IM Hessen: IT-Missmanagement begünstigt ‚NSU 2.0‘

Seit Jahren regiert das hessische Innenministerium in die Beschaffung und Entwicklung wichtiger Polizei-IT-Systeme hinein. NSU 2.0 wurde dadurch begünstigt. | Lesedauer: Ca. 15 Minuten

NSU 2.0 – Informationen aus polizeilichen Datenbanken als Grundlage von feigen Morddrohungen

Zum wiederholten Male haben eine Anwältin, die eine Opferfamilie im NSU-Prozess vertreten hat, eine Kabarettistin und mehrere PolitikerInnen der Linken Morddrohungen erhalten. Unterzeichnet mit „NSU 2.0“. Dabei wurden Informationen verwendet, die nicht öffentlich bekannt sind. Sie stammten aus Polizeidatenbanken [a], die jeweils kurz zuvor abgefragt worden waren: Mal aus einem Polizeirevier in Frankfurt, ein andermal in Wiesbaden. Eine Sonderkommission soll mehr als 70 solcher Fälle in der hessischen Polizei bearbeiten.

Deren oberster Vorgesetzter, der hessische Innenminister Peter Beuth, behauptete vergangene Woche, erst aus Presseanfragen von den jüngsten Drohschreiben erfahren zu haben. Dann schob er den schwarzen Peter dem Landeskriminalamt in die Schuhe. Das habe ihn nicht rechtzeitig informiert. Das konnte allerdings darlegen, dass entsprechende Informationen schon Anfang März ans Landespolizeipräsidium geschickt worden waren. Daraufhin trat der Landespolizeipräsident Udo Münch, ein enger Vertrauter des Innenministers, am 14.7.2020 zurück. Minister Beuth fokussiert sich seither auf eine Verbesserung der Meldewege im Polizeiapparat. Und lässt die Zugriffsrechte aller Polizeibeamter vorerst löschen und neu anlegen.

Ein Blick auf die Hintergründe, die Sie kennen sollten – und einige kritische Anmerkungen …

Die Organisationsstruktur der hessischen Polizei

Im Unterschied zu anderen großen Bundesländern ist das Landespolizeipräsidium (LPP) direkt im Innenministerium angesiedelt. Der Landespolizeipräsident ist Leiter der Abteilung III im Innenministerium (bezeichnet als Landespolizeipräsidium) und somit einer der acht Abteilungsleiter, die direkt an den Minister bzw. dessen Staatssekretär berichten.

Die Organisationsstruktur der hessischen Polizei ist bestens dokumentiert auf deren Webseite. Das Landespolizeipräsidium als oberste Instanz ist die vorgesetzte Behörde für sieben regional zuständige Polizeipräsidien und für vier zentrale Organisationen, darunter das Hessische Landeskriminalamt und das Hessische Polizeipräsidium für Technik.
von der Webseite der hessischen Polizei

Zuständigkeiten für die IT-Infrastruktur der hessischen Polizei

Das Hessische Polizeipräsidium für Technik, Logistik und Verwaltung (HPT) im Landespolizeipräsidium beschafft zentral die polizeiliche Ausstattung, also Bekleidung, Fahrzeuge, Waffen und sonstiges Gerät. Und verantwortet die Beschaffung bzw. Entwicklung und den Betrieb und Einsatz der IT-Infrastruktur der hessischen Polizei.

„Wir arbeiten mit unseren gut 400 Fachkräften, von Polizeibeamten, Ingenieuren, Fachinformatikern und weiteren Spezialisten daran, dass die taktisch-technische Ausstattung der hessischen Polizei funktioniert und den kommenden Herausforderungen auf hohem Niveau gerecht werden kann.“ sagt die Behörde über sich selbst.

Hessische Zentrale für Datenverarbeitung

Ein landeseigener Dienstleister, die hessische Zentrale für Datenverarbeitung (HZD), übernimmt mit ihren rund 950 Mitarbeitern, Datenverarbeitung im Auftrag für die hessische Polizei. Diese zählt, zusammen mit der Finanzverwaltung und der hessischen Justiz, zu den größten Kunden der HZD. Es ist also die HZD, die die Rechenzentren betreibt und die Hardware-Infrastruktur zur Anbindung von Polizeidienststellen an die Polizeidatenbanken zur Verfügung stellt.

