Wie sichert die Polizei den INHALT ihrer Datenbanken?!

Heute Morgen wurde bekannt, dass im Fall „Chemnitz“ der Haftbefehl gegen die beiden Beschuldigten im Internet aufgetaucht sei. Aus Berlin wurde vor wenigen Tagen berichtet, dass Polizisten illegal polizeiliche Datenbanken über das System POLIKS abfragen können bzw. konnten, sei es aus persönlichen Interessen, oder um die Informationen zu Geld zu machen. Die sächsische Polizei kann sich den Vorfall noch gar nicht erklären, die Berliner Polizei spielt die Sache herunter, in welchem Umfang und wie lange diese Missbrauchsmöglichkeit eigentlich bestand oder noch besteht. Wenn sich Zeugen, Geschädigte, deren Familienangehörige, Tatverdächtige, Beschuldigte und Anwälte nicht mehr sicher sein können, dass die sie betreffenden Informationen und Dokumente bei der Polizei geschützt sind und auch bleiben, berührt das im Kern das Vertrauen in die Arbeit der Polizei.

POLICE-IT hatte über ein aktuelles Problem der Berliner Polizei berichtet [A]. Es betraf POLIKS, das eigens für die Berliner Polizei von T-Systems entwickelte IT-System für die Informationsverarbeitung, Kommunikation und Sachbearbeitung der Polizei. Es soll – über eine unbestimmte Zeitspanne- die Möglichkeit gegeben haben, die Nutzerkennung eines POLIKS-Anwenders auf banale Art und Weise zu kapern und sich damit Zugang zu den Informationen, Dokumenten, Vorgängen und Akten zu beschaffen, auf die dieser legitime Anwender Zugriff hat. Diese Zugangsmöglichkeit soll angeblich seit 2017 verstopft worden sein. Sagt die @polizeiberlin.

Ein zweites Problem schwelt weiter, das es wohl in allen Polizeiorganisationen gibt, in denen polizeiliche Informationssysteme unterhalten werden. Da kommt beim einen oder anderen Polizisten schon mal Neugierde auf, ob denn der Nachbar bereits polizeilich „aufgefallen“ ist. Oder eine finanzklamme Polizistin bessert ihren Geldbeutel damit auf, dass sie dem neuen Freund und Versicherungsvertreter Datenkopien aus dem polizeilichen Informationssystem verschafft und sich dafür bezahlen lässt. Der hat dann gleich schwarz auf weiß, ob gegen den neuen Kfz-Versicherungsnehmer bei der Polizei etwas bekannt ist oder nicht. Ähnliche Fälle gibt es auch bei der Berliner Polizei. Das hat n-tv von Polizisten erfahren [1], die allerdings anonym bleiben wollten. Die haben u.a. berichtet, dass ihnen bekannte Kollegen Warnungen vor bevorstehenden Polizeikontrollen gegen Geld an Diskothekenbesitzer und Szenebars verscherbeln.

Ein Sprecher der Berliner Polizei hat dieses Problem gegenüber dem Sender im Wesentlichen eingeräumt. Und gleichzeitig auch beruhigt: Der Abfrage müsse den Abfragegrund eingeben, man müsse ihn sogar noch konkretisieren. Das wird man sich so vorzustellen haben, dass aus einer vorgegebenen AntwortLISTE zunächst ein AbfrageGRUND auszuwählen ist (z. B: „Überprüfung der Personalie“) und anschließend als „Konkretisierung“ die Tagebuchnummer des Vorgangs oder das Aktenzeichen des Ermittlungsverfahrens, ggf. kombiniert mit dem Namen der Person einzugeben ist [a]. Wenn’s wesentlich komplexer und genauer sein sollte, werden wir gerne darüber berichten.
Außerdem, sagte der Sprecher der Berliner Polizei, würde „jeder Zugriff“ in einem Protokoll gespeichert. Dieses Protokoll werde stichprobenhaft überprüft.

