Abfrage von Polizeidatenbanken

IM Hessen: Banalitäten statt Verbesserungen, mehr Komfort für Polizisten

Banalitäten statt echter Verbesserungen, jedoch mehr Komfort für Polizisten. Das plant Hessen’s Innenminister Beuth gegen illegale Datenbankabfragen. Wir haben diese Ankündigungen einem Check auf Praktikabilität und Wirksamkeit unterzogen.

Der hessische Innenminister Beuth, in Bedrängnis geraten durch illegale Abfragen von Polizeidatenbanken und der möglichen Verwendung solcher Daten durch ‚NSU2.0‘ stellte Entschlossenheit zur Schau: Am 13.08.2020 veröffentlichte sein Ministerium eine längliche Pressemitteilung zur inneren Sicherheit, in der unter anderem auch Verbesserungen angekündigt werden gegen die illegale Abfrage von Polizeidatenbanken durch Polizeibeamte [pm hmdis].

Die neuen (?!) Vorkehrungen gegen illegale Datenbankabfragen – auf den Prüfstand gestellt

Seit Dezember 2018 seien, so heißt es in der Pressemitteilung, „strenge Kontrollmechanismen eingeführt“ worden:

Anlassunabhängige Stichprobenkontrollen

Solche Stichprobenkontrolle durch die Polizei sind nicht neu. In jeder Polizeibehörde gibt es einen oder mehrere behörden-interne Datenschutzbeauftragte. Sie überprüfen durch Stichproben vor allem, ob der Polizeibeamte bei der Datenbankabfrage einen Grund für die Abfrage eingegeben hat. Denn personenbezogene Daten in Polizeidatenbanken dürfen nicht „einfach so“, z.B. aus persönlicher Neugier dort abgefragt werden. Sondern es muss für jede Abfrage einen triftigen Grund geben, der sich aus einem aktuellen polizeilichen Vorgang ergibt.

Pflicht zur Protokollierung trifft den verantwortlichen Betreiber = das Hessische Polizeipräsidium für Technik

Die Pflicht zur Protokollierung trifft den verantwortlichen Betreiber des Informationssystems, aus dem die Abfragen getätigt werden. In Hessen ist das der ‚POLAS Auskunftsclient Inpol-Land-Auskunfts-Client (ILAC)‘, wie uns das Hessische Polizeipräsidium für Technik (HPT) vor wenigen Tagen mitgeteilt hat. Dieses ‚Polizeipräsidium‘ ist eine Abteilung im Hessischen Innenministerium und der verantwortliche Betreiber des POLAS Informationssystems und des darin enthaltenen POLAS Auskunfts-Clients.

Pflicht zur Protokollierung ergibt sich aus dem Hessischen Datenschutzgesetz (HDSIG)

Die Pflicht zur Protokollierung ergibt sich aus §71, Abs. 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetz (HDSIG) vom 03.05.2018. Der lautet:

„(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:
1.    Erhebung,
2.    Veränderung,
3.    Abfrage,
4.    Offenlegung einschließlich Übermittlung,
5.    Kombination und
6.    Löschung.“

Es ist eine Selbstverständlichkeit, dass der datenschutzrechtlich Verantwortliche, also das HPT, auch Stichproben durchführt, ob die Nutzer die notwendigen Information liefern für die gesetzlich vorgeschriebene Protokollierung.

Die Nennung des Abfragegrundes

Die „Nennung des Abfragegrundes bei jedem Abfragegrund“ wird in der Pressemitteilung als „strenge Kontrollmaßnahme“ verkauft. Das ist der Versuch, Medien und die Leser für dumm zu verkaufen: Denn die Nennung des Abfragegrundes bei jeder einzelnen Datenbankabfrage aus Polizeidatenbanken ist keine Frage des Goodwills oder der politischen Entschlusskraft eines Innenminister Beuth. Vielmehr ergibt sich dies in Hessen aus §71, Abs. 2 HDSIG und ist mindestens seit 2018 verpflichtende Rechtsgrundlage. Dort steht:

„(2) Die Protokolle über Abfragen und Offenlegungen müssen [sic!] es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person *], die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.“

*]   Warum war es trotz dieser gesetzlichen Vorgabe in Hessen nicht möglich, die Identität jedes abfragenden Beamten festzustellen?? Warum wurden und werden überhaupt Gruppenkennungen vergeben??

Tiefergehende Überprüfung jeder 50. Abfrage

Jede 50. dieser Abfragen werde „tiefergehend überprüft“, heißt es in der Pressemitteilung weiter. Auch das ist eine Selbstverständlichkeit: Insbesondere dann, wenn wie in Hessen, eklatant viele illegale Datenbankabfragen festgestellt wurden UND die Täter dafür NICHT festgestellt werden konnten: So, wie es für den Lagerverantwortlichen in einem Großhandelslager vollkommen selbstverständlich ist, seine Kontrolltätigkeit zu verschärfen, wenn es zu vermehrten Diebstählen aus seinem Lager gekommen ist.

