
by Robin Dost
Ein Kommentar aus der Praxis der Cyber Threat Intelligence
PETITION UNTERSCHREIBEN
This article is written in German, since it concerns German domestic policy and legislation.
If you’d like to read it in English, you can do it here.
Am 2. Juli 2026 hat der Koalitionsausschuss von CDU, CSU und SPD unter Punkt 32 seines Papiers “Ein Programm für Aufschwung und Beschäftigung” beschlossen, das Informationsfreiheitsgesetz (IFG) umzubauen. Verkauft wird das als “Bürokratieabbau”.
Was tatsächlich auf dem Tisch liegt, ist die faktische Abschaffung eines Gesetzes, das seit 2006 jedem Menschen einen voraussetzungslosen Anspruch auf amtliche Informationen gibt, ohne Begründung, ohne Nachweis eines Interesses, unabhängig von Staatsangehörigkeit.
Auf den ersten Blick ist das nicht mein Thema.
Ich mache Cyber Threat Intelligence: Malware-Analyse, Infrastruktur-Attribution, das Nachverfolgen staatlicher und krimineller Akteure.
Kein Bürgerrechts-Aktivismus und noch keinen investigativen Journalismus.
Aber je länger ich über die konkreten Punkte dieses Gesetzesvorhabens nachdenke, desto klarer wird: Das trifft unsere Arbeit direkt.
Und zwar an einer Stelle, an der sie ohnehin schon dünn ist.
Was konkret geplant ist
Bevor ich zur CTI-Perspektive komme, die harten Fakten.
Die Koalition plant im Kern fünf Änderungen:
Erstens: Nachweis eines “berechtigten Interesses”
Bislang muss niemand begründen, warum er eine Anfrage stellt.
Künftig soll man nachweisen, dass man ein “berechtigtes Interesse” hat und die Information “nicht durch andere Regelungen erreichen” kann.
Was ein berechtigtes Interesse ist und wer darüber entscheidet, lässt der Beschluss offen.
Das das ist das Einfallstor: Ein unbestimmter Rechtsbegriff, den die anfragende Behörde selbst auslegt, wird zum Ermessensspielraum für Ablehnungen.
Zweitens: Ausschluss juristischer Personen
Anfragen sollen nur noch “natürliche Personen” stellen dürfen.
Organisationen, von der Deutschen Umwelthilfe über Amnesty International bis FragDenStaat, wären raus.
Und für unsere Branche relevant: eine GmbH, ein eingetragener Verein, ein als Unternehmen firmierendes Research-Outfit ebenfalls. Wer CTI nicht als Privatperson, sondern unter einer Rechtsform betreibt, verliert den Zugang.
Drittens: Staatsangehörigkeitsprüfung
Geprüft wird, ob der Zugang auf “in Deutschland lebende Deutsche und Unionsbürger” beschränkt wird.
Das bedeutet: Mit jeder Anfrage käme eine Staatsbürgerschaftsprüfung.
GreenPeace weist zu Recht darauf hin, dass es eine solche nationalistische Wende beim Informationsrecht nicht einmal in den USA unter Trump gibt, dort kann sich jede Person weltweit auf den Freedom of Information Act berufen, unabhängig von Nationalität und Wohnort.
Viertens: Pauschale Schwärzung von Mitarbeiternamen
Die Namen von Behördenmitarbeitenden, auch von Entscheidungsträgern sollen routinemäßig geschwärzt werden.
Offizielle Begründung: Schutz vor Anfeindungen.
Effekt: Individuelle Verantwortung für amtliche Entscheidungen wird unsichtbar.
Fünftens: Wegfall der Gebührenobergrenze
Die aktuelle Deckelung bei 500 Euro soll fallen.
Gebühren sollen dem “Kostendeckungsprinzip” folgen.
FragDenStaat/netzpolitik beschreiben, dass komplexe Anfragen dann mehrere tausend Euro kosten könnten.
Das ist keine Zugangsbeschränkung per Gesetz, sondern per Preisschild.
Subtiler, aber genauso wirksam.
Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider warnte vor einer “Abschaffung der seit zwanzig Jahren bestehenden Informationsfreiheit”.
Arne Semsrott von FragDenStaat nennt es den “schwersten Angriff auf staatliche Transparenz in der Geschichte der Bundesrepublik“.
Und für mich ist es Zensur mit Verwaltungsvokabular.
