Hätte die Polizei die ehemalige RAF-Terroristin mit digitalen Recherchen früher finden können? Ein Gespräch mit dem Chef der Gewerkschaft der Polizei über veraltete Dienstgeräte, Datenschutz-Probleme und Konsequenzen aus dem Fall Klette.

In Berlin verhafteten Zielfahnder der Polizei Ende Februar die mutmaßliche ehemalige RAF-Terroristin Daniela Klette, nach 30 Jahren auf der Flucht. Die Behörden präsentierten die Festnahme als großen Ermittlungs-Erfolg. Niedersachsens Innenministerin Daniela Behrens (SPD) bezeichnete sie als “Meilenstein der Kriminalgeschichte”. Nun aber ist klar: Journalisten hatten Klette bereits vor Monaten entdeckt. Michael Colborne von der Recherche-Plattform Bellingcat hatte nach eigener Aussage in 30 Minuten geschafft, was Ermittler 30 Jahre lang vergeblich probiert hatten. Dafür jagte Colborne offenbar lediglich ein altes Fahndungsfoto durch die Gesichtserkennungs-KI “Pimeyes” – und stieß auf das Facebook-Profil von Klette. Eine Nachfrage bei der Gewerkschaft der Polizei.

Herr Kopelke, kennt die Polizei Gesichtserkennungs-Software wie “Pimeyes” etwa nicht?
Die Menschen bei der Polizei, die internetgestützte Recherchen machen, kennen alle Software-Tools. Die benutzen aber nicht alle davon. Zum Fall Klette habe ich mich auch noch mal mit Kollegen unterhalten, die OSINT betreiben…

…der Begriff OSINT (Open Source Intelligence) meint die professionelle Recherche von Informationen, die Menschen öffentlich zugänglich ins Internet stellen und deren Analyse nach verwertbaren Erkenntnissen…
Genau. Alle Kollegen kennen Pimeyes. Aber um es zu nutzen, müssten sie Daten auf Server im nichteuropäischen Raum schicken. Und das ist bei der Polizei immer ein Riesendebakel. Da muss es immer ein deutscher Server mit einem abgeschlossenen Netz sein. Bevor die OSINT-Kollegen neue Tools ausprobieren, sagen sie verständlicherweise: Ich weiß gar nicht, ob ich das darf, ich frage lieber einmal unseren Datenschützer. Dann kommt schnell die Aussage: Das ist vom nutzbaren Polizeigesetz oder von der Strafprozessordnung nicht abgedeckt, das geht nicht. Hinzu kommt, dass wir OSINT-Recherchen von unseren Dienstgeräten aus machen müssen. Die entsprechen aber nicht zwingend dem modernsten Stand der Technik. Wir kennen die Software, wir können sie benutzen, aber uns fehlt oft das passende Handwerkszeug und der gesetzliche Rahmen.

Wie müsste dieser gesetzliche Rahmen konkret aussehen, damit Ermittler effektiver mit OSINT arbeiten können?
Wir brauchen Ausnahmen im Datenschutz. Dass die Polizei etwa bei Gefahr gegen Leib und Leben, bei Schwerstverbrechen oder wenn Kriegswaffen involviert sind, auch andere Server und Tools nutzen darf, die dem Ziel dienlich sind. Der Gesetzgeber hat in der Hand, welche Software, welche Technik wir benutzen und welche Ausnahmen wir machen dürfen. Diese Ausnahmen hat er aber nicht definiert. Wir müssen agiler werden.

Können Sie Beispiele nennen, wo OSINT die Polizeiarbeit erleichtern kann?
Die Polizei sucht jemanden, der gedroht hat, einen Anschlag zu begehen. Die Beamten sehen auf seinen Social-Media-Profilen, wo er sich aktuell befindet, sie ordnen Bilder ein und erkennen Regionen. So kommen sie dieser Person näher. Auch für herausragende Einsatzlagen wie die Fußball-Europameisterschaft in diesem Jahr, bei der sehr schnell sehr viele Menschen in unsere Städte strömen, wo es chaotisch wird, ist OSINT sinnvoll.