Periodisches Zurücksetzen der individuellen Kennungen

Alle drei Wochen eine neue Kennung für jeden der 15.500 Polizeibeamten – ein immenser Aufwand

Gerne würde ich persönlich – nach einigen Jahren praktischer Erfahrung in Polizeibehörden – die ungefilterten Meinungsbekundungen von Polizeibeamten auf die Frage hören, was sie denn davon halten, dass „alle individuellen Zugangsberechtigungen für die gesamte hessische Polizei in einem dreiwöchigen Turnus zurückgesetzt und neu vergeben“ werden. Zum einen ist damit erfahrungsgemäß ein relativ großes Chaos garantiert: Gerade in Urlaubszeiten. Wo viele nicht da waren, als die hilfreich gemeinten, erläuternden Emails vom Helpdesk aufgelaufen sind. Die nach Urlaubsende im Wust von hunderten anderer wichtiger Emails (wie z.B. … „die Kantine im Behördenkomplex ABC bietet im August ausgewählt sommerlich-leichte Kost für Daheimgebliebe an …“) leicht übersehen werden.

Zum anderen wird durch die kurzfristig-periodische Neuvergabe von Kennungen viel Aufwand produziert **], sowohl auf Seiten der Administration, als auch auf Seiten der Nutzer. Denn mit jeder neuen Kennung kommt ja auch das – sicher auch Ihnen aus dem Büroalltag bekannte – Prozedere in Gang: Mit der neuen Kennung wurde ein neues, automatisch generiertes Passwort vergeben. Bei der ersten Anmeldung erhält der Nutzer die Aufforderung dieses Passwort zu ändern. Wenn es bei diesem Verfahren zu Problemen kommt und der Helpdesk angerufen wird, produziert das – bei 15.500 Polizeibeamten und angenommen nur jedem 50. als Problemfall – alle drei Wochen 310 zusätzliche Helpdesk-„Tickets“.

**]   Die Auswertung von Abfrageprotokollen, in denen sich die Kennung pro individuellem Nutzer alle drei Wochen ändert – das sind also 17,3 Kennungen pro Nutzer und Jahr – wird dadurch erheblich aufwändiger. Ob das wohl in der Zukunft angeführt werden wird als Begründung dafür, dass solche Protokolle einfach zu aufwändig und unhandlich sind für eine effektive Kontrolle?!

17,3 Kennungen pro Polizeibeamten und Jahr verhindern illegale Datenbankabfragen nicht

Zumal durch viel mehr Aufwand und viel größere Komplexität, die dieses Verfahren ganz sicher mit sich bringt, das Problem der illegalen Datenbankabfragen nicht verhindert wird. Wohl kaum ein Polizeibeamter war bisher so unvorsichtig oder wird es in Zukunft sein, für eine illegale Datenbankabfrage seine individuelle Nutzerkennung zu verwenden – egal, wie oft die geändert wird.

Die bisher fehlenden Erkenntnisse der hessischen Polizei über die Täter der illegalen Datenbankabfragen demonstrieren ja vielmehr, dass dabei Gruppenkennungen bzw. ‚offene‘ Arbeitsplatzrechner verwendet wurden. Das sind Arbeitsplatzrechner, an denen bei Schichtbeginn eine Anmeldung am Zentralsystem (POLAS) erfolgt und die dann mit angemeldeter Kennung stehenbleiben und von jedem, der sich im Raum aufhält, genutzt werden können. Was also soll das permanente Verändern von Datenbankkennungen daran ändern? Zumal ja nur die INDIVIDUELLEN Kennungen alle drei Wochen periodisch geändert werden sollen. Was offensichtlich bedeutet, dass Gruppenkennungen für ganze Organisatoinseinheiten nach wie vor nicht periodisch neu vergeben werden.

Aktivierung eines Sperrbildschirms nun schon nach drei Minuten

Und dann gibt es auch noch die Neuerung, dass nun schon nach drei Minuten Inaktivität eine neue Anmeldung beim System POLAS erforderlich ist. Damit wird zwar das Problem der sogenannten offenen Arbeitsplatzrechner eingedämmt. Es ist allerdings kühn, dies als „strengen Kontrollmechanismus“ zu verkaufen: Ehrlicher wäre es zu sagen, dass hier eine seit Jahren bestehende, leicht ausnutzbare Manipulationsmöglichkeit viel zu spät geschlossen wird.

