Merz Buys the Tomahawk That Just Lost a War and is Out of Stock

Germany says it has made a defense deal with Trump to buy Tomahawk missiles. And, as you would expect, it’s immediately not going well.

CSIS reported in May that the US fired more Tomahawks while losing the Iran war than in any other campaign in history. Trump’s spray-and-pray attacks, directed by Palantir, wasted so many missiles to little effect that replenishing the inventory is a near-term risk for the United States.

Germany is announcing it will enter a queue behind the US Navy’s own restocking priority, for a subsonic 1970s-architecture missile, from a production line that has run at well under a hundred units a year. Someone in Germany has not been paying attention.

Delivery timeline? None.

Cost? Unstated.

Quantity? Unstated.

Germany’s leader Merz gave none of the details that make a deal a deal.

Meanwhile, Fire Point in Ukraine iterated the FP-5 from announcement to combat use in about a year, at something like a quarter of Tomahawk unit cost, delivering half a ton of explosive per warhead to destroy Russian war factories. Fire Point’s drone line has demonstrated strikes past 2,500 km, hitting the Omsk refinery in Siberia this week.

Germany acts like an old depleted 1,600 km American missile wait-list is big political news, while Germany is already funding Ukrainian long-range production directly. I mean, ELSA exists because Europe identified this dependency in 2024.

Deals involving Trump’s TLAM also means buying the broken mission-planning chain that comes with it, which is a strange hedge against an unreliable and unfriendly Washington. The strategic gap Merz says he’s closing was the sovereignty gap, and the Tomahawk Deal makes it open wider.

Germany should be embarrassed to announce any deal with Trump. But this deal in particular reads like a horrible joke.

Berlin Court Jails Another Healthcare Serial Murderer: Doctor Killed Patients and Burned Their Homes

The Berlin court says a doctor was committing heinous serial murders for over three years before German authorities stopped him. At least fifteen people are confirmed victims, with women being the vast majority.

The court said it was convinced after hearing the evidence that the doctor killed 12 women and three men during home visits between September 2021 and July 2024.

Prosecutors had described him as acting out of “a lust for murder.” They said he administered deadly cocktails of sedatives, including an anesthetic and a muscle relaxant that “paralysed the respiratory muscles, leading to respiratory arrest and death within minutes.”

On at least five occasions, prosecutors said, he set fire to victims’ apartments to cover up the killings.

Authorities have said they are still investigating dozens of other deaths possibly linked to Johannes M.

The victims, who were receiving care at the time, were aged between 25 and 94.

Burning nearly half their homes seems like the kind of clue that makes the timeline of inaction even worse. Indeed, it was the fires that tipped off police in 2024.

In the first case on June 11, firefighters who arrived at the scene were able to revive the victim, an 87-year-old woman, but she died at a hospital shortly afterward. On July 8, investigators say, the suspect killed a 76-year-old woman.

Further alleged killings of women, who were 72 and 94, followed on July 15 and 24.

Dozens of other deaths is an understatement, by a lot, given over 90 suspected murders. A German doctor, killing many dozens of patients, for years, and burning their homes.

Not yet seeing this story getting the kind of international coverage, given a long-time serial murderer and arsonist who abused his position of power and trust, that I would have expected.

Reminds me of the German “Rambo” nurse who was enabled by colleagues, killing hundreds of patients for sport.

In the early 2000s, Högel — whose nickname “Resuscitation Rambo” came from his predilection for dramatic resuscitations — was working at Oldenburg Clinic, where physicians noticed an unusual number of emergencies and deaths when he cared for patients. But the pattern was never reported to authorities…. Instead of alerting authorities, hospital leaders encouraged him to move on to another clinic — and later provided him with what police described as a “spotless” reference when he applied to a second facility in Delmenhorst. Once he arrived in Delmenhorst, the pattern intensified. A later review of hospital records found that out of 411 deaths recorded over three years in the intensive care unit, 321 occurred during or shortly after Högel’s shifts….

Hundreds murdered, and the staff and institutions around him didn’t stop it. Rambo was finally turned in by another nurse, a whistleblower, who had observed him injecting a patient with drugs to cause harm.

