Ein Gespräch mit dem Chef der Polizeigewerkschaft über veraltete Dienstgeräte, Datenschutz-Probleme und Konsequenzen aus dem Fall Klette.
Hätte die Polizei die ehemalige RAF-Terroristin mit digitalen Recherchen früher finden können? Ein Gespräch mit dem Chef der Gewerkschaft der Polizei über veraltete Dienstgeräte, Datenschutz-Probleme und Konsequenzen aus dem Fall Klette.
In Berlin verhafteten Zielfahnder der Polizei Ende Februar die mutmaßliche ehemalige RAF-Terroristin Daniela Klette, nach 30 Jahren auf der Flucht. Die Behörden präsentierten die Festnahme als großen Ermittlungs-Erfolg. Niedersachsens Innenministerin Daniela Behrens (SPD) bezeichnete sie als "Meilenstein der Kriminalgeschichte". Nun aber ist klar: Journalisten hatten Klette bereits vor Monaten entdeckt. Michael Colborne von der Recherche-Plattform Bellingcat hatte nach eigener Aussage in 30 Minuten geschafft, was Ermittler 30 Jahre lang vergeblich probiert hatten. Dafür jagte Colborne offenbar lediglich ein altes Fahndungsfoto durch die Gesichtserkennungs-KI "Pimeyes" – und stieß auf das Facebook-Profil von Klette. Eine Nachfrage bei der Gewerkschaft der Polizei.
Herr Kopelke, kennt die Polizei Gesichtserkennungs-Software wie "Pimeyes" etwa nicht?
Die Menschen bei der Polizei, die internetgestützte Recherchen machen, kennen alle Software-Tools. Die benutzen aber nicht alle davon. Zum Fall Klette habe ich mich auch noch mal mit Kollegen unterhalten, die OSINT betreiben…
…der Begriff OSINT (Open Source Intelligence) meint die professionelle Recherche von Informationen, die Menschen öffentlich zugänglich ins Internet stellen und deren Analyse nach verwertbaren Erkenntnissen…
Genau. Alle Kollegen kennen Pimeyes. Aber um es zu nutzen, müssten sie Daten auf Server im nichteuropäischen Raum schicken. Und das ist bei der Polizei immer ein Riesendebakel. Da muss es immer ein deutscher Server mit einem abgeschlossenen Netz sein. Bevor die OSINT-Kollegen neue Tools ausprobieren, sagen sie verständlicherweise: Ich weiß gar nicht, ob ich das darf, ich frage lieber einmal unseren Datenschützer. Dann kommt schnell die Aussage: Das ist vom nutzbaren Polizeigesetz oder von der Strafprozessordnung nicht abgedeckt, das geht nicht. Hinzu kommt, dass wir OSINT-Recherchen von unseren Dienstgeräten aus machen müssen. Die entsprechen aber nicht zwingend dem modernsten Stand der Technik. Wir kennen die Software, wir können sie benutzen, aber uns fehlt oft das passende Handwerkszeug und der gesetzliche Rahmen.
Wie müsste dieser gesetzliche Rahmen konkret aussehen, damit Ermittler effektiver mit OSINT arbeiten können?
Wir brauchen Ausnahmen im Datenschutz. Dass die Polizei etwa bei Gefahr gegen Leib und Leben, bei Schwerstverbrechen oder wenn Kriegswaffen involviert sind, auch andere Server und Tools nutzen darf, die dem Ziel dienlich sind. Der Gesetzgeber hat in der Hand, welche Software, welche Technik wir benutzen und welche Ausnahmen wir machen dürfen. Diese Ausnahmen hat er aber nicht definiert. Wir müssen agiler werden.
Können Sie Beispiele nennen, wo OSINT die Polizeiarbeit erleichtern kann?
Die Polizei sucht jemanden, der gedroht hat, einen Anschlag zu begehen. Die Beamten sehen auf seinen Social-Media-Profilen, wo er sich aktuell befindet, sie ordnen Bilder ein und erkennen Regionen. So kommen sie dieser Person näher. Auch für herausragende Einsatzlagen wie die Fußball-Europameisterschaft in diesem Jahr, bei der sehr schnell sehr viele Menschen in unsere Städte strömen, wo es chaotisch wird, ist OSINT sinnvoll.
Wie effektiv OSINT die Arbeit der Polizei unterstützen kann, haben viele Forschungsarbeiten und Erfahrungsberichte gezeigt. In anderen Ländern, etwa der Niederlande, ist OSINT mittlerweile ein nicht mehr wegzudenkender Teil des Polizeialltags. Warum sehen deutsche Behörden da so schlecht aus?
Das ist eine Frage der Ressourcen. Die Kapazitäten stehen nicht zur Verfügung, die Technik fehlt, die Beschaffung dauert ewig in Polizeibehörden. Das Auswahlverfahren für Stellen dauert exorbitant lang. Und wenn wir schließlich schlaue Menschen einstellen, werden die im Vergleich zur freien Wirtschaft meist nicht gut bezahlt. Sie sollen außerdem in Schichtzeiten arbeiten, steigen nicht auf und bekommen keine anderen Tätigkeiten zugewiesen. Diese Menschen gehen im Schnitt nach zwei bis vier Jahren wieder.
Wer ist für die Situation verantwortlich?
Das obliegt den Innenministerien. Man kann aber auch umschwenken und sagen: Liebe Bundesinnenministerin, kannst du die Standards und die Fähigkeiten im Bundeskriminalamt schaffen, damit alle darauf zugreifen können? So macht es die Niederlande, mit einem Zentralstandort.
Die Welt wird immer digitaler und so auch das Verbrechen. Es müsste also schnell etwas passieren.