Externe Dienstleister der HZD sind (mit)verantwortlich für Polizeidatenbanken und Benutzerverwaltung


Sofern Vergabeprojekte überhaupt öffentlich gemacht werden, was in der hessischen Polizei für einschlägige Polizeidatenbanken und -systeme eher selten der Fall war , werden diese über die HZD abgewickelt.

So auch ein umfangreicher Auftrag für „Unterstützungsleistungen Polizei2020 und neue Infrastruktur Polizei“, der im April 2019 bekanntgemacht wurde [011-616]. In insgesamt acht Losen wurden da Verfahrensspezialisten verschiedener Qualifikationsstufen beauftragt für

  • „behördliche Abfrage- und Vorgangsverwaltungssysteme“
  • „Client Management der Polizei“
  • „Sonstige Polizeiverfahren und Querschnittsthemen für Polizei2020“

Zuschläge für sechs der acht Lose erhielten die Firmen alphabit GmbH und Sinc GmbH aus Wiesbaden; zwei Firmen, die schon in den vergangenen Jahren als Haus- und Hoflieferanten der HZD aufgefallen sind. Somit sind also externe Dienstleister (mit)verantwortlich, wenn es um Polizeidatenbanken, wie POLAS (=INPOL-Land Hessen) geht, oder um das hessische Vorgangsbearbeitungssystem ComVor, um das elektronische Tagebuch (ETB), die Benutzerverwaltung (BV) (sic!) oder um EuSKA, die elektronische Unfallsteckkarte. [a]

Zum Verhältnis zwischen Landeskriminalamt und Innenministerium in Hessen

Stellung des LKA in der Organisationsstruktur

Landeskriminalämter sind die zentralen Dienststellen für die Kriminalitätsbekämpfung eines Bundeslandes. In §96, Abs. 2 des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) ist geregelt …

„(2) Das Hessische Landeskriminalamt übt die Fachaufsicht über die dem Landespolizeipräsidium nachgeordneten Polizeibehörden aus, soweit diese Aufgaben der Kriminalitätsbekämpfung zu erfüllen haben. Das Hessische Landeskriminalamt kann, soweit ihm die Fachaufsicht zusteht, die erforderlichen Weisungen auch für den Einzelfall erteilen. Die Dienst- und Fachaufsicht des Landespolizeipräsidiums bleibt unberührt.

Meldeweg vom LKA and das LPP und von dort an den Minister

Auf dieser Basis ist offensichtlich im Hessischen LKA eine Sonderkommission eingerichtet worden, die die illegale Datenabfrage durch Polizeivollzugsbeamte in Dienststellen einzelner Präsidien aufklären sollte. Ein entsprechender (Zwischen-)Bericht des LKA soll – dem eingerichteten Meldeweg und der Organisationsstruktur folgend – von dort an das übergeordnete Landespolizeipräsidium gegangen, dort aber verschüttet gegangen sein. Die öffentliche Klage des Innenministers, das LKA habe ihn nicht rechtzeitig informiert, ist insofern zweifelhaft: Denn die Informationspflicht traf allenfalls die Abteilung III im Innenministerium, also das Landespolizeipräsidium. Deren Präsident Udo Münch trat am 14.7. von seinem Amt zurück, was als Eingeständnis eines Fehlers angesehen werden kann. Oder als freiwilliges Opfer, um weiteren Schaden vom Innenminister abzuwenden.

Ausbootung des LKA bei der Beschaffung von Hessendata

Dass dieser Innenminister ziemlich hemdsärmelig werden kann gegenüber dem Landeskriminalamt und seiner Präsidentin, Sabine Thurau, macht ein Vorfall aus dem Jahr 2017 deutlich: Damals ging es um die – vom Innenminister Beuth SEHR geförderte – Beschaffung eines IT-Systems für ‚Big Data‘-Analyse- und Auswertungszwecke der amerikanischen Firma Palantir. Seinem Wunsch entsprechend wurde das System auch beschafft und in Hessen unter dem Namen Hessendata weiter ausgebaut. Vollkommen üblich ist, dass die Einführung eines solchen Systems fachlich begleitet und bewertet wird vom jeweiligen Landeskriminalamt als DER zentralen Dienststelle für Kriminalitätsangelegenheiten..