Wir haben dazu mal eine Beispielrechnung aufgestellt: Wenn nur die Hälfte der rund 26.000 Polizisten in Berlin täglich 1 Abfrage durchführt (die anderen sind krank, im Urlaub, arbeiten in der Verwaltung, o.ä.), so kommen, aufs Jahr gerechnet 4.745.000 Abfragen zusammen, bzw. 13.000 pro Tag. Wenn von diesen Abfragen – mal angenommen – nur ein Promille nicht zulässig wären, so kommt man auf 13 solcher Abfragen am Tag. Der Polizeisprecher sagte gegenüber n-tv, dass die stichprobenhaften Kontrollen der Polizei selbst PRO JAHR „etwa 60 illegale Abfragen“ zu Tage fördern. Da kann man der Berliner Polizei nur gratulieren: Zu dem schier unglaublichen Berufsethos ihrer Mitarbeiter! Die sich freiwillig nicht an Informationen „vergreifen“, wenn sie’s nicht dürfen. Die andere Möglichkeit wäre weniger schmeichelhaft: Wie auch in anderen Fällen [C]: Wo kaum kontrolliert wird, kann man auch nichts finden. Aber das ist natürlich reine Spekulation. Obwohl – andererseits – schon stutzig macht, was der anonyme Polizist 2 aus der Berliner Polizei dem Sender n-tv da in die Kamera diktierte. „Man kann davon ausgehen, dass solche Fälle, noch während wir uns unterhalten, noch stattfinden.“ Was bedeutet: Illegale Abfragen finden tagtäglich statt! Und nicht alle sechs Tage mal eine, wie der Polizeisprecher erklärt hatte!

Es wäre die Aufgabe der Datenschutzbeauftragten und der Polizei selbst den Abfluss von polizei-internen Informationen wirksam zu kontrollieren und einzudämmen. Denn es geht dabei ja nicht um Formalvorschriften, wie das Tragen der Polizeimütze. Es geht um taktische und strategische Interessen und Notwendigkeiten der Polizei: Man denke z.B. nur an den Schutz gegenüber dem Verrat von zeitnah anstehenden polizeilichen Maßnahmen, von dem der anonyme Polizist im n-tv-Video sprach: Egal, ob im Rauschgiftbereich, im Staatsschutz oder gegenüber arabischen Clans. Das hat auch etwas mit Gleichbehandlung zu tun. Und mit dem gesetzlich vorgegebenen Schutz von personenbezogenen Daten der Hinweisgeber, Zeugen, Tatverdächtigten/Beschuldigten und Geschädigten in Ermittlungsverfahren und sonstigen polizeilichen Vorgängen.

Gerade heute morgen kommt via Tagesschau die Meldung [2] auf den Tisch, dass in der Causa Chemnitz gestern der Haftbefehl gegen die beiden Beschuldigten im Internet verbreitet wurde.

„Das Papier scheint authentisch zu sein: So werden die Namen des Opfers, der mutmaßlichen Täter, sowie von Zeugen und der Richterin genannt. Zudem wird beschrieben, wie oft auf das Opfer eingestochen worden war. …“

Was ist eigentlich „Zugriff“?! – jedenfalls nicht so einfach, wie die Berliner Polizei das darstellt!

Angesichts der sehr gering anmutenden Zahl tatsächlich festgestellter illegaler Abfragen bei der Berliner Polizei können die Beschwichtigungen des Sprechers der Berliner Polizei nicht beruhigen.
Den Aussagen, auch den Beteuerungen bei Twitter [B] ist deutlich anzumerken, dass das, was da auf- bzw, ausgesagt wird, mit dem eigentlichen Problem und dem, was technisch dahintersteht, wenig bis gar nichts zu tun hat. WAS da gesagt wird, ist Worthülse, die nur viele plausible Fragen aufwirft:

