VeRA – die gefährlichste Entwicklung in der IT der Sicherheitsbehörden seit 75 Jahren

Im Rahmen von Polizei2020 beschaffen sich die 19 Polizeibehörden von Bund und Ländern VeRA – ein System für verfahrensübergreifende Recherche und Analyse. So, wie die Anforderungen gestrickt sind, dürfte der umstrittene US-Anbieter Palantir den Auftrag gewinnen.

Mit der gleichzeitigen Einführung von Steuer-Id und dem Gesetz zur Registermodernisierung, das über 200 Datenbanken von Behörden und Institutionen gleichzeitig nutzbar machen soll, und der zeitgleichen Einführung von VeRA entsteht ein zentraler Beobachtungs- und Überwachungsmonitor über uns alle und werden Polizei- und die anderen (bisher noch ungenannten) Sicherheitsbehörden zu Superbehörden mit Ausforschungsmöglichkeiten gemacht, von denen das Reichssicherheitshauptamt oder die Stasi nur träumen konnten.
Lesedauer: Ca. 10 Minuten

Die Abkürzung VeRA steht für verfahrensübergreifende Recherche und Analyse.
VeRA ist Teil des Programms Polizei2020 zur Kooperation der deutschen Polizei- und Sicherheitsbehörden (sic!) und soll das polizeiliche Informationswesen von Bund und Ländern modernisieren.

Das Beschaffungsverfahren für VeRA

Vorbereitungen …

Der jetzt begonnenen Beschaffung von VeRA für alle Polizeibehörden des Bundes und der Länder gingen drei Projekte voraus:

  1. Die Beschaffung des Systems GOTHAM des US-Anbieters Palantir für die hessische Polizei: Das Produkt ist dort unter dem Namen Hessendata seit Anfang 2018 im Einsatz. Die bisher dafür aufgelaufenen Kosten sind unbekannt.
  2. Eine „unverbindliche Marktsichtung“ für eine „verfahrensübergreifende Recherche- und Analyseplattform (VeRA)“ durch das bayerische Landeskriminalamt seit August 2019. Die Anfrage von POLICE-IT nach dem Status im Sommer 2020 erbrachte nur Unverbindliches.
  3. Die Beschaffung des Palantir-Systems GOTHAM für das Landeskriminalamt Nordrhein-Westfalen im Januar 2020: Das System läuft dort unter dem Namen DAR, das steht für datenbankübergreifende Analyse und Auswertung. Die Ausgaben wurden mit 14 Millionen Euro beziffert.

Der aktuelle Teilnahmewettbewerb des Bayerischen Landeskriminalamtes

Am 18.01.2021 veröffentlichte nun das bayerische Landeskriminalamt einen Teilnahme­wettbewerb für die Beschaffung des Systems VeRA. [1]

Referenzen und Leistungs-Anforderungen an den Anbieter

Beabsichtigt ist der „Erwerb eines markterprobten Systems (Standardsoftware)“ von einem Anbieter, der

  • der mindestens eine Referenz in einer deutschen Behörde oder Organisation mit Sicherheitsaufgaben vorweisen kann, die dort „mängelfrei abgenommen“ und im Wirkbetrieb ist und durch mindestens 100 Benutzer genutzt wird;
  • der in den letzten drei Jahren mindestens im Durchschnitt 5 Millionen Euro Umsatz pro Jahr erzielt hat und
  • der über eine ausreichende Personalkapazität (mindestens 50 Mitarbeiter in den letzten drei Jahren im Durchschnitt) und insbesondere in der Technik und dem Kundensupport verfügt.

Auftrag, wie maßgeschneidert, für Palantir

Diese Anforderungen kann der US-Anbieter Palantir mühelos erfüllen; wenn auch vielleicht nicht in allen Punkten dessen deutsche Tochter, die Palantir Technologies GmbH. Doch ist die Vergabe an bzw. ‚Eignungsleihe‚ bei einer amerikanischen Mutter in den Vergabeunterlagen ausdrücklich nicht ausgeschlossen.