Aussagen der LKA-Führungsspitze vor dem ‚Palantir‘-Untersuchungsausschuss

LKA-Präsidentin Thurau hatte vor dem „Palantir-Untersuchungsausschuss im hessischen Landtag kritisch angemerkt, dass ihrer Behörde, obwohl sachlich/fachlich zuständig, der Auftrag für den Test der Analysesoftware entzogen worden war. Denn das LKA habe eine zentrale Schnittstellenfunktion und betreue landesweite IT-Projekte. Zunächst sei das HLKA ja auch mit dem Test der Palantir-Auswertesoftware beauftragt worden. Es habe jedoch für diesen Sonderauftrag nicht genügend Experten gehabt und daher zusätzliche drei Planstellen beantragt. Die seien jedoch vom Innenministerium nicht bewilligt worden. Die stellvertretende LKA Präsidentin, Vera Lilienthal-Gold, hatte in der Sitzung vom 1.10.2018 ergänzend mitgeteilt, dass die Übertragung des Tests, weg vom LKA und hin zum Polizeipräsidium Frankfurt, eine bewusste Entscheidung des Landespolizeipräsidenten Münch gewesen“ sei.

Bisher wenig belastbare Ergebnisse der Sonderkommission

Das hessische LKA arbeitet mit einer eigenen Sonderkommission seit geraumer Zeit an der Aufklärung der illegalen Abfragen. Dass dazu bisher wenig greifbare Ergebnisse vorliegen, muss nicht unbedingt an mangelnden Fähigkeiten der Kommission liegen.

Wenn individuelle Zurechenbarkeit von Aktivitäten in Polizeidatenbanken bewusst ausgeschaltet wurde

Sondern kann auch dadurch begründet sein, dass individuelle Zurechenbarkeit von Abfragen oder anderen Aktivitäten technisch gar nicht möglich ist. Dann nämlich, wenn anstelle individueller Nutzerkennungen so genannte Dienststellenkennungen vergeben werden. Das sind Kombinationen aus Kennung und Passwort, die allen (berechtigten) Anwendern aus einer Dienststelle bekannt sind und gemeinsam genutzt werden können.

Solche Kennungen machen das Leben für die Systemadministratoren sehr viel einfacher. Denn sie müssen wesentlich weniger Kennungen und zugehörige Nutzungsrechte administrieren, als wenn für jeden einzelnen Polizeibeamten eine Kennung angelegt werden müsste.

Solche Sammelkennungen machen es jedoch umgekehrt unmöglich, dass in einem Protokoll objektiv nachweisbar ist, welcher Benutzer – namentlich – zu einer bestimmten Zeit eine bestimmte Abfrage getätigt hat. Und erlauben es, wie im Fall der hier relevanten illegalen Abfragen geschehen, dass in Verdacht geratende Polizeibeamte leugnen, die Abfrage getätigt zu haben. Mit dem Hinweis, dass ja auch ein ganz anderer Kollege – theoretisch – dafür in Frage kommen könnte.

Eine weitere Möglichkeit der Nicht-Zurechenbarkeit liegt im Komfortanspruch mancher Polizeibeamter. Die es für unzumutbar halten, dass die Session automatisch abgebaut wird, nur weil sie mal schnell auf die Toilette müssen. Also bleibt die Session = Verbindung mit dem Polizeisystem „offen“ und kann von jedem (Kollegen) genutzt werden, der zufällig gerade in der Nähe ist. Was dann – siehe den aktuellen Fall – zu der nicht zu widerlegenden Aussage führt, man habe die inkriminierte Abfrage nicht getätigt.

Wenn Innenministerien, wie im Fall Hessen ständig geschehen, sich anmaßen, die fachliche Entscheidung über polizeiliche Informationssysteme und -Anwendung zu treffen, jeglichen Wettbewerb ausschalten und weder technisch noch fachlich die Kompetenz haben, auf solche „Feinheiten“ zu achten, kommt genau das heraus, was jetzt in Hessen zu besichtigen ist.

