheppert.

Die selbsternannten „Garanten der Souveränität“, die hierzulande bei jeder EU-Verordnung „Fremdherrschaft!“ brüllen, sind gerade auf Betteltour in den USA. Ziel der Mission: Den großen orangefarbenen Bruder bitten, die böse, böse Merz-Regierung in Berlin wegzumachen.

Man muss sich das mal auf der Zunge zergehen lassen: Da fliegen deutsche Bundestagsabgeordnete in die Hauptstadt einer fremden Supermacht, um dort aktiv Regime Change im eigenen Land zu fordern. Das ist kein Witz. Das ist die neue Strategie.

Soundtrack aus der Hölle: „Deutschland, Deutschland über alles“ in Manhattan

Fangen wir mit dem optischen und akustischen Brechmittel an. Es gibt Videoaufnahmen (liegen dem Spiegel vor, Paywall, kennt ihr ja), die zeigen, wie sich die AfD-Reisegruppe beim „New York Young Republican Club“ zum Affen macht.

Ein Opernsänger namens Emilio Pons schmettert die erste Strophe des Deutschlandlieds. Ja, genau die. Die, die man nur singt, wenn man historisch komplett merkbefreit ist oder – wahrscheinlicher – genau weiß, welches Klientel man bedient.

Und was machen die AfD-Leute? Stehen stramm. Hand aufs Herz. Singen mit. Zusammen mit den MAGA-Republikanern. Fun Fact: Die Nazis fanden die Strophe so geil, dass sie sie mit dem Horst-Wessel-Lied kombiniert haben. Heute ist sie zwar nicht verboten, aber wer sie bei offiziellen Anlässen singt, signalisiert damit: „Ich habe ein massives Problem mit der freiheitlich-demokratischen Grundordnung.“ Aber hey, ein paar Stunden vorher war man ja noch im US-Außenministerium. Da kann man abends schon mal die Maske fallen lassen.

Operation „Bückling“: Washington als Schlüssel zur Macht

Seit Monaten hört man aus der AfD intern den Satz: »Washington ist der Schlüssel.«

Die Logik dahinter ist bestechend simpel: Weil man es im eigenen Land politisch nicht geschissen kriegt und Angst vor einem Verbotsverfahren hat, hofft man auf Schützenhilfe von Donald Trump. Die AfD, die sonst immer „Deutschland zuerst“ plärrt, bettelt jetzt: „Bitte, bitte Onkel Donald, mach Druck auf Berlin!“

Der „Arbeitskreis Außen“ der AfD-Fraktion hat das sogar offiziell als erstes Ziel ausgerufen. Man will Kontakte schmieden, Netzwerke bauen, Stiefel lecken. Aktuell tingeln Markus Frohnmaier (ihr wisst schon, der Typ, der Menschen im Zweifelsfall „aus dem Land prügeln“ wollte? Nein? Egal.) und Kay Gottschalk durch Washington.

Man trifft sich mit Leuten wie Anna Paulina Luna. Das ist eine republikanische Abgeordnete, die auch schon die deutsche Rechtsaußen-Influencerin Naomi Seibt („Idioten-Greta“) gepusht hat. Luna hat auch Alice Weidel eingeladen. Aber Weidel, ganz die Diva, ist nicht mitgefahren. Warum? Weil sie auf eine offizielle Einladung aus dem Weißen Haus wartet. Die Frau hat Ansprüche. Unter „Staatsgast“ macht sie es nicht. Spoiler: Bisher liegt keine Einladung vor. Tja.

Die neue US-Strategie: Offener Angriff auf Europa

Jetzt wird es aber erst richtig düster. Das Ganze ist nämlich mehr als nur ein Cringe-Ausflug von ein paar Rechtspopulisten. Es trifft auf fruchtbaren Boden.

Das Weiße Haus hat am Freitag klammheimlich eine neue „Nationale Sicherheitsstrategie“ rausgehauen. Und die hat es in sich. Auf 33 Seiten wird Europa quasi zum Feindbild erklärt – oder zumindest zum Patienten, der zwangsbehandelt werden muss.