Das ist der Kontext.
Jetzt zu uns.
Warum das CTI-Arbeit trifft: vier konkrete Punkte
1. Behördendokumente sind CTI-Primärquellen
In der öffentlichen Threat-Intelligence-Arbeit sind staatliche Dokumente keine netten Zusatzquellen, sondern harte Primärquellen.
BSI-Lageberichte, Abschlussberichte zu konkreten Vorfällen, interne Bewertungen von Warnungen, Kooperationsvereinbarungen zwischen Sicherheitsbehörden. Das ist Material, mit dem man Attribution untermauert, staatliche Einschätzungen gegen eigene Analysen hält und die Entscheidungslogik hinter offiziellen Warnungen versteht.
Zwei Beispiele aus meiner eigenen Recherche zu erfolgreichen IFG-Anfragen zeigen den Wert:
- Die interne BSI-Akte zur Kaspersky-Warnung 2022:
Rund 370 Seiten, per IFG befreit, legte offen, dass die Warnung nach § 7 BSIG im direkten Ukraine-Kontext erging und wie der Entscheidungsprozess zwischen BSI und BMI tatsächlich lief. Ein IT-Sicherheitsrechtler bewertete auf Basis dieser Akte, das BSI habe “vom Ergebnis her” gearbeitet, also politisch statt rein technisch begründet.
Diese Einordnung ist nur möglich, weil die internen Dokumente zugänglich wurden.
Genau das ist die Art von Metaebene, die seriöse CTI von PR-Nacherzählung unterscheidet. - Die freigeklagten FinFisher/Elaman-Verträge des BKA offenbarten, für welche Summen der Staat kommerzielle Spyware beschafft und wie diese Beschaffung strukturiert ist.
Für jeden, der zu Commercial-Surveillance-Vendors und deren Ökosystem arbeitet, ist das Referenzmaterial.
Fällt das IFG in seiner heutigen Form, fällt der Rechtsweg zu genau diesem Material.
Nicht die Dokumente verschwinden, der Anspruch darauf verschwindet.
2. Wer unter einer Rechtsform arbeitet, verliert den Zugang
Hier wird es für unser Segment besonders unangenehm. CTI-Research findet in Deutschland zunehmend nicht im luftleeren Raum, sondern unter Rechtsformen statt: als GmbH, als UG, als Verein, als Institut mit akademischer Anbindung.
Genau diese Professionalisierung, die man politisch angeblich fördern will (Stichwort StartUpSecure, Gründungsförderung im Sicherheitsbereich), wird beim Informationszugang bestraft: Juristische Personen sollen keine Anfragen mehr stellen dürfen.
Das erzeugt eine absurde Zweiklassenlage.
Der Hobbyist, der abends als Privatperson Malware seziert, dürfte theoretisch noch fragen (sofern er das “berechtigte Interesse” nachweist). Das Research-Unternehmen, das genau dieselbe Arbeit hauptberuflich, methodisch und reproduzierbar macht, ist ausgeschlossen.
Für ein Feld, in dem Seriosität und Nachvollziehbarkeit alles sind, ist das ein Anreiz in die exakt falsche Richtung.
Und dieser Anreiz trifft auf eine Rechtslage, die für unabhängige CTI-Arbeit ohnehin schon von Fallstricken durchzogen ist. Wer als Solo-Researcher Malware seziert, Infrastruktur nachverfolgt und offensive Methoden anwendet, bewegt sich in Deutschland in einem Terrain, das erst durch richterliche Auslegung halbwegs begehbar wurde.
Der § 202c StGB der „Hackerparagraph” stellt schon das Herstellen, Verschaffen und Verbreiten von Werkzeugen unter Strafe, deren Zweck das Ausspähen oder Abfangen von Daten ist.
Der Gesetzeswortlaut selbst trennt dabei nicht sauber zwischen Angriffs- und Verteidigungswerkzeug, obwohl beide Seiten dieselben Tools nutzen.
Erst das Bundesverfassungsgericht hat 2009 die Schärfe genommen: Dual-Use-Software falle nicht unter den objektiven Tatbestand, maßgeblich sei der Zweck, mit dem ein Programm hergestellt wurde, nicht seine bloße Eignung.
Wer solche Programme im Auftrag und mit Einverständnis des Verfügungsberechtigten einsetzt, handle nicht „unbefugt”.