Primär- und Sekundärauftraggeber

Neu ist die hier gewählte Konstruktion bei der Beschaffung:

Freistaat Bayern als Primärauftraggeber

Da tritt nämlich der Freistaat Bayern, vertreten durch das bayerische Landeskriminalamt als sogenannter Primärauftraggeber auf: Es schließt als alleiniger Vertragspartner mit dem Auftragnehmer eine Rahmenvereinbarung ab, die einen EVB-IT-Systemvertrag umfasst – zur Lieferung und kundenspezifischen Anpassung, Integration in die IT-Umgebung der bayerischen Polizei, Schulungsleistungen – sowie nach der Abnahme des System einen Pflegevertrag für die Hardwarewartung (sic!), Softwarepflege, Betriebsüberwachung, und sonstigen Support.

Der Bund als Sekundärauftraggeber I

Der Bund, vertreten durch das Bundesministerium des Innern für das Bundeskriminalamt und die Bundespolizei, sowie vertreten durch das Bundesministerium der Finanzen für das Zollkriminalamt wird Sekundärauftraggeber I: Er kann aus dem Rahmenvertrag den Abschluss eines eigenen EVB-IT Systemvertrags mit dem Auftragnehmer ableiten, sodass der Auftragnehmer auch für die Bundesbehörden das System zu liefern hat, projektspezifische Anpassungen vorzunehmen und das System in die IT-Architektur der Bundesbehörden zu integrieren und Schulungsleistungen zu erbringen hat. Auch hier ist nach der Abnahme ein eigener Pflegevertrag vorgesehen.

Die übrigen 15 Bundesländer als Sekundärauftraggeber II

Für die übrigen 15 Bundesländer sind im Falle des freibleibenden Abrufs die Standardsoftware des Systems VeRA im Rahmen eines zu schließenden EVB-IT Überlassungsvertrages (Typ A) zu liefern, sowie Softwarepflegeleistungen und Dienstleistungen zu erbringen.

Was VeRA können soll?

Informationen aus unterschiedlichen polizeilichen Informationssystemen suchen und nutzen können

VeRA soll das größte Problem der polizeilichen IT lösen, nämlich die übergreifende Nutzung von Informationen möglich machen, die auf sehr vielen Dateninseln gespeichert sind und zwischen denen es keine Brücken gibt.

Um dieses Problem in Zahlen zu fassen: Es gibt in Deutschland 16 Polizeibehörden der Bundesländer und drei Polizeibehörden des Bundes, nämlich Bundeskriminalamt, Bundespolizei und Zollkriminalamt. Jede dieser 19 Behörden unterhält

Dieses Problem besteht seit Anfang der nuller Jahre und ist weitgehend hausgemacht. Mehrere Ansätze, wie INPOL-Neu-Neu, INPOL-Fall, der polizeiliche Informations- und Analyseverbund (PIAV) und zuletzt Polizei2020 haben das Problem bisher nicht gelöst sondern nur sehr viel Geld gekostet und viel Zeit auf dem Weg zu einer wirklichen „Modernisierung“ uneffektiv verschwendet.

Was ist neu an VeRA gegenüber PIAV oder anderen, früheren Konzepten?

Der Ansatz mit VeRA ist im Vergleich mit diesen früheren Konzepten anders: Dort versuchte man von unten nach oben die IT-Ausstattung aller 19 Polizeibehörden zu vereinheitlichen und zu standardisieren. Dagegen stehen enorme bereits getätigte Investitionen, existierende und eingeführte Systeme und „der Föderalismus“, d.h. das legitime Recht der Bundesländern, selbst über die IT- Ausstattung für ihre Polizeibehörden zu entscheiden.
Jetzt scheint man den Ansatz zu verfolgen, über die bestehenden polizeilichen Informationssysteme ein Dach zu spannen, nämlich VeRA, dass die bestehenden Systeme unverändert lässt und in der Lage ist, daraus Informationen bei Bedarf abzufragen bzw. für Analysen und Auswertungen abzugreifen und in einem Auswertesystem zu konsolidieren.
Dieser neue Ansatz, das Problem der Nutzung von Informationen aus vielen Dateninseln zu lösen, ist legitim und zulässig.