• Der Plan: Man müsse den „Widerstand gegen den aktuellen Kurs Europas innerhalb der europäischen Nationen kultivieren“.
• Das Werkzeug: Man setzt auf den „wachsenden Einfluss patriotischer Parteien“.

Übersetzung für alle, die kein Diplomatisch sprechen: Die USA erklären offiziell, dass sie die EU und nationale Regierungen wie die von Friedrich Merz destabilisieren wollen, indem sie Parteien wie die AfD fördern.

Das ist klassischer Imperialismus. Das ist Einmischung in innere Angelegenheiten. Das ist das Zeug, was die CIA sonst in Südamerika macht. Und die AfD? Die findet das geil. Frohnmaier jubelt: „Die Analyse der USA ist zutreffend.“ Man sieht sich als Speerspitze der MAGA-Bewegung in Europa. Man freut sich, dass der große Bruder endlich mal mit dem Gürtel droht.

Die Petz-Partei und das Schweigen im Walde

Die CDU rotiert natürlich. Außenminister Wadephul (CDU) sagt, er brauche keine Ratschläge zur Meinungsfreiheit aus den USA. Ex-Röttgen sieht eine „Bedrohung für die Demokratie“. Ach was? Blitzmerker. Das Papier liest sich wie eine „rechtsextreme Broschüre“, sagt der ehemalige französische Botschafter Gérard Araud.

Aber machen wir uns nichts vor: Die AfD agiert hier wie die ultimative Petz-Partei. Wie das Kind auf dem Schulhof, das dauernd verhauen wird, weil es Scheiße baut, und dann zum großen Bruder rennt: „Der Friedrich hat mir mein Förmchen weggenommen, hau den mal!“

Sie wollen einen Keil treiben zwischen die Merz-Regierung und die Trump-Regierung. Sie wollen sich als die wahren Statthalter Washingtons in Berlin inszenieren.

Fazit: Wir haben jetzt eine „patriotische“ Partei, die:

1. Nazihymnen in New York singt.
2. Sich von einer ausländischen Macht finanzieren und steuern lassen will.
3. Aktiv daran arbeitet, dass Deutschland zum Vasallen von Trumps Gnaden wird.

Wer die jetzt noch wählt, um „es denen da oben mal zu zeigen“, dem ist nicht mehr zu helfen. Holt das Popcorn, Freunde. Wenn Trump wirklich Ernst macht und offiziell interveniert, wird das hier noch eine ganz wilde Fahrt. Die „Souveränität“, von der die AfD immer faselt, geben sie gerade an der Garderobe im Trump Tower ab.

Mahlzeit.

Ihr erinnert euch an meinen Rant vom 19.11.? Ich habe mir jetzt mal die originale Pressemitteilung [PDF] zu diesem „SOOFI“-Projekt reingezogen. Setzt euch lieber hin. Es ist schlimmer, als wir dachten. Es ist deutscher, als wir befürchteten.

Das Projekt heißt ausgeschrieben „Sovereign Open Source Foundation Models“. Klingt erst mal nach Freiheit, Abenteuer und glühenden Grafikkarten. Das Ziel? Nichts Geringeres als die „europäische KI-Souveränität“. Wir wollen endlich souveräne Alternativen zu den Tech-Giganten aus den USA und China.

Der Plan: Ein Konsortium aus sechs Forschungseinrichtungen (Fraunhofer IAIS, Fraunhofer IIS, DFKI, diverse Unis) und zwei Startups (Merantix, ellamind) soll sich unter der Führung des KI Bundesverbands zusammenraufen. Ja, genau. Ein Komitee baut jetzt den GPT-Killer. Was soll da schon schiefgehen?

Der 20-Millionen-Witz

Kommen wir zum Elefanten im Raum, über den sich jeder kaputtlacht, der schon mal eine GPU-Rechnung gesehen hat: Das Bundesministerium für Wirtschaft und Energie (BMWK) fördert den Spaß mit 20 Millionen Euro.

Lest das nochmal. Zwanzig. Millionen.