  • Was z.B. ist „Zugriff“, der da angeblich protokolliert wird?!
    • Datum und Zeitstempel für die AN- UND ABMELDUNG beim System?
    • Oder zusätzlich Datum und Zeitstempel UND die ART DER SUCHFRAGE, die bei einer Abfrage verwendet wurde?
    • Kann man nachvollziehen, ob und welche DATEN VERÄNDERT worden sind?
    • und, wenn ja: VON WEM?
    • Oder wann der Anwender einen VORGANG GEÖFFNET hat?
    • Eine AKTE GELESEN hat?
    • Ein DOKUMENT neu ANGELEGT?
    • und in eine AKTE ABGELEGT hat?
    • Ein schon vorhandenes DOKUMENT GEÖFFNET und GELESEN hat?
    • Dieses Dokument, obgleich es nicht von ihm erstellt worden war, auch VERÄNDERT hat?
    • Und wenn ja: Kann man dann die VORGÄNGER-VERSIONEN(EN) im System wieder LESBAR machen?
    • Um nachzuvollziehen, wer wann was geändert, eingefügt oder gelöscht hat?!
    • Oder – siehe oben – ein Dokument mal schnell AUSGEDRUCKT hat?
  • Wieso soll aus dem „PROTOKOLL“ eine wirksame Überprüfung auf illegale Abfragen möglich sein?
  • Wie viele Personen in der Berliner Polizei kümmern sich wann, wie oft, in welchem Umfang der „Ermittlung“ um die Auswertung dieser Protokolldaten?!
  • usw. [b]

DAS ist ein Teil der Fragen, die beantwortet werden müssen, wenn von effektivem Zugriffsschutz und Verhinderung von Durchstecherei, Datenmanipulation oder gar -löschung die Rede ist. Von DIESEM Level der notwendigen, ernsthaften Beschäftigung mit dem Problem der Sicherung des CONTENTS von polizeilichen Informationssystemen vor illegalem Zugriff und illegaler Veränderung und Löschung sind die Beschwichtigungen der Polizei Berlin derzeit sehr, sehr weit entfernt.

Fußnoten

[a]   Mit AntwortLISTE ist eine vorgegebene Antwort aus einer längeren Liste oder Combobox gemeint. Denn in polizeilichen Informationssystemen und deren Erfassungsformularen versucht man, wo immer es geht, freitextuell gestrickte Antworten des Anwenders durch solche AntwortLISTEN zu vermeiden, um zu einer gewissen Standardisierung der Datenerfassung zu kommen.

[b]   Diese Fragen und die getroffene Einschätzung beruhen auf der Tatsache, dass ich mir, gemeinsam mit Technikern meiner früheren Firma, über die technische Realisierung effektiver Schutzmaßnahmen für polizeiliche Informationssysteme gegenüber illegalen Zugriffen, Informationsabflüssen und-Manipulationen lange Gedanken gemacht habe und Lösungen mit-implementiert habe, die einen weitaus effektiveren Zugriffsschutz aufweisen, als das, was die Berliner Polizei hier als Problemlösung beschreibt.

Quellen

[1]   Anonyme Beamte prangern Korruption bei Polizei an, 25.08.18 08:57 Uhr – 01:46 min, n-tv.de
https://www.n-tv.de/mediathek/videos/panorama/Anonyme-Beamte-prangern-Korruption-bei-Polizei-an-article20590290.html

[2]   Haftbefehl im Internet veröffentlicht, Stand: 29.08.2018 04:58 Uhr, Tagesschau
https://www.tagesschau.de/inland/chemnitz-messerangriff-ausschreitungen-101.html

Verwandte Beiträge

[A]   Die weitere Dimension des POLIKS-„Datenskandals“ der Berliner Polizei, 24.8.2018 , POLICE-IT
https://police-it.net/die-groessere-dimension-des-poliks-datenskandals-der-berliner-polizei

[B]   Update dazu vom 26.08.2018

[C]   Zur Vorstellung des Bundeslagebilds OK – Organisierte Kriminalität im BKA: Organisierte und dokumentierte Doppelmoral, 15.08.2018, POLICE-IT
https://police-it.net/organisierte-und-dokumentierte-doppelmoral

Copyright und Nutzungsrechte

(C) 2018 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en). Links von anderen Seiten auf diesen Artikel, sowie die Übernahme des Titels und eines kurzen Textanreißers auf andere Seiten sind zulässig, unter der Voraussetzung der korrekten Angabe der Quelle und des/der Namen des bzw. der Autoren. Eine vollständige Übernahme dieses Artikels auf andere Seiten bzw. in andere Publikationen, sowie jegliche Bearbeitung und Veröffentlichung des so bearbeiteten Textes ohne unsere vorherige schriftliche Zustimmung ist dagegen ausdrücklich untersagt.