„Kernkompetenzen“ des Systems VerA – aus der Auftragsbeschreibung

„Der direkte Zugriff, das Zusammenführen und Auswerten von Daten aus unterschiedlichen Quellen.
Das System muss sowohl bereits vorhandene polizeiliche Datenbestände als auch externe Datenquellen verarbeiten können.

Weitere Leistungsinhalte umfassen insbesondere

  • den Datenabgleich von internen und externen,
  • und von strukturierten und unstrukturierten Datenbeständen,
  • das Erkennen von Zusammenhängen innerhalb der Analysesoftware,
  • die Durchführung geographischer Auswertungen innerhalb des Systems und
  • die Visualisierung von Beziehungszusammenhängen zwischen Objekten und
  • den Export (mit Quellenangaben) von Rechercheergebnissen

Das System muss ferner Protokollierungsfunktionen bieten, insbesondere muss der gesamte Prozess mitsamt allen Bearbeitungsschritten, Datenfusionsmethodik, Datenbearbeitungsschritten sowie Berichterstattung individuell für einen Benutzer nachvollzogen werden können und vor Gericht nachvollziehbar erklärbar sein.

Das System muss den geltenden rechtlichen, insbesondere datenschutzrechtlichen Bestimmungen entsprechen. Es muss technisch weiterentwickel- und anpassbar sein, um zukünftige fachliche und rechtliche Änderungen umsetzen zu können. Ziel ist es, ein ausreichend dimensionierte, skalierbares VeRA für eine unbeschränkte Anzahl von Anwendern zu erhalten, welches mit ständig wachsenden Datenvolumina dauerhaft leistungsfähig arbeiten kann.“

Was ist an VeRA so gefährlich?

Allerdings stellt das jetzige Beschaffungsvorhaben Anforderungen, die wesentlich über das oben beschriebene Problem hinausgehen. Anforderungen, die die Absicht nahelegen, dass Polizei und Sicherheitsbehörden mit einem zentralen Beobachtungs- und Überwachungsmonitor für jedermann ausgestattet werden sollen.

Die Nutzung personenbezogener Informationen aus ungenannten „externen Quellen“

Die ausdrückliche Einbeziehung von externen Quellen ist deshalb so gefährlich, weil „externe Quellen“ ein sehr unbestimmter und dehnbarer Begriff sind. Und weil viele „externe Quellen“ personenbezogene Informationen enthalten, die bisher der Polizei nur im begründeten Einzelfall und in vielen Fällen nur nach entsprechender richterlicher oder staatsanwaltschaftlicher Genehmigung zur Verfügung standen. Viele andere, jetzt in Frage kommende „externen Quellen“ durften durch die Polizei bisher überhaupt nicht genutzt werden.

Bei solchen externen Quellen kann es sich

  • um Datenbanken von anderen Behörden oder Institutionen handeln, wie z.B.
    • der Bundesanstalt für Arbeit
    • der Finanzämter
    • von Banken
    • der Beitragskonten von ARD/ZDF/Deutschlandradio
    • Bestandsdaten der Telekommunikationsanbieter
    • Stammdaten der Rentenversicherung und der deutschen Unfallversicherung
    • Versichertenverzeichnis der Krankenkassen
  • um Datenbanken von privaten Unternehmen, wie z.B. die von Automobilherstellern aus dem automatischen Monitoring moderner Fahrzeuge (wie z.B. Connected Drive bei BMW)
  • sowie die Unmenge von „unstrukturierten Daten“ die sich aus den sozialen Medien ergibt, also von Twitter, Facebook&Co. Diese nutzt die Polizei zwar auch heute schon und die Polizei ja auch heute schon in ihren Fachteams Soziale Medien, jedoch nur im Einzelfall auf Abruf und nicht automatisiert.