Das LKA wird schon wieder ausgebootet, ein „Sonderermittler“ wird eingesetzt

Herrn Beuth fechten solche Überlegungen sicher nicht an. Der hat stattdessen am 10.7.2020 einen Sonderermittler beauftragt, der „federführend die Ermittlungen zu den NSU 2.0-Drohmails gegen Personen des öffentlichen Lebens in Hessen“ führen soll. Die Wahl fiel auf den bisherigen Leiter der Kriminaldirektion beim Polizeipräsidium Frankfurt, KD Hanspeter Mener. Er „wird ab sofort über alle Ermittlungsstände unmittelbar dem Landespolizeipräsidenten berichten“.

Auch diese Direktbeauftragung, am LKA vorbei, hat ein Geschmäckle. Vor allem deshalb, weil entsprechende Datenbankabfragen nachweislich aus Dienststellen des PP Frankfurt kommen, von wo Herr Mener kommt. Und aus Dienststellen des benachbarten PP Westhessen/Wiesbaden. Der Sonderermittler ist also von Anfang an belastet mit dem Verdacht, nicht völlig unvoreingenommen zu sein.

Darüber hinaus stellt diese Ernennung erneut ein Misstrauensvotum gegen das hessische LKA und seine Präsidentin dar. Was die Frage aufwirft, ob das LKA dazu tatsächlich Anlass gegeben hat. Oder ob nicht Beuth und sein bisheriger Landespolizeipräsident Münch, wie schon im Fall der Palantir-Beschaffung, willfährige Untergebene suchen, die nach ihrer Pfeife tanzen.

Um welche Polizeidatenbanken und IT-Anwendungen geht es eigentlich?

Auf diese Frage gibt es – meinen Recherchen nach – bisher keine klare und vollständige Antwort.

INPOL-Land (POLAS) und das bundesweite Verbundsystem INPOL-Z

POLAS, die INPOL-Land-Datenbank für Hessen und das darüber erreichbare INPOL-Z als Zentrale aller INPOL-Teilnehmer, wird immer wieder genannt. Doch INPOL/POLAS enthält (jedenfalls bei legitimer Nutzung) keine Privatanschriften von Anwältinnen und auch keine Informationen über deren Familienangehörige.

Das Vorgangsbearbeitungssystem ComVor

In Frage kommt natürlich auch ComVor, das Vorgangsbearbeitungssystem der hessischen Polizei. Das System wird ständig und von nahezu jedem Polizeibeamten genutzt. In einem Vorgangsbearbeitungssystem werden sämtliche ‚Vorgänge‘ erfasst, also alle Aktivitäten, die polizeiliches Handeln erforderlich gemacht haben. Diese Vorgänge werden über eine Tagebuchnummer verwaltet. Alle Informationen zu einem Vorgang werden dann in mehr oder minder umfang- und zahlreiche Textdokumenten, mit diesem Vorgang und seiner Tagebuchnummer verbunden.

Das hessische Vorgangsbearbeitungssystem ComVor ist vor allem ein dokumentengestütztes System auf der Basis von Microsoft Word und entsprechenden Makros. Die Datenbank in ComVor, namens ComVor-Index, ist eher schmalbrüstig ausgelegt. Sie enthält nur einen Bruchteil der Informationen, die in den vielen, von ComVor erstellten und verwalteten Dokumenten enthalten ist. Das ist es auch, was ComVor – aus meiner Sicht – so potenziell ertragreich für illegale Abfragen macht. Denn ein Blättern durch die diversen Dokumente in einem „Vorgang“ zeigt dem interessierten Leser in schönstem Polizistendeutsch vieles, was Polizisten so aufgefallen ist, ohne dass dies die höhere Hürde einer legitimen Erhebung polizeilich relevanter Informationen hätte passieren dürfen. Und eine entsprechende Kontrolle – z.B. durch die Datenschutzbeauftragte – ob wirklich nur erfasst wurde und gespeichert wird, was auch zulässig ist, ist eher hehre Theorie.