Die Recherche im Internet ist ein Handwerkszeug, das in der heutigen Welt Standard sein muss. Die gesellschaftliche Realität findet parallel im Internet statt. Es wäre unverantwortlich, in der heutigen Zeit nicht nach Informationen im Internet zu recherchieren. OSINT ist die Professionalisierung der Internetrecherche. Als Polizei haben wir die Verantwortung, dies zu können. OSINT muss mit Hochdruck ausgebaut werden in allen Behörden. Und der Gesetzgeber muss, auch am Fall Klette, ganz schnell hinterfragen: Warum können Dritte aufklären, aber wir als Polizei nicht? Es braucht da eine zügige Überprüfung des Falls Klette. Diese Erkenntnisse müssen auf den Tisch, damit der Gesetzgeber nachbessert. Der Fall zeigt: Andere können wie immer mehr. Und das nagt an unserem Ego.
Jetzt mal RAF und Klette etc. außen vor.
Man muss halt sagen, dass das ein allgemeines Problem bei den deutschen Behörden ist, sowohl was Datenschutz als auch Daten mit besonderem Schutzbedarf. Es fehlt die Infrastruktur, die bietet derzeit einfach nur die US-Industrie. Wenn etwas in der Cloud laufen soll, was moderne Software tut, braucht es eine entsprechende Cloud und ein Nutzungskonzept dazu. In den Deutschen Behörden sitzen eine Menge motivierte Leute, wenn für die Installation eines Pythonmoduls aber erstmal die Rechtsabteilung ein halbes Jahr beschäftigt ist, können die auch nix machen.
Das ist tatsächlich gar nicht mal so das Problem - zumindest in meiner Erfahrung. Im Gegenteil, da werden teilweise "provisorisch" hochkritische Daten zu Azure gepumpt.
Ja, die Infrastruktur fehlt, aber eben auch, weil dort über Jahrezehnte (und bis heute) kaum fähige Leute vorhanden sind, um die Anforderungen abzudecken. Es gibt Clouds, es gibt auch deutsche Unternehmen, die Clouddienste anbieten.
Die Verwaltungen haben eine extrem hohe Komplexität aufgebaut. Teilweise hast du ein und das selbe Verfahren (aus Bürgersicht) was intern dann aber über 5-10 verschiedene Systeme in verschiedenen Behörden läuft und jeweils in eigenen Datenformaten läuft. Für sowas wie simples wie eine Adresse gibt es dutzende verschiedene Standards. Für jeden Furz an Änderungen muss ein externer Dienstleister beauftragt werden, weil intern die Kapazität nicht vorhanden ist. Und was die Arbeit für mich als Entwickler am meisten ausbremst: Niemand kann dir sagen, was eigentlich die Anforderungen/Schnittstellen sind. Ich hatte schon halbfertige Projekte, die de facto weggeworfen werden mussten, weil Chefetagen-Christian und Abteilungsleiter-Andreas der Meinung waren, dass plötztlich alles von vorher nicht mehr gilt.
Die rechtliche Situation ist fast nie das Problem. Sondern hausgemacht Idiotie und falsch verstandene Sparsamkeit.
Bin gerade in einem Projekt mit hochsensiblen Daten für eine Behörde. Die Infrastruktur ist weniger das Problem. Es gibt sogar ein richtig modernes Bestellportal für Resourcen. Paar Stunden später hast da deinen MSSQL fertig eingerichtet stehen. Klar kein Vergleich zu den Bereitstellungszeiten von Azure aber in der Regel irrelevant. Probleme sehe ich beim Personal und Organisationsstrukturen. Die Prozesse behindern einen einfach nur bei der Arbeit. Du möchtest einen Port freigeben? Ja klar, dann stellen wir mal einen Antrag, wird so 2-3 Wochen dauern. Das Personal eher mittelmäßig ausgebildet und motiviert. Ein paar Leute sind ganz gut dabei aber einige machen einfach nur das Mindestmaß und bremsen alle anderen. Da wird lieber über zwei Tage per Mail kommuniziert ob man jetzt wirklich den Bug selbst fixen soll anstatt das einmal zu kommunizieren und anschließend in 5 Minuten zu lösen.
Die Argumentation dass der Datenschutz das Problem ist kann ich nur bedingt nachvollziehen. Natürlich sitzt einem bei solch einem Projekt immer ein Datenschutzbeauftragter im Nacken, aber das ist auch gut so. Oder möchte jemand, dass Gerhard Müller, Oberwachtmeister, einfach Zugriff auf deine Social Media Daten von vor 10 Jahren hat? Ich würde das nicht wollen, das sollte nur mit Bedacht und isoliert eingesetzteingesetzt werden. Das kann ein Projekt schon mal um ein zwei Jahre verzögern jedoch sind hier Prüfungen obligatorisch. Wie lange gibt es jetzt bereits Facebook oder Derivate? Würde sagen länger als zwei Jahre. Warum hat man das Projekt nicht umgesetzt?
In dem konkreten Fall sehe ich kein Problem darin Facebook Daten aus der API zu holen und die Auswertung anschließend lokal auszuführen. Für zeitverzögerte Gesichtserkennung im großen Maßstab reichen doch 2-3 dedizierte Server völlig aus.
Abschließend muss ich sagen dass "Cloud", also AWS, Azure oder sonstige, nicht die Lösung für langfristige Projekte sein sollten. Die Kosten sind gegenüber Selfhosting signifikant höher (Gerade wenn man eh eine it braucht). Dazu kommen noch die Aspekte Datenschutz, Performance und Zugänglichkeit. Ebenso sollte man bedenken wie strategisch sinnvoll es ist kritische Prozesse auszulagern. Wie sinnvoll Outsourcing allgemein ist hat man mit Corona anhand der Weltwirtschaft gesehen.