Bis heute existiert in der Bundesrepublik kein wirksames Datenschutzrecht für Informationen in polizeilichen Systemen

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber,
monierte vor wenigen Tagen, dass die Bundesregierung 1.000 Tage nach Fristablauf die JI-Richtlinie der EU noch immer nicht in nationales Recht umgesetzt hat. Diese Richtlinie regelt den durch Behörden einzuhaltenden Datenschutz bei der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung. Gemäß Richtlinie müssen die Datenschutzaufsichtsbehörden in nationalen Gesetzen zwingend eine Anordnungskompetenz gegenüber diesen Behörden erhalten.

BfDI Ulrich Kelber kritisiert die Verzögerung durch den Gesetzgeber:

„Die EU-Mitgliedsstaaten haben sich verpflichtet, alle notwendigen Gesetze bis zum 6. Mai 2018 zu erlassen. Deutschland überschreitet diese Frist heute um 1.000 Tage. Ich kann Datenschutzverstöße bei Bundespolizei und Zollfahndung nur beanstanden. Ohne nationale Gesetze fehlen mir wirksame Durchsetzungsbefugnisse. Das untergräbt die demokratische Legitimation der Datenschutzaufsicht und der Strafverfolgungsbehörden gleichzeitig. Hier muss der Gesetzgeber sofort handeln.“
[2]

Zahlreiche angebliche „Fahrlässigkeiten“ der Polizei im Umgang mit personenbezogenen Informationen schädigen Betroffene – bis hin zum Tod

Obwohl die zuständigen Datenschutzaufsichtsbehörden Polizei nur sehr eingeschränkt prüfen, werden immer wieder massive Verstöße bekannt, die für die Betroffenen erhebliche Nachteile haben:

So z.B. im Fall von 32 Journalisten beim G20-Gipfel 2017 in Hamburg, denen während der Veranstaltungen ihrer Akkreditierung entzogen wurde: Da waren Informationen in polizeilichen Informationssystemen zu Unrecht gespeichert, bzw. ganz falsche Informationen gespeichert oder ursprünglich einmal richtige Informationen nicht gelöscht worden. [3]

Der Syrer Amad A. kam in Folge solcher „Nachlässigkeiten“ nach einem Brand in seiner Haftzelle ums Leben: Amad A. wurde im Sommer 2018 von Polizisten in Nordrhein-Westfalen in Gewahrsam genommen. Wenige Stunden später und nach umfangreichen Recherchen im polizeilichen Informationssystem ViVA, soll sich die Datenlage so präsentiert haben, als sei der Amad A. identisch mit völlig anders aussehenden Malier namens Amedy G. [4] Es gibt nur zwei Gründe, wie diese Datenlage entstanden sein kann: Vorsatz bzw. Fahrlässigkeit gepaart mit einem hanebüchenen Plausibilitätsfehler des Systems ViVA: Das die Datensätze von zwei Personen in ViVA zu einem zusammenführte (, was allerdings immer noch nicht bewiesen ist), obwohl im gleichen Datensystem gespeichert ist, dass diese zwei Personen unterschiedliche Fingerabdrucksätze haben, also nicht identisch sein können. [5]

Oder ein ganz aktueller Fall aus Hessen: Das fand sich in der Ausländerakte eines Mannes gleich dreimal eine sogenannte Erkenntnismitteilung des Bundeskriminalamts an die zuständige Ausländerbehörde mit falschen Identitätsbehauptungen. Darin waren „Alias-„Namen von Personen aufgelistet, unter denen dieser Mann angeblich auftrat. Dazu gehörten auch die Namen von real existierenden, anderen Personen, die polizeilich ebenfalls bekannt sind und deren Fingerabdrucksätze vom Bundeskriminalamt ausgewertet wurden. Dennoch wird in diesen Erkenntnismitteilungen behauptet, der betroffene Mann und die anderen, real existierenden Personen hätten ein- und denselben Fingerabdrucksatz. Das ist ein Ding der Unmöglichkeit.
Führt aber bis heute dazu, dass diesem Mann Straftaten zugeordnet werden, die er überhaupt nicht begangen hat. (Die hessische Polizei, von Police-IT mehrfach wegen dieses Vorfalls angefragt, hat dazu bisher keine Stellungnahme abgegeben.)