Fallbearbeitungssysteme in Hessen

Über dem INPOL-Land-System POLAS und dem ubiquitären Vorgangsbearbeitungssystem ComVor käme als nächste Ebene der polizeilichen IT-Werkzeuge das Fallbearbeitungssystem. Seine Aufgabe besteht darin, komplexe kriminalpolizeiliche Entwicklungen zu unterstützen mit einer Mischung aus komfortabler Fachanwendung und leistungsfähiger Datenbank. Für Hessen lässt sich aktuell jedoch nicht mit Bestimmtheit sagen, welches Fallbearbeitungssystem dort seit 2016 und bis heute flächendeckend im Einsatz war.

CRIME – anfangs DAS hessische Fallbearbeitungssystem

CRIME – das „Criminal Research Investigation Management Software – ist ein System, das untrennbar mit dem Hessischen Innenministerium, seinem Präsidium für Technik, Logistik und Verwaltung und der HZD verbunden ist. Mitgebracht als Brautgeschenk aus Hamburg von einem gewissen Harald Lemke, der nach kurzem Gastspiel beim BKA als IT-Direktor dann Staatssekretär im hessischen MI wurde. Und diesen Job sehr abrupt und unter öffentlich sehr ungeklärten Umständen aufgeben musste. Das Fallbearbeitungssystem CRIME wurde seit ca. 2005 federführend in Hessen weiterentwickelt, gepflegt und aggressiv vermarktet bei anderen Bundesländern.

Einzelne, externe Auftraggeber sind zuständig für die Wartung und Weiterentwicklung

Dazu bediente man sich der technischen Zuarbeit vor allem von Freiberuflern, die periodisch mit freihändig vergebenen Aufträgen bedacht wurden. Das alles stand unter der Federführung des damaligen Direktors des Hessischen Präsidiums für Technik, Logistik und Verwaltung. Nachdem diese Vergabepraxis dem hessischen Rechnungshof und der damaligen Opposition im Landtag nach jahrelangem Zusehen denn doch zu bunt wurde, verlagerte man die weitere Entwicklung von CRIME – und übrigens auch die von ComVor – an die Polizei Hamburg.

Bedenken über die Zukunfts- und auch sonstige Sicherheit von CRIME

Ungefähr 2016 – CRIME war zu diesem Zeitpunkt in mehreren Bundesländern als Fallbearbeitungssystem im Einsatz – wurden Bedenken laut hinsichtlich der technischen Stabilität, Datensicherheit und möglicher Zugriffsrisiken. Es stand da auch die Frage im Raum, ob Hintereingänge in das CRIME-System vorhanden sind, die von den Entwicklern im Wirkbetrieb genutzt werden könnten. Was die Fehlersuche und -beseitigung von deren Standort aus vereinfacht hätte … In Folge kam es zur Bewertung durch einen Gutachter. Danach verschwand CRIME – für die Öffentlichkeit so geräuschlos wie möglich – von der Bildfläche.

Das einheitliche Fallbearbeitungssystem eFBS – ist in Hessen gerade erst in Einführung begriffen

Erst jetzt, in den Sommermonaten des Jahres 2020 und damit vier Jahre später, soll das einheitliche Fallbearbeitungssystem eFBS als Nachfolger von CRIME in Betrieb gehen: Dieses eFBS stellt der Bund interessierten bzw. diesbezüglich notleidenden Ländern zur Verfügung. Beim eFBS handelt es sich um eine für das BKA und die Bundespolizei vereinheitlichte Variante des Fall­bearbeitungs­systems RS-CASE von Rola Security Solutions, eine Tochter von T-Systems.

Aktuell die ersten Bundesländer, die auf das eFBS setzen, sind, neben Hessen, auch dessen CRIME-Kooperationspartner aus Baden-Württemberg, Hamburg und Brandenburg. Doch dürfte das eFBS – für eine illegale Abfrage noch kaum in Betracht kommen, einfach weil da nach so kurzer Wirkbetriebsdauer noch keine Informationen sein dürften.