Und genau an der Stelle bricht es für unabhängige Researcher zusammen.
Denn diese Straffreiheit hängt am Einverständnis dessen, dem das untersuchte System gehört.
Der beauftragte Pentester hat es, der unabhängige Analyst, der fremde C2-Infrastruktur eines Angreifers seziert, hat es strukturell nie.
“Verfassungskonforme Auslegung im Einzelfall” ist ohnehin kein Zustand, auf den man seine berufliche Existenz gern gründet.
Vor diesem Hintergrund ist das IFG bemerkenswert: Es war einer der ganz wenigen Kanäle, über die man als unabhängiger Analyst völlig sauber und unstrittig an relevantes Material kam, kein Dual-Use-Problem, keine Grauzone, kein Auslegungsrisiko, sondern ein klarer gesetzlicher Anspruch.
Genau diesen einen rechtssicheren Kanal jetzt zu verengen, während alles andere weiter Grauzone bleibt und die Reform, die das klären soll, seit Jahren nicht kommt, das ist der eigentliche Witz an der Sache.
Man nimmt uns das Werkzeug weg, das nie umstritten war und lässt uns mit denen zurück, die es immer waren.
3. Attributionsarbeit lebt von nachvollziehbarer Verantwortung
Meine Arbeit ist akteurszentriert.
Ich verfolge, wer hinter Infrastruktur und Kampagnen steht und mache Entscheidungslogik sichtbar, das ist der ganze Punkt bei Attribution.
Die pauschale Schwärzung von Mitarbeiternamen zieht dieselbe Verschleierung, die wir bei Bedrohungsakteuren mühsam durchdringen, jetzt über den Staatsapparat selbst.
Man kann über den Schutz einzelner Beschäftigter vor Anfeindungen reden, das ist ein legitimes Anliegen und in konkreten Bedrohungslagen absolut nachvollziehbar. Aber eine pauschale Schwärzung aller Namen, inklusive der Entscheidungsträger, ist etwas anderes: Sie macht unmöglich, nachzuvollziehen, wer welche Warnung, welche Nicht-Warnung, welche Beschaffung verantwortet hat.
Für Attributionsarbeit, deren Kern die Zurechnung von Handlungen zu Akteuren ist, ist eine Verwaltung, die sich selbst deanonymisiert-immun stellt, ein methodisches Ärgernis mit Symbolwirkung.
4. Der Ukraine-Russland-Komplex wird noch dunkler
Ein erheblicher Teil relevanter CTI-Arbeit in Europa dreht sich um staatliche russische Aktivität: Cyberoperationen, Sabotage kritischer Infrastruktur, Desinformation.
Der deutsche Staat sitzt auf einem großen Teil der relevanten Lageeinschätzungen.
Schon heute ist der Zugang dazu schwierig: Anfragen zu Attributions- und russlandnahen Dokumenten werden regelmäßig unter Sicherheitsvorbehalten abgelehnt und die Nachrichtendienste sind über das IFG ohnehin praktisch verschlossen.
Das IFG war bisher wenigstens das Werkzeug, mit dem man an den Rändern dieses Komplexes Licht bekam, bei zivilen Behörden wie dem BSI, bei Prozessdokumenten, bei Governance-Fragen.
Verengt man den Zugang auf “berechtigtes Interesse”, das die Behörde selbst auslegt, dann werden ausgerechnet die sicherheitspolitisch heikelsten Themen die ersten sein, bei denen abgelehnt wird.
Der Bereich, in dem unabhängige Analyse am dringendsten gebraucht wird, wird der am stärksten abgeschottete.
Das eigentliche Problem: unabhängige Analyse braucht Rohdaten
Es gibt ein Muster, das über die einzelnen Punkte hinausgeht.
Gute Threat Intelligence, die Art, an der ich mich versuche, funktioniert nur, wenn sie an Primärmaterial kann und nicht auf offizielle Zusammenfassungen angewiesen ist.
Der ganze Wert unabhängiger Analyse liegt darin, die staatliche Darstellung überprüfen zu können, statt sie nachzuerzählen. Wer nur noch die kuratierte Pressemitteilung bekommt, produziert keine Intelligence, sondern Stenografie.
Die Kaspersky-Akte ist dafür das Musterbeispiel: Die offizielle Version war “technische Sicherheitswarnung”.
Die internen Dokumente zeigten einen politisch getriebenen Prozess.
