Polizei-Software: Quellcodeüberprüfung von Palantir findet keine Backdoor

Eine unabhängige Überprüfung der Analysesoftware Vera des US-Unternehmens Palantir hat keine Schwachstellen aufgedeckt. Das teilte das bayerische Landeskriminalamt (LKA) in München mit. "Diese Feststellungen bestätigen uns in der Bewertung, dass ein Betrieb von Vera bei der bayerischen Polizei ohne durchgreifende Sicherheitsbedenken möglich ist", hieß es in der Mitteilung vom 8. März 2023. Bayern schloss mit Palantir einen Rahmenvertrag, damit alle anderen Polizeien dessen Programm ohne zusätzliche Vergabeverfahren übernehmen können.

Die Polizei ließ die Verfahrensübergreifende Recherche- und Analyseplattform (Vera) vom Fraunhofer-Institut für Sichere Informationstechnologie (FHI SIT) in Darmstadt prüfen. Das Institut untersuchte demnach nicht nur den Quellcode der Software, sondern nahm auch eine "umfassende Schwachstellenanalyse" vor.

"Dabei wurden neben umfänglichen manuellen Prüfungen und Penetrationstests auch Codescanner zur automatisierten Detektion von Schwachstellen eingesetzt. Zudem wurden bei der Untersuchung und im Gutachten Aspekte eines späteren Betriebs der Standardsoftware im abgeschotteten Polizeinetz berücksichtigt", schreibt das LKA.

Das SIT konnte demnach keine Hintertür in der Software finden. "Im Rahmen der Untersuchung wurden keine Funktionalitäten festgestellt, die einen unzulässigen Abfluss von Daten unter Umgehung von Zugriffsbeschränkungen oder einen unautorisierten Zugriff auf das System von außen ermöglichen", heißt es weiter.

Gutachten bleibt unter Verschluss

Allerdings ist es weder möglich, diese Ergebnisse zu überprüfen, noch die Analyse einzusehen. Das Gutachten und die Inhalte seien vom LKA "schon wegen der sensiblen Angaben zur IT-Infrastruktur der bayerischen Polizei als Verschlusssache eingestuft" worden. Darüber hinaus enthalte das Gutachten Geschäftsgeheimnisse von Palantir im Sinne des Gesetzes zum Schutz von Geschäftsgeheimnissen. "Eine Veröffentlichung oder auch auszugsweise Einsichtnahme ist deshalb rechtlich nicht zulässig und daher auch nicht vorgesehen", schreibt das LKA.

Ob die Software in der geplanten Form eingesetzt werden kann, ist aber offen. Mitte Februar 2023 erklärte das Bundesverfassungsgericht den Einsatz solcher Analyseprogramme in den Bundesländern Hessen und Hamburg für verfassungswidrig. Mit einer solchen Analysesoftware für große Datenmengen will die Polizei potenziellen Straftätern schneller auf die Spur kommen. Das Programm durchsucht Datenbanken, um Querverbindungen zu entdecken, die den Ermittlern sonst vielleicht nicht auffielen.

Den Karlsruher Richtern zufolge ist eine automatisierte Datenanalyse oder -auswertung grundsätzlich möglich. Dies setze aber "insbesondere die Vereinbarkeit mit dem Grundsatz der Verhältnismäßigkeit voraus, dessen Anforderungen sich nach der konkreten Reichweite der Befugnis richten". Die Anforderungen bestimmten sich dabei "nach dem Eingriffsgewicht der Maßnahme".

Bayern will Vorgaben einhalten

Bayerns Innenminister Joachim Herrmann (CSU) erklärte nach dem Urteil, dass die Software nur unter den vom Bundesverfassungsgericht formulierten Voraussetzungen und Maßgaben eingesetzt werden könne. Außerdem sicherte er zu, die Software werde nur innerhalb des Polizeinetzes und ohne Verbindung zum Internet eingesetzt.

Der bayerische Datenschutzbeauftragte Thomas Petri bezeichnete den geplanten Einsatz von Vera als "hochproblematisch". Ein Großteil der Daten, auf die Ermittler zugreifen könnten, werde für ganz andere Zwecke erhoben als zur Bekämpfung von Terrorismus und organisierter Kriminalität. Wenn nun ein Programm zu diesem Zweck automatisiert sämtliche Datenbanken durchsuche, würden diese Bereiche nicht mehr ausreichend getrennt, sagte Petri im November 2021.