Zur Rolle des hessischen Innenministeriums in der IPCC-Kooperation

Gemeinsam mit Hamburg, Baden-Württemberg und später auch Brandenburg betrieb Hessen das so genannte Inpol Polas Competence Center, meist kurz bezeichnet als die IPCC-(Kern-)Kooperation. Unter diesem Dach wurden polizeiliche Anwendungen und Polizeidatenbanken gemeinsam entwickelt, wie insbesondere

  • POLAS – als INPOL-Land-System für die Mehrzahl aller BUndesländer und als Plattform für INPOL-Z
  • das Vorgangsbearbeitungssystem ComVor
  • das Fallbearbeitungssystem CRIME
  • das System ED-DI – Erkennungsdienst Digital
  • und diverse andere

Die Charakteristika der IPCC-Kooperation

Die auffälligen Merkmale dieser Zusammenarbeit zum Zwecke der gemeinsamen Pflege und Weiterentwicklung von Polizeidatenbanken und -Anwendungen bestanden

  • in weitgehend intransparenter Auftragsvergabe,
  • dem Einsatz von hunderten von Polizeibeamten über Jahre hinweg, die ungeachtet ihre Polizei-Ausbildung „zweckentfremdet“ z.B. für die Einsatzunterstützung oder am IT-Helpdesk u.ä. eingesetzt wurden
  • und unter Leitung eines vollkommen intransparenten „Lenkungskreises“ standen; der bestand aus Entscheidern aus den IT-Dezernaten der beteiligten Innenministerien bzw. IT-Leitungspersonen aus den für die IT-Infrastruktur zuständigen technischen Behörden, wie eben dem Hessischen Präsidium für Technik (HPT)

Auf POLICE-IT ist das Vorgehen der IPCC-Kooperation seit mehreren Jahren ausführlich dokumentiert [A]. Das demonstriert, dass auch ein europaweit „eigentlich“ geltendes Vergaberecht ohne Konsequenzen für die politisch Verantwortlichen mit Füßen getreten werden kann. Wesentliche politische Verantwortliche dafür saßen bzw. sitzen heute noch im hessischen Innenministerium.

Dem IPCC-Klüngel ist – neben den genannten Charakteristika – vor allem vorzuwerfen, dass bei den Entscheidungen für Produkte und deren weitere Entwicklung fachliche und technische Kriterien keine Rolle spielten. Die hätten die Mitglieder des Lenkungskreises – in der Mehrzahl höhere Polizeibeamte – auch schwer beurteilen können. Die Frage nach dem „Cui Bono“ – Wem hat das genützt bzw. nützt es heute noch, ist überfällig und unbeantwortet.

Klar ist jedoch, dass die Entscheider weder überblicken konnten und auch nicht darauf achteten, welche immensen Folgen im Hinblick auf Zugriffsrechte, Zugriffsprotokollierung und notwendige Kontrollen ihre einsamen Entscheidungen hatten und noch haben. Dies tritt anhand des um sich greifenden Skandals um „NSU 2.0“ mehr als deutlich zutage.

Das Palantir-System – Hessendata

Den Verlust von CRIME als Fallbearbeitungssystem für die hessische Polizei war bald verschmerzt: Denn im Jahr 2017 begann ja die Einführung von Hessendata, dem ‚Big Data‘-Analyse- und Auswertungswerkzeug der amerikanischen Firma Palantir (Mehr dazu in [B]). Mit einer schicken Oberfläche, ganz so, wie das vor allem junge Nutzer von ihren Smartphones gewohnt sind. Hessendata sollte ursprünglich den „Kampf gegen den Terror“ unterstützen. Doch bald schon kamen neue Einsatzbereiche hinzu und umfassten bis zum Juli 2019

  • Schwere und Organisierte Kriminalität
  • Bekämpfung des Wohnungseinbruchsdiebstahls
  • Straftaten zum Nachteil älterer Mitbürger
  • Kapitaldelikte (das sind Straftaten gegen Leib und Leben von Menschen / d. Verf.)

Die aufgelisteten Deliktsbereiche sind die klassischen Arbeitsgebiete der Kriminalpolizei „oberhalb“ von Straftaten, die der Massenkriminalität zugerechnet werden, wie z.B. Laden- oder Fahrraddiebstähle, welche meist von der Schutzpolizei bearbeitet werden. Und Innenministerium Beuth berichtete auch 2019 ganz stolz vom breiten Einsatz von Palantir, bis hin zu einer mobilen Applikation für Smartphones, die in der Lage ist, Einsatzkräften von Sondereinsatzkommandos den Weg zu weisen, auch wenn das nicht immer der zielführend ist .