Pflicht zur Abmeldung vor Verlassen des Raumes

„Jeder Polizist in Hessen muss sich beim Verlassen des Raumes von seinem Computer abmelden.“ Diese letzte Neuerung macht den Text in der Pressemitteilung noch etwas fülliger. Wesentlich mehr kann sie nicht bewirken. Es mag auch noch eine neue Dienstanweisung dazu geben. Doch da eine technische Kontrolle durch das Informationssystem nicht möglich ist – wie sollte man sich die vorstellen?! POLAS und Videokameras bewachen die Raumtüren? – wäre allenfalls eine gegenseitige Kontrolle im Kreis der Kollegen denkbar. Die wird allerdings hängenbleiben am Gruppenzwang und dem, was so üblich ist, in einer Dienststelle. Ganz abgesehen davon, dass zunehmend auch mobile Auskunfts- und Erfassungsgeräte im Einsatz sind, die ohnehin nicht in festen Räumen eingesetzt werden und daher mit dieser Regelung auch nicht sicherer gemacht werden können.

Fazit #1

Hier werden seit zwei Jahren bestehende gesetzliche Verpflichtungen und Selbstverständlichkeiten für einen verantwortlichen Betreiber eines polizeilichen Informationssystems als Neuerung und Verbesserung verkauft. Das ist respektlos gegenüber Betroffenen illegaler Abfragen, gegenüber den „um ihre Sicherheit besorgten Bürgern“ und gegenüber Medien. Weil es ausdrückt, dass man im hessischen Innenministerium davon ausgeht, dass und wie leicht sie alle für dumm verkauft werden können.

Das Pilotprojekt mit dem Handvenenscanner zur Überprüfung der Identität des Benutzers

Als krönenden Abschluss angeblicher Verbesserungen präsentiert die Pressemitteilung des hessischen Innenministeriums dann noch ein „bundesweit einmaliges Pilotprojekt“: Durch Handauflegen auf einem so genannten Handvenenscanner soll sich der Nutzer identifizieren und so „den Anmeldevorgang am Rechner in Sekundenbruchteilen vornehmen oder Bildschirmsperre wieder aufheben“. In einem Pilotprojekt mit fünf kleinen Handvenenscannern in der Polizeistation in Rüsselsheim soll dieses Verfahren bis Ende des Jahres im Echtbetrieb getestet werden.

Bisher kein Wort zur notwendigen Datenbank mit Vergleichsmustern von allen 15.500 Polizeibeamten

Das würde ja, wenn man die Sache logisch zu Ende denkt, voraussetzen, dass die entsprechenden Handvenenmuster, die für jeden Menschen individuell sind, irgendwo zum Vergleich gespeichert sind und dann mit dem gescannten Handvenenmuster verglichen werden. Soweit allerdings ist man in der hessischen Polizei jetzt auch wieder nicht: Vielmehr muss der Nutzer im Rahmen des Pilotprojekts zusätzlich zum Handauflegen auch noch seine individuelle Kennung eingeben. Die Pressemitteilung nennt das großspurig „Zwei-Faktor-Authentifizierung“. Ich nenne es nicht zu Ende gedacht oder Leser für dumm verkauft. Solange nicht eine Datenbank aufgebaut wird, in der die Handvenenmuster von allen Polizeibeamten gespeichert und zum Vergleich herangezogen werden – das sind in Hessen 15.500 Menschen – steht dieses Verfahren nur auf einem Bein.

Nachrüstung aller Arbeitsplatzcomputer mit Handvenenscannern – hoher finanzieller, logistischer und zeitlicher Aufwand

Hinzu kommt noch ein zweites Argument: In der hessischen Polizei sind mehr als zehntausend Arbeitsplatzcomputer, sowie mobile Tablets (zum Beispiel in den Einsatzfahrzeugen) und Smartphones im Einsatz. Auch und gerade für die Abfrage von Polizeidatenbanken mithilfe des POLAS-Auskunfts-Clients.
Das Verfahren mit Handvenenscannern – oder eine andere biometrische Identifizierung des einzelnen Nutzers – wäre nur dann effektiv, wenn es flächendeckend zur Verfügung stünde: Das heißt an allen Arbeitsplatzsystemen und mobilen Systemen. Das aber wäre ein erheblicher finanzieller und logistischer Kraftakt, der entsprechende Planung voraussetzt und sicher nicht binnen weniger Monate funktionsfähig ist.

Handvenenscanner lösen nicht das Problem der illegalen Datenbankabfragen

Entscheidend ist aber Argument Nr. 3: Bei den illegalen Datenbankabfragen im Zusammenhang stehen mit ‚NSU2.0‘ in Hessen bestand das Problem nicht darin, dass eingeloggte Nutzer nicht hätten identifiziert werden können. Ganz im Gegenteil: Man konnte zuordnen, welche letzte Kennung verwendet worden war, um solche Abfragen zu formulieren. Man konnte allerdings nicht zuordnen, wer den Rechner für ine illegale Abfrage verwendet hat, als diese Kennung noch aktiv und benutzbar.