Beide Darstellungen sind für einen Analysten wichtig, aber die zweite bekommt man nur über Informationsfreiheit.
Nimm das IFG weg und die einzige verbleibende Version ist die offizielle.
Das wirkt für mich nicht wie Bürokratieabbau, sondern eher wie eine Monopolisierung der Deutungshoheit.
Und noch etwas ist bemerkenswert:
Viele der wegweisenden Grundsatzurteile zum Informationszugang wurden von Organisationen erstritten, von genau den juristischen Personen, die künftig ausgeschlossen sein sollen?
Einzelne Privatpersonen haben selten die Ressourcen, eine Ablehnung durch alle Instanzen zu klagen.
Schließt man Organisationen aus, kappt man nicht nur den Anfrageweg, sondern auch den Weg, über den das Recht auf Zugang überhaupt erst durchgesetzt und weiterentwickelt wird.
Was das für uns praktisch bedeutet
Nüchtern betrachtet heißt das Gesetzesvorhaben für CTI-Arbeit in Deutschland:
- Solange das aktuelle IFG gilt, sollte man die noch offenen Türen nutzen.
Konkret benannte Dokumente beim BSI, Vorfalls-Abschlussberichte, Kooperationsvereinbarungen, das Zeug, das heute noch herausgegeben wird, sollte jetzt angefragt und archiviert werden. Was einmal befreit und veröffentlicht ist, bleibt zugänglich, egal was das Gesetz später sagt - Dokumentation und Weiterverbreitung werden zum Wert an sich.
Wenn der Zugang enger wird, steigt der Wert dessen, was bereits öffentlich ist.
Plattformen, die IFG-Dokumente dauerhaft zugänglich halten, werden für die Community wichtiger, nicht unwichtiger
Mein Fazit
Was als “Bürokratieabbau” etikettiert ist, wirkt viel mehr wie ein aufziehen von Mauern,
Und es trifft nicht nur Journalisten und NGOs, wie es die öffentliche Debatte gerade nahelegt.
Sie trifft jeden, der in diesem Land unabhängige, faktenbasierte Analyse staatlichen Handelns betreibt.
(Cyber) Threat Intelligence gehört dazu, auch wenn wir in der Debatte bisher nicht so wirklich vorkommen.
Der Kern unserer Arbeit ist, Dinge sichtbar zu machen, die verborgen bleiben sollen.
Es ist eine bittere Ironie, dass ausgerechnet der Staat, dessen Sicherheitsbehörden auf diese Zuarbeit angewiesen sind, gerade dabei ist, sich selbst dunkler zu stellen.
In Zeiten “einer komplexen Bedrohungslage von innen und von außen”, mit diesen Worten begründet die Koalition ihr Vorhaben ja selbst, ist mehr unabhängige Analyse nötig, nicht weniger.
Und mehr unabhängige Analyse braucht mehr Zugang zu Rohdaten, nicht ein Preisschild und eine Gesinnungsprüfung davor.
Über die Personen, die diesen Vorstoß vorantreiben, spare ich mir jeden Kommentar.
Nur so viel: Es ist ein bemerkenswerter Zufall, dass zum Teil ausgerechnet jene an vorderster Front stehen, deren eigene Affären erst durch das IFG ans Licht kamen.
Wer die staatliche Resilienz wirklich erhöhen will, macht das Licht nicht aus.
Wer die Pläne stoppen will, findet die Petition und den offenen Brief bei FragDenStaat.
Es ist eines der wenigen Male, bei denen ich glaube dass ein Klick messbar etwas bewegt, 2025 hat eine ähnliche Petition mit über 430.000 Unterschriften einen fast identischen Vorstoß bereits einmal abgewehrt.
Referenzen:
https://weact.campact.de/petitions/spd-stoppt-den-frontalangriff-auf-die-informationsfreiheit
https://taz.de/IFG-Reform-auf-Bundesebene/!6192998
https://fragdenstaat.de/artikel/policy/2026/06/informationsfreiheits-fiasko-mit-ansage
https://fragdenstaat.de/artikel/exklusiv/2025/04/ifg-wird-nicht-abgeschafft
https://fragdenstaat.de/artikel/klagen/2022/08/wir-haben-das-bka-verklagt-und-gewonnen
https://fragdenstaat.de/dokumente/182219-ifg-akte-zur-kaspersky-warnung/