Palantir ist beauftragt mit dem BETRIEB von Hessendata!

Aus meiner Sicht ist es auch die spezielle Auftragsbeschreibung, die an Hessendata so besonders ist: Im Auftrag des Hessischen Präsidiums für Technik, Logistik und Verwaltung (HPT) vom Dezember 2017 steht als Auftragsbeschreibung: „Beschaffung und Betrieb einer Analyseplattform für die Polizei Hessen …“

Der BETRIEB einer Analyseplattform? FÜR die Polizei?! Durch eine Privatfirma?! Noch dazu eine, die über den Firmengründer Peter Thiel beste Kontakte zu Facebook hat?! Und die wiederholt in Zusammenhang mit Cambridge Analytica gebracht wurde? Sie erinnern sich sicher: Das ist jene Firma, die sich auf nicht legalen Wegen Daten von Facebook beschafft hatte und damit Profile von Nutzern anzulegen und für Wahlkampfzwecke zu Geld zu machen.
Man mag die Möglichkeit gar nicht weiterdenken, dass die Polizei eines deutschen Bundeslandes sich darauf einlassen könnte, die kleine Palantir Technologies GmbH, Tochter einer Konzernmutter in den Vereinigten Staaten mit „Datenverarbeitung im Auftrag“ (ADV) zu betrauen.

Was der technische Direktor der hessischen Zentrale für Datenverarbeitung dazu zu sagen hatte

Zu diesem Thema befragte seinerzeit der ‚Palantir‘-­Untersuchungsausschuss des hessischen Landtages auch den technischen Direktor der oben schon genannten Hessischen Zentrale für Datenverarbeitung (HZD). Der sagte, er habe im Mai 2017 die Information erhalten, dass „Palantir in der HZD installiert werden soll“. Die HZD sei vom Innenministerium allerdings nur mit dem „Housing“ beauftragt worden. Das bedeutet, dass der Auftraggeber die technische Infrastruktur des HZD nutzt. Die HZD habe aber „keinen Einblick in die Daten oder die Software“. Und weiter heißt es in dem Bericht über die Aussage dieses Zeugen in der Frankfurter Rundschau:

„Es hätten dann sechs Palantir-Mitarbeiter in der HZD die Server aufgebaut, auf denen die Analyse-Software laufe. Diese Mitarbeiter seien zuvor von der Polizei überprüft worden und bei ihrem Aufenthalt in den HZD-Räumen ständig von HZD-Mitarbeitern begleitet worden. …
Bei der HZD werden auch andere Teile des hessischen Polizeinetzes betreut. Palantir könne aus diesen Datenbanken Informationen nutzen. Welche Daten und in welchem Umfang, bestimmte allein das Innenministerium bzw. die Polizei. Die HZD habe dabei keinen Einblick. Allerdings sei durch technische Einrichtungen gewährleistet, dass keine Daten IN das Polizeinetz eingeschleust oder unbefugt daraus kopiert werden könnten. Die HZD wisse aber nicht, wer Zugriff auf die Daten bekomme. Auch dafür seien Innenministerium bzw. Polizei zuständig.“
Und dann fügte der Zeuge aus dem HZD, der auch der verantwortliche Sicherheitsbeauftragte dieser Behörde ist, noch an, dass es auch noch „kein Sicherheitskonzept“ gebe, was nach seiner Erfahrung „ungewöhnlich“ sei.

Wer kontrolliert den Zugriff auf Informationen in Hessendata

Wenn Palantir tatsächlich für den BETRIEB des Systems Hessendata zuständig ist, wer kontrolliert dann eigentlich, wer Zugriff auf dieses System und die darin gespeicherten Informationen hat? Und wer wann welche Informationen daraus abgerufen hat??
Denn unstrittig dürfte sein, dass ein Big-Data-System, wie Hessendata, die umfassendsten Möglichkeiten hat, um Informationen über eine linke Politikerin oder eine Anwältin oder eine Kabarettistin aus allen möglichen – polizeilichen und anderen – Quellen zusammenzutragen. Und einem Anfrager zur Verfügung zu stellen. Völlig unabhängig davon, ob der dafür einen legitimen Auftrag hat oder nicht …