Das eigentliche Problem ist die Forderung nach sehr hohem Komfort durch die Polizei-Beamtenschaft

Das Problem der ‚offenen‘ Arbeitsplatzsysteme ist wesentlich eingedämmt durch eine automatische Aktivierung eines Sperrbildschirms nach – jetzt – drei Minuten. Technisch korrekter ist, dass nach drei Minuten Inaktivität die POLAS-Session automatisch beendet wird. Danach muss also eine erneute Anmeldung erfolgen. Das empfinden viele, gestresste Polizeibeamte als Zumutung. Die Handvenenscanner wäre dafür ein Angebot zur Erhöhung des Komforts. Der Benutzer müsste lediglich die Hand auflegen, im Hintergrund würde sein Handvenenmuster verglichen werden mit dem Vergleichsbild, das er einmal abgeben musste: Und schon wäre er wieder angemeldet bei POLAS.

Fazit #2

Zur Erhöhung der Sicherheit trägt ein Handvenenscanner kaum bei. Auch ist fraglich, warum es ein so teures Verfahren sein muss. Warum nicht auch ein preisgünstigerer Fingerabdruck-Scanner als kleines Add-On am Arbeitsplatzrechner ausreichend ist. ***]

***]   Denn sowohl Fingerabdrücke, als auch Handvenenscanner sind – ausreichend kriminelle Energie vorausgesetzt – manipulierbar und entsprechende Zugänge damit überlistbar.

Die Ankündigung mit dem Handvenenscanner ist eine verdeckte Botschaft an die Polizei-Beamtenschaft: Das Innenministerium will zum Ausgleich für den als schwer zumutbar empfundenen Zusatzaufwand durch mehrfache Anmeldungen ein Plus an Komfort für die Polizei-Beamtenschaft bieten. „Handauflegen genügt und schon bist Du im System!“ ***]
Dieses vorauseilend entgegenkommende Verhalten wirft ein bezeichnendes Licht auf die ‚Machtverhältnisse‘ zwischen Polizei-Beamtenschaft und Innenministerium in Hessen.

****]   Ich habe dieses Thema mit einem Bekannten diskutiert. Der ist Schweizer, arbeitete lange bei einer Schweizer Bank und heute bei einer großen öffentlichen Institution. Der wies darauf hin, dass – erstens – Identitätsmanagement in einer professionellen IT-Organisation nichts ist, was völlig neu erfunden werden muss; dass es – zweitens – in jeder Bank und vielen anderen Organisationen eine Selbstverständlichkeit ist, dass sich die Mitarbeiter x-mal am Tag neu anmelden müssen. Und fragte mich fassungslos, ob diese Anspruchshaltung die aktuelle Norm sei in der deutschen Beamtenschaft.

Siehe auch die bisherigen Artikel der Serie ‚Abfragen von Datenbanken durch Polizeibeamte‘

Teil 1: Besondere Rechte und Pflichten der Polizeibeamten bei der Abfrage von Polizeidatenbanken und Datenbanken anderer Behörden
Abfrage von Polizeidatenbanken -1: Polizeibeamte und Datenbanken

Teil 2: Arbeitsplätze, Zugangskontrollen und die Wirksamkeit von Angaben zum Zweck der Abfrage
Abfrage von Polizeidatenbanken -2: Zugangskontrolle und Zweck der Abfrage

Teil 3: Suchfragen und trickreiche Möglichkeiten; Protokollierung von Abfragen und was daraus NICHT zu erkennen ist
Abfrage von Polizeidatenbanken -3: Suchoptionen und Protokollierung

Quelle

[1]   Innenminister eröffnet „INNOVATION HUB 110“ der hessischen Polizei in Frankfurt, 13.08.2020, Hessisches Ministerium des Innern und für Sport
https://innen.hessen.de/presse/pressemitteilung/innenminister-eroeffnet-innovation-hub-110-der-hessischen-polizei-frankfurt

Copyright und Nutzungsrechte

(C) 2020 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en). Links von anderen Seiten auf diesen Artikel, sowie die Übernahme des Titels und eines kurzen Textanreißers auf andere Seiten sind zulässig, unter der Voraussetzung der korrekten Angabe der Quelle und des/der Namen des bzw. der Autoren. Eine vollständige Übernahme dieses Artikels auf andere Seiten bzw. in andere Publikationen, sowie jegliche Bearbeitung und Veröffentlichung des so bearbeiteten Textes ohne unsere vorherige schriftliche Zustimmung ist dagegen ausdrücklich untersagt.

Schreiben Sie einen Kommentar