Baden-Württembergs Behörden planen entgegen der Kritik von Experten den Einsatz von Sicherheitssoftware eines fragwürdigen Anbieters aus den Vereinigten Staaten. Eine Neubewertung wegen der veränderten Beziehungen zur US-Regierung sieht die Landesregierung auf Anfrage des SÜDKURIER derzeit nicht vor.
Bereits im vergangenen September hatte sie mit einem Sicherheitspaket die Einführung einer „Verfahrensübergreifenden Recherche- und Analyseplattform“ für die Polizei beschlossen. Dieses als „VeRA“ abgekürzte Programm ist eine Version der Gotham-Software des US-Anbieters Palantir, zu dessen Gründern der bekannte Investor Peter Thiel gehört – der Freiheit und Demokratie für miteinander nicht vereinbar hält.
Die Risikoprüfung erfolgte lange vor Trumps Rückkehr
Laut baden-württembergischem Innenministerium erfolgt derzeit die Integration des Systems in die bestehende IT-Infrastruktur. Auf Nachfrage zu den Sicherheitsbedenken heißt es, das Bayerische Landeskriminalamt habe den Quellcode der Software durch das unabhängige Fraunhofer Institut prüfen lassen, das Datenabflüsse ausgeschlossen hat. Der Prüfbericht ist nicht öffentlich, das Fraunhofer Institut darf sich dazu nicht äußern.
Die Prüfung erfolgte zudem bereits im Jahr 2022 – also vor der Rückkehr Trumps ins Weiße Haus. Und dass dessen Administration bereit dazu ist, Technologieexport als Machtmittel einzusetzen, zeigte etwa Vizepräsident JD Vance, der Europa mit dem Ende der US-Unterstützung in der Nato drohte, falls der Nachrichtendienst X weiter reguliert würde. Abhängigkeiten von US-Militärgerät werden bereits europaweit diskutiert.
Das schwarz-grün regierte Schleswig-Holstein beendet sogar bereits die Nutzung von Computerprogrammen des US-Anbieters Microsoft in seiner Landesverwaltung. „Die Gefangenschaft in Softwarelösungen großer, insbesondere außereuropäischer Anbieter ist nicht nur eine Bedrohung für unsere Sicherheit, sondern lähmt auch das Wachstum unserer Digitalwirtschaft“, sagte dazu der dortige Landes-Digitalisierungsminister Dirk Schrödter (CDU).
Cyber-Experte hält Neubewertung für angebracht
Entsprechend hält der Cybersicherheitsexperte Mirko Ross eine Neubewertung für angebracht: „Die Gotham-Plattform von Palantir erfordert regelmäßige Aktualisierungen, die in der Regel jeden Monat erfolgen.“ Könne die Plattform aufgrund geopolitischer Umstände – etwa wenn die US-Regierung Firmen in ihrem Land Dienstleistungen für EU-Unternehmen erschwert oder untersagt – nicht mehr aktualisiert werden, gelte sie als nicht unterstützte Version, deren Funktion Palantir nicht mehr gewährleisten könne.
Eine solche nicht unterstützte Version aber „kann nach Stand der Technik nicht mehr cybersicher betrieben und müsste abgeschaltet werden“, so der CEO der auf Software für Cyberrisikoanalyse spezialisierten Asvin GmbH aus Stuttgart.
Bewertung ohne die geopolitischen Rahmenbedingungen
Damit konfrontiert besteht das Innenministerium in Stuttgart auf seiner Einschätzung, bestätigt aber: Die Quellcodeprüfung durch das Fraunhofer Institut erfolgte unabhängig von geopolitischen Rahmenbedingungen. Um eine Bewertung der Abhängigkeit von nötigen Updates ging es dabei also nicht.
Andere Bundesländer wollen die Software genau deshalb nicht einsetzen. „Trotz technischer Leistungsfähigkeit bestehen aus unserer Sicht Bedenken hinsichtlich langfristiger Abhängigkeiten von einem US-Anbieter und der Vereinbarkeit mit europäischen Datenschutz- und Sicherheitsstandards“, so etwa das saarländische Innenministerium. Die Entwicklung einer europäischen Alternative ist derzeit allerdings nicht erkennbar.
Weitere Risiken der Software
Auch abseits des Abhängigkeitsrisikos steht die Software in der Kritik. Ein verfassungsgemäßer Einsatz ist fraglich, das Bundesverfassungsgericht schränkte die Nutzung bereits ein, weitere Entscheidungen stehen aus. Aus Datenschutzsicht sind solche Programme prinzipiell problematisch, wie Sicherheitsexperte Ross erklärt: „Wenn Plattformen wie Gotham von Palantir mehrere Quellen über Kontext analysieren können, dann hilft der Datenschutz einer einzelnen Quelle nur bedingt.“
Das bedeutet: Durch die Verbindung nicht schutzwürdiger Daten kann solche Software Rückschlüsse auf geschützte Daten generieren. Ross nennt als Beispiel ein Datenleck bei Volkswagen im vergangenen Dezember, mit dem über solche Kontextinformationen etwa das Auto eines Mitarbeiters des Bundesnachrichtendienstes ermittelt werden konnte.
Dennoch: Die Landesregierung hält eine solche Analyseplattform „in Anbetracht immer größer werdender Datenmengen und schnell zu deckenden Informationsbedürfnissen für eine zukunftsgerichtete Polizeiarbeit unerlässlich“, heißt es in einer schriftlichen Antwort.
Welche Eingriffe den Sicherheitsbehörden ohnehin schon erlaubt sind, ist für Bürgerinnen und Bürger derweil kaum ersichtlich. Ein jüngst veröffentlichter Bericht des Max-Planck-Instituts hat nun im Auftrag von Bundesinnen- und Justizministerium eine sogenannte Überwachungsgesamtrechnung präsentiert – ein zentrales Ergebnis: hohe Regelungsdichte bei lückenhafter Transparenz.