Zum Vergleich: OpenAI verbrennt das wahrscheinlich an einem Vormittag für Catering und Klimaanlagen. Und damit wollen wir gegen Google, Meta und Anthropic anstinken? Die Pressemitteilung warnt selbst davor, dass wir „zu reinen Anwendern von Kerntechnologien“ werden und in eine „gefährliche Abhängigkeit“ geraten. Die Lösung gegen diese billionenschwere Gefahr ist also ein Budget, für das man im Silicon Valley gerade mal eine Seed-Runde für eine Toaster-App bekommt.

Tech-Museum 2026

Aber es wird noch besser. Das Projekt läuft bis Ende Juli 2026. Das Ziel ist ein 100 Milliarden Parameter großes Sprachmodell.

Versteht mich nicht falsch: 100B ist nett. Für 2023. Wir haben jetzt Ende 2025. Bis das Ding Mitte 2026 fertig ist (falls ein akademisches Konsortium jemals pünktlich liefert), lachen uns die Amis mit GPT-6 und Claude 5 aus. Wir bauen hier mit Steuergeldern den Trabant der KI-Modelle: Solide, reparierbar, aber 20 Jahre zu spät dran.

In der PM jammern sie, dass aktuell ein „europäisches LLM von ausreichender Größe fehlt“. Ja ach was! Vielleicht weil wir hier erst mal Arbeitskreise bilden, während andere trainieren?

Buzzword-Bingo für Fortgeschrittene

Natürlich reicht ein einfaches LLM nicht. Nein, wir brauchen „Reasoning-Modelle“ (LRMs). Das ist der heiße Scheiß, weil die Modelle dann „strukturiert denken“ können. Das ist für die deutsche Industrie „von großer Bedeutung“, weil man damit „komplexe regulatorische Zusammenhänge analysieren“ kann.

Da haben wir es! Das Modell wird nicht gebaut, um coole Dinge zu tun, sondern um Compliance zu machen! Das Modell soll nämlich explizit den Anforderungen des EU AI Acts entsprechen. Das ist das eigentliche USP: Es ist vielleicht nicht das schlauste Modell, aber es kann dir fehlerfrei erklären, warum deine Anfrage gegen Paragraph 17 Absatz 3 der EU-Verordnung verstößt. „European Values“ inside.

Die Infrastruktur des Grauens

Und wo läuft das Ganze? Auf AWS? Azure? Nein, wir sind ja souverän. Das Modell wird in der „Industrial AI Cloud“ der Deutschen Telekom trainiert. T-Systems stellt die „souveräne KI-Recheninfrastruktur“.

Ich sehe es schon vor mir: Das Training muss pausiert werden, weil der Techniker erst zwischen 8 und 14 Uhr kommen kann. Aber hey, es ist Teil von „8ra“ (gesprochen wohl „Aitra“? Keine Ahnung, klingt wie ein Bösewicht aus einem Bond-Film), einer Initiative von 12 EU-Staaten.

Fazit

SOOFI ist der klassische deutsche Versuch, ein Software-Problem mit Geld (aber zu wenig) und Gremien (zu viele) zu bewerfen. Die Forscher sind sicher fähige Leute. Dr. Flores Herr vom Fraunhofer freut sich, „Talente in Deutschland zu halten“. Das ist löblich. Aber der Anspruch, mit diesem Setup „souveräne Alternativen“ zu US-Tech zu schaffen, ist Realitätsverweigerung.

Wir bauen ein Open-Source-Modell, das:

1. Zu klein ist, um mit der Spitze mitzuhalten.
2. Zu spät kommt.
3. Primär darauf optimiert ist, „regulatorische Zusammenhänge“ zu verstehen.

Das ist keine „Aufholjagd“, das ist betreutes Wohnen für die deutsche KI-Landschaft.

Lacher des Tages: Das Ganze soll als Ausgangspunkt für „ressourceneffiziente Derivate“ dienen. Weil wir ja Strom sparen müssen. Währenddessen baut Microsoft das nächste Atomkraftwerk für sein Rechenzentrum.

Gute Nacht, Digitalstandort Deutschland.

Kurze Durchsage: Wer von euch Web-Hipstern dachte, es sei eine geile Idee, JavaScript nicht nur im Browser, sondern auch noch tief im Server-Core als „Server Components“ auszuführen, darf sich jetzt mal kräftig auf die Schulter klopfen. Ihr habt es geschafft. Wir haben einen neuen Log4Shell-Moment, nur diesmal in JavaScript.