The BBC offers its readers this perspective on patient and guardian consent in the new Berlin case.

He told the court he had convinced himself that he was doing the right thing, sparing them “suffering and infirmity”.

“Throughout it all, I thought this was the best thing for everyone,” he said.

What’s next from the BBC, Hitler quotes about how he believed his Holocaust was for good? Do they even have senior editors anymore? He murdered people and lit their homes on fire!

Source: Mitchell and Webb sketch in which Nazi officers realize they are the bad guys.

Deutschland automatisiert Hackback und Desinformation, während die AfD der Macht näher rückt

Das BMI hat einen 691-seitigen Referentenentwurf veröffentlicht (5. Juli 2026, derzeit in der Ressortabstimmung, Verbändestellungnahmen angefordert), der das deutsche Nachrichtendienstrecht von Grund auf neu schreibt: ein neues BVerfSchG, ein neues BNDG und erstmals ein eigenes Stammgesetz für den Unabhängigen Kontrollrat (UKRat), dazu sechzehn Änderungen an Gesetzen vom Vereinsgesetz bis zur Abgabenordnung.

Der Entwurf macht einige sehr merkwürdige Züge. Ein paar davon gehe ich hier durch.

Wer so etwas entwirft, entwirft einen Werkzeugkasten unter der Annahme, die AfD werde niemals das Innenministerium übernehmen. Aufgebaut wird eine Lizenz zur Täuschung und Intervention im Inland, mit einer Aufsicht, die in einem einzigen Gremium gebündelt ist — dessen Vorabkontrolle die Amtsleitung per selbstzertifizierter Eilbedürftigkeit aufschieben kann. Aufschieben, ja, technisch keine Umgehung, weil die Anordnung ohne Bestätigung außer Kraft tritt. Aber mal ehrlich: Bei verdecktem Fire-and-Forget wird die gesamte Aufsichtsbürokratie bedeutungslos. Falschinformationen sind injiziert, Daten gelöscht — das sind längst entlaufene Pferde, nachdem das Scheunentor offen stand. Die AfD schnallt sich vermutlich schon die Sporen an.

Deutschland hat derzeit eine kremltreue, NS-affine Partei an oder nahe der Spitze der Bundesumfragen. Die Weimar-Lektion, präzise formuliert, lautet nicht, dass der Staat zu schwach oder zu stark war. Sie lautet: Die Verteidiger der Verfassung bauten Instrumente, die intakt an ihre Feinde übergeben wurden. Die Gestapo hat die preußische politische Polizei nicht aufgebaut; sie hat sie per Preußenschlag geerbt.

Vor allem die Polizeipräsidenten werden ausgetauscht. Hitlers SA- und SS-Mannen haben keinen Grund mehr, die preußische Polizei zu fürchten.

Es sind die handwerklichen Fehler dieses Dokuments, die das Erbrisiko katastrophal machen. Ein gut instrumentiertes System bindet jeden, der es benutzt; wir haben immer gesagt: leicht richtig zu benutzen, schwer falsch zu benutzen. Der BMI-Entwurf ist stattdessen fail-open — wie eine geladene Waffe, ausgehändigt mit abgefeilter Sicherung und einem regenbogenfarbenen „Do no evil“-Aufkleber darauf.