Wie effektiv OSINT die Arbeit der Polizei unterstützen kann, haben viele Forschungsarbeiten und Erfahrungsberichte gezeigt. In anderen Ländern, etwa der Niederlande, ist OSINT mittlerweile ein nicht mehr wegzudenkender Teil des Polizeialltags. Warum sehen deutsche Behörden da so schlecht aus?
Das ist eine Frage der Ressourcen. Die Kapazitäten stehen nicht zur Verfügung, die Technik fehlt, die Beschaffung dauert ewig in Polizeibehörden. Das Auswahlverfahren für Stellen dauert exorbitant lang. Und wenn wir schließlich schlaue Menschen einstellen, werden die im Vergleich zur freien Wirtschaft meist nicht gut bezahlt. Sie sollen außerdem in Schichtzeiten arbeiten, steigen nicht auf und bekommen keine anderen Tätigkeiten zugewiesen. Diese Menschen gehen im Schnitt nach zwei bis vier Jahren wieder.

Wer ist für die Situation verantwortlich?
Das obliegt den Innenministerien. Man kann aber auch umschwenken und sagen: Liebe Bundesinnenministerin, kannst du die Standards und die Fähigkeiten im Bundeskriminalamt schaffen, damit alle darauf zugreifen können? So macht es die Niederlande, mit einem Zentralstandort.

Die Welt wird immer digitaler und so auch das Verbrechen. Es müsste also schnell etwas passieren.
Die Recherche im Internet ist ein Handwerkszeug, das in der heutigen Welt Standard sein muss. Die gesellschaftliche Realität findet parallel im Internet statt. Es wäre unverantwortlich, in der heutigen Zeit nicht nach Informationen im Internet zu recherchieren. OSINT ist die Professionalisierung der Internetrecherche. Als Polizei haben wir die Verantwortung, dies zu können. OSINT muss mit Hochdruck ausgebaut werden in allen Behörden. Und der Gesetzgeber muss, auch am Fall Klette, ganz schnell hinterfragen: Warum können Dritte aufklären, aber wir als Polizei nicht? Es braucht da eine zügige Überprüfung des Falls Klette. Diese Erkenntnisse müssen auf den Tisch, damit der Gesetzgeber nachbessert. Der Fall zeigt: Andere können wie immer mehr. Und das nagt an unserem Ego.

  • AggressivelyPassive@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    7
    ·
    8 months ago

    Das ist tatsächlich gar nicht mal so das Problem - zumindest in meiner Erfahrung. Im Gegenteil, da werden teilweise “provisorisch” hochkritische Daten zu Azure gepumpt.

    Ja, die Infrastruktur fehlt, aber eben auch, weil dort über Jahrezehnte (und bis heute) kaum fähige Leute vorhanden sind, um die Anforderungen abzudecken. Es gibt Clouds, es gibt auch deutsche Unternehmen, die Clouddienste anbieten.

    Die Verwaltungen haben eine extrem hohe Komplexität aufgebaut. Teilweise hast du ein und das selbe Verfahren (aus Bürgersicht) was intern dann aber über 5-10 verschiedene Systeme in verschiedenen Behörden läuft und jeweils in eigenen Datenformaten läuft. Für sowas wie simples wie eine Adresse gibt es dutzende verschiedene Standards. Für jeden Furz an Änderungen muss ein externer Dienstleister beauftragt werden, weil intern die Kapazität nicht vorhanden ist. Und was die Arbeit für mich als Entwickler am meisten ausbremst: Niemand kann dir sagen, was eigentlich die Anforderungen/Schnittstellen sind. Ich hatte schon halbfertige Projekte, die de facto weggeworfen werden mussten, weil Chefetagen-Christian und Abteilungsleiter-Andreas der Meinung waren, dass plötztlich alles von vorher nicht mehr gilt.

    Die rechtliche Situation ist fast nie das Problem. Sondern hausgemacht Idiotie und falsch verstandene Sparsamkeit.