Das BSI (ja, sogar die Behörden sind schon wach!) warnt aktuell vor einer katastrophalen Lücke in React Server Components (RSC) und Next.js. Und wenn ich „Warnung“ sage, meine ich: CVSS 10 von 10. Die Hütte brennt lichterloh.

Der Spaß nennt sich in Fachkreisen mittlerweile „React2Shell“. Klingt niedlich? Ist es aber nicht. Es ist der GAU für eure gehypten Full-Stack-Frameworks.

Was ist passiert?

Die Kurzfassung: Wenn ihr React Server Components nutzt (und das tun quasi alle modernen Next.js-Buden), können Angreifer ohne Authentifizierung aus der Ferne beliebigen Code auf euren Servern ausführen (RCE).

Das betrifft nicht irgendeine Nischen-Lib, sondern den heiligen Gral der Webentwicklung:

• Next.js (Der Elefant im Raum)
• React Router, Expo, Redwood SDK, Vite, Parcel, Waku
• Betroffene Pakete: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack.

Die betroffenen Versionen sind:

• React: 19.0, 19.1.0, 19.1.1, 19.2.0
• Next.js hat dafür sogar eine eigene CVE bekommen (CVE-2025-66478), weil es so schön kaputt ist, auch wenn die NVD das gerade bürokratisch hin und her schiebt.

Warum ihr Panik schieben solltet

Weil es trivial auszunutzen ist. Die Sicherheitsforscher sagen, sie konnten in Experimenten nahezu 100% der getesteten Systeme übernehmen. Kein kompliziertes Brute-Forcing, kein Social Engineering. Einfach ein paar Requests an die API ballern und zack – Shell.

Und wer nutzt den Kram? Laut Wiz läuft Next.js in 70% aller Cloud-Umgebungen weltweit. Davon hängen 44% direkt mit dem Hintern im offenen Internet. Das bedeutet: 39% aller Cloud-Umgebungen sind gerade potenziell offen wie ein Scheunentor.

Die Chinesen sind schon drin (kein Witz)

Das ist keine theoretische Übung. AWS meldet bereits aktive Ausnutzungsversuche. Und zwar nicht von Skript-Kiddies, sondern von „China-nahen, staatlichen Akteuren“. Die scannen das Netz ab, feuern ihre Payloads rein und schauen, was kleben bleibt.

Es gibt bereits öffentliche Proof-of-Concept Exploits. Jeder, der Google bedienen kann, kann jetzt eure „moderne Web-App“ kaputtmachen.

Indikatoren (IoCs) – Seid ihr schon owned?

Guckt in eure Logs. Jetzt. AWS hat Indikatoren veröffentlicht:

• HTTP-POST-Requests mit Headern wie next-action oder rsc-action-id.
• Request-Bodies, die $@-Muster enthalten oder "status":"resolved_model".
• Wenn euer Node-Prozess plötzlich whoami, id oder uname ausführt oder versucht, /etc/passwd zu lesen: Herzlichen Glückwunsch, ihr habt Besuch.

Was tun? (Außer Weinen)

Patcht den Mist. Sofort. Das BSI empfiehlt (nein, befiehlt durch die Blume) folgende Versionen zu installieren:

• React: Update auf 19.0.1, 19.1.2 oder 19.2.1
• Next.js: Update auf 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 oder 16.0.7

Wenn ihr das nicht könnt (weil Legacy-Hölle oder unfähige Dienstleister): WAF davor schnallen könnte helfen (Vercel und Co. haben Regeln), aber das BSI sagt ganz trocken: Wir wissen nicht, ob das wirklich alles abfängt. Patch ist die einzige echte Lösung.

Fazit: Wir bauen riesige Türme aus Abstraktionsschichten, lagern Logik auf den Server aus, die da nichts zu suchen hat, und wundern uns dann, dass uns alles um die Ohren fliegt. Wer React Server Components im offenen Netz betreibt und jetzt nicht patcht, handelt grob fahrlässig.

Viel Glück. Ihr werdet es brauchen.