Man nehme die neuen „Effizienz“-Behauptungen. Auf dem Papier sieht es nach Aufsicht aus, denn der Entwurf dehnt die Vorabkontrolle auf weitere Maßnahmetypen aus und behält den Namen der BfDI sogar in einer Paragraphenüberschrift. Aber Aufsicht heißt Redundanz, und davon gibt es keine. Drei unabhängige Kontrollinstanzen (G10-Kommission, BfDI, UKRat) werden zu einer einzigen komprimiert. Die G10-Kommission, 1968 als verfassungsrechtlicher Preis für die Einschränkung des Art. 10 geschaffen, ist einfach weg — ihre Abschaffung als Haushaltseinsparung verbucht. Redundante, sich überlappende Kontrolleure sind das Rückgrat jeder Aufsicht, das Gegenteil von Verschwendung: vorgelagerte Investitionen, die einander gegenprüfen und nicht alle gleichzeitig vereinnahmt oder ausgehungert werden können, was nachgelagerte, teure Katastrophen verhindert. Wenn interner und externer Prüfer dieselbe Person sind, die an sich selbst berichtet, reden wir über Enron (ich habe bei Arthur Andersen eine Computer-Risk-Praxis über fünf Bundesstaaten geleitet, ich kann davon erzählen). Der Entwurf stellt ein einziges Gremium mit gerade einmal 8,86 Mio. Euro pro Jahr auf, um einen Apparat zu kontrollieren, der allein für den IT-Betrieb des BfV 269 Mio. Euro pro Jahr ausgibt. Dreißig zu eins, Fähigkeit zu Kontrolle — als ließe sich Kontrolle abwerten, obwohl sie der Werthebel der Fähigkeit ist. Am falschen Ende gespart.

Man nehme, als weiteres Beispiel, die deutsche Geschichte. Das Trennungsgebot existiert wegen des Polizeibriefs und des Gestapo-Präzedenzfalls: eine Behörde, die zugleich beobachtete und handelte, verdeckt, ohne richterliches Verfahren. Dieses Dokument erwähnt auf 691 Seiten weder Gestapo noch Stasi noch die historische Begründung der Trennung. Der Entwurf zitiert ausschließlich BVerfG-Rechtsprechung ab 2013, als wäre das Prinzip eine datenschutzrechtliche Formalie und nicht eine Geschichtslektion namens „Nie wieder“.

Der vielleicht sonderbarste Zug von allen, sonderbarer noch als Deutschlands Weigerung, den NS-Präzedenzfall zu benennen: Automatisiertes Hackback wird damit begründet, menschliche Prüfung leiste „keine relevante Qualitätssicherung“.

Ein Zwischenschritt menschlicher Bearbeitung leistet hier keine relevante Qualitätssicherung, verzögert aber Abwehr erfolgsgefährdend.

Das ist verkehrt herum, gemessen am Kanon des Hackback wie an der Automationssicherheit. Mit einem Wort: Bockmist. Ein Gegner, der eine automatisierte Reaktion kartiert, besitzt sie: Wer die Auslösebedingungen lernt, kann staatliche Gegenmaßnahmen in Friendly Fire umlenken. Der Entwurf deutet Qualität an (Genauigkeit, Robustheit, Cybersicherheit — Kriterien aus der EU-KI-Verordnung entlehnt, von deren Geltung er sich zugleich ausnimmt) und quantifiziert nichts. Keine Fehlertoleranz, keine Schwelle für Attributionssicherheit, keine Drittschadensanalyse, nichts. Die automatisierten Maßnahmen selbst — Umleitung von Datenverkehr und Löschung von Daten — liegen genau in der Kategorie geteilter Infrastruktur, in der Fehlattribution unbeteiligte Dritte trifft: „Angreifer“-Daten auf einem kompromittierten Host gelöscht, und der Server eines Opfers ist zerstört. Das sind sehr, sehr alte Streitpunkte des Hackback, die hier null Beachtung finden: Wir haben das 2013 auf meinem Blog verhandelt — und der Entwurf übernimmt die unterlegene Seite ohne die Debatte. Die Begrenzung auf Cyberangriffs-Kontexte ist eben genau: geteilte Infrastruktur, umstrittene Attribution, Maschinengeschwindigkeit. Automation im Wilden Westen, wo man sie am wenigsten will.

Und der Wilde Westen hat jetzt auch seinen Waffenhändler. Versteckt in den Übermittlungspflichten (§ 10 Absatz 2 BNDG, entdeckt von Sven Herpig auf LinkedIn) wird das BSI, die Bundesbehörde, deren gesetzlicher Auftrag das Schließen von Schwachstellen ist, zur verpflichteten Zulieferstelle des BND: Schwachstellen roh und unbearbeitet („ohne vorherige Aufarbeitung“), 0-Days eingeschlossen. Die Begründung argumentiert für den Angriff:

Der Bundesnachrichtendienst nutzt regelmäßig Schwachstellen zur nachrichtendienstlichen Auslandsaufklärung.