Informationen aus sozialen Medien müssten gesichert werden, bevor sie polizeilich verwendet werden dürfen

Wer soziale Medien, wie Twitter oder Facebook benutzt, weiß gut genug, dass und wie oft dort falsche Behauptungen aufgestellt werden oder sogar Verleumdungen über andere Menschen. Die Polizei nutzt solche Medien, soweit hier bekannt ist, aktuell im Rahmen von akuten Einsätzen, z.B. um den Hintergrund eines Mannes aufzuklären, der gerade dabei sein soll, seine Frau und Kinder zu verprügeln. In diesem Fall ist es sinnvoll, der Streifenwagenbesatzung auf dem Weg dorthin mitteilen zu können, ob der Mann Waffen besitzt oder vermutlich nicht.

Bevor solche Informationen aus sozialen Medien tatsächlich für polizeiliche Zwecke genutzt werden, müssen sie zwingend gesichert sein, das bedeutet durch Überprüfung als wahr und richtig festgestellt worden sein. Polizeiliche Arbeit, die sich zunehmend darauf beschränkt, vom Schreibtisch aus „Erkenntnisse“ aus Datenbanken zu gewinnen, die der Wirklichkeit keinen Bestand haben, darf nicht weiter um sich greifen!

Nicht biometrisch hinterlegte und überprüfbare Personen-IDs – also nur Namen oder Ids – allein sind für Polizeiliche Informationssysteme unzureichend

Die automatisierte Auswertung von sozialen Medien, wie sie Systeme wie Palantir-Gotham ermöglichen, geht in ihrer Gefährlichkeit darüber bei weitem hinaus. Und zwar deshalb, weil eine real existierende Person nicht allein aufgrund von wenigen Namensmerkmalen eindeutig identifiziert werden kann. Thomas Müller, der Fußballspieler, sagt zum Beispiel, dass er 50.000 Namensvettern mit gleichem Vor- und Familiennamen hat [6]. Die Fehlzuordnung von Daten zu einer bestimmten, real existierenden Person ist damit unausweichlich und kann zum erheblichen Schäden und anderen Nachteilen für einen Betroffenen führen.

Die Steuer-ID ist als Personenidentifizierungsmerkmal im polizeilichen Informationssystemen ungeeignet

Die Steuer-Id wurde vom Bundestag vor wenigen Tagen als einheitliches Personenidentifizierungsmerkmal beschlossen. Sie wird, dies ist mir aus persönlicher Erfahrung bekannt, bereits seit Jahren auch in polizeilichen Informationssystemen verwendet.

Wie die Beispiele oben vom Syrer und vom betroffenen Mann aus Hessen zeigen, können Personen nur dann in einem polizeilichen Informationssystem als identisch angenommen werden, wenn sie auch in der realen Welt identisch sind. Das wird ausschließlich dadurch festgestellt, dass die Fingerabdrucksätze von Personen im Rahmen einer sogenannten erkennungsdienstlichen Behandlung (ED-Behandlung) genommen und dann beim Bundeskriminalamt ausgewertet werden:

Wenn es diese Fingerabdrücke in der BKA-Sammlung noch nicht gab, erhält der Fingerabdrucksatz seine eigene eindeutige Nummer, die so genannte D-Nummer, die auch in den Personendatensatz des Betroffenen übertragen wird. Und die somit ein eindeutiges, biometrisches Identifizierungsmerkmal für diese Person darstellt.