Warum konnte Hessendata keinen Beitrag leisten, um den Anschlag von Hanau zu verhindern

Den Amoklauf / Anschlag vom 19.02.2020 in Hanau konnte die hessische Polizei auch mit der neuen Analyseplattform Hessendata nicht verhindern. Was verwundert, da der Täter ‚der Polizei‘ schon seit Jahren bekannt war, eine Webseite mit eindeutigen Inhalten im Internet unterhielt und dort schon Tage vor der Tat sein so genanntes Manifest veröffentlicht hatte.
Wirft das nicht auch die Frage auf, ob nicht nur die ABFRAGE von Polizeidatenbanken in Hessen mitunter illegal ist. Sondern auch die Möglichkeit aufzeigt, dass Informationen durch Polizeibeamte NICHT erfasst und gespeichert werden, wenn es nach deren individueller politischer Ansicht nicht opportun ist, solche Informationen zu vermerken.

Fazit

Das hessische Innenministerium hat mit seinem Missmanagement in Sachen polizeilicher Informationstechnik über Jahre hinweg ein beachtliches Chaos angerichtet. Hervorzuheben sind

  • die technisch und fachlich inkompetente Entwicklung des Fallbearbeitungssystems CRIME, das nach schweren Bedenken außer Betrieb gestellt werden musste.
  • Die Beauftragung des BETRIEBS eines Big-Data-Analyse- und Auswertungssystems an eine amerikanische Firma, die bekannt dafür ist, niemanden in ihre Systeme schauen zu lassen.
  • Ein Buddy-System zwischen Beschaffungsentscheidern und begünstigten Auftragnehmern.
  • Und eine nicht vorhandene interne Kontrolle der technischen Leistungsfähigkeit und Compliance mit gesetzlichen Anforderungen.

Das damit umrissene Chaos und seine Fortführung wurden begünstigt durch nicht funktionierende politische Kontrolle, nicht existente datenschutzrechtliche Aufsicht und einen schon lange nicht mehr gerechtfertigten Vertrauensvorschuss von Öffentlichkeit und Medien in die Rechtmäßigkeit politischen und polizeilichen Handelns.

„NSU 2.0“ wurde zum Schlagwort für die Nutzung polizeilich erhobener und gespeicherter Informationen für die politischen Zwecke von rechtsextrem gesinnten Polizeibeamten. Unter dem gleichen Schlagwort gab es zahlreiche Morddrohungen. Doch „NSU 2.0“ ist nur die Spitze des Eisberges mit dem Namen „IT-Infrastruktur der hessischen Polizei“.

Es genügt nicht, wenn der Innenminister im Sinne von „haltet den Dieb“ auf illegale Datenbankabfragen deutet. Auf den Prüfstand gehört vielmehr die gesamte Informationstechnik der Polizei des Landes: Wie sie beschafft wurde, wer von den Vergabeverfahren in welcher Weise profitiert hat und – vor allem – wer die Systeme und darin gespeicherten Informationen aufgrund welcher Legitimation nutzt, und wer diese Nutzung kontrolliert und nachvollziehbar protokolliert.

Fußnote

[a]   Möglich ist auch, dass auch Daten aus dem Melderegister abgefragt wurden, also Daten des „Einwohnermeldeamts“. Auch die sind für Polizeibeamte abfragbar. Das würde erklären, warum auch Daten von Familienangehörigen in den Drohmails auftauchen.

Verwandte Beiträge

[A]   Das Dossier über das IPCC: Inpol-Polas-Competence-Center

[B]   „Big Data“ in der hessischen Polizei – Das Hessendata-Dossier

Copyright und Nutzungsrechte

(C) 2020 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en). Links von anderen Seiten auf diesen Artikel, sowie die Übernahme des Titels und eines kurzen Textanreißers auf andere Seiten sind zulässig, unter der Voraussetzung der korrekten Angabe der Quelle und des/der Namen des bzw. der Autoren. Eine vollständige Übernahme dieses Artikels auf andere Seiten bzw. in andere Publikationen, sowie jegliche Bearbeitung und Veröffentlichung des so bearbeiteten Textes ohne unsere vorherige schriftliche Zustimmung ist dagegen ausdrücklich untersagt.