[…]

Jegliche zeitverzögernde Prozesse minimieren die Nutzungswahrscheinlichkeit drastisch.

Die Zeit bis zur Behebung wird damit amtlich zum Erntefenster des BND erklärt. Kein Abwägungsprozess wiegt mehr den Wert der Verteidigung gegen die Eile zum Angriff. Herpig berichtet zudem, das Bundeskanzleramt habe im Namen des BND acht Jahre lang genau dieses gesamtstaatliche Schwachstellenmanagement blockiert, um jetzt stattdessen die einseitige Angriffszulieferung in den Entwurf zu schreiben. Sein Fazit: Kein Sicherheitsforscher wird dem BSI je wieder eine Schwachstelle melden. Die Behörde, der man Risiken meldet, ist jetzt per Gesetz auch die Annahmestelle der Behörde, die sie ausnutzt.

Bemerkenswert: Das Wort Desinformation beschreibt im Entwurf ausschließlich Gegner (z. B. Russland), nie deutsche Maßnahmen. Wenn der Inlandsnachrichtendienst dasselbe tut (§ 60 Absatz 2 Nummer 1 Buchstabe c: Falschinformationen über Vertrauenspersonen in Netzwerke einspeisen, um Verhalten zu steuern), heißt es „Schutzmaßnahme“. Es ist aber dasselbe. Das erinnert daran, wie lange vor der Bundesrepublik Nicolais Abteilung IIIb Desinformation als Aufklärung betrieb. Wo hier der Euphemismus auftaucht, sehe ich eine inländische Täuschungslizenz — eine Lizenz zur Desinformation — für die Behörde, deren Auftrag die Beobachtung politischer Bestrebungen ist.

Deutschland hat soeben staatliche Desinformation ins Gesetz geschrieben. Deutschland. Ausgerechnet. Deutschland.

Schon 2012 habe ich weltweit offen für Hackback geworben, und 2023 hielt ich am National Security Seminar der William & Mary Law School einen Vortrag mit dem Titel „The Heaviest of Burdens: Hackback“. Irgendwo hier liegt noch das Schützenvereins-T-Shirt als Beweis. Ich bin also nicht die übliche Bürgerrechtsstimme. Und gerade als langjähriger, führender Hackback-Befürworter, wenn auch zugegeben ein alter Seebär, sage ich: Dieses Dokument riecht nach Kunstfehler.

Die verfassungsfeindliche Partei bekämpft man mit dem öffentlichen, gerichtlichen Instrument, das genau dafür gebaut wurde, Artikel 21, damit Deutschland nie wieder eine geheime politische Polizei braucht. Richtig? Ist das Mikro an? 1932 versagte der Rechtsweg, weil er erst kam, nachdem der Apparat den Besitzer gewechselt hatte. Die Transparenz gut konstruierter, fail-safe gebauter Instrumente ist das, was feindliche Übernahmen übersteht — während das eilige, selbstzertifizierte, verdeckte Zeug wie dieses hier später stets als stumpfes Übernahmeinstrument studiert wird.

Fearful Trump Sends Gifted Air-Force One to EU for Protection from Iran

Trump, like Elon Musk, keeps talking about how he’s in danger. His latest move is to stop flying his new plane gifted by a foreign government, because it’s apparently unsafe.

When a reporter followed up on why he wasn’t taking the new plane, Trump said it was flying to military bases “where we can show it to the people.”

“And we’ll be going home by normal methods,” he said. “But we have it going to Europe to a couple of bases, actually one in particular, but it’s going to a couple of bases so the soldiers can see it because it’s truly magnificent.”

He announced earlier Wednesday that he would send the new plane to Royal Air Force Mildenhall in the United Kingdom and instead would take the older plane.

More to the point, it’s being called unfit for international airspace.

The Associated Press reported last week that the new plane appears not to be equipped with some of the same missile detection and countermeasure systems as the older planes, and one expert told the outlet the Qatari plane seemed better for domestic trips.

Sending it to the EU for military review is a weak move, given how often Trump criticizes and threatens the EU with removing his military support of them.