Wenn es diese Person tatsächlich schon gab (zum Beispiel unter einem anderen Namen oder Namen in einer anderen Schreibweise), dann ist für zwei Personalien / unterschiedliche Namen deren reale Identität festgestellt und wird entsprechend im Datensatz des Betroffenen vermerkt: Denn dort wird in diesem Fall der weitere Name als Alias Personalie eingetragen.

Die Steuer-Id ist als Identifizierungsmerkmal für polizeiliche Zwecke jedoch vollkommen unzureichend; sie als solches zu verwenden ist geradezu fahrlässig: Denn nur die biometrische Überprüfung und Absicherung der Identität von Personen kann gewährleisten, dass es nicht zur „Verwechslung“ von Personen in Polizeidatenbanken kommt.

Wenn Mitarbeiter aus Innenministerien oder Polizeibehörden wider besseres Wissen von diesem Prinzip abweichen, machen sie damit deutlich, dass es ihnen um den Schutz von Rechten der Betroffenen gar nicht mehr geht. Sondern sie eine „Polizeiarbeit vom Schreibtisch aus“ durchsetzen wollen.

Polizeivollzugsbeamte, die heute die Einführung solcher „modernen Systeme“ mit „Unterstützung durch künstliche Intelligenz“ bejubeln, sollten nicht übersehen, dass sie langfristig damit ihren eigenen Berufsstand überflüssig machen. Weil dann nur noch Automaten und Roboter Ermittlungen durchführen und Verdachtsmomente generieren.

Mit der gleichzeitigen Einführung von Steuer-Id und dem Gesetz zur Registermodernisierung, das über 200 Datenbanken von Behörden und Institutionen gleichzeitig nutzbar machen soll, und der gleichzeitigen Einführung von VeRA entsteht ein zentraler Beobachtungs- und Überwachungsmonitor für uns alle: Polizei- und die anderen (bisher noch ungenannten) Sicherheitsbehörden werden damit zu Superbehörden mit Ausforschungsmöglichkeiten gemacht, von denen das Reichssicherheitshauptamt oder die Stasi nur träumen konnten.

Quellen

[1]   2021/S 011-023694, Auftragsbekanntmachung, Lieferauftrag
https://ted.europa.eu/udl?uri=TED:NOTICE:23694-2021:TEXT:EN:HTML&src=0

[2]   BfDI kritisiert 1.000 Tage ohne Umsetzung von JI-Richtlinie, 29.01.2021
https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2021/02_fehlende-Umsetzung-JI-Richtlinie.html

[3]   Wie Journalisten zu Gewalttätern (gemacht) werden, 17.08.2017
https://police-it.net/wie-journalisten-zu-gewalttaetern-gemacht-werden

[4]   Wie Manipulationen in INPOL den Syrer A.A. hinter Gitter brachten …, 04.04.2019
https://police-it.net/wie-manipulationen-in-inpol-den-syrer-a-a-hinter-gitter-brachten

[5]   Fall Amad A.: Polizeidatenbank ViVA machte aus zwei NICHT identischen Menschen einen, 02.02.2021

Fall Amad A.: Polizeidatenbank ViVA machte aus zwei NICHT identischen Menschen einen

[6]   Vom Kreuztreffer getroffen, 30.01.2020
https://police-it.net/vom-kreuztreffer-getroffen

Copyright und Nutzungsrechte

(C) 2021 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en). Links von anderen Seiten auf diesen Artikel, sowie die Übernahme des Titels und eines kurzen Textanreißers auf andere Seiten sind zulässig, unter der Voraussetzung der korrekten Angabe der Quelle und des/der Namen des bzw. der Autoren. Eine vollständige Übernahme dieses Artikels auf andere Seiten bzw. in andere Publikationen, sowie jegliche Bearbeitung und Veröffentlichung des so bearbeiteten Textes ohne unsere vorherige schriftliche Zustimmung ist dagegen ausdrücklich untersagt.